xây dựng mạng riêng ảo vpn

74 561 0
xây dựng mạng riêng ảo vpn

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số 8 Chương 1 Giới thiệu chung về VPN Internet ngày một phổ biến và gia tăng một cách mạnh mẽ, các công ty kinh doanh đầu tư vào nó như một phương tiện quảng bá công ty của họ và đồng thời cũng mở rộng các mạng mà họ sở hữu. Ban đầu là các mạng nội bộ, mà các site được bảo mật bằng mật khẩu được thiết kế cho việc sử dụng chỉ bởi các thành viên trong công ty. Có rất nhiều công ty đang tạo ra các mạng riêng ảo VPN để điều tiết và quản lý các nhân viên hay các văn phòng đại diện từ xa. VPN là từ thường dùng trong suốt khoảng mấy năm qua. Từ đó, chúng ta hiểu về nó và ứng dụng VPN vào những mục đích phục vụ cuộc sống như trong kinh doanh và văn hoá hiện đại. Có thể nói rằng VPN là một sự kết hợp của đường hầm, sự mật mã, sự xác thực, công nghệ điều khiển truy cập và sự phục vụ đã từng lưu thông trên Internet, mạng IP được quản trị hoặc mạng Backbone của nhà cung cấp dịch vụ. Phạm vi đi lại của đường trục của mạng này dùng sự kết hợp của công nghệ truy cập bao gồm frame relay, ISDN, ATM hoặc Aimple-Dial Access. VPN có thể được hiểu như là mạng kết nối các site người dùng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật một mạng riêng biệt. Tuy được xây dựng trên cơ sở hạ tầng sẵn có của mạng công cộng nhưng VPN lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường thuê riêng. Chương này trình bày nhưng khái niệm cơ bản về VPN, các chức năng và đặc điểm của VPN, từ đó làm cơ sở để phân loại VPN và đưa ra các thuận lợi cũng như khó khăn khi sử dụng các loại hình VPN khác nhau. Trong chương này chúng ta giới thiệu về một số nội dung sau: • Khái niệm về VPN • Chức năng và lợi ích của VPN • Mô hình VPN • Phân loại VPN 1.1 Khái niệm về VPN Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung, thường là Internet để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Trong thời gian gần đây cơ sở hạ tầng mạng IP đã làm cho VPN thực sự có tính GVHD: TS.Trần Văn Dũng 1 SVTH: Bùi Quang Huy Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số 8 mới mẻ và tốt hơn. Các kiểu mạng riêng ảo xây dựng trên cơ sở hạ tầng mạng Internet công cộng đã mang lại một khả năng mới, tốt hơn hiệu quả và linh động hơn cho người sử dụng. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường mạng riêng (Leased Line), mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Ngày nay với sự phát triển của cộng nghệ và bùng nổ của mạng Internet, khả năng của VPN ngày càng được hoàn thiện hơn về dịch vụ cũng như khai thác được hết các ưu điểm của nó. Mạng riêng ảo được định nghĩa như là một kết nối mạng triển khai trên cơ sở hạ tầng mạng công cộng với các quản lý và bảo mật giống như mạng cục bộ. Mạng riêng ảo như là sự mở rộng của mạng LAN mà không hạn chế về mặt khoảng cách, mà không thay đổi về sự bảo mật của nó trong công việc. Sử dụng Internet cho truy cập từ xa sẽ tiết kiệm được chi phí. Ta có thể quay số ở bất cứ đâu chỉ cần tại đó có nhà cung cấp dịch vụ (ISP) có thể truy nhập đến điểm kết nối. Nếu ISP có các điểm POP mang tính quốc gia thì đối với mạng LAN sẽ chỉ là các cuộc gọi nội hạt. Một vài ISP có thể có mở rộng quốc tế hoặc có sự thỏa thuận với các ISP khác. Việc lựa chọn ISP sẽ rẻ hơn cho việc truy cập từ xa đối với những người sử dụng roarming. VPN được thiết lập giữa các Router tại hai chi nhánh của công ty thông qua Internet. Hơn nữa, VPN cho phép hợp nhất các kết nối Internet và WAN vào một Router và một đường truyền, điều này giúp tiết kiệm chi phí thiết bị và hạ tầng cơ sở viễn thông. Tính cá nhân của VPN tin cậy thể hiện