Đồ án Đánh giá hiệu quả của các loại mạng riêng ảo

ĐỒ ÁN MÔN HỌC : AN TOÀN HỆ THỐNG THÔNG TIN ĐỀ TÀI : ĐÁNH GIÁ HIỆU QUẢ CỦA CÁC LOẠI MẠNG RIÊNG ẢO Chương 1 : Đánh giá chung về hiệu quả sử dụng của mạng riêng ảo 1.1 Các tiêu chí để đánh giá hiệu quả mạng riêng ảo. Tiêu chí đầu tiên để đánh giá hiệu quả sử dụng mạng riêng ảo là bảo mật. Do dữ liệu được truyền qua một mạng công cộng thiếu an toàn như mạng internet nên bảo mật chính là yêu cầu quan trọng nhất. Một yêu cầu quan trọng khác khi lựa chọn giải pháp mạng riêng ảo (Virtual Private Network - VPN) cho mạng doanh nghiệp là sự phù hợp với cơ sở hạ tầng mạng hiện có và giải pháp bảo mật ví dụ tường lửa, sử dụng proxy, phần mềm chống virus hay các hệ thống bảo mật khác. Tiêu chí tiếp theo là sự thích nghi giữa các thiết bị từ nhiều nhà cung cấp. Nếu không có sự thích nghi giữa các thiết bị vận hành VPN thì đảm bảo chất lượng dịch vụ (QoS) rất khó đạt được. Do đó, khi xây dựng một mạng VPN cần phải lựa chọn các thiết bị của các hãng có khả năng thích nghi với nhau trước khi lắp đặt chúng vào mạng VPN. Môt vấn đề khác nữa là khả năng quản lý tập trung của một mạng VPN. Điều này giúp cho người quản trị mạng dễ cấu hình, dễ quản lý và dễ khắc phục sự cố các vấn đề liên quan VPN từ một vùng cục bộ hay ứng dụng. Một điều quan trọng là cần phải có một phần mềm quản lý luôn ghi lại các hoạt động hệ thống (logs), điều này sẽ giúp quản trị mạng khoanh vùng và giải quyết sự cố trước khi gây ảnh hưởng đến chất lượng toàn bộ hệ thống. Tiêu chí tiếp theo là giải pháp VPN có dễ dàng bổ sung, cấu hình các thành phần khác hay không. Nếu thành phần bổ sung có kích thước lớn thì hệ thống quản lý có đủ khả năng ghi và theo dõi số lượng lớn các đường hầm bổ sung vào hệ thống hay không. Tính tiện dụng cũng là một tiêu chí không kém phần quan trọng. Các phần mềm VPN, đặc biệt là các phần mềm VPN cho khách hàng phải đơn giản và không phức tạp đối để người dùng có thể sử dụng một cách dễ dàng. Thêm vào đó qua trình xác nhận và giáo diện phải dễ hiểu và dễ sử dụng. Và yêu cầu về khả năng nâng cấp các mạng VPN đang tồn tại luôn được đặt ra, việc thêm vào các thành phần mới mà không thay đổi nhiều cơ sở hạ tầng hiện tại là một vấn đề bức thiết với những quản trị mạng. Vấn đề về việc quản lý băng thông luôn có một sự quan tâm đặc biệt để đảm bảo truyền dữ liệu sẵn sàng và ổn định với chất lượng dịch vụ (QoS) đảm bảo. Việc quản lý băng thông có nhiều khía cạnh bao gồm quản lý băng thông theo người sử dụng, theo nhóm, theo ứng dụng và có khả năng ưu tiên cho người sử dụng, theo nhóm hay ứng dụng tùy theo hợp đồng của các công ty. 2.2 Ưu điểm và khuyết điểm của VPN 2.2.1 Ưu điểm: Giảm chi phí thiết lập: VPN có giá thành thấp hơn rất nhiều so với các giải pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN. Khi sử dụng công nghệ VPN ta có thể tiết kiệm một cách đáng kể chi phí thuê kênh riêng hoặc các cuộc gọi đường dài bằng chi phí cuộc gọi nội hạt. Hơn nữa, sử dụng kết nối đến ISP còn cho phép vừa sử dụng VPN vừa truy nhập Internet. Công nghệ VPN cho phép sử dụng băng thông đạt hiệu quả cáo nhất. Giảm chi phí vận hành quản lý: bằng cách giảm chi phí viễn thông khoảng cách xa, VPN cũng giảm chi phí vận hành mạng WAN một cách đáng kể. Ngoài ra các tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN dử dụng trong VPN được quản lý bởi ISP. Một nguyên nhân nữa giúp làm giảm chi phí vận hành là nhân sự, tố chức không mất chi phí để đào tạo và trả cho nhiều người người quản lý mạng. Nâng cao kết nối (Enhanced connectivity): VPN sử dụng mạng Internet cho kết nối nội bộ giữa các phần xa nhau của intranet. Do Internet có thể được truy cập toàn cầu, do đó ở bất cứ các chi nhanh ở xa nào thì người sử dụng cũng có thể kết nối dễ dàng với mạng intranet chính Bảo mật: Bởi vì VPN sử dụng kĩ thuật tunneling để truyền dữ liệu thông qua mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó, VPN sử dụng thêm các phương pháp tàng cường bảo mật như mã hóa, xác nhận và üy quyền. Do đó VPN được đanh giá cáo bảo mật trong truyền tin. Có thể nâng cấp dễ dàng: VPN dựa trên cơ sở Internet nên các nó cho phép các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối thiểu. Điều này làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triển trong tương lai mà không cần đầu tư lại nhiều cho cơ sở hạ tầng. 2.2.2 Khuyết điểm: Phụ thuộc nhiều vào chất lượng mạng Internet. Sự qua tải hay tắt nghẽn mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các may trong mạng VPN. Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay dựa hoàn toàn trên cơ sở kĩ thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng may tính lớn (mainframes) và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPN không phù hợp được với các thiết bị và giao thức này. Chương 2 : Đánh giá hiệu quả sử dụng các loại VPN. 2.1 Đánh giá các loại VPN phân theo chức năng kết nối. 2.1.1 VPN truy nhập từ xa. VPN truy nhập từ xa cho phép mở rộng mạng công ty tới những người sủ dụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì. Loại VPN này có thể dùng để cung cấp truy nhập an toàn cho các thiết bị di động, những người sử dụng di động, các chi nhánh và các bạn hàng của công ty. Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp, thường yêu cầu một vài kiểu phần mềm chạy trên máy tính người sử dụng. Trước khi đánh giá về hệ thống VPN truy nhập từ xa, chúng ta hãy xem xét sơ bộ về hệ thống truy nhập từ xa truyền thống. Hệ thống này bao gồm các thành phần chính : Máy chủ truy nhập từ xa (RAS) được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu truy nhập từ xa, máy chủ dữ liệu và trung tâm dữ liệu. Khi người dùng muốn truy nhập từ xa thì họ sẽ quay số kết nối đến trung tâm. Với cách làm này thì độ bảo mật không cao, tốc độ chậm và nếu người sử dụng ở rất xa trung tâm thì họ phải trả cước phí gọi đường dài. Hình 2.1 : Phương thức truy nhập từ xa truyền thống. Triển khai VPN truy nhập từ xa, người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP`s POP và kết nối đến tài nguyên thông qua internet. Điều này làm giảm cước phí gọi đường dài một cách đáng kể. Để thiết lập một kết nối VPN truy nhập từ xa, người dùng từ xa và các văn phòng chi nhánh cần thiết lập kết nối dial-up địa phương với ISP hoặc ISP`s POP và kết nối với mạng trung tâm qua internet. Hình 2.2 : VPN truy nhập từ xa Ưu điểm : Không cần nhận sự hỗ trợ hệ thống do kết nối từ xa được thực hiện bởi ISP. Kết nối dial – up khoảng cách xa được loại bỏ, thay vào đó là các kết nối địa phương. Do đó chi phí vận hành giảm rất nhiều. Vì kết