Chủ Nhật, 15 tháng 9, 2013

Các công nghệ và giao thức bảo mật hỗ trợ VPN

VPN (Virtual Private Networks) là giải pháp truy nhập từ xa (Remote Access) dựa trên nền tảng mạng Internet công cộng. Công ty ITTI xin giới thiệu giải pháp VPN. Đây là một giải pháp kinh tế, có tính bảo mật cao, một giải pháp của tương lai.

1. Sự cần thiết, mục đích và lợi ích của công nghệ VPN

1.1 Giới thiệu về VPN

-       Virtual Private Networks (VPN) hay gọi theo tiếng Việt là Mạng riêng ảo, cho phép bạn mở rộng phạm vi mạng nội bộ (LAN) bằng cách sử dụng lợi thế của mạng Internet.  Kỹ thuật VPN cho phép bạn kết nối với một máy chủ nằm xa hàng ngàn dặm với mạng nội bộ của công ty (LAN  - Local Area Network) của bạn và làm cho nó trở thành một điểm truy cập (Node) hay một PC nữa trong mạng LAN và trở thành 1 mạng diện rộng (WAN).  Một đặc điểm nữa của VPN là sự kết nối giữa máy trạm và mạng ảo của bạn khá an toàn như chính bạn đang ngồi trong cùng một mạng LAN.

-       Các hệ điều hành Windows 2000 Server, Windows 2003 Server cho phép bạn thiết lập VPN server bằng cách sử dụng lợi thế có sẵn trong dịch vụ cho phép truy cập từ xa RRAS (Remote Routing Access Service).  Sau khi thiết lập một máy chủ (Server) thành một máy chủ đón nhận kết nối từ xa (VPN Server) thì các máy trạm (Clients) có thể gọi vào và truy cập những tài nguyên trong mạng nội bộ (mạng LAN) như là đang kết nối trực tiếp với mạng đó.

-       Dịch vụ kết nối từ xa thông qua dịch vụ VPN Client tới máy chủ sẽ đảm bảo truy cập tới thông tin trong mạng nội bộ một cách an toàn bởi giao thức mã hóa và đào đường hầm trên nền tảng mạng Internet, nhằm mục đích tạo một mạng riêng ảo trên nền mạng Internet để có thể trao đổi dữ liệu, khai thác các dịch vụ CSDL trên mạng

1.2 Mục đích

-     Đáp ứng các nhu cầu khai thác dữ liệu, dịch vụ CSDL, dịch vụ được cung cấp trong mạng nội bộ công ty để đáp ứng cho các công việc, hoạt động sản xuất kinh doanh của doanh nghiệp ở bất cứ nơi đâu mà không cần phải ngồi trong văn phòng.

-       Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ: Một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại nhiều nuớc khác nhau, có thể xây dựng một hệ thống VPN Site-to-Site kết nối hai văn phòng  tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn, hiệu quả.

-       Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này.

-       Quản lý văn phòng một cách hiệu quả, giám sát công việc từ xa

-       Tích hợp các hệ thống công nghệ cao như Camera quan sát, điện thoại trên nền tảng Internet, Voice chat, …

-       Đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File Server và có thể tương tác với máy tính của họ trong văn phòng khi cần thiết. Ngoài ra, đối với các dữ liệu mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa chặt chẽ để nâng cao độ an toàn của dữ liệu.

1.3 Lợi ích của công nghệ VPN

-       Khả năng linh hoạt cao, có thể kết nối bất cứ khi nào, bất cứ nơi đâu, chỉ cần ở đó có thể truy cập Internet.

-       Giá thành rẻ, chỉ mất chi phí cho việc truy cập Internet thông thường (giảm từ 60%- 80% chi phí cho các máy trạm truy cập từ xa).

-       Băng thông không bị hạn chế, chỉ phụ thuộc vào tốc độ đường truyền Internet mà bạn xử dụng (Hiện nay đường truyền ADSL tại Việt nam đã đủ cung cấp băng thông cho khái thác dịch vụ như CSDL Kế toán, công văn, công việc, bán hàng, mua hàng, quản lý thông tin trong doanh nghiệp thông qua hệ thống làm việc từ xa – VPN)

