Quản lý mạng VPN

Tài liệu Quản lý mạng VPN: CHƯƠNG 5 QUẢN LÝ MẠNG VPN Đảm bảo sự hoạt động liên tục của mạng, đặc biệt là những mạng lớn là vấn đề đóng vai trò quan trọng. Người quản trị mạng phải nắm bắt được đầy đử và thường xuyên các thông tin về cấu hình, sự cố và tất cả số liệu liên quan đến việc sử dụng mạng. Việc quản lý mạng VPN bao gồm: quản lý bảo mật, quản lý địa chỉ IP và quản lý chất lượng mạng. 5.1 Quản lý bảo mật (mật mã và xác thực) Quản lý bảo mật không chỉ bao hàm việc xác thực những người dùng từ những vị trí khác nhau, điều khiển quyền truy cập mà còn có quản lý khoá, liên kết với các thiết bị VPN. Trong phần này ta sẽ thảo luận các vấn đề về bảo mật các máy tính, các mạng và dữ liệu. Trước tiên là một số vấn đề tổng quát về chính sách bảo mật thống nhất, những vấn đề liên quan đến bảo mật xung quanh việc quản lý VPN. Sau đó, chúng ta sẽ tập trung vào chọn lọc một số giải thuật mã hoá và các chiều dài khoá, phân phối các khoá và liên kết thông tin trong tập liên kết bảo mật IPSec, cũng như xác thực ...

doc16 trang | Chia sẻ: hunglv | Lượt xem: 1723 | Lượt tải: 1download
Bạn đang xem nội dung tài liệu Quản lý mạng VPN, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
CHƯƠNG 5 QUẢN LÝ MẠNG VPN Đảm bảo sự hoạt động liên tục của mạng, đặc biệt là những mạng lớn là vấn đề đóng vai trò quan trọng. Người quản trị mạng phải nắm bắt được đầy đử và thường xuyên các thông tin về cấu hình, sự cố và tất cả số liệu liên quan đến việc sử dụng mạng. Việc quản lý mạng VPN bao gồm: quản lý bảo mật, quản lý địa chỉ IP và quản lý chất lượng mạng. 5.1 Quản lý bảo mật (mật mã và xác thực) Quản lý bảo mật không chỉ bao hàm việc xác thực những người dùng từ những vị trí khác nhau, điều khiển quyền truy cập mà còn có quản lý khoá, liên kết với các thiết bị VPN. Trong phần này ta sẽ thảo luận các vấn đề về bảo mật các máy tính, các mạng và dữ liệu. Trước tiên là một số vấn đề tổng quát về chính sách bảo mật thống nhất, những vấn đề liên quan đến bảo mật xung quanh việc quản lý VPN. Sau đó, chúng ta sẽ tập trung vào chọn lọc một số giải thuật mã hoá và các chiều dài khoá, phân phối các khoá và liên kết thông tin trong tập liên kết bảo mật IPSec, cũng như xác thực người dùng và điều khiển truy cập. IPSec đưa ra các chính sách bảo mật dữ liệu với bất kỳ giao thức nào và có nhiều lựa chọn nên việc quản lý bảo mật cho VPN sẽ tập trung trên nền IPSec, có bao hàm PPTP và L2TP ở những vị trí thích hợp. 5.1.1 Các chính sách bảo mật thống nhất Một khung làm việc bảo mật cho một tổ chức bao gồm các yếu tố: xác thực, tính bảo mật, tính nguyên vẹn, cấp quyền, tính sẵn sàng, quản lý và độ tin cậy. Một cơ chế bảo mật thống nhất cần thực hiện: Xem xét những gì ta đang bảo mật. Xem xét những gì ta cần bảo mật từ đâu. Xác định các nguy cơ có thể. Tiến hành đánh giá những việc bảo mật trong phương pháp xác thực giá. Xem xét việc xử lý một cách liên tục. Hoàn thiện mọi thời gian thực. Hình 5.1: Các thành phần của hệ thống bảo mật Chính sách bảo mật truyền thống nhận biết tất cả các tài sản, thông tin đang được bảo mật, cơ sở dữ liệu tập trung và phần cứng máy tính. Nhưng, khi các hệ thống thông tin đã trở nên phân tán hơn, nhiều hơn thì các chính sách bảo mật thống nhất bao hàm quản lý trên phạm vi các LAN. Khi định nghĩa các chính sách bảo mật cho mạng thì cần nhận biết mọi điểm truy cập tới hệ thống thông tin và định nghĩa các nguyên tắc của chính sách để bảo mật các điểm vào/ra. Một số vấn đề khi lập một chính sách bảo mật: Việc tổ chức, lập kế hoạch sử dụng các dịch vụ Internet? Các dịch vụ sẽ được sử dụng ở đâu? Điều gì sẽ xảy ra khi liên kết việc cung cấp các dịch vụ và truy cập? Định giá cái gì trong giới hạn của điều khiển và tác động trên mạng không tin cậy được cung cấp bảo mật ? Cần bổ sung những gì (mã hoá, xác thực..) để có thể hỗ trợ? Ngân sách để thực hiện việc bảo mật? Toàn bộ kế hoạch bảo mật là khả năng giám sát và đáp ứng các biến cố, sự cố phức tạp xảy ra. 5.1.2 Các phương thức mã hoá Khi xây dựng một mạng VPN thì tuỳ theo mức độ yêu cầu mà ta có thể thiết lập các mức độ bảo mật dữ liệu khác nhau. a) Các giao thức và giải thuật cho VPN Các giao thức IPSec, PPTP và L2TP đưa ra các giải thuật cho phép để mã hoá dữ liệu. Giao thức PPTP có thể sử dụng PPP, DES, 3DES để mã hoá dữ liệu. Microsoft đưa ra một phương thức mã hoá gọi là mã hoá điểm-điểm MPPE (Microsoft Point-to-Point Encryption) để sử dụng với đường hầm PPTP. MPPE sử dụng giải thuật RC4 với các khoá 40 bit hoặc 128 bit. Giao thức L2TP có thể sử dụng PPP để mã hoá dữ liệu, tuy nhiên trong L2TP, thường sử dụng IPSec để mã hoá dữ liệu. Trong IPSec, giải thuật mã hoá được mặc định để sử dụng trong ESP là DES và 3DES. b) Chiều dài khoá Cần phải xác định độ nhạy của dữ liệu để có thể tính toán nó nhạy bao lâu và nó sẽ được bảo mật trong bao lâu. Khi tính được, ta có thể chọn một giải thuật mã hoá và chiều dài khoá để đảm bảo thời gian phá lâu hơn nhiều thời gian nhạy của dữ liệu. Bảng: là thông tin tóm lược của Brude Schnier (Thực hành mã hoá_Applied Cryptography) đưa ra thời gian và phí tổn cần thiết để phá khoá. Giá (USD) Chiều dài khoá theo bit 40 64 80 128 100 ngàn 1 triệu 100 triệu 1 tỷ 100 tỷ 2 giây 2 giây 2ms 2ms 2ms 1 năm 37 ngày 9 giờ 1 giờ 32 giây 70.000 năm 7.000 năm 70 năm 7 năm 24 ngày 1019 năm 1018 năm 1016 năm 1015 năm 1013 năm Bảng 3: Đối chiếu thồi gian và phí tổn để phá các khoá 5.1.3 Quản lý khoá cho các cổng nối Một số khoá thường được yêu cầu đẩm bảo liên lạc giữa các cổng nối bao gồm: Có một cặp khoá để nhận dạng 2 cổng nối khác nhau, các khoá này phải được kết nối cứng, thay đổi nhân công hoặc truyền qua các chứng nhận điện tử. Các khoá phiên yêu cầu xác thực và mã hoá các gói được truyền giữa các cổng nối, cụ thể, sử dụng các tiêu đề AH, ESP của IPSec. Các khoá khác nhau được yêu cầu cho mỗi tiêu đề IPSec và được xem xét qua các liên kết bảo mật. Ví dụ, nếu cả AH và ESP được sử dụng để xử lý các gói thì khi đó hai SA được xem xét giữa các cổng nối hoặc các host. Nhận dạng các cổng nối Một đường hầm bảo mật có thể được thiết lập giữa hai cổng nối bảo mật hoặc giữa một host từ xa và một cổng nối bảo mật, các thiết bị này đã được xác thực bởi một thiết bị khác và được chấp thuận trên một khoá. Xác thực ở đây không đồng thời với xác thực các gói sử dụng tiêu đề AH, mà là các thiết bị tự xác thực. Các cổng nối sử dụng các cặp khoá chung có thể được xác thực nhân công, nhưng nó thường được kết nối cứng trong thiết bị trước khi nó được xắp xếp. Sau đó người quản lý mạng ghi các thiết bị mới với các cổng nối bảo mật khác trên VPN, đưa ra các cổng nối này khoá chung do đó có thể thay đổi các khoá phiên. Nếu một cổng nối bảo mật không được xếp với các khoá két nối cứng, cổng nối sẽ thiết lập để đưa ra ngẫu nhiên cặp khoá của nó. Khi đó một chứng nhận điện tử sẽ được chỉ định với khoá riêng và gửi đến quyền đăng nhập chứng nhận thích hợp, một máy chủ chứng nhận nội bộ hoặc CA cấp 3 như Versign. Khi chúng nhận được chấp thuận, chứng nhận này sẵn sàng từ CA để sử dụng bởi các cổng nối bảo mật khác và các client từ xa tới xác thực vị trí trước khi dữ liệu được thay đổi. Điều khiển các khoá phiên Nếu thay đổi khoá (giống như trong IPSec hay L2TP) được yêu cầu giữa các vị trí, phương thức cơ bản nhất là thay đổi nhân công các khoá. Một khoá phiên ban đầu được sinh ra ngẫu nhiên bởi một cổng nối bảo mật và sau đó người quản lý mạng phân phối khoá để quản lý thiết bị thứ cấp, cụ thể là máy điện thoại, ghi thư hoặc kết hợp thư tín. Quản lý thứ cấp đặt khoá đến cổng nối bảo mật thứ cấp và một phiên bảo mật giữa hai cổng nối được thiết lập. Các khoá mới được sinh ra khi có yêu cầu và được phân phối cùng phương cách như trước. 5.1.4 Quản lý khoá cho các người dùng Trong VPN kết nối LAN-LAN, các khoá được đưa ra và được phân phối một cách tương đối dơn giản để quản lý khi số lượng vị trí không quá lớn. Nếu số vị trí nhỏ hơn 100, một hệ thống động sử dụng các quyền chứng nhận bên ngoài hoặc máy chủ chứng nhận nội bộ nên không làm phức tạp việc quản lý tiêu đề. Quản lý khóa đối với người dùng từ xa, với số lượng người dùng từ xa có thể lên tới hàng ngàn, cần phải xắp xếp và thực hiện tự động khi có thể. Để hỗ trợ số lượng lớn người đang truy cập từ xa với một cổng nối bảo mật thì cần phải thực liện liên kết bảo mật client một cách tập trung. Người dùng VPN từ xa thường sử dụng máy tính xách tay để truy cập, máy tính sách tay lại dễ bị lấy cắp nên các khoá lưu trữ trên máy tính xách tay rất dễ bị mất. Có 3 công nghệ chính để bảo mật các khoá: Lưu trữ các khoá trên một thiết bị di dời được như đĩa, card thông minh. Mã hoá khoá với một mật khẩu và yêu cầu client xác nhận mật khẩu trước khi truy cập. Mã hoá các khoá với một mật khẩu và ngăn cản truy cập nếu sử dụng sai mật khẩu. Giới hạn số lần sai mật khẩu, ví dụ: nếu sai 3 lần liên tiếp thì không cho phép client có khoá đó truy cập tiếp. 5.1.5 Các dịch vụ xác thực Có nhiều cách khác nhau để xác thực người dùng vào mạng: sử dụng mật khẩu, các hệ thống lệnh/đáp ứng sử dụng RADIUS, sử dụng các thẻ bài, các chứng nhận điện tử… Nếu thiết bị của mạng đã hỗ trợ truy cập từ xa qua modem và máy chủ truy cập từ xa, khi đó cần liên kết nó tới cổng nối bảo mật để điều khiển xác thực và quyền truy cập của các người dùng VPN. Hình 5.2: Xác thực người dùng Nếu sử dụng L2F, PPTP, hoặc L2TP để tạo các đường hầm, dùng ISP như một điểm cuối của đường hầm thì khi đó máy chủ xác thực của ISP uỷ quyền tới máy chủ xác thực của mạng riêng. Điều này cho phép duy trì điều khiển việc thiết lập các thông số xác thực và các quyền truy cập nhưng ngăn chặn ISP dùng thông tin đó để cung cấp quyền truy cập tới những người dùng từ xa. 5.1.6 Quản lý CA nội bộ Các chứng nhận điện tử có một chu kỳ sống hữu hạn, sau khi các chứng nhận được cấp phát một thời gian chúng sẽ ngừng hoặc có thể bị huỷ bỏ. Các chứng nhận cũng có thể được tái lập và cần được dự phòng trong trường hợp các khoá cần được thu hồi sau một ngày. Nếu muốn tiến hành quyền đăng nhập chứng nhận riêng trong nội bộ, quản lý hệ thống không chỉ đòi hỏi tạo các cặp khoá và cấp phát các chứng nhận mà còn quản lý các khoá và các chứng nhận này. Quản lý các chứng nhận bao gồm việc duy trì nơi chứng nhận, từ chối chứng nhận khi cần và cấp phát bản kê khai huỷ bỏ các chứng nhận CRL (Certification Revocation Lists). Quản lý khoá đòi hỏi khoá dự phòng và thu