nối dial – up là cục bộ nên modem vận hành truyền dữ liệu tốc độ cao hơn so với phải truyền dữ liệu đi xa. VPN cho phép truy cập địa chỉ trung tâm tốt hơn bởi vì nó có hỗ trợ mức thấp nhất truy cập dịch vụ bất kể số người sử dụng đồng thời truy cập mạng tăng cao. Khi số người sử dụng trong hệ thống VPN tăng thì mặc dù chất lượng dịch vụ có giảm nhưng khả năng truy cập không hoàn toàn mất. Khuyết điểm : VPN truy nhập từ xa không đảm bảo chất lượng của dịch vụ (QoS). Khả năng mất dữ liệu là rất cao. Thêm vào đó, gói tin có thể bị phân mảnh và mất trật tự. Do tính phức tạp của thuật toán mã hóa nên quá trình xác nhận sẽ phức tạp hơn. Thêm vào đó, dữ liệu nén IP và hệ thống PPP based rất chậm và chất lượng không tốt. Sự truyền tải thông tin phụ thuộc vào mạng internet. Khi truyền tải dữ liệu đa phương tiện bằng VPN truy nhập từ xa có thể gây chậm đường truyền. 2.1.2 Intranet VPN Intranet VPN thường được sử dụng để kết nối các văn phòng chi nhánh của tổ chức với mạng intranet trung tâm. Trong hệ thống intranet không sử dụng kĩ thuật VPN thì ở mỗi site ở xa khi kết nối intranet trung tâm phải sử dụng campus router. Mô hình như hình 2.3 Hình 2.3 : Mô hình intranet sử dụng mạng trục WAN Hệ thống có chi phí cao bởi có ít nhất là hai router cần thiết để kết nối. Sự vận hành, bảo trì và quản lý intranet backbone yêu cầu chi phí phụ thuộc vào lưu lượng truyền tải tin của mạng và diện tích địa lý của mạng intranet. Với sự bổ sung giải pháp VPN thì chi phí đắt đỏ của WAN backbone được thay thế bằng chi phí thấp của kết nối internet, qua đó tổng chi phí cho mạng intranet sẽ giảm xuống. Giải pháp này được mô tả như hình 2.4 Hình 2.4 : Mô hình intranet xây dựng trên VPN. Ưu điểm : Giảm chi phí cho router được sử dụng ở WAN backbone. Giảm số nhận sự hỗ trợ nơi các trạm. Bởi vì internet là kết nối trung gian nên dễ dàng thiết lập các kết nối peer-to-peer mới. Hiệu quả kinh tế có thể đạt được bằng cách sử dụng đường hầm VPN kết hợp với kĩ thuật chuyển mạch nhanh như Frame Relay. Do kết nối dial – up cục bộ với ISP nên sự truy xuất thông tin nhanh hơn và tốt hơn. Sự loại bỏ các kêt nối đường dài giúp cho doanh nghiệp giảm chi phí vận hành intranet rất nhiều. Khuyết điểm : Mặc dù dữ liệu truyền đi trong tunnel nhưng do truyền trên một mạng công cộng là internet nên cũng tồn tại những nguy cơ bảo mật nguy hiểm như tấn công từ chối dịch vụ. Khả năng mất gói dữ liệu khi truyền đi vấn cao. Trong trường hợp truyền tải dữ liệu đa phương tiện thì gây quá tải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào internet. Do truyền dữ liệu dựa trên kết nối internet lên chất lượng có thể không ổn định và chất lượng dịch vụ không đảm bảo. 2.1.3 Extranet VPN Extranet VPN là một loại mạng riêng ảo. Nó không chỉ cho phép kết nối các người dùng trong cùng một công ty mà còn cho phép người dùng bên ngoài ( như các đối tác kinh doanh, khách hàng, nhà cung cấp…) truy nhập vào một tài nguyên nhất định của công ty. Hình 2.5 : Mô hình mạng Extranet truyền thống. Extranet truyền thống có rất nhiều đoạn kết nối với nhau nên chi phí xây dựng mạng rất tốn kém. Việc vận hành và quản lý mạng rất phức tạp và tốn kém, đòi hỏi nhà quản trị mạng phải có trình độ cao. Mặt khác việc mở rộng mạng rất khó khăn vì khi thêm hay bớt một nút mạng