Tweet
SV Thực hiện : Huỳnh Thành Trung
Link bài trước:http://vnpro.org/forum/showthread.ph...ng-dụng-(tt)
2.1. VPN:
Như đã đề cập ở phần trên VPN được định nghĩa nôm na là một mạng mà khách hàng có thể kết nối giửa các site của họ và mạng đó dựa trên môi trường hạ tầng mạng công cộng nhưng lại có khả năng triển khai chính sách về bảo mật và truy cập như là một mạng riêng.Ở phần này ta sẽ đi sâu hơn vào dịch vụ VPN
2.1.1.Cuộc Cách mạng VPN:
-Thuở ban đầu mạng được triển khai với 2 nền công nghệ mạng chính là leased lines cho những kết nổi vĩnh viển và dial-up lines cho kết nối thường trực theo yêu cầu
-Mạng máy tính ban đầu đã cung cấp cho khách hàng rất tốt về bảo mật( muốn truyền dữ liệu trên leased line yêu cầu phải có các thiết bị và dây chuyên dụng mới có thể truy cập vào được) nhưng không hiệu quả về kinh tế vì 2 lý do :
-Chính 2 lý do trên đã thúc đẩy nền công nghiệp truyền thông dữ liệu lẩn nhà cung cấp dịch vụ phát triển và thực hiện thống kê lược đồ ghép kênh, cung cấp cho khách hàng một dịch vụ tương đương leased lines. Dịch vụ này rẻ hơn và nhà cung cấp dịch có thể đạt nhiều lợi nhuận từ lượng khách hàng lớn của mình. Những mạng riêng ảo(VPN) đầu tiên dựa trên nền công nghệ X.25 và Frame Relay và sau đó là SMDS và ATM
-Nhà cung cấp dịch vụ sở hữu cơ sở hạ tầng(thiết bị tuyền dẫn tuyền thông) dùng để cung cấp leased line mô phỏng cho khách hàng của họ.
-Khách hàng kết nối vào dịch vụ mạng của nhà cung cấp thông qua CPE(thiết bị kết nối nằm ở site khách hàng) các thiết bị đó làm nhiệm vụ đóng gói và mở gói
( PAD – Packet Assembly and Disassembly ).Một thuật ngữ khác của CPE là CE.
-Thiết bị CPE được kết nối thông qua phương tiện truyền dẩn truyền thông( thường là leased line nhưng cũng có thể là kết nối quay số) đến thiết bị của nhà cung cấp dịch vụ, nó có thể là X.25 , Frame Relay, ATM Switch hoặc là những router. Những thiết bị của nhà cung cấp dịch vụ ở mặt biên gọi là thiết bị PE(Provider Edge)
-Các nhà cung cấp dịch vụ hay bổ sung các thiết bị vào lõi mạng của mình (gọi là P - Network). Nhửng thiết bị đó gọi là P- devices (vd : P – Switch , P – Router)
VPN hiện đại :
-Việc giới thiệu những công nghệ mới trong mạng nhà cung cấp dịch vụ và những yêu cầu mới của khách hàng.Khái niệm vê VPN ngày càng phức tạp hơn. Do đó các dịch vụ của VPN hiện nay có thể mở rộng nhiều công nghệ và mô hình mạng khác nhau.Chỉ duy nhất một cách để đối phó với sự đa dạng này đó chính là phân loại VPN.Có 4 tiêu chuẩn chính :
2.1.2.Các vấn đề của doanh nghiệp – dựa trên sự phân loại của VPN:
-Doanh nghiệp có 3 vấn đề chính cần giải quyết với mạng riêng ảo là :
-Giao tiếp trong cùng một tổ chức công ty thường ko được bảo vệ tốt bởi máy chủ đầu cuối hay firewall. Dịch vụ VPN thường được triển khai trong môi trường này bởi vì nó cung cấp độ cách ly lẩn bảo mật cao.Giao tiếp trong intranet cũng yêu cầu phải đảm bảo chất lượng dịch vụ của những tiến trình quan trọng.
-Có 2 lý do chính tại sao nhiều tổ chức không dùng internet để triển khai sự giao tiếp giữa các site trong tổ chức. Đó chính là chất lượng dịch vụ đầu cuối , khả năng cách ly cũng như sự bảo mật dữ liệu – internet ko thể làm điều đó. Do đó intranet VPN thường được triển khai với các công nghệ truyền thống X.25 , FR hay ATM.
