Chương 2 Giao thức mạng riêng ảo tại tẩng 2
7.1. Các thành phần của mạng riêng ảo Site –to – Site
7.1.3.3. Cơ sở hạ tầng mạng chi nhánh
Cơ sở hạ tầng của mạng chi nhánh là một phần tử quan trọng của thiết kế VPN. Các Router gọi khơng thể chuyển tiếp các gói mà khơng có cơ sở hạ tầng định tuyến thích hợp được đặt vào vị trí thích hợp
1. Trình phân giải tên
Nếu Router gọi được cấu hình với các địa chỉ IP của DNS, các địa chỉ IP DNS không được yêu cầu bởi Router trả lời trong khi thương lượng kết nối PPP. Nếu Router gọi khơng được cấu hình với các địa chỉ IP của DNS, DNS được yêu cầu. Router gọi không bao giờ yêu cầu địa chỉ IP của DNS từ Router gọi. Theo ngầm định, Router gọi khơng đăng ký nó với DNS của Router trả lời
2. Định tuyến
Mỗi Router mạng riêng ảo là một Router IP và như vậy phải được cấu hình đúng với tập các Router làm cho tất cả các vị trí đều có thể kết nối tới được. Đặc biệt, mỗi Router mạng riêng ảo cần như sau:
- Một đường định tuyến mặc định hướng tới một Firewall hay Router đã kết nối trực tiếp với Internet: Đường định tuyến này làm cho tất các các vị trí trên Internet đều có thể kết nối tới được. Khơng có một đường định tuyến mặc định, sẽ khơng có cách nào để định tuyến luồng lưu lượng tới Internet và tất các các gói có địa chỉ sẽ bị loại bỏ tại Router VPN
- Một hoặc nhiều đường định tuyến tập hợp các địa chỉ sử dụng trong nhánh mạng của Router VPN hướng tới Router nhánh mạng kề cận: Các đường định tuyến này làm cho tất cả các vị trí trong nhánh mạng của Router VPN có thể kết nối tới được từ Router VPN. Khơng có các đường này, tất cả các host trong nhánh mạng không kết nối được tới cùng subnet khi Router VPN khơng có khả năng kết nối tới được. Khơng có cách nào cho các thực thể cuối biết được những subnet nào không nằm trong phạm vị subnet của Router VPN. Vì khơng có các cập nhật đường định tuyến động qua liên kết, thông tin này cần được cung cấp một cách thủ cơng. Nếu có các subnet mà nhánh mạng từ xa khơng nên truy cập, ách đơn giản là loại trừ các subnet này khỏi tập các đường định tuyến tĩnh và chúng sẽ khơng có khả năng kết nối tới được
Để bổ sung một đường định tuyến mặc định hướng tới Internet, cấu hình giao diện Internet với một cổng kết nối ngầm định và sau đó cấu hình giao diện nhánh mạng khơng có cổng kết nối ngầm định.
Nếu nhánh mạng chỉ có một subnet đơn, khơng u cầu phải cấu hình thêm và giao thức định tuyến động cũng không cần thiết. Sử dụng giao thức định tuyến động chi trên các liên kết theo yêu cầu quay số lúc được gọi. Định tuyến tĩnh là giải pháp được khuyến cáo để tránh cho các kết nối khỏi bị phá vỡ.
Lúc một kết nối mạng riêng ảo được tạo, mỗi Router gửi luồng lưu lượng sử dụng một giao diện logic tương ứng với cổng PPTP hoặc L2TP của kết nối. Trong khi thương lượng PPP, các địa chỉ IP có thể được gán cho các giao diện lơgic này. Việc đảm bảo rằng các giao diện lơgic của Router VPN có thể kết nối tới được phụ thuộc cách mà ta cấu hình mỗi Router VPN để chứa các địa chỉ IP cho các Client truy cập từ xa.