Báo Cáo đồ án Tốt Nghiệp.docx
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Báo Cáo đồ án Tốt Nghiệp.docx as PDF for free.
More details
- Words: 3,518
- Pages: 16
LỜI MỞ ĐẦU Lý do chính thức thúc đẩy phát triển VPN là để tiết kiệm chi phí. Các tập đoàn, các công ty, các tổ chức có các văn phòng làm việc ở khắp nơi trên thế giới nhưng mạng máy tính của các văn phòng cùng tập đoàn hay tổ chức lại muốn kết nối với nhâu để trao đổi công việc hằng ngày. Để có được kết nối mạng máy tính này, họ phải thuê một đường truyền riêng để kết nối giữa các văn phòng hoặc kết nối vào mạng internet. Như vậy Internet và hình thái mạng VPN được hình thành từ đây. Mỗi văn phòng có mạng máy tính cục bộ (site) muốn kết nối điểm-tới-điểm (point-to-point) cần thuê một đường truyền riêng (leased line) để kết nối với một văn phòng khác. Nếu một site lại cần kết nối đến nhiều site khác (hay nhiều site kết nối nhiều site any-to-any, full-mesh là mỗi site lại kết nối với site còn lại, có n site và 1 site cần kết nối với các site còn lại thì cần n-1 leased line. Giá mỗi leased line phụ thuộc vào khỏang cách và tốc độ của leased line. Chắc hẳn bạn đã từng nghe qua khái niệm về VPN. Đó là giải pháp để kết nối mạng giữa doanh nghiệp và người dùng cá nhân, hoặc với văn phòng, chi nhánh. VPN cho phép thông qua mạng internet, để thiết lập một mạng LAN ảo, khi đó cá nhân (host) được xem như là một host trong mạng LAN. Dữ liệu được truyền tải thông qua internet sẽ được đóng gói và mã hóa. Có nhiều giao thức để mã hóa dữ liệu này, phổ biến nhất là IPSec. Trong bài viết này, em xin giới thiệu đến các bạn và thầy cô một kỹ thuật mới có liên quan đếm VPN đó là Dynamic Multipoint VPN. Multipoint có nghĩa là đa điểm, bạn hình dung nó giống với VPN dạng site-to-site, tức là kết nối giữa cho nhánh (branch) và trung tâm (central). Dynamic là động, có nghĩa là kết nối này hoàn toàn tự động. Để hiểu rõ hơn về DMVPN, chúng ta sẽ đi vào việc nghiên cứu triển khai hệ thống mạng DMVPN này.
CHƯƠNG 1: TỔNG QUAN
1.Giới thiêụ công nghê ̣ VPN 1.1
Lich ̣ sử hiǹ h thành và phát triể n của ma ̣ng VPN
VPN không phải là một công nghệ hoàn toàn mới, khái niệm về VPN đã có từ nhiề u năm trước và trải qua nhiều quá trình phát triển, thay đổi cho đến nay đã tạo ra một dạng mới nhất. VPN đầu tiên đã được phát sinh bởi AT&T từ cuối những năm 80 và được biết như Software Defined Networks (SDN). Thế hệ thứ hai của VPN ra đời từ sự xuất hiện của công nghệ X.25 và mạng dịch vụ tích hợp kỹ thuật số ISDN (Integrated Services Digital Network) từ đầu những năm 90. Hai công nghệ này cho phép truyền những gói dữ liệu qua các mạng chia sẽ chung. Sau khi thế hệ thứ hai của VPN ra đời, thị trường VPN tạm thời lắng động và chậm tiến triển, cho tới khi có sự nổi lên của hai công nghệ FR (Frame Relay) và ATM (Asynchronous Tranfer Mode). Thế hệ thứ ba của VPN đã phát triển dựa theo 2 công nghệ này. Hai công nghệ này phát triển dựa trên khái niệm về chuyển mạch kênh ảo, theo đó các gói dữ liệu sẽ không chứa địa chỉ nguồn và đích. Thay vào đó, chúng sẽ mang những con trỏ, trỏ đến các mạch ảo nơi mà dữ liệu nguồn và đích sẽ được giải quyết.
1.2
Đinh ̣ ngiã VPN
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Một mạng riêng ảo (VPN – Virtual Private Network) là một công nghệ cung cấp sự bảo mật và riêng tư trong quá trình trao đổi dữ liệu trong môi trường mạng không an toàn. VPN đảm bảo dữ liệu được truyền bằng cách đóng gói dữ liệu và mã hóa dữ liệu.