-Giao tiếp liên tổ chức diển ra giữa site trung tâm của các tổ chức với nhau, - kết nối giữa các tổ chức sử dụng các thiết bị bảo mật chuyên dụng như Firewall hoặc các cơ chế mã hoá. Các yêu cầu về chất lượng dịch vụ trong giao tiếp này ít nghiêm ngặt hơn. Chính những yêu cầu trên làm cho internet ngày một phù hợp hơn với các giao tiếp liên tổ chức, sẽ không ngạc nhiên rằng ngày càng nhiều hoạt động liên tổ chức diển ra trên internet.
-Người dùng di dộng truy cập vào mạng doanh nghiệp từ một vị trí không xác định hay thường xuyên thay đổi luôn là lỗ hỏng về vấn đề bảo mật. Điều đó có thể giải quyết dựa trên các thiết bị đầu cuối bằng cách sử dụng công nghệ mã hoá hay mật khẩu dùng một lần. Do đó những yêu cầu về bảo mật cho những dịch vụ mạng quay số ảo(VPDN) không cao như của intranet , dể nhận thấy rằng hầu hết các dịch vụ VPDN ngày nay điều được triển khai trên đỉnh của giao thức IP trong mạng internet hay đường trục riêng của nhà cung cấp dịch vụ. Giao thức thường được sử dụng trong dịch vụ VPDN trên nền IP bao gồm chuyển tiếp lớp – L2F hay L2TP
2.1.3.1.Mô hình Overlay VPN: Mô hình overlay VPN ra đời từ rất sớm và được triển khai dưới nhiều công nghệ khác nhau. Ban đầu, VPN được xây dựng bằng cách sử dụng các đường leased line để cung cấp kết nối giữa khách hàng ở nhiều vị trí khác nhau. Khách hàng mua dịch vụ leased line của nhà cung cấp. Đường leased line này được thiết lập giữa các site của khách hàng cần kết nối. Đường này là đường dành riêng cho khách hàng.
-Cho đến những năm 1990, Frame Relay được giới thiệu. Frame Relay được xem như là một công nghệ VPN vì nó đáp ứng kết nối cho khách hàng như dịch vụ leased line, chỉ khác ở chỗ là khách hàng không được cung cấp các đường dành riêng cho mỗi khách hàng, mà khách hàng sử dụng một đường chung nhưng được chỉ định các mạch ảo. Các mạch ảo này sẽ đảm bảo lưu lượng cho mỗi khách hàng là riêng biệt. Mạch ảo được gọi là PVC (Permanent Virtual Circuit) hay SVC (Switched Virtual Circuit). Cung cấp mạch ảo cho khách hàng nghĩa là nhà cung cấp dịch vụ đã xây dựng một đường hầm riêng cho lưu lượng khách hàng chảy qua mạng dùng chung của nhà cung cấp dịch vụ. Sau này công nghệ ATM ra đời, về cơ bản ATM cũng hoạt động giống như Frame Relay nhưng đáp ứng tốc độ truyền dẫn cao hơn.
-Overlay VPN còn được triển khai dưới dạng đường hầm (tunneling). Việc triển khai thành công các công nghệ gắn với IP nên một vài nhà cung cấp dịch vụ bắt đầu triển khai VPN qua IP. Nếu khách hàng nào muốn xây dựng mạng riêng của họ qua Internet thì có thể dùng giải pháp này vì chi phí thấp. Bên cạnh lý do kinh tế, mô hình tunneling còn đáp ứng cho khách hàng việc bảo mật dữ liệu. Hai công nghệ VPN đường hầm phổ biến là IPSec (IP security) và GRE (Generic Route Encapsulation).
