Kiến thức mạng

Các đường truyền này, được giới hạn từ ISDN (Integrated Services Digital Network, 128 Kbps) đến đường cáp quang OC3 (Optical Carrier-3, 155 Mbps). Mỗi mạng WAN đều có các điểm thuận lợi trên một mạng công cộng như Internet trong độ tin cậy, hiệu năng và tính an toàn, bảo mật. Nhưng để bảo trì một mạng WAN, đặc biệt khi sử dụng các đường truyền riêng, có thể trở lên quá đắt và làm tăng giá khi công ty muốn mở rộng các văn phòng đại diện.

• Remote-Access: Hay cũng được gọi là Virtual Private Dial-up Network (VPDN), đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa. Điển hình, mỗi công ty có thể hy vọng rằng cài đặt một mạng kiểu Remote-Access diện rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP (Enterprise Service Provider). ESP cài đặt một một công nghệ Network Access Server (NAS) và cung cấp cho các user ở xa với phần mềm client trên mỗi máy của họ. Các nhân viên từ xa này sau đó có thể quay một số từ 1-800 để kết nối được theo chuẩn NAS và sử dụng các phần mềm VPN client để truy cập mạng công ty của họ. Các công ty khi sử dụng loại kết nối này là những hãng lớnvới hàng trăm nhân viên thương mại. Remote-access VPNs đảm bảo các kết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một nhà cung cấp dịch vụ thứ ba (third-party)
• Site-to-Site: Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet. Các mạng Site-to-site VPN có thể thuộc một trong hai dạng sau:
  • Intranet-based: Áp dụng trong truờng hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểm đều đã có 1 mạng cục bộ LAN. Khi đó họ có thể xây dựng một mạng riêng ảo VPN để kết nối các mạng cục bộ đó trong 1 mạng riêng thống nhất.
  • Extranet-based: Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ như, một đồng nghiệp, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng extranet VPN để kết nối kiểu mạng Lan với mạng Lan và cho phép các công ty đó có thể làm việc trong một môi trường có chia sẻ tài nguyên.

• Mở rộng vùng địa lý có thể kết nối được
• Tăng cường bảo mật cho hệ thống mạng
• Giảm chi phí vận hành so với mạng WAN truyền thống
• Giảm thời gian và chi phí truyền dữ liệu đến người dùng ở xa
• Tăng cường năng suất
• Giảm đơn giản hoá cấu trúc mạng
• Cung cấp thêm một phương thức mạng toàn cầu
• Cung cấp khả năng hỗ trợ thông tin từ xa
• Cung cấp khả năng tương thích cho mạng băng thông rộng
• Cung cấp khả năng sinh lợi nhuận cao hơn mạng WAN truyền thống

Một mạng VPN được thiết kế tốt sẽ đáp ứng được các yêu cầu sau:

• Bảo mật (Security)
• Tin cậy (Reliability)
• Dễ mở rộng, nâng cấp (Scalability)
• Quản trị mạng thuận tiện (Network management)
• Quản trị chính sách mạng tốt (Policy management)
  

Có thể nói rằng mỗi hòn đảo đại diện cho một mạng LAN riêng biệt và biển cả là Internet. Du lịch bằng thuyền thì giống như kết nối đến một Web server hay một tài nguyên mạng khác thông qua Internet. Bạn không có quyền điều khiển đường truyền và các bộ định tuyến trên Internet, cũng như bạn không có quyền điều khiển những người khác trên các con thuyền. Điều này có thể làm cho bạn có thể gặp phải vấn đề về bảo mật khi bạn muốn kết nối hai mạng riêng sử dụng tài nguyên mạng internet công cộng.

Tiếp tục so sánh, hòn đảo của bạn sẽ xây dựng một cây cầu (bridge) đến các hòn đảo khác, như vậy giao thông sẽ dễ dàng hơn, bảo mật an toàn hơn và tạo nên đường giao thông trực tiếp cho mọi người giữa hai đảo. Giá thành để xây dựng và bảo dưỡng cây cầu sẽ đắt, dù cho khoảng cách giữa hai hòn đảo là rất gần. Nhưng việc này cần thiết cho việc đảm bảo tính tin cậy, bảo mật an toàn của đường đi, đó là lý do tốt để bạn thực hiện xây dựng cầu. Hòn đảo của bạn muón xây tiếp một cây cầu đến một hòn đảo thứ hai sẽ nhanh hơn nhưng giá thành khó có thể chấp nhận được.

