Giải pháp Site to Site VPN

I. Giới thiệu tổng quan VPN:

VPN là viết tắt của mạng riêng ảo (Virtual Private Network), nhiệm vụ của nó là đảm
bảo việc phân phối dữ liệu an toàn trên các mạng công cộng. Thông qua việc sử
dụng mạng riêng ảo, cho phép người dùng gửi dữ liệu như thể các máy chủ được kết
nối trực tiếp với mạng riêng đó.

Sơ đồ tổng quát:

Bài toán: Giả sử bạn có trụ sở chính nơi đặt cơ sở hạ tầng và các máy chủ quản lý dữ
liệu đặt tại Hà Nội, và cũng có các văn phòng chi nhánh đặt khắp cả nước. Các văn
phòng chi nhánh này không có các máy chủ đủ sức để giải quyết được khối lượng
công việc lớn. Chính sách của công ty yêu cầu dữ liệu này phải được chuyển về trụ sở
chính nơi có các máy chủ đủ sức mạnh để giải quyết khối lượng công việc và lưu trữ
thông tin lâu dài. Với tư cách là người tư vấn giải pháp, hãy đưa ra giải pháp tối ưu
nhất về chi phí cũng như đảm bảo tính khả dụng cho cao giải pháp đó.

Có rất nhiều cách để truyền dữ liệu từ chi nhánh tới trụ sở:
❖ Sử dụng đường truyền số liệu dành riêng (Direct Connect) để kết nối trực tiếp
từ chi nhánh tới trụ sở chính, đây là tùy chọn tuyệt với có độ bảo mật cao tuy
nhiên với giải pháp này tốn kém rất nhiều chi phí và thời gian triển khai lâu.
❖ Sử dụng mạng MPLS riêng, đây là một tùy chọn tuyệt vời tuy nhiên với giải
pháp này nó có chi phí rất cao.
❖ Sử dụng Public Internet có chi phí phải chăng tuy nhiên có một vấn đề với giải
pháp này, mạng công cộng có rất nhiều mối nguy hiểm tiềm tàng trên đó, trên
đó có rất nhiều kẻ xấu chực chờ để khai thác dữ liệu đó.
❖ Sử dụng Virtual Private Network, nơi dữ liệu được mã hóa trước khi truyền đi
qua internet công cộng, theo các này kẻ xấu có thể lấy được dữ liệu của bạn tuy
nhiên không thể hiểu được, giải mã được dữ liệu đó. Có hai loại VPN : Site to
Site VPN, Remote Access
=> Từ yêu cầu của bài toán và phân tích các cách truyền dữ liệu nhận thấy sử dụng
Site to Site VPN là cách thức tối ưu về chi phí tuy nhiên cần xây dựng mô hình kết
nối Site to Site VPN sao cho có độ khả dụng cao nhất.

II. Giới thiệu giải pháp Site-to-Site VPN:

Site-to-Site VPN (VPN giữa các vị trí) cho phép kết nối an toàn giữa hai hoặc nhiều
mạng LAN khác nhau thông qua mạng công cộng, chẳng hạn như internet. VPN này
cho phép hai vị trí vật lý hoặc hơn (Site A và Site B) kết nối với nhau như nếu chúng
đang trong cùng một mạng LAN. Dữ liệu được mã hóa tại một điểm và giải mã tại
điểm đích.

Một trong những giao thức phổ biến để cấu hình Site-to-Site VPN là IPsec (Internet
Protocol Security). IPsec sử dụng các giao thức mã hóa để đảm bảo tính bảo mật và
toàn vẹn của dữ liệu trong quá trình truyền qua mạng.

Các kiểu VPN Site-to-Site có thể được triển khai theo cách kết nối phần cứng với
phần cứng, phần cứng với phần mềm và phần mềm với phần mềm. Dưới đây là mô tả
chi tiết về từng kiểu kết nối:
❖ Dùng phần cứng kết nối với phần cứng (Hardware-to-Hardware VPN):
Trong kiểu kết nối này, hai thiết bị phần cứng VPN (như router VPN hoặc
firewall VPN) được cấu hình để thiết lập một kết nối an toàn trực tiếp với nhau
thông qua mạng công cộng, chẳng hạn như Internet. Các thiết bị này sẽ thực
hiện việc mã hóa và giải mã dữ liệu, cũng như xác thực và quản lý kết nối
VPN. Đây là một giải pháp phổ biến và đáng tin cậy để kết nối hai mạng riêng
từ xa.
❖ Dùng phần cứng kết nối với phần mềm (Hardware-to-Software VPN):
Trong trường hợp này, một thiết bị phần cứng VPN (như router VPN) được kết
nối với một phần mềm VPN đang chạy trên một máy tính hoặc máy chủ. Phần
cứng VPN sẽ xử lý việc mã hóa và giải mã dữ liệu, trong khi phần mềm VPN
sẽ xử lý các yêu cầu xác thực và quản lý kết nối. Cách này cho phép triển khai
linh hoạt và có thể phù hợp trong một số trường hợp cụ thể.
❖ Dùng phần mềm kết nối với phần mềm (Software-to-Software VPN):
Trong kiểu kết nối này, hai máy tính hoặc máy chủ chạy phần mềm VPN sẽ tạo
ra một kết nối VPN trực tiếp qua mạng công cộng. Phần mềm VPN sẽ xử lý tất
cả các khía cạnh của kết nối, bao gồm mã hóa, giải mã, xác thực và quản lý kết
nối. Phương pháp này thường được sử dụng trong các môi trường ảo hóa hoặc
đám mây, nơi triển khai phần cứng VPN truyền thống không phải lúc nào cũng
là lựa chọn tốt.
Mỗi kiểu VPN Site-to-Site có ưu điểm và hạn chế riêng, và sự lựa chọn phù hợp phụ
thuộc vào yêu cầu và môi trường cụ thể của hệ thống mạng.
Với yêu cầu chi phí tối thiểu và không có cơ sở hạ tầng phần cứng. Lựa chọn sử dụng
phần mềm kết nối với phần mềm là tối ưu nhất.