-Các cam kết về QoS trong mô hình overlay VPN thường là cam kết về băng thông trên một VC, giá trị này được gọi là CIR (Committed Information Rate). Băng thông có thể sử dụng được tối đa trên một kênh ảo đó, giá trị này được gọi là PIR (Peak Information Rate). Việc cam kết này được thực hiện thông qua các thống kê tự nhiên của dịch vụ lớp 2 nhưng lại phụ thuộc vào chiến lược của nhà cung cấp. Điều này có nghĩa là tốc độ cam kết không thật sự được bảo đảm mặc dù nhà cung cấp có thể đảm bảo tốc độ nhỏ nhất (Minimum Information Rate – MIR). Cam kết về băng thông cũng chỉ là cam kết về hai điểm trong mạng khách hàng. Nếu không có ma trận lưu lượng đầy đủ cho tất cả các lớp lưu lượng thì thật khó có thể thực hiện cam kết này cho khách hàng trong mô hình overlay. Và thật khó để cung cấp nhiều lớp dịch vụ vì nhà cung cấp dịch vụ không thể phân biệt được lưu lượng ở giữa mạng. Để làm được việc này bằng cách tạo ra nhiều kết nối (kết nối full-mesh), như trong mạng Frame Relay hay ATM là có các PVC giữa các site khách hàng. Tuy nhiên, kết nối full-mesh thì chỉ làm tăng thêm chi phí của mạng.
2.1.3.1.1.Mô hình VPN overlay có một số ưu điểm sau:
-Đó là mô hình dễ thực hiện, nhìn theo quan điểm của khách hàng và của cả nhà cung cấp dịch vụ.
- Nhà cung cấp dịch vụ không tham gia vào định tuyến khách hàng trong mạng VPN overlay. Nhiệm vụ của họ là vận chuyển dữ liệu điểm-điểm giữa các site của khách hàng, việc đánh dấu điểm tham chiếu giữa nhà cung cấp dịch vụ và khách hàng sẽ quản lý dễ dàng hơn.
2.1.3.1.2.Hạn chế của mô hình overlay VPN:
Nó thích hợp trong các mạng không cần độ dự phòng với ít site trung tâm và nhiều site ở đầu xa, nhưng lại khó quản lý nếu như cần nhiều cầu hình mắc lưới.
- Việc cung cấp càng nhiều VC đòi hỏi phải có sự hiểu biết cặn kẽ về loại lưu lượng giữa hai site với nhau mà điều này thường không thật sự thích hợp.
- Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo ra một lớp mới không cần thiết đối với các nhà cung cấp hầu hết chỉ dựa trên IP, do đó làm tăng thêm chi phí hoạt động
2.1.3.2.Mô hình VPN ngang cấp (peer-to-peer VPN)
-Để giải quyết các hạn chế của mô hình VPN overlay và để cho nhà cung cấp dịch vụ cung cấp cho khách hàng việc vận chuyển dữ liệu tối ưu qua mạng backbone, mô hình VPN ngang cấp ra đời. Với mô hình này nhà cung cấp dịch vụ tham gia vào hoạt động định tuyến của khách hàng. Tức là router biên mạng nhà cung cấp (Provider Edge – PE) thực hiện trao đổi thông tin định tuyến trực tiếp với router CE của khách hàng.
-Mô hình VPN ngang cấp đã giải quyết được các hạn chế của VPN overlay:
Việc định tuyến đơn giản hơn (nhìn từ phía khách hàng) khi router khách hàng chỉ trao đổi thông tin định tuyến với một hoặc một vài router PE. Trong khi ở mô hình overlay VPN, số lượng router láng giềng có thể phát triển với số lượng lớn.
-Việc cung cấp băng thông đơn giản hơn bởi vì khách hàng chỉ phải quan tâm đến băng thông đầu vào và ra ở mỗi site mà không cần phải chính xác toàn bộ lưu lượng từ site này đến site kia (site-to-site) như mô hình overlay VPN.
Có khả năng mở rộng vì nhà cung cấp dịch vụ chỉ cần thêm vào một site và thay đổi cấu hình trên Router PE. Trong mô hình overlay, nhà cung cấp dịch vụ phải tham gia vào toàn bộ tập hợp các VC từ site này đến site khác của VPN khách hàng.
-Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng VPN ngang cấp:Phương pháp chia sẽ router (shared router): Router dùng chung, tức là khách hàng VPN chia sẽ cùng router biên mạng nhà cung cấp (provider edge – PE). Ở phương pháp này, nhiều khách hàng có thể kết nối đến cùng router PE.
-Phương pháp router P chuyên dụng (dedicated router): là phương pháp mà khách hàng VPN có router PE chuyên dụng. Trong phương pháp này, mỗi khách hàng VPN phải có router PE dành riêng và do đó chỉ truy cập đến các route trong bảng định tuyến của router PE đó.
