VPN - Giải pháp kết nối tiết kiệm và hiệu quả

1Giaûi phaùp Maïng rieâng aûo (VPN) Hoäi nghò YÙ töôûng – Giaûi phaùp 7/2007 1 VPN – GIAÛI PHAÙP KEÁT NOÁI TIEÁT KIEÄM VAØ HIEÄU QUAÛ VPN coù theå giuùp baïn tieát kieäm ñöôïc töø 50 ñeán 70% chi phí ñaàu tö vaøo caùc keát noái leased line vaø remote access truyeàn thoáng. Hôn nöõa VPN coøn giuùp heä thoáng maïng doanh nghieäp trôû neân maïnh meõ vaø linh hoaït, ñaùp öùng ñöôïc yeâu caàu ngaøy caøng cao trong thôøi ñaïi buøng noå veà Internet vaø E- Commerce..VPN LAØ GÌ VPN laø teân goïi chung cuûa nhöõng keát noái “rieâng” vaø baûo maät döïa treân moät heä thoáng keát noái chung, thöôøng laø internet, cho pheùp môû roäng heä thoáng maïng tôùi caùc vaên phoøng ôû xa (remote office), caùc ngöôøi duøng laøm vieäc taïi nhaø (Home user, home telecommuter), caùc ngöôøi duøng di ñoäng (mobile user) vaø caû caùc ñoái taùc thöông maïi (Business Partner). Central Site Site-to-Site Remote Office Extranet Business Partner POP DSL Cable Mobile User Home Telecommuter VPNInternet Sô ñoà toång quaùt cuûa giaûi phaùp VPN Frame Relay PTSN ISDN Leased line  Chi phí thueâ bao leased line, frame relay, ATM ñöôøng daøi ñoái vôùi caùc keát noái site-to-site.  Chi phí cöôùc vieãn thoâng ñöôøng daøi daønh cho caùc keát noái truy caäp töø xa. VPN khoâng yeâu caàu nhöõng keát noái coá ñònh giöõa hai ñieåm. Thay vaøo ñoù VPN söû duïng nhöõng keát noái chung nhö laø Internet ñeå taïo caùc keânh lieân keát aûo. Döõ lieäu löu chuyeån treân lieân keát aûo naøy seõ ñöôïc maõ hoùa ñeå baûo ñaûm ñoä an toaøn treân caùc ñöôøng truyeàn chung. Vieäc khôûi taïo caùc keânh truyeàn ñöôïc thöïc hieän bôûi caùc thieát bò phaàn cöùng vaø phaàn meàm chuyeân bieät vaø ñöôïc aùp duïng caùc cô cheá baûo maät toái öu nhaát hieän nay. Cô cheá baûo maät cuûa VPN gaén lieàn vôùi IPSec. IPSec laø teân goïi chung cuûa moät nhoùm caùc phöông thöùc vaø thuaät toaùn maõ hoùa, caùc protocol duøng treân keânh truyeàn baûo maät VPN. Ví duï nhö cô cheá maõ hoùa DES, 3DES, RC4; caùc thuaät toaùn Diffie-Hellman, RSA; caùc phöông thöùc chuyeån khoùa baûo LÔÏI ÍCH CUÛA VPN Tieát kieäm chi phí Vôùi vieäc söû duïng VPN, doanh nghieäp coù theå giaûm ñaùng keå caùc chi phí ñaàu tö cho cô sôû haï taàng truyeàn thoâng vaø caùc chi phí haøng thaùng: Ngoaøi ra trieån khai VPN coøn giuùp doanh nghieäp