(+84) 463.28.7979

Mạng riêng ảo (VPN)


Mạng riêng ảo VPN (Virtual Private Network) là thuật ngữ được các nhà cung cấp dịch vụ và các Carrier sử dụng. Như đúng tên gọi của nó, VPN là một mạng riêng của khách hàng dựa trên cơ sở hạ tầng mạng công cộng dùng chung.

Chúng có thể được tạo ra bằng cách sử dụng phần mềm, phần cứng hay kết hợp cả hai phần đó để tạo ra một kết nối bảo mật giữa hai mạng riêng (private network) đi qua mạng công cộng. Mạng riêng ảo VPN bao gồm hai phần, mạng của nhà cung cấp dịch vụ và mạng của khách hàng. Mạng của nhà cung cấp chạy dọc cơ sở hạ tầng Internet công cộng, bao gồm các router cung cấp dịch vụ VPN cho mạng khách hàng cũng như các router cung cấp dịch vụ khác.
2.2. Phân loại VPN

Khái niệm VPN ra đời từ rất sớm, khi mà các công nghệ truyền thông như X.25, Frame Relay được giới thiệu. VPN có thể là mạng riêng ảo giữa hai đầu cuối hệ thống, hai giữa hai hoặc nhiều mạng riêng. Nó có thể được xây dựng bằng cách sử dụng đường hầm.
Do đó, có thể chia VPN ra thành hai loại chính, đó là:
• Customer-based VPN (còn gọi là overlay VPN): là VPN được cấu hình trên các thiết bị của khách hàng sử dụng các giao thức đường hầm xuyên qua mạng công cộng. Nhà cung cấp dịch vụ sẽ bán các mạch ảo giữa các site của khách hàng như là đường kết nối leased line.
• Network-based VPN (còn gọi là VPN ngang cấp): là VPN được cấu hình trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung cấp dịch vụ. Nhà cung cấp dịch vụ và khách hàng trao đổi thông tin định tuyến lớp 3, nhà cung cấp sắp đặt dữ liệu các site khách hàng vào đường đi tối ưu nhất mà không cần có sự tham gia của khách hàng.

2.2.1. Overlay VPN

Mô hình overlay VPN ra đời từ rất sớm và được triển khai dưới nhiều công nghệ khác nhau. Ban đầu, VPN được xây dựng bằng cách sử dụng các đường leased line để cung cấp kết nối giữa khách hàng ở nhiều vị trí khác nhau. Khách hàng mua dịch vụ leased line của nhà cung cấp. Đường leased line này được thiết lập giữa các site của khách hàng cần kết nối. Đường này là đường dành riêng cho khách hàng.

Cho đến những năm 1990, Frame Relay được giới thiệu. Frame Relay được xem như là một công nghệ VPN vì nó đáp ứng kết nối cho khách hàng như dịch vụ leased line, chỉ khác ở chỗ là khách hàng không được cung cấp các đường dành riêng cho mỗi khách hàng, mà khách hàng sử dụng một đường chung nhưng được chỉ định các mạch ảo. Các mạch ảo này sẽ đảm bảo lưu lượng cho mỗi khách hàng là riêng biệt. Mạch ảo được gọi là PVC (Permanent Virtual Circuit) hay SVC (Switched Virtual Circuit). Cung cấp mạch ảo cho khách hàng nghĩa là nhà cung cấp dịch vụ đã xây dựng một đường hầm riêng cho lưu lượng khách hàng chảy qua mạng dùng chung của nhà cung cấp dịch vụ. Sau này công nghệ ATM ra đời, về cơ bản ATM cũng hoạt động giống như Frame Relay nhưng đáp ứng tốc độ truyền dẫn cao hơn.
Khách hàng thiết lập việc liên lạc giữa các thiết bị đầu phía khách hàng CPE với nhau qua kênh ảo. Giao thức định tuyến chạy trực tiếp giữa các router khách hàng thiết lập mối quan hệ cận kề và trao đổi thông tin định tuyến với nhau. Nhà cung cấp dịch vụ không hề biết đến thông tin định tuyến của khách hàng. Nhiệm vụ của nhà cung cấp dịch vụ trong mô hình này chỉ là đảm bảo vận chuyển dữ liệu điểm-điểm giữa các site của khách hàng mà thôi.
Overlay VPN còn được triển khai dưới dạng đường hầm (tunneling). Việc triển khai thành công các công nghệ gắn với IP nên một vài nhà cung cấp dịch vụ bắt đầu triển khai VPN qua IP. Nếu khách hàng nào muốn xây dựng mạng riêng của họ qua Internet thì có thể dùng giải pháp này vì chi phí thấp. Bên cạnh lý do kinh tế, mô hình tunneling còn đáp ứng cho khách hàng việc bảo mật dữ liệu. Hai công nghệ VPN đường hầm phổ biến là IPSec (IP security) và GRE (Generic Route Encapsulation).
Các cam kết về QoS trong mô hình overlay VPN thường là cam kết về băng thông trên một VC, giá trị này được gọi là CIR (Committed Information Rate). Băng thông có thể sử dụng được tối đa trên một kênh ảo đó, giá trị này được gọi là PIR (Peak Information Rate). Việc cam kết này được thực hiện thông qua các thống kê tự nhiên của dịch vụ lớp 2 nhưng lại phụ thuộc vào chiến lược của nhà cung cấp. Điều này có nghĩa là tốc độ cam kết không thật sự được bảo đảm mặc dù nhà cung cấp có thể đảm bảo tốc độ nhỏ nhất (Minimum Information Rate – MIR). Cam kết về băng thông cũng chỉ là cam kết về hai điểm trong mạng khách hàng. Nếu không có ma trận lưu lượng đầy đủ cho tất cả các lớp lưu lượng thì thật khó có thể thực hiện cam kết này cho khách hàng trong mô hình overlay. Và thật khó để cung cấp nhiều lớp dịch vụ vì nhà cung cấp dịch vụ không thể phân biệt được lưu lượng ở