2.1.3.2.1.So sánh các phương pháp của mô hình VPN ngang cấp:
Phương pháp dùng chung router rất khó duy trì vì nó yêu cầu cần phải có cấu hình access-list dài và phức tạp trên mỗi interface của router. Còn phương pháp dùng router riêng, mặc dù có vẻ đơn giản về cấu hình và dễ duy trì hơn nhưng nhà cung cấp dịch vụ phải bỏ ra chi phí lớn để đảm bảo được phục vụ tốt cho số lượng lớn khách hàng.
Tất cả khách hàng dùng chung không gian địa chỉ IP, nên họ phải sử dụng hoặc là địa chỉ thật trong mạng riêng (private network) của họ hoặc là phụ thuộc vào nhà cung cấp dịch vụ để có được địa chỉ IP. Trong cả hai trường hợp, kết nối một khách hàng mới đến dịch vụ VPN ngang cấp đòi hỏi phải đăng kí lại địa chỉ Ip trong mạng khách hàng.
Khách hàng không thể thêm route mặc định vào VPN. Giới hạn này đã ngăn chặn việc định tuyến tối ưu và cấm khách hàng truy cập Internet từ nhà cung cấp dịch vụ khác.
2.1.3.2.2.Ưu điểm của mô hình VPN peer-to-peer:
-VPN ngang cấp cho ta định tuyến tối ưu giữa các site khách hàng mà không cần phải cấu hình hay thiết kế gì đặc biệt.
-Dễ mở rộng.
2.1.3.2.3.Hạn chế của mô hình VPN peer-to-peer:
-Nhà cung cấp dịch vụ phải đáp ứng được định tuyến khách hàng cho đúng và đảm bảo việc hội tụ của mạng khách hàng khi có lỗi liên kết.
-Router P của nhà cung cấp dịch vụ phải mang tất cả các route của khách hàng.Nhà cung cấp dịch vụ cần phải biết rõ chi tiết về định tuyến IP, mà điều này thực sự không cần thiết đối với nhà cung cấp từ xưa đến nay.
Link bài trước:http://vnpro.org/forum/showthread.ph...ng-dụng-(tt)
2.1. VPN:
Như đã đề cập ở phần trên VPN được định nghĩa nôm na là một mạng mà khách hàng có thể kết nối giửa các site của họ và mạng đó dựa trên môi trường hạ tầng mạng công cộng nhưng lại có khả năng triển khai chính sách về bảo mật và truy cập như là một mạng riêng.Ở phần này ta sẽ đi sâu hơn vào dịch vụ VPN
2.1.1.Cuộc Cách mạng VPN:
-Thuở ban đầu mạng được triển khai với 2 nền công nghệ mạng chính là leased lines cho những kết nổi vĩnh viển và dial-up lines cho kết nối thường trực theo yêu cầu
H12. Mô hình mạng trước khi VPN ra đời cách đây nhiều năm
-Mạng máy tính ban đầu đã cung cấp cho khách hàng rất tốt về bảo mật( muốn truyền dữ liệu trên leased line yêu cầu phải có các thiết bị và dây chuyên dụng mới có thể truy cập vào được) nhưng không hiệu quả về kinh tế vì 2 lý do :
- Lý do thứ 1 : Lưu lượng giữa 2 site trong cùng 1 mạng thay đổi dựa trên các thời điểm nhất định như : thời gian trong 1 ngày ,số ngày trong 1 tháng và cả những mùa nhất định( ví dụ : lưu lượng tại những cửa hàng bán lẻ sẽ tăng trong những dịp mua sắm lớn trong năm)
- Lý do thứ 2 : Người dùng cuối luôn yêu cầu thời gian đáp ứng cao dẩn đến băng thông giữa 2 site phải cao, nhưng việc đó chỉ được sử dụng trong nhửng khoảng time nhất định (khi khách hoạt động thôi chứ ko phải toàn thời gian)
-Chính 2 lý do trên đã thúc đẩy nền công nghiệp truyền thông dữ liệu lẩn nhà cung cấp dịch vụ phát triển và thực hiện thống kê lược đồ ghép kênh, cung cấp cho khách hàng một dịch vụ tương đương leased lines. Dịch vụ này rẻ hơn và nhà cung cấp dịch có thể đạt nhiều lợi nhuận từ lượng khách hàng lớn của mình. Những mạng riêng ảo(VPN) đầu tiên dựa trên nền công nghệ X.25 và Frame Relay và sau đó là SMDS và ATM
H13.Mô hình VPN Frame relay
-Nhà cung cấp dịch vụ sở hữu cơ sở hạ tầng(thiết bị tuyền dẫn tuyền thông) dùng để cung cấp leased line mô phỏng cho khách hàng của họ.
