Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Tổng quan về VPN-Bài 3: Các dạng kết nối VPN

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Tổng quan về VPN-Bài 3: Các dạng kết nối VPN

    Tác giả: (đang cập nhật)
    CÁC DẠNG KẾT NỐI VPN

    1. Remote Access VPNs:
    - Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức.
    - Remote Access VPNs mô tả việc các người dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator (bản chất là một server). Vì lý do này, giải pháp này thường được gọi là client/server. Trong giải pháp này, các người dùng thường thường sử dụng các công nghệ WAN truyền thống để tạo lại các tunnel về mạng HO của họ.
    - Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN, trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless (wireless terminal) và sau đó về mạng của công ty. Trong cả hai trường hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là tunnel.
    - Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty. Chính sách này bao gồm: qui trình (procedure), kỹ thuật, server (such as Remote Authentication Dial-In User Service [RADIUS], Terminal Access Controller Access Control System Plus [TACACS+]…).
    Một số thành phần chính :
    - Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới.
    - Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa so với trung tâm.
    - Hổ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hổ trợ truy cập từ xa bởi người dùng.

    Figure 1-1: The non-VPN remote access setup
    - Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet. Thông tin Remote Access Setup được mô tả bởi hình vẽ sau :

    Figure 1-2: The Remote Access VPN setup

    Như bạn có thể suy ra từ hình 1-2, thuận lợi chính của Remote Access VPNs :
    - Sự cần thiết của RAS và việc kết hợp với modem được loại trừ.
    - Sự cần thiết hổ trợ cho người dung cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bời ISP
    - Việc quay số từ những khoảng cách xa được loại trừ , thay vào đó, những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ.
    - Giảm giá thành chi phí cho các kết nối với khoảng cách xa.
    - Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa.
    - VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hổ trợ dịch vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng.
    Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như :
    - Remote Access VPNs cũng không bảo đảm được chất lượng phục vụ.
    - Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thễ đi ra ngoài và bị thất thoát.
    - Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều này gây khó khăn cho quá trình xác nhận. Thêm vào đó, việc nén dữ liệu IP và PPP-based diễn ra vô cùng chậm chạp và tồi tệ.
    - Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm.

    (còn tiếp)
    Tags: None
  • #2
    Tác giả: (đang cập nhật)

    2. Site - To – Site (Lan – To - Lan):
    - Site-to-site VPN(Lan-to-Lan VPN):được áp dụng để cài đặt mạng từ một vị trí này kết nốI tớI mạng của một vị trí khác thông qua VPN. Trong hoàn cảnh này thì việc chứng thực ban đầu giữa các thiết bị mạng được giao cho người sử dụng. Nơi mà có một kết nốI VPN được thiết lập giữa chúng. Khi đó các thiết bị này đóng vai trò như là một gateway, và đảm bảo rằng việc lưu thông đã được dự tính trước cho các site khác. Các router và Firewall tương thích vớI VPN, và các bộ tập trung VPN chuyên dụng đều cung cấp chức năng này.
    - Lan-to-Lan VPN có thể được xem như là intranet VPN hoặc extranet VPN(xem xét về mặt chính sách quản lý). Nếu chúng ta xem xét dướI góc độ chứng thực nó có thể được xem như là một intranet VPN, ngược lạI chúng được xem như là một extranet VPN. Tính chặt chẽ trong việc truy cập giữa các site có thể được điều khiển bởi cả hai(intranet và extranet VPN) theo các site tương ứng của chúng. Giải pháp Site to site VPN không là một remote access VPN nhưng nó được thêm vào đây vì tính chất hoàn thiện của nó.
    - Sự phân biệt giữa remote access VPN và Lan to Lan VPN chỉ đơn thuần mang tính chất tượng trưng và xa hơn là nó được cung cấp cho mục đích thảo luận. Ví dụ như là các thiết bị VPN dựa trên phần cứng mớI(Router cisco 3002 chẳng hạn) ở đây để phân loạI được, chúng ta phảI áp dụng cả hai cách, bởI vì harware-based client có thể xuất hiện nếu một thiết bị đang truy cập vào mạng. Mặc dù một mạng có thể có nhiều thiết bị VPN đang vận hành. Một ví dụ khác như là chế độ mở rộng của giảI pháp Ez VPN bằng cách dùng router 806 và 17xx.
    - Lan-to-Lan VPN là sự kết nốI hai mạng riêng lẻ thông qua một đường hầm bảo mật. đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPSec, mục đích của Lan-to-Lan VPN là kết nốI hai mạng không có đường nốI lạI vớI nhau, không có việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu. bạn có thể thiết lập một Lan-to-Lan VPN thông qua sự kết hợp của các thiết bị VPN Concentrators, Routers, and Firewalls.
    - Kết nốI Lan-to-Lan được thiết kế để tạo một kết nốI mạng trực tiếp, hiệu quả bất chấp khoảng cách vật lý giữa chúng. Có thể kết nốI này luân chuyển thông qua internet hoặc một mạng không được tin cậy.Bạn phảI đảm bảo vấn đề bảo mật bằng cách sử dụng sự mã hóa dữ liệu trên tất cả các gói dữ liệu đang luân chuyển giữa các mạng đó.
    (còn tiếp)