ở chổ nhà cung cấp dịch vụ sễ đảm bảo không cho ai sử dụng cùng mạch thuê riêng đó. Người dùng của mạng riêng ảo loại này tin cậy hoàn toàn vào nhà cung cấp dịch vụ để duy trì tính toàn vẹn và bảo mật dữ liệu cá nhân nội bộ của người dùng khi truyền trên mạng. Các mạng riêng xây dựng trên các đường dây thuê thuộc loại tin cậy . Mạng riêng ảo an toàn là các mạng riêng ảo có thể sử dụng mật mã về thông tin của dữ liệu. Dữ liệu ở đâu ra của một mạng được mã hoá rồi chuyển vào mạng công cộng như các dữ liệu khác để truyền tới đích và sau đó được giải mã tại phía thu một cách bình thường. Dữ liệu được mật mã và đi trong mạng như là đi một đường riêng được gọi là đường hầm, dữ liệu được bảo vệ từ nguồn tới đích. Có thể có sự tấn công bên ngoài nhưng dữ liệu được mã hoá nên không thể đọc được. GVHD: TS.Trần Văn Dũng 2 SVTH: Bùi Quang Huy Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số 8 Về giao thức sử dụng trong việc mã hoá để đảm bảo an toàn là IPSec. Đó là một tiêu chuẩn cho mã hoá cũng như xác thực các gói IP tại tầng mạng. IPSec hỗ trợ một tập hợp các giao thức mã hoá với hai mục đích: An ninh gói mạng và thay đổi các khoá mã hoá. Mạng riêng ảo xây dựng dựa trên Internet, sử dụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu các site của mạng Tóm lại mạng riêng ảo VPN là thuật ngữ được các nhà cung cấp dịch vụ và các khai thác sử dụng. Như đúng tên gọi của nó, VPN là một mạng riêng của người dùng dựa trên cơ sở hạ tầng mạng công cộng. Chúng có thể được tạo ra bằng cách sử dụng phần mềm, phần cứng hay kết hợp cả hai phần đó để tạo ra một kết nối bảo mật giữa hai mạng riêng đi qua mạng công cộng. 1.2 Chức năng và lợi ích của VPN 1.2.1 Chức năng của mạng riêng ảo Tính xác thực Thiết lập kết nối trong VPN cả hai phía của thiết bị đầu cuối phải xác thực lẫn nhau để khẳng định một điều là thông tin mình muốn trao đổi đúng với đối tượng mình mong muốn không phải là một người khác mà mình không mong muốn. Tính Toàn vẹn Khi truyền dữ liệu việc đảm bảo là dữ liệu không bị mất đi hoặc bị xáo trộn là một việc làm vô cùng quan trọng. Vì vậy VPN đã làm được điều đó một cách hoàn hảo. Tính bảo mật Việc mã hoá các dữ liệu trước khi đưa vào truyền trong mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy, thì việc đánh cắp thông tin dữ liệu là vô cùng khó khăn đối với người khác. 1.2.2 Tiện ích chính của mạng riêng ảo VPN đem lại lợi ích thực sự và tức thời cho công ty và các doanh nghiệp trong công việc kinh doanh của mình. Có thể dùng VPN để đơn giản hoá việc truy cập đối với các nhân viên làm việc và người dùng lưu động, mở rộng mạng nội bộ đến từng văn phòng chi nhánh, thậm chí triển khai mạng mở rộng đến tận khách hàng và các đối tác chủ chốt và điều quan trọng là những công việc trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng. Những lợi ích của VPN có thể được dẫn dưới đây. Mặt kinh tế GVHD: TS.Trần Văn Dũng 3 SVTH: Bùi Quang Huy Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số 8 Khi sử dụng mạng riêng ảo VPN các công ty có thể giảm chi phí được tới một cách tối đa trong việc đầu tư và vận hành chúng. Sử dụng VPN thì các công ty chỉ việc thuê các kênh riêng trên hạ tầng chung của các nhà cung cấp dịch vụ viễn thông không cần phải đầu tư thiết bị đầu cuối cũng như thiết bị truyền dẫn. Các thiết bị truyền dẫn là tương đối đắt, nên việc giảm chí phí khi đầu tư khi sử dụng VPN là quá rõ ràng và thiết yếu. Giảm được các loại cước phí đường dài truy cập VPN cho các nhân viên di động và các nhân viên đi công tác xa công ty nhờ vào việc họ truy nhập vào mạng thông qua các điểm kết nối ở nơi mình cư trú, hạn chế gọi đường