Está en la página 1de 13

Tìm hiểu mạng riêng ảo VPN (Phần 1)

Giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ
chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động
rộng (trên toàn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể
kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và thời
gian.

Một mạng VPN điển hình bao gồm


mạng LAN chính tại trụ sở (Văn
phòng chính), các mạng LAN khác tại
những văn phòng từ xa, các điểm kết
nối (như 'Văn ph

Khái niệm

Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết
nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng
kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua
Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.

Các loại VPN

Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN điểm-nối-điểm (site-to-site)

VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là một kết nối người dùng-đến-LAN,
thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều
địa điểm ở xa. Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ
doanh nghiệp (ESP). ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử
dụng từ xa một phần mềm máy khách cho máy tính của họ. Sau đó, người sử dụng có thể gọi một số
miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty.
Loại VPN này cho phép các kết nối an toàn, có mật mã.

Hình minh họa cho thấy kết nối giữa Văn phòng chính và "Văn phòng" tại gia hoặc nhân viên di động là
loại VPN truy cập từ xa).

VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau
thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc Extranet. Loại dựa
trên Intranet: Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có
thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN. Loại dựa trên Extranet: Khi một công ty có
mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng...), họ có thể xây
dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc
trên một môi trường chung.

Trong hình minh họa trên, kết nối giữa Văn phòng chính và Văn phòng từ xa là loại VPN Intranet, kết nối
giữa Văn phòng chính với Đối tác kinh doanh là VPN Extranet.

Bảo mật trong VPN

Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet. Bạn có thể thiết lập các tường lửa
để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua. Một số sản phẩm dùng cho VPN
như router 1700 của Cisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều
hành Internet Cisco IOS thích hợp. Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN.

Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó
mới giải mã được. Có hai loại là mật mã riêng và mật mã chung.

Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước
khi gửi tới máy tính khác trong mạng. Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy
tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được.

Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng. Mã riêng này chỉ có máy
của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an
toàn) với nó. Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp,
đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good
Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì.

Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh cao cấp như các thuật
toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn.

IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề (header) và kích thước của mỗi
gói tin còn Transport chỉ mã hóa kích thước. Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng
được giao thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên
mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị
khác nhau như router với router, firewall với router, PC với router, PC với máy chủ.

Máy chủ AAA

AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép) và
Accounting (kiểm soát). Các server này được dùng để đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập
một kết nối được gửi tới từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra. Các thông tin về những
hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn.

Sản phẩm công nghệ dành cho VPN

Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn sẽ cần phải cài đặt những bộ phận hợp thành
nào đó để thiết lập mạng riêng ảo. Đó có thể là:

- Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa.
- Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX.
- Server VPN cao cấp dành cho dịch vụ Dial-up.
- NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người sử dụng từ xa.
- Mạng VPN và trung tâm quản lý.

Bộ xử lý trung tâm VPN

Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm của Cisco tỏ ra vượt trội ở một số
tính năng. Tích hợp các kỹ thuật mã hóa và thẩm định quyền truy cập cao cấp nhất hiện nay, máy xử lý
VPN được thiết kế chuyên biệt cho loại mạng này. Chúng chứa các module xử lý mã hóa SEP, cho phép
người sử dụng dễ dàng tăng dung lượng và số lượng gói tin truyền tải. Dòng sản phẩm có các model thích
hợp cho các mô hình doanh nghiệp từ nhỏ đến lớn (từ100 cho đến 10.000 điểm kết nối từ xa truy cập
cùng lúc).
Bộ xử lý trung tâm VPN số hiệu 3000 của hãng Cisco. ( Ảnh:
quadrantcommunications)

Router dùng cho VPN

Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật. Dựa trên hệ điều hành Internet IOS của mình,
hãng Cisco phát triển loại router thích hợp cho mọi trường hợp, từ truy cập nhà-tới-văn phòng cho đến
nhu cầu của các doanh nghiệp quy mô lớn.

Tường lửa PIX của Cisco

Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chế dịch địa chỉ mạng rất
mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN và chặn truy cập bất hợp pháp.

Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay sở được với nhiều giao
thức, hoạt động rất mạnh bằng cách tập trung vào IP.

1. Luận văn Công nghệ mạng


riêng ảo VPN: Các giao thức đường
hầm và bảo mật
Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là Công nghệ
thông tin và Viễn thông đã góp phần quan trọng vào sự phát triển kinh tế thế giới.

Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong quá
trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của
họ. Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác nhất,
đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp thế
giới, cũng như với các đối tác và khách hàng.

