Khi PFSense đƣợc sử dụng để quản trị một hệ thống mạng phức tạp (số
ngƣời dùng lớn và động; mạng cần chia tách thành nhiều vùng, vân vân) thì
PFSense bộc lộ các nhƣợc điểm sau:
Hạn chế khi số lƣợng ngƣời dùng lớn
Nếu số lƣợng ngƣời dùng là rất lớn (>(trên 500) và ngƣời dùng của mạng thay đổi thƣờng xuyên, Ssử dụng tính năng cấu hình DHCP của PFSense để quản lý cấp phát địa chỉ IP tốn chi phí rất cao vì PFSense chỉ cung cấp cách thức cấu hình đơn lẻ cho từng trƣờng hợp.
Ví dụ: Ở Học viên CSND, một kỳ có khoảng 1000 học viên nhập học và khoảng 1000 học viên ra trƣờng, để thay đổi cấu hình mạng cho các học viên sử dụng tốn khoảng (4 ngƣời) * (4 tuần).
Hạn chế khi nhu cầu truy cập hệ thống mạng phức tạp.
Nếu Khi ngƣời dùng có nhu cầu sử dụng mạng tại nhiều vị trí ở khoảng
cách xa nhau, hệ thống mạng phải đƣợc phân tách thành nhiều VLAN độc lập theo khoảng cách địa lý. Để cấu hình cho yêu cầu nhƣ vậy, Số số lần thay đổi địa chỉ bằng thực hiện cấu hình cho ngƣời dùng sẽ là số lƣợng tƣơng ứng với các
VLAN mà mà ngƣời dùng đó muốn truy cập. Điều này dẫn đến tổng số lƣợng
các thao tác cấu hình của toàn bộ tập ngƣời dùng sẽ là : (số VLAN) x * (số
ngƣời sử dụng).
Ví dụ: Ở Học viên CSND, do tính đặc thù của môi trƣờng học tập rèn luyện nên Học viện học tập và sinh hoạt tập trung tại trƣờng, do vậy nhu cầu truy cập mạng của 1 học viên trung bình khoảng 3 vị trí (KTX, Giảng đƣờng, Thƣ viện).
Khó quy hoạch địa chỉ cho tập ngƣời dùng động.
Khi hệ thống mạng đòi hỏi xây dựng các luật truy xuất tài nguyên cho từng nhóm đối tƣợng khác nhau trong một hệ thống mạng hỗn hợp ngƣời sử dụng, Khó khăn trong việc quy hoạch phân bổ địa chỉ IP trở nên phức tạp và
khó khăn. xuất phát từ những lý do sau:
Do việc xây dựng các luật truy xuất dựa vào cách tổ chức các địa chỉ IP thành từng nhóm khác nhau. Cho nên khi thay đổi cấu hình một cách đơn lẻ và thƣờng xuyên với số lƣợng lớn là rất dễ mắc sai sót, nhầm lẫn.
Xung đột xảy ra khi 2 quản trị viên cùng cập nhật.
Các địa chỉ IP rất dễ bị trùng lặp khiến những ngƣời dùng bị trùng IP không thể dùng mạng đồng thời.
Kết luận chƣơng 2
Nội dung chƣơng này tập chung giới thiệu về hệ thống tích hợp mã nguồn mở PFSense và các dịch vụ của nó. Thông qua nội dung này chúng tôi muốn nhấn mạnh tính ƣu việt của hệ thống PFSense trong việc quản lý ngƣời dùng đối với một hệ thống mạng lớn, nhiều ngƣời sử dụng, sử dụng nhiều dịch vụ khác nhau nhƣ xác thực, truy cập từ xa, quản lý băng thông, định tuyến, vân vân và đòi hỏi tính bảo mật cao.
Cũng trong nội dung chƣơng này chúng tôi đƣa ra các đánh giá về ƣu, nhƣợc điểm của dịch vụ DHCP trong PFSense, là dịch vụ phổ biến và rất quan trọng trong bất kỳ một hệ thống mạng nào dựa trên tính năng MAC filter của nó. Việc cải tiến dịch vụ DHCP trong PFSense thông qua công cụ PFSenseMan nhằm đáp ứng tốt hơn về mặt thời gian, tổ chức, công sức của ngƣời quản trị là mục tiêu của luận văn này. Nội dung chƣơng 3 tập chung vào việc phân tích bài toán cụ thể và các vấn đề khi xây dựng công cụ PFSenseMan.
Formatted: Indent: First line: 0.39", No bullets or numbering
CHƢƠNG 3 ĐỀ XUẤT VÀ THỰC HIỆN
Các kết quả nghiên cứu, so sánh ở Chƣơng 1 và Chƣơng 2 đã cho thấy PFSense là một hệ thống tích hợp mạnh mẽ, miễn phí, hỗ trợ nhiều tính năng quản lý truy cập trong đó tính năng quản lý cấp phát địa chỉ động DHCP có nhiều ƣu điểm hơn so với những giải pháp sử dụng các sản phẩm thƣơng mại, mã nguồn mở khác. Tuy vậy nó cũng tồn tại những nhƣợc điểm khiến cho việc quản lý cấp phát địa chỉ tốn nhiều thời gian công sức của ngƣời quản trị do vậy nội dung chƣơng này đề xuất phƣơng án triển khai hệ thống tƣờng lửa trên nền tảng của PFSense và xây dựng công cụ PFSenseMan bổ trợ cho tính năng DHCP của PFSense nhằm tối ƣu hóa công tác quản lý truy cập.