Nghiên cứu đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang ii Thành phố Hồ Chí Minh Tháng 5/2008 DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang i MỤC LỤC MỤC LỤC .................................................................................................................. i LỜI MỞ ĐẦU ........................................................................................................... 1 Chương 1 Khái quát về VPN .................................................................................... 2 1.1 Sự phát triển của các loại VPN ...........................................................................2 1.2 Khái niệm mạng riêng ảo. ...................................................................................3 1.3 Các thành phần cơ bản của VPN .........................................................................4 1.3.1 Máy chủ VPN. .............................................................................................4 1.3.2 Máy khách VPN. ..........................................................................................5 1.3.3 Bộ định tuyến VPN. .....................................................................................5 1.3.4 Bộ tập trung VPN. ........................................................................................7 1.3.5 Cổng nối VPN. .............................................................................................7 1.3.6 Tường lửa ....................................................................................................7 1.4 Các giao thức xây dựng IP-VPN ....................................................................... 10 1.4.1 IP Security ................................................................................................. 10 1.4.2 Giao thức đường hầm điểm-điểm PPTP ..................................................... 13 1.4.3 Giao thức đường hầm lớp 2 L2TP .............................................................. 16 Chương 2 .Đánh giá chung về hiệu quả sử dụng của mạng riêng ảo .................... 23 2.1 Các tiêu chí để đánh giá hiệu quả mạng sử dụng giải pháp VPN ........................... 23 2.2 Ưu điểm và khuyết điểm của VPN .................................................................... 24 2.2.1 Ưu điểm: .................................................................................................... 24 2.2.2 Khuyết điểm: ............................................................................................. 25 Chương 3 . Đánh giá hiệu quả sử dụng các loại VPN ............................................ 26 3.1 Đánh giá các loại VPN phân theo chức năng kết nối ......................................... 26 3.1.1 VPN truy cập từ xa:.................................................................................... 26 3.1.2 Intranet VPN: ............................................................................................. 28 3.1.3 Extraner VPN:............................................................................................ 30 3.2 Đánh giá các loại VPN phụ thuộc vào sự thực thi ............................................. 32 3.2.1 VPN phụ thuộc........................................................................................... 32 3.2.2 VPN độc lập ............................................................................................... 33 3.2.3 VPN hỗn hợp ............................................................................................. 33 3.3 Đánh giá các loại VPN dựa trên độ an tồn ....................................................... 35 3.3.1 VPN router tới router ................................................................................. 35 3.3.2 VPN tường lửa tới tường lửa ...................................................................... 37 3.3.3 VPN được khởi tạo bởi khách hàng : .......................................................... 39 3.3.4 VPN trực tiếp ............................................................................................. 40 3.4 Đánh giá VPN dựa theo lớp .............................................................................. 41 3.4.1 VPN lớp liên kết ........................................................................................ 41 3.4.2 VPN lớp mạng ........................................................................................... 43 3.5 Đánh giá các loại VPN dựa trên qui mơ mạng .................................................. 44 3.5.1 VPN cĩ quy mơ nhỏ ................................................................................... 44 3.5.2 VPN cĩ quy mơ nhỏ tới trung bình ............................................................. 44 3.5.3 VPN cĩ quy mơ trung bình ......................................................................... 45 3.5.4 VPN cĩ quy mơ trung bình đến lớn. ........................................................... 46 3.5.5 VPN cĩ quy mơ rất lớn............................................................................... 46 DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang ii 3.6 Đánh giá hiệu quả của VPN - MPLS ................................................................ 47 3.6.1 Tổng quan về VPN - MPLS ...................................................................... 47 3.6.2 Nhược điểm của VPN truyền thống. ........................................................... 48 3.6.3 Ưu điểm của MPLS VPN. .......................................................................... 51 3.6.4 Đánh giá hiệu quả của VPN MPLS ............................................................ 53 3.7 Đánh giá chi phí cung cấp dịch vụ truyền dữ liệu của một số nhà cung cấp dịch vụ tại Việt Nam ...................................................................................................... 55 3.7.1 Leased lines ............................................................................................... 55 3.7.2 Frame Relay ............................................................................................... 56 3.7.3 VPN ........................................................................................................... 56 3.7.4 Dịch vụ MegaWAN ................................................................................... 58 3.7.5 Đánh giá chung .......................................................................................... 61 KẾT LUẬN ............................................................................................................. 62 THUẬT NGỮ VIẾT TẮT....................................................................................... 63 TÀI LIỆU THAM KHẢO ...................................................................................... 65 Mục lục hình: Hình 1-1 : Mơ hình VPN ..............................................................................................3 Hình 1-2 : Các thành phần cơ bản của VPN .................................................................4 Hình 1-3: Khuơn dạng gĩi tin IPv4 trước và sau khi xử lý AH ................................... 11 Hình 1-4 : Khuơn dạng gĩi tin Ipv6 trước và sau khi xử lí AH ................................... 12 Hình 1-5: Khuơn dạng gĩi tin IPv4 trước và sau khi xử lý ESP .................................. 12 Hình 1-6: Khuơn dạng gĩi tin IPv4 trước và sau khi xử lý ESP .................................. 13 Hình 1-7 : Kiến trúc của PPTP ................................................................................... 14 Hình 1-8 : Đĩng gĩi PPTP/GRE ................................................................................ 14 Hình 1-9 : Cấu trúc gĩi dữ liệu trong đường hầm PPTP. ........................................... 15 Hình 1-10 : Đường hầm L2TP ................................................................................... 17 Hình 1-11 : Quá trình tạo đường hầm L2TP ............................................................... 19 Hình 1-12 : Quá trình đĩng gĩi dữ liệu trong đường hầm L2TP ................................. 20 Hình 1-13 : Quá trình mở gĩi dữ liệu trong đường hầm L2TP .................................... 21 Hình 3-1: Phương thức truy cập từ xa truyền thống .................................................... 26 Hình 3-2: VPN truy nhập từ xa .................................................................................. 27 Hình 3-3 : Mơ hình Intranet sử dụng mạng trục WAN ............................................... 28 Hình 3-4 : Mơ hình Intranet xây dựng dựa trên VPN.................................................. 29 Hình 3-5 : Mơ hình mạng Extranet truyền thống ........................................................ 30 Hình 3-6 : Mơ hình Extranet xây dựng dựa trên VPN ................................................ 31 Hình 3-7 : Cấu trúc VPN phụ thuộc ........................................................................... 32 Hình 3-8 : Cấu trúc VPN độc lập ............................................................................... 33 Hình 3-9 : VPN hỗn hợp, cĩ sự tham gia điều khiển của người dùng và nhà cung cấp dịch vụ ................................................................................................................ 34 Hình 3-10 : Cấu trúc VPN hỗn hợp nhưng cĩ sự điều khiển của nhiều nhà cung cấp .. 34 Hình 3-11 : Đường hầm đơn giao thức theo yêu cầu router tới router ......................... 35 Hình 3-12 : Đường hầm đa giao thức theo yêu cầu router tới router ........................... 36 Hình 3-13 : Các phiên VPN mã hĩa theo yêu cầu ...................................................... 37 Hình 3-14 : Đường hầm đơn giao thức theo yêu cầu tường lửa tới tường lửa ............. 38 DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang iii Hình 3-15 : Đường hầm đa giao thức theo yêu cầu tường lửa tới tường lửa ................ 38 Hình 3-16 : Kiến trúc VPN khởi tạo từ khách hàng tới tường lửa hoặc router ............ 39 Hình 3-17 : Kiến trúc VPN khởi tạo từ khách hàng tới máy chủ ................................. 40 Hình 3-18 : Kiến trúc VPN trực tiếp........................................................................... 40 Hình 3-19: Kiến trúc MPLS VPN lớp liên kết ............................................................ 