Để đáp ứng được những yêu cầu đó trong quá khứ có hai loại hình dịch vụ Viễn thông
mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là:

- Thứ nhất, thuê các đường Leased-line của các nhà cung cấp dịch vụ để kết nối tất
cả các mạng con của công ty lại với nhau. Phương pháp này rất tốn kém cho việc xây
dựng ban đầu cũng như trong quá trình vận hành, bảo dưỡng hay mở rộng sau này.

- Thứ hai, họ có thể sử dụng Internet để liên lạc với nhau, tuy nhiên phương pháp này
lại không đáp ứng được tính bảo mật cao.

Sự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hoà hai loại hình dịch vụ trên, nó
có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng Internet nhưng lại có được các
tính chất của một mạng cục bộ như khi sử dụng các đường Leased-line. Vì vậy, có thể
nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế. Với chi phí hợp lý,
VPN có thể giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng và hiệu quả hơn so với
các giải pháp mạng diện rộng WAN. Với VPN, ta có thể giảm chi phí xây dựng do tận
dụng được cơ sở hạ tầng công cộng sẵn có, giảm chi phí thường xuyên, mềm dẻo
trong xây dựng.
Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập quốc tế
thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa giải quyết
được những khó khăn về kinh tế.
Với đề tài: ” Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật ”
trong Đồ án Tốt nghiệp của mình, tôi hy vọng nó có thể góp phần tìm hiểu Công nghệ
VPN, đồng thời góp phần phổ biến rộng rãi kỹ thuật VPN.

Nội dung tìm hiểu của đồ án gồm 5 chương sẽ lần lượt trình bày các vấn đề
cơ bản nhất của mạng VPN.

o Chương 1: Nêu một số khái niệm tổng quan, các đặc điểm của
VPN, từ đó làm cơ sở để phân loại các mạng VPN, đưa ra các
thuận lợi và khó khăn khi sử dụng các loại hình VPN đó.
o Chương 2: Đây là chương trọng tâm giới thiệu về các giao thức,
các đặc điểm và hoạt động của các giao thức đường hầm L2F,
PPTP, L2TP, và IPSec được sử dụng trong VPN.
o Chương 3: Trình bày các thành phần mạng cơ bản của VPN, các
vấn đề cần chú ý khi xây dựng VPN. Phần này cũng trình bày ví dụ
về thiết lập một phiên trao đổi thông tin trong VPN để từ đó tìm
hiểu về các thiết bị, thành tố để xây dựng mạng VPN.
o Chương 4: Nêu vấn đề bảo mật trong VPN, đây là một phần
quan trọng trong VPN. Bảo mật trong VPN bao gồm: quá trình mật
mã và xác thực. Trong chương này sẽ giới thiệu các giải pháp,
thuật toán mã hoá và xác thực trong VPN.
o Chương 5: Trình bày một số vấn đề liên quan tới việc quản lý
một mạng VPN. Đó là các vấn đề: quản lý bảo mật, quản lý địa chỉ
và quản lý hiệu năng
2. Các ứng dụng của mạng riêng ảo
(VPN)
Hiện nay, sự ra đời của các công nghệ mới dường như không làm cho người
tiêu dùng quá choáng ngợp. Điều đó đúng không chỉ trên thế giới mà ngay cả
Việt Nam. Một câu hỏi thường được đặt ra là liệu công nghệ đó mang lại ích lợi
gì cho cuộc sống, trong sinh hoạt, trong giải trí, sản xuất, kinh doanh.

Công nghệ mạng riêng ảo trên nền NGN không phải ngoại lệ. NGN-cuộc cách
mạng Viễn thông thế hệ mới Nếu chiến lược đi thẳng vào công nghệ số cách
đây gần 20 năm được xem là cuộc cách mạng thứ nhất, thì việc áp dụng công
nghệ mạng thế hệ mới NGN hay IP hoá hạ tầng viễn thông Việt Nam là cuộc
cách mạng thứ hai.
* Mạng riêng ảo hay VPN (viết tắt cho Virtual Private Network) là một mạng
dành riêng để kết nối các máy tính của các công ty, tập đoàn hay các tổ chức
với nhau thông quan mạng Internet công cộng. * NGN (Next Generation
Network) là mạng hạ tầng thông tin dựa trên công nghệ chuyển mạch gói, cho
phép triển khai các dịch vụ một cách đa dạng và nhanh chóng, đáp ứng sự hội
tụ giữa thoại và dữ liệu, giữa cố định và di động với chi phí thấp nhất, giảm
thiểu thời gian đưa dịch vụ mới ra thị trường, nâng cao hiệu suất sử dụng
truyền dẫn, tăng cường khả năng kiểm soát, bảo mật thông tin của khách
hàng.
Mạng viễn thông thế hệ mới NGN là một mạng có hạ tầng thông tin duy nhất
dựa trên công nghệ chuyển mạch gói, cho phép triển khai các dịch vụ một
cách đa dạng và nhanh chóng. NGN cũng đáp ứng được xu hướng hội tụ giữa
thoại và số liệu, giữa cố định và di động.