-Khách hàng kết nối vào dịch vụ mạng của nhà cung cấp thông qua CPE(thiết bị kết nối nằm ở site khách hàng) các thiết bị đó làm nhiệm vụ đóng gói và mở gói
( PAD – Packet Assembly and Disassembly ).Một thuật ngữ khác của CPE là CE.
-Thiết bị CPE được kết nối thông qua phương tiện truyền dẩn truyền thông( thường là leased line nhưng cũng có thể là kết nối quay số) đến thiết bị của nhà cung cấp dịch vụ, nó có thể là X.25 , Frame Relay, ATM Switch hoặc là những router. Những thiết bị của nhà cung cấp dịch vụ ở mặt biên gọi là thiết bị PE(Provider Edge)
-Các nhà cung cấp dịch vụ hay bổ sung các thiết bị vào lõi mạng của mình (gọi là P - Network). Nhửng thiết bị đó gọi là P- devices (vd : P – Switch , P – Router)
VPN hiện đại :
-Việc giới thiệu những công nghệ mới trong mạng nhà cung cấp dịch vụ và những yêu cầu mới của khách hàng.Khái niệm vê VPN ngày càng phức tạp hơn. Do đó các dịch vụ của VPN hiện nay có thể mở rộng nhiều công nghệ và mô hình mạng khác nhau.Chỉ duy nhất một cách để đối phó với sự đa dạng này đó chính là phân loại VPN.Có 4 tiêu chuẩn chính :
- Dựa vào cách giao tiếp môi trường mạng ở khách hàng : intranet – extranet – ng dùng di động(hay còn gọi mang quay số riêng ảo).
- Dựa vào tầng giao thức nhà cung cấp dịch vụ trao đổi với khách hàng. Phương thức chính là mô hình overlay – nhà cung cấp dịch vụ chỉ cung cấp cho khách hàng 1 tập hợp point – to – point (hay multipoint), và mô hình peer model – nhà cung cấp dịch vụ và khách hàng trao đổi thông tin định tuyến với nhau.
- Dựa vào công nghệ lớp 2 hay lớp 3 mà mạng nhà cung cấp triển khai dịch vụ VPN. Có thể là X.25 , FR , SMDS , ATM hay IP.
- Mô hình mạng có thể từ mô hình đơn giản đến mô hình đấu nối full meshed và kiến trúc đa tầng trong môi trường mạng lớn.
2.1.2.Các vấn đề của doanh nghiệp – dựa trên sự phân loại của VPN:
-Doanh nghiệp có 3 vấn đề chính cần giải quyết với mạng riêng ảo là :
- Giao tiếp trong cùng một tổ chức công ty (intranet) Giao tiếp liên tổ chức extranet).
- Sự truy cập của ng dùng di động , nhân viên làm tại nhà hay truy cập vào công ty từ xa (Mạng quay số ảo).
- Cả 3 loại trên đều có khả năng mở rộng về mô hình lẩn công nghệ được cung cấp bởi nhà cung cấp dịch vụ VPN, nhưng điểm khác biệt lớn nhất chính là cấp độ bảo mật được yêu cầu trong sự triển khai của họ.
-Giao tiếp trong cùng một tổ chức công ty thường ko được bảo vệ tốt bởi máy chủ đầu cuối hay firewall. Dịch vụ VPN thường được triển khai trong môi trường này bởi vì nó cung cấp độ cách ly lẩn bảo mật cao.Giao tiếp trong intranet cũng yêu cầu phải đảm bảo chất lượng dịch vụ của những tiến trình quan trọng.
-Có 2 lý do chính tại sao nhiều tổ chức không dùng internet để triển khai sự giao tiếp giữa các site trong tổ chức. Đó chính là chất lượng dịch vụ đầu cuối , khả năng cách ly cũng như sự bảo mật dữ liệu – internet ko thể làm điều đó. Do đó intranet VPN thường được triển khai với các công nghệ truyền thống X.25 , FR hay ATM.