đỏi hỏi phải cài đặt lại toàn bộ mạng extranet. Mô hình Extranet VPN khắc phục những nhược điểm đó của mô hình Extranet truyền thống. Sự bổ sung của VPN giúp cho nhiệm vụ cài đặt cho các mạng ngoài trở nên dễ dàng hơn và giảm chi phí. Thiết lập extranet VPN được mô tả như hình 2.6 Mô hình Extranet xây dựng trên VPN Ưu điểm : Giảm chi phí rất nhiều so với phương pháp truyền thống. Dễ dàng cài đặt, bảo trì và chỉnh sửa các thiết lập có sẵn. Do sử dụng đường truyền internet, bạn có nhiều lựa chọn dịch vụ cho giải pháp tailoring phù hợp với nhu cầu tổ chức. Do các thành phần kết nối internet được bảo trì bởi ISP, giảm được chi phí nhân sự do đó giảm chi phí vận hành của toàn hệ thống. Khuyết điểm : Nguy cơ bảo mật như tấn công từ chối dịch vụ vẫn còn tồn tại. Tăng rủi ro cho sự xâm nhập vào intranet của tổ chức. Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng internet. Do truyền dữ liệu dựa trên kết nối trên internet nên chất lượng có thể không ổn định và chất lượng dịch vụ không đảm bảo. Mặc dù giải pháp VPN vẫn còn một số hạn chế nhưng các ưu điểm của VPN đã thỏa mãn rất tốt nhu cầu của các doanh nghiệp. 2.2 Đánh giá các loại VPN phụ thuộc vào sự thực thi. Phụ thuộc vào đầu cuối giao tiếp nào chịu trách nhiệm thực thi VPN, và quan tâm đến các yêu cầu an toàn. VPN có thể được phân loại theo ba loại sau : VPN phụ thuộc, VPN độc lập, VPN hỗn hợp. 2.2.1 VPN phụ thuộc. Trong trường hợp VPN phụ thuộc, nhà cung cấp dịch vụ chịu trách nhiệm về việc cung cấp giải pháp VPN hoàn chỉnh. Vì thế nó là trách nhiệm của nhà cung cấp dịch vụ để thi hành cơ sở hạ tầng đường hầm và cung cấp tính an toàn và hiệu suất trong khi bảo đảm tính quản lý được của thiết lập. Như vậy thì tổ chức đăng ký có vai trò nhỏ nhất trong loại thực thi VPN này. Bởi vì điều này, tổ chức không cần phải thay đổi cơ sở hạ tầng hiện có của nó. Hình 2.7 miêu tả cấu trúc của VPN phụ thuộc. Hình 2.7 : Cấu trúc VPN phụ thuộc. Xây dựng và quản lý VPN được thực hiện bởi nhà cung cấp dịch vụ. Khi một người dùng cố truy cập vào một dịch vụ hay tài nguyên ở xa, NAS được đặt tại ISP `s POP xác nhận người dùng. Nếu NAS lưu trữ thông tin liên quan đến thông tin thành viên, đặc quyền và các thông số đường hầm, nó có thể tự xác nhận các người sử dụng. Tuy nhiên NAS có thể truy vấn một server RADIUS, AAA hoặc TACACS về các thông tin liên quan. Sau khi được xác nhận, người sử dụng cuối cùng (người đã khởi tạo một phiên VPN) gửi và nhận các gói dữ liệu không đường hầm. Các gói này được tạo đường hầm hoặc lấy ra khỏi đường hầm tại đầu cuối của nhà cung cấp. Cấu trúc phụ thuộc này cần có các phương pháp xác nhận người dùng sử dụng RADIUS, AAA hay TACACS và tốt nhất là thực hiện nó tại các mạng nổi bộ. Ta cũng cần sử dụng tường lửa để ngăn chặn truy cập trái phép từ các mạng nội bộ của tổ chức. 2.2.2 VPN độc lập. VPN độc lập thì ngược lại với VPN phụ thuộc. Ở đây toàn bộ chức năng của việc thành lập VPN được xử lý bởi tổ chức đăng kí. Vai trò của nhà cung cấp dịch vụ trong trường hợp này là có thể bỏ qua và được giao cho nhiệm vụ xử lý lưu thông trên internet. Kỹ thuật tạo đường hầm, giải đường hầm và mật mã dữ liệu, giải mã dữ liệu xảy ra ở mạng nội bộ của tổ chức. Hình 2.8 miêu tả cấu trúc của VPN độc lập. Hình 2.8 : Cấu trúc VPN độc lập. VPN độc