hồi khoá, tự động cập nhật khoá (và các xác thực) và quản lý nguồn gốc khoá. 5.1.7 Điều khiển quyền truy cập Một VPN được cấu tạo để cung cấp liên lạc giữa các host và các cổng nối bảo mật. Điều khiển truy cập ở đây không chỉ bao gồm điều khiển quyền truy cập vào mạng mà còn điều khiển các mức truy cập trong mạng. Tài nguyên trong công ty được phân thành các mức khác nhau, tuy theo công việc và mức độ quan trọng mà có thể được truy cập vào các tài nguyên khác nhau. Ví dụ, nhân viên bán hàng không được phép truy cập tới tài nguyên của nhóm nghiên cứu, nhóm dự án hay quản lý. Tóm lại, Quản lý bảo mật cho VPN là một phần trong chính sách bảo mật, quản lý VPN. Vấn đề xác thực người dùng và điều khiển truy cập tới các tài nguyên của mạng đóng vai trò hết sức quan trọng. Phân phối khoá để xác thực các cổng nối bảo mật và các host từ xa là phần quan trọng trong việc quản lý VPN. Các quyền đăng nhập chứng nhận hay máy chủ chứng nhận nội bộ riêng có thể được sử dụng để cấp phát và điều khiển các chứng nhận điện tử. 5.2 Quản lý địa chỉ Sự phát triển bùng nổ trong việc sử dụng địa chỉ IP để truyền thông dữ liệu, các tổ chức thương mại dẫn tới một số vấn đề về việc cấp phát và quản lý địa chỉ IP. Không gian địa chỉ IPv4 có 32 bit, cung cấp 232=4.294.967.296 địa chỉ đã không đủ cung cấp. Các giải pháp ngắn hạn đã được sử dụng để giải quyết sự thiếu hụt về địa chỉ. Tuy nhiên, trong tương lai IPv6 với trường địa chỉ dài 128 bit cung cấp 2128 địa chỉ. Trong phần này ta sẽ chỉ ra một số vấn đề trợ giúp người quản lý và người thiết kế, các phương pháp cấp phát địa chỉ tới các thiết bị mạng trên cả mạng riêng và mạng chung, các vấn đề liên quan tới việc đặt tên các thực thể mạng qua hệ thống tên miền DNS (Domain Name System). 5.2.1 Địa chỉ IPv4 Các địa chỉ IPv4 là một số nhị phân có chiều dài 32 bit, cấu trúc thành 4 octet (1 octet = 8bit) bao gồm 2 phần: Phần Net work và phần host. Phần chỉ số mạng được gán bởi ARIN, còn phần host được gán bởi nhà quản lý. ARIN (American Registry for Internet Number) phân dải địa chỉ IP thành 3 lớp: lớp A, lớp B, và lớp C. Địa chỉ lớp A dùng 8 bit (1 octet) đầu tiên để định danh phần địa chỉ mạng, 24bit (3 octet) còn lại có thể được dùng cho phần host của địa chỉ. Mỗi mạng của địa chỉ lớp A có thể gán đến (224-2) hay 16.777.214 địa chỉ IP cho các thiết bị gắn vào mạng. ( trừ đi một địa chỉ mạng và một địa chỉ quảng bá). Địa chỉ lớp B dùng 16 bit đầu tiên (2 octet) đầu tiên để nhận dạng phần địa chỉ mạng. Hai octet còn lại của địa chỉ IP có thể được dùng cho phần host của địa chỉ. Mỗi mạng dùng địa chỉ IP lớp B có thể gán đến (216-2) hay 65.534 địa chỉ cho các thiết bị gắn vào. Địa chỉ IP lớp C dùng 24 bit đầu tiên (3 octet) đầu tiên để nhận dạng phần địa chỉ mạng. chỉ có octet cuối cùng của địa chỉ IP lớp C là có thể được dùng cho phần host của địa chỉ. Mỗi mạng dùng địa chỉ IP lớp C có thể gán đến (28-2) hay 254 địa chỉ IP cho các thiết bị gắn vào. 5.2.2 Cấp phát địa chỉ Trong các tổ chức lớn bao gồm rất nhiều máy thì việc cấp phát địa chỉ IP cho hàng ngàn trạm làm việc và cấu hình các địa chỉ này trong phần mềm TCP/IP là một công việc khó khăn. Có hai kiểu cấp phát địa chỉ IP vẫn thường được đề cập và sử dụng đó là: Cấp phát địa chỉ động và cấp phát địa chỉ tĩnh. Với phương thức cấp phát địa chỉ tĩnh, thì ta phải đến từng thiết bị và cấu hình cho nó với một địa chỉ IP. Phương pháp này đòi hỏi phải ghi nhớ một cách tỉ mỉ, vấn đề trở ngại có thể xảy ra trên mạng nếu dùng trùng địa chỉ IP hay cấu hình nhầm. Phương thức này chỉ có thể sử dụng khi cấp phát địa chỉ cho một số lượng nhỏ máy. Phương pháp cấp phát địa chỉ tĩnh tiêu tốn nhiều thời gian, bất cứ một sự thay đổi nhỏ nào của mạng đều phải cấu hình lại mạng nên rất tốn kém và hiệu quả thấp. Khi số lượng địa chỉ IP cần cấp phát lên tới hàng trăm, hàng ngàn thì phương pháp này không còn hợp lý và rất khó để thực hiện. Với phương thức cấp phát địa chỉ động, các địa chỉ IP được gán một cách tự động, ta không cần phải đến từ thiết bị mà có thể gán từ máy chủ ở xa. Để giải quyết vấn đề này một phương thức cấp phát địa chỉ IP động là giao thức cấu hình host động DHCP (Dynamic Host Configuration Protocol). * Giao thức cấu hình host động DHCP được thiết kế để cung cấp một phương pháp tập trung tới cấu hình và duy trì một không gian địa chỉ IP, mạng quản lý cấu hình các loại thiết bị trên mạng được định vị duy nhất. DHCP cho phép các địa chỉ IP được chỉ định linh động tới các trạm làm việc. Hoạt động DHCP hoàn toàn đơn giản. Khi một client DHCP được kích hoạt, nó chuyển vào trạng thái khởi động và gửi yêu cầu DHCP quảng bá cho máy chủ DHCP trên mạng cung cấp cho nó một địa chỉ IP và các thông số cấu hình, sau đó chuyển đến trạng thái chọn lựa. Máy chủ DHCP trên mạng đưa ra một địa chỉ IP và các thông số cấu hình bằng việc gửi một phúc đáp tới client để cấu hình client này. Client có thể chấp nhận hoặc đợi các máy chủ khác trên mạng. Cuối cùng, client lựa chọn và đưa ra công bố chi tiết đến máy chủ thích hợp. Máy chủ được chọn sẽ gửi trả báo nhận với địa chỉ IP được đưa ra và bất kỳ một thông số cấu hình khác mà client yêu cầu. Địa chỉ IP đưa tới lient bởi máy chủ DHCP có thoả thuận về thời gian tồn tại. Trong suốt thời gian sống của địa chỉ động, client thường xuyên hỏi máy chủ để tái lập. Nếu client không muốn tái lập hoặc máy client kết thúc thì địa chỉ IP này có thể được cấp phất cho máy khác. * Hệ thống tên miền DNS (Domain Name System) Các địa chỉ IP dưới dạng các số nhị phân hay các số thập phân thì đều khó nhớ, mọi người thích và cảm thấy dễ nhớ tên hơn là các địa chỉ IP. Để liên hệ nội dung của site với địa chỉ của nó, người ta đã phát triển ra hệ thống tên miền DNS. Một domain hay một miền là một nhóm các máy tính được liên hệ vị trí địa lý của nó hoặc hình thức kinh doanh dùng nó. Một domain name là một chuỗi ký tự hay chữ số, thông thường là tên đầy đủ hay viết tắt, tượng trưng cho một địa chỉ ở dạng số của một Internet site. Có hơn 200 miền thuộc mức trên cùng trên mạng Internet, ví dụ như: .vn Việt nam .us Mỹ .uk Vương quốc anh Cũng có các tên phân loại chung, ví dụ như: .com Những site thương mại .edu Những site giáo dục .org Những site phi lợi nhuận .gov Những site của tổ chức chính phủ .net Dịch vụ mạng Hệ thống tên miền DNS là hệ thống đặt tên chính thức của Internet. DNS là hệ thống đặt tên phân tán, cơ sở dữ liệu là các tên tịnh tiến để có thể cung cấp cho nhiều host. Hệ thống DNS được xây dựng dưới dạng phân cấp, tạo ra các mức khác nhau cho các DNS server. Máy chủ tên miền DNS (Domain name server) là một thiết bị mạng. Nó đáp ứng cho các yêu cầu từ các client để dịch một tên miền sang địa chỉ IP tương ứng. Nếu một DNS cục bộ có thể dịch một tên miền sang địa chỉ IP liên hệ, nó sẽ thực hiện và trả kết quả về cho client. Nếu không thể dịch địa chỉ này thì nó sẽ chuyển yêu cầu đến một DNS mức cao hơn kế tiếp để cố gắng dịch địa chỉ. Nếu DNS mức này có thể dịch tên miền sang địa chỉ IP tương ứng thì nó sẽ thực hiện và trả kết quả về cho client. Nếu không thể, nó lại gửi yêu cầu cho các mức cao hơn kế tiếp. Quá trình này cứ lặp lại cho đến khi tên miền được dịch hay đạt đến DNS ở mức trên cùng. Nếu tên miền không tìm thấy trên DNS lớp cao nhất thì xem như có lỗi và thông báo lỗi tương ứng sẽ được gửi đến client. Bất kỳ ứng dụng nào dùng các tên miền đều biểu diễn cho các địa chỉ IP đều phải dùng DNS để dịch tên miền sang địa chỉ IP tương ứng. Hình 5.3: Mối quan hệ giữa máy chủ DHCP và máy chủ DNS 5.2.3 NAT và các địa chỉ riêng Các địa chỉ IP được cấp phát bởi IANA được chỉ định để sử dụng trên mạng Internet. Nếu công ty không có mục đích sử dụng Internet mà chỉ yêu cầu kết nối trong một mạng không cần kết nối với bên ngoài thì các địa chỉ riêng là lý tưởng cho họ. Các dải địa chỉ riêng: Lớp A: 10.0.0.0 ÷ 10.255.255.255. Lớp B: 172.16.0.0 ÷ 172.31.255.255. Lớp C: 192.168.0.0 ÷ 192.168.255.255 IETF khuyến nghị một số dải địa chỉ riêng được sử dụng để các bộ định tuyến Internet sẽ không bị nhầm lẫn nếu các địa chỉ được biết ngẫu nhiên trên Internet. Các địa chỉ riêng không được gán, nó chỉ được dùng bởi các host trong đó có sử dụng trình dịch địa chỉ mạng NAT (Network Addresss Translation) hay một Proxy Server để kết nối đến mạng công cộng. Các địa chỉ riêng có thể được dùng với một NAT server. Một NAT server hoặc Proxy server cung cấp kết nối cho tất cả các host trong mạng, các host này liên quan đến vài địa chỉ công cộng có sẵn. Bằng cách quy định với bất kỳ tải nào với một địa chỉ đích thuộc về dải các địa chỉ riêng sẽ không được định tuyến lên Internet. Hình 5.4: NAT tại bộ định tuyến biên 5.3 Quản lý chất lượng Quản lý chất lượng ở đây được hiểu là thực hiện các biện pháp để đảm bảo chất lượng của mạng VPN. 5.3.1 Hiệu suất mạng Việc nối mạng nếu không được kiểm soát tốt thì người dùng không thể điều chỉnh lưu lượng cho phù hợp với băng thông của mạng và điều đó có thể làm tắc nghẽn mạng, dẫn đến tính thống nhất của mạng bị phá huỷ, luồng lưu lượng có độ ưu tiên cao bị ngăn cản không qua được mạng và các người dùng của mạng cũng như các thiết bị không tự giải quyết được vấn đề này. Băng thông là yếu tố quan trọng để đánh giá khả năng, chất lượng mạng. Băng thông xác định tổng số lượng dữ liệu có thể chuyển qua trong một đơn vị thời gian. Thời gian chờ hay độ trễ của mạng là thời gian nhỏ nhất trôi qua giữa dữ liệu được yêu cầu và được nhận, nó ảnh hưởng đến thời gian đáp ứng giữa các client và máy chủ. Độ trễ của mạng có thể bị ảnh hưởng bởi nhiều yếu tố như: cơ sở hạ tầng của mạng, băng thông, công nghệ định tuyến và các giao thức hỗ trợ. Độ trễ của một mạng chịu ảnh hưởng của các yếu tố: - Trễ truyền (Propagation delay): là thời gian giữ thông tin để truyền đi trên lộ trình của đường truyền. Trễ này được xác định bởi tốc độ của tải trọng, băng thông của mạng. - Trễ truyền dẫn (Transmission delay): là thời gian để gửi gói qua một môi trường đã cho. Trễ truyền dẫn được xác định bởi tốc độ của tải trọng, kích thước gói và băng thông. - Trễ xử lý (Processing delay): là thời gian để cho bộ định tuyến, hệ thống chuyển mạch … xử lý gói. Ngoài ra, độ dao động cũng ảnh hưởng tới thời gian thực của lưu lượng mạng. Độ dao động chính là biến hoá của thời gian chờ. Khi mà độ trễ của mạng quá giới hạn cho phép có thể đưa đến hoạt động sai, không thể cung cấp các dịch vụ đa phương tiện. Để đảm bảo an toàn và