tieát kieäm ñöôïc chi phí cho vieäc vaän haønh vaø baûo Caùc chi phí naøy lôùn gaáp nhieàu laàn chi phí söû duïng keát noái Internet noäi haït khi söû duïng VPN. trì heä thoáng, giaûm chi phí cho ñoäi nguõ nhaân vieân tin hoïc cuûa minh. Caùc phaân tích cuï theå veà chi phí seõ ñöôïc trình baøy ôû phaàn sau.B ûo maät VPN cung caáp möùc baûo maät cao nhaát nhôø söû duïng nhöõng protocol baûo maät tieâu chuaån vaø môû roäng nhö 3DES, IPSec… Caùc giaûi phaùp keát noái truyeàn thoáng nhö quay soá, frame relay, leased line tröôùc ñaây chæ cung caáp khaû naêng taùch bieät keát noái moät caùch vaät lyù chöù khoâng heà cung caáp giaûi phaùp baûo maät. û aùp baûo maät cuûa VPN baûo ñaûm döõ lieäu luoân ñöôïc maõ hoùa, xaùc thöïc vaø toaøn veïn. (Encryption, Authentication, 2Giaûi phaùp Maïng rieâng aûo (VPN) Hoäi nghò YÙ töôûng – Giaûi phaùp 7/2007 2 Linh hoaït VPN giuùp cho vieäc boå sung caùc keát noái cho caùc vaên phoøng hay ngöôøi duøng ñöôïc thöïc hieän raát nhanh choùng vaø deã daøng maø khoâng caàn phaûi thay ñoåi lôùn veà cô sôû haï taàng vaø thieát bò. Thôøi gian chôø ñôïi boå sung thieát bò (taêng coång vaät lyù hay boå sung router), keùo hay ñaêng kyù ñöôøng truyeàn (ñaëc bieät laø ñoái vôùi caùc ñöôøng truyeàn lieân tænh hay quoác teá) seõ ñöôïc loaïi boû. Hieäu quaû Vieäc keát noái nhanh choùng, deã daøng vôùi chi phí thaáp giuùp doanh nghieäp naâng cao ñöôïc hieäu quaû coâng vieäc cuûa mình. Ngöôøi duøng coù theå keát noái vaø laøm vieäc moïi luùc, moïi nôi, thoâng tin luoân lieân tuïc. Ngoaøi ra doanh nghieäp coøn coù theå phaùt trieån moâ hình “laøm vieäc töø xa” ñeå giaûm chi phí thueâ maët baèng, taêng thôøi gian laøm vieäc nhôø giaûm thôøi gian di chuyeån cuûa nhaân vieân.CAÙC MOÂ HÌNH KEÁT NOÁI Remote Access Moâ hình keát noái Remote Access laø moâ hình ñöôïc aùp duïng nhieàu nhaát. Trong ñoù caùc ngöôøi duøng seõ söû duïng caùc chöông trình hay thieát bò VPN client ñeå khôûi taïo keânh truyeàn VPN. Keát noái vaøo Internet coù theå laø quay soá, ISDN hay DSL. Taïi trung taâm, thieát bò VPN coù theå laø thieát bò VPN chuyeân duøng, router coù hoã trôï VPN hay laø PIX Firewall. Tuy nhieân VPN chuyeân duïng laø thích hôïp hôn caû. Thoâng thöôøng Aùp duïng VPN Chi phí Remote Acces 100 user, 2h/ngaøy, 25% laø ñieän thoaïi ñöôøng daøi Chi phí ñieän thoaïi ñöôøng