Điều này giống như bạn sử dụng một đường truyền trực tiếp. Cây cầu (leased line) tách độc lập ra khỏi đại dương (Internet), nhưng bạn vẫn có thể kết nối các đảo (LAN) với nhau. Rất nhiều công ty lựa chọn giải pháp này bởi vì nó cần thiết cho an toàn thông tin và tính tin cậy khi kết nối giữa các văn phòng. Tuy nhiên, nếu các văn phòng rất cách xa nhau, giá thành có thể sẽ rất lớn -- cũng như khi xây một cây cầu thật dài.

Sử dụng VPN sẽ có lợi như thế nào? trong so sánh, chúng ta có thể cung cấp cho mỗi người dân trên đảo một con tàu ngầm nhỏ (submarine). Giả thiết rằng con tàu ngầm nhỏ đó có các ưu điểm như sau:

• Tốc độ nhanh
• Dễ dàng đưa bạn đi đến nơi bạn muốn
• Cho phép bạn trốn khỏi bất kỹ một con thuyền hay tàu ngầm nào khác
• Độ an toàn cao
• Giá thành sản xuất nhỏ hơn so với các con thuyền truyền thống khi bạn hạ thuỷ lần đầu tiên

• Bức tường lửa - Một tường lửa (firewall) cung cấp biện pháp ngăn chặn hiệu quả giữa mạng riêng của bạn với Internet. Bạn có thể sử dụng tường lửa ngăn chặn các cổng được mở, loại gói tin được phép truyền qua và giao thức sử dụng. Một vài sản phẩm VPN, chẳng hạn như Cisco's 1700 router, có thể nâng cấp để bao gồm cả tường lửa bằng cách chạy Cisco IOS tương ứng ở trên router. Bạn cũng nên có tường lửa trước khi bạn sử dụng VPN, nhưng tường lửa cũng có thể ngăn chặn các phiên làm việc của VPN.
• Mã hoá - Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống mã hoá máy tính thuộc về 1 trong 2 loại sau:
  • Mã hoá sử dụng khoá riêng (Symmetric-key encryption)
  • Mã hoá sử dụng khoá công khai (Public-key encryption)

  Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật sử dụng để mã hoá các gói tin trước khi truyền đi. Khoá riêng này cần được cài trên mỗi máy tính có trao đổi thông tin sử dụng mã hoá riêng và máy tính phải biết được trình tự giải mã đã được quy ước trrước. Mã bí mật thì sử dụng để giải mã gói tin. Ví dụ: Bạn tạo ra một bức thư mã hoá mà trong nội dung thư mỗi ký tự được thay thế bằng ký tự ở sau nó 2 vị trí trong bảng ký tự . Như vậy A sẽ được thay bằng C, và B sẽ được thay bằng D. Bạn đã nói với người bạn khoá riêng là Dịch đi 2 vị trí (Shift by 2). Bạn của bạn nhận được thư sẽ giải mã sử dụng chìa khoá riêng đó. Còn những người khác sẽ không đọc được nội dung thư.

  
  
• Máy tính gửi mã hoá dữ liệu cần gửi bằng khoá bí mật (symetric key), sau đó mã hoá chính khóa bí mật (symetric key) bằng khoá công khai của người nhận (public key). Máy tính nhận sử dụng khoá riêng của nó (private key) tương ứng với khoá public key để giải mã khoá bí mật (symetric key), sau đó sử dụng khoá bí mật này để giải mã dữ liệu
  

• Hệ Public-key encryption sử dụng một tổ hợp khoá riêng và khoá công cộng để thực hiện mã hoá, giải mã. Khoá riêng chỉ sử dụng tại máy tính đó, còn khoá công cộng được truyền đi đến các máy tính khác mà nó muốn trao đổi thông tin bảo mật. Để giải mã dữ liệu mã hoá, máy tính kia phải sử dụng khoá công cộng nhận được, và khoá riêng của chính nó. Một phần mềm mã hóa công khai thông dụng là Pretty Good Privacy (PGP) cho phép bạn mã hoá đựợc hầu hết mọi thứ. Bạn có thể xem thêm thông tin tại trang chủ PGP.

