Hình 3.10 Mô hình VPN truyền thống
Hạn chế đầu tiên và cũng là dễ nhận thấy nhất ở IPSec đó là làm giảm hiệu năng của mạng. Khi xét đường đi của một gói tin được gửi từ máy tính A trong mạng A đến máy tính B trong mạng B. Gói tin từ máy tính A sẽ đƣợc gửi đến CPE A. CPE-A sẽ kiểm tra gói tin xem liệu nó có cần thiết phải chuyển đến CPEB hay không. Trong một môi trường mạng không có VPN thì gói tin sẽ đƣợc truyền ngay đến CPE-B. Tuy nhiên, với giao thức IPSec, CPE-A phải thực hiện một số thao tác trước khi gửi gói tin đi. đầu tiên, gói tin đƣợc mã hóa, sau đó đóng gói vào các gói IP, hoạt động này tiêu tốn thời gian và gây trễ cho gói tin. Tiếp theo gói tin sẽ đƣợc đƣa vào trong mạng của nhà cung cấp dịch vụ. Lúc này, nếu gói tin mới đƣợc tạo thành có kích thước lớn hơn kích thước tối đa cho phép truyền (MTU) trên bất cứ một liên kết nào giữa CPE-A và CPE-B thì gói tin sẽ cần phải đƣợc phân mảnh thành hai hay nhiều gói tin nhỏ hơn. điều này chỉ xảy ra trong trường hợp bit DF (Don't Fragment) không được thiết lập, còn trong trường hợp bit DF đƣợc thiết lập thì gói tin sẽ bị mất và một bản tin ICMP sẽ đƣợc gửi lại phía phát. Khi gói tin đến đƣợc CPE-B, nó sẽ đƣợc mở gói và giải
mã, hai hoạt động này tiếp tục làm trễ gói tin trong mạng. Cuối cùng, CPE- B sẽ chuyển tiếp gói tin đến máy tính B.
Thời gian trễ trong mạng sẽ phụ thuộc vào độ phức tạp và tốc độ xử lý của các CPE. Các thiết bị CPE chất lượng thấp thường phải thực hiện hầu hết các chức năng IPSec bằng phần mềm khiến trễ trong mạng lớn. Các thiết bị CPE với khả năng thực hiện các chức năng IPSec bằng phần cứng có thể tăng tốc độ xử lý gói tin lên rất nhiều nhƣng chi phí cho các thiết bị này là rất đắt. điều này dẫn đến chi phí triển khai một mạng IPSec VPN là rất tốn kém.
Các công nghệ IP VPN khác hiện có, nhƣ IPSec, L2TP, L2F và GRE – tất cả đều hoạt động tốt với cấu hình mạng sao (hub–and–spoke). Tuy nhiên, mạng ngày nay cần liên lạc nhiều chiều (any–to–any). Để hỗ trợ điều này sử dụng Frame relay hay giao thức đường hầm thì cần phải có cấu hình dạng kết nối đầy đủ (full mesh) các PVC hay đường hầm giữa các vùng là thành viên. Mạng không thể cung cấp và quản lý một cấu hình đầy đủ (full mesh topology) sử dụng các công nghệ truyền thống với hàng ngàn hay chục ngàn VPN.
Một điểm chúng ta cần phải cân nhắc khi triển khai các mạng VPN đó là các thiết bị CPE. Mỗi nhà cung cấp cần phải chắc chắn rằng tất cả các CPE sẽ hoạt động tương thích với nhau. Giải pháp đơn giản và hiệu quả nhất là sử dụng cùng một loại CPE trong mỗi vùng, tuy nhiên, điều này không phải bao giờ cũng thực hiện đƣợc do nhiều yếu tố khác nhau. Tuy ngày nay sự tương thích không phải là một vấn đề lớn nhưng nó vẫn cần phải đƣợc quan tâm khi hoạch định một giải pháp mạng IPSec VPN.
3.7.2 MPLS VPN
Hình 3.11 MPLS VPN
Các mạng MPLS VPN không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt đƣợc mức độ bảo mật cao. MPLS VPN sử dụng bảng chuyển tiếp và các nhãn để tạo nên tính bảo mật cho mạng VPN. Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN, và các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn trong phần lõi của mạng.
Mỗi VPN đƣợc kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt. VRF cung cấp các thông tin về mối quan hệ trong VPN của một site khách hàng khi đƣợc nối với PE router. Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các bảng định tuyến IP và bảng CEF. Các bảng này đƣợc duy trì riêng lẻ cho từng VRF nên nó ngăn chặn đƣợc hiện tƣợng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng nhƣ ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong mạng VPN. Đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các site có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua site trung tâm.
Các CE không đòi hỏi chức năng VPN và hỗ trợ IPSec. điều này có nghĩa là khách hàng không phải chi phí quá cao cho các thiết bị CE.
Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng không phải thông qua các hoạt động nhƣ đóng gói và mã hóa.
Sở dĩ không cần chức năng mã hóa là vì MPLS VPN tạo nên một mạng riêng.
Việc tạo một mạng đầy đủ (full mesh) VPN là hoàn toàn đơn giản vì các MPLS VPN không sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là full mesh, trong đó các site đƣợc nối trực tiếp với PE vì vậy các site bất kỳ có thể trao đổi thông tin với nhau trong VPN.
Hoạt động khai thác và bảo dƣỡng cũng đơn giản hơn trong mạng MPLS-VPN.