Giáo Trình Khởi Tạo Mạng Riêng Ảo - CÔNG NGHỆ MẠNG RIÊNG ẢO part 2 ppt

6 319 3
Giáo Trình Khởi Tạo Mạng Riêng Ảo - CÔNG NGHỆ MẠNG RIÊNG ẢO part 2 ppt

Đang tải... (xem toàn văn)

Thông tin tài liệu

Bảo mật, Chất lượng dịch vụ (QoS), Tính sẵn sàng, Tính tin cậy, Khả năng tương thích, Khả năng quản trị. 1.3.1. Bảo mật Các mạng riêng và Intranet mang lại môi trường bảo mật cao vì các tài nguyên mạng không được truy cập bởi mạng công cộng. Vì vậy, xác suất truy cập trái phép đến Intranet và các tài nguyên của nó là rất thấp. Tuy nhiên, nhận định này rất có thể không đúng với VPN có sử dụng Internet và các mạng công cộng khác như mạng điện thoại chuyển mạch công cộng (Public Switched Telephone Networks - PSTNs) cho truyền thông. Thiết lập VPN mang lại cho các Hacker, Cracker cơ hội thuận lợi để truy cập tới mạng riêng và luồng dữ liệu của nó qua các mạng công cộng. Vì vậy, mức độ bảo mật cao và toàn diện cần phải được thực thi một cách chặt chẽ. Dữ liệu và các tài nguyên cục bộ trong mạng có thể được bảo mật theo các cách như sau: + Thực thi các kỹ thuật phòng thủ vòng ngoài, chỉ cho phép các dòng lưu lượng đã cấp quyền từ các nguồn tin cậy vào mạng và từ chối tất cả các lưu lượng khác. Các Firewall và bộ dịch chuyển địa chỉ mạng(NAT) là các ví dụ về kỹ thuật phòng thủ. Firewall không chỉ kiểm tra kỹ lưu lượng vào mà còn cả với lưu lượng ra, vì vậy, đảm bảo một mức bảo mật cao. Bộ dịch chuyển địa chỉ là một ví dụ khác, nó không để lộ địa chỉ IP của nguồn tài nguyên cục bộ trong mạng. Và như vậy, kẻ tấn công không biết được đích của các tài nguyên đó trong mạng Intranet. + Xác thực(Authentication): Xác thực người dùng và các gói dữ liệu để thiết lập định danh của người dùng và quyết định anh ta có được phép truy cập tới các tài nguyên trong mạng hay không. Mô hình xác thực, cấp quyền, kiểm toán (AAA) là một ví dụ về hệ thống xác thực người dùng toàn diện. Đầu tiên hệ thống sẽ xác nhận người dùng truy cập vào mạng. Sau khi người dùng đã được xác thực thành công, họ chỉ có thể truy cập đến các tài nguyên đã được cấp quyền. Hơn nữa, một nhật ký chi tiết các hoạt động của tất cả các người dùng mạng cũng được duy trì, cho phép người quản trị mạng ghi lại những hoạt động trái phép, bất thường. + Mã hoá dữ liệu(Data Encryption): Thực thi các cơ chế mã hoá dữ liệu để đảm bảo tính xác thực, tính toàn vẹn và tính tin cậy của dữ liệu khi được truyền qua mạng không tin cậy. Bảo mật giao thức Internet(Internet Protocol Security - IPSec) nổi bật lên như một cơ chế mã hoá dữ liệu mạnh nhất. Nó không chỉ mã hoá dữ liệu đang được truyền mà còn cho phép xác thực mỗi người dùng và từng gói dữ liệu riêng biệt. + Quản lý khoá (Key Management): Để mã hoá dữ liệu, VPN cần cung cấp khoá mật mã để tạo ra các đường hầm phiên (session tunnull). Vì vậy, cần phải tạo ra các khoá, phân phối và cập nhật, làm tươi chúng. 1.3.2. Tính sẵn sàng và tin cậy Tính sẵn sàng chỉ tổng thời gian mà người dùng truy cập được vào mạng (uptime). Trong các mạng riêng và mạng Intranet, thời gian này là tương đối cao vì toàn bộ cơ sở hạ tầng mạng thuộc quyền sở hữu riêng và được kiểm soát đầy đủ bởi tổ chức. Tuy nhiên, VPN sử dụng các mạng tương tác trung gian như Internet và PSTN vì vậy các thiết lập dựa trên VPN phụ thuộc nhiều vào mạng trung gian. Trong trường hợp này, nhân tố tính sẵn sàng phụ thuộc vào nhà cung cấp dịch vụ (ISP). Thông thường, ISP đảm bảo tính sẵn sàng trong một bản “hợp đồng mức