lập như trên hình, cung cấp một mức độ an toàn cao và cho phép tổ chức có thể duy trì sự điều khiển hoàn toàn đối với các giao dịch dựa trên VPN. Hầu hết các nhà quản trị đánh giá VPN này có độ an toàn cao bởi vì tổ chức không phải giao sự chịu trách nhiệm của cấu trúc VPN cho một thực thể bên ngoài. Thêm vào đó, giá thành tổng cộng của VPN trong nhà không lớn hơn nhiều so với VPN phụ thuộc. Tuy nhiên, cách tiếp cận này thêm vào một nhiệm vụ và ở ngoài tầm kiểm soát của nhà quản lý mạng. 2.2.3 VPN hỗn hợp. Cấu trúc VPN hỗn hợp cung cấp một sự kết hợn các cách tiếp cận VPN độc lập và phụ thuộc. Cách tiếp cận này được sử dụng khi tổ chức không giao giải pháp VPN hoàn chỉnh cho nhà cung cấp dịch vụ. Thay vào đó, một vài phần của giải pháp VPN được thực hiện và điều khiển bởi tổ chức trong khi phần còn lại được thực hiện và quản lý bởi nhà cung cấp dịch vụ, như hình 2.9. Hình 2.9 : VPN hỗn hợp có sự tham gia điều khiển của người dùng và nhà cung cấp dịch vụ. Một cách tiếp cận khác với VPN hỗn hợp như trên hình 2.10. Tổ chức giao giải pháp VPN tới nhiều nhà cung cấp dịch vụ thay vì một nhà cung cấp dịch vụ kiểm soát toàn bộ thiết lập như trong cấu trúc phụ thuộc. Như vây, không có nhà cung cấp dịch vụ nào có thể kiểm soát hoàn toàn cấu trúc hoàn chỉnh và theo cách này, tổ chức có thể thực hiện một VPN phụ thuộc mà không cần thêm nhiệm vụ quản lý VPN. Mặc dù cách tiếp cận này về mặt quản lý thì hơi phức tạp, nó cho phép tổ chức loại bỏ được sự độc quyền của một nhà cung cấp dịch vụ. Lợi điểm lớn nhất của cách tiếp cận này là nó tạo nên sự sẵn sàng, nếu một kết nối ISP bị trục trặc, ta vẫn còn những kết nối khác. Hình 2.10 : Cấu trúc VPN hỗn hợp nhưng có sự điều khiển của nhiều nhà cung cấp. 2.3 Đánh giá các loại VPN dựa trên độ an toàn. Mặc dù VPN là các giải pháp an toàn dựa trên mức độ an toàn, ta có thể phân ra thành các loại VPN sau : VPN router tới router, VPN tường lửa tới tường lửa, VPN được tạo bởi khách hàng và VPN trực tiếp. 2.3.1 VPN router tới router. VPN router tới router cho phép tạo một kết nối an toàn giữa các văn phòng của một tổ chức lại với nhau thông qua mạng internet. VPN router tới router có thể thực hiện những việc sau. a. Đường hầm đơn giao thức theo yêu cầu Trong cách thực hiện này, một đường hầm an toàn được thiết lập giữa các router được ở bên phía khách hàng và bên kia trung tâm như hình 2.11. Các loại đường hầm này có thể hỗ trợ nhiều loại kết nối đồng thời và duy trì cho tới khi kết nối cuối cùng đã xong. Để kết nối thành công đường hầm theo yêu cầu router tới router, các router tại cả hai đầu phải hỗ trợ các tính năng VPN như thuật toán mã hóa và cách thức trao đổi khóa. Một bất lợi lớn của phương pháp này là các đường hầm router tới router này phụ thuộc vào mạng nội bộ của nhà cung cấp dịch vụ đã chọn hoặc giao thức đường hầm. Hình 2.11 : Đường hầm đơn giao thức theo yêu cầu router tới router. b. Đường hầm đa giao thức theo yêu cầu. Cách tạo đường hầm này là sự mở rộng logic của các đường hầm đơn giao thức theo yêu cầu vì nó hỗ trợ nhiều giao thức đường hầm giữa hai vùng thông qua internet. Khi một khách hàng không có IP yêu cầu thiết lập một phiên VPN, một đường hầm “trong suốt”. Đường hầm này được thiết lập giữa các router tại hai đầu cuối như hình 2.12. Sau đó