Tải bản đầy đủ (.docx) (37 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Bài tập lớn Thiết kế đảm bảo an toàn cho dịch vụ mạng riêng ảo (VPN)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (482.06 KB, 37 trang )

HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN

BÀI TẬP LỚN
THIẾT KẾ ĐẢM BẢO AN TOÀN
CHO DỊCH VỤ MẠNG RIÊNG ẢO (VPN)

Giáo viên hướng dẫn: Vũ Thị Vân
Sinh viên thực hiện:
Nhóm 10: Nguyễn Văn Thiệu
Nguyễn Anh Tuấn
Tạ Việt Thảo
Hoàng Xuân Trường
Lớp: AT7B

MỤC LỤC
DANH MỤC HÌNH ẢNH
Chương 1. Vấn đề khi thiết kế mạng riêng ảo
Một bản thiết kế chi tiết và đầy đủ là cơ sở chính của một mạng. Và điều
này cũng đúng với bất kỳ mạng riêng ảo nào. Nếu có sai sót trong việc phân tích
các yêu cầu của một tổ chức và theo đó là kế hoạch cũng bị sai sót thì sẽ có ảnh
hưởng rất nhiều về sau. Chẳng hạn, có thể có nhiều thứ gặp sự cố và làm việc
không như mong muốn, Ngoài ra người dùng cuối cũng phải chịu các hậu quả
của việc lập kế hoạch không hợp lý.
Lúc thiết kế mạng, người thiết kế cần phải luôn tuân thủ định hướng,
không bỏ sót bất cứ thứ gì. Vấn đề chính mà ta cần phải xem xét lúc triển khai
thiết kế mạng riêng ảo bao gồm như sau:
- Bảo mật
- Đánh địa chỉ IP và định tuyến
- Các vấn đề liên quan đến DNS
- Các vấn đề về Router/Gateway, Firewall và NAT


- Các xem xét về Client và Server
- Hiệu suất thực thi
- Khả năng mở rộng và tính tương thích
Sau đây, ta sẽ nghiên cứa riêng từng vấn đề này
1.1. Bảo mật
Một mạng riêng ảo mở rộng qua một mạng công cộng “không an toàn” để
kết nối một cách an toàn tới các nguồn tài nguyên và các mạng chi nhánh của
một tổ chức. Tuy nhiên, hầu hết các quản trị mạng vẫn còn xem nhẹ vấn đề bảo
mật của một mạng riêng ảo. Đây là vấn đề chính cần xem xét khi thiết kế một
mạng riêng ảo bởi vì trong mạng riêng ảo có sử dụng các mạng công cộng làm
trung gian, mạng công cộng thường là mở với tất cả các cá nhân, đặc biệt với
những cá nhân có ý đồ xấu. Điều này làm cho mạng riêng ảo dễ bị tấn công
trước nhiều mối đe doạ, bao gồm cả giả mạo, bắt gói, sửa đổi nội dung thông
tin, các tấn công kiểu brute-force, tấn công từ chối dịch vụ và các tấn công trên
các giao thức mạng riêng ảo.
Khi xem xét các đặc điểm thiết lập mạng riêng ảo, bốn thành phần nổi bật
của kết nối mạng riêng ảo rất dễ bị tấn công từ bên ngoài là:
- Người dùng từ xa (người dùng cuối hoặc Client VPN): Thực thể này
có thể là một phần trong các nhân viên di động của tổ chức hoặc một người
dùng cuối truy cập Intranet của tổ chức từ nhà. Thực thể này sử dụng một ID và
Password để làm việc từ xa. Kết quả là, người dùng từ xa thường bị tấn công
vào ID hoặc Password. Nếu kẻ tấn công hoặc các cá nhân có ý đồ xấu thu được
các ID và Password này, hắn ta dễ dàng truy cập lại vào Intranet của tổ chức và
các tài nguyên trong đó.
- Phân đoạn kết nối tới ISP: Một người dùng từ xa hay các chi nhánh yêu
cầu một tuỳ chọn truy cập đề kết nối tới POP của ISP, nó sẽ lần lượt thiết lập kết
nối tới mạng đích. Phân đoạn kết nối này có thể hoặc là một đường leased line
hoặc một kết nối quay số từ xa. Kết nối đường Leased Line tồn tại giữa một chi
nhánh ở xa và Intranet của ISP cung cấp thuê bao kết nối trực tiếp tới mạng ISP.
Mặc dù một tuỳ chọn kết nối an toàn, đường leased line có thể bị mắc rẽ để

nghe trộm và một kẻ tấn công có thể nghe trộm trên các cuộc truyền tin. Các kết
nối quay số rẻ hơn khá nhiều so với đường thuê riêng và thường được dùng để
kết nối một người dùng từ xa với mạng của tổ chức. Các kết nối quay số có khả
năng truy cập tới tất cả và do đó dễ dàng mắc rẽ vào để nghe trộm. Điểm yếu
này làm cho chúng rất dễ bị nghe trộm. Vì vậy, các kết nối quay số không an
toàn như đường leased line
Chú ý:
Không quan tâm đến phân đoạn kết nối, việc nghe trộm trên một phiên liên lạc có
thể cung câp cho kẻ tấn công có một địa chỉ IP máy chủ từ xa hợp lệ. Kẻ tấn công
này sau đó sử dụng thông tin này để giả mạo địa chỉ IP và phá vỡ hàng rào an toàn
của tổ chức mà không gặp trở ngại nào. Một vấn đề chính yếu khác gắn liền với
phân đoạn kết nối, dù là đường thuê riêng hay đường quay số, nếu chính ISP có ý
đồ xấu thì nhà cung cấp dịch vụ có thể dễ dàng đọc được tất cả dữ liệu trong phiên
liên lạc và như vậy dễ dàng truy cập tới dữ liệu bí mật được truyền giữa một người
dùng cuối và mạng Intranet của tổ chức.
- Mạng công cộng: Một mạng công cộng, đặc biệt là Internet , không nằm
trong địa hạt của một cơ quan thẩm quyền đơn nào có thể kiểm soát tất cả các
hoạt động và giao dịch qua nó. Hơn nữa, các điểm trung gian, chẳng hạn như
các bộ định tuyến tạo nên Internet và hỗ trợ các đường hầm mạng riêng ảo có
thể không dùng riêng cho các đường hầm của một tổ chức đơn. Một bộ định
tuyến trung gian có thể đồng thời hỗ trợ nhiều đường hầm bắt nguồn từ nhiều
mạng Intranet của nhiều tổ chức. Kết quả là lưu lượng từ một tổ chức có thể
không hoàn toàn được biệt lập với lưu lượng của các tổ chức khác. Thêm vào
đó, mạng công cộng bản chất là dùng chung, nó có thể được truy cập bởi bất kỳ
ai muốn sử dụng nó. Một ý định của cá nhân hay một tổ chức với các trang thiết
bị đúng và giỏi chuyên môn có thể dễ dàng gắn vào một phương tiện liên lạc và
sử dụng nó để đem lại lợi ích riêng. Trong các trường hợp khác, một kẻ tấn công
có thể giả mạo các gói dữ liệu hoặc thay đổi nội dung dữ liệu dẫn đến nhiều
thiệt hại cho một tổ chức.
- Điểm truy cập mạng đích: Một Router, Gateway, Firewall hoặc một