dịch vụ” (Service Level Agreement - SLA). SLA là bản hợp đồng được ký kết giữa ISP và người dùng (một tổ chức hoặc một công ty) để cam kết về thời gian truy cập mạng. Một số ISP đề xuất uptime rất cao, khoảng 99%. Nếu một tổ chức muốn đảm bảo tính sẵn sàng rất cao, thì tìm một ISP có cơ sở hạ tầng chuyển mạch xương sống có khả năng phục hồi cao. Đó là: + Khả năng định tuyến mạnh, nó cho phép định tuyến lại qua một đường thay thế trong trường hợp đường chính bị lỗi hoặc bị tắc nghẽn. Để đảm bảo hiệu suất cực đại, khả năng định tuyến này cũng hỗ trợ nhiều lựa chọn ưu tiên định tuyến khi được yêu cầu. + Dư thừa các đường truy cập, thường được dùng để đáp ứng yêu cầu tăng giải thông mạng. + Các thiết bị dự phòng hoàn toàn tự động vượt qua lỗi, các thiết bị này không chỉ gồm các thiết bị thay thế nóng mà còn là nguồn cung cấp điện và hệ thống làm lạnh Tính tin cậy cũng là một yêu cầu quan trọng nữa của VPN và nó liên quan mật thiết với nhân tố tính sẵn sàng. Tính tin cậy của giao dịch trong VPN đảm bảo rằng những người dùng cuối được phân phối dữ liệu trong mọi hoàn cảnh. Cũng như hầu hết các thiết lập mạng khác, tính tin cậy trong môi trường dựa trên VPN có thể đạt được bằng việc chuyển mạch các gói dữ liệu tới một đường dẫn khác nếu liên kết đã tạo hoặc thiết bị trong đường bị lỗi. Toàn bộ quá trình này là hoàn toàn trong suốt với người dùng cuối. 1.3.3. Chất lượng dịch vụ Trong một mạng riêng ảo, cũng như trong một mạng thông thường. Đều có mong muốn là mang lại tính trong suốt cho các gói dữ liệu khi chúng được truyền từ nguồn đến đích cũng như đảm bảo chất lượng các dịch vụ khác. Vấn đề với QoS là xác định như thế nào? có được đảm bảo hay không? là rất khó. Trừ khi có tắc nghẽn mạng, rất khó để chứng minh rằng QoS được đảm bảo. Chất lượng dịch vụ là khả năng phản hồi trong các hoàn cảnh tới hạn bằng cách gán một tỷ lệ để xác định giới hạn lỗi trong việc sử dụng băng thông mạng và các tài nguyên cho các ứng dụng. Các ứng dụng như giao dịch tài chính, quá trình đặt hàng từ các đối tác thương mại là tương đối nhạy cảm với băng thông. Các ứng dụng truyền video là rất nhạy cảm với độ trễ và đòi hỏi băng thông lớn để tránh hiện tượng chất lượng kém của giao dịch. 1.3.4. Khả năng quản trị Việc kiểm soát hoàn toàn các hoạt động và tài nguyên trong mạng, cùng với việc quản trị thích hợp là rất quan trọng đặt ra với tất cả các đơn vị có mạng kết nối phạm vi toàn cầu. Hầu hết các đơn vị được kết nối với các nguồn tài nguyên của thế giới bằng sự trợ giúp của nhà cung cấp dịch vụ. Kết quả là không thể kiểm soát tại 2 đầu cuối trong mạng Intranet của một đơn vị vì phải qua mạng Intranet trung gian của nhà cung cấp dịch vụ. Trong hoàn cảnh này, một đơn vị phải quản trị được tài nguyên cho đến cả mạng kinh doanh của họ, trong khi nhà cung cấp dịch vụ quản trị các thiết lập mạng của họ. Với sự sẵn có các thiết bị VPN của các hãng sản xuất bên ngoài và hợp đồng giữa tổ chức với nhà cung cấp dịch vụ thì có thể loại trừ được ranh giới vốn có của việc quản trị tài nguyên và quản trị toàn bộ phần riêng và phần công cộng của các phần cuối VPN. Một Công ty có thể quản trị, giám sát, hỗ trợ và duy trì mạng của họ như trong mô hình truyền thống, có thể kiểm soát toàn bộ truy cập mạng và có quyền giám sát trạng thái thời gian thực, sự thực thi của VPN. Hơn nữa Công ty cũng có thể giám sát phần công cộng của VPN. Tương tự, các ISP quản trị và kiểm soát phần cơ sở hạ tầng thuộc