Tweet
Khi doanh nghiệp muốn kết nối từ on-premises lên public cloud, giải pháp phổ biến nhất vẫn là tận dụng Internet công cộng làm underlay transport. Để đảm bảo tính riêng tư và bảo mật, lớp kết nối này thường được bọc bởi IPsec tunnels, biến Internet thành đường ống an toàn cho dữ liệu doanh nghiệp.
Có ba phương pháp phổ biến để cấp kết nối Internet cho site: 1. Dynamic IP (DHCP)
Thường áp dụng cho các chi nhánh nhỏ hoặc remote site. Router tại site được ISP cấp phát địa chỉ tự động qua DHCP.
Phù hợp cho các văn phòng lớn hơn hoặc multihomed site có nhiều ISP.
Đây là phương pháp ưu tiên khi triển khai multihomed Internet connectivity.
Câu hỏi ôn tập
Which method of providing internet connectivity to a multihomed site provides the most control over the network path redundancy and the least NAT traversal complications for IPsec?
👉 Đáp án: BGP với provider independent IP addresses – vì loại bỏ được NAT traversal, tăng khả năng kiểm soát định tuyến, và tối ưu redundancy.
Có ba phương pháp phổ biến để cấp kết nối Internet cho site: 1. Dynamic IP (DHCP)
Thường áp dụng cho các chi nhánh nhỏ hoặc remote site. Router tại site được ISP cấp phát địa chỉ tự động qua DHCP.
- Ưu điểm: Cắm vào là chạy, cấu hình đơn giản.
- Nhược điểm: Địa chỉ thường thay đổi, có thể là private IP → router luôn phải đóng vai trò initiator khi dựng IPsec. Đồng thời phải phụ thuộc NAT-T (UDP encapsulation) để IKE/IPsec đi xuyên NAT.
- Use case: Site nhỏ, backup link qua 4G/5G.
Phù hợp cho các văn phòng lớn hơn hoặc multihomed site có nhiều ISP.
- ISP cấp địa chỉ cố định (có thể là public IP hoặc private IP với static NAT 1:1).
- Router có thể đóng vai trò responder cho IPsec tunnel (cho phép nhận kết nối từ bên ngoài).
- Static routing cũng cho phép chia tải hoặc định tuyến chọn lọc qua các đường Internet khác nhau để tăng tính dự phòng.
- Use case: Văn phòng chính, nơi cần kết nối ổn định, có thể điều khiển đường đi thủ công.
Đây là phương pháp ưu tiên khi triển khai multihomed Internet connectivity.
- Doanh nghiệp cần đăng ký AS number và provider independent IP prefix.
- Khi đó, không còn phụ thuộc NAT traversal cho IPsec → đơn giản hóa thiết kế.
- Nhược điểm: Quản trị viên cần chú ý không biến site thành transit AS, và phải xử lý bài toán symmetry traffic (ví dụ dùng BGP conditional advertisement).
- Use case: Data center, site lớn có nhiều ISP, yêu cầu kiểm soát đường đi tối đa và tính ổn định cao.
Câu hỏi ôn tập
Which method of providing internet connectivity to a multihomed site provides the most control over the network path redundancy and the least NAT traversal complications for IPsec?
- BGP with provider aggregatable IP addresses
- BGP with provider independent IP addresses ✅
- DHCP
- Static IP with static routing
👉 Đáp án: BGP với provider independent IP addresses – vì loại bỏ được NAT traversal, tăng khả năng kiểm soát định tuyến, và tối ưu redundancy.
Attached Files