Giáo viên: Nguyễn Trọng Anh Học viên: Nguyễn Văn Tâm

VPN - Virtual Private Networks 1

Giới Thiệu. VPN là gì? Phân loại VPN. Lợi ích của VPN Tính bảo mật của VPN Các kỹ thuật sử dụng trong VPN
VPN - Virtual Private Networks 2

-Phương

án truyền thông nhanh, tin cậy, an toàn trở thành mối quan tâm đặc biệt của nhiều công ty.Công ty đa quốc gia. -Giải pháp thông thường: Thuê các đường truyền riêng để duy trì mạng WAN (Wide Area Network): -+ ISDN (Integrated Services Digital Network, 128 Kbps) -+ Đường cáp quang OC3 (Optical Carrier-3, 155 Mbps) -> Mỗi vWAN đều có thuận lợi về tính tin cậy độ an toàn, và truyền thông. Nhưng vấn đề bảo trì một vWAN, đặc biệt khi sử đường truyền riêng có thể trở nên quá đắt và làm tăng giá khi công ty muốn mở rộng văn phòng đại diện VPN là rất cần thiết.
VPN - Virtual Private Networks 3

Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa.

VPN - Virtual Private Networks

4

Mỗi VPN có thể có một mạng LAN chung tại toà nhà trung tâm của một công ty, các mạng Lan khác tại các văn phòng từ xa hay các nhân viên làm việc tại nhà,... kết nối tới
VPN - Virtual Private Networks 5

Remote-Access Site-to-Site Intranet-based Extranet-based

VPN - Virtual Private Networks

6

oCòn

được gọi là: Virtual Private Dial-up Network (VPDN), đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa. ocông ty có thể cài đặt một mạng kiểu Remote-Access diện rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP (Enterprise Service Provider). ESP cài đặt một một công nghệ Network Access Server (NAS) và cung cấp cho các user ở xa với phần mềm client trên mỗi máy của họ. Các nhân viên từ xa này sau đó có thể quay một số từ 1-800 để kết nối được theo chuẩn NAS và sử dụng các phần mềm VPN client để truy cập mạng công ty của họ

VPN - Virtual Private Networks

7

Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet. Các site to site có thể thuộc một trong hai dạng. Intranet-based: Áp dụng trong truờng hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa điểm đều đã có 1 mạng cục bộ LAN. Khi đó họ có thể xây dựng một mạng riêng ảo VPN để kết nối các mạng cục bộ đó trong 1 mạng riêng thống nhất. Extranet-based: Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ như, một đồng nghiệp, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng extranet VPN để kết nối kiểu mạng Lan với mạng Lan và cho phép các công ty đó có thể làm việc trong một môi trường có chia sẻ tài nguyên.

VPN - Virtual Private Networks

8

Ba loại mạng riêng ảo
VPN - Virtual Private Networks 9

1) 2) 3) 4) 5) 6) 7) 8) 9) 10)

Mở rộng vùng địa lý có thể kết nối được Tăng cường bảo mật cho hệ thống mạng Giảm chi phí vận hành so với mạng WAN truyền thống Giảm thời gian và chi phí truyền dữ liệu đến người dùng ở xa Tăng cường năng suất Giảm đơn giản hoá cấu trúc mạng Cung cấp thêm một phương thức mạng toàn cầu Cung cấp khả năng hỗ trợ thông tin từ xa Cung cấp khả năng tương thích cho mạng băng thông rộng Cung cấp khả năng sinh lợi nhuận cao hơn mạng WAN truyền thống

VPN - Virtual Private Networks

10

Trong phép so sánh, mỗi người có một tàu ngầm - tương tự như một người dùng ở đầu xa có quyền truy cập vào mạng riêng của công ty sử dụng VPN
VPN - Virtual Private Networks 11

Một VPN được thiết kế tốt thường sử dụng vài phương pháp để duy trì kết nối và giữ an toàn khi truyền dữ liệu: Bức tường lửa(firewall): Ngăn chặn các cổng được mở, các gói tin được phép truyền qua, các giao thức sử dụng. Mã hoá - Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được. Mã hoá sử dụng khoá riêng (Symmetric-key encryption) Mã hoá sử dụng khoá công khai (Public-key encryption)
VPN - Virtual Private Networks 12