thiết bị NAT thường được đặt tại vành đai của mạng và các Server như là một
điểm truy cập Intranet của một tổ chức. Các thiết bị này không chỉ phải đối mặt
với các mối đe doạ bảo mật và các nguy cơ xâm nhập từ các thực thể bên ngoài
mà còn cả từ các thực thể bất mãn ở bên trong. Thêm vào đó, nếu tổ chức hỗ trợ
một mạng Extranet, các thiết bị ngày cũng dễ bị tấn công với các luồng lưu
lượng độc hại từ các đối tác thương mại bên ngoài.
Hình – Bốn thành phần dễ bị tấn công của kết nối mạng riêng ảo
Ở trên ta đã thảo luận về các lỗ hổng bảo mật trong một thiết lập mạng
riêng ảo đầy đủ. Và như vậy, ta không thể bỏ qua các vấn đề bảo mật này. Ta
cần giữ các bước hợp lý trong việc thực thi để đảm bảo rằng giải pháp mạng
riêng ảo của ta có thể chịu được tất cả các kiểu tấn công, mà vẫn cho phép khai
thác Internet và hạ tầng mạng công cộng để giảm chi phí thực thi trong khi tăng
mức độ an toàn của các giao dịch, vì vậy bảo vệ được mạng trước hầu hết các
khả năng tấn công vào tổ chức, dữ liệu.
IPSec đã được thảo luận chi tiết trong chương III của phần I được xem là
câu trả lời cho hầu hết các mối quan tâm bảo mật liên quan đến 4 thành phần dễ
bị tấn công trong mạng riêng ảo. Nó đảm bảo sự an toàn của dữ liệu trong khi
truyền. IPSec bảo mật dữ liệu bằng cách mã hoá mỗi gói dữ liệu với các thuật
toán mã hoá mạnh. Kết quả là kẻ nghe trộm hoặc thậm chí cả ISP trung gian
không thể đọc được dữ liệu. Hơn nữa, IPSec xác thực mỗi gói dữ liệu riêng lẻ
ngoài việc xác thực người dùng cuối một lần. Điều này làm giảm khả năng giả
mạo.
Thêm hai khía cạnh bảo mật của bất kỳ giao dịch nào dựa trên mạng riêng
ảo là quan hệ tin cậy và trao đổi khoá giữa các bên liên quan. Nếu một trong hai
khía cạnh này bị tổn hại thì sự an toàn của toàn bộ thiết lập mạng riêng ảo có thể
bị tổn hại.
Vấn đề quan hệ tin cậy:
Tin cậy là một phần không thể thiếu của việc đảm bảo an toàn cho bất kỳ
hệ thống nào, bao gồm cả thiết lập mạng riêng ảo của ta. Tuy nhiên, sự tin cậy
có thể bị khai thác để giành được quyền truy cập vào thiết lập an toàn cẩn mật

của ta. Vì vậy, cần phải để ý các vấn đề sau khi quyết định mức tin cậy trong
thiết lập của ta với các thực thể bên ngoài:
+ Các ứng dụng như Telnet, FTP rất dễ bị tấn công. Cân nhắc để sử dụng
các ứng dụng an toàn hơn, như SSH để thay thế
Chú ý
Vì sự phức tạp của các cơ chế bảo mật mà SSH sử dụng, hiệu suất của SSH
qua VPN sẽ bị chậm.
+ Không chạy các dịch vụ thêm trên Server VPN. Server VPN phải chạy
không chỉ tối thiểu các ứng dụng và dịch vụ liên quan đến mạng riêng ảo mà
còn phải tối thiểu hoá các dịch vụ mà kẻ xâm nhập có thể truy cập trong trường
hợp xâm nhập thành công.
+ Mặc dù việc không tin cậy hoàn toàn các Client VPN đã xác thực là
không thích hợp, nhưng vẫn nên duy trì một mức không tin cậy hợp lý. Nếu
cung cấp truy cập hạn chế tới các tài nguyên và thiết bị, nhưng vẫn cho phép
người dùng thực hiện các hoạt động cần thiết liên quan đến công việc của họ, ta
có thể giảm hậu quả của sự xâm nhập trong đó kẻ tấn công nhằm vào các máy
của người dùng cuối. Cũng có thể dùng firewal để hạn chế các truy cập nói trên.
Các xem xét liên quan đến trao đổi khoá:
Trao đổi khoá giữa các bên liên quan là một khía cạnh khác của bảo mật
mà khi bị tổn hại có thể dẫn đến tổn hại rất lớn trong mạng. Vì thế, điều cốt yếu
là khả năng phân phối các khoá một cách an toàn, đặc biệt trong trường hợp sử
dụng mật mã đối xứng, như ta đã biết, trong mật mã đối xứng thường sử dụng
một khoá mật cho cả lập mã và giải mã. Vì thế, nếu khoá này rơi vào tay một kẻ
xâm nhập, nó sẽ mang lại cho kẻ xâm nhập khả năng truy cập tới các giao dịch
đang tiếp diễn. Sẽ là hợp lý khi sử dụng IPSec, bảo mật SSH và các ứng dụng
dựa trên SSL/TSL, nó tránh được việc trao đổi khoá dưới dạng rõ.
Mật mã phi đối xứng không giống như mật mã đối xứng, không dựa vào
một khoá cho việc giải mã và lập mã. Trái ngược với các mật mã đối xứng, mật
mã phi đối xứng trao đổi các khoá công khai giữa các bên liên quan và sử dụng
các khoá mật tương ứng với chúng cho chức năng giải mã. Tuy nhiên, các cơ

