Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở Văn phòngchính, các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối nhưvăn phòng tại gia hoặc người sử dụng Nhân viên d
Trang 1HỌC VIỆN KỸ THUẬT QUÂN SỰ KHOA CÔNG NGHỆ THÔNG TIN
ĐỒ ÁN MÔN HỌC
KỸ THUẬT LIÊN MẠNG
Giáo viên hướng dẫn : Nguyễn Hoàng Sinh
Đề tài : Tìm hiểu, Thiết kế và triển khai dịch vụ VPN Client to site cho Doanh
nghiệp,công ty nhỏ
Sinh viên thực hiện :
Phạm Văn Tùng
Hà nội 12/2015
Trang 2HỌC VIỆN KỸ THUẬT QUÂN SỰ KHOA CÔNG NGHỆ THÔNG TIN
ĐỒ ÁN MÔN HỌC
KỸ THUẬT LIÊN MẠNG
Giáo viên hướng dẫn : Nguyễn Hoàng Sinh
Đề tài : Tìm hiểu, Thiết kế và triển khai dịch vụ VPN Client to site cho Doanh
nghiệp,công ty nhỏ
Sinh viên thực hiện :
Phạm Văn Tùng
Hà nội 12/2015
Trang 3CHƯƠNG 1 TỔNG QUAN VỀ CÔNG NGHỆ VPN (VIRTUAL PRIVATE
truyền này giới hạn từ ISDN (128Kbps) đến đường cáp quang OC3 (Optical
carrier-3, 155Mbps) Mỗi mạng WAN đều có các điểm thuận lợi trên một mạng công cộng như internet trong độ tin cậy, hiệu năng và tính an toàn, bảo mật
Nhưng để bảo trì một mạng WAN, đặc biệt khi sử dụng các đường truyền riêng,
có thể trở lên quá đắt khi doanh nghiệp muốn mở rộng các chi nhánh
Khi tính phổ biến của internet gia tăng, các doanh nghiệp đầu tư vào nó như
phương tiện quảng bá và mở rộng các mạng mà họ sở hữu Ban đầu là các mạng nội bọ (Intranet) mà các site được bảo mật bằng mật khẩu được thiết kế cho việc
sử dụng bởi các thành viên trong công ty
Hiện nay giải pháp VPN (Virtual Private Network) được thiết kế cho những
tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian
Hình 1: Mô hình mạng VPN cơ bản
Trang 4Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòngchính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (nhưvăn phòng tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bênngoài.
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với mộtmạng LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp nhưđường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internetgiữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa
Có nhiều khái niệm khác nhau về mạng riêng ảo VPN (Virtual PrivateNetwork) tuỳ thuộc vào hình thức tổ chức mạng và thiết bị của nhà cung cấp.Nếu xét theo góc độ đơn giản nhất thì dịch vụ VPN là mạng được cấu thànhbởi các kênh ảo (không cố định) nhằm truyền tải lưu lượng thông tin cho một tổchức riêng rẽ Đối tượng dịch vụ chính của VPN là các doanh nghiệp, các tổchức có nhu cầu thiết lập mạng dùng riêng
1.2 Chức năng của VPN
VPN cung cấp ba chức năng chính:
- Sự tin cậy (Confidentiality) : Người gửi có thể mã hóa các gói dữ liệu trướckhi truyền qua mạng Bằng cách làm như vậy, không một ai có thể truy cậpthông tin mà không được phép Và nếu có lấy được thì cũng không đọcđược
- Tính toàn vẹn (Data Integrity) : Người nhận có thể kiểm tra rằng dữ liệu đã
Trang 5được truyền qua mạng Internet mà không có sự thay đổi nào.