Hình 1:
Mô hình VPN thông thường
1.2.1 Nguyên tắc hoạt động của VPN Một mạng riêng ảo (Virtual Private Network) là sự mở rộng của mạng nội bộ bằng cách kết hợp thêm với các kết nối thông qua các mạng chia sẻ hoặc mạng công
cộng như Internet. Với VPN, người dùng có thể trao đổi dữ liệu giữa hai máy tính trên mạng chia sẻ hoặc mạng công cộng như Internet thông qua mô phỏng một liên kết điểm tới điểm (point-to-point). Các gói tin được gửi qua VPN nếu bị chặn trên mạng chia sẻ hoặc mạng công cộng sẽ không thể giải mã được vì không có mã khóa. Đó là một mạng riêng sử dụng hạ tầng truyền thông công cộng, duy trì tính riêng tư bằng cách sử dụng một giao thức đường hầm (tunneling protocol) và các thủ tục bảo mật (security procedures). VPN có thể sử dụng để kết nối giữa một máy tính tới một mạng riêng hoặc hai mạng riêng với nhau. Tính bảo mật trong VPN đạt được thông qua "đường hầm" (tunneling) bằng cách đóng gói thông tin trong một gói IP khi truyền qua Internet. Thông tin sẽ được giải mã tại đích đến bằng cách loại bỏ gói IP để lấy ra thông tin ban đầu. Có bốn giao thức đường hầm (tunneling protocols) phổ biến thường được sử dụng trong VPN, mỗi một trong chúng có ưu điểm và nhược điểm riêng. Chúng ta sẽ xem xét và so sánh chúng dựa trên mục đích sử dụng.
Internet Protocol Security (IPSec)
Point-to-Point Tunneling Protocol (PPTP)
Layer2 Tunneling Protocol (L2TP)
Secure Socket Layer (SSL) .
1.2.2 Các chức năng, ưu và nhươ ̣c điể m của VPN 1.2.2.1 Các chức năng VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality).
Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn chứ không phải là một người khác.
Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có
bất kỳ sự xáo trộn nào trong quá trình truyền dẫn.
Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền
qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy, không một ai có thể truy nhập thông tin mà không được phép. Thậm chí nếu có lấy được thì cũng không đọc được. 1.2.2.2 Ưu và nhươ ̣c điể m của VPN Ưu điểm
Giảm thiểu chi phí triển khai.
Giảm chi phí quản lý.
Cải thiện kết nối.
An toàn trong giao dịch.
Hiệu quả về băng thông.
Dễ mở rộng, nâng cấp.
Với những ưu điể m trên cho thấ y sự vươ ̣t trô ̣i của VPN về mă ̣t chi phítriể n khai và đáp ứng đươ ̣c tính bảo mâ ̣t so với dịch vu ̣ thuê kênh riêng Leased Line chi phí thuê kênh riêng rấ t tố n kém nên không sử du ̣ng phổ biế n như VPN. Nhược điểm
Phụ thuộc trong môi trường Internet.
Thiếu sự hổ trợ cho một số giao thức kế thừa.
1.2.3 Các kiểu VPN trên Router Cisco, Fix, ASA VPN nhằm hướng vào 3 yêu cầu cơ bản sau đây:
Có thể truy cập bất cứ lúc nào bằng máy tính để bàn, bằng máy tính xách
tay… nhằm phục vụ việc liên lạc giữa các nhân viên của một tổ chức tới các tài nguyên mạng.
Nối kết thông tin liên lạc giữa các chi nhánh văn phòng từ xa.
Ðược điều khiển truy cập tài nguyên mạng khi cần thiết của khách hàng,
nhà cung cấp và những đối tượng quan trọng của công ty nhằm hợp tác kinh doanh. Dựa trên những nhu cầu cơ bản trên, ngày nay VPN đã phát triển và phân chia ra làm 2 phân loại chính sau:
VPN truy cập từ xa (Remote-Access).
VPN điểm-nối-điểm (Site-to-Site).
