Mặc dù IPSec đã sẵn sàng đưa ra các đặc tính cần thiết để đảm bảo thiết lập kết nối VPN an toàn thông qua mạng Internet, nó vẫn còn ở trong giai đoạn phát triển để hướng tới hoàn thiện. Sau đây là một số vấn đề đặt ra mà IPSec cần phải giải quyết để hỗ trợ tốt hơn cho việc thực hiện VPN:
- Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống. Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kĩ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa.
- IKE vẫn là công nghệ chưa thực sự khẳng định được khả năng của mình. Phương thức chuyển khoá thủ công lại không thích hợp cho mạng có số lượng lớn các đối tượng di động.
- Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó đối với các trạm làm việc và máy PC năng lực yếu.
- Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với chính phủ của một số quốc gia.
CHƯƠNG III: TRIỂN KHAI VPN SITE TO SITE TRÊN NỀN IPSEC
3.1 Mô hình mạng thực tế
Như trên thì công ty ABC có trụ sở chính tại TP Hồ Chí Minh. Các server đểu đặt tại đây. Site ở Hà Nội, cần phải VPN về để truy xuất. Ngoài việc truy xuất tài liệu cục bộ ở hai site đều có nhu cầu truy cập internet.
Hình 3.1: Mô hình mạng triển khai VPN
Ở đây sử dụng môi trường ảo GNS3 và VirtualBox để thực hiện. Trong đó có:
2 router (ở đây sử dụng router 7200).
1 clound đã add ảnh router 7200 để giả lập môi trường internet.
Máy HN-MAY1, máy HCM-MAY1 là dùng máy ảo VirtualBox.
Server abc.com (giả lập được đặt ngoài Internet) dùng máy thật. Các bước thực hiện:
Bước 1: Tạo project cấu hình mạng (IP) như topology như trên.
Bước 2: cấu Hình default route cho 2 router HCM và HN cổng kết nối với Internet là dùng IP động.
Bước 3: Cấu hình NAT cho 2 router để các client trong 2 site có thể truy cập được internet.
Bước 4: Cấu hình VPN site to site kết hợp giao thức IPSec để 2 site có thể truy vấn lẫn nhau.