định tuyến đích. Tuy nhiên, trong các mạng riêng ảo, các phương tiện định
tuyến cũng đảm bảo tính sẵn sàng của chỉ các tuyến đường qua các kết nối và
đường hầm mạng riêng ảo an toàn thay vì quan các mạmg công cộng trung gian.
Cần lưu ý các vấn đề sau đây khi quyết định lược đồ định tuyến cho mạng
riêng ảo:
- Server mạng riêng ảo mà các Client từ xa kết nối tới, chỉ định một tuyến
đường mặc định tới các Client VPN từ xa này. Bất kỳ tương tác khác giữa hai đầu
cuối trong một phiên mạng riêng ảo đã cho được định tuyến qua tuyến đường đã
được định nghĩa trước này. Tương tự, trong trường hợp của một Client quay số,
nơi đường hầm được thiết lập giữa nhánh mạng của ISP và mạng đích, Client VPN
sử dụng tuyến đường tới Intranet của ISP như tuyến đường mặc định.
- Nếu Server VPN được đặt sau một firewall, tất cả các tuyến đường mặc định
nên trỏ vào các firewall đó.
- Nếu gán rõ ràng một tuyến đường (hoặc một tập các tuyến đường) tới mỗi
Client cho một phiên mạng riêng ảo, ta có thể phải kiểm soát đầy đủ qua các đường
dẫn giao dịch. Tuy nhiên, làm như vậy đòi hỏi phải cấu hình các tuyến đường trên
mỗi Client một cách thủ công. Đây có thể là một công việc cực kỳ mệt mỏi nếu số
lượng Client VPN lớn. Hơn nữa, khả năng tắc nghẽn mạng rất cao nếu số tuyến
đường được gán rõ ràng có giới hạn.
- Ta có thể muốn sử dụng các tuyến đường tĩnh lúc thiết lập một giải pháp
mạng riêng ảo lần đầu tiên. Các tuyến đường này được định nghĩa và cấu hình
trước trên cả Server VPN cũng như Client VPN. Kết quả là các tuyến đường tĩnh
này có thể giữ vai trò quan trọng trong việc kiểm thử một thiết lập mạng riêng ảo
mới. Tương tự, các tuyến đường tĩnh này cũng có thể giúp ta gỡ rối các vấn đề liên
quan đến định tuyến.
- Ngoại trừ việc kiểm thử các thiết lập mạng riêng ảo mới và trợ giúp khi gặp
vấn đề, ta nên sử dụng các tuyến đường tĩnh một cách hạn chế vì chúng có thể là
nguyên nhân dẫn đến nhiều sự quản lý và cấu hình lại overhead, đặc biệt nếu có
một thay đổi trong lược đồ đánh địa chỉ hoặc sự sắp xếp lại các thiết bị mạng riêng
ảo
- Thông thường, trong một phiên mạng riêng ảo có sử dụng các đường hầm tự

nguyện và mở rộng qua Internet, ta có thể hoặc truy cập các Host trên Internet hoặc
các Host trên Intranet, miễn là một Gateway mặc định được sử dụng cho mạng
riêng ảo, không đồng thời xẩy ra cùng một lúc cả hai. Vì vậy, ta sẽ cần cấu hình
một tuyến đường mặc định giữa Client VPN và NAS của ISP. Điều này sẽ cho
phép Client VPN truy cập đồng thời các Host dựa trên Intranet cũng như dựa trên
Internet.

Ch
ú

ý


Phương phát dễ nhất và an toàn nhất của việc gán các đường định tuyến cho các
phiên mạng riêng ảo là cấu hình firewal, bộ định tuyến mạng riêng ảo mặc định,
hoặc các cổng nối mạng riêng ảo mặc định với tất cả các đường định tuyến có thể
liên quan đến mạng riêng ảo. Thực tế này sẽ tiết kiệm cho ta nhiều thời gian và công
sức vì sau đó ta chỉ cần cấu hình một đường định tuyến mặc định trên tất cả các máy

phía Client. Hơn nữa, như vậy có thể làm đơn giản hoá nếu Gateway, Router VPN
hoặc firewall có thể chia sẻ thông tin định tuyến này với các thiết bị định tuyến khác
.
Kết quản là, ta sẽ không cần phải cấu hình mỗi một thiết bị một cách riêng lẻ.

L
ý

do



Các Client VPN quay đó được cấp phát hai địa chỉ IP, thứ nhất là lúc thiết lập một kết

nối PPP với nhánh mạng của ISP và thứ hai là trong khi thiết lập phiên mạng riêng ảo
.
Vì thế, ta phải rất cẩn thận trong khi gán các đường định tuyến cho các phiên mạng
riêng ảo, vì nếu thêm một đường định tuyến PPP thay cho đường định tuyến mạng
riêng ảo, tất cả các lưu lượng sẽ được định tuyến qua đường định tuyến PPP không
an toàn dưới dạng không được mã hoá. Hơn nữa, nếu các gói có địa chỉ IP riêng
chúng sẽ bị loại bỏ tại thiết bị định tuyến của ISP.
Các mạng riêng ảo cũng yêu cầu rằng phải lựa chọn giao thức định tuyến
đúng. Ta sẽ cần chọn giao thức định tuyến theo các điều kiện và yêu cầu của tổ
chức. Một số nhân tố có thể giup ta trong việc quyết định giao thức bao gồm:
- Giải thông được sử dụng bởi giao thức: Ví dụ, ta có thể muốn sử dụng
BGP(Boder Gateway Protocol – Giao thức cổng biên) khi thực tế nó sử dụng một
giải thông nhỏ.
- Overhead được phát sinh: Một số giao thức định tuyến phát sinh overhead
truyền thông rất cao so với các giao thức khác. RIP là một ví dụ. Mặc dù IPSec
không phải là một giao thức định tuyến, nhưng nó cũng phát sinh overhead cao.
- Chiều hướng liên lạc: Một số giao thức định tuyến, như RIP, chỉ hỗ trợ các
địa chỉ Unicast, các giao thức khác như RIPv2 và Open Shortest Path First (OSPF) hỗ
trợ các địa chỉ broadcast and multicast.
- Tính năng bảo mật được cung cấp: Một số giao thức định tuyến mang lại
khả năng bảo mật cao
5.1.3. Các xem xét liên quan đến DNS
Hệ thống tên miền(Domain Name System - DNS) là một thư mục phân tán
toàn cục được sử dụng cho việc chuyển đổi các địa chỉ dựa vào tên, Chẳng hạn như
www.yahoo.com tương ứng với một địa chỉ IP là 64.58.76.223. Ta sẽ cân DNS
trong mạng riêng ảo cho chức năng tương tự - ánh xạ các địa chỉ dựa vào tên của
host để tương ứng chúng với các địa chỉ IP.
Trong mạng riêng ảo Intranet, chỉ cho phép truy cập tới các tài nguyên đặt

trong mạng Intranet của tổ chức, ta sẽ cần tạo một Domain riêng biệt cho mạng
chính và nhiều Domain riêng lẻ cho mỗi nhánh mạng từ xa. Ví dụ, ta có thể tạo
một Domain là “MyIntranet.com” và tạo các Domain trong như là
“RemoteBranch1.MyIntranet.com”, “RemoteBranch2.MyIntranet.com” v.v. Dễ
dàng cấu hình máy chủ DSN để hỗ trợ kiến trúc Domain này. Hơn nữa, cũng sẽ
cần thiết lập ít nhất một máy chủ Domain trong như là một máy chủ Domain thứ
cấp cho mỗi Domain trong mà ta tạo ra. Điều này sẽ mang lại thuận lợi trong việc
chia sẻ các các cập nhật và thông tin liên quan đến DNS khác giữa nhiều Domain
trong.
Cấu hình trước đây quan tâm đển việc truy cập mạng riêng ảo dựa trên
Intranet, các host bên trong sẽ không còn khả năng truy cập Intrernet. Nếu muốn
các host bên trong có khả năng truy cập Internet hoặc các tài nguyên trong mạng
Internet, ta cần thiết lập bổ sung một máy chủ DNS bên ngoài, nó sẽ nhận tất cả
truy vấn tới các host bên ngoài từ các DNS bên trong và anh xạ các địa chỉ theo tên
bên ngoài tương ứng với các địa chỉ dạng số.
Trong trường hợp những người dùng di động sử dụng một mạng riêng ảo để
truy cập Intrnanet, có một vấn đề cố hữ với các thiết lập DNS. Nếu những người
dùng từ xa này phụ thuộc vào một kết nối đường quay số, các Client VPN kết nối
tới Intranet sử dụng một địa chỉ IP mới mỗi lần. Và như vậy, ta không thể mã cứng
DSN của ta để cung cấp cho các Client này.
Để giải quyết vấn đề này, ta sẽ cần thiết lập các máy Client cá nhân để sử
dụng các máy chủ DNS bên trong. Nếu những người dùng từ xa yêu cầu một kết
nối Internet đồng thời, ta phải cấu hình những đầu cuối từ xa này để tìm kiếm các
máy chủ DNS bên ngoài thêm vào các máy chủ bên trong
Ch
ú