Giao thức bảo mật IPSec - Internet Protocol Security Protocol cung cấp các tính năng bảo mật mở rộng bao gồm các thuật toán mã hóa và xác thực tốt hơn. IPSec có hai chế độ mã hoá: kênh tunnel và lớp truyền tải transport. Mã hoá kênh Tunnel mã hoá cả header và nội dung mỗi gói tin trong khi mã hoá lớp truyền tải chỉ mã hoá nội dung gói tin. Chỉ có những hệ thống sử dụng IPSec tương thích mới có khả năng tiên tiến này. IPSec có thể mã hoá dữ liệu truyền giữa rất nhiều thiết bị, chẳng hạn như:
Từ router đến router Từ firewall đến router Từ PC đến router Từ PC đến server

VPN - Virtual Private Networks

13

Máy chủ xác thực, xác nhận và quản lý tài khoản AAA Server (Authentication, Authorization, Accounting Server) được sử dụng để tăng tính bảo mật trong truy nhập từ xa của VPN. Khi một yêu cầu được gửi đến để tạo nên một phiên làm việc, yêu cầu này phải đi qua một AAA server đóng via trò proxy. AAA sẽ kiểm tra: Bạn là ai (xác thực) Bạn được phép làm gì (xác nhận) Bạn đang làm gì (quản lý tài khoản) Các thông tin về tài khoản sử dụng đặc biệt hữu ích khi theo dõi người dùng nhằm mục đích bảo mật, tính hoá đơn, hoặc lập báo cáo
VPN - Virtual Private Networks 14

Kỹ thuật Tunneling: Trong mô hình VPN truy nhập từ xa, tunneling thường sử dụng PPP. Một phần của giao thức TCP/IP, PPP là giao thức truyền tải cho các giao thức IP khác khi thông tin trên mạng giữa các máy tính. Remote-Access VPN tunneling dựa trên nền tảng PPP. o L2F (Layer 2 Forwarding): do Cisco phát triển, L2F sẽ sử dụng bất kỳ một cơ chế xác nhận do PPP hỗ trợ. o PPTP (Point-to-Point Tunneling Protocol): do PPTP Forum phát triển, một nhóm cộng tác bao gồm US Robotics, Microsoft, 3COM, Ascend và ECI Telematics. PPTP hỗ trợ cho mã hoá 40-bit và 128-bit được sử dụng trong bất kỳ cơ chế xác nhận nào sử dụng trong PPP. o L2TP (Layer 2 Tunneling Protocol): được phát triển gần đây nhất, L2TP là sản phẩm do các thành vỉên trong PPTP Forum hình thành nên, Cisco và IETF (Internet Engineering Task Force). Nó tích hợp các tính năng của cả PPTP và L2F, L2TP đồng thời cũng hỗ trợ IPSec.
VPN - Virtual Private Networks 15

Chiếc xe ô tô giống như giao thức truyền tải, cái hộp giống như giao thức đóng gói và chiếc máy tính là giao thức gói

Tunneling giống như chuyên chở máy tính bằng xe ô tô. Nhà cung cấp đóng gói chiếc máy tính (passenger protocol) vào trong hộp đựng (encapsulating protocol) và đặt vào xe ô tô (carrier protocol) đang đỗ ở cổng nhà sản xuất (entry tunnel interface). Ô tô (carrier protocol) sẽ chuyên chở cái máy tình đóng hộp trên đường (Internet) đến nhà bạn (exit tunnel interface). Bạn nhận chiêc hộp rồi mở ra (encapsulating protocol) và nhận lấy chiếc máy tính (passenger protocol). Tunneling đơn giản là như vậy!
VPN - Virtual Private Networks 16

VPN là một giải pháp tốt cho công ty để kết nối nhân viên và các bạn hàng mà không phụ thuộc vào việc họ đang ở đâu.

VPN - Virtual Private Networks

17

VPN - Virtual Private Networks

18