-Giao tiếp liên tổ chức diển ra giữa site trung tâm của các tổ chức với nhau, - kết nối giữa các tổ chức sử dụng các thiết bị bảo mật chuyên dụng như Firewall hoặc các cơ chế mã hoá. Các yêu cầu về chất lượng dịch vụ trong giao tiếp này ít nghiêm ngặt hơn. Chính những yêu cầu trên làm cho internet ngày một phù hợp hơn với các giao tiếp liên tổ chức, sẽ không ngạc nhiên rằng ngày càng nhiều hoạt động liên tổ chức diển ra trên internet.
H14.Mô hình mã hoá dữ liệu giữa các tổ chức
-Người dùng di dộng truy cập vào mạng doanh nghiệp từ một vị trí không xác định hay thường xuyên thay đổi luôn là lỗ hỏng về vấn đề bảo mật. Điều đó có thể giải quyết dựa trên các thiết bị đầu cuối bằng cách sử dụng công nghệ mã hoá hay mật khẩu dùng một lần. Do đó những yêu cầu về bảo mật cho những dịch vụ mạng quay số ảo(VPDN) không cao như của intranet , dể nhận thấy rằng hầu hết các dịch vụ VPDN ngày nay điều được triển khai trên đỉnh của giao thức IP trong mạng internet hay đường trục riêng của nhà cung cấp dịch vụ. Giao thức thường được sử dụng trong dịch vụ VPDN trên nền IP bao gồm chuyển tiếp lớp – L2F hay L2TP
H15.VPDN triển khai trên mạng trục của nhà cung cấp dịch vụ
2.1.3.Mô hình overlay VPN và peer-to-peer VPN:2.1.3.1.Mô hình Overlay VPN: Mô hình overlay VPN ra đời từ rất sớm và được triển khai dưới nhiều công nghệ khác nhau. Ban đầu, VPN được xây dựng bằng cách sử dụng các đường leased line để cung cấp kết nối giữa khách hàng ở nhiều vị trí khác nhau. Khách hàng mua dịch vụ leased line của nhà cung cấp. Đường leased line này được thiết lập giữa các site của khách hàng cần kết nối. Đường này là đường dành riêng cho khách hàng.
-Cho đến những năm 1990, Frame Relay được giới thiệu. Frame Relay được xem như là một công nghệ VPN vì nó đáp ứng kết nối cho khách hàng như dịch vụ leased line, chỉ khác ở chỗ là khách hàng không được cung cấp các đường dành riêng cho mỗi khách hàng, mà khách hàng sử dụng một đường chung nhưng được chỉ định các mạch ảo. Các mạch ảo này sẽ đảm bảo lưu lượng cho mỗi khách hàng là riêng biệt. Mạch ảo được gọi là PVC (Permanent Virtual Circuit) hay SVC (Switched Virtual Circuit). Cung cấp mạch ảo cho khách hàng nghĩa là nhà cung cấp dịch vụ đã xây dựng một đường hầm riêng cho lưu lượng khách hàng chảy qua mạng dùng chung của nhà cung cấp dịch vụ. Sau này công nghệ ATM ra đời, về cơ bản ATM cũng hoạt động giống như Frame Relay nhưng đáp ứng tốc độ truyền dẫn cao hơn.
H.16.Mô hình mẫu overlay VPN
-Khách hàng thiết lập việc liên lạc giữa các thiết bị đầu phía khách hàng CPE với nhau qua kênh ảo. Giao thức định tuyến chạy trực tiếp giữa các router khách hàng thiết lập mối quan hệ cận kề và trao đổi thông tin định tuyến với nhau. Nhà cung cấp dịch vụ không hề biết đến thông tin định tuyến của khách hàng. Nhiệm vụ của nhà cung cấp dịch vụ trong mô hình này chỉ là đảm bảo vận chuyển dữ liệu điểm-điểm giữa các site của khách hàng mà thôi.-Overlay VPN còn được triển khai dưới dạng đường hầm (tunneling). Việc triển khai thành công các công nghệ gắn với IP nên một vài nhà cung cấp dịch vụ bắt đầu triển khai VPN qua IP. Nếu khách hàng nào muốn xây dựng mạng riêng của họ qua Internet thì có thể dùng giải pháp này vì chi phí thấp. Bên cạnh lý do kinh tế, mô hình tunneling còn đáp ứng cho khách hàng việc bảo mật dữ liệu. Hai công nghệ VPN đường hầm phổ biến là IPSec (IP security) và GRE (Generic Route Encapsulation).