các dữ liệu không IP được đóng gói trong đường hầm và truyền qua internet hoặc bất kỳ mạng công cộng nào để đến được router đích. Hình 2.12 : Đường hầm đa giao thức theo yêu cầu router tới router. c. Các phiên mã hóa theo yêu cầu. Với cách thực hiện này, một đường hầm riêng biệt cho mỗi yêu cầu được thiết lập giữa các router tại hai đầu, mặc dù nhiều yêu cầu kết nối được phát ra ở cùng một nơi. Hình 3.13 mô tả các phiên được mã hóa dựa trên yêu cầu giữa hai router. Kết quả là nhiều đường hầm riêng rẽ tồn tại đồng thời kết nối hai vùng lại với nhau. Mỗi phiên mã hóa khác nhau. Bất lợi của cấu trúc VPN này là nó cần chi phí khá lớn. Hình 2.13 : Các phiên VPN mã hóa theo yêu cầu. 2.3.2 VPN tường lửa tới tường lửa. VPN tường lửa tới tường lửa được chia theo hai cách sau: a. Đường hầm đơn giao thức theo yêu cầu. Như hình 2.14, cách thực hiện tường lửa tới tường lửa rất giống với cách thực hiện đường hầm theo yêu cầu router tới router, ngoại trừ rằng việc các bức tường lửa được sử dụng ở hai đầu. Với cách làm này thì dữ liệu sẽ có một độ an toàn cao hơn. Khi cần, các nhà quản trị mạng có thể thêm vào các điều kiện bảo mật chặt chẽ hơn. Với sự hỗ trợ của tường lửa, lưu lượng có thể kiểm soát chặt chẽ hơn. Hình 2.14 : Đường hầm đơn giao thức theo yêu cầu tường lửa tới tường lửa. b. Đường hầm đa giao thức theo yêu cầu. Cách thực hiện tường lửa tới tường lửa chỉ ra các vấn đề liên quan đến sự khác nhau giữa các bức tường lửa sử dụng ở hai đầu giao tiếp; các bức tường lửa khác nhau không thể truyền thông thành công trong môi trường VPN. Các bức tường lửa ở cả hai đầu phải hỗ trợ các giao thức giống nhau để lọc luồng lưu thông thuộc về các giao thức khác nhau. Giao thức IPSec được sử dụng cho mục đích này vì nó hỗ trợ các đường hầm đa giao thức cũng như các bức tường lửa. Tuy nhiên yêu cầu trong trường hợp này là đầu còn lại cũng phải dựa trên IPSec. Hình 2.15 mô tả các đường hầm tường lửa tới tường lửa đa giao thức dựa trên yêu cầu. Hình 2.15 : Đường hầm đa giao thức theo yêu cầu tường lửa tới tường lửa. 2.3.3 VPN được khởi tạo bởi khách hàng. Đối với loại VPN được khởi tạo bởi khách hàng thì kĩ thuật mã hóa và quản lý đường hầm được thiết lập từ phía khách hàng VPN. Như vậy các khách hàng VPN đóng vai trò quan trọng trong việc khởi tạo các đường hầm. Loại VPN này có thể được phân nhỏ ra thành hai loại sau : a. VPN được khởi tạo từ khách hàng tới tường lửa hoặc router. Theo cách thực hiện này, phiên VPN được dàn xếp giữa khách hàng và tường lửa như trên hình 2.16. Tường lửa phải hỗ trợ việc xử lý các yêu cầu khởi tạo bởi khách hàng cho một phiên VPN. Cách làm này tạo ra một quá trình xử lý khổng lồ lên khách hàng vì sự quản lý, phân phối khóa và độ an toàn đưa đến việc xử lý có độ phức tạp cao. Thêm vào đó, khách hàng phải đối mặt với các vấn đề khác để có thích ứng với các hệ điều hành và các nền cấu trúc khác nhau của hệ thống. Hình 3.16 : Kiến trúc VPN khởi tạo từ khách hàng tới tường lửa hoặc router. b. VPN được khởi tạo từ khách hàng tới máy chủ. Với cách thực hiện tường lửa tới tường lửa, một phiên VPN từ đầu này đến đầu kia được thiết lập giữa người đặt ra yêu cầu và bộ xử lý yêu cầu như trên hình 2.17. Phương thức này tạo ra một nhiệm vụ xử lý khổng lồ ở phía khách hàng nhưng nó có độ an toàn h