-       Số lượng kết nối đồng thời từ xa vào văn phòng công ty hoặc chi nhánh lớn, không hạn chế số lượng, tùy thuộc vào nhu cầu khai thác dữ liệu sẽ có các mô hình VPN cụ thể phù hợp với loại hình kinh doanh của doanh nghiệp (VPN Client hoặc Site to site / truy cập từ các máy trạm vào văn phòng công ty hoặc truy cập từ hệ thống mạng văn phòng này sang hệ thống mạng văn phòng khác tạo thành 1 hệ thống mạng thống nhất)

-       Đảm bảo khả năng bảo mật cao với các cơ chế mã hoá trên nền tảng mạng riêng ảo (mã hóa, xác thực truy cập, xác nhận truy cập và bảo mật hệ thống)

-       Quản lý các kết nối dễ dàng thông qua tên và mật khẩu truy cập và hệ thống mạng riêng ảo trong mạng nội bộ (Cung cấp thông tin các Acccont để xác thực truy cập).

2. Tính năng của giải pháp VPN

2.1 Mô hình chung

-          Mô hình chung: Mô hình mạng riêng ảo sử dụng đường kết nối Internet để tạo ra một đường hầm ảo trao đổi thông tin từ mạng từ xa kết nối thành 1 mạng thống nhất.



-           Mô hình kết nối VPN đơn: Mô hình VPN kết nối từ các máy trạm ở xa vào mạng LAN của doanh nghiệp:


-           Mô hình site to site: VPN kết nối giữa 02 mạng nội bộ từ xa với nhau (LAN – LAN):



2.2 Yêu cầu giải pháp

a. Phần cứng

-       Một modem ADSL hỗ trợ dịch vụ Virtual Server (Dịch vụ máy chủ ảo)

-       Cần có một đường truyền ADSL tốc độ cao (dịch vụ ADSL với địa chỉ IP tĩnh là tốt nhất) phục vụ cho quá trình kết nối và truyền thông giữa trong và ngoài công ty. Các người dùng ở xa (VPN Client) sẽ kết nối đến máy chủ cung cấp dịch vụ VPN Server để gia nhập hệ thống mạng riêng ảo của công ty và được cấp phát địa chỉ IP thích hợp để kết nối với các tài nguyên nội bộ của công ty.

-       01 máy chủ cài đặt Firewall cung cấp các kết nối VPN làm máy chủ VPN (VPN Server) , có 1 card mạng kết nối với hệ thống mạng nội bộ và một card mạng kết nối tới lớp mạng chạy dịch vụ Internet bên ngoài ADSL để kết nối với bên ngoài (Internet).

-       Máy chủ cung cấp dịch vụ tốt nhất chạy ứng dụng trên nền tảng Domain Controler của hãng Microsoft để đảm bảo an toàn, dễ quản trị khi chia sẻ dữ liệu và chia sẻ các dịch vụ trong mạng LAN (Dịch vụ File, Email nội bộ, Email Internet, Phần mềm Nghiệp vụ: Kế toán, quản lý công văn công việc, nhân sự tiền lương, chăm sóc khách hàng, …)

b. Phần mềm

-       Firewall Software: Firewall mềm chạy trên nền tảng applicant. Là Firewall bảo vệ hện thống mạng bên trong, chứng thực các kết nối từ bên ngoài vào, mã hóa dữ liệu khi truyền ra ngoài theo kênh VPN. Có một quy tắc được áp đặt trên hệ thống bảo mật (Firewall) cho phép thông tin được truyền qua hệ thống bảo mật (Firewall), sau đó những thông tin này sẽ được chuyển (Pass) qua, và ngược lại nếu không có bất kì quy tắc nào cho phép những thông tin ấy truyền qua, những thông tin này sẽ bị hệ thống bảo mật (Firewall) chặn lại.

2.3 Bảo mật, an toàn thông tin

-       Xác thực truy cập (User Authentication): Cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ và được phép Kết nối và truy cập hệ thống truy cập từ xa (VPN Server).

-       Quản lý phân cấp địa chỉ (Address Management): Cung cấp địa chỉ IP hợp lệ cho người dùng sau khi đăng nhập vào hệ thống VPN và khai thác các tài nguyên trong mạng nội bộ (LAN) tạo thành mạng diện rộng (WAN).

-       Mã hóa dữ liệu (Data Encryption): Cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu.

-       Quản lý cung cấp khóa (Key Management): Cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và giải mã dữ liệu.