-Các cam kết về QoS trong mô hình overlay VPN thường là cam kết về băng thông trên một VC, giá trị này được gọi là CIR (Committed Information Rate). Băng thông có thể sử dụng được tối đa trên một kênh ảo đó, giá trị này được gọi là PIR (Peak Information Rate). Việc cam kết này được thực hiện thông qua các thống kê tự nhiên của dịch vụ lớp 2 nhưng lại phụ thuộc vào chiến lược của nhà cung cấp. Điều này có nghĩa là tốc độ cam kết không thật sự được bảo đảm mặc dù nhà cung cấp có thể đảm bảo tốc độ nhỏ nhất (Minimum Information Rate – MIR). Cam kết về băng thông cũng chỉ là cam kết về hai điểm trong mạng khách hàng. Nếu không có ma trận lưu lượng đầy đủ cho tất cả các lớp lưu lượng thì thật khó có thể thực hiện cam kết này cho khách hàng trong mô hình overlay. Và thật khó để cung cấp nhiều lớp dịch vụ vì nhà cung cấp dịch vụ không thể phân biệt được lưu lượng ở giữa mạng. Để làm được việc này bằng cách tạo ra nhiều kết nối (kết nối full-mesh), như trong mạng Frame Relay hay ATM là có các PVC giữa các site khách hàng. Tuy nhiên, kết nối full-mesh thì chỉ làm tăng thêm chi phí của mạng.
2.1.3.1.1.Mô hình VPN overlay có một số ưu điểm sau:
-Đó là mô hình dễ thực hiện, nhìn theo quan điểm của khách hàng và của cả nhà cung cấp dịch vụ.
- Nhà cung cấp dịch vụ không tham gia vào định tuyến khách hàng trong mạng VPN overlay. Nhiệm vụ của họ là vận chuyển dữ liệu điểm-điểm giữa các site của khách hàng, việc đánh dấu điểm tham chiếu giữa nhà cung cấp dịch vụ và khách hàng sẽ quản lý dễ dàng hơn.
2.1.3.1.2.Hạn chế của mô hình overlay VPN:
Nó thích hợp trong các mạng không cần độ dự phòng với ít site trung tâm và nhiều site ở đầu xa, nhưng lại khó quản lý nếu như cần nhiều cầu hình mắc lưới.
- Việc cung cấp càng nhiều VC đòi hỏi phải có sự hiểu biết cặn kẽ về loại lưu lượng giữa hai site với nhau mà điều này thường không thật sự thích hợp.
- Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo ra một lớp mới không cần thiết đối với các nhà cung cấp hầu hết chỉ dựa trên IP, do đó làm tăng thêm chi phí hoạt động
2.1.3.2.Mô hình VPN ngang cấp (peer-to-peer VPN)
-Để giải quyết các hạn chế của mô hình VPN overlay và để cho nhà cung cấp dịch vụ cung cấp cho khách hàng việc vận chuyển dữ liệu tối ưu qua mạng backbone, mô hình VPN ngang cấp ra đời. Với mô hình này nhà cung cấp dịch vụ tham gia vào hoạt động định tuyến của khách hàng. Tức là router biên mạng nhà cung cấp (Provider Edge – PE) thực hiện trao đổi thông tin định tuyến trực tiếp với router CE của khách hàng.
-Mô hình VPN ngang cấp đã giải quyết được các hạn chế của VPN overlay:
Việc định tuyến đơn giản hơn (nhìn từ phía khách hàng) khi router khách hàng chỉ trao đổi thông tin định tuyến với một hoặc một vài router PE. Trong khi ở mô hình overlay VPN, số lượng router láng giềng có thể phát triển với số lượng lớn.
H17.Mô hình Peer to Peer VPN điển hình
-Định tuyến giữa các site khách hàng luôn luôn được tối ưu vì nhà cung cấp dịch vụ biết topology mạng khách hàng và do đó có thể thiết lập định tuyến tối ưu cho các route của họ.-Việc cung cấp băng thông đơn giản hơn bởi vì khách hàng chỉ phải quan tâm đến băng thông đầu vào và ra ở mỗi site mà không cần phải chính xác toàn bộ lưu lượng từ site này đến site kia (site-to-site) như mô hình overlay VPN.
