Tải bản đầy đủ (.doc) (59 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

Tìm hiểu giải pháp SSL cho mạng riêng ảo

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.32 MB, 59 trang )

Đồ án chuyên ngành

MỤC LỤC
LỜI MỞ ĐẦU.......................................................................................................................3
DANH MỤC CÁC THUẬT NGỬ VIẾT TĂT...............................................................................5
DANH MỤC CÁC HÌNH ẢNH................................................................................................6
INTERNET VÀ AN TOÀN THÔNG TIN TRÊN INTERNET........................................................8

1.1.SỰ PHÁT TRIỂN CỦA MẠNG INTERNET......................................8
1.2.AN TÒAN THÔNG TIN TRÊN INTERNET.......................................9
1.2.1.Spoofing........................................................................................................10
1.2.2.Kỹ thuật Session hijacking :............................................................................11
1.2.3. Kỹ thuật Sniffing :..........................................................................................12
1.2.3.Kỹ thuật Man-in-the-midle :..........................................................................12

1.3.CÁC GIẢI PHÁP.................................................................................13
1.3.1..Kênh thuê riêng (Leased Line)......................................................................13
1.3.2.Mạng riêng ảo ( VPN)....................................................................................15
TỔNG QUAN VỀ MẠNG RIÊNG ẢO....................................................................................18

2.1.ĐỊNH NGHĨA VPN.............................................................................18
2.2.LỊCH SỬ PHÁT TRIỂN CỦA VPN...................................................20
2.3.CHỨC NĂNG VÀ ƯU ĐIỂM VPN....................................................21
2.3.1Chức năng......................................................................................................21
2.3.2Ưu điểm..........................................................................................................21
a)Tiết kiệm chi phí........................................................................................22
b)Tính linh hoạt............................................................................................22
c)Khả năng mở rộng......................................................................................23
d)Giảm thiểu các hỗ trợ kỹ thuật..................................................................23
e)Giảm thiểu các yêu cầu về thiết bị.............................................................23


Lê Nguyễn Quang Minh, MSSV: 132114027

1


Đồ án chuyên ngành
f)Đáp ứng các nhu cầu thương mại..............................................................23

2.4PHÂN LOẠI MẠNG VPN...................................................................24
2.4.1Mạng VPN truy nhập từ xa.............................................................................24
2.4.2Mạng VPN cục bộ...........................................................................................25
2.4.3Mạng VPN mở rộng........................................................................................27
GIẢI PHÁP SSL CHO MẠNG RIÊNG ẢO..............................................................................29

3.1GIAO THỨC SSL.................................................................................29
3.2GIỚI THIỆU SSL VPN........................................................................42
3.3ƯU ĐIỂM CỦA DỊCH VỤ SSL VPN.................................................42
3.4ĐƯỜNG HẦM TRONG SSL VPN......................................................43
3.6.1Đuờng hầm an toàn........................................................................................43
3.6.2SSL VPN Tunnel Client.....................................................................................45
3.6.3Thiết lập kết nối mạng qua SSL.......................................................................46

3.6CÁCH LÀM VIỆC CỦA SSL VPN.....................................................48
3.6.1Với lưu lượng Non-Web qua SSL....................................................................48
KẾT LUẬN.........................................................................................................................55
TÀI LIỆU THAM KHẢO.......................................................................................................57

Lê Nguyễn Quang Minh, MSSV: 132114027

2



Đồ án chuyên ngành

LỜI MỞ ĐẦU
Với sự phát triển nhanh chóng của công nghệ tin học và viễn thông, thế giới
ngày càng thu nhỏ và trở nên gần gũi. Nhiều công ty đang vượt qua ranh giới cục
bộ và khu vực, vươn ra thị trường thế giới. Nhiều doanh nghiệp có tổ chức trải rộng
khắp toàn quốc thậm chí vòng quanh thế giới, và tất cả họ đều đối mặt với một nhu
cầu thiết thực: một cách thức nhằm duy trì những kết nối thông tin kịp thời, an toàn
và hiệu quả cho dù văn phòng đặt tại bất cứ nơi đâu.
Cho đến gần đây, ứng dụng của những kênh truyền dẫn thông tin thuê riêng
là giải pháp cơ bản cho kết nối mạng diện rộng trên phạm vi khu vực và thế giới.
Đã giúp các công ty mở rộng mạng cục bộ ra nhiều khu vực địa lý khác nhau.
Những dịch vụ kết nối mạng diện rộng như thế đã đem đến những lợi ích rõ ràng
như tốc độ, an toàn thông tin và hiệu quả thực thi công việc, tuy nhiên việc duy trì
những mạng diện rộng như thế, nhất là khi ứng dụng leased lines, có chi phí khá
đắt đỏ và chi phí này thường tăng lên cùng với sự gia tăng khoảng cách địa lý giữa
các văn phòng công ty.
Cùng với sự phổ cập ngày càng cao của Internet, doanh nghiệp dần chuyển
sang sử dụng Internet như một phương tiện giúp họ mở rộng mạng cục bộ sẵn có.
Đầu tiên là intranets, đây là những sites được bảo vệ bằng password và sử dụng
trong phạm vi công ty. Còn bây giờ nhiều doanh nghiệp đang thiết lập dịch vụ VPN
nhằm thoả mãn nhu cầu kết nối từ xa giữa nhân viên với văn phòng cũng như giữa
các văn phòng cách xa về địa lý.
Bên cạnh đó, nhu cầu ngày càng tăng về việc truyền tải dữ liệu an toàn
trong một tổ chức, công ty dẫn đến nhu cầu về các giải pháp cho mạng riêng ảo.
Thêm vào đó, khuynh hướng làm việc qua mạng từ xa, phân tán của các doanh
nghiệp công ty có nhiều chi nhánh và sự phát triển của lượng nhân viên di động
cũng làm gia tăng nhu cầu cho việc truy cập tài nguyên thông tin của công ty.