Việc quyết định chuyển toàn bộ hạ tầng viễn thông sang mạng thế hệ mới
NGN được xem là một quyết sách táo bạo và mang tính cách mạng. GS.TSKH
Đỗ Trung Tá, Bộ trưởng Bộ Bưu chính Viễn thông nhận xét: "NGN có mấy điểm
hết sức ưu việt. Thứ nhất là về công nghệ. Nó tích hợp giữa cố định và di động,
tích hợp giữa các dịch vụ truyền thoại, truyền hình ảnh với các cơ sở dữ liệu".
Còn ông Hà Huy Hào, Tổng giám đốc Juniper Networks Việt Nam cho rằng:
"Hiện nay, mọi người đã biết được mạng hội tụ NGN bởi vì nó đã trở thành sự
thật và đã đưa rất nhiều dịch vụ cho khách hàng tại Việt Nam. Đặc biệt là tất
cả các khách hàng doanh nghiệp.

Đối với người khai thác quản lý, thuận lợi ở chỗ là nó giúp bảo dưỡng một cách
hết sức kịp thời và tạo ra rất nhiều các loại dịch vụ trên nền NGN". Hàng loạt
các dịch vụ viễn thông thực sự bùng nổ sau cuộc cách mạng NGN. Có thể kể
đến dịch vụ thông tin, giải trí, thương mại 1900, dịch vụ thoại miễn phí, dịch
vụ điện thoại cố định trả trước, dịch vụ thoại miễn phí từ trang web, dịch vụ
cuộc gọi thương mại miễn phí... Và không thể không kể đến dịch vụ mạng
riêng ảo Megawan, một dịch vụ thể hiện tính ưu việt cũng như khả năng mềm
dẻo của mạng thế hệ mới NGN.

GS.TSKH Đỗ Trung Tá chia sẻ: "Bây giờ, doanh nghiệp cần tiếp xúc với khách
hàng. Khách hàng muốn gọi điện cho doanh nghiệp, muốn hỏi không mất tiền.
Trên mạng NGN này mình cung cấp thông tin không phải trả tiền. Khách hàng
nói thoải mái với doanh nghiệp mà không phải trả tiền". "Việc mềm dẻo và
linh hoạt ở đây thể hiện từ khâu thiết bị đầu cuối của khách hàng cho đến
mạng lưới, khâu ứng dụng chạy trên mạng.

Toàn bộ phần thiết bị cho khách hàng rất sẵn có trên thị trường, không phụ
thuộc vào bất kể nhà cung cấp nào. Như vậy giá cả rất cạnh tranh và họ có
thể tuỳ chọn", ông Trần Mạnh Hùng, Phó Tổng giám đốc VNPT cho biết thêm.
Mạng riêng ảo chinh phục cuộc sống thật Việc kết nối các mạng máy tính của
các doanh nghiệp lâu nay vẫn được thực hiện trên các đường truyền thuê
riêng, cũng có thể là kết nối Frame Relay hay ATM.
Nhưng, rào cản lớn nhất đến với các doanh nghiệp tổ chức đó là chi phí. Chi phí từ
nhà cung cấp dịch vụ, chi phí từ việc duy trì, vận hành các hạ tầng mạng, thiết bị
riêng của doanh nghiệp... rất lớn. Vì vậy, điều dễ hiểu là thời gian qua, chúng ta gần
như không thấy được nhiều ứng dụng, giải pháp hữu ích trên mạng diện rộng WAN.

Rõ ràng, sự ra đời của công nghệ mạng riêng ảo trên nền NGN đã cho phép các tổ
chức, doanh nghiệp có thêm sự lựa chọn mới. Không phải vô cớ mà các chuyên gia
viễn thông nhận định, mạng riêng ảo trên nền NGN chính là công nghệ mạng WAN
thế hệ mới. Mới đây, bệnh viện Nhi trung ương đã thử nghiệm thành công dịch vụ
này.

Một ca chẩn đoán bệnh từ xa được thực hiện tại bệnh viên Nhi trung ương, đầu bên
kia là bệnh viện Nghệ An và bệnh viện Hoà Bình. Thông qua dịch vụ truyền hình hội
nghị video conferencing sử dụng công nghệ mạng riêng ảo, các chuyên gia y tế đầu
ngành có thể cùng hội chẩn các ca bệnh "khó" tại bệnh viện tuyến dưới, từ đó đưa ra
các chẩn đoán, phác đồ điều trị phù hợp cho người bệnh. Đây là một việc đã cũ với
thế giới nhưng hoàn toàn mới với Việt Nam.