chế này không phải tuyệt đối an toàn và rất dễ bị tổn thương với các tấn công
kiểu Man-in-the-Middle. Trong kiểu tấn công này, kẻ xâm nhập có thể thay thế
khoá công khai của anh ta, và như vậy hoàn toàn truy cập được vào liên lạc giữa
hai người dùng cuối hợp lệ. Vì vấn đề này, ta cần phải xác nhận lại khoá công
khai với những người liên lạc khác sau khi pha trao đổi khoá hoàn tất, nhưng
phải trước khi pha trao đổi dữ liệu bắt đầu. Mặc dù để thực hiện như vậy mọi
lúc là không thể, một sự kiểm tra chéo ngẫu nhiên của các khoá công khai nhận
được rất nên được thực hiện.
Một điểm mà ta phải luôn lưu ý, bất kể mật mã đối xứng hay phi đối xứng
thì các khoá không bao giờ lưu trữ trên một điểm cuối VPN, nơi chúng dễ dàng
bị truy cập bởi kẻ xâm nhập. Một giải pháp khả thi cho vấn đề này là lưu trữ các
khoá trong một vị trí tập trung, được bảo vệ tốt thay vì lưu trữ tất cả các khóa
trên một Server VPN riêng. Mặc dùng quá trình truy cập khoá có thể bị kéo dài,
nhưng trong thực tế, nó không chỉ giảm gánh nặng lưu trữ trên Server VPN mà
còn nâng cao việc bảo đảm an toàn cho các khoá.
1.2. Đánh địa chỉ và định tuyến
Một vấn đề quan trọng khác trong việc lập kế hoạch và thiết kế mạng riêng
ảo là việc đảm bảo rằng các địa chỉ IP cần được gán cho các thiết bị mạng riêng
ảo phải có kế hoạch và hợp lý. Hơn nữa, cũng cần phải đảm bảo rằng lược đồ
định tuyến không chỉ có khả năng điều khiển kết nối mạng công cộng dựa trên
địa chỉ IP toàn cục, mà còn sẽ có khả năng thích ứng với bất kỳ lược đồ đánh
địa chỉ IP nào của ta trong tương lai. Ngoài ra, giới hạn hợp lý phải được giữ để
đảm bảo rằng các đối tác thương mại bên ngoài và các Client từ xa cũng có thể
kết nối tới mạng riêng ảo của chúng ta mà không gặp phải vấn đề trục trặc.
1.2.1. Vấn đề đánh địa chỉ
Trong một mạng riêng, một công ty A không cần mua các địa chỉ IP duy
nhất (được biết như là các địa chỉ IP toàn cầu) từ một cơ quan có thẩm quyền,
như InterNIC, IANA hoặc từ ISP. Công ty A có thể sử dụng các địa chỉ IP riêng
hoặc bất kỳ một địa chỉ IP nào mà họ muốn, bởi vì truyền thông trong một mạng
riêng không phải định tuyến ra ngoài phạm vi công ty. Kết quả là, các host và

các thực thể đặt trong một mạng riêng không thể liên lạc với các mạng qua
Internet hay các mạng công cộng khác và vì vậy nó biệt lập với thế giới bên
ngoài.
Chú ý: Các địa chỉ IP trong phạm vi 10.0.0.0 – 10.255.255.255, 172.16.0.0
– 172.31.255.255 và 192.168.0.0 – 192.168.255.255 được dùng như các địa chỉ
IP riêng và có thể được dùng trong một mạng riêng hoặc Intranet không sử dụng
một mạng công cộng để kết nối tới các nhánh ở xa và người dùng từ xa
Lược đồ địa chỉ riêng không hoàn toàn đúng cho các mạng riêng ảo vì
chúng còn dựa trên một mạng đường trục công công để truyền thông. Điều này
ngụ ý rằng chỉ VPN Client và Server liên quan trong một giao dịch là cần một
địa chỉ IP công cộng. Liên lạc thực sự trên giao diện VPN ảo sẽ làm việc với các
địa chỉ IP riêng. Kết quả là, công ty A sẽ đòi hỏi ít nhất một khối địa chỉ IP duy
nhất toàn cầu từ ISP. Ta sẽ xem xét các nhân tố sau lúc đánh địa chỉ các thiết bị
mạng riêng ảo.
- Nếu công ty A sử dụng đường Leased Line để kết nối tới ISP, các thiết bị
mạng riêng ảo sẽ được cấp phát các địa chỉ IP tĩnh. Các trường hợp khác, nếu sử
dụng các kết nối quay số để kết nối tới POP của ISP, các Client VPN được dùng
bởi những người dùng di động phải được cấp phát các địa chỉ IP động, mặc dù
VPN Server sẽ vẫn đòi hỏi một địa chỉ IP tĩnh để có khả năng truy cập. Tuy
nhiên, có một sự kế thừa vấn đề gắn với các Client VPN sử dụng địa chỉ IP
động. Ta không thể giới hạn truy cập tới VPN Server trên cơ sở các địa chỉ IP
mà ISP có thể cấp phát cho các VPN Client mỗi lần khác nhau. Trong hoàn cảnh
này, các VPN Server rất dễ bị tấn công bởi các nguy cơ bảo mật mà một kẻ tấn
công có thể hành động như một người dùng tin cậy.
- Sẽ không gặp vấn đề gì nếu sử dụng một VPN Server đơn hoặc nhiều
VPN Server, tất cả phải được cấp phát một địa chỉ IP tĩnh. Nếu các VPN Server
sử dụng các địa chỉ IP động, VPN Client không thể định vị được Server mong
muốn.
- Nếu địa chỉ IP xung đột có thể cắt bỏ nếu cần hợp nhất hai mạng riêng,
như trong trường hợp sát nhập hai tổ chức. Trong kịch bản này, nếu các mạng

được hợp nhất sử dụng địa chỉ IP riêng thì rất có thể một số địa chỉ IP có thể
xung đột. Việc thay đổi các địa chỉ IP xung đột là dễ dàng nếu chỉ với số lượng
nhỏ các IP bị xung đột. Tuy nhiên, với một số lượng lớn thì có thể ta phải thay
đổi lược đồ địa chỉ IP của ít nhất một mạng hoặc xấu nhất là toàn bộ mạng sau
khi hợp nhất. Việc thay đổi lược đồ địa chỉ là rất mất nhiều thời gian. Có thể sử
dụng khả năng cấu hình địa chỉ IP tự động, như sử dụng DHCP. Giao thức này
cho phép một thiết bị mạng nhận được thông tin cấu hình, bao gồm cả một địa
chỉ IP động khi thiết bị đó khởi động.
- Nếu không có đủ địa chỉ IP duy nhất toàn cầu, cách thích hợp nhất là sử
dụng địa chỉ IP riêng trong mạng của công ty và một NAT tại vành đai mạng để
kết nối với thế giới bên ngoài. NAT sẽ cấp phát một địa chỉ IP duy nhất bất cứ
lúc nào một host bên trong cần kết nối tới Internet hoặc thiết lập một phiên
mạng riêng ảo. Cách này sẽ giúp ta đảm bảo rằng không có xung đột IP khi thiết
lập kết nối Internet hoặc một phiên mạng riêng ảo. Một điểm quan trọng ở đây
là NAT và VPN có thể xung đột vì việc ghi đè tiêu đề.
Chúng ta giả thiết rằng công ty A trước đây có một mạng truyền thống,
trong đó các mạng Intranet khác nhau của công ty được kết nối với nhau qua
các phương tiện thiết bị riêng, như đường Leased-Line hoặc Frame Relay.
Chúng ta cũng giả thiết rằng công ty A đã xây dựng một lược đồ địa chỉ cho
mạng của họ. Vì mạng là độc lập và đường trục sử dụng chỉ các phương tiện
thiết bị riêng, công ty A có thể sử dụng hoặc các địa chỉ IP nhập nhằng toàn cục
(hay còn gọi là địa chỉ riêng) hoặc các địa chỉ duy nhất toàn cục (còn gọi là địa
chỉ công cộng) từ trung tâm thông tin mạng (Network Information Center -
NIC).
Bởi vì việc gán địa chỉ IP công cộng được thực hiện bởi tổ chức có thẩm
quyền trên phạm vi toàn cầu, chúng được xác định rõ ràng. Các địa chỉ công
cộng có khả năng định tuyến tới bất kỳ đâu. Tuy nhiên, vì việc gán địa chỉ riêng
rất dễ dàng thực hiện mà không cần đến một tổ chức có thẩm quyền trên phạm
vi toàn cầu, chúng có thể dẫn đến sự nhập nhằng khi sử dụng trong Internet
công cộng và chỉ có thể có khả năng định tuyến được trong một mạng riêng của