1.2.4 VPN truy cập từ xa Giống như gợi ý của tên gọi, VPN truy cập từ xa là một kết nối người dùng-đếnLAN, cho phép truy cập bất cứ lúc nào bằng máy tính để bàn, máy tính xách tay hoặc các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức. Ðặc biệt là những người dùng thường xuyên di chuyển hoặc các chi nhánh văn phòng nhỏ mà không có kết nối thường xuyên đến mạng Intranet hợp tác. Trong hình minh hoạ 1 ở trên cho thấy kết nối giữa văn phòng chính và văn phòng tại nhà hoặc nhân viên di động là loại VPN truy cập từ xa Thuận lợi chính của VPN truy cập từ xa:
Sự cần thiết của RAS và việc kết hợp với modem được loại trừ.
Sự cần thiết hổ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bởi ISP.
Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó, những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ.
Giảm giá thành chi phí cho các kết nối với khoảng cách xa.
Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa.
VPN cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hổ trợ dịch vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng.
1.2.4 VPN điểm nối điểm VPN điểm nối điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc Extranet. VPN Intranet
Áp dụng trong trường hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểm đều đã có một mạng LAN. Khi đó họ có thể xây dựng một mạng riêng ảo để kết nối các mạng cục bộ vào một mạng riêng thống nhất. Trong hình minh họa 1.1 ở trên, kết nối giữa Văn phòng chính và Văn phòng từ xa là loại VPN Intranet. Thuận lợi của Intranet VPN:
Giảm thiểu đáng kể số lượng hổ trợ yêu cầu người dùng cá nhân qua toàn cầu, các trạm ở một số remote site khác nhau.
Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những kết nối mới ngang hàng.
Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện kết nối mạng Intranet.
Bất lợi của Intranet VPN:
Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình truyền thông trên mạng công cộng (Internet) nên tồn tại những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ (denial-of-service) vẫn còn là một mối đe doạ an toàn thông tin.
Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng vẫn rất cao.
Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ chậm.
Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, và chất lượng dịch vụ cũng không được đảm bảo.
VPN Extranet Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ như: một đối tác, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng Extranet VPN để kết nối kiểu mạng LAN với mạng LAN và cho phép các công ty đó có thể làm việc trong một môi trường có chia sẻ tài nguyên. Trong hình minh họa 1ở trên, kết nối giữa Văn phòng chính với Đối tác kinh doanh là VPN Extranet Thuận lợi của Extranet VPN:
Do hoạt động trên môi trường Internet nên chúng ta có thể lựa chọn nhà phân phối khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức.
Bởi vì một phần kết nối được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì.
Dễ dàng triển khai, quản lý và chỉnh sửa thông tin.
Bất lợi của Extranet VPN:
Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại.
Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ chậm.
Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, và chất lượng dịch vụ cũng không được đảm bảo. Ngoài ra, VPN còn nghiên cứu và phát triển các ứng dụng, giao thức mới
vào DMVPN cho phép mở rộng những mạng IPSec VPN. 2. Công nghệ DM VPM (Dynamic Multipoint VPN) Để triển khai mạng DMVPN, chúng ta có hai cách thức triển khai. Đó là huband-spoke và spoke-and-spoke. Đề hiểu được hai khái niệm này, trước tiên bạn nên hiểu hub là gì, và spoke là gì. Hub ở đây là trung tâm (central), tức là hệ thống mạng WAN đặt ở trung tâm của công ty. Còn Spoke chỉ chi nhánh, văn phòng. Nhìn vào minh họa dưới cho điều đó, Hub chính là phần Central Site, còn Spoke chính là phần Branches.