Secure Sockets Layer (SSL) VPN là một trong những công nghệ nổi trội,
cung cấp khả năng truy cập từ xa, chức năng SSL được sử dụng trong các trình
duyệt web hiện đại ngày nay. SSL VPN cho phép người dùng có thể sự dụng bất kỳ
điểm kết nối Internet, và trình duyệt web để thiết lập kết nối truy cập từ xa VPN. Do
Lê Nguyễn Quang Minh, MSSV: 132114027

3


Đồ án chuyên ngành
đó, công nghệ SSL VPN hứa hẹn cải tiến năng suất và cải thiện tính sẵn sàng, cũng
như giảm chi phí đầu tư cho IT , các phần mền VPN client và chi phí hổ trợ.
Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập
quốc tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa
giải quyết được những khó khăn về kinh tế.
Với đề tài: “Tìm hiểu giải pháp SSL cho mạng riêng ảo” trong Đồ án
chuyên ngành, em hy vọng nó có thể góp phần tìm hiểu về Giao thức SSL và ứng
dụng trong công nghệ VPN, đồng thời góp phần phổ biến rộng rãi kỹ thuật VPN.
Nội dung tìm hiểu gồm có 3 chương lần lượt trình bày các vấn đề cơ bản
nhất của giải pháp VPN nói chung và SSL VPN nói riêng.
Chương I : Trình bày tổng quan về quá trình phát triển và những nguy cơ về
an tòan thông tin trên Internet và qua đó đưa ra các giải pháp nhằm khắc phục.
Chương II : Nêu một số khái niệm tổng quan, các đặc điểm của VPN, từ đó
làm cơ sở để phân loại các mạng VPN, đưa ra các thuận lợi và khó khăn khi sử
dụng các loại hình VPN đó.
Chương III: Đây là chương trọng tâm giới thiệu về giao thức SSL và giải
pháp SSL VPN. Các vấn đề lịch sử hình thành và phát triển, đặc điểm cấu trúc của
giao thức SSL. Từ đó tìm hiểu nguyên tắc hoạt động giải pháp SSL VPN bao gồm :
cơ chế làm việc và các chức năng của giải pháp.
Do những hạn chế về kiến thức và thời gian nội dung của đề tài không thể

tránh khỏi nhiều thiếu sót. Mong nhận được sự đóng góp ý kiến của các thầy cô và
các bạn.
Em xin chân thành cám ơn Th.s Nguyễn Thanh Trung đã tận tình hướng dẫn
em hòan thành một cách tốt nhất đề tài.
Đà Nẵng, Ngày 19 tháng 11 năm 2010
Sinh viên : Lê Nguyễn Quang Minh

Lê Nguyễn Quang Minh, MSSV: 132114027

4


Đồ án chuyên ngành

DANH MỤC CÁC THUẬT NGỬ VIẾT TĂT
[Chương I]
SIOC
: Internet Society
IETF
: Internet Engineering Task Force
W3C
: World Wide Web Consorrium
IANA
: Internet Assigned Number Authority
TCP/IP
: Transfer Control Protocol/Internet Protocol
IAB
: Internet Architecture Board
IRTF
: Internet Research Task Force

VPN
: Virtual Private Networks
ISP
: Internet Service Provider
WAN
: Wide Area Network
HDLC
: High-Level Data Link Contro
PPP
: Point-to-Point Protocol
LAPB
: Link Access Procedure, Balanced
[Chương II]
POP
: Post Office Protocol
QoS
: Quality of Service
[Chương III]
HTTP
: Hypertext Transfer Protocol
PCT:
: Private Communication Technology
TLS:
: Transport Layer Security
MAC
: Message Authentication Code
HMAC
: Hash-based Message Authentication Code
DES
: Data Encrytion Standard

3-DES
:Triple- Data Encrytion Standard
DSA
: Digital Signatủe Algỏithm
KEA
:Key Exchange Algorim
MD5
: Message Digest Algorithm
SHA-1
:Secure Hash Algorithm
CA
: Certificate Authentication
DTLS
: Datagram Transport Layer Security

Lê Nguyễn Quang Minh, MSSV: 132114027

5


Đồ án chuyên ngành

DANH MỤC CÁC HÌNH ẢNH
Hình 1.1 : Hệ thống kết nối Internet từ 1969 đến 2006
Hình 1.2 : Hình thức tấn công Spoofing
Hình 1.3 : Tấn công Session Hijacking
Hình 1.4 : Tấn công Sniffing
Hình 1.5 : Kết nối kênh thuê riêng đến nhà cung cầp dịch vụ
Hình 1.6 : Mô hình mạng riêng ảo VPN
Hình 2.1 : Mô hình VPN

Hình 2.2 : Mô hình mạng VPN truy nhập từ xa
Hình 2.3 : Mô hình mạng VPN cục bộ
Hình 2.4 : Mô hình mạng VPN mở rộng
Hình 3.1 : Cấu trúc của SSL và giao thức SSL
Bảng 3.2 : Các cổng được gán cho các giao thức ứng dụng chạy trên SSL
Hình 3.3 : Các bước SSL Record Protocol.
Hình 3.4: Quá trình tạo liên kết SSL
Hình 3.5 : Mô hình hệ thống SSL VPN
Hình 3.6 : Đường hầm trên Internet
Hình 3.7 : Full Tunneling
Hình 3.8 : Slipt Tunneling
Hình 3.9 : Công nghệ Revese Proxy
Hình 3.10 : Giao diện truy cập SSL VPN trên nền web
Hình 3.11 : Giao diện truy cập tập tin
Hình 3.11 : Truy cập từ xa đến ổ cứng mạng có giao diện giông với FTP
Hình 3.12 : SSH đến hệ thống máy chủ trên nền Java Applet
Hình 3.13 : Telnet đến hệ thống máy chủ trên nền Java Applet
Lê Nguyễn Quang Minh, MSSV: 132114027