Có khả năng mở rộng vì nhà cung cấp dịch vụ chỉ cần thêm vào một site và thay đổi cấu hình trên Router PE. Trong mô hình overlay, nhà cung cấp dịch vụ phải tham gia vào toàn bộ tập hợp các VC từ site này đến site khác của VPN khách hàng.
-Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng VPN ngang cấp:Phương pháp chia sẽ router (shared router): Router dùng chung, tức là khách hàng VPN chia sẽ cùng router biên mạng nhà cung cấp (provider edge – PE). Ở phương pháp này, nhiều khách hàng có thể kết nối đến cùng router PE.
H18.Mô hình Peer ro Peer shared router
-Trên router PE phải cấu hình access-list cho mỗi interface PE-CE để đảm bảo chắc chắn sự cách ly giữa các khách hàng VPN, để ngăn chặn VPN của khách hàng này thực hiện các tấn công từ chối dịch vụ (DoS – Denial of Service) vào VPN của khách hàng khác. Nhà cung cấp dịch vụ chia mỗi phần trong không gian địa chỉ của nó cho khách hàng và quản lý việc lọc gói tin trên Router PE.-Phương pháp router P chuyên dụng (dedicated router): là phương pháp mà khách hàng VPN có router PE chuyên dụng. Trong phương pháp này, mỗi khách hàng VPN phải có router PE dành riêng và do đó chỉ truy cập đến các route trong bảng định tuyến của router PE đó.
H19.Mô hình peer to peer dedicated router
-Mô hình router dành trước sử dụng các giao thức định tuyến để tạo ra bảng định tuyến trên một VPN trên Router PE. Bảng định tuyến chỉ có các route được quảng bá bởi khách hàng VPN kết nối đến chúng, kết quả là tạo ra sự cách ly tuyệt vời giữa các VPN. Định tuyến trên router dành trước có thể được thực hiện như sau:- Giao thức định tuyến chạy giữa PE và CE là bất kì.
- BGP là giao thức chạy giữa PE và PE.
- PE phân phối các route nhận được từ CE vào BGP, đánh dấu với ID (Identification) của khách hàng (BGP community), và truyền các route đến router P, router P sẽ có tất cả các route từ tất cả VPN của khách hàng.
- Router P chỉ truyền các route với BGP community thích hợp đến Router PE. Do đó Router PE chỉ nhận các route từ Router CE trong VPN của chúng.
2.1.3.2.1.So sánh các phương pháp của mô hình VPN ngang cấp:
Phương pháp dùng chung router rất khó duy trì vì nó yêu cầu cần phải có cấu hình access-list dài và phức tạp trên mỗi interface của router. Còn phương pháp dùng router riêng, mặc dù có vẻ đơn giản về cấu hình và dễ duy trì hơn nhưng nhà cung cấp dịch vụ phải bỏ ra chi phí lớn để đảm bảo được phục vụ tốt cho số lượng lớn khách hàng.
Tất cả khách hàng dùng chung không gian địa chỉ IP, nên họ phải sử dụng hoặc là địa chỉ thật trong mạng riêng (private network) của họ hoặc là phụ thuộc vào nhà cung cấp dịch vụ để có được địa chỉ IP. Trong cả hai trường hợp, kết nối một khách hàng mới đến dịch vụ VPN ngang cấp đòi hỏi phải đăng kí lại địa chỉ Ip trong mạng khách hàng.
Khách hàng không thể thêm route mặc định vào VPN. Giới hạn này đã ngăn chặn việc định tuyến tối ưu và cấm khách hàng truy cập Internet từ nhà cung cấp dịch vụ khác.
2.1.3.2.2.Ưu điểm của mô hình VPN peer-to-peer:
-VPN ngang cấp cho ta định tuyến tối ưu giữa các site khách hàng mà không cần phải cấu hình hay thiết kế gì đặc biệt.
-Dễ mở rộng.
2.1.3.2.3.Hạn chế của mô hình VPN peer-to-peer:
-Nhà cung cấp dịch vụ phải đáp ứng được định tuyến khách hàng cho đúng và đảm bảo việc hội tụ của mạng khách hàng khi có lỗi liên kết.
-Router P của nhà cung cấp dịch vụ phải mang tất cả các route của khách hàng.Nhà cung cấp dịch vụ cần phải biết rõ chi tiết về định tuyến IP, mà điều này thực sự không cần thiết đối với nhà cung cấp từ xưa đến nay.