Mạng VPN thông thường bao gồm mạng LAN văn phòng chính (văn phòng chính), các mạng LAN khác trong văn phòng từ xa, điểm kết nối (ví dụ: “văn phòng tại nhà”) hoặc người dùng (nhân viên). Truy cập từ bên ngoài.
Khái niệm
VPN thực chất là một mạng riêng, sử dụng mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người dùng. Sử dụng từ xa qua mạng LAN trong văn phòng trung tâm. VPN không cần sử dụng các kết nối khá phức tạp (như đường dây thuê bao kỹ thuật số), nhưng tạo các liên kết ảo được truyền qua Internet giữa tổ chức mạng riêng tư và các địa điểm hoặc người dùng từ xa.
Loại VPN
Có hai loại phổ biến hiện nay: VPN truy cập từ xa (truy cập từ xa) và VPN điểm-điểm
VPN truy cập từ xa còn được gọi là VPN từ xa (VPDN), đó là Kết nối mạng nội bộ. Các tổ chức có nhiều nhân viên phải liên hệ với mạng riêng của họ từ nhiều địa điểm xa. Ví dụ: một công ty muốn xây dựng VPN lớn cần một nhà cung cấp dịch vụ doanh nghiệp (ESP). ESP tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho người dùng từ xa phần mềm máy khách cho máy tính của họ. Sau đó, người dùng có thể quay số miễn phí để liên hệ với NAS và sử dụng phần mềm VPN máy khách để truy cập mạng riêng của công ty. Loại VPN này cho phép kết nối an toàn và được mã hóa.
Như thể hiện trong hình, kết nối giữa trụ sở chính và “văn phòng” của nhân viên văn phòng tại nhà hoặc di động là một loại VPN truy cập từ xa. VPN ngang hàng sử dụng mật khẩu của nhiều người để kết nối nhiều điểm cố định với nhau thông qua mạng công cộng (chẳng hạn như Internet). Loại này có thể dựa trên Intranet hoặc Extranet. Loại dựa trên mạng nội bộ: Nếu một công ty có nhiều trang web từ xa muốn tham gia mạng riêng, bạn có thể tạo VPN mạng nội bộ (VPN cục bộ) để kết nối mạng LAN với mạng LAN. Loại dựa trên Extranet: Khi một công ty có mối quan hệ chặt chẽ với một công ty khác (chẳng hạn như nhà cung cấp, khách hàng, v.v.), VPN Extranet (VPN mở rộng) có thể được tạo. Kết nối LAN với LAN để các tổ chức khác nhau có thể làm việc trong cùng một môi trường.
Trong hình trên, kết nối giữa văn phòng chính và văn phòng từ xa là mạng nội bộ VPN và kết nối giữa văn phòng chính của văn phòng và đối tác kinh doanh là mạng bên ngoài VPN.
Bảo mật trong VPN
Tường lửa là một rào cản vững chắc giữa mạng riêng và Internet. Bạn có thể định cấu hình tường lửa để giới hạn số lượng cổng mở, loại gói và giao thức truyền. Bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp, một số sản phẩm VPN nhất định (như bộ định tuyến Cisco 1700) có thể được nâng cấp để bao gồm chức năng tường lửa. Tốt nhất là cấu hình tường lửa trước khi định cấu hình VPN.
Mật khẩu truy cập là khi một máy tính mã hóa dữ liệu và gửi nó đến một máy tính khác, chỉ máy tính đó mới có thể giải mã nó. Có hai loại: mật khẩu riêng và mật khẩu thông thường.
Mã hóa khóa đối xứng: Mỗi máy tính có một mã bí mật được sử dụng để mã hóa gói dữ liệu trước khi gửi nó đến các máy tính khác trên mạng. Mật khẩu riêng yêu cầu bạn biết máy tính cần liên lạc để có thể cài đặt mật khẩu tại đây để máy tính của người nhận có thể giải mã được. Khóa công khai mã hóa mật khẩu riêng và mật khẩu công khai. Mã duy nhất này chỉ được thiết bị của bạn nhận ra và mã thông thường được thiết bị của bạn cung cấp cho bất kỳ thiết bị nào bạn muốn (an toàn) liên hệ với nó. Để giải mã tin nhắn, máy tính phải sử dụng mã chung do máy tính cung cấp và cũng cần mã riêng. Có một ứng dụng phổ biến tương tự, “Pretty Good Privacy (PGP)”, cho phép bạn mã hóa hầu hết mọi thứ.