Hình 1.1: Mô hình triển khai DMVPN Cũng trên hình trên chúng ta thấy rõ đường màu xanh chính là kết nói giữa Spoke-and-Spoke, còn màu đỏ chính là kết nối giữa Hub-and-Spoke. Như vậy, Huband-Spoke là kết nối từ trung tâm đến chi nhánh, nó tương tự như khái niệm trong Stfe-to-Srte. Khải nệm mới chính là ở chỗ Spoke-and-Spoke, là kết nối giữa các chinh nhánh với nhau. Nếu như trong VPN, bạn chỉ nghe nhắc đến kết nói một Client đến một Site, hoặc một S1te đến một Site, thì trong DMVPN, bạn sẽ tiếp tục có một khái niệm mới hơn, đó là kết nói giữ nhiều Hub đến nhiều Spoke, điều này lý giải tại sao nó có thêm chữ Mu/tipoini. Có một vài tên gọi mà các bạn nên lưu tâm đến đề tránh nhằm lẫn. Khi nói đến Hub và Spoke là ý đang nói đến router thực hiện chức năng DMVPN ở trung
tâm và chi nhánh. Còn khi nói đến Site Central và Site Branch (hay gọi tắc là Central và Branch) là nói đến nhiều thiết bị có ở đó, Hub và Spoke năm ở Central và Branch. Các thành phần của DMVPN Chúng ta sẽ cùng thảo luận về các thành phần cần thiết để triển khai một hệ thống mạng doanh nghiệp, sử dụng DMVPN đề kết nói các văn phòng chi nhánh. Đầu tiên, không cần phải tính toán, đó là hệ thống Hub và Spoke. Ở hai phía phải có những thiết bị hỗ trợ tốt trong việc tạo kết nối DMVPN. Có nhiều giải pháp đề chúng ta lựa chọn, nhưng phô biến nhất vẫn là Router của Cisco. Nhìn vào mô hình ở dưới, chúng ta nhận thấy rằng, để kết nối được giữa Hub và Spoke nó phải kết nói thông qua Cloud. Cloud ở đây ám chỉ nhà cung cấp dịch vụ internet (ISP). Có nhiều giải pháp cho bạn sử dụng các dịch của ISP cung cấp. Cloud này có thể là Frame- Reply, ATM, Leased Lmes. Kỹ thuật thiết kế Trong thiết kế DMVPN, có hai topology được đưa ra bàn luận: Dual hub-dual DMVPN cloud e Dual hub-single DMVPN cloud Trước tiên bạn cần hiểu DMVPN cloud là gì, nó là tập hợp các router được cầu hình định tuyến để giao tiếp với nhau. Bạn có thê dùng giao thức mGRE hoặc PPP hoặc là cả hai để cầu hình giao tiếp với các router này, chúng phải có cùng subnct. Như vậy hai kỹ thuật đề cập ở trên có thê hiểu là đa hub đa DMVPN cloud và đa hub một DMVPN cloud. Nó được minh họa như hình dưới.
Hình 1.2: Dual DMVPN Clound Topology Trong mô hình Dual hub dual DMVPN cloud, Hub 1 là trung tâm chính, nó kết nối với các Branch qua DMVPN cloud 1, và dĩ nhiên chúng có cùng subnet. Nó duy trì kết nối thường xuyên hơn. Trong khi đó, Hub 2 được khuyến cáo là để dự phòng trong trường hợp Hub 1 gặp chút trục trặc. Giữa Hubl và Hub 2 được khuyến cáo kết nối với nhau trong mạng campus và không cùng subnet (cùng một net, tức là net được chia mạng con). Điều tất nhiên phải đảm bảo là cả hub 1 và hub 2 đều phải giao tiếp được với hệ thống mạng bên trong. Giải pháp này được biết đến với khả năng Failover, tức là hạn chế sự có, luôn duy trì kết nối.
Hình 1.3: Single DMVPN Cloud Topology Mô hình thứ hai, dual hub singel DMVPN cloud, bạn chỉ có một đường mạng đề kết nói tất cả các hub và branch. Từ DMVPN Cloud bạn thấy chúng ta có hai kết nói về hai hub. Giải pháp này được biết đến với khả năng load balanced. DMVPN cloud hỗ trợ cho cả hai mô hình triển khai hub-and-spoke và spoke-and-spoke. Trong huband-spoke, mỗi headend chứa một interface mGRE và mỗi branch có chứ cả p2p hoặc mGRE interface. Trong mô hình spoke-and-spoke cả hai đầu headend và branch đều có mGRE mterfacce. Dual DMVPN Cloud Topology Với Dual Cloud chúng †a sẽ thảo luận cho hai model triên khai: Hub-and-spoke
Spoke-to-spoke Hub-and-Spoke Với Dual DMVPN cloud trong model hub-and-spoke, có chứa hai headend (hubl và hub2), mỗi cái có một hoặc nhiều tunnel mGRE kết nối đến tất cả các branch.
Hình
1.4:
Dual
DMYVPN
Cloud
Topology—Hub-and-Spoke
Deployment Model Mỗi DMVPN cloud được đại diện bằng IP duy nhất trong subnet. Một DMVPN cloud được gọi là primary (cloud chính), chịu trách nhiệm cho mọi lượng mạng của Branch đi qua. Mỗi branch có chứa hai interface p2p GRE kết nối đến mỗi Hub riêng
lề. Trong model triển khai này không có tunnel nào giữa các branch. Giao tiếp nội bộ giữa các branch được cung cấp thông qua hub. Thông số metric của giao thức định tuyến mà hệ thống sử dụng, được sử dụng để xác định đâu là primary hub. Kiến trúc hệ thống của trung tâm (system headend) Có hai kiến trúc dành cho hệ thống trung tâm được đưa ra triển khai là: Single Tier Dual Tier Simgle Tier Trong kiến trúc Single Tier, về mặt chức năng thì mGRE và Cryptfo cùng tồn tại trong một CPU của router.
