Dựa trờn cỏc tiờu chuẩn được IETF phỏt triển, IPSec đảm bảo được tớnh tin cẩn, tớnh toàn vẹn và xỏc thực đối với việc trao đổi dữ liệu thụng qua mạng cụng cộng. IPSec đúng gúp một thành phần thiết yếu cho một giải phỏp mềm dẻo, dựa trờn tiờu chuẩn để cú thể triển khai một chớnh sỏch an ninh trờn toàn mạng.
IPSec làm việc ở lớp mạng, lớp 3 trong mụ hỡnh OSI. Nú rất hữu ớch tại vũng cục bộ (local loop), biờn (edge), và ngoài mạng của nhà cung cấp dịch vụ, nơi mà khả năng vi phạm tớnh riờng tư rất cao và nơi mà cỏc cơ cấu an ninh của IPSec như đường hầm (tunneling) và mó húa (encryption) cú thể được ỏp dụng tốt nhất. IPSec đặc biệt hữu ớch cho cỏc kết nối mạng riờng ảo từ xa vào cỏc mạng của doanh nghiệp.
Cỏc thế mạnh của IPSec
An ninh, bảo mật: IPSec đảm bảo tớnh riờng tư của dữ liệu với một tập hợp cỏc cơ cấu tạo đường hầm và mó húa mềm dẻo, để bảo vệ cỏc gúi khi chỳng di chuyển trờn mạng. Người sử dụng được xỏc thực bằng chứng chỉ số hoặc cỏc khúa được chia sẻ từ trước. Cỏc gúi khụng tuõn thủ theo chớnh sỏch an ninh sẽ bị loại bỏ.
Triển khai đơn giản: IPSec cú thể đưa ra thị trường nhanh chúng. Nú cú thể được triển khai trờn bất kỳ một mạng IP đang tồn tại nào.
Bảng dưới đõy là sự so sỏnh giữa VPN IPSec và VPN MPLS trờn một số cỏc khớa cạnh như khả năng mở rộng, an ninh, chất lượng dịch vụ, thỏa thuận mức dịch vụ, ..v.v.
101
VPN MPLS VPN IPSec
Dịch vụ - Dịch vụ Internet tốc độ cao
- Dịch vụ VPN IP chất lượng doanh nghiệp
- Thương mại điện tử E-commerce - Dịch vụ thuờ dịch vụ - An ninh quản lý - Thoại IP quản lý - Sao lưu từ xa Dịch vụ Internet tốc độ cao - Dịch vụ VPN IP chất lượng doanh nghiệp
- Thương mại điện tử - Dịch vụ thuờ dịch vụ - An ninh quản lý - Thoại IP quản lý - Sao lưu từ xa Khả năng mở rộng
- Khả năng mở rộng cao - khụng yờu cầu cú cặp vị trớ tới vị trớ (site-to-site peering)
- Cú khả hỗ trợ hàng ngàn VPN trờn một mạng, đặc biệt trờn mạng core
- Một VPN IPSec lớn đũi hỏi phải cú kế hoạch và điều phối cho việc phỏt tỏn khúa, quản trị khúa và cấu hỡnh cặp - Khả năng mở rộng sẽ là vấn đề khi triển khai mạng lớn đầy đủ cỏc mắt (full-meshed)
Nơi triển khai Mạng lừi Local loop, edge, and off-net Trong suốt - Tập trung tại cỏc mụi trường
IP+ATM hoặc IP
- Trong suốt đối với cỏc ứng dụng
- Tập trung ở lớp mạng
- Trong suốt đối với cỏc ứng dụng Cung cấp Cung cấp thiết bị ở đầu ISP và đầu
khỏch hàng một lần duy nhất, để vị trớ (site) trở thành thành viờn của một nhúm VPN MPLS
- Cung cấp dịch vụ dựa trờn thiết bị của khỏch hàng (CPE-based) sẽ khụng yờu cầu phải cú sự tham gia của lớp mạng
- Cung cấp dịch vụ dựa trờn lớp mạng cú thể thực hiện một cỏch tập trung Triển khai Cỏc thành phần tham gia vào mạng
tại mạng lừi và biờn phải cú tớnh năng MPLS
- Cú thể đưa nhanh ra thị trường
- Cú thể triển khai trờn bất kỳ một mạng IP cú sẵn nào
Xỏc thực phiờn
- Tư cỏch thành viờn được xỏc lập trong quỏ trỡnh cung cấp dựa trờn cổng logic và ký hiệu tuyến duy nhất - Truy cập vào nhúm dịch vụ được định nghĩa trong quỏ trỡnh lờn cấu hỡnh; truy cập trỏi phộp bị khước từ
- Thụng qua chứng chỉ số hoặc khúa chia sẻ trước.
- Cỏc gúi tin khụng tuõn theo cỏc chớnh sỏch an ninh sẽ bị loại bỏ
Tớnh tin cẩn Đạt được thụng qua sự tỏch biệt giao thụng, tương tự như kỹ thuật sử dụng trong cỏc mụi trường mạng Frame Relay hoặc ATM
Thụng qua tập hợp cỏc kỹ thuật mó húa và tạo đường hầm tại lớp mạng
102 Chất lượng
dịch vụ và Thỏa thuận mức dịch vụ
Đạt được thụng qua cơ cấu chất lượng dịch vụ khả mở, vững chắc và khả năng về xảo thuật giao thụng
- Khụng nhắm trực tiếp vào IPSec - Phụ thuộc vào giải phỏp phõn loại cỏc gúi cho chất lượng dịch vụ trong một đường hầm Hỗ trợ mỏy khỏch Khụng cần thiết vỡ VPN MPLS là dịch vụ dựa trờn mạng (network- based)
- Triển khai VPN IPSec
- Cỏc phần mềm cho mỏy khỏch từ cỏc nhà sản xuất
Tương tỏc với người sử dụng
Khụng cần phải cú tương tỏc với người sử dụng.
Người sử dụng phải tương tỏc với phần mềm mỏy khỏch để tạo kết nối VPN IPSec