dài tới các modem tập trung. Tính linh hoạt Tính linh động ở đây không chỉ thể hiện trong quá trình vận hành và khai thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng của người sử dụng. Người sử dụng có thể sử dụng nhiều kết nối hay các đối tượng di chuyển do đặc thù công việc. Khách hàng của VPN qua mạng mở rộng này, cũng có quyền truy cập và khả năng như nhau đối với các dịch vụ trung tâm bao gồm. Cũng như các ứng dụng thiết yếu khác, khi truy cập chúng thông qua những phương tiện khác nhau như qua mạng cục bộ LAN, modem, modem cáp, đường dây thuê bao số v v, mà không cần quan tâm đến những phần phức tạp bên dưới. Mở rộng và phát triển Như chúng ta đã biết mạng riêng ảo VPN được phát triển và hoạt động dựa trên mạng công cộng. Ngay nay mạng Internet có mặt khắp nơi nên việc đó tao cho việc xây dựng và phát triển mạng VPN ngày càng đơn giản. Việc kết nối giữa các chi nhánh ở xa với công ty là quá đơn giản thông qua đường dây điện thoại hoặc qua đường dây số DSL. Việc nâng cấp cũng qua đơn giản khi băng thông đường truyền lớn. Và việc gỡ bỏ VPN cũng quá đơn giản khi không cần thiết. 1.2.3 Nhược điểm và nhưng giải pháp khắc phục Sự tin cậy và thực thi Mạng riêng ảo sử dụng các phương pháp mã hoá để bảo mật dữ liệu, và sử dụng một số hàm mật mã phức tạp nên việc đó đã làm cho dụng lượng của máy chủ là khá nặng và việc ấy rất ảnh hưởng đến việc xử lý tốc độ của máy. Khi dữ liệu được truyền tải trong VPN quá lớn thì việc tắc nghẽn và có thể mất thông tin dữ liệu là chuyện thường xẩy ra. Việc thiết lập các dịch vụ proxy và một số dịch vụ khác để có thể hạn chế và điều chỉnh được lưu lượng truyền tải trong mạng một các hợp lý nhất. GVHD: TS.Trần Văn Dũng 4 SVTH: Bùi Quang Huy Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số 8 Sự rủi ro về an ninh Như chúng ta đã biết thì mạng riêng ảo là dùng chung đường truyền của mạng công cộng nên việc bị tấn công là không thể tránh khỏi và điều đó như là nhưng điều được cảnh báo trước. Nên các nhà cung cấp dịch đã đưa ra nhưng giải pháp an toàn cho việc dùng mạng riêng ảo, nhưng vấn đề an toàn không bao giờ là tuyệt đối. Vấn đề càng đưa các giải pháp bảo mật vào bao nhiều thì nó cũng ảnh hưởng đến giá thành của dịch vụ, và điều đó là một điều không mong muốn từ nhà cung cấp dịch vụ cũng như người sử dụng dịch vụ. Nên việc sử nhưng giải pháp trong VPN cũng phải được cân nhắc làm sao tối ưu nhất. 1.3 Mô hình VPN Hai mô hình triển khai VPN, dự trên các yêu cầu của người dùng và dựa trên mạng. - Mô hình dựa trên khách hàng còn được gọi là mô hình chồng lấn, trong đó VPN được cấu hình trên các thiết bị của người dùng và sử dụng giao thức đường hầm qua mạng công cộng. Nhà cung cấp dịch vụ sẽ đưa các mạng riêng ảo giữa các site của người dùng như là các đường kết nối riêng. - Mô hình dựa trên mạng được gọi là mô hình ngang hàng, trong đó VPN được cấu hình trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung cấp dịch vụ. Các nhà cung cấp dịch vụ và người dùng trao đổi thông tin dữ liệu qua định tuyến lớp 3, các nhà cung cấp dịch vụ sẽ sắp đặt dữ liệu từ các site người dùng vào đường đi tối ưu nhất mà không cần phải có sự tham gia của người dùng. 1.3.1 Mô hình VPN chồng lấn Mô hình chồng lấn VPN ra đời rất sớm và được triển khai dưới nhiều công nghệ khác nhau. Lúc đầu VPN được xây dựng bằng cách sử dụng các đường thuê riêng để cung cấp và kết nối giữa các người dùng ở các vị trí khác nhau. Người dùng sử dụng dịch vụ kênh thuê riêng của nhà cung cấp dịch vụ. Các đường thuê riêng này được thiết lập giữa các site của người dùng cần kết nối. Đường này là đường dùng riêng cho người dùng khi có nhu