daøi: $6000 Khoâng coù Chi phí internet: Khoâng coù $1500 Chi phí keát noái site-to-site 10 ñöôøng Frame relay 56K, 01 ñöôøng T1 Chi phí thueâ bao Frame relay $7000 Khoâng coù Chi phí internet $2000 S8000 Toång chi phí haøng thaùng $15000 $9500 Chi phí trang bò VPN Thieát bò Remote Access VPN S15000 Naâng caáp router $20000 Caøi ñaët $3500 Toång coäng $38500 Thôøi gian hoaøn voán laø khoaûng 7 thaùng Söû duïng Firewall Site-to-site Moâ hình keát noái site-to-site ñang ngaøy caøng ñöôïc söû duïng nhieàu hôn thay theá cho caùc keát noái leased line, frame relay, ATM truyeàn thoáng. Keát noái ñöôïc khôûi taïo giöõa hai thieát bò hoã trôï VPN, coù theå laø i thieát bò baát kyø trong soá: VPN chuyeân duøng, router hay PIX firewall. Tuy nhieân router ñöôïc söû duïng nhieàu hôn caû. Moâ hình keát noái söû duïng firewall aùp duïng cho caùc doanh nghieäp ñaõ trieån khai firewall muoán môû roäng phuïc vuï cho VPN. Moâ hình naøy coù theå aùp duïng cho caû remote access hay site-to-site VPN. PHAÂN TÍCH BAØI TOAÙN CHI PHÍ CHO VPN Ví duï sau moâ taû chi tieát baøi toaùn chi phí ñeå minh hoïa cho tính naêng tieát kieäm cuûa VPN. Moâ hình aùp duïng laø moâ hình chung goàm caû remote access vaø site-to-site VPN. 3Site-to-Site VPN Remote Access VPN IOS VPN Routers • Tính naêng chuû yeáu • Ñaày ñuû taát caû caùc tính naêng caàn coù cuûa moâ hình site-to-site • Cung caáp tính naêng routing, QoS, WAN interfaces, hoã trôï multicast vaø multiprotocol • Thöïc hieän caùc chöùc naêng remote access cô baûn PIX Firewalls • Daønh cho caùc heä thoáng ñaõ coù firewall • Cung caáp ñaày ñuû moïi tính naêng firewall • Thöïc hieän caùc chöùc naêng keát noái site-to-site cô baûn • Cung caáp haàu heát caùc tính naêng caàn coù cuûa remote acess. • Daønh cho caùc heä thoáng ñaõ coù firewall • Cung caáp ñaày ñuû moïi tính naêng firewall VPN 3000 Concentrators • Thöïc hieän caùc chöùc naêng keát noái site-to-site cô baûn • Tính naêng chuû yeáu • Cung caáp taát caû caùc tính naêng caàn coù cuûa remote access THIEÁT BÒ CUÛA CISCO CHO CAÙC KEÁT NOÁI VPN VPN Concentrator Ñaây laø loaïi thieát bò VPN chuyeân duïng cuûa Cisco, ñöôïc thieát keá daønh rieâng cho caùc öùng duïng VPN, ñaëc bieät laø chöùc naêng Remote Access. Doøng saûn phaåm VPN Concentrator 3000 bao goàm VPN 3005, 3015, 3030, 3060, 3080 coù khaû naêng ñaùp öùng ñöôïc caùc nhu caàu töø nhoû ñeán lôùn cuûa doanh nghieäp nhôø caùc tính naêng sau:  Soá löôïng user keát noái toái ña: töø 100 ñeán 10000.  