Chương 2 Giao thức mạng riêng ảo tại tẩng 2
5.1. Các vấn đề khi thiết kế mạng riêng ảo
5.1.2.1. Vấn đề đánh địa chỉ
Trong một mạng riêng, một công ty A không cần mua các địa chỉ IP duy nhất(được biết như là các địa chỉ IP toàn cầu) từ một cơ quan có thẩm quyền, nhưu InterNIC, IANA hoặc từ ISP. Cơng ty A có thể sử dụng các địa chỉ IP riêng hoặc bất kỳ một địa chỉ IP nào mà họ thích bởi vì truyền thơng trong một mạng riêng khơng phải định tuyến ra ngồi phạm vi cơng ty. Kết quả là, các host và các thực thể đặt trong một mạng riêng không thể liên lạc với các mạng qua Internet hay các mạng công cộng khác và vì vậy nó biệt lập với thế giới bên ngồi
Chú ý: Các địa chỉ IP trong phạm vi 10.0.0.0 – 10.255.255.255, 172.16.0.0 – 172.31.255.255 và 192.168.0.0 – 192.168.255.255 được dùng như các địa chỉ IP riêng và có thể được dùng trong một mạng riêng hoặc Intranet không sử dụng một mạng công cộng để kết nối tới các nhánh ở xa và người dùng từ xa
Lược đồ địa chỉ riêng khơng hồn tồn đúng cho các mạng riêng ảo vì chúng cịn dựa trên một mạng đường trục cơng công để truyền thông. Điều này ngụ ý rằng chỉ VPN Client và Server liên quan trong một giao dịch là cần một địa chỉ IP công cộng. Liên lạc thực sự trên giao diện VPN ảo sẽ làm việc với các địa chỉ IP riêng. Kết quả là, công ty A sẽ địi hỏi ít nhất một khối địa chỉ IP duy nhất toàn cầu từ ISP. Ta sẽ xem xét các nhân tố sau lúc đánh địa chỉ các thiết bị mạng riêng ảo
- Nếu công ty A sử dụng đường leased line để kết nối tới ISP, các thiết bị mạng riêng ảo sẽ được cấp phát các địa chỉ IP tính. Các trường hợp khác, nếu sử dụng các kết nối quay số để kết nối tới ISP POP, các Client VPN được dùng bởi những người dùng di động phải được cấp phát các địa chỉ IP động, mặc dù VPN Server sẽ vẫn địi hỏi một địa chỉ IP tính để có khả năng truy cập. Tuy nhiên, có
một sự kế thừa vấn đề gắn với các Client VPN sử dụng địa chỉ IP động. Ta không thể giới hạn truy cập tới VPN Server trên cơ sở các địa chỉ IP mà ISP có thể cấp phát cho các VPN Client mỗi lần khác nhau. Trong hoàn cảnh này, các VPN Server rất dễ bị tấn công bởi các nguy cơ bảo mật mà một kẻ tấn cơng có thể hành động như một người dùng tin cậy.
- Sẽ khơng vấn đề gì nếu sử dụng một VPN Server đơn hoặc nhiều VPN Server, tất cả phải được cấp phát một địa chỉ IP tĩnh. Nếu các VPN Server sử dụng các địa chỉ IP động, VPN Client không thể định vị được Server mong muốn.
- Nếu địa chỉ IP xung đột có thể cắt xén nếu cần hợp nhất hai mạng riêng, như trong trường hợp sát nhập hai tổ chức. Trong kịch bản này, nếu các mạng được hợp nhất sử dụng địa chỉ IP riêng thì rất có thể một số địa chỉ IP có thể xung đột. Việc thay đổi các địa chỉ IP xung đột là dễ dàng nếu chỉ với số lượng nhỏ các IP bị xung đột. Tuy nhiên, với một số lượng lớn thì có thể ta phải thay đổi lược đồ địa chỉ IP của ít nhất một mạng hoặc xấu nhất là toàn bộ mạng sau khi hợp nhất. Việc thay đổi lược đồ địa chỉ là rất mất nhiều thời gian. Có thể sử dụng khả năng cẩu hình địa chỉ IP tự động, như sử dụng DHCP. Giao thức này cho phép một thiết bị mạng nhận được thơng tin cấu hình, bao gồm cả một địa chỉ IP động khi thiết bị đó khởi động.