Giao thức bảo mật giao thức Internet (IPSec) cung cấp các tính năng bảo mật nâng cao, chẳng hạn như thuật toán mã hóa tốt hơn và xác thực kết nối hoàn chỉnh hơn.
– IPSec có hai cơ chế mã hóa: đường hầm và truyền. Đường hầm mã hóa tiêu đề và kích thước của mỗi gói, trong khi truyền chỉ mã hóa kích thước. Chỉ các hệ thống hỗ trợ IPSec mới có thể sử dụng giao thức này. Ngoài ra, tất cả các thiết bị phải sử dụng khóa chung và tường lửa trên mỗi hệ thống phải có cùng cài đặt bảo mật. IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau, chẳng hạn như bộ định tuyến đến bộ định tuyến, tường lửa đến bộ định tuyến, PC đến bộ định tuyến, PC đến máy chủ. (Xác thực truy cập), ủy quyền (ủy quyền) và tính phí (kiểm soát). Những máy chủ này được sử dụngĐể đảm bảo truy cập an toàn hơn. Khi máy khách gửi yêu cầu thiết lập kết nối, nó sẽ phải được xác thực bởi máy chủ AAA. Thông tin về hoạt động của người dùng là cần thiết để theo dõi cho mục đích bảo mật.
Các sản phẩm kỹ thuật VPN
Tùy thuộc vào loại VPN (truy cập từ xa hoặc ngang hàng), bạn sẽ cần cài đặt một số thành phần nhất định để định cấu hình mạng riêng ảo của mình. Chúng có thể là: – Phần mềm máy tính để bàn dành cho người dùng từ xa – phần cứng cao cấp, chẳng hạn như bộ xử lý VPN trung tâm hoặc máy chủ VPN cao cấp bảo mật PIX cho các dịch vụ truy cập từ xa – NAS (máy chủ truy cập mạng) được nhà cung cấp sử dụng cho điều khiển từ xa Người dùng cung cấp dịch vụ – mạng VPN và trung tâm quản lý.
Bộ xử lý VPN trung tâm — Có nhiều loại bộ xử lý VPN từ các nhà cung cấp khác nhau, nhưng các sản phẩm của Cisco tỏ ra vượt trội ở một số chức năng nhất định. Bộ xử lý VPN kết hợp công nghệ mã hóa và kiểm soát truy cập tiên tiến nhất hiện nay và được thiết kế riêng cho các mạng như vậy. Chúng chứa các mô đun xử lý mã hóa SEP, cho phép người dùng dễ dàng tăng dung lượng và số lượng gói dữ liệu được truyền. Phạm vi sản phẩm bao gồm các mô hình phù hợp cho các doanh nghiệp nhỏ và lớn (truy cập đồng thời 100 đến 10.000 điểm truy cập từ xa).
Bộ xử lý VPN trung tâm của Cisco số 3000. (Ảnh: quadrantc truyền thông)
Bộ định tuyến VPN
Thiết bị này cung cấp các chức năng truyền và bảo mật. Dựa trên hệ điều hành IOS Internet của mình, Cisco đang phát triển các loại bộ định tuyến phù hợp cho mọi tình huống, từ truy cập văn phòng tại nhà đến nhu cầu của các công ty lớn.
Tường lửa Cisco PIX
Tường lửa trao đổi Internet chuyên dụng bao gồm cơ chế dịch địa chỉ mạng mạnh mẽ, máy chủ proxy, bộ lọc gói, chức năng VPN và ngăn chặn truy cập bất hợp pháp.
Thiết bị không sử dụng IOS, nhưng một hệ điều hành có khả năng tổ chức cao, có thể quản lý nhiều giao thức và có thể hoạt động rất hiệu quả bằng cách tập trung vào IP.
THỨ TỰ