Dù mới nhưng là một việc rất cần với các bệnh viện tuyến xa ở các địa phương.
PGS.TS Nguyễn Thanh Liêm, Giám đốc Bệnh viện nhi Trung ương cho biết: "Vấn đề
chuẩn đoán bệnh từ xa ở một số nước trên thế giới đã áp dụng từ lâu. ở nước ta,
chúng tôi có ý tưởng này khá lâu rồi, nhưng chưa thực hiện được vì nhiều điều kiện.

Nhưng càng ngày càng trở nên bức xúc, bởi vì như chúng ta đã biết là hệ thống nhi
khoa ở tuyến tỉnh còn rất thiếu ít có điều kiện cập nhật kiến thức liên tục. Bệnh viện
Nhi Trung ương được thành lập năm 1969, lúc đầu, chỉ có 100 giường bệnh nhưng
hiện nay, quy mô đã lên đến 560 giường bệnh với gần 1000 cán bộ và trở thành một
bệnh viên đầu ngành của cả nước. Nhi Trung Uơng có tất cả các chuyên khoa liên
quan đến sức khoẻ trẻ em. Những kinh nghiệm chẩn đoán bệnh, chữa trị bệnh từ các
chuyên gia đầu ngành của Nhi Trung ương là sự hỗ trợ rất thiết thực với các bệnh
viện tuyến dưới.

PGS.TS Nguyễn Thanh Liêm cho rằng: "Việc đào tạo, cung cấp kiến thức giúp các
đồng nghiệp có thể chẩn đoán và điều trị được bệnh nhân là một nhu cầu bức xúc.
Hơn nữa, chúng ta biết rằng điều kiện giao thông nước ta hiện nay rất khó khăn, một
bệnh nhân phải chuyển 300 cây số về thì tử vong trên dọc đường xảy ra rất nhiều.

Vì vậy, làm thế nào để tránh được tử vong dọc đường, tránh tốn kém cho bệnh nhân
phải chuyển từ các tỉnh xa về là ý tưởng thôi thúc chúng tôi làm sao triển khai sớm
được chương trình chẩn đoán và điều trị bệnh từ xa". Những kết quả ban đầu của
chẩn đoán từ xa đã vượt quá mong đợi của những người trong cuộc.

Trong cầu truyền hình chẩn đoán bệnh từ xa kết nối cùng bệnh viện Hoà Bình, Nghệ
An các chuyên gia đầu ngành đã giúp các đồng nghiệp tuyến dưới có được chẩn đoán
chính xác hai bệnh án cấp cứu. Các bệnh nhân đã sớm ổn định và ra viện. Đặc biệt,
với các trường hợp mắc bệnh tan máu do thiếu men D6BD, rất dễ tử vong khi bệnh
nhân bị nhiễm trùng, các chuyên gia qua cầu truyền hình cũng đã hỗ trợ đồng nghiệp
Hoà Bình, Nghệ An chẩn đoán đúng và lập phác đồ điều trị phù hợp. Những bệnh
nhân mắc bệnh này cũng đã xuất viện.

Theo PGS.TS Nguyễn Thanh Liêm, kết quả đợt hội chẩn thứ 2 với bệnh viện Nhi Nghệ
An cũng "hết sức tuyệt vời": một bệnh nhân được chẩn đoán viêm mủ màng phổi lâu
ngày và một bệnh nhân hẹp gan 2 lá do thấp, rung tim và suy tim nặng đã được đề
nghị phẫu thuật. "Trường hợp bệnh nhân này nếu không kịp thời chẩn đoán và can
thiệp sẽ tử vong rất nhanh. Vì vậy, chúng tôi đã đề nghị đồng nghiệp từ Nghệ An
chuyển ra và áp dụng kỹ thuật rất hiện đại là nong van bằng bóng thay vì kỹ thuật
mở trước đây.

Rất vui mừng khi hiện nay bệnh nhân hoàn toàn ổn định và có thể chuẩn bị xuất viện
được. Chỉ chậm trễ vài ngày có lẽ bệnh nhân đã tử vong rồi", PGS.TS Nguyễn Thanh
Liêm phấn khởi cho biết. Được biết, qua mạng NGN, các bác sĩ tại bệnh viện Nhi
Trung ương đã áp dụng thử nghiệm kỹ thuật miễn phí cho các bệnh viện nhi và sắp
tớí, bệnh viện Nhi tiếp tục xin thử nghiệm đối với một số bệnh viện khác ở trong khu
vực. và các cuộc thử nghịêm này đều rất thành công và các bác sỹ cũng như các cơ
quan quản lý nhà nước của ngành Y tế cũng đánh giá rất cao, cũng có định hướng sử
dụng lâu dài.