chính công ty đó. Tóm lại:
1. Nếu công ty A sử dụng các địa chỉ công cộng trong mạng của mình, các
địa chỉ có thể tiếp tục được sử dụng mà không cần phải thay đổi trong môi
trường mạng riêng ảo. Nếu có mong muốn che dấu chúng trong khi gói dữ liệu
được truyền qua Internet, một đường hầm ESP có thể được sử dụng giữa các
Firewall.
2. Nếu một công ty A sử dụng các địa chỉ IP riêng trong mạng của mình,
các địa chỉ cũng có thể tiếp tục được dùng trên tất cả các mạng con không có kết
nối vật lý tới mạng Internet công cộng. Nếu không có các mạng con đó mà kết
nối tới Internet công cộng, đặc biệt tồn tại các liên kết tại vành đai của mạng
Intranet, một địa chỉ IP công cộng phải được sử dụng.
Chế độ đường hầm ESP hoặc AH và ESP kết hợp trong chế độ đường hầm
giữa các Firewall giữ cho cả hai làm việc. Tiêu đề IP mới của đường hầm sẽ sử
dụng các địa chỉ toàn cục của hai Firewall, cho phép các gói dữ liệu được định
tuyến quan Internet giữa hai Firewall (hoặc các Router). Tiêu đề của gói IP gốc
sẽ sử dụng các địa chỉ IP được gán cho người dùng trên Intranet, vì vậy các địa
chỉ này sẽ được che dấu khỏi sự dò xét bởi các giao thức mã hoá của ESP
1.2.2. Vấn đề định tuyến
Như trong các mạng truyền thống, việc định tuyến trong mạng riêng ảo
liên quan tới việc xử lý định tuyến tới một địa chỉ đích xác định. Trong định
tuyến truyền thống, làm việc trên bất kỳ tuyến đường hiện tại có thể dùng được
để tới bộ định tuyến đích. Tuy nhiên, trong các mạng riêng ảo, các thiết bị định
tuyến chỉ đảm bảo tính sẵn sàng cho các đường định tuyến qua các kết nối và
đường hầm mạng riêng ảo an toàn thay vì qua các mạmg công cộng trung gian.
Cần lưu ý các vấn đề sau đây khi quyết định lược đồ định tuyến cho mạng
riêng ảo:
- Server mạng riêng ảo mà các Client từ xa kết nối tới, chỉ định một tuyến
đường mặc định tới các Client VPN từ xa này. Bất kỳ tương tác khác giữa hai
đầu cuối trong một phiên mạng riêng ảo đã cho được định tuyến qua tuyến
đường đã được định nghĩa trước này. Tương tự, trong trường hợp của một Client

quay số, nơi đường hầm được thiết lập giữa nhánh mạng của ISP và mạng đích,
Client VPN sử dụng tuyến đường tới Intranet của ISP như tuyến đường mặc
định.
- Nếu Server VPN được đặt sau một Firewall, tất cả các tuyến đường mặc
định nên trỏ vào các Firewall đó.
- Nếu gán rõ ràng một đường định tuyến (hoặc một tập các đường định
tuyến) tới mỗi Client cho một phiên mạng riêng ảo, ta có thể phải kiểm soát đầy
đủ qua các đường dẫn giao dịch. Tuy nhiên, làm như vậy đòi hỏi phải cấu hình
các đường định tuyến trên mỗi Client một cách thủ công. Đây có thể là một
công việc cực kỳ mệt mỏi nếu số lượng Client VPN lớn. Hơn nữa, khả năng tắc
nghẽn mạng rất cao nếu số đường định tuyến được gán rõ ràng có giới hạn.
- Có thể ta muốn sử dụng các đường định tuyến tĩnh lúc thiết lập một giải
pháp mạng riêng ảo lần đầu tiên. Các đường định tuyến này được định nghĩa và
cấu hình trước trên cả Server VPN cũng như Client VPN. Kết quả là các đường
định tuyến tĩnh này có thể giữ một vai trò quan trọng trong việc kiểm thử một
thiết lập mạng riêng ảo mới. Tương tự, các đường định tuyễn tĩnh này cũng có
thể giúp ta gỡ rối các vấn đề liên quan đến định tuyến.
- Ngoại trừ việc kiểm thử các thiết lập mạng riêng ảo mới và trợ giúp khi
gặp vấn đề, ta nên sử dụng các đường định tuyến tĩnh một cách hạn chế vì
chúng có thể là nguyên nhân dẫn đến nhiều sự quản lý và nhiều Overhead khi
cấu hình lại, đặc biệt nếu có một thay đổi trong lược đồ đánh địa chỉ hoặc sự sắp
xếp lại các thiết bị mạng riêng ảo.
- Thông thường, trong một phiên mạng riêng ảo có sử dụng các đường hầm
tự nguyện và mở rộng qua Internet, ta có thể hoặc truy cập các Host trên
Internet hoặc các Host trên Intranet, miễn là một Gateway mặc định được sử
dụng cho mạng riêng ảo, không đồng thời xẩy ra cùng một lúc cả hai. Vì vậy, ta
sẽ cần cấu hình một đường định tuyến mặc định giữa Client VPN và NAS của
ISP. Điều này sẽ cho phép Client VPN truy cập đồng thời các Host dựa trên
Intranet cũng như dựa trên Internet.
Chú ý:

Phương pháp dễ nhất và an toàn nhất của việc gán các đường định tuyến cho các
phiên mạng riêng ảo là cấu hình firewal, bộ định tuyến mạng riêng ảo mặc định,
hoặc các cổng nối mạng riêng ảo mặc định với tất cả các đường định tuyến có thể
liên quan đến mạng riêng ảo. Thực tế này sẽ tiết kiệm cho ta nhiều thời gian và công
sức vì sau đó ta chỉ cần cấu hình một đường định tuyến mặc định trên tất cả các máy
phía Client. Hơn nữa, như vậy có thể làm đơn giản hoá nếu Gateway, Router VPN
hoặc firewall có thể chia sẻ thông tin định tuyến này với các thiết bị định tuyến
khác. Kết quả là, ta sẽ không cần phải cấu hình mỗi một thiết bị một cách riêng lẻ.
Lý do:
Các Client VPN được cấp phát hai địa chỉ IP, thứ nhất là lúc thiết lập một kết nối
PPP với nhánh mạng của ISP và thứ hai là trong khi thiết lập phiên mạng riêng ảo.
Vì thế, ta phải rất cẩn thận trong khi gán các đường định tuyến cho các phiên mạng
riêng ảo, vì nếu thêm một đường định tuyến PPP thay cho đường định tuyến mạng
riêng ảo, tất cả các lưu lượng sẽ được định tuyến qua đường định tuyến PPP không
an toàn dưới dạng không được mã hoá. Hơn nữa, nếu các gói có địa chỉ IP riêng
chúng sẽ bị loại bỏ tại thiết bị định tuyến của ISP.
Các mạng riêng ảo cũng yêu cầu rằng phải lựa chọn giao thức định tuyến
đúng. Ta cần chọn giao thức định tuyến theo các điều kiện và yêu cầu của tổ
chức. Một số nhân tố có thể giúp ta trong việc quyết định giao thức bao gồm:
- Giải thông được sử dụng bởi giao thức: Ví dụ, ta có thể muốn sử dụng
BGP (Boder Gateway Protocol – Giao thức cổng biên) khi thực tế nó sử dụng
một giải thông nhỏ.
- Overhead được phát sinh: Một số giao thức định tuyến phát sinh
overhead truyền thông rất cao so với các giao thức khác. RIP là một ví dụ. Mặc
dù IPSec không phải là một giao thức định tuyến, nhưng nó cũng phát sinh
overhead cao.
- Chiều hướng liên lạc: Một số giao thức định tuyến, như RIP, chỉ hỗ trợ
các địa chỉ Unicast, các giao thức khác như RIPv2 và OSPF hỗ trợ các địa chỉ
broadcast và multicast.
- Tính năng bảo mật được cung cấp: Một số giao thức định tuyến mang lại

khả năng bảo mật cao
1.3. Các vấn đề về DNS
Hệ thống tên miền (DNS) là một thư mục phân tán toàn cục được sử dụng
cho việc chuyển đổi các địa chỉ dựa vào tên, Chẳng hạn như www.yahoo.com
tương ứng với một địa chỉ IP là 64.58.76.223. Ta sẽ cần DNS trong mạng riêng
ảo cho chức năng tương tự là - ánh xạ các địa chỉ dựa vào tên của host để tương
ứng chúng với các địa chỉ IP.
Trong mạng riêng ảo Intranet, chỉ cho phép truy cập tới các tài nguyên đặt
trong mạng Intranet của tổ chức, ta sẽ cần tạo một Domain riêng biệt cho mạng
chính và nhiều Domain riêng lẻ cho mỗi nhánh mạng từ xa. Ví dụ, ta có thể tạo
một Domain là “MyIntranet.com” và tạo các Domain trong như là
“RemoteBranch1.MyIntranet.com”, “RemoteBranch2.MyIntranet.com” v.v. Dễ
dàng cấu hình máy chủ DSN để hỗ trợ kiến trúc Domain này. Hơn nữa, cũng sẽ
cần thiết lập ít nhất một máy chủ Domain trong như là một máy chủ Domain
thứ cấp cho mỗi Domain trong mà ta tạo ra. Điều này sẽ mang lại thuận lợi
trong việc chia sẻ các các cập nhật và thông tin liên quan đến DNS khác giữa
nhiều Domain trong.
Cấu hình trước đây quan tâm đến việc truy cập mạng riêng ảo dựa trên
Intranet, các host bên trong sẽ không còn khả năng truy cập Intrernet. Nếu muốn
các host bên trong có khả năng truy cập Internet hoặc các tài nguyên trong
mạng Internet, ta cần thiết lập bổ sung một máy chủ DNS bên ngoài, nó sẽ nhận
tất cả truy vấn tới các host bên ngoài từ các DNS bên trong và anh xạ các địa
chỉ theo tên bên ngoài tương ứng với các địa chỉ dạng số.
Trong trường hợp những người dùng di động sử dụng một mạng riêng ảo
để truy cập Intrnanet, có một vấn đề cố hữu với các thiết lập DNS. Nếu những
người dùng từ xa này phụ thuộc vào một kết nối đường quay số, các Client VPN
kết nối tới Intranet sử dụng một địa chỉ IP mới mỗi lần. Và như vậy, ta không
thể mã cứng DSN của ta để cung cấp cho các Client này.
Để giải quyết vấn đề này, ta sẽ cần thiết lập các máy Client cá nhân để sử
dụng các máy chủ DNS bên trong. Nếu những người dùng từ xa yêu cầu một kết

nối Internet đồng thời, ta phải cấu hình những đầu cuối từ xa này để tìm kiếm
các máy chủ DNS bên ngoài thêm vào các máy chủ bên trong
Chú ý:
Khi kết nối tới Internet, ta có thể đối mặt với độ trễ rất lớn, hoặc thậm chí ngừng ứng
dụng trong khi phân giải tên/địa chỉ nếu ta thiết lập các host VPN trước hết tìm kiếm
một máy chủ DNS bên trong và sau đó tìm kiếm một máy chủ DNS bên ngoài (trong
cả hai kịch bản intranet và remote access). Điều này là bởi vì các host sẽ tìm một máy
chủ DNS bên ngoài sau khi đã tình kiếm qua tất cả các máy chủ DNS bên trong mà
chúng được đăng ký. Và như vậy, host VPN nên tìm kiếm một máy chủ DSN bên
trong có khả năng chuyển tiếp yêu cầu tới DNS của ISP. Kết quả là nhanh hơn nhiều
vì nó cho phép lưu cache các tên được tìm kiếm.
Hơn nữa, để xem xét những điều mới được đề cập, ta cũng cần cảnh giác
với các tính chất dễ bị tổn thương máy chủ DSN sau đây:
- Nếu xẩy ra lỗi bảo mật các máy chủ DNS, một kẻ xâm nhập có thể chiếm
quyền điều khiển Server của ta và giành được toàn quyền kiểm soát qua các
Domain đã đăng ký với chúng. Kiểu tấn công này được xem như là cướp
Domain.
- Một kẻ xâm nhập có thể sử dụng các tấn công từ chối dịch vụ trên các
máy chủ DNS của ta. Trong trường hợp này, các Domain bị tấn công sẽ không
có khả đăng định vị các Host trong các Domain khác và Internet. Vì tất cả các
máy chủ DNS dựa trên Internet liên lạc với mỗi máy chủ khác, kiểu tấn công
này có thể dẫn đến sự chậm trễ toàn cục lan rộng trong tiến trình xử lý ánh xạ
tên/địa chỉ IP.
- Nếu một kẻ xâm nhập giành được quyền truy cập vào máy chủ DNS của
ta và sửa đổi các thông tin được lưu trong máy chủ để chuyển hướng bất kỳ lưu
lượng nào giành cho các địa chỉ hợp pháp tới một vị trí giả mạo, các Domain bị
tấn công sẽ không nhận được bất kỳ lưu lượng dữ liệu nào giành cho chúng.
Để tránh các vấn đề này, cần phải bảo mật cho các máy chủ DNS trong
cũng như ngoài.
1.4. Các vấn đề về Firewall, Router, NAT