Hình 1.5: Single Tier Headend Architecture Hình trên là giải pháp dual cloud với model hud-and-spoke. Tắt cả các Headend đều có tunnel mGRE và Crypto được gộp chung lại trong một multiple GRE tunnel, để phục vụ cho các luồng dữ liệu của branch. Mặt khác, để kết thúc tunnel VPN tại trung tâm, headend có thê gửi một thông điệp để báo cho giao thức định tuyến đang được sử dụng tại branch như EIGRP, OSPF, bất kế đường nào được chọn trong cloud (cloud path — đường kết nối giữa các router). Dual Tier
CHƯƠNG 1: TỔNG QUAN
1.Giới thiêụ công nghê ̣ VPN 1.1
Lich ̣ sử hiǹ h thành và phát triể n của ma ̣ng VPN
VPN không phải là một công nghệ hoàn toàn mới, khái niệm về VPN đã có từ nhiề u năm trước và trải qua nhiều quá trình phát triển, thay đổi cho đến nay đã tạo ra một dạng mới nhất. VPN đầu tiên đã được phát sinh bởi AT&T từ cuối những năm 80 và được biết như Software Defined Networks (SDN). Thế hệ thứ hai của VPN ra đời từ sự xuất hiện của công nghệ X.25 và mạng dịch vụ tích hợp kỹ thuật số ISDN (Integrated Services Digital Network) từ đầu những năm 90. Hai công nghệ này cho phép truyền những gói dữ liệu qua các mạng chia sẽ chung. Sau khi thế hệ thứ hai của VPN ra đời, thị trường VPN tạm thời lắng động và chậm tiến triển, cho tới khi có sự nổi lên của hai công nghệ FR (Frame Relay) và ATM (Asynchronous Tranfer Mode). Thế hệ thứ ba của VPN đã phát triển dựa theo 2 công nghệ này. Hai công nghệ này phát triển dựa trên khái niệm về chuyển mạch kênh ảo, theo đó các gói dữ liệu sẽ không chứa địa chỉ nguồn và đích. Thay vào đó, chúng sẽ mang những con trỏ, trỏ đến các mạch ảo nơi mà dữ liệu nguồn và đích sẽ được giải quyết.
1.2
Đinh ̣ ngiã VPN
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Một mạng riêng ảo (VPN – Virtual Private Network) là một công nghệ cung cấp sự bảo mật và riêng tư trong quá trình trao đổi dữ liệu trong môi trường mạng không an toàn. VPN đảm bảo dữ liệu được truyền bằng cách đóng gói dữ liệu và mã hóa dữ liệu.
Hình 1:
Mô hình VPN thông thường
1.2.1 Nguyên tắc hoạt động của VPN Một mạng riêng ảo (Virtual Private Network) là sự mở rộng của mạng nội bộ bằng cách kết hợp thêm với các kết nối thông qua các mạng chia sẻ hoặc mạng công
cộng như Internet. Với VPN, người dùng có thể trao đổi dữ liệu giữa hai máy tính trên mạng chia sẻ hoặc mạng công cộng như Internet thông qua mô phỏng một liên kết điểm tới điểm (point-to-point). Các gói tin được gửi qua VPN nếu bị chặn trên mạng chia sẻ hoặc mạng công cộng sẽ không thể giải mã được vì không có mã khóa. Đó là một mạng riêng sử dụng hạ tầng truyền thông công cộng, duy trì tính riêng tư bằng cách sử dụng một giao thức đường hầm (tunneling protocol) và các thủ tục bảo mật (security procedures). VPN có thể sử dụng để kết nối giữa một máy tính tới một mạng riêng hoặc hai mạng riêng với nhau. Tính bảo mật trong VPN đạt được thông qua "đường hầm" (tunneling) bằng cách đóng gói thông tin trong một gói IP khi truyền qua Internet. Thông tin sẽ được giải mã tại đích đến bằng cách loại bỏ gói IP để lấy ra thông tin ban đầu. Có bốn giao thức đường hầm (tunneling protocols) phổ biến thường được sử dụng trong VPN, mỗi một trong chúng có ưu điểm và nhược điểm riêng. Chúng ta sẽ xem xét và so sánh chúng dựa trên mục đích sử dụng.