Tuy nhiên, ngoài tác dụng về vấn đề điều trị, tác dụng to lớn hơn nữa là vấn đề đào
tạo và nâng cao kiến thức. Bởi, theo PGS.TS Nguyễn Thanh Liêm, "qua một cuộc hội
chẩn như vậy thì các đồng nghiệp ở các tuyến trước học được rất nhiều. Bây giờ họ
đã hiểu thế nào là bệnh thiếu men D6BD, thế nào là bệnh hẹp, kít van 2 lá. Họ cũng
biết cần phải phẫu thuật, cần phải điều trị như thế nào và quan trọng, không phải chỉ
có một người được học mà một cầu truyền hình như vậy có cả một bệnh viện học.
Nếu chúng ta làm 5 bệnh viện một lúc thì trong một buổi có hàng trăm người có thể
được đào tạo, nâng cao kiến thức trong cùng một lúc".

Với các kênh thuê riêng, các doanh nghiệp, tổ chức đã có thể triển khai các ứng dụng
hữu ích như truyền hình hội nghị, chẩn đoán bệnh từ xa. Một câu hỏi đặt ra là tại sao
chỉ khi có dịch vụ mạng riêng ảo, các ứng dụng thoại, dữ liệu, hội nghị truyền
hình...mới được nhiều tổ chức, doanh nghiệp quan tâm? Mạng riêng ảo-ưu thế của
công nghệ, chi phí và bảo mật Theo PGS.TS Nguyễn Thanh Liêm, nếu thực hiện
thường xuyên chẩn đoán và điều trị từ xa chỉ vào khoảng 2 triệu một cuộc.

Như vậy, chúng ta hoàn toàn làm được, bởi so với tiền xăng xe và mọi chi phí cho
bệnh nhân về Trung ương còn đắt hơn rất nhiều. So với đuờng thuê riêng leased line
cùng tốc độ, chi phí cho một đường kết nối mạng riêng ảo VPN chỉ bằng 1/3. Một cách
dễ hình dung, kênh thuê riêng có nghĩa là các tổ chức, doanh nghiệp thiết lập một hạ
tầng kết nối riêng giữa các chi nhánh thông qua nhà cung cấp dịch vụ.

Còn với kết nối mạng riêng ảo, các tổ chức doanh nghiệp chỉ cần một hạ tầng xDSL
trên mạng thoại thông thường, dịch vụ được thiết lập một cách nhanh chóng và đơn
giản. Ông Phạm Anh Tuấn, Kỹ sư viễn thông VTN giải thích: "Có thể thấy một sự khác
biệt rất lớn về công nghệ. Trước đây, các dịch vụ như Frame Relay, Leasedline các
nhà cung cấp dịch vụ chỉ biết cung cấp một đường truyền vật lý trên đó còn khách
hàng phải tự đầu tư tất cả, cả thiết bị đầu cuối, khách hàng quản lý định tuyến và
bảo mật cũng như tất cả các vấn đề khác.

Ngoài ra, khách hàng còn kiêm thêm việc phát hiện khi mà xảy ra sự cố để báo cho
nhà cung cấp để phối hợp xử lý". Trên thực tế, công nghệ VPN không phải là một
công nghệ mới mẻ gì. VPN trước đây dựa trên công nghệ mã hoá đường truyền, có
thể là Ipsec hoặc SSL dựa trên thiết bị hoàn toàn của khách hàng. Điều này cũng
đồng nghĩa với bất lợi là khách hàng sẽ phải đầu tư rất nhiều cả về thiết bị cũng như
nhân lực vận hành và duy trì hệ thống.

Trong khi đó, dịch vụ mạng riêng ảo Megawan lại chạy trên nền mạng thế hệ mới
NGN. Đó chính là sự khác biệt. Với dịch vụ mạng riêng ảo này, các tổ chức, doanh
nghiệp có thể triển khai ứng dụng VPN tại bất kỳ điểm kết nối nào mình muốn. Toàn
bộ việc thiết lập kết nối, thiết bị mạng và an ninh bảo mật đều do nhà cung cấp dịch
vụ đảm trách.
Đương nhiên, các đơn vị ứng dụng đều có thể thiết lập thêm các giải pháp bảo mật
của riêng mình trên hạ tầng VPN sẵn có. PGS.TS Nguyễn Thanh Liêm tỏ ra rất hài
lòng với việc ứng dụng mạng riêng ảo này: "Chúng tôi hoàn toàn thoả mãn về mặt kỹ
thuật, vượt qua sự mong đợi cuả chúng tôi qua hai cuộc thử nghiệm. Một số chuyên
gia nước ngoài đã được tham gia hoặc chứng kiến họ cũng rất ngạc nhiên về bước
phát triển của chúng ta, cả vấn đề y tế và vấn đề bưu chính viễn thông".

