Môi trường mạng riêng ảo chi nhánh cho phép các nhánh mạng từ xa truy cập các phần khác trong mạng Intranet của tổ chức một cách an toàn qua mạng Internet mà không dựa trên các kênh thuê riêng và các kết nối quay số đầu cuối - tới - đầu cuối. như trong hình 5.7
Hình – Thiết lập mạng riêng ảo chi nhánh
Những vấn đề nên được xem xét trong khi thiết kế một giải pháp mạng riêng ảo cho môi trường mạng riêng ảo cục bộ bao gồm:
- Bảo mật: Mặc dù các giao thức không bảo mật cần được thực thì trên các Router và Gateway bên trong, các thiết bị ngoại vi nên hỗ trợ một cơ chế bảo mật, chẳng hạn như IPSec. Hơn nữa, tốt nhất là, các thiết bị ngoại này nên được che dấu “sau” Firewall với các chính sách bảo mật được định nghĩa rõ ràng.
- Lược đồ đánh địa chỉ: Vì thực tế là toàn bộ Intranet thuộc một tổ chức, đánh địa chỉ, việc đánh địa chỉ không phải là vấn đề vì các nhánh mạng từ xa kèm theo lược đồ đánh địa chỉ phong phú được sử dụng trong các phần khác của Intranet. Và như vậy, lược đồ đánh địa chỉ được dùng trong phần còn lại của Intranet có thể được sử dụng, miễn là tất các các địa chỉ trong Intranet là duy nhất. Do vậy, vấn đề đánh địa chỉ ít khi gặp trục trặc trong môi trường này.
- Phân phối khoá: Vì một mạng Intranet được tin cậy rộng rãi, phân phối khoá host – to – host không phải là một nhu cầu chính. Tuy nhiên, các khoá sẽ được trao đổi giữa các điểm dễ bị tấn công trong mô hình thiết lập này, cụ thể là
các thiết bị ngoại vi như Router, Gateway. Với mục đích này, một cơ chế quản lý và trao đổi khoá một cách tự động và an toàn, chẳng hạn như IKE được khuyến cáo sử dụng
- Mã hoá và xác thực dữ liệu: Bất kỳ dữ liệu nào được trao đổi giữa Server và Client phải được mã hoá cũng như được xác thực. Mặc dù thực tế là chúng thuộc cùng mạng Intranet – nhưng vì dữ liệu được định tuyến qua Internet hoặc các mạng công cộng khác dễ bị tổn thương với các nguy cơ bảo mật và sự sai lệch. Khá giống với các chính sách bảo mật được dùng trong môi trường truy cập từ xa, nên thiết lập bộ lọc gói và ban hành các tiêu chuẩn nghiêm ngặt để đảm bảo rằng dữ liệu không được mã hoá hoặc xác thức sẽ bị loại bỏ tại vành đai mạng bởi các thiết bị ngoại vi. Thậm chí thông tin định tuyến trao đổi giữa các Router cũng nên được mã hoá và xác thực
- Đường hầm: Thiết lập các đường hầm trực tiếp giữa các thiết bị ngoại vi đặt tại mỗi nhánh mạng là điều thích hợp. Mặc dù thực tế là chúng nâng cao tính bảo mật, đặc biệt nếu mức độ tin cậy trong môi trường Intranet không cao, nhưng nó phát sinh một khối Overhead lớn và tương đối khó khăn trong việc quản lý. Nên phân tích mức độ tin cậy trong Intranet và sau đó quyết định giữa 2 tuỳ chọn như trong trường hợp của môi trường mạng riêng ảo truy cập từ xa để duy trì một mức độ an toàn cao
- Các giao thức đường hầm: Nếu các Client Clien sử dụng giao thức đường hầm không IP, các thiết bị VPN ngoại vi như Firewall và Router phải hỗ trợ các giao thức đường hầm thích hợp