  

   

  Một hệ thông truy cập xa dựa trên VPN sử dụng IPSec
• Giao thức bảo mật IPSec - Internet Protocol Security Protocol cung cấp các tính năng bảo mật mở rộng bao gồm các thuật toán mã hóa và xác thực tốt hơn. IPSec có hai chế độ mã hoá: kênh tunnel và lớp truyền tải transport. Mã hoá kênh Tunnel mã hoá cả header và nội dung mỗi gói tin trong khi mã hoá lớp truyền tải chỉ mã hoá nội dung gói tin. Chỉ có những hệ thống sử dụng IPSec tương thích mới có khả năng tiên tiến này. Mặc dù vậy, tất cả các thiết bị phải sử dụng một khoá dùng chung và các tường lửa ở mỗi mạng phải có chính sách cấu hình bảo mật tương đương nhau. IPSec có thể mã hoá dữ liệu truyền giữa rất nhiều thiết bị, chẳng hạn như:
  • Từ router đến router
  • Từ firewall đến router
  • Từ PC đến router
  • Từ PC đến server
• Máy chủ xác thực, xác nhận và quản lý tài khoản AAA Server (Authentication, Authorization, Accounting Server) được sử dụng để tăng tính bảo mật trong truy nhập từ xa của VPN. Khi một yêu cầu được gửi đến để tạo nên một phiên làm việc, yêu cầu này phải đi qua một AAA server đóng via trò proxy. AAA sẽ kiểm tra:
  • Bạn là ai (xác thực)
  • Bạn được phép làm gì (xác nhận)
  • Bạn đang làm gì (quản lý tài khoản)
  Các thông tin về tài khoản sử dụng đặc biệt hữu ích khi theo dõi người dùng nhằm mục đích bảo mật, tính hoá đơn, hoặc lập báo cáo.

• Phần mềm máy trạm cho mỗi người dùng xa
• Các thiết bị phần cứng riêng biệt, ví dụ như: bộ tập trung (VPN Concentrator) hoặc tường lửa (Secure PIX Firewall)
• Các máy chủ VPN sử dụng cho dịch vụ quay số
• Máy chủ truy cập NAS (Network Access Server) dùng cho các người dùng VPN ở xa truy nhập
• Trung tâm quản lý mạng và chính sách VPN

Hiên nay do chưa có tiêu chuẩn rộng rãi để triển khai VPN, rất nhiều công ty đã tự phát triển các giải pháp trọn gói cho riêng mình. Ví dụ, Cisco đã đưa ra ột vài giải pháp cho VPN bao gồm:

• Bộ tập trung VPN (VPN Concentrator): Tích hợp các ưu điểm tiên tiến nhất của mã hoá và xác nhận, bộ tập trung Cisco được chế tạo riêng biêt cho tính năng truy cập VPN từ xa. Chúng cung cấp khả năng sử dụng, hiệu năng cao, dễ nâng cấp mở rộng và bao gồm nhiều thành phần gọi là bộ xử lýã hoá có khả năng mở rộng (Scalabe Encryption Pcessing - SEP), cho phép người dùng dễ dàng tăng thêm dung lượng và khả năng xử lý. Các bộ tập trung rất phù hợp cho các doanh nghiệp với khoảng 100 số người truy cập VPN từ xa hoặc ít hơn truy nhập đến mạng của tổ chức có khoảng 10,000 người sử dụng đồng thời.

  Bộ tập trung VPN Cisco 3000

• Bộ đinh tuyến VPN thông minh (Cisco's VPN-optimized routers) cung cấp khả năng định tuyến, bảo mật và chất lượng dịch vụ mở rộng. Dựa trên nền tảng phần mềm hệ điều hành mạng internat của Cisco IOS (Internet Operating System), đây là một bộ định tuyến rất phù hợp cho hầu hết các trường hợp, từ văn phòng nhỏ/văn phòng gia đình SOHO (small-office/home-office) truy nhập đến trung tm VPN, oặc đến các donhnghcó quy mô lớn.

  Bộ định tuyến truy nhập Cisco1750

• Tường lửa bảo mật - Cisco Secure PIX Firewall: Bộ PIX (Private Internet eXchange) Firewall tích hợp bộ phiên dịch địa chỉ mạng động, máy chủ proxy, bộ lọc gói tin, tường lửa và VPN trong một phần cứng duy nhất. Thay thế cho việc sử dụng Cisco IOS, thiết bị này có dung lượng thông tin cao hơn phù hợp cho khả năng quản lý nhiều giao thức và rất tinh vi đặc biêt là IP.

  Bộ Cisco PIX Firewall

Kênh thông tin yêu cầu bao giao thức khác nhau:

• Giao thức sóng mang - Carrier protocol: (còn gọi là giao thức truyền tải) giao thức này sử dụng trên mạng để thông tin về trạng thái đường truyền.
• Giao thức đóng gói - Encapsulating protocol: bao gồm các giao thức GRE, IPSec, L2F, PPTP, L2TP cho phép che giấu nội dung truyền
• Giao thức gói - Passenger protocol: giao thức bao gồm IPX, NetBeui, IP

Tunneling rất tốt khi sử dụng cho VPN. Ví dụ, bạn có thể đặt một gói tin có giao thức không hỗ trợ cho internet chẳng hạn như NetBeui vào trong một gói tin IP và truyền nó đi an toàn thông qua mạng Internet. Hoặc là bạn có thể đặt một gói tin sử dụng trong mạng riêng - không định tuyến được (non-routable) vào trong một gói tin có địa chỉ IP toàn cầu (định tuyến được) - globally unique IP address và dùng để mở rộng mạng riêng trên nền tảng mạng Internet.

Trong mô hình VPN Site-to-Site, bộ định tuyến dùng chung GRE (Generic Routing Encapsulation) thường là giao thức đóng gói hỗ trợ cho việc đóng gói bản tin giao thức gói và truyền đi trên mạng nhờ giao thức sóng mang - thường dựa trên IP. Nó chứa các thông tin về kiểu gói tin được đóng gói, thông tin về kết nối giữa máy chủ và máy khách. Thay thế cho GRE, IPSec trong Tunnel Mode thường sử dụng như giao thức đóng gói. IPSec làm việc tốt trên cả hai mô hình VPN Remote-Access và Site-to-Site. IPSec hỗ trợ cho cả hai giao thức này.

Trong mô hình VPN truy nhập từ xa, tunneling thường sử dụng PPP. Một phần của giao thức TCP/IP, PPP là giao thức truyền tải cho các giao thức IP khác khi thông tin trên mạng giữa các máy tính. Remote-Access VPN tunneling dựa trên nền tảng PPP.

Mỗi giao thức được liệt kê dưới đây được xây dựng dựa trên nền giao thức PPP và thường dùng trong VPN truy nhập từ xa.

• L2F (Layer 2 Forwarding): do Cisco phát triển, L2F sẽ sử dụng bất kỳ một cơ chế xác nhận do PPP hỗ trợ.
• PPTP (Point-to-Point Tunneling Protocol): do PPTP Forum phát triển, một nhóm cộng tác bao gồm US Robotics, Microsoft, 3COM, Ascend và ECI Telematics. PPTP hỗ trợ cho mã hoá 40-bit và 128-bit được sử dụng trong bất kỳ cơ chế xác nhận nào sử dụng trong PPP.
• L2TP (Layer 2 Tunneling Protocol): được phát triển gần đây nhất, L2TP là sản phẩm do các thành vỉên trong PPTP Forum hình thành nên, Cisco và IETF (Internet Engineering Task Force). Nó tích hợp các tính năng của cả PPTP và L2F, L2TP đồng thời cũng hỗ trợ IPSec.

L2TP có thể sử dụng như giao thức kênh thông tin - tunneling protocol trong mô hình VPN Site-to-Site cũng như VPN tuy nhập từ xa. Trong thực tế, L2TP có thể tạo kênh thông tin giữa:

• Client và Router
• NAS và Router
• Router và Router

Chiếc xe ô tô giống như giao thức truyền tải, cái hộp giống như giao thức đóng gói và chiếc máy tính là giao thức gói

Tunneling giống như chuyên chở máy tính bằng xe ô tô. Nhà cung cấp đóng gói chiếc máy tính (passenger protocol) vào trong hộp đựng (encapsulating protocol) và đặt vào xe ô tô (carrier protocol) đang đỗ ở cổng nhà sản xuất (entry tunnel interface). Ô tô (carrier protocol) sẽ chuyên chở cái máy tình đóng hộp trên đường (Internet) đến nhà bạn (exit tunnel interface). Bạn nhận chiêc hộp rồi mở ra (encapsulating protocol) và nhận lấy chiếc máy tính (passenger protocol). Tunneling đơn giản là như vậy!