Một ý tưởng và kế hoạch thiết kế tốt là yếu tố quan trọng khi thiết lập một
mạng. Với bất kỳ VPN nào cũng vậy: Nếu sơ suất trong việc phân tích các yêu cầu
của tổ chức sẽ kéo theo thiếu sót trong lập kế hoạch và ta sẽ thấy ảnh hưởng rất
nhiều về sau.
Lúc thiết kế và thực thi mạng VPN, chúng ta cần phải tuân thủ theo ý tưởng
tối ưu hố mọi thứ.
Những vấn đề chính cần xem xét kỹ trong khi thiết kế và cài đặt VPN bao
gồm:
+ Mơ hình VPN nào được chọn để thực hiện?
+ Bảo mật
+ VPN sẽ được quản trị như thế nào?
+ Đánh địa chỉ và định tuyến
+ Các vấn đề liên quan đến DNS
+ Các vấn đề Router/Getway, firewall, NAT
+ Hiệu suất
+ Khả năng mở rộng và tương thích trong tương lai.
1.5. Các mơ hình kết nối VPN thơng dụng
Mục tiêu của công nghệ VPN là quan tâm đến ba yêu cầu cơ bản sau:
- Các nhân viên liên lạc từ xa, người dùng di động, người dùng từ xa của một
Cơng ty có thể truy cập vào tài ngun mạng của cơng ty họ bất cứ lúc nào
- Có khả năng kết nối từ xa giữa các nhánh văn phòng.
- Kiểm soát được truy cập của các khách hàng, nhà cung cấp là đối tác quan
trọng đối với giao dịch thương mại của công ty.
Với các yêu cầu cơ bản như trên, ngày nay, VPN được phát triển và phân
thành ba loại như sau: VPN Truy cập từ xa (Remote Access VPN), VPN Cục bộ
(Intranet VPN), VPN mở rộng (Extranet VPN)
1.5.1.VPN Truy cập từ xa (Remote Access VPN):
Cung cấp các dịch vụ truy nhập VPN từ xa (remote access hay dial-up VPN)
đến một mạng Intranet hay Extranet của một tổ chức trên nền hạ tầng mạng công
cộng. Dịch vụ này cho phép người dùng truy xuất tài nguyên mạng của Công ty họ
như là họ đang kết nối trực tiếp vào mạng đó.
Giống như tên gọi của nó, VPN truy cập từ xa cho phép người dùng từ xa,
người dùng di động của một tổ chức có thể truy cập tới các tài ngun mạng của
tổng cơng ty. Điển hình, các yêu cầu truy cập từ xa này được đưa ra bởi người
dùng đang di chuyển hoặc các nhánh văn phịng từ xa mà khơng có một kết nối cố
định tới Intranet của tổng cơng ty.
Như trong hình 1.6, chuyển mạch truy cập từ xa thiết lập khi chưa có sự mở
rộng của VPN bao gồm các thành phần chính như sau:
+ Một Remote Access Server: Nó được đặt tại mạng trung tâm để xác thực và
cấp quyền cho các yêu cầu truy cập từ xa.
+ Kết nối Dialup tới mạng trung tâm
+ Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hỗ trợ
người dùng từ xa
Hình 1.6 Thiết lập truy cập từ xa khơng có VPN
Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và
người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thơng qua đó
để kết nối tới mạng của cơng ty qua Internet. Thiết lập VPN truy cập từ xa tương
ứng được mơ tả như trong hình 1.7.
Hình 1.7 Thiết lập VPN truy cập từ xa
1.5.2. VPN Cục bộ (Intranet VPN)
Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây là
một mơ hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung. Yêu
cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được thực hiện ở mạng
trung tâm, bao gồm các dịch vụ về an ninh, VoIP, chất lượng dịch vụ cũng như các
dịch vụ đa phương tiện (Multimedia). Mục đích của Intranet VPN là giảm thời gian
cũng như chi phí lắp đặt, hỗ trợ các đường dây thuê riêng theo các cách kết nối
WAN truyền thống.
Intranet VPN thường được dùng để kết nối các nhánh Văn phòng từ xa của
một tổ chức với Intranet trung tâm của tổ chức đó. Trong cách thiết lập Intranet
không sử dụng công nghệ VPN, mỗi một mạng từ xa phải kết nối tới Intranet của
tổ chức qua các Router trung gian. Thiết lập này được mơ tả như trong hình 1.8.
Hình 1.8 Thiết lập Intranet sử dụng WAN
Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới một
Khu trung tâm từ xa để tới Intranet của tổ chức. Hơn nữa việc thực thi, duy trì và
quản trị Intranet xương sống có thể là một việc cực kỳ tốn kém. Chẳng hạn, chi phí
của Intranet tồn cầu có thể lên tới hàng ngàn USD/1 tháng. Phạm vi Intranet càng
lớn thì chi phí càng cao.
Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thế
bằng kết nối Internet chi phí thấp nên có thể giảm được tổng chi phí của việc thực
thi toàn bộ Intranet. Một giải pháp Intranet VPN điển hình được mơ tả như trong
hình 1.9.
Hình 1.9 Thiết lập VPN dựa trên VPN
Ưu điểm của việc thiếp lập dựa trên VPN như trong hình 1.9 là:
+ Loại trừ được các Router từ đường WAN xương sống.
+ Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp các
liên kết ngang hàng mới.
+ Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn. Cùng
với việc loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được chi phí của
hoạt động Intranet.
Tuy nhiên cũng có một số nhược điểm:
+ Vì dữ liệu được định đường hầm qua một mạng chia sẽ công cộng nên các
tấn công mạng như: từ chối dịch vụ vẫn đe doạ nghiêm trọng đến an ninh mạng.
+ Khả năng mất các gói dữ liệu khi truyền vẫn còn cao.
+ Đường truyền dữ liệu đầu trên như multimedia, độ trể truyền tin vẫn rất cao
và thơng lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của Internet.
+ Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và QoS
có thể không được đảm bảo
1.5.3. Mạng riêng ảo mở rộng (Extranet VPN)
Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sử dụng vào
mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng các
đường truyền thuê bao. Giải pháp này cũng cung cấp các chính sách như trong
mạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định. Tương tự như
Intranet VPN, Extranet VPN cũng có kiến trúc tương tự, tuy nhiên điểm khác biệt
giữa chúng là phạm vi các ứng dụng cho phép các đối tác Extranet VPN sử dụng.
So với Intranet VPN thì vấn đề tiết kiệm chi phí khơng rõ bằng nhưng điều quan
trọng là khả năng cộng tác với các đối tác, khách hàng hay các nhà cung cấp sản
phẩm. Việc để cho khách hàng nhập trực tiếp dữ liệu về các hợp đồng vào hệ thống
sẽ tiết kiệm được rất nhiều thời gian cũng như các lỗi khơng đáng có, tuy nhiên
việc này rất khó thực hiện với cơng nghệ WAN truyền thống. Extranet VPN
thường sử dụng các kết nối dành riêng và thêm vào các lớp bảo mật để xác thực và
giới hạn truy nhập trên hệ thống.