Giống như bất kỳ thiết lập mạng nào, một mạng riêng ảo phải có khả năng thích ứng với bất kỳ sự thay đổi nào trong tương lai do các yêu cầu và sự phát triển của một tổ chức. Điều này đặc biệt đúng trong trường hợp các mạng riêng ảo thương mại gồm nhiều nhánh mạng. Bản thiết kế của ta sẽ xác định phạm vi của sự phát triển tương lai cũng như số lượng kết nối có thể được hỗ trợ bởi mạng riêng ảo hiện thời và tổng chi phí thực thi. Và như vậy, ta nên lựa chọn bản thiết kế mạng riêng ảo cẩn thận trước khi đi đến pha thực thi Trong hầu hết các trường hợp, thiết lập thương mại được bao gồm một sự cấu hình tập trung hoá, nơi mạng chính của tổ chức hoạt động như một “Hub” của tất các các nhánh từ xa. Trong cấu hình này, mỗi nhánh mạng từ xa được kết nối với nhánh mạng chính qua một kết nối mạng riêng ảo, như trong hình 5.3 Hình 5.3 Mỗi nhánh mạng từ xa kết nới tới mạng trung tâm qua một mạng riêng ảo Cấu hình được mô tả như trong hình 5.3 có khả năng mở rộng rất cao và dễ dàng thích ứng với các kết nối mạng riêng ảo từ bất kỳ nhánh mạng từ xa mới nào mà không gặp phải nhiều vấn đề và ảnh hưởng đến các nhánh khác. Chỉ cần sửa đổi tại mạng trung tâm. Vấn đề lớn gắn liền với mô hình này là nếu mạng trung tâm bị down, thì tất cả các kết nối cũng bị down. Ngoài ra, tất cả truyền thông được định tuyến qua mạng trung tâm, làm tăng overhead cho lưu lượng tại vị trí trung tâm. Thêm vào đó, một sự giảm hiệu suất của mạng trung tâm có thể ảnh hưởng tiêu cực tới hiệu suất của tất cả các nhánh mạng khác, làm giảm hiệu suất của toàn mạng Cấu hình có thể khác là một cấu hình tương tự dạng vòng, trong đó mỗi nhánh mạng từ xa được kết nối tới trực tiếp với nhánh mạng kế cận nó. Cấu hình này được mô tả như trong hình 5.4. Đầy là cấu hình chỉ có khả năng mở rộng ở một mức độ nhất định nếu số lượng nhánh mạng trong vòng quá lớn, hiệu suất của toàn mạng Intranet bị giảm sút một cách đáng kể. Hình 5.4 Mỗi một nhánh mạng kết nối tới nhánh Intranet kế cận qua mạng riêng ảo Một sự lựa chọn khác với cấu hình mạng riêng ảo tập trung là cấu hình tương tự mạng lưới, trong đó mỗi nhánh mạng được kết nối tới tất các các mạng từ xa khác. Hình 5.5 mô tả mô hình cấu hình này. Thiết lập này, dù dắt và khó để cài đặt và duy trì, nhưng tránh vấn đề “điểm đơn bị lỗi” và đảm bảo rằng một mạng không thể ảnh hưởng đến hiệu suất của các mạng được kết nối khác. Hơn nữa, mặc dù khả năng mởi rộng rất cao, thực tế việc thực thi mở rộng là khác khó khăn và tốn nhiều thời gian Hình 5.5 Mỗi nhánh từ xa được kết nối với tất cả nhánh khác trong một Intranet qua một mạng riêng ảo. Khả năng liên tác là một vấn đề quan trọng khác cần lưu ý lúc lựa chọn các phần từ của mạng riêng ảo, đặc biệt việc xem xét rằng những người quản trị hướng tới các sản phẩm thích hợp và tích hợp được đề xuất bởi những nhà cung cấp khác nhau để giảm tổng chi phí thực thi. Những sản phẩm được đề xuất bởi các nhà cung cấp khác có thể không liên tác bằng, vì vậy ta nên kiểm tra tính tương thích và liên tác của tất cả các sản phẩm mạng riêng ảo trước khi thực thi chúng trong mạng riêng ảo của chúng ta. Một điểm khác là ta nên nhớ với việc quan tâm đến tính liên tác đó là sản phẩm VPN mà ta chọn phải làm việc suôn sẻ với nhiều nền khác nhau. Dù điều này có thể có vẻ như một sự lãng phí tiền bạc tại thời điểm này, đặc biệt nếu mạng Intranet của ta sử dụng chỉ với một số Platform, nhưng chiến lược này sẽ có ích cho ta lúc mở rộng và phát triển mạng riêng ảo. Ta phải có một ý tưởng tổng quát trong việc xem xét khi thiết kế một giải pháp mạng riêng ảo, có thể xem xét ba môi trường thực thi mạng riêng ảo thông dụng nhất và các đặc tính của chúng 5.2 Các môi trường mạng riêng ảo riêng lẻ Như trong chương I “Tổng quan về mạng riêng ảo” đã giới thiệu, tùy thuộc vào chiến lược truy cập, mạng riêng ảo có thể được phân thành các loại như: Mạng riêng ảo truy cập từ xa, Mạng riêng ảo cục bộ, và Mạng riêng ảo mở rộng. Xem xét mỗi môi trường truy cập mạng riêng ảo này là điều kiện tốt để hiểu rõ các vấn đề mà ta phải đối mặt với mỗi môi trường. 