- Xác thực nguồn gốc (Origin Authentication) : Người nhận có thể xác thực
nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin
- Mã hóa (Encryption): Chắc chắn gói tin không bị đọc bởi bất kỳ ai nhưng
có thể đọc được bỏi người nhận Khi mà càng ngày càng có nhiều thông tinlưu thông trên mạng thì sự cần thiết đối với việc mã hóa thông tin càng trởlên quan trọng Mã hóa sẽ biến đổi nội dung thông tin thành một văn bản
Trang 6mật mã mà nó trở nên vô nghĩa trong dạng mật mã đó Chức năng giải mã
để khôi phục văn bản mật mã thành nội dung thông tin có thể dùng đượccho người nhận Mã hóa là tính năng tùy chọn nó cũng đóng góp vào đặcđiểm riêng tư của VPN
2. PHÂN LOẠI VPN
Có 2 cách chủ yếu sử dụng các mạng riêng ảo VPN Trước tiên, các mạngVPN có thể kết nối hai mạng với nhau Điều này được biết đến như một mạngkết nối LAN to LAN VPN hay mạng kết nối site to site VPN Thứ hai, mộtVPN truy cập từ xa có thể kết nối người dùng từ xa tới mạng
Ngày nay VPNs đã phát triển và phân chia thành ba kiểu VPN chính như sau
- Remote Access VPNs
- Intranet VPNs
- Ixtranet VPNs
2.1 VPN truy cập từ xa (Remote Access)
Remote Access, hay còn gọi là virtual private dial-up network (VPDN).Cung cấp các truy cập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạtầng chia sẻ Access VPN, đây là kết nối user to LAN dành cho nhân viênmuốn kết nối
Trang 7từ xa đến mạng cục bộ công ty bằng dial-up Khi công ty muốn thiết lập Remoteaccess trên qui mô rộng, có thể thuê một ESP (Enterprise Service Provider) vàESP này sẽ thiết lập một NAS (Network Access Server), người dùng từ xa sẽquay số truy cập đến NAS và dùng một phần mềm VPN đầu cuối để kết nốivới mạng cục bộ của công ty Đường truyền trong Access VPN có thể là tương
tự, quay số, ISDN, các đường thuê bao số (DSL)
Hình 2 Mô hình VPN truy cập từ xa 2.2 VPN điểm nối điểm (Site to Site)
Đây là cách kết nối nhiều văn phòng trụ sở xa nhau thông qua các thiết bị chuyêndụng và một đường truyền được mã hoá ở qui mô lớn hoạt động trên nềnInternet Site to Site VPN gồm 2 loại:
Các VPN nội bộ (Intranet VPN )
Đây là kiểu kết nối site to site VPN Các chi nhánh có riêng một Sever VPN vàkết nối lại với nhau thông qua Internet Và các chi nhánh này sẽ kết nối lại vớinhau thành một mạng riêng duy nhất (Intranet VPN) và kết nối LAN to LAN
Trang 8Các VPN mở rộng ( Extranet VPN )
Khi một công ty có quan hệ mật thiết với công ty khác (ví dụ như một đối tác,nhà cung cấp hay khách hàng) họ có thể xây dựng một extranet VPN nhằm kếtnối Lan to Lan và cho phép các công ty này cùng làm việc trao đổi trongmột môi trường chia sẻ riêng biệt (tất nhiên vẫn trên nền Internet)
Hình 30 Mô hình VPN điểm nối điểm
Server VPN cao cấp dành cho dịch vụ Dial-up
NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người sử dụng từ xa
Mạng VPN và trung tâm quản lý
Trang 92.3 Bộ xử lý trung tâm VPN
Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm củaCisco tỏ ra vượt trội ở một số tính năng Tích hợp các kỹ thuật mã hóa và thẩmđịnh quyền truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kế chuyênbiệt cho loại mạng này Chúng chứa các module xử lý mã hóa SEP, cho phépngười sử dụng dễ dàng tăng dung lượng và số lượng gói tin truyền tải Dòngsản phẩm có các model thích hợp cho các mô hình doanh nghiệp từ nhỏ đếnlớn (từ100 cho đến 10.000 điểm kết nối từ xa truy cập cùng lúc)
Hình 3 Bộ xử lý trung tâm VPN Cisco 3000 2.4 Router dùng cho VPN
Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật Dựa trên hệ điềuhành Internet IOS của mình, hãng Cisco phát triển loại router thích hợp cho mọitrường hợp, từ truy cập nhà tới văn phòng cho đến nhu cầu của các doanhnghiệp quy mô lớn
Hình 4 Router Cisco
Trang 102.5 Tường lửa PIX của Cisco
Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chếdịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN
và chặn truy cập bất hợp pháp
Hình 5 Bộ Cisco PIX Firewall
Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao,
xoay sở được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào IP
2.6 CÁC YÊU CẦU CƠ BẢN ĐỐI VỚI MỘT GIẢI PHÁP VPN
Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo
2.6.1 Tính tương thích