Internet Protocol Security (IPSec)
Point-to-Point Tunneling Protocol (PPTP)
Layer2 Tunneling Protocol (L2TP)
Secure Socket Layer (SSL) .
1.2.2 Các chức năng, ưu và nhươ ̣c điể m của VPN 1.2.2.1 Các chức năng VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality).
Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn chứ không phải là một người khác.
Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có
bất kỳ sự xáo trộn nào trong quá trình truyền dẫn.
Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền
qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy, không một ai có thể truy nhập thông tin mà không được phép. Thậm chí nếu có lấy được thì cũng không đọc được. 1.2.2.2 Ưu và nhươ ̣c điể m của VPN Ưu điểm
Giảm thiểu chi phí triển khai.
Giảm chi phí quản lý.
Cải thiện kết nối.
An toàn trong giao dịch.
Hiệu quả về băng thông.
Dễ mở rộng, nâng cấp.
Với những ưu điể m trên cho thấ y sự vươ ̣t trô ̣i của VPN về mă ̣t chi phítriể n khai và đáp ứng đươ ̣c tính bảo mâ ̣t so với dịch vu ̣ thuê kênh riêng Leased Line chi phí thuê kênh riêng rấ t tố n kém nên không sử du ̣ng phổ biế n như VPN. Nhược điểm
Phụ thuộc trong môi trường Internet.
Thiếu sự hổ trợ cho một số giao thức kế thừa.
1.2.3 Các kiểu VPN trên Router Cisco, Fix, ASA VPN nhằm hướng vào 3 yêu cầu cơ bản sau đây:
Có thể truy cập bất cứ lúc nào bằng máy tính để bàn, bằng máy tính xách
tay… nhằm phục vụ việc liên lạc giữa các nhân viên của một tổ chức tới các tài nguyên mạng.
Nối kết thông tin liên lạc giữa các chi nhánh văn phòng từ xa.
Ðược điều khiển truy cập tài nguyên mạng khi cần thiết của khách hàng,
nhà cung cấp và những đối tượng quan trọng của công ty nhằm hợp tác kinh doanh. Dựa trên những nhu cầu cơ bản trên, ngày nay VPN đã phát triển và phân chia ra làm 2 phân loại chính sau:
VPN truy cập từ xa (Remote-Access).
VPN điểm-nối-điểm (Site-to-Site).
1.2.4 VPN truy cập từ xa Giống như gợi ý của tên gọi, VPN truy cập từ xa là một kết nối người dùng-đếnLAN, cho phép truy cập bất cứ lúc nào bằng máy tính để bàn, máy tính xách tay hoặc các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức. Ðặc biệt là những người dùng thường xuyên di chuyển hoặc các chi nhánh văn phòng nhỏ mà không có kết nối thường xuyên đến mạng Intranet hợp tác. Trong hình minh hoạ 1 ở trên cho thấy kết nối giữa văn phòng chính và văn phòng tại nhà hoặc nhân viên di động là loại VPN truy cập từ xa Thuận lợi chính của VPN truy cập từ xa:
Sự cần thiết của RAS và việc kết hợp với modem được loại trừ.
Sự cần thiết hổ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bởi ISP.
Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó, những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ.
Giảm giá thành chi phí cho các kết nối với khoảng cách xa.
Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa.
VPN cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hổ trợ dịch vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng.
1.2.4 VPN điểm nối điểm VPN điểm nối điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc Extranet. VPN Intranet
Áp dụng trong trường hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểm đều đã có một mạng LAN. Khi đó họ có thể xây dựng một mạng riêng ảo để kết nối các mạng cục bộ vào một mạng riêng thống nhất. Trong hình minh họa 1.1 ở trên, kết nối giữa Văn phòng chính và Văn phòng từ xa là loại VPN Intranet. Thuận lợi của Intranet VPN:
Giảm thiểu đáng kể số lượng hổ trợ yêu cầu người dùng cá nhân qua toàn cầu, các trạm ở một số remote site khác nhau.
Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những kết nối mới ngang hàng.
Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện kết nối mạng Intranet.