"Muốn làm một ca về chẩn đoán bệnh từ xa, công nghệ phải tích hợp cả hình ảnh
động, có tiếng nói chỉ đạo của các bác sỹ, các giáo sư bác sỹ giỏi, nó phải có các số
liệu đảm bảo tính chính xác. Cho nên có thể nói, chính mạng NGN này hoà hợp tất cả:
nghe, nhìn, ghi chép, thành ra rất thuận lợi cho dịch vụ mới, GS. TSKH Đỗ Trung Tá
nhấn mạnh.

Theo lộ trình phát triển của ngành viễn thông, đến cuối năm 2005 này, cả 64/64 tỉnh
thành trên cả nước đều có thể triển khai dịch vụ mạng riêng ảo Megawan trên nền
mạng thế hệ mới NGN. Với cách tiếp cận cuộc sống hợp lý: chi phí hợp lý và cách
thức vận hành đơn giản, chắc chắn, các ứng dụng, giải pháp chạy trên nền mạng
riêng ảo sẽ bùng nổ ở nước ta.

1. Mạng riêng ảo (VPN) toàn tập

Giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ chức có
xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn
quốc hay toàn cầu).

[Bạn chưa đang nhập. ]

Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được
chi phí và thời gian.
Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các
mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như 'Văn phòng' tại gia)
hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài.
Khái niệm
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là
Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở
trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN
tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với
địa điểm hoặc người sử dụng ở xa.
Các loại VPN
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN điểm-
nối-điểm (site-to-site)
VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là một kết nối
người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên
hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa. Ví dụ như công ty muốn thiết
lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanh nghiệp (ESP). ESP này
tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng từ xa
một phần mềm máy khách cho máy tính của họ. Sau đó, người sử dụng có thể gọi
một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập
vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có mật mã.
[Bạn chưa đang nhập. ]

Hình minh họa cho thấy kết nối giữa Văn phòng chính và "Văn phòng" tại gia hoặc
nhân viên di động là loại VPN truy cập từ xa).
VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều
điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể
dựa trên Intranet hoặc Extranet. Loại dựa trên Intranet: Nếu một công ty có vài địa
điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN
intranet (VPN nội bộ) để nối LAN với LAN. Loại dựa trên Extranet: Khi một công ty có
mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách
hàng...), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để
nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung.
Trong hình minh họa trên, kết nối giữa Văn phòng chính và Văn phòng từ xa là loại
VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh là VPN Extranet.
Bảo mật trong VPN
Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet. Bạn có thể
thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được
chuyển qua. Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nâng
cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet
Cisco IOS thích hợp. Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN.
Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác
thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật mã chung.
Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã
hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng yêu cầu bạn phải
biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính
của người nhận có thể giải mã được.
Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng. Mã
riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho
bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message,
máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã
riêng của nó nữa. Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good
Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì.
Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh cao
cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn
diện hơn.
IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề (header)
và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước. Chỉ những hệ
thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này. Ngoài ra, tất cả các
thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thống phải có
các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị
khác nhau như router với router, firewall với router, PC với router, PC với máy chủ.
Máy chủ AAA
AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập), Authorization
(cho phép) và Accounting (kiểm soát). Các server này được dùng để đảm bảo truy
cập an toàn hơn. Khi yêu cầu thiết lập một kết nối được gửi tới từ máy khách, nó sẽ
phải qua máy chủ AAA để kiểm tra. Các thông tin về những hoạt động của người sử
dụng là hết sức cần thiết để theo dõi vì mục đích an toàn.
Sản phẩm công nghệ dành cho VPN
Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn sẽ cần phải cài đặt những
bộ phận hợp thành nào đó để thiết lập mạng riêng ảo. Đó có thể là:
- Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa.
- Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX.
- Server VPN cao cấp dành cho dịch vụ Dial-up.
- NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người sử dụng
từ xa.
- Mạng VPN và trung tâm quản lý.
Bộ xử lý trung tâm VPN
Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm của Cisco tỏ
ra vượt trội ở một số tính năng. Tích hợp các kỹ thuật mã hóa và thẩm định quyền
truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kế chuyên biệt cho loại
mạng này. Chúng chứa các module xử lý mã hóa SEP, cho phép người sử dụng dễ
dàng tăng dung lượng và số lượng gói tin truyền tải. Dòng sản phẩm có các model
thích hợp cho các mô hình doanh nghiệp từ nhỏ đến lớn (từ100 cho đến 10.000 điểm
kết nối từ xa truy cập cùng lúc).