43 Hình 3-20 : Kiến trúc VPN ngang hàng...................................................................... 43 Hình 3-21 : Mơ hình mạng MPLS VPN đơn giản ....................................................... 48 Hình 3-22 : Kết nối giữa máy tính A và máy tính B trong mạng VPN ........................ 49 Hình 3-23 : Mạng hình sao ......................................................................................... 50 Hình 3-24 : mạng mắt lưới ......................................................................................... 50 Hình 3-25 : Mơ hình mạng MPLS .............................................................................. 52 DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 1 LỜI MỞ ĐẦU Cùng với xu thế tồn cầu hĩa, sự mở rộng giao lưu hợp tác quốc tế ngày càng tăng, quan hệ hợp tác kinh doanh khơng chỉ dừng lại trong phạm vi một huyện, một tỉnh, một nước mà cịn mở rộng ra tồn thế giới. Một cơng ty cĩ thể cĩ chi nhánh, cĩ các đối tác kinh doanh ở nhiều quốc gia và giữa họ luơn cĩ nhu cầu trao đổi thơng tin với nhau. Để bảo đảm bí mật các thơng tin được trao đổi thì theo cách truyền thống người ta dùng các kênh thuê riêng, nhưng nhược điểm là nĩ đắt tiền, gây lãng phí tài nguyên khi dữ liêu trao đổi khơng nhiều và khơng thường xuyên. Vì thế người ta đã nghiên cứu ra những cơng nghệ khác vẫn cĩ thể đáp ứng được nhu cầu trao đổi thơng tin như thế nhưng đỡ tốn kém và thuận tiện hơn, đĩ là giải pháp mạng riêng ảo. Ngày nay, giải pháp mạng riêng ảo được ứng dụng ngày càng nhiều với cơng nghệ luơn được cải tiến để an tồn hơn. Vì thế, chúng em đã chọn đề tài “nghiên cứu đánh giá hiệu quả sử dụng của các loại mạng riêng ảo”. Nội dung đề tài gồm hai phần chính là nghiên cứu khái quát về mạng riêng ảo và hiệu quả ứng dụng của nĩ. Với khả năng và kiến thức cịn hạn chế, đề tài khơng tránh khỏi thiếu sĩt, chúng em mong nhận được sự gĩp ý sửa chữa của thầy cơ và các bạn. Chúng em xin chân thành cảm ơn thầy Võ Trường Sơn cùng các thầy bộ mơn Điện tử - Viễn Thơng đã giúp đỡ chúng em hồn thành đề tài này. Nhĩm sinh viên thực hiện đề tài. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 2 Chương 1 Khái quát về VPN Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chĩng mặt trên tồn thế giới cả về số lượng và về kĩ thuật. Và sự phát triển đĩ khơng cĩ dấu hiệu sẽ dừng lại. Sự phát triển khơng chỉ đơn giản là số lượng lớn thành viên mới kết nối vào hệ thống Internet mỗi giờ mà cịn là sự xâm nhập của nĩ vào các khía cạnh cuộc sống hiện đại, vào các hoạt động thương mại với quy mơ lớn nhỏ khác nhau. Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và dịch vụ bằng các website của mình. Cùng với thời gian, nĩ sẽ phát triển thành thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng internet. Cùng với sự phát triển đĩ thì các vấn đề về bảo mật, bảo vệ các nguồn thơng tin quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với sự phát triển tồn cầu hĩa, chi phí bổ sung cho thơng tin liên lạc, truyền tải dữ liệu giữa các chi nhánh trên khắp nơi tăng cao. Người ta thấy rằng cĩ thể giảm chi phí này bằng cách sử dụng mạng internet, từ đĩ cĩ thể tăng lợi nhuận của tổ chức. Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu quan mạng trung gian cơng cơng khơng an tồn như Internet. Để giải quyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo - VPN. Chính điều này là động lực cho sự phát triển mạnh mẽ của VPN như ngày nay. 1.1 Sự phát triển của các loại VPN VPN khơng phải là kĩ thuật mới. Mơ hình VPNs đã phát triển được khoảng trên 20 năm và trải qua một số thế hệ để trở thành như hiện nay. Mơ hình VPN đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được biết đến với tên Software Defined Networks (SDNs). SDNs là mạng WANs, các kết nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi cĩ kết nối cục bộ hay bên ngồi. Dựa trên thơng tin này, gĩi dữ liệu được định tuyến đường đi đến đích thơng qua hệ thống chuyển mạch chia sẻ cơng cộng. Thế hệ thứ hai của VPN đến từ sự xuất hiện của X.25 và kĩ thuật Integrated Services Digital Network (ISDN) trong đầu những năm 90. Hai kĩ thuật này cho phép truyền dữ liệu gĩi qua mạng cơng cộng phổ biến với tốc độ nhanh. Và giao thức X.25 và ISDN được xem là nguồn gốc của giao thức VPN. Tuy nhiên do hạn chế về tốc độ truyền tải thơng tin để đáp ứng các nhu cầu càng tăng của con người nên thời gian tồn tại của nĩ khá ngắn. Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-based Frame Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM). Thế hệ thứ 3 của DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 3 VPN dựa trên cơ sở kĩ thuật ATM và FR. Hai kĩ thuật này dựa trên mơ hình chuyển mạch ảo (virtual circuit switching). Trong đĩ các gĩi tin khơng chứa dữ liệu nguồn hay địa chỉ gửi đến mà thay vào đĩ là chúng mang các con trỏ đến mạch ảo nơi mà nguồn và điểm đến được xác định. Với kĩ thuật này thì tốc độ truyền dữ liệu được cải thiện (160 Mbps hoặc hơn) so với trước đĩ là SDN, X.25 hay ISDN. Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên 90, người sử dụng và các tổ chức muốn một giải pháp cĩ cấu hình dễ dàng, cĩ khả năng quản lý, truy cập tồn cầu và cĩ tính bảo mật cao hơn. Thế hệ VPN hiện tại đã đáp ứng được các yêu cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling technology). Kĩ thuật này dựa trên giao thức gĩi dữ liệu truyền trên một tuyến xác định gọi là tunneling, như IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), hay Layer 2 Tunneling Protocol (L2TP). Tuyến đường đi xác định bởi thơng tin IP. Vì dữ liệu được tạo bởi nhiều dạng khác nhau nên “đường hầm” phải cĩ thể hỗ trợ nhiều giao thức truyền tải khác nhau bao gồm IP, ISDN, FR, và ATM 1.2 Khái niệm mạng riêng ảo. Mạng riêng ảo (VPN- Virtual Private Network) là mạng kết nối hai hay nhiều mạng riêng thơng qua mạng cơng cộng (Internet) bằng cách sử dụng các đường hầm (tunneling) để đảm bảo sự riêng tư và tồn vẹn dữ liệu. Thay vì dùng kết nối thực phức tạp, đắt tiền như các kênh thuê riêng (leased line), VPN tạo ra các liên kết ảo thơng qua mạng cơng cộng để kết nối các mạng riêng với nhau mà vẫn đảm bảo các yêu cầu bảo mật, khả năng truyền tải thơng tin và độ tin cậy của mạng với chi phí thấp. Hình 1-1 : Mơ hình VPN DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 4 1.3 Các thành phần cơ bản của VPN User CSU/DSU Bộ định tuyến Tường lửa Máy chủ VPN Máy chủ điều khiển truy nhập và chứng thực User CSU/DSU Bộ định tuyến Tường lửa Máy chủ VPN Máy chủ điều khiển truy nhập và chứng thực Mạng Internet Người dùng truy cập từ xa Văn phịng từ xa Văn phịng trung tâm Hình 1-2 : Các thành phần cơ bản của VPN 1.3.1 Máy chủ VPN. Máy chủ VPN (VPN server) là thiết bị mạng dùng để chạy phần mềm máy chủ, máy chủ cĩ thể là máy tính tốc độ xử lý cao, dung lượng lớn và được cài đặt phần mềm máy chủ. Nhiệm vụ của máy chủ là cung cấp dịch vụ cho máy khách và thực hiện quá trình bảo mật cho mạng, máy chủ phải cĩ tính sẵn sàng và độ tin cậy cao, cĩ khả năng phục vụ các yêu cầu kết nối tại mọi thời điểm. Ø Chức năng của máy chủ: - Phát hiện các yêu cầu kết nối vào mạng, thực hiện dàn xếp thứ tự kết nối khi cĩ nhiều yêu cầu kết nối đồng thời từ các máy khách. - Thực hiện quá trình điều khiển truy nhập và chứng thực người dùng để cho phép người dùng hợp pháp truy cập vào mạng và cấm truy cập đối với người dùng bất hợp pháp. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 5 - Máy chủ hoạt động như là một điểm cuối của đường hầm VPN, đầu kia của đường hầm là máy khách, máy chủ cĩ thể thực hiện việc khởi tạo đường hầm nếu sử dụng đường hầm bắt buộc. - Mật mã hố dữ liệu truyền đi nhằm bảo mật thơng tin khi truyền trên mạng cơng cộng. - Lựa chọn các thơng số kết nối như: kỹ thuật mật mã, kỹ thuật xác nhận người dùng... - Chấp nhận dữ liệu từ máy khách và chuyển tiếp dữ liệu cho máy khách. - Máy chủ VPN cĩ thể kiêm nhiệm luơn chức năng của một router hay một gateway trong trường hợp mạng nhỏ (nhỏ hơn 20 máy khách). Cịn khi mạng lớn, vì máy chủ VPN phải hỗ trợ cho nhiều máy khách VPN nên nếu làm thêm chức năng của router hay gateway thì máy chủ sẽ chạy chậm hơn. 1.3.2 Máy khách VPN. Máy khách VPN (VPN client) là thiết bị nằm trong mạng cục bộ (ví dụ như các máy tính nằm trong cùng một mạng cục bộ của một văn phịng cơng ty) hoặc thiết bị ở xa (người dùng di động), nĩ khởi tạo kết nối đến máy chủ VPN, sau khi được xác nhận và cấp phép máy chủ sẽ được phép truy nhập vào máy chủ, khi đĩ máy chủ và máy khách mới truyền thơng với nhau. Máy khách cĩ thể là một máy hoạt động dựa trên phần mềm hoặc là một thiết bị phần cứng chuyên dụng. Đặc trưng của một VPN client: - Những người làm việc ở xa văn phịng trung tâm của cơng ty cĩ thể thơng qua mạng cơng cộng để truy nhập vào mạng cơng ty, rất thuận tiện khi nhân viên làm việc tại nhà. - Những người dùng ở xa sử dụng laptop để truy cập vào nguồn tài nguyên của cơng ty và trong mạng mở rộng. - Các nhà quản trị mạng cĩ thể thơng qua mạng cơng cộng để kết nối với những nút mạng ở xa nhằm quản lý, giám sát hoạt động, cấu hình dịch vụ và thiết bị, sữa chữa khắc phục sự cố cho các người dùng ở xa. 1.3.3 Bộ định tuyến VPN. Bộ định tuyến (router) cĩ vai trị tạo ra kết nối với các nút ở đầu xa. Chức năng chính của bộ định tuyến là định đường đi cho gĩi dữ liệu qua mạng, vì trong mạng chuyển mạch gĩi để đi tới một nút cĩ rất nhiều đường nên nhiệm vụ của bộ định tuyến là tìm đường cho dữ liệu đến đích một cách nhanh nhất. Chức năng chính của bộ định tuyến VPN cũng như bộ định tuyến thơng thường, ngồi ra nĩ cịn cung cấp thêm các DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 6 chức năng bảo mật cho mạng riêng ảo và đảm bảo chất lượng dịch vụ (QoS) trên đường truyền. Do đĩ bộ định tuyến thơng thường cũng cĩ thể dùng làm bộ định tuyến VPN nhưng để tăng tính bảo mật cho hệ thống và đảm bảo chất lượng dịch vụ, khi xây dựng mạng riêng ảo nên sử dụng bộ định tuyến chuyên dụng dùng cho VPN. Hiện nay người ta cĩ thể nâng cấp các router thơng thường thành router VPN bằng cách thêm vào các chức năng của VPN, ban đầu khi sử dụng sẽ mất thêm một ít thời gian để cấu hình, cài đăt và kiểm ta lỗi. Điều này giúp tận dụng được các router cũ, từ đĩ gĩp phần giảm chi phí khi