-       Hệ thống bảo mật (Firewall):  sẽ đáp ứng đựoc các cơ chế bảo mật đề ra:   IPSec, 3Des, Client Policy,  RADIUS, LDAP theo các tiêu chuẩn bảo mật và mã hóa của thế giới. Tại phía người truy cập sẽ được đảm bảo an ninh với các cơ chế đóng gói và mã hoá của ứng dụng VPN (VPN Client Sofware).

-       Chống thất thoát dữ liệu do người dùng truyền ra ngoài thông qua các cơ chế chia sẻ file ngang hàng (P2P), chat (Yahoo, Sky, MSM…) cũng như các phương thức truyền file khác qua mạng Internet.

3. Dự trù giải pháp

-       Đường truyền dự phòng cho hệ thống Firewall, VPN: được cung cấp bởi một ISP khác, có IP tĩnh. Khi có sự cố sẽ chuyển qua đường dự phòng chạy. Trong trường hợp bình thướng thì đường dự phòng đóng vai trò là đường Internet để tăng băng thông cho đường truyền chính.

-      Hệ thống phần cứng chi Firewall cần nâng cấp mạnh hơn sau một thời gian sữ dụng để đáp ứng nhu cầu ngày càng cao của Doanh Nghiệp.

4. Kết luận

-       Với công nghệ thông tin phát triển như hiện nay áp dụng  các giảp pháp công nghệ VPN sẽ góp phần đáng kể vào sự phát triển của doanh nghiệp, giúp quản lý các văn phòng một cách có hiệu qủa.

-       Công nghệ VPN giúp các nhà quản trị có một cái nhìn tổng quan hơn về mạng Intranet (Mở rộng mạng và phạm vi khai thác thông tin) như mạng Internet đang ngày càng phát triển  mạnh ở nước ta như  hiện nay.

-       Với công nghệ mạng VPN sẽ làm tăng khả năng đáp ứng khai thác thông tin ở mọi lúc, mọi nơi và đảm bảo khả năng an toàn bảo mật trong quá trình khai thác đó, nó sẽ làm thay đổi cách suy nghĩ, làm việc và khai thác thông tin nhanh chóng trong thời đại CNTT bùng nổ và hạ tầng CNTT tại Việt nam ngày càng mạnh. Nó sẽ là nền tảng để cho các dịch vụ lớp trên khai thác triệt để không giới hạn về không gian địa lý, thời gian và tăng các công cụ cho nhà quản lý điều hành sản xuất kinh doanh trong doanh nghiệp mình.

Các công nghệ và giao thức hỗ trợ VPN



Đường hầm và mã hoá


Chức năng chính của một mạng VPN là truyền thông tin đã được mã hoá trong một đường hầm dựa trên hạ tầng mạng được chia sẻ





Đường hầm


Đường hầm là một khái niệm quan trọng của mạng VPN, nó cho phép các công ty có thể tạo ra các mạng ảo dựa trên hệ thống mạng công cộng. Mạng ảo này không cho phép những người không có quyền truy cập vào. Đường hầm cung cấp một kết nối logic điểm đến điểm trên hệ thống mạng Internet hay trên các mạng công cộng khác. Để dữ liệu được truyền an toàn trên mạng, một giải pháp được đưa ra là mã hoá dữ liệu trước khi truyền. Dữ liệu truyền trong đường hầm chỉ có thể được đọc bởi người nhận và người gửi. Đường hầm tạo cho VPN có tính chất riêng tư trên mạng.


Để mô tả chi tiết nguyên lý khi gói tin truyền qua đường hầm ta nghiên cứu một loại đường hầm điển hình là GRE. Đây cũng là giao thức tạo đường hầm được sử dụng trong PPTP là giao thức tạo kết nối VPN Peer to Peer và Remote Access rất phổ biến của Microsoft.




Microsoft sử dụng dịch vụ RRA(Routing and Remote Access) để định tuyến giữa các LAN như hình sau:


 



 

Định dạng gói tin GRE, đây cũng là giao thức Microsoft dùng để đóng gói dữ liệu như sau:


 





 

 


Dữ liệu từ Client đưa đến VPN Getway được đóng gói bởi giao thức PPP(Point - to - Point Protocol) với một PPP Header. Sau đó gói tin được đóng gói bởi GRE với một GRE Header và được truyền trong đường hầm. Tại đầu bên kia của đường hầm, gói tin được giải phóng khỏi GRE Header và PPP Header sau đó được vận chuyển đến đích. Các Header của mỗi gói tin được thể hiện trong hình sau:


 



 