cầu sử dụng. Frame Relay được xem như là một công nghệ VPN được đua ra trong những năm 1990, vì nó có thể đáp ứng kết nối cho người dùng như dịch vụ thuê kênh riêng (leased line), ở đây người dùng không được cung cấp các đường dành riêng cho mỗi người dùng, người dùng sử dụng một đường chung nhưng được chỉ định các mạch ảo. Các mạch ảo này sẽ đảm bảo lưu lượng cho mỗi người dùng là riêng biệt. GVHD: TS.Trần Văn Dũng 5 SVTH: Bùi Quang Huy Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số 8 Cung cấp mạch ảo cho người dùng nghĩa là nhà cung cấp dịch vụ đã xây dựng một đường hầm riêng cho dữ liệu người dùng đi qua mạng dùng chung của nhà cung cấp dịch vụ. Sau này công nghệ ATM ra đời, về cơ bản ATM cũng hoạt động giống như Frame Relay nhưng đáp ứng tốc độ truyền dẫn cao hơn. Người dùng thiết lập việc kết nối giữa các thiết bị đầu phía người dùng CE với nhau qua kênh ảo. Giao thức định tuyến chạy trực tiếp giữa các Router người dùng thiết lập mối quan hệ cận kề và trao đổi thông tin định tuyến với nhau. Nhà cung cấp dịch vụ không thể biết đến thông tin định tuyến của người dùng trao đổi. Nhiệm vụ của nhà cung cấp dịch vụ trong mô hình này chỉ là đảm bảo truyền dữ liệu điểm - điểm giữa các site của người dùng. VPN chồng lấn còn được triển khai dưới dạng đường hầm (Tunneling). Việc triển khai thành công các công nghệ gắn với IP nên một vài nhà cung cấp dịch vụ bắt đầu triển khai VPN qua IP. Nếu người dùng nào muốn xây dựng mạng riêng của họ qua mạng công cộng thì có thể dùng giải pháp này là hợp lý nhất vì chi phí thấp. Bên cạnh lý do kinh tế, mô hình đường hầm còn đáp ứng cho người dùng việc bảo mật dữ liệu và thông tin trên đường truyền. Hai công nghệ VPN đường hầm phổ biến là IPSec và Gói định tuyến chung (GRE). Các nhà cung cấp dịch vụ cam kết về QoS trong mô hình overlay VPN thường là cam kết về băng thông trên một mạch ảo (VC), giá trị này được gọi là tốc độ thông tin ràng buộc (CIR). Băng thông có thể sử dụng được tối đa trên một kênh ảo đó, giá trị này được gọi là tốc độ thông tin tối đa (PIR). Việc cam kết này được thực hiện thông qua các thống kê tự nhiên của dịch vụ lớp 2 nhưng lại phụ thuộc vào chiến lược của nhà cung cấp. Điều này có nghĩa là tốc độ cam kết không thật sự được bảo đảm mặc dù nhà cung cấp có thể đảm bảo tốc độ lớn nhất. Cam kết về băng thông cũng chỉ là cam kết về hai điểm trong mạng người dùng. Nếu không có ma trận lưu lượng đầy đủ cho tất cả các lớp lưu lượng thì thật khó có thể thực hiện cam kết này cho người dùng trong mô hình overlay. Để làm được việc này bằng cách tạo ra nhiều kết nối, như trong công nghệ chuyển mạch khung Frame Relay hay chuyển mạch không đồng bộ ATM là có các mạch ảo cố định (PVC) giữa các site người dùng. Tuy nhiên, kết nối mạng lưới rộng thì chỉ làm tăng thêm chi phí của mạng. Nên để cam kết theo lời hứa của mình thì việc tính toán lưu lượng đường truyền phải cẩn thận, và chính xác nhất. GVHD: TS.Trần Văn Dũng 6 SVTH: Bùi Quang Huy Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số 8 Hình 1.1: Mô hình VPN chồng lấn Một số ưu điểm của VPN chồng lấn • Đó là mô hình dễ thực hiện, nhìn theo quan điểm của người dùng và của cả nhà cung cấp dịch vụ. • Nhà cung cấp dịch vụ không tham gia vào định tuyến người dùng trong mạng VPN chồng lấn. Nhiệm vụ của họ là vận chuyển dữ liệu điểm - điểm giữa các site của người dùng, việc đánh dấu điểm tham chiếu giữa nhà cung cấp dịch vụ và người dùng sẽ quản lý dễ dàng hơn. Hạn chế của mô hình VPN chồng lấn • VPN thích hợp trong các mạng không cần độ dự phòng với ít site trung tâm và nhiều site ở đầu xa, nhưng lại khó quản lý nếu như cần nhiều cấu hình