đáp ứng các yêu cầu khác nhau về lưu lượng của các ứng dụng khác nhau truyền trên mạng, người ta phân ra làm 3 loại: lưu lượng thời gian thực (Real-time traffic), lưu lượng tương tác (Interactive traffic), và lưu lượng truyền lớn (bulk transfer traffic). - Lưu lượng thời gian thực như đàm thoại, hội nghị truyền hình, lưu lượng đa phương tiện thời gian thực. Với kiểu lưu lượng này thì yêu cầu thời gian chờ rất ngắn, độ dao động được điều khiển. Băng thông rộng có thể mang đến chất lượng dịch vụ tốt hơn. - Lưu lượng tương tác bao gồm: lưu lượng thực hiện xử lý, nhập dữ liệu từ xa, và một số giao thức kế thừa. Khoảng thời gian chờ của lưu lượng kiểu này khoảng một giây hoặc ít hơn. Khoảng thời gian chờ lớn dễ gây ra các trễ xử lý vì những người dùng phải đợi trả lời các yêu cầu của họ trước khi họ có thể tiếp tục công việc. Lưu lượng tương tác yêu cầu thời gian chờ hợp lý, không yêu cầu băng thông lớn. - Lưu lượng truyền lớn không yêu cầu chặt chẽ về thời gian chờ, thời gian chờ có thể một vài giây hoặc có thể hơn. Với loại lưu lượng này thì yêu cầu có băng thông rộng, băng thông càng lớn thì thời gian truyền càng ngắn. Hình 5.5: Lưu lượng truyền trên mạng Dựa vào các đặc điểm của các kiểu lưu lượng, các úng dụng mà người quản trị mạng đưa ra dự đoán tương đối chính xác về các dạng lưu lượng của mạng tại các thời điểm, từ đó đưa ra các biện pháp để điều khiển lưu lượng người dùng tốt nhất mà mạng có thể đáp ứng, đảm bảo hiệu suất của mạng. Có nhiều phương pháp hỗ trợ phân lớp dịch vụ góp phần làm tăng hiệu suất, giảm tắc nghẽn mạng. Có 5 công nghệ chung nhất được đề xướng đó là: 1. Dự phòng quá băng thông mạng. 2. Duy trì băng thông. 3. Quyền ưu tiên lưu lượng. 4. Cấp phát tài nguyên tĩnh. 5. Cấp phát tài nguyên động. Dự phòng quá băng thông mạng không phải là phương pháp chính xác đối với các dịch vụ phân biệt, nhưng nó có thể giúp phân phối đối với tắc nghẽn mạng bởi được phép điều khiển một khối lưu lượng lớn. Dự phòng quá băng thông là giải pháp thích hợp đối với LAN cụ bộ. Nhưng với WAN hay VPN thì giải pháp này không thích hợp vì giá băng thông bổ xung cao. Công nghệ duy trì băng thông cải tiến toàn bộ chất lượng mạng bởi cố gắng để đảm bảo sử dụng có hiệu quả nhất khả năng sẵn sàng của mạng hơn là phân biệt các dịch vụ mạng. Một số công nghệ duy trì hiện nay là quảng bá IP (IP multicasting), nén dữ liệu và cung cấp băng thông theo yêu cầu. Quảng bá IP giảm tổng số giá trị của lưu lượng trên mạng bởi việc loại bỏ lưu lượng dư thừa đang chuyển tiếp. IP multicasting chỉ làm việc tốt khi dữ liệu đồng thời được truyền tới một số người nhận. Nếu mỗi phiên di chuyển ngang qua một đường hầm của VPN giữa một client khác và một máy chủ khác thì IP multicasting giúp được ít. Nén băng thông có thể cung cấp hữu ích hơn và một số nhà cung cấp VPN (VPNNet) đã chứa cả việc nén băng thông trong các cổng nối bảo mật của họ để xử lý lưu lượng IPSec. Cung cấp băng thông theo yêu cầu có thể hữu ích bởi việc cung cấp băng thông nhiều hơn nhu cầu, nhưng thêm các liên kết có thể gây ra các vấn đề cấu hình trên VPN hoặc không thể giảm giá cung cấp băng thông. Quyền ưu tiên lưu lượng hay còn được coi là phân lớp dịch vụ CoS (Class of Service) là phương pháp đơn giản nhưng là công cụ hữu ích để cung cấp các dịch vụ phân biệt. Bộ định tuyến có thể dựa vào trường quyền ưu tiên trong tiêu đề mỗi gói để phân biệt giữa các lớp dịch vụ. Do việc phân lớp dịch vụ được hoàn thành tại các bộ định