6


Đồ án chuyên ngành

Hình 3.14 : Sử dụng máy in trong mạng nội bộ
Hình 3.15 : Dịch vụ Mail Outlook
Hình 3.16 : Terminal Server Client với ActiveX
Hình 3.17 : Kết nối đến Server Unix với Java Applet

Lê Nguyễn Quang Minh, MSSV: 132114027


7


Đồ án chuyên ngành

CHƯƠNG I
INTERNET VÀ AN TOÀN THÔNG TIN TRÊN INTERNET

1.1.

SỰ PHÁT TRIỂN CỦA MẠNG INTERNET

Internet là một trong những thành tựu công nghệ lớn nhất của thế kỷ XX. Bắt
đầu như một mạng đơn giản kết nối bốn máy tính nằm rải rác khắp Hoa Kỳ, Internet
đã trở thành mạng dữ liệu công cộng lớn nhất thế giới, kết nối các vùng địa lý, các
dân tộc ở mọi lứa tuổi, quốc tịch và lối sống. Đến nay, nó đã trở thành một phần
quan trọng không thể thiếu cho các cá nhân sử dụng máy tính gia đình kết nối và
làm việc để trao đổi thông tin. Ngày nay mọi người có thể sử dụng Internet để liên
lạc, hội thảo, mua bán cũng như ký kết các hợp đồng… Internet đã trở thành một
mạng lưới thương mại, cung cấp các hình thức mới cho việc liên lạc của các doanh
nghiệp, với đối tác kinh doanh, các chi nhánh cũng như khách hàng.
Ngoài những thành tựu mà Internet đạt được, nó cũng còn những khó khăn
cho người dùng. Internet không có một cơ quan điều hành trung tâm, để đảm bảo
rằng người dùng thực hiện theo một quy trình cụ thể. Ví dụ: Một số tổ chức quản lý
những khía cạnh khác nhau của Internet. Internet Society (ISOC) giúp thúc đẩy các
chính sách và kết nối toàn cầu của Internet, trong khi nhiệm vụ của Internet
Engineering Task Force (IETF) là đưa ra tiêu chuẩn, tài liệu có ảnh hưởng đến việc
thiết kế, sử dụng và quản lý Internet. World Wide Web Consortium (W3C) tập
trung vào thiết lập tiêu chuẩn cho các trang web và tương tác với IETF trong việc

thực hiện. Phụ trách việc quản lý “địa chỉ” và “ cách đặt tên “ cho các thành phần
thực thể trên Internet là rất quan trọng trong việc quản lý, và nhiệm vụ này được
chia sẻ bởi Network Solutions và Internet Assigned Number Authority (IANA).
Internet là một tập hợp khá lỏng lẻo của các mạng lưới và làm việc trên một
một nguyên tắc chung nhất quán theo những quy tắc và giao thức, Transfer Control
Protocol/Internet Protocal (TCP/IP). Các giao thức này là nền tảng quan trọng của
Internet, được phát triển trong một môi trường mở giữa các chuyên gia dưới sự chỉ
dẫn của Internet Architecture Board (IAB), dưới sự quản lý của IETF, và một nhóm
Lê Nguyễn Quang Minh, MSSV: 132114027

8


Đồ án chuyên ngành
đặc biệt của Internet Research Task Force(IRTF). Mặc dù có sự xuất hiện của một
số giao thức khác nhưng TCP/IP vẫn được chọn để mở rộng và phát triển, cả trong
và giữa các doanh nghiệp cũng như cho các mạng công cộng.
Sự phát triển theo cấp số nhân dường như không bao giờ kết thúc của
Internet và đây cũng là bằng chứng chứng minh cho sự phát triển cũng như sự phổ
biến và linh hoạt của Internet.

Hình 1.1 : Hệ thống kết nối Internet từ 1969 đến 2006
Từ con số 4 máy tính trong phòng thí nghiệm được kết nối mạng với nhau
năm 1969 lên hơn 440 triệu máy tính năm 2006
Tại thời điểm hiện nay, khi mà công nghệ Internet ngày càng được nâng cao,
doanh nghiệp có thể bỏ qua một bên các chi phí cho kết nối riêng lẻ bằng cách tập
trung vào đầu tư cho mạng Internet.
Internet cung cấp các kết nối trên phạm vi rộng với chi phí thấp. Các kết nối
này có nhiểu sự lựa chọn, từ kết nối tốc độ cao đến vài Mb/s để kết nối 2 hay nhiều
điểm, hoặc các kết nối qua đường dây điện thoại bình thường với tốc độ 9600 đến

28800(b/s).