nút khác nhau. • Việc cung cấp càng nhiều mạch ảo đòi hỏi phải có sự hiểu biết sâu sắc về loại lưu lượng giữa hai site với nhau mà điều này thường không thật sự thích hợp. • Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo ra một lớp mới không cần thiết đối với các nhà cung cấp hầu hết chỉ dựa trên IP, dẫn đến sự phải có sự đầu tư lớn trong việc này. 1.3.2 Mô hình VPN ngang cấp Với những nhược điểm của VPN chồng lấn thì việc đưa ra mô hình VPN ngang cấp để khắc phục những nhược điểm đó và chuẩn hoá việc truyền dữ liệu qua mạng đường trục. Với mô hình này các nhà cung cấp dịch vụ sẽ tham gia vào hoạt động định tuyến GVHD: TS.Trần Văn Dũng 7 SVTH: Bùi Quang Huy Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số 8 của người dùng. Tức là Router biên mạng nhà cung cấp (Provider Edge - PE) thực hiện trao đổi thông tin định tuyến trực tiếp với Router CE của người dùng. Hình 1.2: Mô hình VPN ngang cấp Vùng ở giữa bao gồm tập hợp một hay nhiều nhà cung cấp dịch vụ VPN. Xung quanh là các site tạo nên các kết nối mạng VPN. Trong hình này thể hiện hai mạng VPN là A và B. Mỗi site của VPN A kết nối với nhà cung cấp dịch vụ VPN thông qua một bộ định tuyến biên khách hàng (CE). Mỗi site có thể có một hay nhiều bộ định tuyến CE ví dụ như site 1 trong VPN B có hai CE là CE 1 B1 và CE 2 B1 còn site 3 trong VPN B chỉ có 1 CE đó là CE B3 . Hình vẽ còn thể hiện các đích có thể truy nhập đến trong mỗi site Về phía nhà sử dụng dịch vụ, mỗi bộ định tuyến CE được kết nối đến một bộ định tuyến biên nhà cung cấp dịch vụ (PE). Lưu ý cùng một bộ định tuyến PE có thể kết nối các site thuộc nhiều VPN khác nhau, hơn nữa các site này có thể sử dụng cùng địa chỉ IP cho các đích trong các site (địa chỉ IP phải là duy nhất trong một VPN, tuy nhiên nó không nhất thiết phải là duy nhất trong nhiều VPN). Ví dụ như PE2 được kết nối tới các site thuộc VPN A (site 2) và VPN B (site 2). Hơn nữa cả hai site này đều sử dụng cùng một miền địa chỉ là 192.168.2.12 cho các đích bên trong chúng. Một site có thể được kết nối tới một hoặc nhiều bộ định tuyến PE, như site 1 của VPN B được kết nối tới PE1 và PE2. Bộ định tuyến loại thứ 3 được thể hiện trên hình là bộ định tuyến nhà cung cấp dịch vụ (P). Các bộ định tuyến loại này không kết nối các site của người dùng. Việc cung cấp băng thông cũng đơn giản hơn bởi vì người dùng chỉ phải quan tâm đến băng GVHD: TS.Trần Văn Dũng 8 SVTH: Bùi Quang Huy Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số 8 thông đầu vào và ra ở mỗi site mà không cần quan tâm đến toàn bộ lưu lượng từ site này đến site kia như trong mô hình VPN chồng lấn. Khả năng mở rộng trong mô hình VPN ngang hàng dễ dàng hơn vì nhà cung cấp dịch vụ chỉ cần thêm vào một site và thay đổi cấu hình trên bộ định tuyến PE. Trong mô hình VPN chồng lấn, nhà cung cấp dịch vụ phải tham gia vào toàn bộ tập hợp các kênh ảo từ site này đến site khác của site của VPN người dùng. Nhà cung cấp dịch vụ có thể triển khai hai hiệu ứng dụng VPN ngang hàng là chia sẽ bộ định tuyến dành riêng cho mỗi kênh thuê bao. Mô hình VPN ngang cấp đã giải quyết được các hạn chế của VPN chồng lấn: Việc định tuyến đơn giản hơn khi Router người dùng chỉ trao đổi thông tin định tuyến với một hoặc một vài Router PE. Trong khi ở mô hình chồng lấn VPN, số lượng Router láng giềng có thể phát triển với số lượng lớn. Định tuyến giữa các site người dùng luôn luôn được tối ưu vì nhà cung cấp dịch vụ biết Topology mạng người dùng và do đó có thể thiết lập định tuyến tối ưu cho các Route của họ. Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng VPN ngang cấp: Phương pháp chia sẻ Router: Router dùng chung, tức là người dùng VPN chia sẽ cùng Router biên mạng nhà cung cấp. Ở phương pháp này, nhiều người dùng có thể kết nối đến cùng Router PE. Hình 1.3: Mô hình VPN ngang cấp dùng Router chung Phương pháp chia sẻ bộ định tuyến Trong mạng VPN các người dùng sử dụng và cùng chia sẻ một bộ định tuyến biên mạng nhà cung cấp PE. Ở phương pháp này, nhiều người dùng có thể kết nối đến cùng GVHD: TS.Trần Văn Dũng 9 SVTH: Bùi Quang Huy Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số 8 một bộ định tuyến PE. Do đó, trên bộ định tuyến này phải cấu hình một dang sách truy cập mạng (Access List) cho mỗi giao diện PE-CE để đảm bảo chắc chắn sự cách ly giữa các người dùng VPN. Đồng thời ngăn chặn VPN của người dùng này thực hiện các tấn công từ chối dịch vụ DoS (Denial of Serverce) vào VPN của người dùng khác. Nhà cung cấp dịch vụ chia các phần trong không gian địa chỉ của nó cho người dùng và quản lý việc chọn lọc gói tin trên bộ định tuyến PE. Nên việc các nhà cung cấp dịch vụ phải quan tâm và đầu tư vào vấn để bảo mất dữ liệu của mỗi người dùng. Phương pháp sử dụng bộ định tuyến dành riêng Là phương pháp mà mỗi người dùng VPN có bộ định tuyến PE riêng biệt dành riêng. Trong phương pháp này, người dùng VPN chỉ truy cập đến các bộ định tuyến trong bảng định tuyến PE dành riêng mà không ảnh hưởng đến các bộ định tuyến khác trong mạng. Mỗi bộ định tuyến sử dụng một giao thức định tuyến riêng để tạo ra bảng định tuyến cho mỗi VPN. Các bảng định tuyến này được tạo ra riêng biệt khác nhau để có sự phân biệt giữa các VPN. Phương pháp dùng chung bộ định tuyến rất khó duy trì vì nó cần phải có dải truy nhập dài và phức tạp trên mỗi giao diện của bộ định tuyến. Còn trong phương pháp này dùng bộ định tuyến riêng, mặc dù không phức tạp về cấu hình và dễ duy trì, nhưng nhà cung cấp dịch vụ phải đầu tư lớn để có thể hoạt động tốt hệ thống của mình và phục vụ tốt nhu cầu của người dùng. Nhưng hạn chế của mô hình VPN ngang hàng là nhà cung cấp dịch vụ phải đáp ứng được định tuyến người dùng cho đúng và bảo đảm việc hội tụ của mạng người dùng khi có lỗi liên kết. Ngoài ra bộ định tuyến PE của nhà cung cấp dịch vụ phải mang tất cả các tuyến của người dùng. 1.4 Phân loại VPN VPN là một công nghệ mà nhà sản xuất đưa ra nhằm đáp ứng được một số nhu cầu cơ bản sau đây: • Cung cấp được nhiều ứng dụng khác nhau trong cùng một dịch vụ khi người dùng yêu cầu. • Có thể điều khiển được quyền truy cập của người dùng, các nhà cung cấp dịch vụ cũng như các đối tượng bên ngoài khác. Dựa vào các ứng dụng cũng như nhưng đặc điểm của VPN mà người ta chia thành ba loại VPN cơ bản. GVHD: TS.Trần Văn Dũng 10 SVTH: Bùi Quang Huy [...]... nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số 1.4.3 VPN mở rộng VPN mở rộng (Extranet VPN) được cấu hình như một VPN điểm tới điểm, cung cấp đường hầm bảo mật giữa các người dùng, nhà cung cấp và đối tác thông qua hạ tầng mạng công cộng Kiểu VPN này sử dụng các kết nối luôn được bảo mật và không bị cô lập với mạng bên ngoài như các trường hợp VPN cục bộ hay truy nhập từ xa Hình 1.8: Mô hình VPN. .. khả năng xây dựng các VPN nội bộ, mở rộng cũng như các VPN truy nhập từ xa Các site của VPN thuộc về một công ty thì VPN đó được gọi là VPN cục bộ, còn nếu các site của VPN thuộc về những công ty khác thì được gọi là VPN mở rộng Một mô hình hệ thống cung cấp dịch vụ MPLS -VPN được minh hoạ như hình dưới đây GVHD: TS.Trần Văn Dũng 23 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường... nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số 2.3.2 Mô hình mạng riêng ảo lớp ba (L 3VPN) Cấu tạo của mô hình mạng riêng ảo lớp ba (L 3VPN) được