xây dựng VPN. Thơng thường nếu khơng sử dụng tường lửa (firewall) thì bộ định tuyến là điểm cuối của đường hầm VPN. Máy chủ VPN cũng cĩ khả năng đảm nhiệm vai trị của router VPN. Tuy nhiên trong những mạng nhỏ, người ta mới dùng máy chủ để định tuyến, cịn những mạng lớn vì máy chủ phải thực hiện nhiều cơng việc, mạng phải đáp ứng số lượng lớn các yêu cầu nên cần phải sử dụng bộ định tuyến VPN riêng. Người ta cĩ thể sử dụng bộ định tuyến kèm chức năng lọc gĩi. Tuy nhiên, lọc gĩi khơng đủ để bảo mật đối với nhiều dạng tấn cơng cĩ thể xảy ra trên mạng, đây là một trong những lý do để phát triển thêm nhiều loại tường lửa khác nhau. Trong phạm vi của VPN, bộ định tuyến hiện đang được ưa chuơng nhất là các bộ định tuyến mã hĩa (encryption router). Ø Những yêu cầu đối với bộ định tuyến: - Bộ định tuyến bao gồm cả việc mã hĩa và giải mã lưu lượng đối với những kết nối mạng riêng biệt. - Phải hỗ trợ những giải thuật mã hĩa IPSec mặc định như DES, CBC, HMAC- MD5, HMAC-SHA-1… - Hỗ trợ chiều dài khĩa mã tối ưu nhất đối với yêu cầu bảo mật của mạng. - Hạn chế việc truy cập đến các khĩa. - Hỗ trợ việc tái định khĩa một cách tự động theo chu kỳ hoặc mỗi khi cĩ một kết nối mới. - Hỗ trợ cơ chế khử phát lại (anti-replay). - Thực hiện việc ghi nhận lại các lỗi khi xử lý các tiêu đề và cảnh báo với những việc lặp đi lặp lại những hoạt động khơng được phép. - Hỗ trợ cả hai chế độ transport và tunnel của IPSec. Do các bộ định tuyến được thiết kế với chức năng chính là kiểm tra các gĩi tại lớp mạng trong mơ hình OSI, khơng dùng để xác thực người dùng. Do đĩ, cần phải cĩ DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 7 thêm một máy chủ xác thực cho bộ định tuyến trong việc tao ra một VPN cĩ tính bảo mật. 1.3.4 Bộ tập trung VPN. Bộ tập trung VPN (VPN concentrator) cĩ chức năng giống như hub (máy chủ truy nhập) trong LAN truyền thống, nĩ dùng để thiết lập một VPN truy nhập từ xa cĩ kích thước nhỏ. Nĩ giúp tăng dung lượng và cơng suất của hệ thống, đồng thời cũng cung cấp khả năng xác thực và bảo mật cao. 1.3.5 Cổng nối VPN. Cổng nối IP (IP gateway) là thiết bị chuyển các giao thức khơng phải là giao thức IP sang giao thức IP và ngược lại. Nhờ đĩ mạng cục bộ cĩ khả năng kết nối với mạng Internet và thực hiện các giao dịch dưa tên nền IP. VPN gateway cĩ thể là thiết bị phần cứng chuyên dụng hoặc là giải pháp dựa trên phần mềm. Nếu là thiết bị phần cứng nĩ sẽ được đặt ở giữa mạng cục bộ với mạng bên ngồi, cịn nếu là giải pháp phần mềm nĩ được cài trên máy chủ. Cổng nối VPN là các cổng nối bảo mật (Security gateway) được dặt giữa mạng riêng và mạng cơng cộng nhằm ngăn chặn sự xâm nhập bất hợp pháp từ ngồi vào mạng riêng. Ngồi ra cổng nối VPN cịn cĩ khả năng thiết lập đường hầm VPN và mã hố dữ liệu trước khi truyền đi qua mạng cơng cộng. 1.3.6 Tường lửa Tường lửa là một tấm chắn ngăn chặn sự xâm nhập bất hợp pháp từ bên ngồi vào mạng nội bộ. Tường lửa cĩ nhiều loại, mỗi loại cĩ cơ chế hoạt động riêng. Ø Các loại tường lửa : Một số loại tường lửa thường gặp trong thực tế là: Các bộ lọc gĩi (Packet Filters), các Proxy kênh (Circuit Proxies), các Proxy ứng dụng (Application Proxies), kiểm tra trạng thái. Ø Các bộ lọc gĩi: Bộ lọc gĩi là loại tường lửa xuất hiện sớm nhất. Nĩ lọc gĩi dựa trên địa chỉ nguồn và địa chỉ đích của tất cả các gĩi IP đến để đưa ra quyết định cấm hay cho phép chuyển các gĩi này qua tường lửa dựa trên những quyền mà người quản trị mạng đã thiết lập. Ngồi ra nĩ cịn lọc gĩi dựa trên loại giao thức (ví dụ UDP hoặc TCP), dựa trên cổng TCP hoặc UDP, dựa trên số hiệu phân mảnh. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 8 Tường lửa lọc gĩi cĩ một số ưu điểm đĩ là: cơ chế đơn giản, xử lý gĩi rất nhanh, cĩ thể tích hợp ngay trên phần mềm của bộ định tuyến và nĩ hoạt động mang tính trong suốt đối với các người dùng đầu cuối. Tuy nhiên, tường lửa lọc gĩi cũng cĩ những nhược điểm là: quá trình cấu hình tường lửa rất phức tạp, gặp nhiều khĩ khăn, đặc biệt là khi cần nhiều quyền để điều khiển một lượng lớn cho nhiều ứng dụng và nhiều người dùng khác nhau. Nhược điểm thứ hai của tường lửa lọc gĩi cĩ thể coi là một thiếu sĩt đĩ là việc lọc gĩi hoạt động dựa trên những địa chỉ IP chứ khơng dựa trên quyền truy nhập của người dùng. Thứ ba là việc lọc gĩi chỉ cung cấp một số tính năng bảo mật đối với những hoạt động “tấn cơng chính giữa” và khơng cĩ tính năng bảo mật đối với các địa chỉ IP giả mạo. Ngồi ra, việc lọc gĩi cịn phụ thuộc vào một số cổng của gĩi IP và thường chỉ báo khơng chính xác về ứng dụng đang sử dụng, những giao thức như NFS (Network File System) sử dụng nhiều cổng khác nhau gây khĩ khăn trong việc tao quyền để điều khiển lưu lượng của chúng. Những bộ lọc gĩi cĩ thể sử dụng như một thành phần trong VPN để giới hạn lưu lượng chuyển qua một kênh. Tuy vây, việc lọc gĩi thường khơng yêu cầu phải sử dụng một tường lửa độc lập bởi vì chúng thường được kèm theo trong hầu hết các bộ định tuyến cĩ hỗ trợ TCP/IP. Ø Các Proxy kênh và Proxy ứng dụng Những tường lửa này cho phép nhiều người dùng cùng sử dụng một proxy để liên lạc với hệ thống bảo mật, che giấu những dữ liệu cĩ giá trị bảo mật và bảo mật máy chủ tránh sự tấn cơng của nhưng kẻ phá hoại. So với các bộ lọc gĩi thì các proxy kênh cĩ tính bảo mật cao hơn. Bởi vì, một proxy kênh sẽ được cài tự động giữa bộ định tuyến mạng với Internet và proxy này đĩng vai trị là đại diện cho cả mạng khi cĩ nhu cầu liên lạc ra mạng ngồi. Do đĩ, các máy tính bên ngồi khơng thể lấy được thơng tin địa chỉ cũng như số cổng bên trong mạng. Proxy cĩ ưu điểm là cĩ tính bảo mật cao hơn nhưng lại chạy chậm hơn so với các bộ lọc gĩi là do các proxy kênh phải tái tạo lại các tiêu đề IP cho mỗi gĩi để dảm bảo các gĩi tin đến đúng đích. Một hạn chế nữa của tường lửa proxy là nĩ thường được thiết kế để sử dụng những proxy agent khác nhau, mà mỗi agent chỉ điều khiển một dạng chỉ định mào đầu như lưu lượng của FTP hay TCP. Chúng ta muốn chuyển nhiều dạng lưu lượng thơng qua proxy thì máy chủ proxy phải nạp và chạy nhiều proxy agent một lúc. Các proxy ứng dụng thực hiện việc kiểm tra dữ liệu hiện thời trong một gĩi IP chuẩn bị được truyền đi nên ngăn cản bất cứ kẻ phá hoại nào sử dụng địa chỉ IP giả DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 9 mạo để lấy quyền truy cập trái phép. Do chức năng của một proxy ứng dụng thuộc lớp ứng dụng trong mơ hình OSI nên các proxy ứng dụng cĩ thể dùng cho việc xác thực các khĩa bảo mật khác, kể cả mật khẩu người dùng và những yêu cầu dịch vụ. Do các proxy ứng dụng dùng cho những ứng dụng chỉ định nên phải cài một proxy agent cho mỗi dịch vụ IP (như HTTP, FTP, SMTP…) và cần điều khiển việc truy cập đến chúng. điều này dẫn đến hai điểm bất lợi của các proxy ứng dụng: + Luơn tồn tại một đọ trì hỗn giữa việc gia nhập của các dịch vụ IP mới với các agent sẵn cĩ trên mạng. + Proxy ứng dụng địi hỏi phải xử lý nhiều trên các gĩi gây ra hậu quả là hiệu suất mạng sẽ bị giảm sút. Hơn nữa, nhiều loại Proxy ứng dụng yêu cầu phải hiệu chỉnh phần mềm client. Một đặc điểm quan trọng của các proxy ứng dụng là dung lượng của nĩ dành cho các người dùng và các trình ứng dụng chỉ định. Điều này làm tăng thêm tính bảo mật cho việc xác thực cho người dùng. Ø Kiểm tra trạng thái Một tường lửa lý tưởng là một tường lửa cung cấp cơ chế bảo mật tốt nhất và hiêu suất cao nhất. Người ta đã phát triển một kỹ thuật gọi là kiểm tra đa lớp trạng thái SMLI (Stateful Multi-Layer Inspection) để việc bảo mật cĩ tính chặt chẽ hơn trong khi vẫn đảm bảo tính dễ sử dụng và chi phí thấp, và hiệu suất kh._.ơng bị giảm sút. SMLI cũng tương tự như một proxy ứng dụng. Trong trường hợp xét đến tất cả lớp trong mơ hình OSI, thay vì dùng một proxy để đọc và xử ký cho mỗi gĩi thơng qua các logic điều khiển trên dữ liệu, SMLI sử dụng giải thuật sàng lọc lưu lượng (traffic screen algorithm) để tối ưu việc phân tích dữ liệu cĩ thơng lượng cao. Với SMLI, mỗi gĩi được xem xét và so sánh với các trạng thái đã biết của những gĩi thường gặp. SMLI là nguyên tắc cơ sở cho những sản phẩm tường lửa thế hệ mới cĩ thể thích ứng với nhiều loại giao thức và cĩ chức năng được nâng cao hơn, dễ sử dụng hơn. Ưu điểm của SMLI ở chỗ: tường lửa sẽ đĩng tất cả các cổng TCP, sau đĩ sẽ mở lại các cổng một cách linh động khí các kết nối cĩ yêu cầu đến các cổng này (ví dụ HTTP sử dụng cổng mặc định là 80). Đặc điểm này cho phép việc quản lý các dịch vụ sử dụng đến các số cổng lớn hơn 1023 như HTTP cĩ thể yêu cầu phải thay đổi trong việc cấu hình cho các tường lửa. Các tường lửa kiểm ra trạng thái cũng cung cấp những đặc điểm như ngẫu nhiên hĩa số tuần tự các cổng TCP và thục hiện việc lọc gĩi UDP. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 10 Ø Tường lửa sử dụng trong VPN. Các tường lửa được đề cập như là một phần trong giải pháp bảo mật cho mạng cơng ty, nhưng chỉ với các tường lửa này thì khơng đủ để xây dựng nên VPN. Đĩ là vì tường lửa khơng thể giám sát hay ngăn cản việc thay đổi dữ liệu (tính tồn vẹn dữ liệu) cĩ thể xảy ra khi một gĩi được truyển qua mạng Internet hay đĩng vai trị là một tường lửa kèm theo chức năng mã hĩa. Ø Những yêu cầu đối với tường lửa VPN của chúng ta cho dù sử dụng giao thức nào thì cần phải xem xét xem tường lửa cĩ tương thích với các phần cịn lại trong cơ chế bảo mật, quản trị mạng, tránh trường hợp xảy ra xung đột hay trùng lặp. Nếu muốn cài đặt nhiều tường lửa tại nhiều vị trí, ta phải duy trì một chính sách bảo mật chặt chẽ hơn nếu như tường lửa được lựa chọn hỗ trợ việc quản trị đồng bộ cho nhiều vị trí. Nếu một sản phẩm cĩ kèm theo khả năng quản lý từ xa, ta phải đảm bảo tính bảo mật cho việc truy cập từ xa đến tường lửa. 1.4 Các giao thức xây dựng IP-VPN 1.4.1 IP Security Được phát triển bởi IETF, IPSec là tiêu chuẩn mở để truyền thơng tin an tồn xác nhận người sử dụng ở hệ thống mạng cơng cộng. Đây là giao thức hoạt động ở lớp mạng, cung cấp các dịch vụ bảo mật, nhận thực, tồn vẹn dữ liệu và điều khiển truy cập. Nĩ là một tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị. IPSec cho phép thiết lập một đường ngầm bảo mật giữa hai mạng riêng và nhận thực hai đầu của đường ngầm này. Các thiết bị giữa hai đầu đường ngầm cĩ thể là một cặp host, hoặc một cặp cổng bảo mật (cĩ thể là router, firewall, bộ tập trung VPN) hoặc một