- Nếu khơng có đủ địa chỉ IP duy nhất tồn cầu, cách thích hợp nhất là sử dụng địa chỉ IP riêng trong mạng của công ty và một NAT tại vành đai mạng để kết nối với thế giới bên ngoài. NAT sẽ cấp phát một địa chỉ IP duy nhất bất cứ lúc nào một host bên trong cần kết nối tới Internet hoặc thiết lập một phiên mạng riêng ảo. Cách này sẽ giúp ta đảm bảo rằng khơng có xung đột IP khi thiết lập kết nối Internet hoặc một phiên mạng riêng ảo. Một điểm quan trọng ở đây là NAT và VPN có thể xung đột vì việc ghi đè tiêu đề
Chúng ta giả thiết rằng công ty A trước đây có một mạng truyền thống, trong đó các mạng Intranet khác nhau của cơng ty được kết nối với nhau qua các phương tiện thiết bị riêng, như đường leased-line hoặc frame relay. Chúng ta cũng giả thiết rằng công ty A đã xây dựng một lược đồ địa chỉ cho mạng của họ. Vì mạng là độc lập và đường trục sử dụng chỉ các phương tiện thiết bị riêng, cơng ty A có thể sử dụng hoặc các địa chỉ IP nhập nhằng toàn cục(private) hoặc
các địa chỉ duy nhất toàn cục(public) từ trung tâm thông tin mạng (Network Information Center - NIC).
Bởi vì việc gán địa chỉ IP cơng cộng được thực hiện bởi tổ chức có thẩm quyền trên phạm vi toàn cầu, họ rất rõ ràng. Các địa chỉ cơng cộng có khả năng định tuyến tới bất kỳ đâu. Tuy nhiên, vì việc gán địa chỉ riêng rất dễ dàng thực hiện mà khơng cần đến một tổ chức có thẩm quyền trên phạm vi tồn cầu, chúng có thể nhập nhằng khi sử dụng trong Internet cơng cộng và chỉ có thể có khả năng định tuyến được trong một mạng riêng của chính cơng ty. Tóm lại:
1. Nếu công ty A sử dụng các địa chỉ cơng cộng trong mạng của mình, các địa chỉ có thể tiếp tục được sử dụng mà không cần phải thay đổi trong mơi trường mạng riêng ảo. Nếu có mong mn che dấu chúng trong khi gói dữ liệu được truyên qua Internet, một đường hầm ESP có thể được sử dụng giữa các firewall.
2. Nếu một công ty A sử dụng các địa chỉ IP riêng trong mạng của mình, các địa chỉ cũng có thể tiếp tục được dùng trên tất cả các mạng con khơng có kết nối vật lý tới mạng Internet cơng cộng. Nếu khơng có các mạng con đó mà kết nối tới Internet công cộng, đặc biệt tồn tại các liên kết tại vành đai của mạng Intranet, một địa chỉ IP công công phải được sử dụng.
Chế độ đường hầm ESP hoặc AH và ESP kết hợp trong chế độ đường hầm giữa các firewall giữ cho cả hai làm việc. Tiêu đề IP mới của đường hầm sẻ sử dụng các địa chỉ toàn cục của hai firewall, cho phép các gói dữ liệu được định tuyến quan Internet giữa hai firewall (hoặc các router). Tiêu đề của gói IP gốc sẽ sử dụng các địa chỉ IP được gán cho người dùng trên Intranet, vì vậy các địa chỉ này sẽ được che dấu khỏi sự dị xét bởi các giao thức mã hố của ESP