Như ta đã biết, các Router (hay Gateway), Firewall và các thiết bị NAT là
các thiết bị ngoại biên. Ta cần xem xét một số vấn đề về sự an toàn và sự tích
hợp của chúng trong một môi trường mạng riêng ảo.
1.4.1. Các xem xét liên quan đến Router
Router (và các Gateway) giữ một vai trò đáng kể trong việc định tuyến
luồng lưu lượng qua một mạng dựa trên IP. Vì có các thiết bị ngoại biên này,
mối quan tâm chính liên quan đến chúng là về tính an toàn của chúng. Nếu
Router của ta được bảo mật kém, chúng có thể dễ dàng bị nhắm tới bởi những
kẻ xâm nhập, là những kẻ phát sinh luồng lưu lượng giả tạo gây ra các tấn công
từ chối dịch vụ. Chúng cũng có thể được dùng bởi những kẻ xâm nhập để tấn
công các Router khác.
Các xem xét khác liên quan đến Router và Gateway trong thiết lập mạng
riêng ảo bao gồm:
- Các Router và Gateway trong môi trường mạng Internet thường được cấu
hình để cho truyền qua lưu lượng được định tuyến tới các Router kế tiếp nhằm
hướng tới mạng đích. Điều này hàm ý rằng chúng có thể “chuyển” một khối
lượng lớn dữ liệu sang nơi khác. Tuy nhiên, hầu hết các Router không có khả
năng lưu trữ một khối lượng lớn dữ liệu khi dữ liệu chuyển đến chúng. Kết quả
là, hầu hết các Router rất dễ bị ảnh hưởng với các tấn công từ chối dịch vụ.
Bằng việc giành được toàn bộ quyền kiểm soát Router, một kẻ xâm nhập có thể
dễ dàng giành được quyền truy cập vào mạng gắn với nó và dẫn đến thiệt hại
lớn với mạng Intranet.
- Các Router chia sẻ thông tin định tuyến với các Router ngang hàng để có
khả năng định danh không làm gián đoạn thêm luồng lưu lượng chúng nhận
được. Kết quả là, các Router phải chia sẻ một quan hệ tin cậy với các Router
ngang hàng. Đặc điểm này của các Router thường bị khai thác bởi những kẻ
xâm nhập, những kẻ này sau khi thay đổi hoặc xoá các đường định tuyến đã tồn
tại hoặc đưa các đường định tuyến giả tạo vào bảng định tuyến được duy trì bởi
một hoặc nhiều Router. Kết quả của việc thay đổi thông tin này là các Router
mà các bảng định tuyến của chúng đã được cảnh giác có thể bắt đầu hoạt động

như các Router giả tạo và chuyển tiếp luồng lưu lượng tới các Route “không
đáng tin cậy”
- Nếu đang lập kết hoạch thực thi nhiều Router và Gateway trong mạng
Intranet, cần đảm bảo rằng tất cả hỗ trợ cùng mức bảo mật. Điều này sẽ ngăn
chặn kẻ xâm nhập khai thác một điểm yếu bảo mật đơn lẻ để giành quyền truy
cập tới mạng.
Bởi các vấn đề đã xác định trên, ta nên cẩn thận khi chọn lựa các Router
cho thiết lập mạng riêng ảo. Ngoài hiệu suất tốt, cũng nên tìm kiếm các Router
có khả năng mã hoá và xác thực mạnh. Những khả năng này không chỉ bảo vệ
các Router của ta, mà còn ngăn chặn việc quét và đọc trái phép các thông tin
đang được chuyển qua bởi chúng
1.4.2. Các xem xét liên quan đến Firewall
Mặc dù các Firewall có thể trợ giúp như các kỹ thuật bảo vệ chống lại các
cuộc tấn công và xâm nhập từ bên ngoài, ta cần xem xét một số vấn đề sau
trước khi thực thi một thiết lập mạng riêng ảo dựa trên firewall. Một số vấn đề
này như sau:
- Nếu đang lập kế hoạch thực thi các firewall hoạt động trên cơ sở các địa
chỉ IP nguồn và đích, cổng nguồn và đích, giao thức được sử dụng nhưng không
dựa trên nội dung của các gói dữ liệu, một kẻ xâm nhập có thể che dấu dữ liệu
“độc hại” trong các gói dữ liệu được tải. Kết quả là, những dữ liệu độc hại này
sẽ không bị phát hiện bởi Firewall. Vấn đề khác gắn với các Firewall này, cũng
như với các Firewal lọc gói, đó là chúng không xử lý các giao dịch dựa trên
nhiều kết nối động, chẳng hạn như các giao dịch FTP. Vì vậy, sẽ cần thiết lập
các bộ lọc gói một cách rõ ràng để cho phép các luồng lưu lượng liên quan các
giao dịch này.
- Các Firewal khác, như các Firewal Proxy ứng dụng và các Firewal kiểm
duyệt trạng thái gói, các hoạt động của chúng phần lớn dựa trên nội dung của
gói dữ liệu thêm vào các địa chỉ IP, địa chỉ cổng và các giao thưc được dùng.
Tuy nhiên, phải nhớ rằng các Firewall Proxy ứng dụng không xử lý luồng lưu
lượng dựa trên HTTPS và SSH Kết quả là, đặc trưng này có thể bị khai thác