giữa mạng. Để làm được việc này bằng cách tạo ra nhiều kết nối (kết nối full-mesh), như trong mạng Frame Relay hay ATM là có các PVC giữa các site khách hàng. Tuy nhiên, kết nối full-mesh thì chỉ làm tăng thêm chi phí của mạng.

Mô hình VPN overlay có một số ưu điểm sau:

• Đó là mô hình dễ thực hiện, nhìn theo quan điểm của khách hàng và của cả nhà cung cấp dịch vụ.
• Nhà cung cấp dịch vụ không tham gia vào định tuyến khách hàng trong mạng VPN overlay. Nhiệm vụ của họ là vận chuyển dữ liệu điểm-điểm giữa các site của khách hàng, việc đánh dấu điểm tham chiếu giữa nhà cung cấp dịch vụ và khách hàng sẽ quản lý dễ dàng hơn.
Hạn chế của mô hình overlay VPN:
Nó thích hợp trong các mạng không cần độ dự phòng với ít site trung tâm và nhiều site ở đầu xa, nhưng lại khó quản lý nếu như cần nhiều cầu hình mắc lưới.
• Việc cung cấp càng nhiều VC đòi hỏi phải có sự hiểu biết cặn kẽ về loại lưu lượng giữa hai site với nhau mà điều này thường không thật sự thích hợp.
• Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo ra một lớp mới không cần thiết đối với các nhà cung cấp hầu hết chỉ dựa trên IP, do đó làm tăng thêm chi phí hoạt động.

2.2.2. Mô hình VPN ngang cấp (peer-to-peer VPN)

Để giải quyết các hạn chế của mô hình VPN overlay và để cho nhà cung cấp dịch vụ cung cấp cho khách hàng việc vận chuyển dữ liệu tối ưu qua mạng backbone, mô hình VPN ngang cấp ra đời. Với mô hình này nhà cung cấp dịch vụ tham gia vào hoạt động định tuyến của khách hàng. Tức là router biên mạng nhà cung cấp (Provider Edge – PE) thực hiện trao đổi thông tin định tuyến trực tiếp với router CE của khách hàng.

Mô hình VPN ngang cấp đã giải quyết được các hạn chế của VPN overlay:
Việc định tuyến đơn giản hơn (nhìn từ phía khách hàng) khi router khách hàng chỉ trao đổi thông tin định tuyến với một hoặc một vài router PE. Trong khi ở mô hình overlay VPN, số lượng router láng giềng có thể phát triển với số lượng lớn.