quyền kiểm soát của họ. Tuy nhiên, nếu được yêu cầu, nhà cung cấp dịch vụ cũng có thể quản trị toàn bộ cơ sở hạ tầng, bao gồm cả cơ sở hạ tầng VPN của người dùng. 1.3.5. Khả năng tương thích Như chúng ta đã biết VPN sử dụng mạng công cộng như là một kết nối đường dài, các mạng trung gian này có thể dựa trên IP như Internet hoặc cũng có thể dựa trên công nghệ mạng khác như Frame Relay (FR), Asynchronous Transfer Mode (ATM). Kết quả là VPN có thể sử dụng tất cả các kiểu công nghệ và giao thức cơ sở. Trong trường hợp mạng tương tác trung gian dựa trên IP, VPN phải có khả năng dùng địa chỉ IP và các ứng dụng IP, để đảm bảo tương thích với một cơ sở hạ tầng dựa trên IP, các phương pháp sau có thể được tích hợp vào VPN. Sử dụng Getway IP: Getway IP chuyển(hoặc dịch) các giao thức không dựa trên IP thành IP. Các thiết bị này có thể là các thiết bị mạng chuyên dụng hoặc cũng có thể là các giải pháp dựa trên phần mềm. Getway IP được cài đặt trên mọi Server và thường được dùng để chuyển đổi dòng lưu lượng. Sử dụng đường hầm: Đường hầm, như chúng ta đã biết, là kỹ thuật đóng gói các gói dữ liệu không IP thành các gói IP để truyền qua một cơ sở hạ tầng dựa trên IP. Các thiết bị cuối khác, khi nhận được các gói dữ liệu đã đóng gói này sẻ xử lý và loại bỏ phần tiêu đề IP để lấy lại dữ liệu gốc. “Đường hầm” bây giờ được xem như là một thiết bị tryền tải. Sử dụng định tuyến IP ảo(Virtual IP Routing - VIPR): như trong hình vẽ 1.4, VIPR làm việc bằng cách phân vùng lôgic một Router vật lý tại vị trí nhà cung cấp dịch vụ sau cùng(như là một phần cơ sở hạ tầng của ISP). Mỗi một phân vùng được cấu hình và quản trị như một Router vật lý và có thể hỗ trợ một VPN. Theo cách gọi đơn giản, mỗi một phân vùng lôgic được xem như một Router với đầy đủ các chức năng của nó. Kết quả là, phân vùng Router lôgic có thể hỗ trợ nhiều giao thức và có khả năng chứa địa chỉ IP riêng. Hình 1.4 Mô tả chung của VIPR Với các công nghệ và giao thức không dựa trên IP như FR, ATM, công nghệ đường điện thoại riêng ảo(Virtual Private Trunking - VPT) được sử dụng. Công nghệ VPT được mô tả như trong hình 1.5. Hình 1.5 Mô tả chung của VPT VPT tương thích với nhiều giao thức và được dựa trên công nghệ chuyển mạch gói. Vì vậy nó sử dụng các kênh cố định ảo(Permanent Virtual Circuits - PVC) và kênh chuyển mạch ảo(Switched Virtual Circuit - SVC) cho việc truyền dữ liệu. Để truyền dữ liệu thành công, VPT yêu cầu một thiết bị WAN như một Router có khả năng hỗ trợ FR và ATM. Để chắc chắn rằng các giao dịch thương mại có lợi nhuận, các PVC thường được dùng cho việc liên kết các Site trong một mạng riêng hoặc một Intranet. SVC lại thường được dùng để liên kết các Site trong một Extranet 1.4. Cách tiếp cận cơ bản thiết kế và cài đặt VPN . IP riêng. Hình 1.4 Mô tả chung của VIPR Với các công nghệ và giao thức không dựa trên IP như FR, ATM, công nghệ đường điện thoại riêng ảo( Virtual Private Trunking - VPT) được sử dụng. Công. kết đã tạo hoặc thiết bị trong đường bị lỗi. Toàn bộ quá trình này là hoàn toàn trong suốt với người dùng cuối. 1.3.3. Chất lượng dịch vụ Trong một mạng riêng ảo, cũng như trong một mạng thông. chúng ta đã biết VPN sử dụng mạng công cộng như là một kết nối đường dài, các mạng trung gian này có thể dựa trên IP như Internet hoặc cũng có thể dựa trên công nghệ mạng khác như Frame Relay

Ngày đăng: 08/07/2014, 15:21

Từ khóa liên quan

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan