Mạng riêng ảo Site-to-Site VPN là gì? Thiết lập như thế nào?

     

Mạng riêng ảo Site-to-Site VPN là gì?

Mạng riêng ảo Site-to-Site VPN là một loại kết nối VPN được tạo giữa hai vị trí riêng biệt. Chúng cung cấp khả năng kết nối các vị trí hoặc mạng riêng biệt về địa lý, thường thông qua kết nối Internet công cộng hoặc kết nối WAN.

Kết nối trong một mạng riêng ảo Site-to-Site VPN thường được kích hoạt thông qua một thiết bị cổng VPN.

Mạng riêng ảo Site-to-Site VPN là gì?  Thiết lập như thế nào?

Mạng riêng ảo Site-to-Site VPN cho phép nhiều địa điểm thiết lập kết nối an toàn qua Internet hoặc các mạng công cộng khác. Các VPN Tunnels kết nối một cách minh bạch với các mạng IPv4, làm cho các tài nguyên từ xa có sẵn an toàn cho các máy khách phía sau các thiết bị VPN thông qua Tunnels. Dịch vụ VPN hỗ trợ cả IPv4 và IPv6 cho phong bì VPN. Lưu lượng truy cập đi qua VPN Tunnels bị giới hạn ở IPv4.

Một mạng riêng ảo Site-to-Site VPN cho phép các văn phòng ở nhiều địa điểm cố định để thiết lập kết nối an toàn với nhau qua một mạng công cộng như Internet băng thông rộng. mạng riêng ảo Site-to-Site VPN mở rộng mạng của công ty, tạo tài nguyên máy tính từ một vị trí có sẵn cho nhân viên tại các địa điểm khác. Một ví dụ về một công ty cần một mạng riêng ảo Site-to-Site VPN là một tập đoàn đang phát triển với hàng chục văn phòng chi nhánh trên khắp thế giới.

Có hai loại mạng riêng ảo Site-to-Site VPN:

Intranet-based – Nếu một công ty có một hoặc nhiều địa điểm từ xa mà họ muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một mạng nội bộ VPN để kết nối mỗi mạng LAN riêng biệt để một WAN duy nhất.

Extranet-based – Khi một công ty có quan hệ chặt chẽ với một công ty khác (chẳng hạn như đối tác, nhà cung cấp hoặc khách hàng), công ty có thể xây dựng một VPN mạng mở rộng kết nối các mạng LAN của các công ty đó. VPN extranet này cho phép các công ty làm việc cùng nhau trong môi trường mạng an toàn, chia sẻ trong khi ngăn truy cập vào mạng nội bộ riêng của họ .

VPN từ trang web đến trang web thường tạo kết nối trực tiếp, không được chia sẻ và bảo mật giữa hai điểm kết thúc. Mạng riêng ảo Site-to-Site VPN Intranet-based hoặc Extranet-based. VPN Intranet-based được tạo giữa các mạng riêng của tổ chức. Trong khi Extranet-based được sử dụng để kết nối với mạng đối tác bên ngoài hoặc Intranet-based.

Mặc dù mục đích của mạng riêng ảo Site-to-Site VPN khác với VPN của truy cập từ xa, nó có thể sử dụng một số phần mềm và thiết bị giống nhau. Lý tưởng nhất, một mạng riêng ảo Site-to-Site VPN nên loại bỏ sự cần thiết cho mỗi máy tính để chạy phần mềm máy khách VPN như thể nó nằm trên một VPN truy cập từ xa. Thiết bị VPN khách chuyên dụng, được mô tả sau trong bài viết này, có thể thực hiện mục tiêu này trong VPN từ trang web đến trang.

Thiết lập mạng riêng ảo Site-to-Site VPN

Để thiết lập mạng riêng ảo Site-to-Site VPN, bạn cần:

– Đảm bảo rằng các giao diện Ethernet, bộ định tuyến ảo và các vùng của bạn được cấu hình đúng cách.

– Tạo giao diện đường hầm của bạn. Lý tưởng nhất, đặt các giao diện đường hầm trong một khu vực riêng biệt, để lưu lượng truy cập đường hầm có thể sử dụng các chính sách khác nhau.

– Thiết lập các tuyến tĩnh hoặc gán giao thức định tuyến để chuyển hướng lưu lượng truy cập đến đường hầm VPN. Để hỗ trợ định tuyến động (OSPF, BGP, RIP được hỗ trợ), bạn phải gán một địa chỉ IP cho giao diện đường hầm.

– Xác định các cổng IKE để thiết lập giao tiếp giữa các đồng nghiệp trên mỗi đầu của đường hầm VPN; cũng xác định hồ sơ mật mã xác định các giao thức và thuật toán để nhận dạng, xác thực và mã hóa được sử dụng để thiết lập đường hầm VPN trong IKEv1 Giai đoạn 1.

– Cấu hình các tham số cần thiết để thiết lập kết nối IPSec để truyền dữ liệu qua đường hầm VPN.

– Chỉ định cách tường lửa sẽ giám sát đường hầm IPSec. (Không bắt buộc)

– Xác định chính sách bảo mật để lọc và kiểm tra lưu lượng truy cập.

Lưu ý khi thiết lập mạng riêng ảo Site-to-Site VPN

Nếu có quy tắc từ chối ở cuối quy tắc bảo mật, lưu lượng truy cập nội bộ bị chặn trừ khi được cho phép khác. Quy tắc cho phép các ứng dụng IKE và IPSec phải được bao gồm rõ ràng trên quy tắc từ chối.

Nếu lưu lượng VPN của bạn đi qua (không có nguồn gốc hoặc kết thúc) một tường lửa PA-7000 Series, hãy định cấu hình các quy tắc chính sách bảo mật hai chiều để cho phép lưu lượng truy cập ESP hoặc AH theo cả hai hướng.

Khi các tác vụ này hoàn tất, đường hầm đã sẵn sàng để sử dụng. Lưu lượng truy cập dành cho các vùng / địa chỉ được xác định trong chính sách được tự động định tuyến đúng dựa trên tuyến đích trong bảng định tuyến và được xử lý dưới dạng lưu lượng truy cập VPN.

Để khắc phục sự cố, bạn có thể Bật / Tắt, Làm mới hoặc Khởi động lại Cổng IKE hoặc Đường hầm IPSec.

Tìm hiểu thêm: Tìm hiểu cách thức hoạt động của Mạng riêng ảo PPTP VPN

Hotline tư vấn miễn phí