[Bạn chưa đang nhập. ]

Bộ xử lý trung tâm VPN số hiệu 3000 của hãng Cisco. ( Ảnh:


quadrantcommunications)
Router dùng cho VPN
Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật. Dựa trên hệ điều hành
Internet IOS của mình, hãng Cisco phát triển loại router thích hợp cho mọi trường
hợp, từ truy cập nhà-tới-văn phòng cho đến nhu cầu của các doanh nghiệp quy mô
lớn.
Tường lửa PIX của Cisco
Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chế dịch
địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN và chặn truy
cập bất hợp pháp.
Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay sở
được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào IP.

Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng
riêng trên nền Internet.

Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề)
chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những
"đường ống" riêng (tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các máy
trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ
phải sử dụng chung một giao thức (tunnel protocol).
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai
điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói tin đi vào
và đi ra trong mạng.
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông
tin đang đi qua.
- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec, L2F,
PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi
(như IPX, NetBeui, IP).
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet
(như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet. Hoặc, họ có thể
đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng
địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet.
Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing
Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để
truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về loại gói
tin mà bạn đnag mã hóa và thông tin về kết nối giữa máy chủ với máy khách. Nhưng
IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã
hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm- nối-điểm.
Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel.

[Bạn chưa đang nhập. ]

Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy
chủ truy cập, tới router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel để tới
máy tính của văn phòng từ xa.
Kỹ thuật Tunneling trong mạng VPN truy cập từ xa
Với loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP (Point-to-Point
Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP
khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Nói tóm lại, kỹ thuật
Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP.
Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và dùng trong
mạng VPN truy cập từ xa.
L2F (Layer 2 Forwarding) được Cisco phát triển. L2 F dùng bất kỳ cơ chế thẩm định
quyền truy cập nào được PPP hỗ trợ.
PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP Forum phát triển. Giao
thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế thẩm định quyền truy
cập nào được PPP hỗ trợ.
L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa các thành viên
PPTP Forum, Cisco và IETF. Kết hợp các tính năng của cả PPTP và L2F, L2TP cũng hỗ
trợ đầy đủ IPSec. L2TP có thể được sử dụng làm giao thức Tunneling cho mạng VPN
điểm-nối-điểm và VPN truy cập từ xa. Trên thực tế, L2TP có thể tạo ra một tunnel
giữa máy khách và router, NAS và router, router và router. So với PPTP thì L2TP có
nhiều đặc tính mạnh và an toàn hơn.

Phần này sẽ giới thiệu cách cài đặt mạng VPN loại truy cập từ xa theo giao
thức Tunneling điểm-nối-điểm (PPTP). Mô hình thực nghiệm này dùng hệ
điều hành Windows XP cho máy truy cập từ xa và Windows Server 2003 cho
các máy chủ.
VPN ở đây được đơn giản hóa với 5 máy tính cần thiết đóng các vai trò khác nhau
trong một mạng riêng ảo. Máy tính chạy Windows Server 2003, phiên bản Enterprise
Edition, đặt tên là DC1, hoạt động như một trung tâm điều khiển domain (domain
controller), một máy chủ DNS (Domain Name System), một máy chủ DHCP (Dynamic
Host Configuration Protocol) và một trung tâm chứng thực CA (certification authority).

[Bạn chưa đang nhập. ]