Tính tương thích (Compatibility): Mỗi công ty, mỗi doanh nghiệp đều được xâydựng các hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tục khácnhau và không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ Rấtnhiều các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậy không thểkết nối trực tiếp với Internet Để có thể sử dụng được IP VPN tất cả các hệthống mạng riêng đều phải được chuyển sang một hệ thống địa chỉ theo chuẩn
sử dụng trong Internet cũng như bổ sung các tính năng về tạo kênh kết nối ảo,cài đặt cổng kết nối Internet có chức năng trong việc chuyển đổi các thủ tục khácnhau sang chuẩn IP 77% số lượng khách hàng được hỏi yêu cầu khi chọn mộtnhà cung cấp dịch vụ IP VPN phải tương thích với các thiết bị hiện có của họ
Trang 112.6.2 Tính bảo mật
Tính bảo mật (Security): Tính bảo mật cho khách hàng là một yếu tố quan trọngnhất đối với một giải pháp VPN Người sử dụng cần được đảm bảo các dữliệu thông qua mạng VPN đạt được mức độ an toàn giống như trong một hệthống mạng dùng riêng do họ tự xây dựng và quản lý Việc cung cấp tính năngbảo đảm an toàn cần đảm bảo hai mục tiêu sau:
+ Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người
sử dụng trong mạng và mã hoá dữ liệu khi truyền
+ Đơn giản trong việc duy trì quản lý, sử dụng Đòi hỏi thuận tiện và đơn giảncho người sử dụng cũng như nhà quản trị mạng trong việc cài đặt cũng như quảntrị hệ thống
2.6.3 Tính khả dụng
Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấpđược tính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dunglượng truyền Tiêu chuẩn về chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá củamột mạng lưới có khả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đếnđầu cuối QoS liên quan đến khả năng đảm bảo độ trễ dịch vụ trong một phạm
vi nhất định hoặc liên quan đến cả hai vấn đề trên
Trang 122.6.4 Khả năng hoạt động tương tác
Mặc dù VPN đã xuất hiện trên thị trường khoảng 2 năm trở lại đây nhưng cáctiêu chuẩn liên quan đến dịch vụ này vẫn chưa được tiêu chuẩn hoá một cáchtoàn diện, các nhà sản xuất thiết bị vẫn phát triển các chuẩn kỹ thuật riêng củamình Vì vậy cần chú ý việc lựa chọn thiết bị nào trong khi phát triển mạng riêng
ảo, cũng như đảm bảo tính đồng bộ của thiết bị sử dụng Trên thế giới hiện
có tới 60 giải pháp khác nhau liên quan đến VPN
2.7 THIẾT LẬP KẾT NỐI TUNNEL
2.7.1 Các loại giao thức
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạngriêng trên nền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tin vàotrong một lớp tiêu đề (header) chứa thông tin định tuyến có thể truyền qua hệthống mạng trung gian theo những "đường ống" riêng (Tunnel) Khi gói tin đượctruyền đến đích, chúng được tách lớp tiêu đề và chuyển đến các máy trạm cuốicùng cần nhận dữ liệu Để thiết lập kết nối Tunnel, máy khách và máy chủ phải
sử dụng chung một giao thức (Tunnel Protocol)
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhậnbiết Hai điểm đầu cuối này được gọi là giao diện Tunnel (Tunnel Interface), nơigói tin đi vào và đi ra trong mạng
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
+ Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng
có thông tin đang đi qua
Trang 13+ Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
+ Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc đượctruyền đi (như IPX, NetBeui, IP)
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trênInternet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet.Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bêntrong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạngriêng trên Internet
2.7.2 Kỹ thuật Tunneling trong mạng VPN
2.7.2.1 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa
Tunneling là một phần quan trọng trong việc xây dựng một mạng VPN , nó thường dùng giao thức điểm nối điểm PPP (Point to Point Protocol) Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa Các chuẩn truyền thông
sử dụng để quản lý các Tunnel và đóng gói dữ liệu của VPN Nói tóm lại, kỹthuật
Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP
Hình 6 Mô hình Tunneling truy cập từ xa
Trang 142.7.2.2 Kỹ thuật Tunneling trong mạng VPN điểm nối điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic RoutingEncapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol)