bởi những người bên ngoài để xâm nhập Firewall. Chức năng của Firewall kiểm
duyệt trạng thái gói dữ liệu rất giống với Firewal Proxy ứng dụng. Tuy nhiên,
hiệu suất của chúng tốt hơn nhiều. Vì vậy, dù có thể phải đầu tư nhiều hơn cho
Firewall kiểm soát trạng thái gói dữ liệu, nhưng nó sẽ tăng đáng kể hiệu suất
của toàn bộ thiết lập mạng riêng ảo.
- Để vượt qua hầu hết các vấn đề liên quan đến Firewall, ta phải định nghĩa
một chính sách bảo mật, chính sách bảo mật lần lượt định nghĩa cách thức một
Firewall tương tác với thiết lập mạng riêng ảo. Trong chính sách bảo mật, ta
cũng sẽ phải quyết định loại luồng lưu lượng nào nên được cho phép đi qua
Firewall. Một cách để xử lý tất các luồng lưu lượng một cách đầy đủ lúc cấu
hình hệ điều hành Firewall là không cho phép tất cả lưu lượng và dịch vụ, sau
đó xử lý để cho phép các lưu lượng và dịch vụ được yêu cầu cho đến khi xây
dựng xong toàn bộ các luật.
- Nếu đang lập kế hoạch để tạo một vùng DMZ (vùng mạng bảo vệ vành
đai), đầu tiên ta sẽ cần quyết định những Server nào sẽ là một phần của vùng
này. Một qui tắc để xác định là các Server chỉ đưa ra các dịch vụ mạng riêng ảo
cần thiết nên là một phần của vùng này.
- Mặc dù một cách hiệu qủa và không mất chi phí lớn của việc bảo mật
Intranet và thiết lập mạng riêng ảo là xây dựng một kiến trúc bảo mật phân cấp
dựa trên firewall sử dụng các kiểu Firewall khác nhau, như minh hoạ trong hình
2. Ví dụ, Firewall giữa Internet và DMZ có thể là một loại và Firewall giữa
DMZ và Intranet có thể là một loại khác. Điều này sẽ giảm khả năng khai thác
các điểm yếu giống nhau trong hệ thống Firewall ngoại vi để giành được quyền
truy cập các tài nguyên mạng Intranet
Hình – Hệ thống Firewall phân cấp
Bằng việc cấu hình các Firewall để ghi nhật ký mọi yêu cầu kết nối và hoạt
động xẩy ra qua các Firewall, và bằng cách phân tích đều đặn các dữ liệu này, ta
có thể xác định các điểm yếu trong hệ thống Firewall và đưa ra các bước phù
hợp
1.4.3. Các xem xét liên quan đến NAT

Luôn có hai vấn đề chính cần xem xét lúc thực thi giải pháp dựa trên NAT
trong một môi trường mạng riêng ảo. Đó là:
- Mặc dù NAT có thể hoạt động tự do trên PPTP, xem xét các NAT quan
trọng nhất do bởi trong trường hợp các giao dịch dựa trên IPSec. Với công
nghệ, các địa chỉ IP tầng 3 phải được thay đổi. Ngược lại. IPSec mã hoá và/hoặc
đóng gói các địa chỉ IP tầng 3 của một gói với các địa chỉ mạng khác. Kết quả
là, số hiệu cổng UDP được mã hoá và giá trị của nó được bảo vệ với một FCS
mật mã. Điều này làm cho luồng lưu lượng IPSec không được dịch chuyển bởi
các NAT và NAT không có khả năng làm việc trên gói sau khi dữ liệu sau khi
gói dữ liệu đi qua các xử lý định đường hầm mạng riêng ảo L2TP dựa trên
IPSec hoặc IPSec. Hơn thế nữa, trong trường hợp xác thực IPSec đầu cuối tới
đầu cuối, một gói có địa chỉ bị thay đổi sẽ luôn xẩy ra lỗi kiểm tra tính toàn vẹn.
Cho nên, NAT có thể phá vỡ một đường hầm dựa trên IPSec, vì Server VPN sẽ
luôn loại bỏ các gói dữ liệu. Vì vậy, nên tránh sử dụng NAT nếu đang có kế
hoạch thực thi mã hoá và xác thực IPSec.
- NAT không xử lý dịch chuyển các địa chỉ IP tương ứng với các giao thức
tầng ứng dụng. Vì vậy, không thể thực thi một giải pháp dựa trên NAT chuẩn.
Ta sẽ phải tìm một NAT cao cấp để sử lý tình huống này
1.4.4. Các xem xét liên quan đến Client và Server mạng riêng ảo
Các Client và Server mạng riêng ảo là các điểm cuối của một thiết lập
mạng riêng ảo đầy đủ. Trong khi Server mạng riêng ảo cung cấp các dịch vụ
liên quan đến mạng riêng ảo, thì các Client sử dụng các dịch vụ này. Kết quả là,
một số lượng đáng kể rơi vào lựa chọn của các Client và Server mạng riêng ảo.
Các xem xét chính liên quan tới các Server mạng riêng ảo bao gồm:
- Server mạng riêng ảo phải có hiệu suất cao
- Server chỉ chạy các dịch vụ cần thiết
- Server phải có khả năng kết nối tới được và có khả năng xử lý để xác
thực các Client mạng riêng ảo. Ta phải sử dụng các địa chỉ IP tĩnh cho chức
năng đó. Nếu Server được cấp phát một địa chỉ riêng, bộ dịch chuyển địa chỉ
mạng được yêu cầu và như vậy Server có thể truy cập được bởi các Host ở bên

ngoài, đặc biệt nếu mạng Intranet cũng hỗ trợ Extranet.
- Nếu NAT đang được sử dụng, nó phải được thực thi tại Server VPN để
tránh các xung đột giữa NAT và VPN
- Nếu Server VPN được kết nối trực tiếp với Internet và Firewall được đặt
sau Server VPN (giữa Server VPN và Intranet), ta phải cấu hình Server chỉ chấp
nhận luồng lưu lượng VPN và loại bỏ các gói dữ liệu không VPN. Tuy nhiên,
nếu Server VPN nằm sau Firewall, cả Server cũng nhưu Firewall phải được cấu
hình để chỉ chấp nhận các gói dữ liệu liên quan đến VPN.
Còn khi lựa chọn và thực thi các Client VPN, ta phải xem xét các vấn đề
sau:
- Nên chọn lựa việc cấu hình thủ công các Client VPN chỉ nếu số lượng
Client là giới hạn. Nếu thiết lập mạng riêng ảo hỗ trợ một số lượng lớn các
Client, ta sẽ phải tìm kiếm các công cụ có thể giúp cấu hình các máy Client này.
Ví dụ, nếu số lượng Client lớn, ta có thể xem xét sử dụng trình quản lý kết nối
Microsoft trong môi trường mạng riêng ảo dựa trên Microsoft.
- Nên chọn các Client VPN sau khi phân tích và hiểu rõ các yêu cầu của tổ
chức. Điều này là quan trọng bởi vì, mặc dù ta có thể có một thiết lập đầy đủ và
hiệu suất cao, một Client hiệu suất thấp có thể trở thành chỗ dễ bị tắc nghẽn khi
nó không có khả năng duy trì với tốc độ nhanh của các giao dịch.
1.5. Hiệu suất thực thi
Hiệu suất của một mạng riêng ảo phần lớn phụ thuộc vào các Server VPN
và hạ tầng mạng. Với ý nghĩ này, điều quan trọng là phải biết một số qui định
trách nhiệm mà việc tối ưu hiệu suất đòi hỏi:
- Nên xem trước hiệu suất của các Server VPN một cách đều đặn, điều này
sẽ giúp chúng ta định danh bất kỳ sự giảm sút nào về hiệu suất của các Server
- Duy trì nhật ký hệ thống một cách chi tiết của mỗi và mọi hoạt động liên
quan đến mạng riêng ảo là điều hợp lý, ta nên chuyển định kỳ các file nhật ký
này tới một máy riêng và như vậy lúc một kẻ xâm nhập chiến được quyền truy
cập tới bất kỳ Server VPN nào, anh ta không thể sửa đổi file nhật ký để tránh bị
phát hiện sớm.