Bất lợi của Intranet VPN:
Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình truyền thông trên mạng công cộng (Internet) nên tồn tại những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ (denial-of-service) vẫn còn là một mối đe doạ an toàn thông tin.
Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng vẫn rất cao.
Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ chậm.
Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, và chất lượng dịch vụ cũng không được đảm bảo.
VPN Extranet Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ như: một đối tác, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng Extranet VPN để kết nối kiểu mạng LAN với mạng LAN và cho phép các công ty đó có thể làm việc trong một môi trường có chia sẻ tài nguyên. Trong hình minh họa 1ở trên, kết nối giữa Văn phòng chính với Đối tác kinh doanh là VPN Extranet Thuận lợi của Extranet VPN:
Do hoạt động trên môi trường Internet nên chúng ta có thể lựa chọn nhà phân phối khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức.
Bởi vì một phần kết nối được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì.
Dễ dàng triển khai, quản lý và chỉnh sửa thông tin.
Bất lợi của Extranet VPN:
Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại.
Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ chậm.
Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, và chất lượng dịch vụ cũng không được đảm bảo. Ngoài ra, VPN còn nghiên cứu và phát triển các ứng dụng, giao thức mới
vào DMVPN cho phép mở rộng những mạng IPSec VPN. 2. Công nghệ DM VPM (Dynamic Multipoint VPN) Để triển khai mạng DMVPN, chúng ta có hai cách thức triển khai. Đó là huband-spoke và spoke-and-spoke. Đề hiểu được hai khái niệm này, trước tiên bạn nên hiểu hub là gì, và spoke là gì. Hub ở đây là trung tâm (central), tức là hệ thống mạng WAN đặt ở trung tâm của công ty. Còn Spoke chỉ chi nhánh, văn phòng. Nhìn vào minh họa dưới cho điều đó, Hub chính là phần Central Site, còn Spoke chính là phần Branches.
Hình 1.1: Mô hình triển khai DMVPN Cũng trên hình trên chúng ta thấy rõ đường màu xanh chính là kết nói giữa Spoke-and-Spoke, còn màu đỏ chính là kết nối giữa Hub-and-Spoke. Như vậy, Huband-Spoke là kết nối từ trung tâm đến chi nhánh, nó tương tự như khái niệm trong Stfe-to-Srte. Khải nệm mới chính là ở chỗ Spoke-and-Spoke, là kết nối giữa các chinh nhánh với nhau. Nếu như trong VPN, bạn chỉ nghe nhắc đến kết nói một Client đến một Site, hoặc một S1te đến một Site, thì trong DMVPN, bạn sẽ tiếp tục có một khái niệm mới hơn, đó là kết nói giữ nhiều Hub đến nhiều Spoke, điều này lý giải tại sao nó có thêm chữ Mu/tipoini. Có một vài tên gọi mà các bạn nên lưu tâm đến đề tránh nhằm lẫn. Khi nói đến Hub và Spoke là ý đang nói đến router thực hiện chức năng DMVPN ở trung
tâm và chi nhánh. Còn khi nói đến Site Central và Site Branch (hay gọi tắc là Central và Branch) là nói đến nhiều thiết bị có ở đó, Hub và Spoke năm ở Central và Branch. Các thành phần của DMVPN Chúng ta sẽ cùng thảo luận về các thành phần cần thiết để triển khai một hệ thống mạng doanh nghiệp, sử dụng DMVPN đề kết nói các văn phòng chi nhánh. Đầu tiên, không cần phải tính toán, đó là hệ thống Hub và Spoke. Ở hai phía phải có những thiết bị hỗ trợ tốt trong việc tạo kết nối DMVPN. Có nhiều giải pháp đề chúng ta lựa chọn, nhưng phô biến nhất vẫn là Router của Cisco. Nhìn vào mô hình ở dưới, chúng ta nhận thấy rằng, để kết nối được giữa Hub và Spoke nó phải kết nói thông qua Cloud. Cloud ở đây ám chỉ nhà cung cấp dịch vụ internet (ISP). Có nhiều giải pháp cho bạn sử dụng các dịch của ISP cung cấp. Cloud này có thể là Frame- Reply, ATM, Leased Lmes. Kỹ thuật thiết kế Trong thiết kế DMVPN, có hai topology được đưa ra bàn luận: Dual hub-dual DMVPN cloud e Dual hub-single DMVPN cloud Trước tiên bạn cần hiểu DMVPN cloud là gì, nó là tập hợp các router được cầu hình định tuyến để giao tiếp với nhau. Bạn có thê dùng giao thức mGRE hoặc PPP hoặc là cả hai để cầu hình giao tiếp với các router này, chúng phải có cùng subnct. Như vậy hai kỹ thuật đề cập ở trên có thê hiểu là đa hub đa DMVPN cloud và đa hub một DMVPN cloud. Nó được minh họa như hình dưới.