để truyền đi trên giao thức truyền tải (Carier Protocol) Nó bao gồm thông tin vềloại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máykhách Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóngvai trò là giao thức mã hóa IPSec hoạt động tốt trên cả hai loại mạng VPN truycập từ xa và điểm nối điểm Tất nhiên, nó phải được hỗ trợ ở cả hai giao diệnTunnel
Hình 7 Mô hình Tunneling điểm nối điểm
Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chínhqua máy chủ truy cập, tới Router (tại đây giao thức mã hóa GRE diễn ra), quaTunnel để tới máy tính của văn phòng từ xa
Trang 152.8 CÁC GIAO THỨC SỬ DỤNG TRONG VPN
Hiện nay có ba giao thức chính dùng để xây dựng VPN là:
2.8.1 Giao thức định đường hầm điểm nối điểm PPTP (Point to Point
Giao thức định đường hầm điểm - điểm PPTP (Point – to – Point TunnelingProtocol) được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTPforum Nhóm này bao gồm 3Com, Ascend comm, Microsoft, ECITelematicsunication và US robotic Ý tưởng cơ sở cho giao thức này là táchcác chức năng chung và riêng của truy cập từ xa, lợi dụng lợi ích của cơ sở hạtầng Internet sẵn có để tạo kết nối bảo mật giữa client và mạng riêng Ngườidùng ở xa chỉ việc quay số đến nhà cung cấp dịch cụ ISP địa phương là có thểtạo một đường hầm bảo mật tới mạng riêng của họ
Giao thức quay số truy cập vào Internet phổ biến nhất là giao thức điểm điểm PPP (Point to Point Protocol) PPTP được xây dựng dựa trên chức năngcủa PPP, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mậtthông qua Internet đến site đích PPTP sử dụng giao thức bọc gói định tuyến
Trang 16-chung GRE (Generic Routing Encapsulation) được mô tả lại để đóng và tách góiPPP, giao thức này cho phép PPTP mềm dẻo xử lý các giao thức khác khôngphải là IP như IPX, NETBEUI chẳng hạn.
Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp thứ 2 (lớp liên kết dữliệu) trong khi IPSec chạy ở lớp thứ 3 Bằng cách hỗ trợ việc truyền dữ liệu ởlớp 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trongkhi
IPSec chỉ có thể truyền các gói IP trong đường hầm
Hình 8 Giao thức PPTP 2.8.2 Giao thức định đường hầm lớp 2 - L2TP ( Layer 2 TunnelingProtocol )
Đây là giao thức chuẩn của IETF (Internet Engineering Task Force) sử dụng kỹthuật khoá công cộng (public key technology) để thực hiện việc xác thực ngườidùng và có thể hoạt động thông qua một môi trường truyền thông đa dạng hơn
so với PPTP Một điểm đáng lưu ý là L2TP không thể sử dụng để thực hiện mãhoá Microsoft bắt đầu cung cấp L2TP như một phần của RAS trong hệđiều hành Windows 2000
Trang 17Hình 9 Giao thức L2TP 2.8.3 Giao thức bảo mật IP – Ipsec
Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hoá Lợi điểm lớnnhất của IPSec là giao thức này có thể được sử dụng để thiết lập một VPN mộtcách tự động và thích hợp với chính sách bảo mật tập trung và có thể sử dụng
để thiết lập một VPN dựa trên cơ sở các máy tính mà không phải là người dùng.IPSec được cung cấp như một phần trong hệ điều hành Windows NT 4.0 vàWindow 2000
Hình 10 Giao thức IPSec
Ngoài ra còn có giao thức chuyển tiếp lớp 2 L2F (Layer 2 Forwarding) là cơ sở
để xây dựng nên L2TP
2.9 LỢI ÍCH CỦA VPN
Trang 182.9.1 Đối với khách hàng
+ Giảm thiểu chi phí sử dụng so với việc kết nối mạng diện rộng dùng các kênhthuê riêng Theo thống kê thực tế chi phí sử dụng cho mạng riêng ảo chỉbằng 60% so với chi phí của việc dùng kênh kết nối riêng Ðiều này đặc biệt
có ý nghĩa lớn đối với các công ty đa quốc gia, thông qua mạng riêng ảo giúpkhách hàng giảm thiểu thời gian và đáp ứng nhu cầu làm việc trực tuyến
+ Giảm thiểu thiết bị sử dụng
+ Giảm thiểu chi phí kênh kết nối đường dài
+ Giảm thiểu việc thiết kế và quản lý mạng
+ Giảm thiểu việc lãng phí băng thông, khách hàng có khả năng trả theo cướclưu lượng sử dụng
+ Quản lý dễ dàng : Khách hàng có khả năng quản lý số lượng người sử dụng (khả năng thêm, xoá kênh kết nối liên tục, nhanh chóng) Hiện nay nhu cầu sử dụng tư vấn từ bên ngoài, các nguổn lực từ bên ngoài để phục vụ cho công tác kinh doanh đã trở thành một xu hướng Tổ chức IDC dự đoán nhu cầu sử dụng các dịch vụ quản lý mạng từ bên ngoài tăng từ 2,4 tỷ trong năm 1998 lên 4,7 tỷ trong năm 2002
2.9.2 Đối với nhà cung cấp dịch vụ
Trang 19+ Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ giatăng giá trị khác kèm theo.
