VPN- Virtual Private Network là mạng riêng ảo, một công nghệ mạng giúp tạo kết nối mạng an toàn khi tham gia vào mạng công cộng như Internet hoặc mạng riêng do một nhà cung cấp dịch vụ sở hữu. Các tập đoàn lớn, các cơ sở giáo dục và cơ quan chính phủ sử dụng công nghệ VPN để cho phép người dùng từ xa kết nối an toàn đến mạng riêng của cơ quan mình
Một hệ thống VPN có thể kết nối được nhiều site khác nhau, dựa trên khu vực, diện tích địa lý… tượng tự như chuẩn Wide Area Network (WAN). Bên cạnh đó, VPN còn được dùng để “khuếch tán”, mở rộng các mô hình Internet nhằm truyền tải thông tin, dữ liệu tốt hơn
Các kết nối đến VPN đều phải được xác thực bằng các giao thức khác nhau. Các VPN thường sử dụng nhiều giao thức mã hóa đáng tin cậy. Sau đây là một số giao thức được sử dụng phổ biến:
- PPTP (Point- To-Point Tunneling Protocol)
- IPSec (IP sercurity)
- SSL và TLS
- L2TP
- IKEv2
- SSTP
Công Nghệ Auto-Discovery VPN(ADVPN)
IPSec VPN được sử dụng phổ biến để kết nối an toàn giữa các mạng, khi kết nối chỉ giữa hai site với nhau điều đó khá dễ dàng. Tuy nhiên nếu số lượng site tăng lên nhiều thì vấn đề về thiết lập giữa các site với nhau trở lên phức tạp hơn và có nhiều hạn chế khi sử dụng mô hình Hub and Spokes và Full Mesh
Trong trường hợp có nhiều Site cần kết nối với nhau, thường sử dụng 2 mô hình VPN sau:
- Mô Hình Hub và Spoke
Trong mô hình này một site được hoạt động là trung tâm “Hub” và tất cả các site chi nhánh khác “Spoke” kết nối tới nó.
Số lượng đường hầm = n-1 ( n là tổng số site)
Hạn chế chính của mô hình này là tất cả các kết nối giữa các Spokes đều đi qua Hub. Điều này làm tăng độ trễ cũng như ảnh hưởng đến hiệu năng của thiết bị đầu Hub
- Mô Hình Full Mesh
Ở mô hình này các mỗi 1 site được kết nối đến tất cả các site khác.
Số lượng đường hầm = n*(n-1)/2 ( n là số lượng site)
Hạn chế của mô hình này việc quản lý và cấu hình sẽ trở lên phức tạp khi số lượng site tăng lên
Để giải quyết hạn chế của hai mô hình trên Fortinet triển khai giải pháp ADVPN – Auto-Discovery VPN
ADVPN có khả năng tạo Dynamic tunnel (shortcuts) giữa các Spokes, lưu lượng giữa Spokes-Spokes được trao đổi trực tiếp trong Dynamic tunnel mà không cần qua Hub.
Các đường hầm được bảo về bằng IPSEC và sử dụng định tuyến động
- BGP và RIPv2/RIPng
- PIM/Multicast hỗ trợ từ FortiOS 5.6.1
- OSPF hỗ trợ từ FortiOS 6.2.0
- IS-IS over IPsec chưa được hỗ trợ