5.2.1. Mạng riêng ảo truy cập từ xa Môi trường mạng riêng ảo truy cập từ xa cho phép các Client từ xa, như các Client hay người dùng di động có thể truy cập tới mạng Intranet của công ty một cách an toàn qua mạng Internet mà không phải dựa trên các kế nối quay số đầu cuối - đến - đầu cuối, như minh hoạ trong hình 5.6 Các vấn đề có thể nảy sinh với môi trường này như sau: - Bảo mật: Tốt nhất là cài đặt bộ định tuyến “sau” Firewall và cấu hình các Router chuyển tất cả dữ liệu đường hầm tới Firewall - Lược đồ đánh địa chỉ: ISP cấp phát động các địa chỉ IP tới các Client từ xa này vì chúng sử dụng một kết nối quay số tới POP của ISP(không phải đến Intranet). Kết quả là, máy chủ mạng riêng ảo đặt trong mạng Intranet phải hỗ trợ khả năng định danh các Client này. Hơn nữa việc thiết lập máy chủ DNS như đã thảo luận trong phần trước “Các xem xét liên quan đến DNS”, ta có thể giải quyết vấn đề này bằng các sử dụng IPSec. IKE, là một giao thức bến thứ ba được hỗ trợ bời IPSec, hỗ trợ khả năng định danh các Client từ xa qua các địa chỉ IP dưới dạng tên của chúng hơn là các địa chỉ IP dưới dạng số - Phân phối khoá: Phân phối khoá không bao giờ nên xẩy ra ở dạng bản rõ. Một cơ chế phân phối khoá tự điều chỉnh, như IKE nên được sử dụng nếu số lượng Client từ xa lớn. Trong trường hợp số lượng Client từ xa giới hạn, quản lý khoá một cách thủ công cũng có thể thực hiện được. Tuy nhiên, thực tế việc quản lý khoá một cách thủ công không được khuyến cáo vì xác suất xẩy ra việc mật khoá là khá cao. - Mã hoá và xác thực dữ liệu: Đây là điều rất quan trọng, dữ liệu được trao đổi giữa Server và Client được mã hoã cũng như được xác thực. Thêm vào đó, ta nên thiết lập các bộ lọc gói và chính sách bảo mật nghiêm ngặt để đảm bảo rằng các thiết bị ngoại vi như Router, Gateway hoặc Firewall sẽ từ chối dữ liệu không được xác thực hoặc không được mã hoá. Thậm chí, thông tin định tuyến giữa các Router và Gatewal cũng nên được mã hoá và xác thực - Đường hầm: Thiết lập trực tiếp các đường hầm giữa các Host từ xa và máy chủ mạng riêng ảo là thích hợp. Dù điều này làm tăng tính an toàn, đặc biệt nếu mức độ tin cậy trong mạng Intranet khong cao, nhưng nó thường phát sinh các Overhead lớn và tương đối khó quản lý. Ta sẽ phải phân tích mức độ trinh cậy trong môi trường Intranet và sau đớ quyết định giữa 2 tuỳ chọn(Các đường hầm giữa người dùng cuối với thiết bị ngoại vi, hoặc đường hầm giữa người dùng cuối với máy chủ mạng riêng ảo) để duy trì một mức an toàn cao - Các giao thức đường hầm: Nếu các Client sử dụng các giao thức đường hầm không IP, các thiết bị mạng riêng ảo ngoại vi như Firewall và Router phải hỗ trợ các giao thức đường hầm thích hợp 5.2.2. Mạng riêng ảo cục bộ Môi trường mạng riêng ảo cục bộ cho phép các nhánh mạng từ xa truy cập các phần khác trong mạng Intranet của tổ chức một cách an toàn qua mạng Internet mà không dựa trên các kênh thuê riêng và các kết nối quay số đầu cuối - tới - đầu cuối. như trong hình 5.7 . về mạng riêng ảo đã giới thiệu, tùy thuộc vào chiến lược truy cập, mạng riêng ảo có thể được phân thành các loại như: Mạng riêng ảo truy cập từ xa, Mạng riêng ảo cục bộ, và Mạng riêng ảo mở. pháp mạng riêng ảo, có thể xem xét ba môi trường thực thi mạng riêng ảo thông dụng nhất và các đặc tính của chúng 5.2 Các môi trường mạng riêng ảo riêng lẻ Như trong chương I “Tổng quan về mạng. mỗi nhánh mạng từ xa được kết nối với nhánh mạng chính qua một kết nối mạng riêng ảo, như trong hình 5.3 Hình 5.3 Mỗi nhánh mạng từ xa kết nới tới mạng trung tâm qua một mạng riêng ảo Cấu