    Comment

    • #3
      2.1 Intranet VPN:

      Figure 1-3: The intranet setup using WAN backbone
      - Intranet VPNs được sữ dụng để kết nối đến các chi nhánh văn phòng của tổ chức đến Corperate Intranet (backbone router) sữ dụng campus router.
      - Theo mô hình bên trên sẽ rất tốn chi phí do phải sữ dụng 2 router để thiết lập được mạng, thêm vào đó, việc triển khai, bảo trì và quản lý mạng Intranet Backbone sẽ rất tốn kém còn tùy thuộc vào lượng lưu thông trên mạng đi trên nó và phạm vi địa lý của toàn bộ mạng Intranet.
      - Ðể giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi các kết nối Internet với chi phí thấp, điều này có thể một lượng chi phí đáng kể của việc triển khai mạng Intranet:

      Figure 1-4: The intranet setup based on VPN.

      Những thuận lợi chính của Intranet setup dựa trên VPN theo hình 1-4 :
      - Hiệu quả chi phí hơn do giảm số lượng router được sữ dụng theo mô hình WAN backbone
      - Giảm thiểu đáng kể số lượng hổ trợ yêu cầu người dùng cá nhân qua toàn cầu, các trạm ở một số remote site khác nhau.
      - Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những kết nối mới ngang hàng.
      - Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện Intranet.
      Những bất lợi chính kết hợp với cách giải quyết :
      - Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẽ trên mạng công cộng-Internet-và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ (denial-of-service), vẫn còn là một mối đe doạ an toàn thông tin.
      - Khả năng mất dữ liệu trong lúc di chuyễn thông tin cũng vẫn rất cao.
      - Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tin mulltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua Internet.
      - Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên, và QoS cũng không được đảm bảo.
      2.2 Extranet VPNs:
      - Không giống như Intranet và Remote Access-based, Extranet không hoàn toàn cách li từ bên ngoài (outer-world), Extranet cho phép truy cập những tài nguyên mạng cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác những người giữ vai trò quan trọng trong tổ chức.

      Figure 1-5: The traditional extranet setup.
      - Như hình trên, mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết hợp lại với nhau để tạo ra một Extranet. Ðiều này làm cho khó triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc bảo trì và quản trị. Thêm nữa là mạng Extranet sẽ dễ mở rộng do điều này sẽ làm rối tung toàn bộ mạng Intranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng. Sẽ có những vấn đề bạn gặp phải bất thình lình khi kết nối một Intranet vào một mạng Extranet. Triển khai và thiết kế một mạng Extranet có thể là một cơn ác mộng của các nhà thiết kế và quản trị mạng.

      Figure 1-7: The Extranet VPN setup

      Một số thuận lợi của Extranet :
      - Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phối khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức.- Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì.- Dễ dàng triển khai, quản lý và chỉnh sữa thông tin.
      Một số bất lợi của Extranet :
      - Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại.
      - Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
      - Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn ra chậm chạp.
      - Do dựa trên Internet, QoS(Quality of Service) cũng không được bảo đảm thường xuyên.

      (hết)

      Comment

      • #4
        Em chưa thấy đề cập đến các vấn đề rất hay của VPN như:
        1. Managing VPN (manging Tunel, keys, user, database...vv)
        2. Securing VPN.
        BácThanhsang_truong hay bác nào rành về phần này post một bài dài dài nên cái nhỉ. Phần này em đọc sách nhưng không thấy hiểu lắm. Nhờ các đại ka chỉ giáo phát.
        Thank in advance,

        Comment

        Previous template Next
        Working...
        X