+ Tăng hiệu quả sử dụng mạng Internet hiện tại
+ Kéo theo khả năng tư vấn thiết kết mạng cho khách hàng đây là một yếu tốquan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hangđặc biệt là các khách hàng lớn
+ Ðầu tư không lớn hiệu quả đem lại cao
+ Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ: Thiết bị sử dụng cho mạng VPN
2.10 ƯU ĐIỂM VÀ NHƯỢC ĐIỂM
2.10.1 Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho công ty Có thể dùng VPN đểđơn giản hóa việc truy cập đối VPN với các nhân viên làm việc và người dùnglưu động, mở rộng Intranet đến từng văn phòng chi nhánh, thậm chí triển khaiExtranet đến tận khách hàng và các đối tác chủ chốt và điều quan trọng lànhững công việc trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị vàđường dây cho mạng WAN riêng
+ Giảm chi phí thường xuyên : VPN cho phép tiết kiệm 60% chi phí so với
thuê đường truyền và giảm đáng kể tiền cước gọi đến của các nhân viên làmviệc ở xa Giảm được cước phí đường dài khi truy cập VPN cho các nhân viên
di động và các nhân viên làm việc ở xa nhờ vào việc họ truy cập vào mạngthông qua các điểm kết nối POP (Point of Presence) ở địa phương, hạn chế gọiđường dài đến các modem tập trung
Trang 20+ Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định
tuyến cho mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy cậpbởi vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ Công
ty cũng không phải mua, thiết lập cấu hình hoặc quản lý các nhóm modem phứctạp
+ Truy cập mọi lúc, mọi nơi: Các Client của VPN cũng có thể truy cập tất cả
các dịch vụ như www, e-mail, FTP … cũng như các ứng dụng thiết yếu khác
mà không cần quan tâm đến những phần phức tạp bên dưới
+ Khả năng mở rộng : Do VPN sử dụng môi trường và các công nghệ
tương tự Internet cho nên với một Internet VPN, các văn phòng, nhóm và cácđối tượng di động có thể trở nên một phần của mạng VPN ở bất kỳ nơi nào
mà ISP cung cấp một điểm kết nối cục bộ POP
2.10.2 Nhược điểm
Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanhnghiệp Tuy nhiên VPN không phải không có nhược điểm, mặc dù khôngngừng được cải tiến, nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mậtnhưng dường như đó vẫn là một vấn để khá lớn của VPN
Vì sao vấn đề bảo mật lại lớn như vậy đối với VPN? Một lý do là VPN đưa cácthông tin có tính riêng tư và quan trọng qua một mạng chung có độ bảo mật rấtkém ( thường là Internet) Lý do bị tấn công của VPN thì có vài lý do sau : sựtranh đua giữa các công ty, sự tham lam muốn chiếm nguồn thông tin, sự trả
Trang 21thù, cảm giác mạnh…
QoS cho VPN cũng là một vấn đề đau đầu Hai thông số về QoS cho mạng là
độ trễ và thông lượng Ta biết rằng VPN chạy trên một mạng chung Internet
Mà đặc thù của mạng Internet là mạng có cấu trúc đơn giản, lưu lượng tin lớn,khó dự đoán cũng chính vì thế mà việc quản lý chất lượng cho từng dịch vụ làrất khó khăn Thường QoS trên Internet chỉ là best effort
Khả năng quản lý cũng là vấn đề khó khăn của VPN Cũng với lý do là chạyngang qua mạng Internet nên khả năng quản lý kết nối end to end từ phía mộtnhà cung cấp đơn lẻ là điều không thể thực hiện được Vì thế nhà cung cấpdịch vụ (ISP) không thể cung cấp chất lượng 100% như cam kết mà chỉ có thể
cố hết sức Cũng có một lối thoát là các nhà cung cấp ký kết với nhau các bảnthoả thuận về các thông số mạng, đảm bảo chất lượng dịch vụ cho khách hàng.Tuy nhiên các cam kết này cũng không đảm bảo 100%