Bảng 7.1 liệt kê một cấu hình ví dụ cho định tuyến được khởi tạo hai chiều giữa Router 1, một Router theo yêu cầu quay số trên nhánh mạng của thành phố A và Router 2, một Router theo yêu cầu quay số trên nhánh mạng tại thành phố B Router Tên giao diện Tên tài khoản trong giấy uỷ quyền Router 1 DD_A DD_B Router 2 DD_B DD_A 7.1.3. Các thành phần của mạng riêng ảo Site – to – Site Không giống với mạng riêng ảo truy cập từ xa, các liên kết Site – to – Site đòi hỏi cả hai phía của liên kết phải có một tập đầy đủ các tài nguyên để làm việc với nhau. Các thành phần của mạng riêng ảo Site – to – Site được minh hoạ như trong hình 7.1 Hình 7.1 Các thành phần của mạng riêng ảo Site – to – Site Các thành phần chính là: - Các Router VPN - Cơ sở hạ tầng mạng Internet - Cơ sở hạ tầng mạng chi nhánh - Cơ sở hạ tầng AAA - Cơ sở hạ tầng chứng chỉ 7.1.3.1. Các Router VPN Các Router VPN là các Server kiểm soát tất cả các hoạt động kết nối từ xa của liên kết Site – to – Site. Chúng là trung tâm của hệ thống mạng riêng ảo Site – to – Site. Các Router VPN là các thực thể khởi tạo hoặc nhận các kết nối theo yêu cầu quay số dựa trên VPN và có các thành phần cơ bản sau được cài đặt trên đó: - Dịch vụ định tuyến : Dịch vụ này được cài đặt trên cả Router gọi và Router trả lời - Các Port : Một port là một kênh liên lạc vật lý hay lôgic có khả năng hỗ trợ một kết nối PPP đơnh. Các cổng vật lý dựa các thiết bị được cài đặt trên Router VPN, chẳng hạn như card mạng hay modem. Các cồng VPN là các cổng lôgic xử lý các thương lượng và tham số kết nối logic cho các kết nối - Các giao diện mạng : Một giao diện được cấu hình trên Router gọi mô tả lại kết nối PPP và chứa các thông tin cấu hình như kiểu của cổng để dùng(Ví dụ, PPTP hay L2TP/IPSec), địa chỉ sử dụng để tạo kết nối(đó là, một địa chỉ IP hoặc một tên Domain để kết nối tới Internet), các phương pháp xác thực, các yêu cầu mã hoá và các uỷ quyền xác thực. - Tài khoản người dùng : Với mỗi Router gọi để được xác thực, các giấy uỷ nhiệm của nó phải được xác minh bởi các thuộc tính của một tài khoản người dùng tương ứng. Nếu Router trả lời được cấu hình với xác thực RADIUS, Server RADIUS phải truy cập tới tài khoản người dùng cho các giấy uỷ quyền xác thực của Router gọi Với một kết nối khởi tạo một chiều, ta có thể cấu hình các đường định tuyến IP tĩnh được thêm vào bảng định tuyến của Router trả lời khi kết nối được tạo. Việc làm này sẽ cho phép Router gọi biết được subnet nào đang sẵn sàng trên phía bên kia và xác định có thiết lập liên kết sử dụng các đường định tuyến tĩnh đó hay không - Các đường định tuyến: Để chuyển tiếp luồng lưu lượng qua một kết nối mạng riêng ảo, các đường định tuyến IP trong bảng định tuyến của Router VPN được cấu hình để sử dụng giao diện đúng. Với các kết nối được khởi tạo một chiều, cấu hình Router gọi theo cách thông thường. Với Router trả lời, ta có thể cấu hành tài khoản người dùng đã chỉ rõ trong giấy uỷ quyền xác thực của Router gọi với các đường định tuyến IP tính - Chính sách truy cập từ xa: Trên Router trả lời hoặc trên máy chủ dịch vụ xác thực Internet đang hoạt động như một Server RADIUS với Router trả lời, để xác định các tham số kết nối đã xác định với các kết nối theo yêu cầu quay số, tạo một chính sách truy cập từ xa riêng cho những người dùng hay nhóm người dùng với Router gọi như các thành viên của chính sách. Một chính sách truy cập từ xa riêng cho các kết nối theo yêu cầu quay số không được đòi hỏi Một Router gọi ta làm như sau : - Khởi tạo các kết nối VPN dựa trên hành động của người quản trị lúc một gói đang chuyển tiếp cho phù hợp với một đường định tuyến sử dụng một giao diện theo yêu cầu quay số dựa trên mạng riêng ảo. - Chờ xác thực và cấp quyền trước khi chuyển tiếp các gói - Hoạt động như một Router chuyểntiếp các gó dữ liệu giữa các Node trong nhánh mạng của nó và Router trả lời - Hoạt động như một điểm cuối của kết nối mạng riêng ảo Router trả lời ta làm như sau : - Lắng nghe các kết nối đang cố gắng thực hiện - Xác thực và cấp quyền cho các kết nối VPN trước khi cho phép dữ liệu luôn chuyển - Hoạt động như một Router chuyển tiếp các gói dữ liệu giữa các Node trong nhánh mạng của nó và Router gọi - Hoạt động như một điểm cuối của kết nối mạng riêng ảo Các Router VPN điển hình có hai