1.2. AN TÒAN THÔNG TIN TRÊN INTERNET
Ngoài những thành công của nó, Internet không phải là không có những
khuyết điểm. Theo nhiều cách , Internet đã trở thành nạn nhân của chính nó. Ví dụ:
băng thông trên các đường truyền tải Internet của các nhà cung cấp dịch vụ không
thể đảm bảo và theo kịp với sự phát triển bùng nổ của các thuê bao dịch vụ cũng
Lê Nguyễn Quang Minh, MSSV: 132114027

9


Đồ án chuyên ngành
như các ứng dụng trong vài năm qua. Điều đó, đả làm xuất hiện những lo ngại về
tính tin cậy của Internet. Mất kết nối và mất mát thông tin đã xảy ra, nhưng những
cải tiến về thiết bị và kết nối đang dần khắc phục những sự cố đó.
Một mối quan tâm liên quan là khả năng xử lý truyền thông đa phương tiện,
đặc biệt là thời gian thực. Nói chung, việc chậm trể trong truyền thông đa phương
tiện trên Internet làm cho việc truyền thông với thời gian thực trở nên khó khăn ,
nhưng các nhà cung cấp dịch vụ mạng đã nổ lực cải thiện đáng kể chất lượng của
dịch vụ.
Cuối cùng vấn đề được đặt ra khi truyển tải thông tin trên Internet là an ninh
và bảo mật. Phần lớn các dữ liệu được truyền trên Internet dưới dạng mã hóa nhưng
vẫn có thể bị tấn công và khai thác các dữ liệu đó bởi một người dùng khác. Đây là
vấn đề nhức nhối hiện nay của an ninh Internet nói chung và truyền tải dữ liệu nói
riêng trên môi trường Internet.
Trong môi trường mạng, sự an toàn dữ liệu và thông tin liên lạc phụ thuộc
vào 3 đặc tính sau: chứng thực, bảo mật, và toàn vẹn dữ liệu. Tuy nhiên, không như
thiết kế và dự tính ban đầu,giao thức TCP/IP và các mạng sử dụng giao thức này
như Internet, ngày càng gặp nhiều khó khăn trong việc đảm bảo an toàn dữ liệu.

Trong trường hợp thiếu giải pháp an ninh thích hợp, việc truyền tải dữ liệu trên
mạng có thể gặp phải các mối đe dọa.
Các phương pháp tấn công trên mạng phổ biến như spoofing, sesion
hijacking, sniffing, và man-in-the-middle.
1.2.1. Spoofing
Giao thức cơ bản cho việc gửi dữ liệu qua mạng Internet và các mạng khác là
IP. Các header của 1 gói tin IP ngoài các thứ khác còn có địa chỉ nguồn và địa chỉ
đích. Địa chỉ nguồn là nơi mà các gói tin được gửi đi. Bằng cách giả mạo các
header với địa chỉ của các nạn nhân khác nhau, kẻ tấn công
Cũng giống như các mạng khác, mạng IP sử dụng địa chỉ số cho các thiết bị.
Địa chỉ nguồn và người nhận chứa trong mỗi gói dữ liệu truyền trên mạng.
Spoofing là cách kẻ tấn công sử dụng địa chỉ số của nạn nhân và giả mạo nhằm mục
đích xâm nhập vào mạng hoặc thu thập thông tin …

Lê Nguyễn Quang Minh, MSSV: 132114027

10


Đồ án chuyên ngành
A MUỐN GỬI DỮ LIỆU CHO B

GIẢI MÃ GÓI TIN VÀ CHUYỂN GÓÍ TIN

ĐỔI ĐỊA CHỈ ĐÍCH

Hình 1.2 : Hình thức tấn công Spoofing
Các loại tấn công Spoofing là :
• IP Spoofing
• MAC Spoofing

• ARP Spoofing
1.2.2. Kỹ thuật Session hijacking :
Đối với kỹ thuật này, thay vì cố gắng khởi tạo một session làm việc bằng
cách spoofing, hacker sẽ cố gắng chiếm một kết nối sẵn có giữa hai máy tính. Để
làm được điều này, hacker buộc phải nắm quyền điều khiển thiết bị mạng trong
mạng LAN đó, có thể là firewall hoặc thiết bị switch. Từ đó, sẽ chuyển luồng dữ
liệu đến máy nào đó đến máy của mình.

Hình 1.3 : Tấn công Session Hijacking
Lê Nguyễn Quang Minh, MSSV: 132114027

11


Đồ án chuyên ngành
1.2.3. Kỹ thuật Sniffing :
Hay còn gọi là kỹ thuật nghe trộm. Hacker có thể sử dụng các phần mềm
nghe trộm và bắt gói tin như ethereal, ettercap…để ghi lại tất cả các gói tin được
truyền đi trong mạng LAN.

Hình 1.4 : Tấn công Sniffing
1.2.3. Kỹ thuật Man-in-the-midle :
Cho đến nay việc sử dụng các kỹ thuật mã hóa và xác thực dữ liệu có thể
được xem như là một giải pháp cho những nguy cơ về bảo mật. Thế nhưng quá
trình mã hóa đòi hỏi phải trao đổi một số quy ước trước khi tiến hành mã hóa dữ
liệu ở hai bên. Nếu như việc truyền các quy ước mã hóa này không tuân theo các
quy tắc bảo mật và có thể bị hacker sử dụng các kỹ thuật kể trên bắt được thì có thể
làm thất bại toàn bộ mục đích của hệ thống. Bởi vì, sau khi bắt được các thông tin
quy ước mã hóa này, hacker có thể nhanh chóng tạo các khóa riêng cho mình trong
tiến trình, vì thế trong khi người sử dụng vẫn tin rằng minh đang sử dụng một khóa

riêng của mình thì trên thực tế người đó đang sử dụng một khóa đã bị tấn công.
Lê Nguyễn Quang Minh, MSSV: 132114027

12


Đồ án chuyên ngành
1.3.