Định tuyến giữa các site khách hàng luôn luôn được tối ưu vì nhà cung cấp dịch vụ biết topology mạng khách hàng và do đó có thể thiết lập định tuyến tối ưu cho các route của họ.
Việc cung cấp băng thông đơn giản hơn bởi vì khách hàng chỉ phải quan tâm đến băng thông đầu vào và ra ở mỗi site mà không cần phải chính xác toàn bộ lưu lượng từ site này đến site kia (site-to-site) như mô hình overlay VPN.
Có khả năng mở rộng vì nhà cung cấp dịch vụ chỉ cần thêm vào một site và thay đổi cấu hình trên Router PE. Trong mô hình overlay, nhà cung cấp dịch vụ phải tham gia vào toàn bộ tập hợp các VC từ site này đến site khác của VPN khách hàng.
Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng VPN ngang cấp:
Phương pháp chia sẽ router (shared router): Router dùng chung, tức là khách hàng VPN chia sẽ cùng router biên mạng nhà cung cấp (provider edge – PE). Ở phương pháp này, nhiều khách hàng có thể kết nối đến cùng router PE.

Trên router PE phải cấu hình access-list cho mỗi interface PE-CE để đảm bảo chắc chắn sự cách ly giữa các khách hàng VPN, để ngăn chặn VPN của khách hàng này thực hiện các tấn công từ chối dịch vụ (DoS – Denial of Service) vào VPN của khách hàng khác. Nhà cung cấp dịch vụ chia mỗi phần trong không gian địa chỉ của nó cho khách hàng và quản lý việc lọc gói tin trên Router PE.

Phương phárouter P dành riêng (dedicated router): là phương pháp mà khách hàng VPN có router PE dành riêng. Trong phương pháp này, mỗi khách hàng VPN phải có router PE dành riêng và do đó chỉ truy cập đến các route trong bảng định tuyến của router PE đó.

Mô hình router dành trước sử dụng các giao thức định tuyến để tạo ra bảng định tuyến trên một VPN trên Router PE. Bảng định tuyến chỉ có các route được quảng bá bởi khách hàng VPN kết nối đến chúng, kết quả là tạo ra sự cách ly tuyệt vời giữa các VPN. Định tuyến trên router dành trước có thể được thực hiện như sau:

• Giao thức định tuyến chạy giữa PE và CE là bất kì.
• BGP là giao thức chạy giữa PE và PE.
• PE phân phối các route nhận được từ CE vào BGP, đánh dấu với ID (Identification) của khách hàng (BGP community), và truyền các route đến router P, router P sẽ có tất cả các route từ tất cả VPN của khách hàng.
• Router P chỉ truyền các route với BGP community thích hợp đến Router PE. Do đó Router PE chỉ nhận các route từ Router CE trong VPN của chúng.

So sánh các phương pháp của mô hình VPN ngang cấp:
Phương pháp dùng chung router rất khó duy trì vì nó yêu cầu cần phải có cấu hình access-list dài và phức tạp trên mỗi interface của router. Còn phương pháp dùng router riêng, mặc dù có vẻ đơn giản về cấu hình và dễ duy trì hơn nhưng nhà cung cấp dịch vụ phải bỏ ra chi phí lớn để đảm bảo được phục vụ tốt cho số lượng lớn khách hàng.
o Tất cả khách hàng dùng chung không gian địa chỉ IP, nên họ phải sử dụng hoặc là địa chỉ thật trong mạng riêng (private network) của họ hoặc là phụ thuộc vào nhà cung cấp dịch vụ để có được địa chỉ IP. Trong cả hai trường hợp, kết nối một khách hàng mới đến dịch vụ VPN ngang cấp đòi hỏi phải đăng kí lại địa chỉ Ip trong mạng khách hàng.

• Khách hàng không thể thêm route mặc định vào VPN. Giới hạn này đã ngăn chặn việc định tuyến tối ưu và cấm khách hàng truy cập Internet từ nhà cung cấp dịch vụ khác.
Ưu điểm của mô hình VPN peer-to-peer:
VPN ngang cấp cho ta định tuyến tối ưu giữa các site khách hàng mà không cần phải cấu hình hay thiết kế gì đặc biệt.
Dễ mở rộng.

• Hạn chế của mô hình VPN peer-to-peer:
Nhà cung cấp dịch vụ phải đáp ứng được định tuyến khách hàng cho đúng và đảm bảo việc hội tụ của mạng khách hàng khi có lỗi liên kết.
Router P của nhà cung cấp dịch vụ phải mang tất cả các route của khách hàng.
Nhà cung cấp dịch vụ cần phải biết rõ chi tiết về định tuyến IP, mà điều này thực sự không cần thiết đối với nhà cung cấp từ xưa đến nay.

Hoàng Anh

Leave a Reply

Your email address will not be published. Required fields are marked *