card mạng được cài đặt, một để kết nối tới Internet, một để kết nối tới Intranet. Với các kết nối mạng riêng ảo Site – to – Site, một Router khởi tạo một kết nối mạng riêng ảo tới Server VPN và các Client không cần tự khởi chạy một VPN - tất cả luồng lưu lượng sẽ được xử lý bởi các Router cuối. Tiếp theo, Server VPN có thể khởi tạo một kết nối mạng riêng ảo tới Router VPN khác Cài đặt một chứng chỉ trên Router VPN : Nếu các Router VPN đang tạo các kết nối L2TP/IPSec hoặc sử dụng xác thực EAP-TLS, các chứng chỉ phải được cài đặt trên Router VPN. Với các kết nối L2TP/IPSec, một chứng chỉ phải được cài đặt trên cả Router gọi và trả lời để cung cấp xác thực cho việc khởi tạo một phiên IPSec. Với xác thực EAP-TLS, một chứng chỉ phải được cài đặt trên Server xác thực(hoặc Router trả lời hoặc một Server RADIUS) và chứng chỉ phải được cài đặt trên Router gọi. 7.1.3.2. Cơ sở hạ tầng Internet Để tạo một kết nối mạng riêng ảo tới một Router trả lời qua Internet, ta cần đảm bảo rằng trình phân giải tên, IP và định tuyến, các dịch vụ được cấu hình và hoạt động đúng. Ta cần nhớ ba vấn đề chính cho việc thiết lập các kết nối thành công: - Tên của Router trả lời phải có khả năng phân giải được - Có khả năng kết nối tới được Router trả lời - Luồng lưu lượng VPN phải được cho phép và từ Router trả lời 1. Trình phân giải tên của Router trả lời Trong khi nó có khả năng để cấu hình các giao diện với các tên của các Router trả lời với một kết nối nào được tạo, ta nên sử dụng địa chỉ các IP hơn là các tên. Sử dụng địa chỉ IP thay cho tên loại bỏ được một số sự phức tạp trong cài đặt và kiểm thử. 2. Khả năng kết nối tới được Router trả lời Để có thể kết nối tới được, Router trả lời phải được gán một địa chỉ IP công cộng để những gói dữ liệu được chuyển tiếp bởi cơ sở hạ tầng định tuyến của Internet. Nếu ta đã gán một địa chỉ IP tĩnh công cộng từ một ISP hoặc một cơ quan đăng ký Internet, thì điều này không phải là một vấn đề. Trong một số cấu hình, Router trả lời được gán chính xác với một địa chỉ IP riêng và có một địa chỉ IP tĩnh được công bố trên Internet. Một thiết bị dịch chuyển địa chỉ mạng giữa Internet và Router trả lời để dịch chuyển địa chỉ IP hiện thời và đã công bố của Router trả lời trong các gói dữ liẹu tới và từ Router trả lời. Trong khi cơ sở hạ tầng định tuyến có thể thay thế, Router trả lời có thể không kết nối tới được vì sự bố trí của các Firewall, các Router lọc gói, các bộ dịch chuyển địa chỉ mạng, các cổng nối bảo mật hay các loại thiết bị khác ngăn chặn các gói dữ liệu đang được gửi hoặc nhận từ Router trả lời. Và như vậy, nếu Router trả lời được bảo vệ bởi bất kỳ tuỳ chọn nào trong số trên, ta cần đảm bảo rằng việc cấu hình và kiểm thử thích hợp có thể được thực hiện để đảm bảo việc xử lý các gói thích hợp bởi các thiết bị mạng này. 3. Các Router VPN và cấu hình Firewall Có 3 cách tiếp cận điển hình về việc sử dụng một Firewall với một Router VPN. - Router VPN được gắn kết trực tiếp tới Internet, và Firewall là giữa Router VPN và nhánh mạng. Trong cấu hình này, Router VPN phải được cấu hình với các bộ lọc gói chỉ cho phép luồng lưu lượng VPN vào và ra của giao diện Internet của nó. Firewall có thể được cấu hình để cho phép các loại xác định của luồng lưu lượng thuộc nhánh mạng trong. - Firewall và Server VPN là thực thể giống nhau, trong trường hợp này, Server sẽ xử lý cả hai chức năng. Ngoài ra còn một số vấn đề về giao thức xác thực và các giao thức mạng riêng ảo 7.1.3.3. Cơ sở hạ tầng mạng chi nhánh Cơ sở hạ tầng của mạng chi nhánh là một phần tử quan trọng của thiết kế VPN. Các Router gọi không thể chuyển tiếp các gói mà không có cơ sở hạ tầng định tuyến thích hợp được đặt vào vị trí thích hợp . Site – to – Site được minh hoạ như trong hình 7.1 Hình 7.1 Các thành phần của mạng riêng ảo Site – to – Site Các thành phần chính là: - Các Router VPN - Cơ sở hạ tầng mạng Internet -. DD_B DD_A 7.1.3. Các thành phần của mạng riêng ảo Site – to – Site Không giống với mạng riêng ảo truy cập từ xa, các liên kết Site – to – Site đòi hỏi cả hai phía của liên kết phải có một tập. chi nhánh - Cơ sở hạ tầng AAA - Cơ sở hạ tầng chứng chỉ 7.1.3.1. Các Router VPN Các Router VPN là các Server kiểm soát tất cả các hoạt động kết nối từ xa của liên kết Site – to – Site. Chúng