CÁC GIẢI PHÁP

1.3.1. .Kênh thuê riêng (Leased Line)
Leased-Line, hay còn gọi là kênh thuê riêng, là một hình thức kết nối trực
tiếp giữa các node mạng sử dụng kênh truyền dẫn số liệu thuê riêng. Đôi khi nó còn
được gọi là ‘Private Circuit’ hoặc ‘Data Line’ ở Anh hay ‘CDN’( Cricuito Diretto
Numerico) ở Italia.
Kênh thuê riêng được bắt đầu sử dụng vào những năm đầu của thập niên 70,
với sự chuyển đổi mạng xương sống Bell từ mạng tín hiệu tương tự sang tín hiệu số.
Công ty AT&T đã cung cấp dịch vụ Dataphone và triển khai các hệ thống cơ sở hạ
tầng ISDN và đường dây T1 để bắt đầu phục vụ nhu cầu khách hàng.

Hình 1.5 Kết nối kênh thuê riêng đến nhà cung cầp dịch vụ

Kênh thuê riêng được sử dụng để kết nối các máy tính lớn với thiết bị đầu
cuối và kết nối từ xa, thông qua IBM Systems Network Architecture (1974) hay
DECnet(1975).Với sự phát triển và mở rộng của các dịch vụ kỹ thuật số những năm
80, kênh thuê riêng đã sử dụng mạng Frame Relay hay ATM để kết nối các cơ sở.
Đường dây truyền dữ liệu được tăng từ T1 lên đến T3.Trong những năm 1990 với
sự xuất hiện và tiến bộ của Internet, kênh thuê riêng được sử dụng để kết nối các
điểm ISP. Đến đầu thế kỷ 21, với sự phát triển bùng nổ của mạng Internet và hệ

thống rộng lớn các đường dây cáp quang, tốc độ của kênh thuê riêng ngày càng
được cải thiện hơn.
Kênh truyền dẫn số liệu thông thường cung cấp cho người sử dụng sự lựa
chọn trong suốt về giao thức đấu nối hay nói cách khác, có thể sử dụng các giao
Lê Nguyễn Quang Minh, MSSV: 132114027

13


Đồ án chuyên ngành
thức khác nhau trên kênh thuê riêng như PPP,HDLC, LAPB v.v…Leased Line khác
với đường PSTN là không sử dụng số điện thoại, nó là một kết nối thường trực và
luôn luôn sẵn sàng. Leased Line có thể sử dụng cho điện thoại, truyền dữ liệu hoặc
các dịch vụ Internet.
Về mặt hình thức, kênh thuê riêng có thể là các đường cáp đồng trục kết nối
trực tiếp giữa hai điểm hoặc có thể bao gồm các tuyến cáp đồng và các mạng truyền
dẫn khác nhau. Khi kênh thuê riêng phải đi qua các mạng khác nhau, các quy định
về các giao tiếp với mạng truyền dẫn sẽ được quy định bởi nhà cung cấp dịch vụ.
Do đó, các thiết bị đầu cuối CSU /DSU cần thiết để kết nối kênh thuê riêng sẽ phụ
thuộc vào nhà cung cấp dịch vụ. Một số các chuẩn kết nối chính được sử dụng là
HDSL, G703 v.v…
Khi sử dụng kênh thuê riêng, người sử dụng cần thiết phải có đủ các giao
tiếp trên các bộ định tuyến sao cho có một giao tiếp kết nối WAN cho mỗi kết nối
kênh thuê riêng tại mỗi node. Điều đó có nghĩa là, tại điểm node có kết nối kênh
thuê riêng đến 10 điểm khác nhất thiết phải có đủ 10 giao tiếp WAN để phục vụ cho
các kết nối kênh thuê riêng. Đây là một vấn đề hạn chế về đầu tư thiết bị ban đầu,
không linh hoạt trong mở rộng phát triển, phức tạp trong quản lý, đặc biệt là chi phí
thuê kênh lớn đối với các yêu cầu kết nối xa về khoảng cách địa lý.
Giao thức sử dụng với leased-line là HDLC, PPP, LAPB.



HDLC: là giao thức được sử dụng với họ bộ định tuyến Cisco

hay nói cách khác chỉ có thể sử dụng HDLC khi cả hai phía của kết
nối leased-line đều là bộ định tuyến Cisco.


PPP: là giao thức chuẩn quốc tế, tương thích với tất cả các bộ

định tuyến của các nhà sản xuất khác nhau. Khi đấu nối kênh leasedline giữa một phía là thiết bị của Cisco và một phía là thiết bị của
hãng thứ ba thì nhất thiết phải dùng giao thức đấu nối này. PPP là
giao thức lớp 2 cho phép nhiều giao thức mạng khác nhau có thể chạy
trên nó, do vậy nó được sử dụng phổ biến.


LAPB: là giao thức truyền thông lớp 2 tương tự như giao thức

mạng X.25 với đầy đủ các thủ tục, quá trình kiểm soát truyền dẫn,
phát triển và sửa lỗi. LAPB ít được sử dụng.
Lê Nguyễn Quang Minh, MSSV: 132114027

14


Đồ án chuyên ngành
Dịch vụ Leased Line thường được sử dụng bởi các công ty có chi nhánh ở xa
nhau về mặt địa lý. Chi phí cho một kết nối Leased Line thường rất cao và bị ảnh
hưởng bởi 2 yếu tố là khoảng cách và tốc độ của đường truyền.
1.3.2. Mạng riêng ảo ( VPN)
Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mô hình cho