Soá tunnel hoã trôï toái ña: töø 100 ñeán 1000.  Baêng thoâng keát noái: töø 4Mbps ñeán 100Mbps.  Coù khaû naêng boå sung caùc card maõ hoùa DSP *  Coù khaû naêng gaén theâm boä nguoàn döï phoøng *  Coù khaû naêng naâng caáp deã daøng* (*): khoâng aùp duïng cho VPN 3005 VPN-Enabled Router Haàu nhö taát caû caùc loaïi router cuûa Cisco hieän nay tröø caùc loaïi ñaõ ñöôïc thieát keá vaø saûn xuaát caùch ñaây ñaõ laâu (nhö doøng saûn phaåm 7xx, 10xx, 16xx. 25xx) ñeàu coù khaû naêng hoã trôï cho VPN baèng caùch naâng caáp IOS ñeå hoã trôï chöùc naêng IPSec. Caùc VPN router naøy thích hôïp cho moâ hình VPN site-to-site vôùi nhieàu caáp ñoä veà tính naêng vaø khaû naêng môû roäng khaùc nhau. Moät soá doøng saûn phaåm router 26xx, 36xx, 7xxx coøn coù khaû naêng taêng hieäu suaát VPN baèng caùch boå sung caùc loaïi card maõ hoùa DSP chuyeân duïng. Tuøy loaïi router maø khaû naêng hoã trôï töø 50 (router 806) ñeán 5000 tunnel (router 7200) PIX-FireWall Caùc loaïi PIX-FireWall hieän nay vôùi loaïi IOS version töø 5.2 trôû leân ñeàu coù khaû naêng hoã trôï VPN. Giaûi phaùp duøng PIX- Firewall coù khaû naêng hoã trôï töø 4 (PIX-506) ñeán 2000 tunnel (PIX-535) vaø thích hôïp cho caùc doanh nghieäp muoán trieån khai theâm caùc tính naêng firewall môû roäng khaùc. Web site: 4Giaûi phaùp Maïng rieâng aûo (VPN) Hoäi nghò YÙ töôûng – Giaûi phaùp 7/2007 GIAÛI PHAÙP MAÏNG RIEÂNG AÛO 7/2007 YÙ töôûng Saûn phaåm Giaûi phaùp 5Giaûi phaùp Maïng rieâng aûo (VPN) Hoäi nghò YÙ töôûng – Giaûi phaùp 7/2007 TOÅNG QUAN MUÏC TIEÂU:  Phaân tích vaø ñöa ra giaûi phaùp veà keát noái maïng trong ñieàu kieän phöùc hôïp CÔ SÔÛ KYÕ THUAÄT:  Giaûi phaùp VPN (Virtual Private Network) cuûa Cisco ÑOÁI TÖÔÏNG:  Caùc nhaø cung caáp dòch vuï thoâng tin  Caùc doanh nghieäp maø haï taàng thoâng tin phaûi ñaùp öùng cho nhieàu daïng ngöôøi duøng phaân boá khaùc nhau Phaân taùn - Kinh teá – Baûo maät 6Giaûi phaùp Maïng rieâng aûo (VPN) Hoäi nghò YÙ töôûng – Giaûi phaùp 7/2007 NOÄI DUNG PHAÀN 1: THÖÏC TRAÏNG VAØ NHU CAÀU PHAÀN 2: GIÔÙI THIEÄU GIAÛI PHAÙP VPN PHAÀN 3: ÖÙNG DUÏNG GIAÛI PHAÙP VPN. PHAÀN 4: KEÁT LUAÄN 7Giaûi phaùp Maïng rieâng aûo (VPN) Hoäi nghò YÙ töôûng – Giaûi phaùp 