chia thành hai lớp, tương ứng với các lớp 3 và lớp 2 của mô hình OSI L 3VPN dựa trên RFC 2547bit, mở rộng một số đặc tính cần thiết của giao thức cổng biên BGP và tập trung vào hướng đa giao thức của BGP nhằm chia sẽ thông tin định tuyến qua mạng lõi... mô hình MPLS -VPN 2.3.1 Mô hình mạng riêng ảo tầng 2 (L 2VPN) Mô hình mạng riêng ảo lớp 2 được phát triển và hoàn thiện và đang được chuẩn hoá và đang được dần hoàn thiện L 2VPN hướng tới việc triển khai các đường hầm qua mạng MPLS để thực hiện các kiểu lưu lượng khác nhau Trong chuẩn xây dựng L 2VPN có hai dạng cơ bản là: • Điểm tới điểm: là công nghệ thiết lập đường dẫn chuyển mạch ảo qua mạng công cộng... tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số Hình 1.9: Một ví dụ về VPN mở rộng truyền thống Mạng mở rộng truyền thống rất tốn kém do có nhiều đoạn mạng riêng biệt trên mạng nội bộ kết hợp lại với nhau để tạo ra một mạng mở rộng Ðiều này làm cho khó triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân trong công việc bảo trì và quản trị Thêm nữa là mạng mở rộng... cụ thể Chương 2 Mạng riêng ảo VPN trong MPLS và các giao thức VPN MPLS -VPN như là sự kết hợp các ưu điểm của hai mô hình công nghệ mạng riêng ảo đó là chồng lấn và ngang hàng Khi thiết lập các mạng riêng ảo trên nền MPLS cho phép đảm bảo định tuyến một cách tối ưu giữa các site người dùng, phân biệt địa chỉ người dùng thông qua nhận dạng tuyến và hỗ trợ xây dựng các mô hình VPN phức tạp trên cơ sở đích... với VPN mở rộng • Trong công việc bảo dưỡng có thể thực hiện được khi mạng đang hoạt động không gây ảnh hưởng nhiều đến tốc độ cũng như tính bảo mật của nó • VPN được xây dựng dựa trên mạng công cộng nên nên nhà cung cấp dịch vụ có thể đa dạng nhiều loại gói cước khác nhau phù hợp với mỗi đối tượng người dùng GVHD: TS.Trần Văn Dũng 16 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN. .. quyết vấn đề trên, mạng WAN backbone được thay thế bởi các kết nối Internet với chi phí thấp, điều này có thể một lượng chi phí đáng kể của việc triển khai mạng cục bộ, xem hình bên dưới: GVHD: TS.Trần Văn Dũng 13 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số Hình 1.7: Cấu hình cục bộ trên cơ sở VPN Nhưng ưu điểm của mạng VPN cục bộ • Mạng VPN cục bộ có thể được... hình VPN và sơ lược một số phương pháp cơ bản để thiết lập VPN Với những lợi ích cũng như một số nhược điểm của VPN trong GVHD: TS.Trần Văn Dũng 17 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số quá trình triển khai trong thực tế, chương sau sẽ đi sâu hơn vào việc triển khai cũng như nhưng tính năng tiêu biểu của VPN trên một số mô hình mạng cụ thể Chương 2 Mạng riêng. .. nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số • VPN truy nhập từ xa • VPN cục bộ • VPN mở rộng 1.4.1 VPN truy nhập từ xa Những thành phần chính trong mô hình VPN truy nhập từ xa : • Máy chủ của hệ thống truy nhập từ xa (RAS) được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới Nó chịu trách nhiệm điều hành toàn bộ hệ thống thông tin và dữ liệu nhận và gửi qua mạng này . làm cho VPN thực sự có tính GVHD: TS.Trần Văn Dũng 1 SVTH: Bùi Quang Huy Đồ án tốt nghiệp Xây dựng mạng riêng ảo VPN Trường T/C nghề Số 8 mới mẻ và tốt hơn. Các kiểu mạng riêng ảo xây dựng trên. vẹn và bảo mật dữ liệu cá nhân nội bộ của người dùng khi truyền trên mạng. Các mạng riêng xây dựng trên các đường dây thuê thuộc loại tin cậy . Mạng riêng ảo an toàn là các mạng riêng ảo có thể. 2 Mạng riêng ảo VPN trong MPLS và các giao thức VPN MPLS -VPN như là sự kết hợp các ưu điểm của hai mô hình công nghệ mạng riêng ảo đó là chồng lấn và ngang hàng. Khi thiết lập các mạng riêng ảo