đến công nghệ, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế để
kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một
cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng
đó đang dùng. Để làm được điều này người ta sử dụng thiết bị là router để kết nối
các LAN và WAN với nhau. Các máy tính kết nối vào Internet thông qua nhà cung
cấp dịch vụ ISP, cần một giao thức chung là TCP/IP. Điều mà kỹ thuật còn tiếp tục
gặp phải và cần giải quyết là năng lực truyền thông của các mạng viễn thông công
cộng.
Với Internet, những dịch vụ như giáo dục từ xa, mua hàng trực tuyến, tư vấn
y tế, và rất nhiều điều khác đã trở thành hiện thực.Tuy nhiên, do Internet có
phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó
khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch
vụ.
Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thoả mãn những yêu
cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó
chính là mô hình mạng riêng ảo. Với mô hình mới này, người ta không phải đầu tư
thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm
bảo, đồng thời có thể quản lý riêng được sự hoạt động của mạng này. VPN cho
phép người sử dụng làm việc tại nhà, trên đường đi hay các văn phòng chi nhánh có
thể kết nối an toàn đến máy chủ nội bộ bằng cơ sở hạ tầng là mạng công cộng. Nó
có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp, và các đối tác
kinh doanh với nhau trong môi trường truyền thông rộng lớn. Trong nhiều trường
hợp VPN cũng giống như WAN, tuy nhiên đặc tính quyết định của VPN là chúng
có thể dùng mạng công cộng như Internet mà vẫn đảm bảo tính riêng tư và tiết kiệm
hơn nhiều.

Lê Nguyễn Quang Minh, MSSV: 132114027

15



Đồ án chuyên ngành
Giải pháp mạng riêng ảo được thiết kế cho những tổ chức có xu hướng tăng
cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài
nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi
phí và thời gian.

Hình 1.6 : Mô hình mạng riêng ảo VPN
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng
(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng
LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê
riêng, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một
tổ chức với địa điểm hoặc người sử dụng ở xa.
VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thống và những
mạng leased-line.Những lợi ích đầu tiên bao gồm:
• Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí
khi truyền tới 20-40% so với những mạng thuộc mạng leased-line và
giảm việc chi phí truy cập từ xa từ 60-80%.
• Tính linh hoạt cho khả năng kinh tế trên Internet: VPN vốn đã
có tính linh hoạt và có thể nâng cấp kiến trúc mạng đơn giản hơn là
những mạng trước đây, bằng cách đó có thể đưa vào hoạt động kinh
doanh nhanh chóng và tiết kiệm chi phí một cách hiệu quả cho việc mở
rộng kết nối. VPN có thể dễ dàng thiết lập kết nối hoặc ngắt kết nối từ xa
của những văn phòng,có vị trí khắp nơi trên thế giới, những người dùng
Lê Nguyễn Quang Minh, MSSV: 132114027

16


Đồ án chuyên ngành

thiết bị di động, những người hoạt động kinh doanh bên ngoài như yêu
cầu kinh doanh đòi hỏi.
• Đơn giản hóa những gánh nặng về chi phí cũng như cơ sở hạ
tầng, con người.
• Tăng tính bảo mật: các dữ liệu quan trọng sẽ được che giấu đối
với những người không có quyền truy cập và cho phép truy cập đối với
những người dùng có quyền truy cập.
• Hỗ trợ các giao thức mạn thông dụng nhất hiện nay như
TCP/IP
• Bảo mật địa chỉ IP: bởi vì thông tin được gửi đi trên VPN đã
được mã hóa do đó các điạ chỉ bên trong mạng riêng được che giấu và chỉ
sử dụng các địa chỉ bên ngoài Internet.

Lê Nguyễn Quang Minh, MSSV: 132114027

17


Đồ án chuyên ngành

CHƯƠNG II
TỔNG QUAN VỀ MẠNG RIÊNG ẢO
Cụm từ Virtual Private Network (mạng riêng ảo) thường được gọi tắt là VPN
là một kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnh
tranh khi xuất hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ của
Internet. Trong thực tế, người ta thường nói tới hai khái niệm VPN đó là: mạng
riêng ảo kiểu tin tưởng (Trusted VPN) và mạng riêng ảo an toàn (Secure VPN).
Mạng riêng ảo kiểu tin tưởng được xem như một số mạch thuê của một nhà
cung cấp dịch vụ viễn thông. Mỗi mạch thuê riêng hoạt động như một đường dây
trong một mạng cục bộ. Tính riêng tư của trusted VPN thể hiện ở chỗ nhà cung cấp

dịch vụ sẽ đảm bảo không có một ai sử dụng cùng mạch thuê riêng đó. Khách hàng
của mạng riêng ảo loại này tin tưởng vào nhà cung cấp dịch vụ để duy trì tính toàn
vẹn và bảo mật của dữ liệu truyền trên mạng. Các mạng riêng xây dựng trên các
đường dây thuê thuộc dạng “trusted VPN”.
Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mật
dữ liệu. Dữ liệu ở đầu ra của một mạng được mật mã rồi chuyển vào mạng công
cộng (ví dụ: mạng Internet) như các dữ liệu khác để truyền tới đích và sau đó được
giải mã dữ liệu tại phía thu. Dữ liệu đã mật mã có thể coi như được truyền trong
một đường hầm (tunnel) bảo mật từ nguồn tới đích. Cho dù một kẻ tấn công có thể
nhìn thấy dữ liệu đó trên đường truyền thì cũng không có khả năng đọc được vì dữ
liệu đã được mật mã.
Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sử
dụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các site
của các công ty. Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựa trên
Internet. Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựa trên
Internet.
2.1.

ĐỊNH NGHĨA VPN

Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ
sở hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo
mật giống như mạng cục bộ.

Lê Nguyễn Quang Minh, MSSV: 132114027

18


Đồ án chuyên ngành


Hình 2.1: Mô hình VPN
Các thuật ngữ dùng trong VPN như sau:
Virtual- nghĩa là kết nối là động, không được gắn cứng và tồn tại như một
kết nối khi lưu lượng mạng chuyển qua. Kết nối này có thể thay đổi và thích ứng
với nhiều môi trường khác nhau và có khả năng chịu đựng những khuyết điểm của
mạng Internet. Khi có yêu cầu kết nối thì nó được thiết lập và duy trì bất chấp cơ sở
hạ tầng mạng giữa những điểm đầu cuối.
Private- nghĩa là dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị
truy cập bởi những nguời sử dụng được trao quyền. Điều này rất quan trọng bởi vì
giao thức Internet ban đầu TCP/IP- không được thiết kế để cung cấp các mức độ
bảo mật. Do đó, bảo mật sẽ được cung cấp bằng cách thêm phần mềm hay phần
cứng VPN.
Network- là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối,
những trạm hay những node để mang dữ liệu. Sử dụng tính riêng tư, công cộng, dây
dẫn, vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có để tạo
nền mạng.
Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đã từng
được sử dụng trong các mạng điện thoại trước đây nhưng do một số hạn chế mà
công nghệ VPN chưa có được sức mạnh và khả năng cạnh tranh lớn. Trong thời
gian gần đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làm
cho VPN thực sự có tính mới mẻ. VPN cho phép thiết lập các kết nối riêng với
những người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty
đang sử dụng chung một mạng công cộng.

Lê Nguyễn Quang Minh, MSSV: 132114027

19



Đồ án chuyên ngành
2.2.

LỊCH SỬ PHÁT TRIỂN CỦA VPN

Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN), bắt
nguồn từ yêu cầu của khách hàng (client), mong muốn có thể kết nối một cách có
hiệu quả với các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng
(WAN). Trước kia, hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) trước kia
sử dụng các đường thuê riêng cho việc tổ chức mạng chuyên dùng để thực hiện việc
thông tin với nhau.
Các mốc đánh dấu sự phát triển của VPN:

Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp
dịch vụ dây chuyên dùng cho các khách hang lớn. Colisee có thể cung
cấp phương thức gọi số chuyên dùng cho khách hàng. Dịch vụ này
căn cứ vào lượng dịch vụ mà đưa ra cước phí và nhiều tính năng quản
lý khác.

Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có
tên riêng là mạng được định nghĩa bằng phần mềm SDN.

Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra
Ibercom.

Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm
cho một số xí nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và
có thể tiết kiệm gần 30% chi phí, đã kích thích sự phát triển nhanh
chóng dịch vụ này tại Mỹ.



Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.


Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN;
Telstra của Ô-xtrây-li-a đưa ra dich vụ VPN rong nước đầu tiên ở khu
vục châu Á – Thái Bình Dương.

Năm 1992, Viễn thông Hà Lan và Telia Thuỵ Điển thành lập
công ty hợp tác đầu tư Unisource, cung cấp dịch vụ VPN.

Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố
thành lập Liên minh toàn cầu Worldparners, cung cấp hàng loạt dịch
vụ quốc tế, trong đó có dịch vụ VPN.

Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư
Concert, cung cấp dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame
relay)…

Lê Nguyễn Quang Minh, MSSV: 132114027

20


Đồ án chuyên ngành

Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN
toàn cầu (GVPNS).

Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), Viễn

thông Pháp (French Telecom) kết thành liên minh Global One.

Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ
VPN, Công nghệ này có mặt trên khắp các tạp chí khoa học công
nghệ, các cuộc hội thảo…Các mạng VPN xây dựng trên cơ sở hạ tầng
mạng Internet công cộng đã mang lại một khả năng mới, một cái nhìn
mới cho VPN. Công nghệ VPN là giải pháp thông tin tối ưu cho các
công ty, tổ chức có nhiều văn phòng, chi nhánh lựa chọn. Ngày nay,
với sự phát triển của công nghệ, cơ sở hạ tầng mạng IP (Internet) ngày
một hoàn thiện đã làm cho khả năng của VPN ngày một hoàn thiện.
Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho các dịch
vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện.
2.3.

CHỨC NĂNG VÀ ƯU ĐIỂM VPN

2.3.1 Chức năng
VPN cung cấp ba chức năng chính đó là: tính xác thực, tính toàn vẹn và tính
bảo mật.
Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả
hai phía phải xác thực lẫn nhau để khẳng định rằng mình đang trao
đổi thông tin với người mình mong muốn chứ không phải là một
người khác.


Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm
bảo không có bất kỳ sự xáo trộn nào trong quá trình truyền dẫn.


Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước

khi truyền qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu.
Bằng cách làm như vậy, không một ai có thể truy nhập thông tin mà
không được phép. Thậm chí nếu có lấy được thì cũng không đọc
được.


2.3.2 Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho các công ty. Có thể dùng VPN
không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, người
dùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai
Extranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm chi phí cho
Lê Nguyễn Quang Minh, MSSV: 132114027

21


Đồ án chuyên ngành
công việc trên thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng
WAN riêng. Những lợi ích này dù trực tiếp hay gián tiếp đều bao gồm: Tiết kiệm
chi phí (cost saving), tính mềm dẻo (flexibility), khả năng mở rộng (scalability) và
một số ưu điểm khác.
a) Tiết kiệm chi phí
Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi
phí thường xuyên. Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ,
do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng
đường trục và duy trì hoạt động của hệ thống. Giá thành cho việc kết nối LAN-toLAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền thống. Còn
đối với việc truy cập từ xa giảm từ 60 tới 80%.
Ta có thể thấy rõ ưu điểm của VPN qua việc so sánh chi phí khi sử dụng
đường thuê riêng T1 (1.5 Mbit/s) với chi phí khi sử dụng Internet VPN.
Thành phố