Một ví dụ về đường hầm GRE sau khi được thiết lập trong mô hình Site - to


 



 




Mã hoá


Mã hoá là một đặc điểm cơ bản trong việc xây dựng và thiết kế mạng VPN. Mạng VPN sử dụng hạ tầng của hệ thống Internet và các mạng công cộng khác. Do vậy dữ liệu truyền trên mạng có thể bị bắt giữ và xem thông tin. Để đảm bảo thông tin chỉ được đọc bởi người nhận và người gửi thì dữ liệu phải được mã hoá với các thuật toán phức tạp. Tuy nhiên chỉ nên mã hoá các thông tin quan trọng vì quá trình mã hoá và giản mã sẽ ảnh hưởng đến tốc độ truyền tải thông tin.


Các nhà cung cấp dịch vụ VPN chia VPN thành 3 tập hợp đó là VPN lớp 1, 2 và 3.


VPN lớp 1 được sử dụng để vận chuyển các dịch vụ lớp 1 trên hạ tầng mạng được chia sẻ, được điều khiển và quản lý bởi Generalized Multiprotocol Label Switching (GMPLS).


Hiện nay, việc phát triển VPN lớp 1 còn đang trong giai đoạn thử nghiệm nên VPN Layer 1 không được đề cập đến trong tài liệu này.


Hiểu đơn giản nhất, một kết nối VPN giữa hai điểm trên mạng công cộng là hình thức thiết lập một kết nối logic. Kết nối logic có thể được thiết lập trên lớp 2 hoặc lớp 3 của mô hình OSI và công nghệ VPN có thể được phân loại rộng rãi theo tiêu chuẩn này như là VPN lớp 2 và VPN lớp 3(Layer 2 VPNs or Layer 3 VPNs).




Công nghệ VPN lớp 2


Công nghệ VPN lớp 2 thực thi tại lớp 2 của mô hình tham chiếu OSI; Các kết nối point-to-point được thiết lập giữa các site dựa trên một mạch ảo(virtual circuit). Một mạch ảo là một kết nối logic giữa 2 điểm trên một mạng và có thể mở rộng thành nhiều điểm. Một mạch ảo kết nối giữa 2 điểm đầu cuối(end-to-end) thường được gọi là một mạch vĩnh cửu(Permanent Virtual Circuit-PVC). Một mạch ảo kết nối động 2 điểm trên mạng(point to point) còn được biết đến như mạng chuyển mạch(Switched Virtual Circuit - SVC). SVC ít được sử dụng hơn vì độ phức tạp trong quá trình triển khai cũng như khắc phục hệ thống lỗi. ATM và Frame Relay là 02 công nghê VPN lớp 2 phổ biến.


Các nhà cung cấp hệ thống mạng ATM và Frame Relay có thể cung cấp các kết nối site - to - site cho các tập đoàn, công ty bằng cách cấu hình các mạch ảo vĩnh cửu(PVC) thông qua hệ thống cáp Backbone được chia sẻ.


Một sự tiện lợi của VPN lớp 2 là độc lập với các luồng dữ liệu lớp 3. Các mạng ATM và Frame Relay kết nối giữa các site có thể sử dụng rất nhiều các loại giao thức được định tuyến khác nhau như IP, IPX, AppleTalk, IP Multicast...ATM và Frame Relay còn cung cấp đặc điểm QoS(Quality of Service). Đây là điều kiện tiên quyết khi vận chuyển các luồng dữ liệu cho Voice.





Công nghệ VPN Lớp 3


Một kết nối giữa các site có thể được định nghĩa như là VPN lớp 3. Các loại VPN lớp 3 như GRE, MPLS và IPSec. Công nghệ GRE và IPSec được sử dụng để thực hiện kết nối point - to - point, công nghệ MPLS thực hiện kết nối đa điểm(any - to - any)





Đường hầm GRE


Generic routing encapsulation (GRE) được khởi xướng và phát triển bởi Cisco và sau đó được IETF xác nhận thành chuẩn RFC 1702. GRE được dùng để khởi tạo các đường hầm và có thể vận chuyển nhiều loại giao thức như IP, IPX, Apple Talk và bất kỳ các gói dữ liệu giao thức khác vào bên trong đường hầm IP. GRE không có chức năng bảo mật cấp cao nhưng có thể được bảo vệ bằng cách sử dụng cơ chế IPSec. Một đường hầm GRE giữa 2 site, ở đó IP có thể vươn tới được có thể được mô tả như là một VPN bởi vì dữ liệu riêng giữa 2 site có thể được đóng gói thành các gói tin với phần Header tuân theo chuẩn GRE.