Hình 1.2: Dual DMVPN Clound Topology Trong mô hình Dual hub dual DMVPN cloud, Hub 1 là trung tâm chính, nó kết nối với các Branch qua DMVPN cloud 1, và dĩ nhiên chúng có cùng subnet. Nó duy trì kết nối thường xuyên hơn. Trong khi đó, Hub 2 được khuyến cáo là để dự phòng trong trường hợp Hub 1 gặp chút trục trặc. Giữa Hubl và Hub 2 được khuyến cáo kết nối với nhau trong mạng campus và không cùng subnet (cùng một net, tức là net được chia mạng con). Điều tất nhiên phải đảm bảo là cả hub 1 và hub 2 đều phải giao tiếp được với hệ thống mạng bên trong. Giải pháp này được biết đến với khả năng Failover, tức là hạn chế sự có, luôn duy trì kết nối.
Hình 1.3: Single DMVPN Cloud Topology Mô hình thứ hai, dual hub singel DMVPN cloud, bạn chỉ có một đường mạng đề kết nói tất cả các hub và branch. Từ DMVPN Cloud bạn thấy chúng ta có hai kết nói về hai hub. Giải pháp này được biết đến với khả năng load balanced. DMVPN cloud hỗ trợ cho cả hai mô hình triển khai hub-and-spoke và spoke-and-spoke. Trong huband-spoke, mỗi headend chứa một interface mGRE và mỗi branch có chứ cả p2p hoặc mGRE interface. Trong mô hình spoke-and-spoke cả hai đầu headend và branch đều có mGRE mterfacce. Dual DMVPN Cloud Topology Với Dual Cloud chúng †a sẽ thảo luận cho hai model triên khai: Hub-and-spoke
Spoke-to-spoke Hub-and-Spoke Với Dual DMVPN cloud trong model hub-and-spoke, có chứa hai headend (hubl và hub2), mỗi cái có một hoặc nhiều tunnel mGRE kết nối đến tất cả các branch.
Hình
1.4:
Dual
DMYVPN
Cloud
Topology—Hub-and-Spoke
Deployment Model Mỗi DMVPN cloud được đại diện bằng IP duy nhất trong subnet. Một DMVPN cloud được gọi là primary (cloud chính), chịu trách nhiệm cho mọi lượng mạng của Branch đi qua. Mỗi branch có chứa hai interface p2p GRE kết nối đến mỗi Hub riêng
lề. Trong model triển khai này không có tunnel nào giữa các branch. Giao tiếp nội bộ giữa các branch được cung cấp thông qua hub. Thông số metric của giao thức định tuyến mà hệ thống sử dụng, được sử dụng để xác định đâu là primary hub. Kiến trúc hệ thống của trung tâm (system headend) Có hai kiến trúc dành cho hệ thống trung tâm được đưa ra triển khai là: Single Tier Dual Tier Simgle Tier Trong kiến trúc Single Tier, về mặt chức năng thì mGRE và Cryptfo cùng tồn tại trong một CPU của router.
Hình 1.5: Single Tier Headend Architecture Hình trên là giải pháp dual cloud với model hud-and-spoke. Tắt cả các Headend đều có tunnel mGRE và Crypto được gộp chung lại trong một multiple GRE tunnel, để phục vụ cho các luồng dữ liệu của branch. Mặt khác, để kết thúc tunnel VPN tại trung tâm, headend có thê gửi một thông điệp để báo cho giao thức định tuyến đang được sử dụng tại branch như EIGRP, OSPF, bất kế đường nào được chọn trong cloud (cloud path — đường kết nối giữa các router). Dual Tier
Related Documents
Tt
May 2020 33
Tt
November 2019 40
Tt
October 2019 48
Tt
May 2020 19
Tt
October 2019 36
Tt
April 2020 21More Documents from "Liony"
208688372-dynamic-multipoint-vpn-docx.docx
April 2020 5
Mau Trinh Bay Do An Tot Nghiep.doc
April 2020 5