7/2007 Phaàn 1 Hieän traïng vaø yeâu caàu 8Giaûi phaùp Maïng rieâng aûo (VPN) Hoäi nghò YÙ töôûng – Giaûi phaùp 7/2007 MAÏNG CUÛA DOANH NGHIEÄP MOÂ HÌNH HIEÄN TAÏI Regional Office Private Lines Frame RelayRemote Office Main Office Mobile Workers Home Offices Internet 9Giaûi phaùp Maïng rieâng aûo (VPN) Hoäi nghò YÙ töôûng – Giaûi phaùp 7/2007 Main Office Mobile Workers Regional Office Home Offices Private Lines Frame RelayRemote Office Internet  DÒCH VUÏ TREÂN MAÏNG CUÏC BOÄ (LAN SERVICE)  TRUY CAÄP TÖØ XA (REMOTE ACCESS)  KEÁT NOÁI LIEÂN THOÂNG TRONG NOÄI BOÄ (INTRA-CORPORATE CORE CONNECTIVITY)  KEÁT NOÁI BEÂN NGOAØI (CLOSED USER GROUP WITH PARTNER, CUSTOMER AND SUPPLIER)  TRUY CAÄP INTERNET (PUBLIC INTERNET ACCESS)  GIAO DÒCH VÔÙI KHAÙCH HAØNG TREÂN NEÀN INTERNET (INTERNET-BASED CUSTOMER INTERACTION)  SÖÏ COÙ MAËT CUÛA WEB (WEB PRESENCE) MAÏNG CUÛA DOANH NGHIEÄP CAÙC DÒCH VUÏ 10Giaûi phaùp Maïng rieâng aûo (VPN) Hoäi nghò YÙ töôûng – Giaûi phaùp 7/2007 MAÏNG CUÛA DOANH NGHIEÄP NHÖÕNG THAÙCH THÖÙC MÔÙI Business Partners ? ? 1000s of Remote Workers Main Office Mobile Workers Home Offices Regional Office Classic WAN Remote Office Internet ? Very Remote/Int’l Office 11Giaûi phaùp Maïng rieâng aûo (VPN) Hoäi nghò YÙ töôûng – Giaûi phaùp 7/2007 MAÏNG CUÛA DOANH NGHIEÄP NHÖÕNG THAÙCH THÖÙC MÔÙI Main Office Mobile Workers Business Partners ? Home Offices Regional Office Classic WAN Remote Office ? ? 1000s of Remote Workers Very Remote/Int’l Office Internet  NHÖÕNG TRUÏ SÔÛ MÔÙI (ADDING NEW SITES)  NHÖÕNG VAÊN PHOØNG RAÁT XA (ADDING VERY REMOTE SITES)  TRUY CAÄP TÖØ XA BAÈNG QUAY SOÁ (REMOTE DIAL ACCESS)  CUNG CAÁP KEÁT NOÁI VÔÙI BEÂN NGOAØI (EXTERNAL CONNECTIVITY)  CHI PHÍ CHO ÑAÀU TÖ HAÏ TAÀNG VAØ BAÊNG THOÂNG (COST OF INFRASTRUCTURE AND BANDWIDTH) 12Giaûi phaùp Maïng rieâng aûo (VPN) Hoäi nghò YÙ töôûng – Giaûi phaùp 7/2007 MAÏNG CUÛA DOANH NGHIEÄP NHÖÕNG THAÙCH THÖÙC MÔÙI Main Office Mobile Workers Business Partners ? Home Offices Regional Office Classic WAN Remote Office ? ? 