tuyến biên, đồng thời các bộ định tuyến này có thể là các cổng nối bảo mật cho VPN nên cho phép ta phối hợp điều khiển VPN và điều khiển lưu lượng tại cùng một điểm. Cấp phát tài nguyên tĩnh cho phép ta đặt trước một phần trong số lưu lượng của mạng cho một kiểu lưu lượng xác định. Khi lưu lượng được cấp phát cho một ứng dụng hoặc một giao thức đặc biệt, thì tất cả lưu lượng kiểu đó sẽ được đáp ứng. Nếu kkông, lưu lượng lớn hơn mức lưu lượng được cấp sẽ có thể bị trễ hoặc chọn để loại bỏ. Nếu lưu lượng được cấp không sử dụng, nó ngẫu nhiên dành cho lưu lượng khác để sử dụng phần băng thông còn lại. Cấp phát tài nguyên động được thực hiện nhờ giao thức đặt trước tài nguyên RSVP (Resourse Reservation Protocol). Với giao thức RSVP, thì có thể thiết lập một cách nhanh chóng và dừng hoạt động nhanh chóng các yêu cầu kết nối, các phiên với mức dịch vụ thích hợp. RSVP không tạo thêm băng thông, nó phân băng thông ra làm các phần khác nhau, phù hợp với yêu cầu từng yêu cầu, từng dịch vụ được sử dụng, nhờ đó hiêu quả sử dụng băng thông cho lưu lượng kiểu luồng đạt được cao nhất. Giao thức đặt trước tài nguyên RSVP hoạt động ở lớp trên của IP, nó sử dụng giao thức định tuyến cơ sở để xác định đích của các yêu cầu đặt trước. Khi các đường dẫn định tuyến thay đổi, RSVP chỉnh phần đặt trước của nó tới các đường dẫn mới nếu phần giữ trước ở trong miền. Giao thức RSVP được sử dụng bởi các bộ định tuyến để thiết lập, phân phối các yêu cầu điều khiển QoS đến các nút dọc theo các đường dẫn của các luồng và duy trì trạng thái để cung cấp dịch vụ theo yêu cầu. 5.3.2 Giám sát hiệu suất ISP và SLA Giám sát chất lượng của ISP không chỉ việc giám sát xem mức độ thực hiện các thoả hiệp mức dịch vụ công ty đã đăng ký với ISP mà còn xác định VPN của mình hoạt động như thế nào. Cụ thể, nếu lưu lượng VPN không qua được hoặc bị trễ thì rất có thể do tắc nghẽn tại một cổng nối bảo mật không phải do chất lượng ISP. Khi đó ta phải xem xét việc thiết lập một cổng nối có khả năng hơn hoặc cân bằng tải giữa nhiều cổng nối. Nếu một vài liên kết không sử dụng tải nặng thì ta có thể thoả thuận một tốc độ chậm hơn cho các liên kết này. Giám sát SLA có thể giám sát các thông số như: tính sẵn sàng, năng suất và độ trễ. Để kiểm tra trực tiếp các thông số trên rất là khó và không chính xác vì các thông số này thay đổi liên tục. Trong thực tế, để giám sát chất lượng người ta thường xuyên theo dõi các thông số để đo lường chất lượng như: thời gian để tải xuống một tệp hoặc gửi một thông báo…vì phần lớn người dùng được liên kết với chất lượng của các ứng dụng của họ trên mạng. 5.3.2 Hiệu suất của VPN Có hai yếu tố chính ảnh hưởng đến hiệu suất của VPN đó là: - Tốc độ và độ tin cậy của các đường truyền qua mạng Internet. - Hiệu quả xử lý tại các host và các cổng nối bảo mật của VPN. Ngày nay, khi mà các ứng dụng mạng đã trở lên phổ biến, số lượng người dùng ngày một tăng và các úng dụng cũng không ngừng tăng theo điều này đã làm tăng lưu lượng trên các mạng và mạng cũng không thể đảm bảo chắc chắn chất lượng mạng đều tốt tại mọi thời điểm. Khi xây dựng mạng VPN các công ty luôn thoả hiệp mức dịch vụ SLA với ISP để đảm bảo dữ liệu của VPN truyền qua mạng Internet an toàn và nhanh chóng. Các ISP đưa ra các khoảng thời gian chờ có đảm bảo do vậy ngăn lưu lưọng đường hầm khách hàng và Internet chung trên mạng đường trục riêng của họ.

Các file đính kèm theo tài liệu này:

  • docchuong 5.doc
Tài liệu liên quan