Tweet
Enterprise-Managed VPNs – Tổng quan và các mô hình triển khai
Trong doanh nghiệp hiện đại, VPN không còn chỉ là một công nghệ tùy chọn mà đã trở thành xương sống cho việc kết nối an toàn giữa các site, người dùng từ xa, và các dịch vụ ứng dụng nội bộ. Có hai mô hình triển khai chính trong enterprise-managed VPNs: Site-to-Site VPN và Remote-Access VPN. 1. Site-to-Site VPN
Mô hình này được dùng để kết nối cả một mạng với một mạng khác, ví dụ: chi nhánh → trụ sở chính, đối tác → doanh nghiệp.
👉 Ví dụ: Một chi nhánh dùng Cisco ISR router, kết nối về ASA firewall tại Data Center thông qua IPsec tunnel. Người dùng tại chi nhánh gửi email, lưu lượng được router mã hóa và truyền qua tunnel về DC. Các giải pháp Site-to-Site phổ biến:
2. Remote-Access VPN
Được thiết kế cho người dùng đơn lẻ (teleworker, mobile user) truy cập vào mạng doanh nghiệp qua Internet.
👉 Ví dụ: Nhân viên sales ở ngoài công ty mở Cisco AnyConnect, nhập username/password → VPN tunnel SSL/IPsec đến ASA tại Data Center. Sau đó có thể truy cập ERP như đang ở trong LAN.
Content Review Question
Match the VPN term with its correct description:
Trong doanh nghiệp hiện đại, VPN không còn chỉ là một công nghệ tùy chọn mà đã trở thành xương sống cho việc kết nối an toàn giữa các site, người dùng từ xa, và các dịch vụ ứng dụng nội bộ. Có hai mô hình triển khai chính trong enterprise-managed VPNs: Site-to-Site VPN và Remote-Access VPN. 1. Site-to-Site VPN
Mô hình này được dùng để kết nối cả một mạng với một mạng khác, ví dụ: chi nhánh → trụ sở chính, đối tác → doanh nghiệp.
- Mỗi site sẽ có một VPN gateway (có thể là Router, Firewall hoặc thiết bị chuyên dụng như Cisco ASA).
- Các thiết bị này “nhận biết” VPN tunnel và chịu trách nhiệm xử lý: mã hóa, encapsulate, truyền dữ liệu.
- End-host ở bên trong LAN thì hoàn toàn không nhận thức được VPN tunnel; chúng chỉ thấy lưu lượng bình thường.
👉 Ví dụ: Một chi nhánh dùng Cisco ISR router, kết nối về ASA firewall tại Data Center thông qua IPsec tunnel. Người dùng tại chi nhánh gửi email, lưu lượng được router mã hóa và truyền qua tunnel về DC. Các giải pháp Site-to-Site phổ biến:
- IPsec Tunnel cơ bản
- Framework chuẩn mở cho kết nối bảo mật.
- Cho phép thay thế các thuật toán mã hóa khi bị lỗi thời mà không ảnh hưởng framework.
- Hoạt động ở Tunnel Mode, bảo vệ toàn bộ gói tin.
- GRE over IPsec
- IPsec không hỗ trợ broadcast/multicast, do đó routing protocol (OSPF, EIGRP, BGP) không thể chạy trực tiếp trên IPsec.
- GRE (của Cisco) cho phép encapsulate nhiều loại traffic: broadcast, multicast, non-IP. Nhưng GRE không mã hóa.
- Kết hợp GRE + IPsec vừa có mã hóa vừa hỗ trợ routing protocol.
👉 Ví dụ: chạy OSPF giữa chi nhánh và HQ qua GRE over IPsec.
- DMVPN (Dynamic Multipoint VPN)
- Với topology hub-and-spoke, nếu dùng GRE over IPsec thì khi thêm spoke mới → phải cấu hình lại hub.
- DMVPN dùng mGRE (multipoint GRE) và NHRP để cho phép spoke-to-spoke tunnel động.
- Ưu điểm: khi có hàng chục/hàng trăm chi nhánh, spoke có thể tự động dựng tunnel trực tiếp với nhau thay vì phải đi vòng hub.
👉 Ví dụ: Một doanh nghiệp có 200 cửa hàng, khi một cửa hàng cần trao đổi trực tiếp với cửa hàng khác, tunnel tự động được dựng qua DMVPN mà không qua HQ.
- IPsec Virtual Tunnel Interface (VTI)
- Gắn kết endpoint của IPsec tunnel với một interface ảo.
- Cho phép traffic đi qua interface này được mã hóa/giải mã tự động.
- Hỗ trợ cả unicast và multicast mà không cần GRE.
👉 Ví dụ: chạy EIGRP trực tiếp trên interface tunnel VTI thay vì phải bọc GRE.
- Cisco IOS FlexVPN (IKEv2-based)
- Giải pháp thống nhất cho cả Site-to-Site và Remote Access.
- Ưu điểm:
- Hoạt động trên Internet hoặc MPLS VPN.
- Tích hợp với AAA/RADIUS để quản lý policy động.
- Hỗ trợ multicast, VRF, QoS.
- Tương thích với IKEv2 client của Apple iOS/Android.
👉 FlexVPN là hướng đi lâu dài, thay thế cho DMVPN, EzVPN và VTI.
2. Remote-Access VPN
Được thiết kế cho người dùng đơn lẻ (teleworker, mobile user) truy cập vào mạng doanh nghiệp qua Internet.
- Người dùng kết nối Internet bằng ADSL, cáp quang, 4G/5G.
- Dùng VPN client software (Cisco AnyConnect) hoặc trình duyệt SSL để kết nối đến VPN gateway.
- Dữ liệu được mã hóa tại client, truyền qua Internet, giải mã tại VPN gateway (ASA/Router), sau đó forward đến hệ thống nội bộ.
👉 Ví dụ: Nhân viên sales ở ngoài công ty mở Cisco AnyConnect, nhập username/password → VPN tunnel SSL/IPsec đến ASA tại Data Center. Sau đó có thể truy cập ERP như đang ở trong LAN.
Content Review Question
Match the VPN term with its correct description:
- cryptographic VPN → IPsec Tunnel (vì cung cấp dịch vụ bảo mật: mã hóa, xác thực, integrity).
- a client in remote-access VPN → VPN Client Software (Cisco AnyConnect hoặc SSL web browser).
- a device that can act as VPN gateway, to terminate VPNs → Router / Firewall / ASA.
- a site-to-site VPN solution that implements hub-and-spoke topology and facilitates establishment of direct spoke-to-spoke connections → Cisco DMVPN.
- a site-to-site VPN solution that enables secure exchange of broadcast and multicast traffic → GRE over IPsec.
Attached Files