L ỜI MỞ ĐẦU
3.6.2 Nhược điểm của VPN truyền thống
Giao thức phổ biến trong hầu hết các mạng VPN truyền thống hiện nay là giao thức IPSec, chúng sử dụng các giao thức tạo đường hầm, mã hĩa dữ liệu, nhận thực để đạt khả năng bảo mật dữ liệu khi truyền giữa 2 điểm đầu cuối.
Sau đây là ví dụ về truyền dữ liệu trong mạng VPN sử dụng đường hầm IPSec thơng qua một nhà cung cấp dịch vụ hay mạng internet cơng cộng sử dụng mã hĩa 3DES.
Hình 3-22 : Kết nối giữa máy tính A và máy tính B trong mạng VPN
Dễ nhận thấy nhất ở mạng IPsec là mạng cĩ hiệu năng thấp. Việc Các CPE thiết bị đầu cuối thuê bao (Customer Premise Equipment) ở hai thiết bị đầu cuối tiến hành kiểm tra gĩi tin, sau đĩ mã hĩa và đĩng gĩi và các gĩi IP gây tốn thời gian và gây trễ cho gĩi tin. Nếu gĩi tin được truyền đi trong mạng cĩ kích thước lớn hơn kích thước tối đa cho phép truyền (maximum Transmission Unit) trên bất cứ một liên kế nào giữa CPE thì các gĩi tin đĩ phải được phân thành các gĩi nhỏ hơn, điều này chỉ xảy ra trường hợp bit DF (don’t fragment) khơng được thiết lập. Cịn trong trường hợp bit DF được thiết lập thì gĩi tin sẽ bị mất và một bản tin ICMP sẽ gửi về bên phát.
Thời gian trễ trong mạng sẽ phụ thuộc vào độ phức tạp và tốc độ xử lý của các CPE. Các thiết bị CPE kém chất lượng thường phải thực hiện hầu hết các chức năng Ipsec bằng phần mềm khiến trễ trong mạng lớn. Với các CPE khả năng thực hiện Ipsec bằng phần cứng cĩ tốc tốc độ xử lý gĩi tin cao hơn nhưng chi phí cho các thiết bị này rất đắt. điều này dẫn đến chi phí triển khai một Ipsec VPN là rất tốn kém.
Từ ví dụ này, ta thấy IPsec VPN là mạng lớp trên của mạng IP và sự trao đổi thơng tin trong mạng được thực hiện bằng cách thiết lập các đường hầm giữa các site. Điều này sẽđược làm rõ hơn khi so sánh cấu hình mạng sao và cấu hình mạng lưới tạo ra cấu hình mạng khơng tối ưu.
Mạng hình sao bao gồm site trung tâm Hub được nối với tất cả các site ở xa khác. Trong cấu hình này CPE của site trung tâm thường là một thiết bị rất đắt tiền và phụ thuộc vào số lượng các site ở xa cần kết nối, mỗi site này sẽ thiết lập một đường hầm Ipsec đến site trung tâm. Cấu hình mạng này khơng phù hợp cho truyền thơng giữa các site ở xa với nhau vì gĩi tin từ site này tới site khác phải đi qua site trung tâm và tại site trung tâm sẽ lặp lại các tác vụ như đĩng gĩi tin, xác định đường truyền, mã hĩa và giải mã đối với các gĩi tin đi qua nĩ. Do đĩ mỗi gĩi tin phải đi qua hai đường
Hình 3-23 : Mạng hình sao
Giải pháp tối ưu nhất khắc phục hiện tượng trên là thiết lập mạng mắt lưới. tuy nhiên cấu hình này cĩ nhiều hạn chế và điểm hạn chế lớn nhất là khả năng mở rộng mạng. số lượng tunnel cần thiết để hỗ trợ một mạng mắt lưới Ipsec sẽ tăng cùng với số lượng site. Ví dụ một mạng cĩ 20 site thì cần 210 đường hầm IPsec. Cấu hình mạng như vậy sẽ phải cần CPE phức tạp và đắt tiền. thậm trí cĩ thể khơng thực hiện được cấu hình mạng mắt lưới.
Hình 3-24 : mạng mắt lưới
Một điểm chúng ta cần phải cân nhắc khi triển khai các mạng VPN đĩ là các thiết bị CPE. Mỗi nhà cung cấp cần phải chắc chắn rằng tất cả các CPE sẽ hoạt động tương thích với nhau. Giải pháp đơn giản và và hiệu quả nhất là sử dụng cùng một loại CPE trong mỗi vùng, tuy nhiên, điều này khơng phải bao giờ cũng thực hiện được do nhiều yếu tố khác nhau. Tuy ngày nay sự tương thích khơng phải là một vấn đề lớn nhưng nĩ vẫn cần phải được quan tâm khi hoạch định một giải pháp mạng IPSec VPN. Mỗi một CPE phải đĩng vai trị như là một router và cĩ khả năng hỗ trợ tunneling. Những CPE với chức năng bổ sung này địi cĩ giá thành rất cao nên cách duy nhất để triển khai IPSec trong một mạch cầu là tải các phần mềm IPSec client vào tất cả các PC phía sau cầu. Giải pháp này địi hỏi sự hỗ trợ khách hàng cao dẫn đến