Boston-New York
New York-Washington
Tổng

Khoảng cách
(dặm)
194
235

Chi phí cho
T1
$4.570
$4.775
$9.345

Cho phí cho
Internet VPN
$1.900
$1.900
$3.800

Bảng 1: Chi phí hàng tháng cho các mạng dùng đường thuê riêng đơn so với
Thành phố
San FranCisco- Denver
Denver-chicago
Chicago-New York
Denver-Salt Lake
Denver-Dallas
New York-Washington
New York- Boston

Tổng

Internet VPN. (2002)
Khoảng cách Chi phí cho T1
(dặm)
1.267
$13.535
1.023
$12.315
807
$11.235
537
$6.285
794
$7.570
235
$4.775
194
$4.570
$60.285

Chi phí cho Internet
VPN
$1.900
$1.900
$1.900
$1.900
$1.900
$1.900
$1.900

$13.300

Bảng 2: Chi phí hàng tháng cho các mạng dùng đường thuê kép so với
Internet VPN.(2002)
b) Tính linh hoạt
Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khai
thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng. Khách hàng có thể sử
dụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể
Lê Nguyễn Quang Minh, MSSV: 132114027

22


Đồ án chuyên ngành
được sử dụng để kết nối các văn phòng nhỏ, các đối tượng di động. Nhà cung cấp
dịch vụ VPN có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết nối
modem 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 …
c) Khả năng mở rộng
Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet),
bất cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN. Mà mạng công
cộng có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh động. Một
cơ quan ở xa có thể kết nối một cách dễ dàng đến mạng của công ty bằng cách sử
dụng đường dây điện thoại hay DSL…Và mạng VPN dễ dàng gỡ bỏ khi có nhu cầu.
Khả năng mở rộng băng thông là khi một văn phòng, chi nhánh yêu cầu băng
thông lớn hơn thì nó có thể được nâng cấp dễ dàng.
d) Giảm thiểu các hỗ trợ kỹ thuật
Việc chuẩn hoá trên một kiểu kết nối từ đối tượng di động đến một POP của
ISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về nguồn
hỗ trợ kỹ thuật cho mạng VPN. Và ngày nay, khi mà các nhà cung cấp dịch vụ đảm
nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗ trợ kỹ thuật đối

với người sử dụng ngày càng giảm.
e) Giảm thiểu các yêu cầu về thiết bị
Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng quay
số truy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so với việc
bảo trì các modem riêng biệt, các card tương thích (adapter) cho các thiết bị đầu
cuối và các máy chủ truy cập từ xa. Một doanh nghiệp có thể thiết lập các thiết bị
khách hàng cho một môi trường đơn, như môi trường T1, với phần còn lại của kết
nối được thực hiện bởi ISP. Bộ phận T1 có thể làm việc thiết lập kết nối WAN và
duy trì bằng cách thay đổi dải modem và các mạch nhân của Frame Relay bằng một
kết nối diện rộng đơn có thể đáp ứng nhu cầu lưu lượng của các người dùng từ xa,
kết nối LAN-LAN và lưu lượng Internet cùng một lúc.
f) Đáp ứng các nhu cầu thương mại
Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để
đảm bảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản
phẩm của nhiều nhà cung cấp khác nhau có thể làm việc với nhau.
Đối với các thiết bị và Công nghệ Viễn thông mới thì vấn đề cần quan tâm là
chuẩn hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng, tính kế
thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại của sản
phẩm.
Lê Nguyễn Quang Minh, MSSV: 132114027

23


Đồ án chuyên ngành

2.4

PHÂN LOẠI MẠNG VPN


Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản
sau:
Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập
từ xa hoặc di động vào mạng nội bộ của công ty.

Nối liền các chi nhánh, văn phòng di động.

Khả năng điều khiển được quyền truy nhập của khách hàng,
các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác.



Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được
phân làm ba loại:

Mạng VPN truy nhập từ xa (Remote Access VPN)

Mạng VPN cục bộ (Intranet VPN)

Mạng VPN mở rộng (Extranet VPN)
2.4.1 Mạng VPN truy nhập từ xa
Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời
điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập
vào mạng của công ty. Kiểu VPN truy nhập từ xa là kiểu VPN điển hình nhất. Bởi
vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng
Internet.
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông
qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy
trì. Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động,
những người sử dụng di động, những chi nhánh và những bạn hàng của công ty.

Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách
sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và thường
yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng.

Hình 2.2 : Mô hình mạng VPN truy nhập từ xa
Lê Nguyễn Quang Minh, MSSV: 132114027

24


Đồ án chuyên ngành

Các ưu điểm của mạng VPN truy nhập từ xa so với
các phương pháp truy nhập từ xa truyền thống như:

Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên
mạng bởi vì quá trình kết nối từ xa được các ISP thực hiện.

Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các
kết nối khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua
mạng Internet.

Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.

Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối
hoạt động ở tốc độ cao hơn so với các truy nhập khoảng cách xa.

VPN cung cấp khả năng truy nhập tốt hơn đến các site của
công ty bởi vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.



Mặc dù có nhiều ưu điểm nhưng mạng VPN truy

nhập từ xa vẫn còn những nhược điểm cố hữu đi cùng
như:

Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo
QoS.

Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị
phân phát không đến nơi hoặc mất gói.

Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng
một cách đáng kể.
2.4.2 Mạng VPN cục bộ
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm
khác nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi
nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật.
Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu
được phép trong toàn bộ mạng của công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng
mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp
nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như là một
VPN Site- to- Site.

Lê Nguyễn Quang Minh, MSSV: 132114027

25



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×