- Nên giám sát toàn bộ hiệu suất mạng trên cơ sở quy tắc. Điều này giúp ta
định danh các tắc nghẽn có thể xẩy ra và sẽ giúp ta xác định thiết lập mạng
riêng ảo của ta có thể hỗ trợ bao nhiêu người dùng trước khi những người dùng
này bắt đầu cảm thấy hiệu suất bị giảm sút.
- Các thuật toán mật mã, các lược đồ xác thực có thể phát sinh overhead
đáng kể, và như vậy làm chậm hoạt động thông thường cùng với các hoạt động
mạng riêng ảo. Ta có thể tăng hiệu suất của toàn mạng bằng cách phân tích kỹ
lưỡng những ưu và nhược điểm của các thuật toán có thể thực thi, cân bằng giữa
hiệu suất và bảo mật
- Các Client VPN là khía cạnh khác của hiệu suất mạng riêng ảo. Cần kiểm
soát các Client VPN được đặt trong Intranet và báo cho các Client di động từ xa
trên đó phần mềm Client và hệ điều hành dùng để các giao dịch giữa người
dùng cuối và các Server VPN không bị cản trở bởi hiệu suất thấp của các Client
VPN
1.6. Khả năng mở rộng
Giống như bất kỳ thiết lập mạng nào, một mạng riêng ảo phải có khả năng
thích ứng với bất kỳ sự thay đổi nào trong tương lai do các yêu cầu và sự phát
triển của một tổ chức. Điều này đặc biệt đúng trong trường hợp các mạng riêng
ảo thương mại gồm nhiều nhánh mạng. Bản thiết kế của ta sẽ xác định phạm vi
của sự phát triển tương lai cũng như số lượng kết nối có thể được hỗ trợ bởi
mạng riêng ảo hiện thời và tổng chi phí thực thi. Và như vậy, ta nên lựa chọn
bản thiết kế mạng riêng ảo cẩn thận trước khi đi đến pha thực thi
Trong hầu hết các trường hợp, thiết lập thương mại được bao gồm một sự
cấu hình tập trung hoá, nơi mạng chính của tổ chức hoạt động như một “Hub”
của tất các các nhánh từ xa. Trong cấu hình này, mỗi nhánh mạng từ xa được kết
nối với nhánh mạng chính qua một kết nối mạng riêng ảo, như trong hình 5.3
Hình – Nhánh mạng từ xa kết nối tới mạng trung tâm qua VPN
Cấu hình được mô tả như trong hình 5.3 có khả năng mở rộng rất cao và dễ
dàng thích ứng với các kết nối mạng riêng ảo từ bất kỳ nhánh mạng từ xa mới
nào mà không gặp phải nhiều vấn đề và ảnh hưởng đến các nhánh khác. Chỉ cần

sửa đổi tại mạng trung tâm. Vấn đề lớn gắn liền với mô hình này là nếu mạng
trung tâm bị sập, thì tất cả các kết nối cũng bị sập. Ngoài ra, tất cả truyền thông
được định tuyến qua mạng trung tâm, làm tăng overhead cho lưu lượng tại vị trí
trung tâm. Thêm vào đó, một sự giảm hiệu suất của mạng trung tâm có thể ảnh
hưởng xấu tới hiệu suất của tất cả các nhánh mạng khác, làm giảm hiệu suất của
toàn mạng.
Cấu hình có thể khác là một cấu hình tương tự dạng vòng, trong đó mỗi
nhánh mạng từ xa được kết nối tới trực tiếp với nhánh mạng kế cận nó. Cấu
hình này được mô tả như trong hình 5.4. Đầy là cấu hình chỉ có khả năng mở
rộng ở một mức độ nhất định nếu số lượng nhánh mạng trong vòng quá lớn,
hiệu suất của toàn mạng Intranet bị giảm sút một cách đáng kể.
Hình - Nhánh mạng kết nối tới nhánh Intranet kế cận qua VPN
Một sự lựa chọn khác với cấu hình mạng riêng ảo tập trung là cấu hình
tương tự mạng lưới, trong đó mỗi nhánh mạng được kết nối tới tất các các mạng
từ xa khác. Hình 5.5 mô tả mô hình cấu hình này. Thiết lập này, dù chi phí cao
và khó để cài đặt và duy trì, nhưng tránh vấn đề “điểm đơn bị lỗi” và đảm bảo
rằng một mạng không thể ảnh hưởng đến hiệu suất của các mạng được kết nối
khác. Hơn nữa, mặc dù khả năng mởi rộng rất cao, thực tế việc thực thi mở rộng
là khác khó khăn và tốn nhiều thời gian
Hình – Nhánh từ xa được kết nối với tất cả nhánh qua VPN
Khả năng liên tác là một vấn đề quan trọng khác cần lưu ý lúc lựa chọn các
phần từ của mạng riêng ảo, đặc biệt việc xem xét rằng những người quản trị
hướng tới các sản phẩm thích hợp và tích hợp được đề xuất bởi những nhà cung
cấp khác nhau để giảm tổng chi phí thực thi. Những sản phẩm được đề xuất bởi
các nhà cung cấp khác có thể không liên tác bằng, vì vậy ta nên kiểm tra tính
tương thích và liên tác của tất cả các sản phẩm mạng riêng ảo trước khi thực thi
chúng trong mạng riêng ảo của chúng ta.
Một điểm khác là ta nên nhớ với việc quan tâm đến tính liên tác đó là sản
phẩm VPN mà ta chọn phải làm việc suôn sẻ với nhiều nền khác nhau. Dù điều
này có thể có vẻ như một sự lãng phí tiền bạc tại thời điểm này, đặc biệt nếu

mạng Intranet của ta sử dụng chỉ với một số Platform, nhưng chiến lược này sẽ
có ích cho ta lúc mở rộng và phát triển mạng riêng ảo.
Ta phải có một ý tưởng tổng quát trong việc xem xét khi thiết kế một giải
pháp mạng riêng ảo, có thể xem xét ba môi trường thực thi mạng riêng ảo thông
dụng nhất và các đặc tính của chúng

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×