Ngày đăng: 02/02/2015, 19:39

Từ khóa liên quan

Mục lục

  • Chương 1

  • Giới thiệu chung về VPN

    • 1.1 Khái niệm về VPN

    • 1.2 Chức năng và lợi ích của VPN

      • 1.2.1 Chức năng của mạng riêng ảo

      • 1.2.2 Tiện ích chính của mạng riêng ảo

      • 1.2.3 Nhược điểm và nhưng giải pháp khắc phục

    • 1.3 Mô hình VPN

      • 1.3.1 Mô hình VPN chồng lấn

      • 1.3.2 Mô hình VPN ngang cấp

    • 1.4 Phân loại VPN

      • 1.4.1 VPN truy nhập từ xa

      • 1.4.2 VPN cục bộ

      • 1.4.3 VPN mở rộng

    • 1.5 Kết thúc chương

  • Chương 2

  • Mạng riêng ảo VPN trong MPLS và các giao thức VPN

    • 2.1.2. Nguyên tắc hoạt động của MPLS

      • Các hoạt động trong mảng số liệu

    • 2.2 Các thành phần của MPLS-VPN

      • 2.2.1 Mô hình hệ thống cung cấp dịch vụ MPLS-VPN

      • 2.2.2 Mô hình bộ định tuyến biên nhà cung cấp dịch vụ

      • 2.2.3 Mô hình bảng định tuyến và chuyển tiếp ảo

    • 2.3 Các mô hình MPLS-VPN

      • 2.3.1 Mô hình mạng riêng ảo tầng 2 (L2VPN)

      • 2.3.2 Mô hình mạng riêng ảo lớp ba (L3VPN)

    • 2.4 Hoạt động của MPLS-VPN

      • 2.4.1 Truyền tải gói tin định tuyến

      • 2.4.2 Địa chỉ VPN-IP trong mạng riêng ảo

      • 2.4.3 Hoạt động gói tin MPLS - VPN qua các PE và CE

      • 2.4.4 Hoạt động gói tin VPN dọc mạng backbone MPLS

      • 2.4.5 Truyền nhãn trên mạng riêng ảo VPN

      • 2.4.6 Các phương pháp để Router PE giao tiếp với nhau thông qua Router CE

    • 2.5 Khả năng mở rộng và các mô hình MPLS-VPN nâng cao

      • 2.5.1 Hệ thống tự trị MPLS-VPN

      • 2.5.2 Nhà cung cấp dịch vụ hạ tầng

    • 2.6 Vấn đề bảo mật trong mạng MPLS-VPN

    • 2.7 Các giao thức đường hầm mạng riêng ảo

      • 2.7.1 Giới thiệu các giao thức đường hầm

      • 2.7.2 Giao thức đường hầm điểm tới điểm

      • 2.7.2.1 Nguyên tắc hoạt động của PPTP

      • 2.7.2.2 Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP

      • 2.7.2.3 Nguyên lý đóng gói dữ liệu đường hầm PPTP

      • 2.7.2.4 Nguyên tắc thực hiện gói tin dữ liệu tại đầu cuối đường hầm PPTP

      • 2.7.2.5 Triển khai VPN dựa trên PPTP

      • 2.7.2.6 Một số ưu nhược điểm và khả năng ứng dụng của PPTP

      • 2.7.3 Giao thức chuyển tiếp lớp 2 (L2F)

      • 2.7.3.1 Nguyên tắc hoạt động của L2F

      • 2.7.3.2 Những ưu điểm và nhược điểm của L2F

      • 2.7.4 Giao thức đường hầm lớp 2 (L2TP)

      • 2.7.4.1 Các khái niệm về đường hầm lớp 2

      • 2.7.4.2 Các thành phần của L2TP

      • Chế độ đường hầm bắt buộc L2TP

      • Chế độ đường hầm tự nguyện L2TP

    • 2.8 Kết thúc chương

      • Chương 3

      • Triển khai, cài đặt VPN

      • 3.2. Triển khai VPN dựa trên giao thức lớp 2 (L2TP)

  • KẾT LUẬN

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan