Tải bản đầy đủ - 71 (trang)
3 Chức năng và lợi ích của VPN

3 Chức năng và lợi ích của VPN

Tải bản đầy đủ - 71trang

Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368



 Mặt kinh tế

Khi sử dụng mạng riêng ảo VPN các công ty có thể giảm chi phí được tới

một cách tối đa trong việc đầu tư và vận hành chúng. Sử dụng VPN thì các công

ty chỉ việc thuê các kênh riêng trên hạ tầng chung của các nhà cung cấp dịch vụ

viễn thông không cần phải đầu tư thiết bị đầu cuối cũng như thiết bị truyền dẫn.

Các thiết bị truyền dẫn là tương đối đắt, nên việc giảm chí phí khi đầu tư

khi sử dụng VPN là quá rõ ràng và thiết yếu. Giảm được các loại cước phí

đường dài truy cập VPN cho các nhân viên di động và các nhân viên đi công tác

xa công ty nhờ vào việc họ truy nhập vào mạng thông qua các điểm kết nối ở

nơi mình cư trú, hạn chế gọi đường dài tới các modem tập trung.

 Tính linh hoạt

Tính linh động ở đây không chỉ thể hiện trong quá trình vận hành và khai

thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng của người sử dụng.

Người sử dụng có thể sử dụng nhiều kết nối hay các đối tượng di chuyển do đặc

thù công việc. Khách hàng của VPN qua mạng mở rộng này, cũng có quyền truy

cập và khả năng như nhau đối với các dịch vụ trung tâm bao gồm. Cũng như các

ứng dụng thiết yếu khác, khi truy cập chúng thông qua những phương tiện khác

nhau như qua mạng cục bộ LAN, modem, modem cáp, đường dây thuê bao số

v..v, mà không cần quan tâm đến những phần phức tạp bên dưới.

 Mở rộng và phát triển

Như chúng ta đã biết mạng riêng ảo VPN được phát triển và hoạt động dựa

trên mạng công cộng. Ngay nay mạng Internet có mặt khắp nơi nên việc đó tao

cho việc xây dựng và phát triển mạng VPN ngày càng đơn giản. Việc kết nối

giữa các chi nhánh ở xa với công ty là quá đơn giản thông qua đường dây điện

thoại hoặc qua đường dây số DSL. Việc nâng cấp cũng qua đơn giản khi băng

thông đường truyền lớn. Và việc gỡ bỏ VPN cũng quá đơn giản khi không cần

thiết.



2.3.3 Nhược điểm và nhưng giải pháp khắc phục

 Sự tin cậy và thực thi

Mạng riêng ảo sử dụng các phương pháp mã hoá để bảo mật dữ liệu, và sử

dụng một số hàm mật mã phức tạp nên việc đó đã làm cho dụng lượng của máy

chủ là khá nặng và việc ấy rất ảnh hưởng đến việc xử lý tốc độ của máy. Khi dữ



32



Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368



liệu được truyền tải trong VPN quá lớn thì việc tắc nghẽn và có thể mất thông

tin dữ liệu là chuyện thường xẩy ra. Việc thiết lập các dịch vụ proxy và một số

dịch vụ khác để có thể hạn chế và điều chỉnh được lưu lượng truyền tải trong

mạng một các hợp lý nhất.

 Sự rủi ro về an ninh

Như chúng ta đã biết thì mạng riêng ảo là dùng chung đường truyền của

mạng công cộng nên việc bị tấn công là không thể tránh khỏi và điều đó như là

nhưng điều được cảnh báo trước. Nên các nhà cung cấp dịch đã đưa ra nhưng

giải pháp an toàn cho việc dùng mạng riêng ảo, nhưng vấn đề an toàn không bao

giờ là tuyệt đối. Vấn đề càng đưa các giải pháp bảo mật vào bao nhiều thì nó

cũng ảnh hưởng đến giá thành của dịch vụ, và điều đó là một điều không mong

muốn từ nhà cung cấp dịch vụ cũng như người sử dụng dịch vụ. Nên việc sử

nhưng giải pháp trong VPN cũng phải được cân nhắc làm sao tối ưu nhất.



2.4 Mô hình VPN

Hai mô hình triển khai VPN, dự trên các yêu cầu của người dùng và dựa

trên mạng. Mô hình dựa trên khách hàng còn được gọi là mô hình chồng lấn,

trong đó VPN được cấu hình trên các thiết bị của người dùng và sử dụng giao

thức đường hầm qua mạng công cộng. Nhà cung cấp dịch vụ sẽ đưa các mạng

riêng ảo giữa các site của người dùng như là các đường kết nối riêng. Mô hình

dựa trên mạng được gọi là mô hình ngang hàng, trong đó VPN được cấu hình

trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung cấp dịch

vụ. Các nhà cung cấp dịch vụ và người dùng trao đổi thông tin dữ liệu qua định

tuyến lớp 3, các nhà cung cấp dịch vụ sẽ sắp đặt dữ liệu từ các site người dùng

vào đường đi tối ưu nhất mà không cần phải có sự tham gia của người dùng.



2.4.1 Mô hình VPN chồng lấn

Mô hình chồng lấn VPN ra đời rất sớm và được triển khai dưới nhiều công

nghệ khác nhau. Lúc đầu VPN được xây dựng bằng cách sử dụng các đường

thuê riêng để cung cấp và kết nối giữa các người dùng ở các vị trí khác nhau.

Người dùng sử dụng dịch vụ kênh thuê riêng của nhà cung cấp dịch vụ. Các

đường thuê riêng này được thiết lập giữa các site của người dùng cần kết nối.

Đường này là đường dùng riêng cho người dùng khi có nhu cầu sử dụng.



33



Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368



Frame Relay được xem như là một công nghệ VPN được đua ra trong

những năm 1990, vì nó có thể đáp ứng kết nối cho người dùng như dịch vụ thuê

kênh riêng (leased line), ở đây người dùng không được cung cấp các đường

dành riêng cho mỗi người dùng, người dùng sử dụng một đường chung nhưng

được chỉ định các mạch ảo. Các mạch ảo này sẽ đảm bảo lưu lượng cho mỗi

người dùng là riêng biệt.

Cung cấp mạch ảo cho người dùng nghĩa là nhà cung cấp dịch vụ đã xây

dựng một đường hầm riêng cho dữ liệu người dùng đi qua mạng dùng chung của

nhà cung cấp dịch vụ. Sau này công nghệ ATM ra đời, về cơ bản ATM cũng

hoạt động giống như Frame Relay nhưng đáp ứng tốc độ truyền dẫn cao hơn.

Người dùng thiết lập việc kết nối giữa các thiết bị đầu phía người dùng CE

với nhau qua kênh ảo. Giao thức định tuyến chạy trực tiếp giữa các Router

người dùng thiết lập mối quan hệ cận kề và trao đổi thông tin định tuyến với

nhau. Nhà cung cấp dịch vụ không thể biết đến thông tin định tuyến của người

dùng trao đổi. Nhiệm vụ của nhà cung cấp dịch vụ trong mô hình này chỉ là đảm

bảo truyền dữ liệu điểm - điểm giữa các site của người dùng.

VPN chồng lấn còn được triển khai dưới dạng đường hầm (Tunneling).

Việc triển khai thành công các công nghệ gắn với IP nên một vài nhà cung cấp

dịch vụ bắt đầu triển khai VPN qua IP. Nếu người dùng nào muốn xây dựng

mạng riêng của họ qua mạng công cộng thì có thể dùng giải pháp này là hợp lý

nhất vì chi phí thấp. Bên cạnh lý do kinh tế, mô hình đường hầm còn đáp ứng

cho người dùng việc bảo mật dữ liệu và thông tin trên đường truyền. Hai công

nghệ VPN đường hầm phổ biến là IPSec và Gói định tuyến chung (GRE).

Các nhà cung cấp dịch vụ cam kết về QoS trong mô hình overlay VPN

thường là cam kết về băng thông trên một mạch ảo (VC), giá trị này được gọi là

tốc độ thông tin ràng buộc (CIR). Băng thông có thể sử dụng được tối đa trên

một kênh ảo đó, giá trị này được gọi là tốc độ thông tin tối đa (PIR). Việc cam

kết này được thực hiện thông qua các thống kê tự nhiên của dịch vụ lớp 2 nhưng

lại phụ thuộc vào chiến lược của nhà cung cấp. Điều này có nghĩa là tốc độ cam

kết không thật sự được bảo đảm mặc dù nhà cung cấp có thể đảm bảo tốc độ lớn

nhất. Cam kết về băng thông cũng chỉ là cam kết về hai điểm trong mạng người

dùng. Nếu không có ma trận lưu lượng đầy đủ cho tất cả các lớp lưu lượng thì



34



Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368



thật khó có thể thực hiện cam kết này cho người dùng trong mô hình overlay. Để

làm được việc này bằng cách tạo ra nhiều kết nối, như trong công nghệ chuyển

mạch khung Frame Relay hay chuyển mạch không đồng bộ ATM là có các

mạch ảo cố định (PVC) giữa các site người dùng. Tuy nhiên, kết nối mạng lưới

rộng thì chỉ làm tăng thêm chi phí của mạng. Nên để cam kết theo lời hứa của

mình thì việc tính toán lưu lượng đường truyền phải cẩn thận, và chính xác nhất.



Hình 2.1: Mô hình VPN chồng lấn

 Một số ưu điểm của VPN chồng lấn

• Đó là mô hình dễ thực hiện, nhìn theo quan điểm của người dùng và của cả

nhà cung cấp dịch vụ.

• Nhà cung cấp dịch vụ không tham gia vào định tuyến người dùng trong

mạng VPN chồng lấn. Nhiệm vụ của họ là vận chuyển dữ liệu điểm - điểm

giữa các site của người dùng, việc đánh dấu điểm tham chiếu giữa nhà cung

cấp dịch vụ và người dùng sẽ quản lý dễ dàng hơn.

 Hạn chế của mô hình VPN chồng lấn

• VPN thích hợp trong các mạng không cần độ dự phòng với ít site trung tâm

và nhiều site ở đầu xa, nhưng lại khó quản lý nếu như cần nhiều cấu hình

nút khác nhau.

• Việc cung cấp càng nhiều mạch ảo đòi hỏi phải có sự hiểu biết sâu sắc về

loại lưu lượng giữa hai site với nhau mà điều này thường không thật sự

thích hợp.



35



Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368



• Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo ra một lớp

mới không cần thiết đối với các nhà cung cấp hầu hết chỉ dựa trên IP, dẫn

đến sự phải có sự đầu tư lớn trong việc này.



2.4.2 Mô hình VPN ngang cấp

Với những nhược điểm của VPN chồng lấn thì việc đưa ra mô hình VPN

ngang cấp để khắc phục những nhược điểm đó và chuẩn hoá việc truyền dữ liệu

qua mạng đường trục. Với mô hình này các nhà cung cấp dịch vụ sẽ tham gia

vào hoạt động định tuyến của người dùng. Tức là Router biên mạng nhà cung

cấp (Provider Edge - PE) thực hiện trao đổi thông tin định tuyến trực tiếp với

Router CE của người dùng.



Hình 2.2: Mô hình VPN ngang cấp

Vùng ở giữa bao gồm tập hợp một hay nhiều nhà cung cấp dịch vụ VPN.

Xung quanh là các site tạo nên các kết nối mạng VPN. Trong hình này thể hiện

hai mạng VPN là A và B. Mỗi site của VPN A kết nối với nhà cung cấp dịch vụ

VPN thông qua một bộ định tuyến biên khách hàng (CE). Mỗi site có thể có một

hay nhiều bộ định tuyến CE ví dụ như site 1 trong VPN B có hai CE là CE 1B1 và

CE2B1 còn site 3 trong VPN B chỉ có 1 CE đó là CE B3. Hình vẽ còn thể hiện các

đích có thể truy nhập đến trong mỗi site Về phía nhà sử dụng dịch vụ, mỗi bộ

định tuyến CE được kết nối đến một bộ định tuyến biên nhà cung cấp dịch vụ



36



Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368



(PE). Lưu ý cùng một bộ định tuyến PE có thể kết nối các site thuộc nhiều VPN

khác nhau, hơn nữa các site này có thể sử dụng cùng địa chỉ IP cho các đích

trong các site (địa chỉ IP phải là duy nhất trong một VPN, tuy nhiên nó không

nhất thiết phải là duy nhất trong nhiều VPN). Ví dụ như PE2 được kết nối tới

các site thuộc VPN A (site 2) và VPN B (site 2). Hơn nữa cả hai site này đều sử

dụng cùng một miền địa chỉ là 192.168.2.12 cho các đích bên trong chúng. Một

site có thể được kết nối tới một hoặc nhiều bộ định tuyến PE, như site 1 của

VPN B được kết nối tới PE1 và PE2.

Bộ định tuyến loại thứ 3 được thể hiện trên hình là bộ định tuyến nhà cung

cấp dịch vụ (P). Các bộ định tuyến loại này không kết nối các site của người

dùng. Việc cung cấp băng thông cũng đơn giản hơn bởi vì người dùng chỉ phải

quan tâm đến băng thông đầu vào và ra ở mỗi site mà không cần quan tâm đến

toàn bộ lưu lượng từ site này đến site kia như trong mô hình VPN chồng lấn.

Khả năng mở rộng trong mô hình VPN ngang hàng dễ dàng hơn vì nhà cung cấp

dịch vụ chỉ cần thêm vào một site và thay đổi cấu hình trên bộ định tuyến PE.

Trong mô hình VPN chồng lấn, nhà cung cấp dịch vụ phải tham gia vào toàn bộ

tập hợp các kênh ảo từ site này đến site khác của site của VPN người dùng. Nhà

cung cấp dịch vụ có thể triển khai hai hiệu ứng dụng VPN ngang hàng là chia sẽ

bộ định tuyến dành riêng cho mỗi kênh thuê bao.



Hình 2.3: Mô hình VPN ngang cấp dùng Router chung



37



Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368



Mô hình VPN ngang cấp đã giải quyết được các hạn chế của VPN chồng

lấn: Việc định tuyến đơn giản hơn khi Router người dùng chỉ trao đổi thông tin

định tuyến với một hoặc một vài Router PE. Trong khi ở mô hình chồng lấn

VPN, số lượng Router láng giềng có thể phát triển với số lượng lớn.

Định tuyến giữa các site người dùng luôn luôn được tối ưu vì nhà cung cấp

dịch vụ biết Topology mạng người dùng và do đó có thể thiết lập định tuyến tối

ưu cho các Route của họ.

Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng VPN ngang

cấp: Phương pháp chia sẻ Router: Router dùng chung, tức là người dùng VPN

chia sẽ cùng Router biên mạng nhà cung cấp. Ở phương pháp này, nhiều người

dùng có thể kết nối đến cùng Router PE.

 Phương pháp chia sẽ bộ định tuyến

Trong mạng VPN các người dùng sử dụng và cùng chia sẽ một bộ định

tuyến biên mạng nhà cung cấp PE. Ở phương pháp này, nhiều người dùng có thể

kết nối đến cùng một bộ định tuyến PE. Do đó, trên bộ định tuyến này phải cấu

hình một dang sách truy cập mạng (Access List) cho mỗi giao diện PE-CE để

đảm bảo chắc chắn sự cách ly giữa các người dùng VPN. Đồng thời ngăn chặn

VPN của người dùng này thực hiện các tấn công từ chối dịch vụ DoS (Denial of

Serverce) vào VPN của người dùng khác. Nhà cung cấp dịch vụ chia các phần

trong không gian địa chỉ của nó cho người dùng và quản lý việc chọn lọc gói tin

trên bộ định tuyến PE. Nên việc các nhà cung cấp dịch vụ phải quan tâm và đầu

tư vào vấn để bảo mất dữ liệu của mỗi người dùng.

 Phương pháp sử dụng bộ định tuyến dành riêng

Là phương pháp mà mỗi người dùng VPN có bộ định tuyến PE riêng biệt

dành riêng. Trong phương pháp này, người dùng VPN chỉ truy cập đến các bộ

định tuyến trong bảng định tuyến PE dành riêng mà không ảnh hưởng đến các

bộ định tuyến khác trong mạng. Mỗi bộ định tuyến sử dụng một giao thức định

tuyến riêng để tạo ra bảng định tuyến cho mỗi VPN. Các bảng định tuyến này

được tạo ra riêng biệt khác nhau để có sự phân biệt giữa các VPN.

Phương pháp dùng chung bộ định tuyến rất khó duy trì vì nó cần phải có

dải truy nhập dài và phức tạp trên mỗi giao diện của bộ định tuyến. Còn trong

phương pháp này dùng bộ định tuyến riêng, mặc dù không phức tạp về cấu hình



38



Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368



và dễ duy trì, nhưng nhà cung cấp dịch vụ phải đầu tư lớn để có thể hoạt động

tốt hệ thống của mình và phục vụ tốt nhu cầu của người dùng.

Nhưng hạn chế của mô hình VPN ngang hàng là nhà cung cấp dịch vụ phải

đáp ứng được định tuyến người dùng cho đúng và bảo đảm việc hội tụ của mạng

người dùng khi có lỗi liên kết. Ngoài ra bộ định tuyến PE của nhà cung cấp dịch

vụ phải mang tất cả các tuyến của người dùng.



2.5 Phân loại VPN

VPN là một công nghệ mà nhà sản xuất đưa ra nhằm đáp ứng được một số

nhu cầu cơ bản sau đây:

• Cung cấp được nhiều ứng dụng khác nhau trong cùng một dịch vụ khi

người dùng yêu cầu.

• Có thể điều khiển được quyền truy cập của người dùng, các nhà cung cấp

dịch vụ cũng như các đối tượng bên ngoài khác.

Dựa vào các ứng dụng cũng như nhưng đặc điểm của VPN mà người ta chia

thành ba loại VPN cơ bản.

• VPN truy nhập từ xa

• VPN cục bộ

• VPN mở rộng



2.5.1 VPN truy nhập từ xa

Những thành phần chính trong mô hình VPN truy nhập từ xa :

• Máy chủ của hệ thống truy nhập từ xa (RAS) được đặt tại trung tâm có

nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới. Nó chịu trách nhiệm

điều hành toàn bộ hệ thống thông tin và dữ liệu nhận và gửi qua mạng này.

• Kết nối nhanh chóng thuận tiện đến trung tâm để lấy dữ liệu một cách

nhanh chóng nhằm giảm được một phần chi phí khi người dùng ở xa trung

tâm máy chủ

• Hỗ trợ nhân viên kĩ thuật một phần trong việc cấu hình, bảo trì hệ thống và

quản lý bộ xử lý trung tâm. Và hỗ trợ truy cập từ xa bởi người dùng.