cặp thiết bị gồm một host và một cổng bảo mật. Đường ngầm đĩng vai trị như một kênh truyền bảo mật và các gĩi dữ cĩ thể truyền một cách an tồn thơng qua đường hầm. Các gĩi tin truyền trong đường ngầm cĩ khuơn dạng giống như các gĩi tin bình thường khác và khơng làm thay đổi các thiết bị, kiến trúc cũng như những ứng dụng hiện cĩ trên mạng trung gian, qua đĩ cho phép giảm đáng kể chi phí để triển khai và quản lý. Mặc dù IPSec cung cấp các đặc tính cần thiết cho việc bảo mật VPN thơng qua mạng internet nhưng nĩ vẫn chưa phải là một giao thức hồn thiện. Tất cả các gĩi được sử lý theo IPSec sẽ làm tăng kích thước gĩi tin do phải thêm vào các tiêu đề IPSec làm cho thơng lượng của mạng giảm xuống. Điều này cĩ thể được giải quyết bằng cách nén dữ liệu trước khi mã hĩa, nhưng điều này chưa được chuẩn hĩa. Hoạt động của IPSec ở mức cơ bản địi hỏi phải cĩ các phần chính sau: DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 11 - Liên kết bảo mật SA (Security Association) - Xác thực tiêu đề AH(Authentication Header) - Bọc gĩi bảo mật tải ESP (Encapsulating Security Payload) - Chế độ làm việc a) Liên kết bảo mật SA (Security Association) Để hai bên cĩ thể truyền, nhân dữ liệu đã được bảo mật thì cả hai bên phải cùng thống thuật tốn mã hĩa, phương thức trao đổi khĩa, sau bao lâu thì cả hai bên sẽ cùng thay đổi khĩa. Tất cả những thỏa thuận trên đều do SA đảm trách. Việc truyền thơng giữa bên gửi và bên nhận địi hỏi phải cĩ ít nhất một SA và cĩ thể địi hỏi nhiều hơn vì mỗi giao thức IPSec địi hỏi phải cĩ một SA cho nĩ b) Xác thực tiêu đề AH Xác thực tiêu đề AH cho phép xác thực và kiểm tra tính tồn vẹn dữ liệu của các gĩi IP truyền giữa hai hệ thống. Nĩ là một phương tiện để kiểm tra xem dữ liệu cĩ bị thay đổi trong khi truyền khơng. Do AH khơng cung cấp khả năng mật mã dữ liệu nên các dữ liệu đều được truyền dưới dạng bản rõ. AH được chèn giữa tiêu đề IP và nội dung phía sau. Gĩi dữ liệu khơng bị thay đổi nội dung khi chèn AH vào. Hình 1-3: Khuơn dạng gĩi tin IPv4 trước và sau khi xử lý AH DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 12 Hình 1-4 : Khuơn dạng gĩi tin Ipv6 trước và sau khi xử lí AH c) Bọc gĩi bảo mật tải ESP Bọc gĩi dữ liệu tải được sử dụng để cung cấp tính an tồn cho các gĩi tin được truyền đi với các chức năng như mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính tồn vẹn của dữ liệu. ESP đảm bảo tính bí mật của thơng tin thơng qua việc mật mã gĩi tin IP. Tất cả lưu lương ESP đều được mật mã giữa hai hệ thống. Với đặc điểm này thì xu hướng sẽ sử dụng ESP nhiều hơn AH để tăng tính an tồn cho dữ liệu. Giống như tiêu đề AH, tiêu đề ESP được chèn vào giữa tiêu đề IP và nội dung tiếp theo của gĩi. Tuy nhiên ESP cĩ nhiệm vụ mã hĩa dữ liệu nên nội dung của gĩi sẽ bị thay đổi. Hình 1-5: Khuơn dạng gĩi tin IPv4 trước và sau khi xử lý ESP DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 13 Hình 1-6: Khuơn dạng gĩi tin IPv4 trước và sau khi xử lý ESP d) Chế độ làm việc Cĩ hai chế độ làm việc trong IPSec: + Chế độ giao vận (Transport mode): chỉ cĩ đoạn lớp giao vận trong gĩi được xử lý. + Chế độ đường hầm (Tunnel mode): tồn bộ gĩi sẽ được ử lí cho mã hĩa xác thực. 1.4.2 Giao thức đường hầm điểm-điểm PPTP Được phát triển bởi Microsoft, 3COM và Ascend Communications. Nĩ được đề xuất để thay thế cho IPSec. PPTP thi hành ở phân lớp 2 (Data Link) trong mơ hình OSI và thường được sử dụng trong truyền thơng tin hệ điều hành Windows. Giao thức đường hầm điểm - điểm PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập từ xa, tạo ra một đường hầm bảo mật thơng qua Internet đến site đích. PPTP sử dụng phiên bản giao thức GRE để đĩng và tách gĩi PPP, giao thức này cho phép PPTP mềm dẻo xử lý các giao thức khác khơng phải IP như: IPX, NETBEUI. PPTP dùng một kết nối TCP (gọi là kết nối điều khiển PPTP) để khởi tạo, duy trì, kết thúc đường ngầm. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 14 Hình 1-7 : Kiến trúc của PPTP PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng và máy chủ truy cập mạng. PPTP sử dụng PPP để thực hiện các chức năng: - Thiết lập và kết thúc kết nối vật lý. - Xác thực người dùng. - Tạo các gĩi dữ liệu PPP. Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đĩng gĩi của PPP để đĩng các gĩi truyền trong đường hầm. Sau khi đường hầm được thiết lập thì dữ liệu người dùng được truyền giữa client và máy chủ PPTP. Các gĩi PPTP chứa các gĩi dữ liệu IP. Các gĩi dữ liệu được đĩng gĩi bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập, ACK cho giám sát tốc độ dữ liệu truyền trong đường hầm. PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phải cĩ tiêu đề mơi trường truyền trong gĩi để biết gĩi dữ liệu truyền trong đường hầm theo phương thức nào? Ethernet, Frame Relay hay kết nối PPP. PPTP cũng cĩ cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu truyền đi. Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gĩi. Hình 1-8 : Đĩng gĩi PPTP/GRE Ä Cấu trúc gĩi của PPTP Dữ liệu đường hầm PPTP được đĩng gĩi thơng qua nhiều mức: đĩng gĩi khung PPP, đĩng gĩi các gĩi GRE, đĩng gĩi lớp liên kết dữ liệu. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 15 Hình 1-9 : Cấu trúc gĩi dữ liệu trong đường hầm PPTP. Ø Đĩng gĩi khung PPP: Phần tải PPP ban đầu được mật mã và đĩng gĩi với phần tiêu đề PPP để tạo ra khung PPP. Sau đĩ, khung PPP được đĩng gĩi với phần tiêu đề của phiên bản sửa đổi giao thức GRE. Đối với PPTP, phần tiêu đề của GRE được sử đổi một số điểm sau: - Một bit xác nhận được sử dụng để khẳng định sự cĩ mặt của trường xác nhận 32 bit. - Trường Key được thay thế bằng trường độ dài Payload 16bit và trường nhận dạng cuộc gọi 16 bit. Trường nhận dạng cuộc goi Call ID được thiết lập bởi PPTP client trong quá trình khởi tạo đường hầm PPTP. - Một trường xác nhận dài 32 bit được thêm vào. GRE là giao thức cung cấp cơ chế chung cho phép đĩng gĩi dữ liệu để gửi qua mạng IP. Ø Đĩng gĩi các gĩi GRE. Tiếp đĩ, phần tải PPP đã được mã hố và phần tiêu đề GRE được đĩng gĩi với một tiêu đề IP chứa thơng tin địa chỉ nguồn và đích cho PPTP client và PPTP server. Ø Đĩng gĩi lớp liên kết dữ liệu. Do đường hầm của PPTP hoạt động ở lớp 2 - Lớp liên kết dữ liệu trong mơ hình OSI nên lược đồ dữ liệu IP sẽ được đĩng gĩi với phần tiêu đề (Header) và phần kết thúc (Trailer) của lớp liên kết dữ liệu. Ví dụ, Nếu IP datagram được gửi qua giao diện Ethernet thì sẽ được đĩng gĩi với phần Header và Trailer Ethernet. Nếu IP datagram được gửi thơng qua đường truyền WAN điểm tới điểm thì sẽ được đĩng gĩi với phần Header và Trailer của giao thức PPP. Ä Ưu điểm và khuyết điểm của PPTP Ø Ưu điểm của PPTP: + PPTP là một giải pháp được xây dựng trên nền các sản phẩm của Microsoft( các sản phẩm được sử dụng rất rộng rãi). + PPTP cĩ thể hỗ trợ các giao thức non-IP. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 16 + PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux, và Apple's Macintosh. Các nền khơng hỗ trợ PPTP cĩ thể các dịch vụ của PPTP bằng cách sử dụng bộ định tuyến được cài đặt sẵn khả năng của máy khách PPTP. Ø Nhược điểm của PPTP: + PPTP bảo mật yếu hơn so với ký thuật L2TP và IPSec. + PPTP phụ thuộc nền. + PPTP yêu cầu máy chủ và máy khách phải cĩ cấu hình mạnh. + Mặc dù PPTP được cài đặt riêng cho VPN nhưng các bộ định tuyến cũng như máy chủ truy cập từ từ xa cũng phải cấu hình trong trường hợp sủa dụng các giải pháp định tuyến bằng đưịng quay số. + Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nĩ yếu do sử dụng mã hĩa với khĩa mã phát sinh từ password của user. Điều này càng nguy hiểm hơn khi password được gửi trong mơi trường khơng an tồn để chứng thực. Giao thức đưịng hầm Layer 2 Forwarding (L2F) được phát triển để tăng cường khả năng bảo mật. 1.4.3 Giao thức đường hầm lớp 2 L2TP Được phát triển bởi hệ thống Cisco nhằm thay thế IPSec. Tiền thân của nĩ là Layer 2 Forwarding (L2F), được phát triển để truyền thơng tin an tồn trên mạng Internet nhưng bị thay thế bởi L2TP vì LT2P cĩ khả năng mã hĩa dữ liệu tốt hơn và cĩ khả năng giao tiếp với Windown. L2TP là sự phối hợp của L2F) và PPTP. Thường được sử dụng để mã hĩa các khung Point-to-Point Protocol (PPP) để gửi trên các mạng X.25, FR, và ATM. L2TP cĩ thể được sử dụng làm giao thức đường hầm cho mạng VPN điểm-nối- điểm và VPN truy cập từ xa. Trên thực tế, L2TP cĩ thể tạo ra một đường hầm giữa máy khách và router, NAS và router, router và router. Vì L2TP là sự kết hợp của L2F và PPTP do đĩ L2TP cĩ các ưu điểm sau: - L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, ATM, FFR và PPP. Do đĩ nĩ cĩ thể hỗ trợ nhiều kỹ thuật khác nhau trên cùng thiết bị truy cập. - L2TP cho phép nhiều kỹ thuật truy cập trung gian hệ thống thơng qua Internet và các mạng cơng cộng khác. - L2TP khơng yêu cầu phải hiện thực thêm phần mềm, các bộ phận điều khiển hay phần mềm hỗ trợ. Do vậy mà cả người dùng từ xa và mạng riêng nội bộ đều khơng cần phải thực thi phần mềm chuyện dụng. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 17 - L2TP cho phép người dùng từ xa chưa đằng địa chỉ IP hoặc sử dụng IP của riêng truy cập mạng từ xa thơng qua mạng cơng cộng. Việc chứng thực và kiểm quyền L2TP được thực hiện tại gateway của máy chủ. Do đĩ ISP khơng cần cập nhật dữ liệu chứng thực user hay quyền truy cập của user từ xa. Hơn nữa mạng riêng nội bộ cũng cĩ thể tự xác định các truy cập tới nĩ và cĩ các cơ chế bảo mật riêng. Điều này làm cho quy trình thiết lập đường hầm của L2TP nhanh hơn so với các nghi thức đường hầm trước nĩ. Tính năng chính của L2TP: thay vì kết thúc đường hầm tại ISP site gần nhất như PPTP thì L2TP mở rộng đương hầm đến gateway của máy chủ ( hoặc máy đích) của mạng. Vì vậy yêu cầu thiết lập đường hầm L2TP cĩ thể được khởi tạo từ user từ xa và gateway của ISP. Hình 1-10 : Đường hầm L2TP Khi khung PPP được gửi đi thơng qua đương hầm L2TP, nĩ sẽ được đĩng gĩi dưới dạng gĩi dữ liệu user: thơng điệp UDP(Uer Datagram Protocol). L2TP sử dụng thơng điệp UDP cho việc tạo đường hầm dữ liệu và bảo trì đường hầm. Vì vậy gĩi dữ liệu đường hầm và gĩi bảo trì đường hầm cĩ chung cấu trúc. a) Các thành phần cơ bản của L2TP Giao thức L2TP cơ bản được thực thi dựa trên ba bộ phận: Một chủ truy cập mạng(NAS), bộ tập trung truy cập L2TP(LAC), và máy chủ(LNS). Ø Máy chủ truy cập mạng - NAS Máy chủ truy cập mạng trong L2TP là thiết bị truy cập điểm-điểm được cung cấp theo yêu cầu kết nối mạng tới người dùng từ xa khi họ quay số đến (thơng qua đường PSTN hoặc ISDN), sử dụng kết nối điểm-điểm. NAS cĩ nhiệm vụ định quyền người dùng từ xa và quyết định quay số yêu cầu kết nối mạng. Cũng như máy chủ truy nhập mạng trong PPTP, máy chủ truy nhập mạng trong L2TP cũng được đặt tại ISP và hoạt động như máy khách trong quá trình thiết lập đường hầm L2TP. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 18 Ø Bộ tập trung truy cập L2TP - LAC Vai trị của LAC: thiết lập đường hầm thơng qua mạng cơng cộng (PSTN, ISDN và Internet) tới LNS của máy chủ mạng đầu cuối. LAC cĩ thể coi là điểm kết thúc kết nối vật lý giữa máy khách và LNS của máy chủ mạng. LAC được đặt tại ISP. Tuy nhiên user từ bên ngồi cũng cĩ thể hoạt động như LAC trong trường hợp tạo đường hầm L2TP tự nguyện. Ø Máy chủ mạng L2TP - LNS LNS được đặt trên mạng máy chủ. Vì vậy nĩ được sử dụng để kết thúc kết nối L2TP khi LACs kết thúc đường hầm L2TP từ máy khách. Khi LNS nhận được yêu cầu kết nối mạng ảo từ LAC, nĩ sẽ thiết lập đường hầm và chứng thực người dùng khởi tạo yêu cầu kết nối đĩ. Nếu LNS chấp thuận yêu cầu kết nối thì nĩ sẽ tạo ra giao diện ảo. b) Quá trình tạo kết nối L2TP Khi người dùng từ xa cần thiết lập đường hầm L2TP thơng qua Internet hoặc các mạng cơng cộng tương tự, thì quá trình kết nối sẽ diễn ra theo các bước sau: Ø Người dùng từ xa gửi yêu cầu kết nối tới NAS của ISP gần nhất để khởi tạo kết nối PPP tới đầu ISP Ø NAS chấp nhận yêu cầu kết nối sau khi chứng thực user. NAS sẽ sử dụng các phương pháp chứng thực của PPP như PAP, CHAP, SPAP, và EAP để thực hiện nhiệm vụ này. Ø Sau đĩ NAS kích hoạt LAC, LAC thu nhận thơng tin với LNS của mạng đích. Ø Sau đĩ, LAC tạo đường hầm LAC-LNS trên mạng tương tác trung gian giữa hai đầu. Đường hầm cĩ thể là ATM, Frame Relay, hoặc IP/UDP. Ø Sau khi đường hầm đã được thiết lập thành cơng, LAC đưa Call ID (CID) tới kết nối và gửi thơng điệp thơng báo đến LNS. Thơng điệp thơng báo chứa các thơng tin để chứng thực user. Thơng điệp cũng mang các thơng số tùy chọn của giao thức điều khiển L2TP(LCP) được người dùng và LAC thỏa thuận từ trước. Ø LNS sử dụng các thơng tin nhận được trong thơng điệp thơng báo để chứng thực user. Nếu user được chứng thực thành cơng và LNS chấp thuận yêu cầu tạo đường hầm thì ghép nối PPP ảo(đường hầm L2TP) sẽ được thiết lập dựa trên các tùy chọn LCP nhận được trong thơng điệp thơng báo. Ø Người dùng từ xa và LNS trao đổi dữ liệu thơng qua đường hầm L2TP. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 19 Hình 1-11 : Quá trình tạo đường hầm L2TP c) Tạo đường hầm dữ liệu L2TP Cũng giống gĩi dữ liệu trong đường hầm PPTP, gĩi dữ liệu L2TP cũng được đĩng gĩi tại nhiều mức khác nhau: Ø Đĩng gĩi dữ liệu PPP. Dữ liệu khơng được mã hĩa trước khi đĩng gĩi. Ở mức này, chỉ cộng thêm header PPP vào gĩi dữ liệu gốc. Ø Đĩng gĩi khung L2TP. Sau khi dữ liệu gốc được đĩng gĩi trong gĩi PPP, nĩ sẽ được cộng thêm header L2TP. Ø Đĩng gĩi khung UDP. Sau đĩ gĩi L2TP đã được đĩng gĩi sẽ được đĩng gĩi thêm trong frame UDP. Nĩi cách khác header UDP sẽ được thêm vào frame L2TP đã đĩng gĩi.. Cổng nguồn và đích trong UDP header được thiết lập là 1701 để đặc tả cho L2TP. Ø Đĩng gĩi bảo mật dữ liệu UDP. Sau khi khung L2TP được đĩng gĩi trong UDP, khung UDP được mã hĩa và một IPSec ESP sẽ được thêm vào nĩ. IPSec. Header và trailer xác nhận IPSec cũng được nối thêm vào và để đĩng gĩi dữ liệu. Ø Đĩng gĩi IP. Cộng thêm IP header vào gĩi dữ liệu. IP header chứa địa chỉ của máy chủ (LNS) L2TP và người dùng từ xa. Ø Đĩng gĩi lớp Data Link. Header và trailer của lớp Data Link được thêm vào gĩi dữ liệu sau khi đĩng gĩi IP. Header và trailer của lớp Data Link giúp gĩi dữ liệu đi DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 20 tới nút đích. Trong trường hợp nút đích là nút cục bộ thì header và trailer của lớp Data Link dựa trên kỹ thuật mạng cục bộ (ví dụ Ethernet). Trong trường hợp gĩi dữ liệu được gửi đến nút ở xa thì header và trailer của PPP sẽ được thêm vào gĩi dữ liệu đường hầm L2TP. Hình 1-12 : Quá trình đĩng gĩi dữ liệu trong đường hầm L2TP Ở phía thu quá trình xử lý dữ liệu sẽ diễn ra ngược lại. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 21 Hình 1-13 : Quá trình mở gĩi dữ liệu trong đường hầm L2TP d) Ưu điểm và khuyết điểm của L2TP Ø Ưu điểm: - L2TP là một giải pháp chung, khơng phụ thuộc nền và hỗ trợ nhiều kỹ thuật mạng. Hơn nữa L2TP cĩ thể hỗ trợ giao tác thơng qua liên kết non-IP của mạng WAN mà khơng cần IP. - Đường hầm L2TP chỉ đơn thuần là người dùng từ xa hoặc ISP. Do đĩ nĩ khơng yêu cầu bổ sung cấu hình của user từ xa và ISP. - L2TP cho phép tổ chức kiểm sốt chứng thực users. - L2TP hỗ trợ kiểm sốt luồng và các gĩi dữ liệu bị loại bỏ khi đường hầm quá tải. do đĩ giao tác trên L2TP nhanh hơn giao tác trên L2F. - L2TP cho phép người dùng với địa chỉ IP chưa được đăng ký cĩ thể truy cập mạng từ xa thơng qua mạng cơng cộng. - L2TP tăng cường bảo mật bằng cách cách mã hĩa dữ liệu dựa trên IPSec trên suốt đường hầm và khả năng chứng thực gĩi của IPSec. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 22 Ø Khuyết điểm: - L2TP chậm hơn PPTP và L2F vì nĩ sử dụng IPSEc để chứng thực từng gĩi nhận được. - Mặc dù PPTP được cài đặt riêng cho giải pháp VPN nhưng vẫn phải cấu hình thêm bộ định tuyến và máy phục vụ truy cập từ xa. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 23 Chương 2 .Đánh giá chung về hiệu quả sử dụng của mạng riêng ảo 2.1 Các tiêu chí để đánh giá hiệu quả mạng sử dụng giải pháp VPN Tiêu chí đầu tiên để đánh giá hiệu quả sử dụng VPN là bảo mật. Do dữ liệu quan trọng của cơng ty được truyền qua một mạng cơng cộng thiếu an tồn như mạng Internet, thì bảo mật chính là yêu cầu quan trọng nhất giữa tổ chức và quản trị mạng. Để đảm bảo rằng dữ liệu khơng thể bị chặn hay truy xuất trái phép hoặc cĩ khả năng mất mát khi truyền tải cần phải cĩ cơ chế mã hĩa dữ liệu phù hợp, cĩ đủ khả năng đảm bảo an tồn dữ liệu. Một yêu cầu quan trọng khác khi lựa chọn giải pháp VPN cho mạng doanh nghiệp là giải pháp được lựa chọn phải phù hợp với cơ sở hạ tầng mạng hiện cĩ và giải pháp bảo mật ví dụ như tường lửa, sử dụng proxy, phần mềm chống virus hay các hệ thống bảo mật khác. Tiêu chí tiếp theo là sự thích nghi giữa các thiết bị từ nhiều nhà cung cấp. Nếu khơng cĩ sự thích nghi giữa các thiết bị vận hành VPN thì đảm bảo chất lượng dịch vụ (QoS) rất khĩ đạt được. Do đĩ, khi xây dựng một mạng VPN cần phải lựa chọn các thiết bị của các hãng cĩ khả năng thích nghi với nhau trước khi lắp đặt chúng vào mạng VPN. Và theo các nhà chuyên mơn khuyến cáo thì để đạt chất lượng tốt thì các thiết bị nên từ mua từ một nhà cung cấp. Điều này đảm bảo sự thích nghi hồn tồn giữa các thiết bi và đảm bảo chất lượng dịch vụ tốt nhất. Và một vấn đề khác nữa là khả năng quản lý tập trung của một mạng VPN. Điều này giúp cho người quản trị mạng dễ cấu hình, dễ quản lý và dễ khắc phục sự cố các vấn đề liên quan VPN từ một vùng cục bộ hay ứng dụng. Một điều quan trọng là cần phải cĩ một phần mềm quản lý luơn ghi lại các hoạt động hệ thống (logs), điều này sẽ giúp quản trị mạng khoanh vùng và giải quyết sự cố trước khi gây ảnh hưởng đến chất lượng tồn bộ hệ thống. Tiêu chí tiếp theo là giải pháp VPN cĩ dễ dàng bổ sung, cấu hình các thành phần khác hay khơng. Nếu thành phần bổ sung cĩ kích thước lớn thì hệ thống quản lý cĩ đủ khả năng ghi và theo dõi số lượng lớn các đường hầm bổ sung vào hệ thống hay khơng. Tính tiện dụng cũng là một tiêu chí khơng kém phần quan trọng. Các phần mềm VPN, đặc biệt là các phần mềm VPN cho khách hàng phải đơn giản và khơng phức tạp đối để người dùng cĩ thể sử dụng một cách dễ dàng. Thêm vào đĩ quá trình xác nhận và giao diện phải dễ hiểu và dễ sử dụng. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 24 Và yêu cầu về khả năng nâng cấp các mạng VPN đang tồn tại luơn được đặt ra, việc thêm vào các thành phần mới mà khơng thay đổi nhiều cơ sở hạ tầng hiện tại luơn là một vấn đề đau đầu của nhiều nhà quản trị mạng. Vấn đề về việc quản lý băng thơng luơn cĩ một sự quan tâm đặc biệt để đảm bảo truyền dữ liệu sẵn sàng và ổn định với chất lượng dịch vụ (QoS) đảm bảo. Việc quản lý băng thơng cĩ nhiều khía cạnh bao gồm quản lý băng thơng theo người sử dụng, theo nhĩm, theo ứng dụng và cĩ khả năng ưu tiên cho người sử dụng, theo nhĩm hay ứng dụng tùy theo hợp đồng của các cơng ty. 2.2 Ưu điểm và khuyết điểm của VPN 2.2.1 Ưu điểm: - Giảm chi phí thiết lập: VPN cĩ giá thành thấp hơn rất nhiều so với các giải pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN. Khi sử dụng cơng nghệ VPN ta cĩ thể tiết kiệm một cách đáng kể chi phí thuê kênh riêng hoặc các cuộc gọi đường dài bằng chi phí cuộc gọi nội hạt. Hơn nữa, sử dụng kết nối đến ISP cịn cho phép vừa sử dụng VPN vừa truy nhập Internet. Cơng nghệ VPN cho phép sử dụng băng thơng đạt hiệu quả cao nhất. - Giảm chi phí vận hành quản lý: bằng cách giảm chi phí viễn thơng khoảng cách xa, VPN cũng giảm chi phí vận hành mạng WAN một cách đáng kể. Ngồi ra các tổ chức cũng cĩ thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN dử dụng trong VPN được quản lý bởi ISP. Một nguyên nhân nữa giúp làm giảm chi phí vận hành là nhân sự, tố chức khơng mất chi phí để đào tạo và trả cho nhiều người người quản lý mạng. - Nâng cao kết nối (Enhanced connectivity): VPN sử dụng mạng Internet cho kết nối nội bộ giữa các phần xa nhau của intranet. Do Internet cĩ thể được truy cập tồn cầu, do đĩ ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng cĩ thể kết nối dễ dàng với mạng intranet chính - Bảo mật: Bởi vì VPN sử dụng kĩ thuật tunneling để truyền dữ liệu thơng qua mạng cơng cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đĩ, VPN sử dụng thêm các phương pháp tăng cường bảo mật như mã hĩa, xác nhận và ủy quyền. Do đĩ VPN được đánh giá cao bảo mật trong truyền tin. - Hiệu suất băng thơng: sự lãng phí băng thơng khi khơng cĩ kết nối Internet nào được kích hoạt. Trong kĩ thuật VPN thì các “đường hầm” chỉ được hình thành khi cĩ yêu cầu truyền tải thơng tin. Băng thơng mạng chỉ được sử dụng khi cĩ kích hoạt kết nối Internet. Do đĩ hạn chế rất nhiều sự lãng phí băng thơng. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 25 - Cĩ thể nâng cấp dễ dàng: bởi vì VPN dựa trên cơ sở Internet nên các nĩ cho phép các các mạng intranet các tổ chức cĩ thể phát triển khi mà hoạt động kinh doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối thiểu. Điều này làm mạng intranet cĩ khả năng nâng cấp dễ dàng theo sự phát triển trong tương lai mà khơng cần đầu tư lại nhiều cho cơ sở hạ tầng. 2.2.2 Khuyết điểm: Phụ thuộc nhiều vào chất lượng mạng Internet. Sự quá tải hay tắt nghẽn mạng cĩ thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPN. Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay dựa hồn tồn trên cơ sở kĩ thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPN khơng phù hợp được với các thiết bị và giao thức này. Vấn đề này cĩ thể được giải quyết một cách chừng mực bởi các “tunneling mechanisms”. Nhưng các gĩi tin SNA và các lưu lượng non-IP bên cạnh các gĩi tin IP cĩ thể sẽ làm chậm hiệu suất làm việc của cả mạng. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 26 Chương 3 . Đánh giá hiệu quả sử dụng các loại VPN 3.1 Đánh giá các loại VPN phân theo chức năng kết nối 3.1.1 VPN truy cập từ xa: VPN truy nhập từ xa cung cấp cho các nhân viên, chi nhánh văn phịng di động cĩ khả năng trao đổi, truy nhập từ xa vào mạng của cơng ty tại mọi thời điểm tại bất cứ đâu cĩ mạng Internet. VPN truy nhập từ xa cho phép mở rộng mạng cơng ty tới những người sử dụng thơng qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng cơng ty vẫn duy trì. Loại VPN này cĩ thể dùng để cung cấp truy nhập an tồn cho các thiết bị di động, những người sử dụng di động, các chi nhánh và những bạn hàng của cơng ty. Những kiểu VPN này được thực hiện thơng qua cơ sở hạ tầng cơng cộng bằng cách sử dụng cơng nghệ ISDN, quay số, IP di động, DSL và cơng nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng. Trước khi đánh giá về hệ thống VPN truy nhập từ xa, chúng ta hay xem xét sơ lược về hệ thống truy nhập từ xa truyền thống. Hệ thống này bao gồm các thành phần chính: Máy chủ truy nhập từ xa (RAS) : được đặt tại trung tâm cĩ nhiệm vụ xác nhận và chứng nhận các yêu cầu truy cập từ xa, máy chủ dữ liệu và trung tâm dữ liệu. Khi người dùng muốn truy cập từ xa thì họ sẽ quay số kết nối đến trung tâm. Với cách làm này thì độ bảo mật khơng cao, tốc độ chậm và nếu người dùng ở rất xa trung tâm thì họ buộc phải trả cước phí gọi đường dài. Hình 3-1: Phương thức truy cập từ xa truyền thống Bằng việc triển khai VPN truy nhập từ xa, những người dùng từ xa hoặc các chi nhánh văn phịng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 27 ISP’s POP và kết nối đến tài nguyên thơng qua Internet, điều này sẽ giảm cước phí gọi đường dài một các đáng kể. Để thiết lập một kết nối VPN truy nhập từ xa, người dùng từ xa và các văn phịng chi nhánh chỉ cần thiết lập kết nối dial-up địa phương với ISP hoặc ISP's POP và kết nối với mạng trung tâm thơng qua Internet. Hình 3-2: VPN truy nhập từ xa v Ưu khuyết điểm của VPN truy cập từ xa so với truy cập từ xa truyền thống: - Khơng cĩ thành phần RAS và các thành phần modem liên quan - Khơng cần nhân sự hỗ trợ hệ thống do kết nối từ xa được thực hiện bởi ISP - Kết nối dial-up khoảng cách xa được loại bỏ, thay vào đĩ là các kết nối địa phương. Do đĩ chi phí vận hành giảm rất nhiều. - Vì kết nối dial-up là cục bộ nên modem vận hành truyền dữ liệu tốc độ cao hơn so với phải truyền dữ liệu đi xa. -VPN cho phép truy địa chỉ trung tâm (corporate site) tốt hơn bởi vì nĩ hỗ trợ mức thấp nhất truy cập dịch vụ bất kể số người sử dụng đồng thời truy cập mạng tăng cao. Khi số người sử dụng trong hệ thống VPN tăng, thì mặc dù chất lượng dịch vụ cĩ giảm nhưng khả năng truy cập khơng hồn tồn mất. Bên cạnh những ưu điểm của VPN thì vẫn tồn tại một số khuyết điểm cịn tồn tại của Remote Access truyền thống: DH Giao Thong Van Tai - 450 Le ._. mạng VPN sử dụng đường hầm IPSec thơng qua một nhà cung cấp dịch vụ hay mạng internet cơng cộng sử dụng mã hĩa 3DES. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 49 Hình 3-22 : Kết nối giữa máy tính A và máy tính B trong mạng VPN Dễ nhận thấy nhất ở mạng IPsec là mạng cĩ hiệu năng thấp. Việc Các CPE thiết bị đầu cuối thuê bao (Customer Premise Equipment) ở hai thiết bị đầu cuối tiến hành kiểm tra gĩi tin, sau đĩ mã hĩa và đĩng gĩi và các gĩi IP gây tốn thời gian và gây trễ cho gĩi tin. Nếu gĩi tin được truyền đi trong mạng cĩ kích thước lớn hơn kích thước tối đa cho phép truyền (maximum Transmission Unit) trên bất cứ một liên kế nào giữa CPE thì các gĩi tin đĩ phải được phân thành các gĩi nhỏ hơn, điều này chỉ xảy ra trường hợp bit DF (don’t fragment) khơng được thiết lập. Cịn trong trường hợp bit DF được thiết lập thì gĩi tin sẽ bị mất và một bản tin ICMP sẽ gửi về bên phát. Thời gian trễ trong mạng sẽ phụ thuộc vào độ phức tạp và tốc độ xử lý của các CPE. Các thiết bị CPE kém chất lượng thường phải thực hiện hầu hết các chức năng Ipsec bằng phần mềm khiến trễ trong mạng lớn. Với các CPE khả năng thực hiện Ipsec bằng phần cứng cĩ tốc tốc độ xử lý gĩi tin cao hơn nhưng chi phí cho các thiết bị này rất đắt. điều này dẫn đến chi phí triển khai một Ipsec VPN là rất tốn kém. Từ ví dụ này, ta thấy IPsec VPN là mạng lớp trên của mạng IP và sự trao đổi thơng tin trong mạng được thực hiện bằng cách thiết lập các đường hầm giữa các site. Điều này sẽ được làm rõ hơn khi so sánh cấu hình mạng sao và cấu hình mạng lưới tạo ra cấu hình mạng khơng tối ưu. Mạng hình sao bao gồm site trung tâm Hub được nối với tất cả các site ở xa khác. Trong cấu hình này CPE của site trung tâm thường là một thiết bị rất đắt tiền và phụ thuộc vào số lượng các site ở xa cần kết nối, mỗi site này sẽ thiết lập một đường hầm Ipsec đến site trung tâm. Cấu hình mạng này khơng phù hợp cho truyền thơng giữa các site ở xa với nhau vì gĩi tin từ site này tới site khác phải đi qua site trung tâm và tại site trung tâm sẽ lặp lại các tác vụ như đĩng gĩi tin, xác định đường truyền, mã hĩa và giải mã đối với các gĩi tin đi qua nĩ. Do đĩ mỗi gĩi tin phải đi qua hai đường hầm Ipsec dẫn đến trễ xử lý cho mỗi gĩi tin sẽ tăng gấp đơi so với trường hợp hai site ở xa cĩ thể trao đổi thơng tin trực tiếp. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 50 Hình 3-23 : Mạng hình sao Giải pháp tối ưu nhất khắc phục hiện tượng trên là thiết lập mạng mắt lưới. tuy nhiên cấu hình này cĩ nhiều hạn chế và điểm hạn chế lớn nhất là khả năng mở rộng mạng. số lượng tunnel cần thiết để hỗ trợ một mạng mắt lưới Ipsec sẽ tăng cùng với số lượng site. Ví dụ một mạng cĩ 20 site thì cần 210 đường hầm IPsec. Cấu hình mạng như vậy sẽ phải cần CPE phức tạp và đắt tiền. thậm trí cĩ thể khơng thực hiện được cấu hình mạng mắt lưới. Hình 3-24 : mạng mắt lưới Một điểm chúng ta cần phải cân nhắc khi triển khai các mạng VPN đĩ là các thiết bị CPE. Mỗi nhà cung cấp cần phải chắc chắn rằng tất cả các CPE sẽ hoạt động tương thích với nhau. Giải pháp đơn giản và và hiệu quả nhất là sử dụng cùng một loại CPE trong mỗi vùng, tuy nhiên, điều này khơng phải bao giờ cũng thực hiện được do nhiều yếu tố khác nhau. Tuy ngày nay sự tương thích khơng phải là một vấn đề lớn nhưng nĩ vẫn cần phải được quan tâm khi hoạch định một giải pháp mạng IPSec VPN. Mỗi một CPE phải đĩng vai trị như là một router và cĩ khả năng hỗ trợ tunneling. Những CPE với chức năng bổ sung này địi cĩ giá thành rất cao nên cách duy nhất để triển khai IPSec trong một mạch cầu là tải các phần mềm IPSec client vào tất cả các PC phía sau cầu. Giải pháp này địi hỏi sự hỗ trợ khách hàng cao dẫn đến những khĩ khăn trong quản lý mạng. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 51 3.6.3 Ưu điểm của MPLS VPN. MPLS VPN khác biệt với các VPN trước đĩ là khơng đĩng gĩi và mã hĩa gĩi tin để đạt mức bảo mật cao. MPLS VPN sử dụng bảng chuyển tiếp và các nhãn (tags) để tạo tính bảo mật cho mạng VPN. Kiến trúc mạng này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN và cơ chế xử lý thơng minh của MPLS VPN hồn tồn trong phần lõi mạng. Trước tiên, ta hãy xem xét một số thuật ngữ được dùng trong mạng MPLS VPN. Thiết bị CPE trong MPLS-VPN chính là các CE (Customer Edge) router và các CE router này được nối với mạng của nhà cung cấp dịch vụ thơng qua các PE (Provider Edge) router. Một mạng VPN sẽ bao gồm một nhĩm các CE router kết nối với các PE router của nhà cung cấp dịch vụ. Tuy nhiên, chỉ những PE router mới cĩ khái niệm về VPN, cịn các CE router thì khơng “nhận thấy” những gì đang diễn ra bên trong mạng của nhà cung cấp dịch vụ và sẽ coi như chúng đang được kết nối với nhau thơng qua một mạng riêng. Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt. VRF cung cấp các thơng tin về mối quan hệ trong VPN của một site khách hàng khi được nối với PE router. Bảng VRF bao gồm thơng tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các giao diện của bảng định tuyến; các quy tắc, các tham số của giao thức định tuyến... Mỗi site chỉ cĩ thể kết hợp với một và chỉ một VRF. Các VRF của site khách hàng mang tồn bộ thơng tin về các “tuyến” cĩ sẵn từ site tới VPN mà nĩ là thành viên. Đối với mỗi VRF, thơng tin sử dụng để chuyển tiếp các gĩi tin được lưu trong các bảng định tuyến IP và bảng CEF. Các bảng này được duy trì riêng rẽ cho từng VRF nên nĩ ngăn chặn được hiện tượng thơng tin bị chuyển tiếp ra ngồi mạng VPN cũng như ngăn chặn các gĩi tin bên ngồi mạng VPN chuyển tiếp vào các router bên trong mạng VPN. đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một MPLS VPN, cĩ thể kết nối bất kỳ hai điểm nào với nhau và các site cĩ thể gửi thơng tin trực tiếp cho nhau mà khơng cần thơng qua site trung tâm. Tham số phân biệt tuyến RD (Route Distinguisher) giúp nhận biết các địa chỉ IP thuộc VPN riêng biệt nào. Xét mơ hình mạng như Hình 3-25, cĩ 3 VPN khác nhau và được xác định bởi các RD: 10, 20 và 30. Một mạng MPLS cĩ thể hỗ trợ hàng trăm đến hàng nghìn VPN. Phần bên trong của kiến trúc mạng MPLS VPN được kết cấu bởi các thiết bị của nhà cung cấp. Những thiết bị này hình thành mạng lõi (core) MPLS và khơng được nối trực tiếp đến các CE router. Các chức năng VPN của một mạng MPLS-VPN sẽ được thực hiện bởi các PE router bao quanh mạng lõi này. Cả P router và PE router đều là các bộ định tuyến chuyển mạch nhãn LSR (Label Switch Router) DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 52 trong mạng MPLS. Các site khách hàng cĩ thể được kết nối với các PE router bằng nhiều cách khác nhau như T1, Frame Relay, DSL, ATM, v.v... Hình 3-25 : Mơ hình mạng MPLS Một trong những ưu điểm lớn nhất của các MPLS VPN là khơng địi hỏi các thiết bị CPE thơng minh bởi vì tồn bộ các chức năng VPN được thực hiện ở phía trong mạng lõi của nhà cung cấp dịch vụ và hồn tồn “trong suốt” đối với các CPE. Các CPE khơng địi hỏi chức năng VPN và hỗ trợ IPSec. điều này cĩ nghĩa là khách hàng khơng phải chi phí quá cao cho các thiết bị CPE. Trễ trong mạng được giữ ở mức thấp nhất vì các gĩi tin lưu chuyển trong mạng khơng phải thơng qua các hoạt động như đĩng gĩi và mã hĩa. Sở dĩ khơng cần chức năng mã hĩa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần giống như bảo mật trong mạng Frame Relay. Thậm chí trễ trong MPLS VPN cịn thấp hơn là trong mạng MPLS IP sử dụng chuyển mạch nhãn Việc tạo một mạng đầy đủ (mạng mắt lưới) VPN là hồn tồn đơn giản vì các MPLS VPN khơng sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là mạng mắt lưới, trong đĩ các site được nối trực tiếp với PE vì vậy các site bất kỳ cĩ thể trao đổi thơng tin với nhau trong VPN. Và thậm chí, nếu site trung tâm gặp trục trặc, các site ở xa vẫn cĩ thể liên lạc với nhau. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 53 Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN. Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng lõi mà khơng cần phải tiếp xúc đến các CPE. Một khi một site đã được cấu hình xong, ta khơng cần đụng chạm đến nĩ nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nĩ nối tới. Vấn đề bảo mật thậm chí cịn đơn giản hơn nhiều khi triển khai trong các mạng MPLS VPN vì một VPN khép kín bản thân nĩ đã đạt được sự an tồn thơng tin do khơng cĩ kết nối với mạng Internet cơng cộng. Nếu cĩ nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một tường lửa sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho tồn bộ mạng VPN. Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một tường lửa duy nhất mà vẫn đảm bảo an tồn cho tồn bộ VPN. Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho mỗi remote site. So sánh với mạng Frame Relay truyền thống cĩ 1 nút trung tâm và 10 remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm (hub) sẽ cần 10 PVCs. Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng kể. 3.6.4 Đánh giá hiệu quả của VPN MPLS Nhờ ưu điểm vượt trội của chất lượng dịch vụ qua mạng IP và là phương án triển khai VPN theo cơng nghệ mới, khắc phục được nhiều vấn đề mà các cơng nghệ ra đời trước nĩ chưa giải quyết được, MPLS thực sự là một lựa chọn hiệu quả trong triển khai hạ tầng thơng tin DN. Ø Sử dụng cơng nghệ tiên tiến - Cơng nghệ chuyển mạch nhãn đa giao thức MPLS là cơng nghệ mới nhất đang được ứng dụng tại đa số các quốc gia lớn như: Nhật, Mỹ, Singapore... Ø Chi phí đầu tư hiệu quả - Tận dụng khả năng xử lý của các thiết bị trong mạng lõi MPLS của nhà cung cấp dịch vụ. Giảm các chi phí đầu tư thiết bị đắt tiền tại đầu khách hàng. - Đáp ứng mơ hình điểm – đa điểm, cho phép kết nối mạng riêng với chỉ 1 đường kênh vật lý duy nhất - Chi phí sử dụng rẻ hơn tới 50% so với cơng nghệ truyền thống Ø Bảo mật an tồn - Bảo mật tuyệt đối trên mạng lõi MPLS DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 54 - MPLS VPN giữ các thơng tin định tuyến riêng biệt cho mỗi VPN, đảm bảo người dùng chỉ cĩ thể liên lạc được với các địa chỉ đã được lập sẵn cho VPN của mình. Ø Khả năng mở rộng đơn giản - Khi cĩ nhu cầu thiết lập thêm chi nhánh hoặc điểm giao dịch, khách hàng chỉ cần đăng kí thêm điểm kết nối với nhà cung cấp dịch vụ mà khơng cần bất cứ một đầu tư lại gì trên mạng hiện cĩ - Mọi cầu hình kết nối đều thực hiện tại mạng lõi MPLS, thành viên mạng khơng cần bất kì một cầu hình nào. Ø Đơn giản hĩa quản trị mạng - MPLS-VPN khơng yêu cầu các thiết bị CPE thơng minh. Vì các yêu cầu định tuyến và bảo mật đã được tích hợp trong mạng lõi. Chính vì thế việc bảo dưỡng cũng khá đơn giản, vì chỉ phải làm việc với mạng lõi. -Với quá trình quản trị và thiết lập VPN tại mạng lõi MPLS của nhà cung cấp dịch vụ sẽ giúp đơn giản hĩa tối đa cơng việc quản trị mạng trong hoạt động của doanh nghiệp. - Nhận được nhiều hỗ trợ từ nhà cung cấp. - Giảm các chi phí đầu tư thiết bị đắt tiền và phức tạp. Ø Tốc độ cao, đa ứng dụng và cam kết QoS - VPN MPLS cho phép chuyển tải dữ liệu lên tới tốc độ Gbps qua hệ thống truyền dẫn cáp quang. - Cung cấp các khả năng cam kết tốc độ và băng thơng tối thiểu (QoS). Ø Độc lập với khách hàng: - MPLS VPN cĩ cách đánh địa chỉ (gán nhãn trong mạng MPLS) hết sức linh hoạt, người dùng cĩ thể sử dụng bất cứ dải địa chỉ nào (kể cả các địa chỉ kiểm tra hoặc các địa chỉ khơng được đăng ký) hoặc cĩ thể sử sụng NAT (Network Address Translation). Mặt khác, người dùng cịn cĩ thể sử dụng các dải địa chỉ trùng hoặc giống nhau. Một điểm nổi bật khác là mạng của người dùng khơng yêu cầu các thiết bị hỗ trợ MPLS, các thiết bị đắt tiền như VPN Router với IP Sec hoặc bất cứ yêu cầu đặc biệt nào khác ngồi IP. Ø Linh hoạt và khả năng phát triển: - Với các dịch vụ VPN dựa trên IP, số lượng router trên mạng tăng nhanh chĩng theo số lượng các VPN. VPN sẽ phải chứa các bảng định tuyến ngày một lớn. MPLS VPN sử dụng một tập các BGP (Border Gateway Protocol) ngang DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 55 hàng giữa các LSR cạnh (Edge LSR), cho phép số lượng VPN khơng hạn chế và hỗ trợ nhiều dạng VPN, dễ dàng tạo thêm các VPN hoặc site mới (chỉ cần thực hiện tại router của site mới). Ø Trễ trong mạng MPLS-VPN - Rất thấp, sở dĩ như vậy là do MPLS-VPN khơng yêu cầu mã hĩa dữ liệu vì đường đi của VPN là đường riêng, được định tuyến bởi mạng lõi, nên bên ngồi khơng cĩ khả năng thâm nhập và ăn cắp dữ liệu (điều này giống với FR). Ngồi ra việc định tuyến trong MPLS chỉ làm việc ở giữa lớp 2 và lớp 3 chứ khơng phải hồn tồn ở lớp 3 vì thế giảm được một thời gian trễ đáng kể. Các thiết bị định tuyến trong MPLS là các Switch router định tuyến bằng phần cứng, vì vậy tốc độ cao hơn phần mềm như ở các router khác. 3.7 Đánh giá chi phí cung cấp dịch vụ truyền dữ liệu của một số nhà cung cấp dịch vụ tại Việt Nam 3.7.1 Leased lines Leased Lines là thế mạnh của FPT.FPT Telecom hiện đã thiết lập các kênh quốc tế kết nối đi Hồng Kơng, Singapore, Trung Quốc, Nhật, Hàn Quốc, Úc và Mỹ đạt tổng dung lượng 2,6 Gbps. Với dung lượng này, FPT Telecom đã triển khai nhiều dịch vụ truyền dữ liệu tốc độ cao dành cho đối tượng doanh nghiệp. Leased lines (gồm cĩ leased lines Internet và leased lines “điểm nối điểm”) là một trong những dịch vụ mạnh của FPT Telecom hiện nay. Ưu điểm của Leased lines là tốc độ ổn định và dễ dàng kết nối tới mọi địa điểm theo yêu cầu của khách hàng. Sử dụng dịch vụ Leased lines, khách hàng truy nhập vào Internet 24/24 thơng qua đường truyền số riêng biệt, do đĩ sẽ loại bỏ được việc phải thuê bao hàng chục đường dây điện thoại dành để kết nối Internet. Ngồi ra, việc nâng cấp lên tốc độ cao hay thay đổi cấu hình hệ thống sẽ trở nên dễ dàng hơn bởi khách hàng khơng cần phải đầu tư vào thiết bị mới hay lắp đặt một hệ thống dây cáp mới. Khi sử dụng dịch vụ Leased line, khách hàng sẽ được cung cấp khơng hạn chế địa chỉ e-mail dùng tên miền riêng. Hiện nay, ở FPT gĩi dịch vụ Leased lines tốc độ 64Kbps là 6 triệu đồng/tháng, cịn gĩi 2Mbps là 53 triệu đồng/tháng. Ngồi ra, FPT cịn cĩ một dịch vụ khá hấp dẫn với doanh nghiệp là dịch vụ truyền số liệu Leased lines “điểm nối điểm” giữa các chi nhánh của cùng cơng ty tại khu vực TP.HCM và Hà Nội với gĩi 2Mbps cĩ giá 6 triệu đồng/tháng. Dịch vụ này cĩ tốc độ từ 10-100Mbps. Chi phí sẽ căn cứ vào khoảng cách giữa hai điểm. Dịch vụ VPN MPLS kênh Bắc-Nam cũng là dịch vụ dùng để truyền dữ liệu giữa hai điểm, khơng thơng qua mơi trường Internet. Giá cước của dịch vụ này với gĩi tốc độ từ 512Kbps là 14 triệu đồng/tháng, cịn gĩi 2Mbps là 30 triệu đồng/tháng. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 56 Leased lines của VDC cĩ nhiều tốc độ, từ 128 Kbps cho đến 155Mbps với phí cài đặt ban đầu là 3,5 triệu đồng (gĩi tốc độ 64 Kbps bao gồm kênh truyền dẫn nội hạt và hịa mạng cổng kết nối Internet trực tiếp) cho đến 25 triệu đồng (gĩi tốc độ từ 2-155 Mbps), cịn cước thuê bao hằng tháng : với tốc độ 64Kbps cĩ cước thuê kênh truyền dẫn nội hạt là 676.000 đồng ; 1,5 triệu đồng là cước thuê cổng, dùng thêm sẽ được tính 540 đồng/MB, khống chế cước tối đa là 6,4 triệu đồng. Riêng gĩi cĩ tốc độ 45 Mpbs sẽ cĩ giá cước là 645,9 triệu đồng. 3.7.2 Frame Relay Frame Relay là dịch vụ truyền dữ liệu theo phương thức chuyển mạch khung với tốc độ cao, tạo ra băng thơng lớn thích hợp với các ứng dụng phức tạp. Dịch vụ này cho phép thiết lập nhiều đường kết nối ảo thơng qua một kênh duy nhất. Cơng nghệ này sẽ làm giảm thiểu chi phí mua sắm thiết bị cho doanh nghiệp. Khi sử dụng Frame Relay, khách hàng sẽ kiểm sốt được chất lượng dịch vụ và tốc độ đã đăng ký. Để sử dụng dịch vụ này, khách hàng phải trả những khoản phí : hịa mạng, thuê cổng hằng tháng và cước tốc độ (nhà cung cấp cam kết tốc độ tối thiểu). Hiện nay giá cước hịa mạng của Frame Relay thấp nhất là hai triệu đồng (cổng tốc độ 64–128 Kbps), ba triệu đồng (192-1.024 Kbps), bốn triệu đồng (1.024-2.048 Kbps); cịn cước thuê cổng tốc độ 64 Kbps (nội tỉnh là 69.000 đồng, liên tỉnh 486.000 đồng), 128 Kbps (nội tỉnh 112.000 đồng, liên tỉnh 787.000 đồng), gĩi tốc độ 2048 Kbps cĩ mức cước nội tỉnh là 621.000 đồng, cịn liên tỉnh là 4,59 triệu đồng... Cước dịch vụ Frame Relay đi quốc tế thấp nhất là 335 đơ-la Mỹ/tháng, cao nhất là 1.953 đơ-la/tháng. 3.7.3 VPN VDC cịn cĩ dịch vụ mạng riêng ảo VPN. Giá hịa mạng dịch vụ VPN là 2 triệu đồng cho gĩi tốc độ cổng từ 64-896 Kbps, gĩi từ 1.024-2 Mbps là 3 triệu đồng, cịn gĩi từ 34-155 Mbps là 10 triệu đồng. Cĩ giá khai thác thấp nhất là gĩi 64 Kbps – 1,59 triệu đồng/tháng, cịn gĩi cao nhất 155 Mbps sẽ cĩ giá 370,9 triệu đồng (gĩi dịch vụ này ít người sử dụng vì giá cước quá cao). Giá cước nĩi trên chưa cĩ 5 % thuế giá trị gia tăng. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 57 Giá cước dịch vụ VPN/VNN A- Cước cài đặt ban đầu: Tốc độ cổng Đơn giá Trong nước (VNĐ/lần/cổng) Quốc tế (USD/lần/cổng) Từ 64Kbps đến 896 Kbps 2.000.000 300 Từ 1024 Kbps đến 2Mbps 3.000.000 350 Từ trên 2Mbps đến 10Mbps 5.000.000 450 Từ trên 34Mbps, 45Mbps, 155 Mbps 10.000.000 1.000 B- Cước thuê cổng hàng tháng: Tốc độ cổng Đơn giá Trong nước(VNĐ) Quốc tế(USD) 64Kbps 1.597.000 894 128Kbps 2.584.000 1.256 192Kbps 3.258.000 1.505 256Kbps 4.043.000 1.801 384Kbps 5.031.000 2.186 512Kbps 6.238.000 2.691 768Kbps 6.842.000 3.336 896Kbps 7.080.000 3.589 1024Kbps 7.554.000 4.142 1536Kbps 9.071.000 2048Kbps 9.964.000 6.164 4 Mbps 18.060.000 9.734 6 Mbps 23.174.000 14.105 8 Mbps 27.604.000 18.158 10 Mbps 32.480.000 22.370 34 Mbps 70.660.000 48.563 45 Mbps 129.542.000 71.226 155 Mbps 370.962.000 159.348 Viettel cũng là nhà cung cấp cĩ nhiều dịch vụ truyền dữ liệu dành cho đối tượng doanh nghiệp nhất hiện nay trong các nhà khai thác dịch vụ mạng: dịch vụ VPN/MPLS, truyền dẫn tín hiệu truyền hình liên tỉnh, dịch vụ thuê kênh riêng liên tỉnh, thuê kênh riêng nội tỉnh để kết nối kênh thuê riêng liên tỉnh, thuê kênh riêng trong nước, dịch vụ thuê kênh riêng quốc tế (áp dụng cho các doanh nghiệp cung cấp DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 58 dịch vụ kết nối internet (IXP) thuê để kết nối Internet quốc tế) và dịch vụ thuê kênh riêng quốc tế. Cước gĩi dịch vụ truyền dẫn dữ liệu VPN tốc độ từ 64 Kbps đến 1024 Kbps là 1,5 triệu đồng/lần/cổng, tốc độ từ 4-10 Mbps: ba triệu đồng/lần/cổng; cước thuê dịch vụ cĩ tốc độ 64 Kbps là 1,36 triệu đồng, tốc độ 4 Mbps là 12,21 triệu đồng; cước thuê kênh tốc độ 64 Kbps là 1,08 triệu đồng/tháng, gĩi cĩ tốc độ 2Mbps là chín triệu đồng/tháng. Gĩi thuê kênh liên tỉnh (tùy thuộc vào vùng) sẽ cĩ các mức cước khác nhau, như gĩi cước 64 Kbps cĩ giá từ 1,7-6,9 triệu đồng/tháng, gĩi 128 Kbps cĩ mức cước dao động từ 2,4 đến 8,7 triệu đồng... 3.7.4 Dịch vụ MegaWAN Là dịch vụ mạng riêng ảo của Tổng cơng ty BCVT Việt Nam Cho phép kết nối các mạng máy tính của doanh nghiệp (như các văn phịng, chi nhánh, cộng tác viên từ xa, v.v... ) thuộc các vị trí địa lý khác nhau tạo thành một mạng duy nhất và tin cậy thơng qua việc sử dụng các liên kết băng rộng xDSL MegaWAN sử dụng phương thức chuyển mạch nhãn đa giao thức giao thức của mạng thế hệ tiếp theo. Là dịch vụ cung cấp kết nối mạng riêng cho khách hàng trên nền mạng IP/MPLS. Dịch vụ VPN/MPLS cho phép triển khai các kết nối nhanh chĩng, đơn giản, thuận tiện với chi phí thấp cho phép vừa truy nhập mạng riêng ảo vừa truy cập Internet nếu khách hàng cĩ nhu cầu. Cơng nghệ: sử dụng đường dây thuê bao số xDSL kết hợp cơng nghệ VPN/MPLS. Tốc độ kết nối: cung cấp các tốc độ linh hoạt mềm dẻo tuỳ theo nhu cầu của khách hàng. Khả năng đáp ứng: tại các tỉnh và thành phố trên cả nước cĩ dịch vụ ADSL, SHDSL do VNPT cung cấp. Giá cước: giá cước mềm dẻo theo từng loại tốc độ. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 59 BẢNG CƯỚC DỊCH VỤ MEGAWAN (áp dụng từ ngày 19/12/2007) Ø CƯỚC PHÍ TRẢ MỘT LẦN +Cước đấu nối hồ mạng Bảng 3-1 Loại cước Lắp đặt với đường dây điện thoại mới Lắp đặt với đường dây điện thoại cĩ sẵn Cước thuê cổng ADSL (2M/640K) 600.000 VNĐ/cổng 300.000 VNĐ/cổng Cước thuê cổng SHDSL (2M/640K) 1.000.000 VNĐ/cổng 700.000 VNĐ/cổng Cước thuê kênh tốc độ dưới 512kbps 150.000 VNĐ/lần/kênh đường lên Cước thuê kênh tốc độ từ 512Kbps đến 2Mbps 500.000 VNĐ/lần/kênh đường lên +Cước chuyển đổi Bảng 3-2 Cước chuyển đổi tốc độ cổng Cước chuyển đổi tốc độ kênh Từ cổng ADSL sang cổng SHDSL Từ cổng SHDSL sang cổng ADSL Từ dưới 512kbps lên bằng hoặc trên 512 kbps Các trường hợp khác 400.000 VNĐ/lần/cổng Khơng thu cước 400.000 VNĐ/lần/kênh 100.000 VNĐ/lần/kênh Ø Cước phí trả hàng tháng Cước thuê cổng + Cổng ADSL (2M/640K): 181.818 VNĐ/cổng/tháng + Cổng SHDSL (2M/640k): 272.727 VNĐ/cổng/tháng Cước thuê kênh đường lên (Up-link) nội tỉnh Đơn vị tính: 1000 đồng/tháng DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 60 Bảng 3-3 Tốc độ (kbps) Cước (Up-link) Tốc độ (kbps) Cước (Up-link) Tốc độ (kbps) Cước (Up-link) 64 128 768 799 1.472 1.411 128 224 832 851 1.536 1.445 192 306 896 902 1.544 1.445 256 402 960 954 1.600 1.478 320 462 1.024 1.005 1.664 1.510 384 523 1.088 1.123 1.728 1.542 448 596 1.152 1.240 1.792 1.575 512 670 1.216 1.274 1.856 1.607 576 714 1.280 1.309 1.920 1.639 640 756 1.344 1.343 1.984 1.672 704 757 1.408 1.377 2.048 1.704 Ø Cước thuê ngắn ngày Cước đấu nối hồ mạng: thu như bình thường Cước thuê cổng và thuê kênh: (Tổng cước thuê bao ngày khơng lớn hơn cước thuê tháng) Bảng 3-4 Thời gian sử dụng Cước thuê theo ngày 2 ngày đầu Bằng 1/10 cước thuê cổng, thuê kênh tháng Ngày thứ 3 đến ngày thứ 10 Bằng 1/20 cước thuê cổng, thuê kênh tháng Ngày thứ 11 trở đi Bằng 1/25 cước thuê cổng, thuê kênh tháng Ø CƯỚC TẠM NGƯNG SỬ DỤNG Áp dụng trong thời gian tạm ngưng sử dụng dịch vụ (tối thiểu là 1 tháng, tối đa là 3 tháng) Cước tạm ngưng = 30% cước thuê hàng tháng thơng thường. Tạm ngưng dưới 30 ngày vẫn tính cước trịn tháng như thơng thường. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 61 Bảng 3-5 : Bảng so sánh chi phi VPN và Leased Line Tốc độ cổng Giá cước VPN Giá cước Leased line Quốc tế (USD) Trong nước (VNĐ) 256Kbps 1.801 4.043.000 9.200.000 384Kbps 2.186 5.031.000 9.876.720 512Kbps 2.691 6.238.000 11.200.000 768Kbps 3.336 6.842.000 15.808.000 896Kbps 3.589 7.080.000 14.700.000 1024Kbps 4.142 7.554.000 16.000.000 1536Kbps 9.071.000 20.400.000 2048Kbps 6.164 9.964.000 24.000.000 4 Mbps 9.734 18.060.000 44.800.000 6 Mbps 14.105 23.174.000 8 Mbps 18.158 27.604.000 83.200.000 10 Mbps 22.370 32.480.000 34 Mbps 48.563 70.660.000 299.200.000 45 Mbps 71.226 129.542.000 324.000.000 155 Mbps 159.348 370.962.000 3.7.5 Đánh giá chung Sau khi khảo sát một vài giá cước của một số nhà cung cấp dịch vụ, ta nhận thấy, cước phí để thiết lập mạng riêng ảo thì rẻ hơn rất nhiều lần so với các dịch vụ Frame Relay, ATM, leased line. Tuy nhiên, giữa giá cả và chất luợng dịch vụ cĩ mối quan hệ tỉ lệ nghịch với nhau. Chi phí thiết lập mạng VPN tuy rẻ nhưng chất lượng vẫn khơng cao bằng các đường leased line nhưng vẫn cĩ thể chấp nhận được. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 62 KẾT LUẬN Mạng VPN đã đưa ra một giải pháp kết nối các mạng riêng lại với nhau thơng qua việc một mạng cơng cộng bằng cách sử dụng các đường hầm để đảm bảo sự riêng tư và tồn vẹn dữ liệu. Thay vì dùng kết nối phức tạp, đắt tiền như các kênh thuê riêng(leased line), VPN đã tạo ra các liên kết ảo thơng qua mạng cơng cộng để kết nối các mạng riêng lại với nhau mà vẫn đảm bảo các yêu cầu về bảo mật, khả năng truyền tải thơng tin và độ tin cậy của mạng với chi phí thấp. Chi phí để thiết lập một mạng VPN là rất rẻ, nhưng chất lượng VPN phụ thuộc nhiều vào chất lượng mạng Internet. Sự quá tải hay tắt nghẽn mạng cĩ thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPN. Qua đề tài này, chúng em đã hiểu sâu hơn về cơng nghệ mạng riêng ảo và nhận ra các ưu, nhược điểm cũng như đánh giá đuợc hiệu quả sử dụng của từng loại VPN. Khả năng ứng dụng vào thực tế của đề tài này là nĩ làm nền tản cho việc lựa chọn cấu trúc trong việc thiết kế một mạng VPN trong thực tế. Khi thiết kế một mạng VPN thì người thiết kế phải căn cứ vào chi phí đầu tư của doanh nghiệp, mức độ bảo mật dữ liệu, quy mơ của mạng và các nhu cầu thực tế của cơ quan mà lựa chọn phương án, cấu trúc cũng như loại VPN nào để xây dựng một mạng VPN tối ưu nhất. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 63 THUẬT NGỮ VIẾT TẮT AAA Authentication, Authorization and Accounting Chứng thực, trao quyền và thanh tốn AH Authentication Header Xác thực tiêu đề ATM Asynchronous Transfer Mode Chế độ Truyền tải Bất đồng bộ BGP Border Gateway Protocol Giao thức cổng biên CBC Cipher Block Chain Khối mật mã CHAP Challenge Handshake Authentication Protocol Giao thức nhận thực bắt tay thách thức DES Data Encryption Standard Chuẩn mã dữ liệu DSL Digital Subscriber Line Đường dây thuê bao số EAP Extensible Authentication Protocol Giao thức chứng thực mở rộng ESP Encapsulating Security Payload Bọc gĩi bảo mật tải FR Frame Relay Chuyển tiếp khung FTP File Transfer Protocol Giao thức truyền tập tin GRE Generic Routing Encapsulation Sự đĩng gĩi định tuyến tổng quát IETF Internet Engineering Task Force Lực lượng đặc trách kỹ thuật Internet IKE Internet Key Exchange Trao đổi khĩa Internet IPsec IP Security An ninh IP (IETF) ISDN Integrated Service Digital Network Mạng số liên kết đa dịch vụ ISP Internet Service Provider Nhà cung cấp dịch vụ Internet L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2 L2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp 2 LAC L2TP Access Concentrator Bộ tập trung truy nhập L2TP LCP L2TP Control Protocol Giao thức điều khiển L2TP LNS L2TP Network Server Máy phục vụ mạng L2TP MAC Media Access Control Điều khiển truy nhập phương tiện MPLS Multi-Protocol Label Switching Chuyển mạch nhãn đa giao thức MPOA MultiProtocol Over ATM Đa giao thức qua ATM NAS Network Access Server Máy chủ truy nhập mạng OSI Open System Interconnection Kết nối các hệ thống mở PAP Password Authentication Protocol Giao thức xác thực mật khẩu PPP Point-to-Point Protocol Giao thức liên kết điểm-điểm PPTP Point-to-Point Tunneling Protocol Giao thức tạo đường hầm điểm nối điểm QoS Quality of Service Chất lượng dịch vụ DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 64 RADIUS Remote Authentication Dial in User Sevice Dịch vụ qua số kết nối chứng thực từ xa RAS Remote Access Server Máy chủ truy cập từ xa SA Structured Analysis phân tích theo cấu trúc SMLI Stateful Multi - Layer Inspection Kiểm tra đa lớp trạng thái TACACS Terminal Access Controller Access Control System Hệ thống điều khiển truy nhập bộ điều khiển truy nhập đầu cuối TCP Transmission Control Protocol Giao thức điều khiển truyền dẫn UDP User Datagtam Protocol Giao thức gĩi tin người dùng VPDNs Virtual Private Dial Network Mạng quay số riêng ảo WAN Wide Area Network Mạng diện rộng DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 65 TÀI LIỆU THAM KHẢO [1] Meeta Gupta, “Building a Virtual Private Network”, Premier Press © 2003 [2] Michael H. Behringer, Monique J. Morrow, “MPLS VPN Security”,Cisco Press, 2005 [2] Ths.Trần Cơng Hùng, “Kỹ thuật mạng riêng ảo”, Nhà xuất bản bưu điện,2002 [3] [4] [5] [6] [7] DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM ._.