ý



Khi kết nối tới Internet, ta có thể đối mặt với độ trễ rất lớn, hoặc thập chí ngừng ứng
dụng trong khi phân giải tên/địa chỉ nếu ta thiết lập các host VPN trước hết tìm kiếm
một máy chủ DNS bên trong và sau đó tìm kiếm một máy chủ DNS bên ngoài (trong cả

hai kịch bản intranet và remote access). Điều này là bởi vì các host se tìm một máy
chủ DNS bên ngoài sau khi đã tình kiếm qua tất cả các máy chủ DNS bên trong mà
chúng được đăng ký. Và như vậy, host VPN nên tìm kiếm một máy chủ DSN bên trong
có khả năng chuyển tiếp yêu cầu tới DNS của ISP. Kết quả là nhanh hơn nhiều vì nó
cho phép lưu cache các tên được tìm kiếm.
Hơn nữa, để xem xét những điều mới được đề cập, ta cũng cần cảnh giác với
các tính chất dễ bị tổn thương máy chủ DSN sau đây:
- Nếu xẩy ra lỗi bảo mật các máy chủ DNS, một kẻ xâm nhập có thể chiếm
quyền điều khiển Server của ta và giành được toàn quyền kiểm soát qua các
Domain đã đăng ký với chúng. Kiểu tấn công này được xem như là cướp Domain.
- Một kẻ xâm nhập có thể sử dụng các tấn công từ chối dịch vụ trên các máy
chủ DNS của ta. Trong trường hợp này, các Domain bị tấn công sẽ không có khả
đăng định vị các Host trong các Domain khác và Internet. Vì tất cả các máy chủ
DNS dựa trên Internet liên lạc với mỗi máy chủ khác, kiểu tấn công này có thể dẫn
đến sự chậm trễ toàn cục lan rộng trong tiến trình xử lý ánh xạ tên/ip.
- Nếu một kẻ xâm nhập giành được quyền truy cập vào máy chủ DNS của ta
và sửa đổi các thông tin được lưu trong máy chủ để chuyển hướng bất kỳ lưu lượng
nào giành cho các địa chỉ hợp pháp tới một vị trí giả mạo, các Domain bị tấn công
sẽ không nhận được bất kỳ lưu lượng dữ liệu nào giành cho chúng.
Để tránh các vấn đề này, cần phải bảo mật cho các máy chủ DNS trong cũng
như ngoài
5.1.4. Các xem xét liên quan đến Firewall, Router, NAT
Như ta đã biết, các Router (hay Gateway), Firewall và các thiết bị NAT là các
thiết bị ngoại biên. Ta cần xem xét một số vấn đề về sự an toàn và sự tích hợp của
chúng trong một môi trường mạng riêng ảo.
5.1.4.1. Các xem xét liên quan đến Router

Router(và các Gateway) giữ một vai trò đáng kể trong việc định tuyến luồng
lưu lượng qua một mạng dựa trên IP. Vì có các thiết bị ngoại biên này, mối quan
tâm chính liên quan đến chúng là về tính an toàn của chúng. Nếu Router của ta
được bảo mật kiém, chúng có thể dễ dàng bị nhắm tới bởi những kẻ xâm nhập, là
những kẻ phái sinh luồng lưu lượng giả tạo gây ra các tấn công từ chối dịch vụ.
Chúng cũng có thể được dùng bởi những kẻ xâm nhập để tấn công các Router
khác.
Các xem xét khác liên quan đến Router và Gateway trong thiết lập mạng riêng
ảo bao gồm:
- Các Router và Gateway trong môi trường mạng Internet thường được cấu
hình để cho truyền qua lưu lượng được định tuyến tới các Router kế tiếp nhằm
hướng tới mạng đích. Điều này hàm ý rằng chúng có thể “chuyển” một khối lượng
lớn dữ liệu sang nơi khác. Tuy nhiên, hầu hết các Router không có khả năng lưu
trữ một khối lượng lớn dữ liệu khi dữ liệu chuyển đến chúng. Kết quả là, hầu hết
các Router rất dễ bị ảnh hưởng với các tấn công từ chối dịch vụ. Bằng việc giành
được toàn bộ quyền kiểm soát Router, một kẻ xâm nhập có thể dễ dàng giành được
quyền truy cập vào mạng gắn với nó và dẫn đến thiệt hại lớn với mạng Intranet.
- Các Router chia sẻ thông tin định tuyến với các Router ngang hàng để có khả năng định danh không
làm gián đoạn thêm luồng lưu lượng chúng nhận được. Kết quả là, các Router phải chia sẻ một quan hệ
tin cậy với các Router ngang hàng.