39



Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368



Khi triển khai VPN truy nhập từ xa, những người dùng truy nhập từ xa

hoặc các văn phòng đại diện chỉ cần kết nội nội bộ đến nhà cung cấp dịch vụ ISP

hoặc ISP’s POP và kết nối đến tài nguyên thông qua mạng Internet. Hệ thống

VPN truy nhập từ xa có mô hình dưới đây.



Hình 2.4: Cấu hình VPN truy nhập từ xa

Một hướng phát triển mới trong VPN truy nhập từ xa là dùng VPN sử dụng

sóng vô tuyến, trong đó một người dùng có thể truy nhập về mạng của mình

thông qua kết nối không dây. Việc thiết kế kết nối không dây phải cần một bộ

thu phát không dây về mạng của mình. Trong cả hai trường hợp có dây và

không dây, phần mềm máy khách PC đều cho phép khởi tạo các kết nối bảo mật,

còn gọi là đường hầm. Trong việc thiết kế quá trình xác thực ban đầu để đảm

bảo yêu cầu thông tin được xuất phát từ một nguồn tin đáng tin cậy.



40



Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368



Hình 2.5: Mô hình VPN truy nhập từ xa

Một số ưu điểm của VPN truy nhập từ xa so với một số phương pháp truy

nhâp truyền thống.

• VPN truy nhập từ xa không cần hỗ trợ nhân viên mạng bởi vì quá trình kết

nối từ xa được các nhà cung cấp dịch vụ thực hiện.

• Các khoản chi phí cho các kết nối từ xa bởi các kết nối khoảng cách được

thay thế bởi các kết nối cục bộ thông qua mạng Internet.

• Cung cấp các dịch vụ giá rẻ cho người dùng ở xa, tạo sự thuận lợi cho việc

phát triển mạng.

• VPN cung cấp khả năng truy nhập tốt hơn đến các site của các công ty vì

chúng hỗ trợ mức thấp nhất chi phí dịch kết nối.





Một số nhược điểm của mang VPN truy nhập từ xa:



• VPN truy nhập từ xa không hỗ trợ các dịch vụ bảo đảm chất lượng dịch vụ

điều đó rất bất lợi cho người dùng mỗi khi có nhưng thông tin quan trọng

muốn gửi đi, không được đảm bảo an toàn. Nên việc mất cắp dữ liệu và các

gói dữ liệu không đến đích là có thể xẩy ra.

• Khi sử dụng các loại thuật toán mã hoá phức tạp nên tiêu đề giao thức tăng

một cách đáng kể. Điều đó bất lợi cho việc giải mã và truyền đi trên mạng.

• Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn

như các gói dữ liệu truyền thông, video, âm thanh sẽ rất chậm.



41



Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368



2.5.2 VPN cục bộ

VPN cục bộ (Intranet VPN) là một dạng cấu hình của VPN điểm tới điểm,

được sử dụng để bảo mật các kết nối giữa các điểm khác nhau của một công ty.

VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng

chung sử dụng các kết nối truy nhập luôn được mã hoá bảo mật. Cách này cho

phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép

trong toàn bộ mạng công ty.

VPN cục bộ được sử dụng để kết nối đến các chi nhánh văn phòng của tổ

chức đến nhóm mạng sử dụng Router biên. Theo mô hình này sẽ rất tốn kém do

phải sử dụng 2 Router để thiết lập được mạng, hơn thế nữa việc triển khai, bảo

trì và quản lý mạng đường trục sẽ rất tốn kém còn tùy thuộc vào lượng lưu thông

trên mạng đi trên nó và phạm vi địa lý của toàn bộ mạng cục bộ.



Hình 2.6: kiến trúc VPN cục bộ

Ðể giải quyết vấn đề trên, mạng WAN backbone được thay thế bởi các kết

nối Internet với chi phí thấp, điều này có thể một lượng chi phí đáng kể của việc

triển khai mạng cục bộ, xem hình bên dưới:



42



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

3 Chức năng và lợi ích của VPN

Tải bản đầy đủ ngay(71 tr)

×