Bởi vì mạng Internet công cộng được kết nối trên toàn thế giới. Các chi nhánh của một tập đoàn nằm trên những vùng địa lý khác nhau. Để các chi nhánh này có thể truyền dữ liệu cho nhau và cho văn phòng chính tại trung tâm thì điều kiện cần là mỗi chi nhành chỉ cần thiết lập một kết nối vật lý đến nhà cung cấp dịch vụ Internet(ISP). Thông qua mạng VPN được thiết lập sử dụng GRE Tunnel. Tất cả các dữ liệu giữa các chi nhánh sẽ trao đổi với nhau trong một đường hầm GRE. Hơn thế dữ liệu còn được bảo mật và chống lại các nguy cơ tấn công





MPLS VPNs


Công nghệ MPLS VPN xây dựng các kết nối chuyển mạch nhãn(Label Switched Path) thông qua các Router chuyển mạnh nhãn(Label Switch Routers). Các gói tin được chuyển đi dựa vào Label của mỗi gói tin. MPLS VPN có thể sử dụng các giao thức TDP(Tag Distribution Protocol), LDP(Label Ditribution Protocol) hoặc RSVP(Reservation Protocol)


Khởi xướng cho công nghệ này là Cisco, MPLS có nguồn gốc là các Tag trong mạng chuyển mạch và sau đó được IETF chuẩn hoá thành MPLS. MPLS được tạo ra thông qua các Router sử dụng cơ chế chuyển mạch nhãn(Label Switch Routers). Trong một mạng MPLS, các gói tin được chuyển mạch dựa trên nhãn của mỗi gói tin. Các nhà cung cấp dịch vụ hiện nay đang tăng cường triển khai MPLS để cung cấp dịch vụ VPN MPLS đến khách hàng.


Nguồn gốc của tất cả các công nghệ VPN là dữ liệu riêng được đóng gói và phân phối đến đích với việc gắn cho các gói tin thêm phần Header; MPLS VPN sử dụng các nhãn(Label) để đóng gói dữ liệu gốc và thực hiện truyền gói tin đến đích.


RFC 2547 định nghĩa cho dịch vụ VPN sử dụng MPLS. Một tiện ích của VPN MPLS so với các công nghệ VPN khác là nó giảm độ phức tạp để cấu hình VPN giữa các site.






Ví dụ


Công ty chúng ta có 03 chi nhánh tại 3 địa điểm khác nhau, để các site này có thể truyền dữ liệu cho nhau chúng ta thực hiện cấu hình VPN any-to-any(Full Mesh) sử dụng các công nghệ như ATM hay Frame Relay, khi đó mỗi site đòi hỏi 02 Virtual Circuit hoặc tunnel đến mỗi site khác đồng thời chúng ta phải thiết lập cấu hình đến mỗi site do vậy hệ số phức tạp của mô hình này là O(n) với n là số site. Ngược lại, với mô hình VPN MPLS ta luôn có hệ số phức tạp là O(1) dù hệ thống có đến n site khác nhau đi chăng nữa.


Thực tế cho thấy các kết nối site-to-site không tạo đường hầm point-to-point của VPN MPLS có khả năng mở rộng dễ dàng. Các kết nối any-to-any giữa các site có thể được thực hiện dễ dàng bằng công nghệ MPLS.


Tuy nhiên công nghệ này gặp phải một trở ngại đó là phụ thuộc vào cơ sở hạ tầng nhà cung cấp dịch vụ VPN MPLS. Trong khi đó công nghệ VPN GRE lại có thể được sử dụng thông qua Internet để mở rộng tầm hoạt động một cách dễ dàng mà không phụ thuộc nhà cung cấp, thêm vào đó bản thân công nghệ VPN GRE tự chính nó đã đạt được một khả năng bảo mật cơ bản với công nghệ truyền dữ liệu trong đường hầm




IPSec VPNs


Một nội dung chính mà bất kỳ ai sử dụng VPN muốn bảo mật dữ liệu khi chúng được truyền trên hệ thống mạng công cộng. Một câu hỏi được đặt ra là làm thế nào để ngăn chặn mối nguy hiểm từ việc nghe trộm dữ liệu khi chúng được truyền đi trên mạng công cộng?