1000s of Remote Workers Very Remote/Int’l Office Internet  CAÁU TRUÙC MAÏNG PHÖÙC TAÏP VAØ ÑAÉT (COMPLEX AND COSTLY)  TRUYEÀN THOÂNG HIEÄU QUAÛ VAØ AN NINH (EFFICIENT AND SECURE COMMUNICATION)  CHI PHÍ QUAÛN TRÒ VAØ DUY TRÌ HOAÏT ÑOÄNG (ADMINISTRATIVE EFFORT AND COSTS OF OPERATING)  DÒCH VUÏ KHOÂNG PHUÏ THUOÄC NÔI TRUY CAÄP CUÛA NGÖÔØI DUØNG (SAME SERVICES AND LOGICAL VIEW) 13Giaûi phaùp Maïng rieâng aûo (VPN) Hoäi nghò YÙ töôûng – Giaûi phaùp 7/2007 BAØI TOAÙN 1 TELECOMMUTER ? Telecommuter Existing Corporate LAN/WAN Internet 14Giaûi phaùp Maïng rieâng aûo (VPN) Hoäi nghò YÙ töôûng – Giaûi phaùp 7/2007 ? Telecommuter Existing Corporate LAN/WAN Internet BAØI TOAÙN 1 TELECOMMUTER YEÀU CAÀU THAÙCH THÖÙC • SÖÛ DUÏNG TAØI NGUYEÂN NHÖ TREÂN LAN • PHAÛI COÙ KEÁT NOÁI VEÀ LAN TRUNG TAÂM • CHI PHÍ ÑAÀU TÖ VAØ HOAÏT ÑOÄNG HÔÏP LYÙ • GIAÛI PHAÙP TRUYEÀN THOÁNG: – DIAL-UP TRÖÏC TIEÁP – WEB ACCESS: ÖÙNG DUÏNG – MOÁI ÑE DOÏA • BAÛO MAÄT THOÂNG TIN • TOÅNG THEÅ VEÀ AN NINH: – MAÏNG: AAA, ENCRYPTION – LÖU THOÂNG DÖÕ LIEÄU: ÑAÛM BAÛO KEÁT NOÁI – CoS, QoS 15Giaûi phaùp Maïng rieâng aûo (VPN) Hoäi nghò YÙ töôûng – Giaûi phaùp 7/2007 BAØI TOAÙN 2 NHAØ CUNG CAÁP DÒCH VUÏ THOÂNG TIN TP.Ho Chi Minh Hanoi Internet Client 1 Nhaø CCDVTT VP chính VP Ñaïi dieän Cty 1 CN Cty 1 16Giaûi phaùp Maïng rieâng aûo (VPN) Hoäi nghò YÙ töôûng – Giaûi phaùp 7/2007 TP.Ho Chi Minh Hanoi Internet Client 1 Nhaø CCDVTT VP chính VP Ñaïi dieän Cty 1 CN Cty 1 BAØI TOAÙN 2 NHAØ CUNG CAÁP DÒCH VUÏ THOÂNG TIN  ÑAÙP ÖÙNG CHO NHIEÀU DAÏNG KEÁT NOÁI KHAÙC NHAU  YEÂU CAÀU VEÀ HAÏ TAÀNG TRUYEÀN THOÂNG ÑOÁI VÔÙI KHAÙCH HAØNG TOÁI ÖU NHAÁT  ÑAÛM BAÛO THOÂNG TIN: NGUYEÂN VEÏN – AN NINH – RIEÂNG TÖ 17Giaûi phaùp Maïng rieâng aûo (VPN) Hoäi nghò YÙ töôûng – Giaûi phaùp 7/2007 BAØI TOAÙN 2 CAÙC VAÁN ÑEÀ CUÏ THEÅ CAÀN GIAÛI QUYEÁT TP.Ho Chi Minh Hanoi Client 1 VP chính VP Ñaïi dieän Cty 1 CN Cty 1  SÖÛ DUÏNG TOÁI ÖU HAÏ TAÀNG ÑANG COÙ  TOÅ CHÖÙC THOÂNG TIN: CHO NHIEÀU LAN RIEÂNG BIEÄT  QUAÛN TRÒ TAÄP TRUNG 18Giaûi phaùp Maïng rieâng aûo (VPN) Hoäi nghò YÙ töôûng – Giaûi phaùp 7/2007 BAØI TOAÙN 2 CAÙC VAÁN ÑEÀ CUÏ THEÅ CAÀN GIAÛI QUYEÁT TP.Ho Chi Minh Internet Nhaø CCDVTT Client 1 Hanoi VP chính VP Ñaïi dieän Cty 1 CN Cty 1  KHOÂNG YEÂU CAÀU THAY ÑOÅI LÔÙN HAÏ TAÀNG KEÁT NOÁI  CUNG CAÁP CHO CTY 1 THOÂNG TIN AN TOAØN – BAÛO MAÄT  KHOÂNG PUBLIC HOÙA HEÄ THOÁNG THOÂNG TIN CUÛA MÌNH  CUNG CAÁP KEÁT NOÁI AN TOAØN – BAÛO MAÄT  KHOÂNG DUØNG LIEÂN KEÁT TRÖÏC TIEÁP TRUYEÀN THOÁNG  KHOÂNG PUBLIC HOÙA HEÄ THOÁNG THOÂNG TIN CUÛA MÌNH 19Giaûi phaùp Maïng rieâng aûo (VPN) Hoäi nghò YÙ töôûng – Giaûi phaùp 7/2007 Phaàn 2 Giôùi thieäu giaûi phaùp VPN