- KE: Khoá trao đổi dữ liệu cho trao đổi khoá DifferHelman
Chương IV Một số công nghệ an toàn bổ sung cho các mạng riêng ảo
5.1.2.2. Vấn đề định tuyến
Như trong các mạng truyền thống, việc định tuyến trong mạng riêng ảo liên quan tới việc xử lý định tuyến tới một địa chỉ đích xác định. Trong định tuyến truyền thống, làm việc trên bất kỳ tuyến đường hiện tại có thể dùng được để tới bộ định tuyến đích. Tuy nhiên, trong các mạng riêng ảo, các phương tiện định tuyến
cũng đảm bảo tính sẵn sàng của chỉ các tuyếnđường qua các kết nối và đường hầm mạng riêng ảo an toàn thay vì quan các mạmg công cộng trung gian.
Cần lưu ý các vấn đề sau đây khi quyết định lược đồ định tuyến cho mạng riêng ảo:
- Server mạng riêng ảo mà các Client từ xa kết nối tới, chỉ định một tuyến đường mặc định tới các Client VPN từ xa này. Bất kỳ tương tác khác giữa hai đầu cuối trong một phiên mạng riêng ảo đã cho được định tuyến qua tuyến đường đã được định nghĩa trước này. Tương tự, trong trường hợp của một Client quay số, nơi đường hầmđược thiết lập giữa nhánh mạng của ISP và mạngđích, Client VPN sử dụng tuyếnđường tới Intranet của ISP như tuyếnđường mặcđịnh.
- Nếu Server VPN được đặt sau một firewall, tất cả các tuyếnđường mặcđịnh nên trỏ vào các firewall đó.
- Nếu gán rõ ràng một tuyến đường (hoặc một tập các tuyến đường) tới mỗi Client cho một phiên mạng riêng ảo, ta có thể phải kiểm soát đầyđủ qua các đường dẫn giao dịch. Tuy nhiên, làm như vậy đòi hỏi phải cấu hình các tuyến đường trên mỗi Client một cách thủ công. Đây có thể là một công việc cực kỳ mệt mỏi nếu số lượng Client VPN lớn. Hơn nữa, khả năng tắc nghẽn mạng rất cao nếu số tuyến đườngđược gán rõ ràng có giới hạn.
- Ta có thể muốn sử dụng các tuyến đường tĩnh lúc thiết lập một giải pháp mạng riêng ảo lần đầu tiên. Các tuyến đường này được định nghĩa và cấu hình trước trên cả Server VPN cũng như Client VPN. Kết quả là các tuyến đường tĩnh này có thể giữ vai trò quan trọng trong việc kiểm thử một thiết lập mạng riêng ảo mới. Tương tự, các tuyến đường tĩnh này cũng có thể giúp ta gỡ rối các vấnđề liên quan đếnđịnh tuyến.
- Ngoại trừ việc kiểm thử các thiết lập mạng riêng ảo mới và trợ giúp khi gặp vấn đề, ta nên sử dụng các tuyến đường tĩnh một cách hạn chế vì chúng có thể là nguyên nhân dẫn đến nhiều sự quản lý và cấu hình lại overhead, đặc biệt nếu có một thay đổi trong lược đồđánh địa chỉ hoặc sự sắp xếp lại các thiết bị mạng riêng ảo
- Thông thường, trong một phiên mạng riêng ảo có sử dụng các đường hầm tự nguyện và mở rộng qua Internet, ta có thể hoặc truy cập các Host trên Internet hoặc các Host trên Intranet, miễn là một Gateway mặc định được sử dụng cho mạng riêng ảo, không đồng thời xẩy ra cùng một lúc cả hai. Vì vậy, ta sẽ cần cấu hình một tuyến đường mặc định giữa Client VPN và NAS của ISP. Điều này sẽ cho phép Client VPN truy cập đồng thời các Host dựa trên Intranet cũng như dựa trên Internet.
Chú ý Phương phát dễ nhất và an toàn nhất của việc gán các đường định tuyến cho các phiên mạng riêng ảo là cấu hình firewal, bộđịnh tuyến mạng riêng ảo mặc định, hoặc các cổng nối mạng riêng ảo mặc định với tất cả các đường định tuyến có thể
liên quan đến mạng riêng ảo. Thực tế này sẽ tiết kiệm cho ta nhiều thời gian và công sức vì sau đó ta chỉ cần cấu hình một đường định tuyến mặc định trên tất cả các máy phía Client. Hơn nữa, như vậy có thể làm đơn giản hoá nếu Gateway, Router VPN hoặc firewall có thể chia sẻ thông tin định tuyến này với các thiết bịđịnh tuyến khác. Kết quản là, ta sẽ không cần phải cấu hình mỗi một thiết bị một cách riêng lẻ.
Lý do Các Client VPN quay đóđược cấp phát hai địa chỉ IP, thứ nhất là lúc thiết lập một kết nối PPP với nhánh mạng của ISP và thứ hai là trong khi thiết lập phiên mạng riêng ảo. Vì thế, ta phải rất cẩn thận trong khi gán các đường định tuyến cho các phiên mạng riêng ảo, vì nếu thêm một đường định tuyến PPP thay cho đường định tuyến mạng riêng ảo, tất cả các lưu lượng sẽđược định tuyến qua đường định tuyến PPP không an toàn dưới dạng không được mã hoá. Hơn nữa, nếu các gói có địa chỉ IP riêng chúng sẽ bị loại bỏ tại thiết bịđịnh tuyến của ISP.
Các mạng riêng ảo cũng yêu cầu rằng phải lựa chọn giao thức định tuyến đúng. Ta sẽ cần chọn giao thức định tuyến theo các điều kiện và yêu cầu của tổ chức. Một số nhân tố có thể giup ta trong việc quyếtđịnh giao thức bao gồm:
- Giải thông được sử dụng bởi giao thức: Ví dụ, ta có thể muốn sử dụng BGP(Boder Gateway Protocol – Giao thức cổng biên) khi thực tế nó sử dụng một giải thông nhỏ.
- Overhead được phát sinh: Một số giao thức định tuyến phát sinh overhead truyền thông rất cao so với các giao thức khác. RIP là một ví dụ. Mặc dù IPSec không phải là một giao thức định tuyến, nhưng nó cũng phát sinh overhead cao.
- Chiều hướng liên lạc: Một số giao thức định tuyến, như RIP, chỉ hỗ trợ các địa chỉ Unicast, các giao thức khác như RIPv2 và Open Shortest Path First (OSPF) hỗ trợ các địa chỉ broadcast and multicast.
- Tính năng bảo mật được cung cấp: Một số giao thức định tuyến mang lại khả năng bảo mật cao