Mã hoá dữ liệu là một cách để bảo vệ nó. Mã hoá dữ liệu có thể được thực hiện bằng cách triển khai các thiết bị mã hoá/giải mã tại mỗi site.


IPSec là một tập giao thức được phát triển bởi IETF để thực thi dịch vụ bảo mật trên các mạng IP chuyển mạch gói. Internet là mạng chuyển mạch gói công cộng lớn nhất. Công nghệ IPSec VPN được triển khai có một ý nghĩa quan trọng là tiết kiệm chi phí rất lớn so với mạng VPN sử dụng Leased-Line VPN.


Dịch vụ IPSec cho phép chứng thực, kiểm tra tính toàn vẹn dữ liệu, điều khiển truy cập và đảm bảo bí mật dữ liệu. Với IPSec, thông tin được trao đổi giữa các site sẽ được mã hoá và kiểm tra. IPSec có thể được triển khai cả trên hai loại VPN là Remote Access Client và Site-to-Site VPN





Giao thức PPTP(Point-to-Point Tunneling Protocol)


Đây là giao thức đường hầm phổ biến nhất hiện nay. Giao thức được phát triển bởi Microsoft.


PPTP cung cấp một phần của dịch vụ truy cập từ xa RAS(Remote Access Service). Như L2F, PPTP cho phép tạo đường hầm từ phía người dùng(Mobile User) truy cập vào VPN Getway/Concentrator





Giao thức L2F


Là giao thức lớp 2 được phát triển bởi Cisco System. L2F được thiết kế cho phép tạo đường hầm giữa NAS và một thiết bị VPN Getway để truyền các Frame, người sử dụng từ xa có thể kết nối đến NAS và truyền Frame PPP từ remote user đến VPN Getway trong đường hầm được tạo ra.





Giao thức L2TP



Là chuẩn giao thức do IETF đề xuất, L2TP tích hợp cả hai điểm mạnh là truy nhập từ xa của L2F(Layer 2 Forwarding của Cisco System) và tính kết nối nhanh Point - to Point của PPTP(Point to Point Tunnling Protocol của Microsoft). Trong môi trường Remote Access L2TP cho phép khởi tạo đường hầm cho các frame và sử dụng giao thức PPP truyền dữ liệu trong đường hầm.


Một số ưu điểm của L2TP




  • L2TP hỗ trợ đa giao thức

  • Không yêu cầu các phần mềm mở rộng hay sự hỗ trợ của HĐH. Vì vậy những người dùng từ xa cũng như trong mạng Intranet không cần cài thêm các phần mềm đặc biệt.

  • L2TP cho phép nhiều Mobile user truy cập vào Remote Network thông qua hệ thống mạng công cộng

  • L2TP không có tình bảo mật cao tuy nhiên L2TP có thể kết hợp với cơ chế bảo mật IPSec để bảo vệ dữ liệu.

  • Với L2TP sự xác thực tài khoản dựa trên Host Getway Network do vậy phía nhà cung cấp dịch vụ không phải duy trì một Database để thẩm định quyền truy cập




IEEE 802.1Q tunneling (Q-in-Q)


Đường hầm 802.1Q cho phép nhà cung cấp dịch vụ tạo các đường hầm trên Ethernet sử dụng hạ tầng mạng được chia sẻ. Dữ liệu trong đường hầm 802.1Q được vận chuyển phụ thuộc vào tag 802.1Q





The Secure Sockets Layer (SSL)


SSL là giao thức bảo mật được phát triển bởi tập đoàn Netscape(SSL version 1,2 và 3). SSL cung cấp cơ chế bảo mật truy cập từ xa cho người dùng di động. Cơ chế SSL ít được triển khai hơn vì tính bảo mật của nó khi so sánh với các cơ chế khác(L2F, PPTP, L2TP, IPSec)





Giao thức Point to Point Protocol(PPP)


Đây là giao thức đóng gói để truyền dữ liệu qua kết nối Serial. Lợi thế lớn nhất của PPP là có thể hoạt động trên mọi Data Terminal Equipment (DTE) hoặc Data Connection Equipment(DCE). Một đặc điểm thuận lợi của PPP là nó không giới hạn tốc độ truy cập. PPP là sẵn sàng cho kết nối song công (Full Duplex) và là giải pháp tốt cho kết nối Dial-up.




0 nhận xét:

Đăng nhận xét