Mô hình VPN truy cập từ xa đơn giản hóa với 5 máy tính
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên VPN1, hoạt
động như một máy chủ VPN. VPN1 được lắp đặt 2 adapter mạng.
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IAS1, hoạt
động như một máy chủ quản lý người sử dụng truy cập từ xa RADIUS (Remote
Authentication Dial-in User Service).
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IIS1, hoạt
động như một máy chủ về web và file.
- Một máy tính chạy Windows XP Professional, mang tên CLIENT1, hoạt động như một
máy khách truy cập từ xa.
Ở đây có các phân đoạn mạng Intranet dành cho mạng LAN của công ty và phân
đoạn mạng Internet. Tất cả các máy tính ở Intranet được kết nối với một HUB (máy
chủ truy cập) hoặc switch Layer 2. Tất cả các máy tính trên mạng Internet được kết
nối với một HUB hoặc switch Layer 2. Ta sử dụng các địa chỉ 172.16.0.0/24 cho
Intranet; địa chỉ 10.0.0.0/24 cho Internet. IIS1 chứa cấu hình địa chỉ IP, sử dụng giao
thức DHCP. CLIENT1 cũng dùng giao thức DHCP cho cấu hình địa chỉ IP nhưng cũng
được xác định bằng một cấu hình IP khác để có thể đặt trên mạng Intranet hoặc
Internet.
Dưới đây là cách cài đặt cho riêng từng máy.
Kỳ 1: Cách lắp đặt cho DC1
Để định cấu hình DC1 cho các dịch vụ mà nó kiêm nhiệm, bạn làm theo các bước sau
đây:
1. Cài đặt Windows Server 2003, bản Enterprise Edition, để làm một server riêng.
2. Xác định giao thức TCP/IP với địa chỉ IP là 172.16.0.1 và địa chỉ cho mạng cấp dưới
là 255.255.255.0.
3. Chạy Active Directory Installation Wizard (tập tin dcpromo.exe) cho một domain
mới example.com. Cài đặt dịch vụ DNS khi được yêu cầu.
4. Sử dụng trình quản lý Active Directory Users and Computers, nhấn chuột phải vào
domain example.com rồi nhấn vào Raise Domain Functional Level.
5. Kích chuột vào dòng Windows Server 2003 và chọn Raise.
6. Cài đặt giao thức DHCP để làm một thành phần của Networking Services bằng
cách dùng Control Panel => Add or Remove Programs.
7. Mở trình quản lý DHCP từ thư mục Administrative Tools.
8. Nhấn vào mục Action => Authorize để cho phép sử dụng dịch vụ DHCP.
9. Trong cây thư mục, nhấn chuột phải vào dc1.example.com rồi nhấn New Scope.
10. Trên trang Welcome của New Scope Wizard, nhấn Next.
11. Ở trang Scope Name, nhập một cái tên như Mang Cong ty.
12. Nhấn vào Next. Trên trang địa chỉ IP, nhập 172.16.0.10 ở ô Start IP address,
172.16.0.100 ở ô End IP address và 24 ở mục Length.

Khai báo địa chỉ IP.

13. Nhấn Next. Trên trang Add Exclusions, nhấn Next.


14. Trên trang Lease Duration, nhấn Next.
15. Trên trang Configure DHCP Options, nhấn Yes, I want to configure DHCP options
now.
16. Nhấn Next. Trên trang Router (Default Gateway), nhấn Next.
17. Trên trang Domain Name and DNS Servers, nhập vào dòng example.com trong
mục Parent domain. Nhập 172.16.0.1 trong ô địa chỉ IP rồi nhấn Add.
18. Nhấn Next. Trên trang WINS Servers, nhấn Next.
19. Trên trang Activate Scope, nhấn Yes, I want to activate the scope now.
20. Nhấn Next. Trên trang Completing the New Scope Wizard, nhấn Finish.
21. Cài đặt Certificate Services làm một CA gốc với tên Example CA bằng cách dùng
Control Panel => Add or Remove Programs.
22. Mở Active Directory Users and Computers.
23. Trong cây thư mục, chọn example.com.
24. Nhấn chuột phải vào Users, chọn Computer.
25. Trong hộp thoại New Object Computer, nhập IAS1 trong mục Computer name.
26. Nhấn Next. Trong hộp thoại Managed, nhấn Next. Trong hộp thoại New Object
Computer, nhấn Finish.
27. Dùng các bước từ 24 đến 26 để tạo thêm tài khoản máy tính với các tên IIS1,
VPN1 và CLIENT1.
28. Trong cây thư mục, nhấn chuột phải vào Users, chọn User.
29. Trong hộp thoại New Object User, nhập VPNUser trong mục First name và
VPNUser trong User logon name.
30. Nhấn Next.
31. Trong hộp thoại New Object User, nhập một password tùy chọn vào mục
Password and Confirm password. Bỏ dấu ở ô User must change password at next
logon và đánh dấu ở ô Password never expires.
32. Trong hộp thoại New Object User, chọn Finish.
33. Trong cây thư mục, nhấn chuột phải vào Users, chọn Group.
34. Trong hộp thoại New Object Group, nhập vào dòng VPNUsers ở mục Group name
rồi nhấn OK.
35. Kích đúp vào VPNUsers.
36. Nhấn vào thẻ Members và nhấn Add.
37. Trong hộp thoại Select Users, Contacts, Users hoặc Groups, nhập vpnuser trong
mục Enter the object names to select.
38. Nhấn OK. Trong hộp thoại Multiple Names Found, nhấn OK. Account của người sử
dụng VPNUser được đưa vào sanh sách nhóm VPNUsers.