❖ OpenVPN: OpenVPN là một giải pháp mã nguồn mở và miễn phí cho VPN.
Nó hỗ trợ nhiều giao thức bảo mật như SSL/TLS và sử dụng một phần mềm
điều khiển cho việc tạo và quản lý kết nối VPN. OpenVPN có khả năng triển
khai trên nhiều hệ điều hành, bao gồm Windows, Linux, macOS và các thiết bị
di động.
❖ SoftEther VPN: SoftEther VPN cũng là một giải pháp mã nguồn mở, cho phép
triển khai các kết nối VPN mạnh mẽ và an toàn. Nó hỗ trợ nhiều giao thức như
SSL, L2TP/IPsec, và hỗ trợ tốt cho các hệ điều hành phổ biến.
❖ StrongSwan là một giải pháp mã nguồn mở cho VPN (Virtual Private
Network) dựa trên giao thức IPsec (Internet Protocol Security). Nó cho phép
bạn tạo ra các kết nối VPN an toàn giữa các mạng hoặc thiết bị khác nhau
thông qua mạng công cộng, chẳng hạn như Internet. StrongSwan hỗ trợ cả
VPN Remote Access (các kết nối VPN từ xa, nơi người dùng từ xa kết nối vào
mạng) và VPN Site-to-Site (kết nối giữa hai mạng LAN riêng).

III. Cài đặt và cấu hình StrongSwan và tạo ipsec kết nối giữa 2 cụm VPC
Trong bài hướng dẫn này bao gồm 4 máy chủ: 2 máy chủ public và 2 máy chủ private

Máy chủ thực hiện trong hướng dẫn sử dụng OS Ubuntu bản 22.04

Thông tin máy chủ như sau:

Site A:
 Máy chủ public:
IP Public: 116.103.227.107
IP Private: 192.168.1.19
Private Subnet: 192.168.1.0/24

 Máy chủ private:

IP Private: 192.168.1.167
Private Subnet: 192.168.1.0/24

Site B:
 Máy chủ public:
IP Public: 116.103.227.133
IP Private: 10.16.0.171
Private Subnet: 10.16.0.0/24
  Máy chủ private:
IP Private: 10.16.0.196
Private Subnet: 10.16.0.0/24

Sơ đồ tổng quát:

1. Kiểm tra bảng định tuyến

Để kiểm tra bảng định tuyến run command:
$ route -n
Nếu không có thông tin đầy đủ của các subnet tiến hành thêm thủ công thông tin
subnet vào bảng định tuyến bằng command sau:
$ ip route add <CIDR Subnet> dev <network interface> proto dhcp scope link
metric 100
Tuy nhiên giải pháp này chỉ là tạm thời cần cấu hình định tuyến sao cho khi network
retries sẽ không bị mất cấu hình.
Đối với Ubuntu Server thì sửa cấu hình trong netplan:
$ cd /etc/netplan
Cấu hình file 01-netcfg.yaml
$ vi 01-netcfg.yaml
Thêm cấu hình sau tuy thuộc tình huống
##
network:
version: 2
renderer: networkd
ethernets:
 eth0:
dhcp4: yes
eth1:
dhcp4: yes
routes:
- to: <CIDR Subnet 1>
via: <IP Gateway Subnet>
- to: <CIDR Subnet 2>
via: <IP Gateway Subnet>
eth2:
dhcp4: yes
dhcp4-overrides:
use-routes: false
routes:
- to: <IP Public 2>
via: <IP GATEWAY Public>
eth3:
dhcp4: yes
eth4:
dhcp4: yes

Example:

##
network:
version: 2
renderer: networkd
ethernets:
eth0:
dhcp4: yes
eth1:
dhcp4: yes
dhcp4-overrides:
use-routes: false
routes:
- to: 10.16.0.0/24
via: 10.16.0.1
- to: 10.16.1.0/24
via: 10.16.0.1
eth2:
dhcp4: yes
dhcp4-overrides:
 use-routes: false
routes:
- to: 116.103.227.34/32
via: 116.103.227.254
metric: 100
eth3:
dhcp4: yes
eth4:
dhcp4: yes

Sau khi cấu hình xong chạy command:

$ netplan apply

2. Cài đặt và cấu hình StrongSwan

❖ Tiến hành update run command:
$ apt update
❖ Tải package StrongSwan
$ apt install strongswan -y
❖ Kiểm tra xem tham số kernel sau có được đặt hay không
$ sysctl -p
❖ Nếu không có thông tin tiến hành thêm cấu hình sau vào file /etc/sysctl.conf
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
Chỉnh sửa file /etc/sysctl.conf
$ vi /etc/sysctl.conf
❖ Kiểm tra trạng thái của StrongSwan run command
$ systemctl status strongswan-starter
 ❖ Tạo Preshared Key (PSK):
$ openssl rand -base64 64
Lưu ý thông tin PSK giữa 2 server cài đặt Strong Swan phải được đồng bộ với nhau.
❖ Cấu hình IP Sec:
$ vi /etc/ipsec.secrets
❖ Điền thông tin
<Source IP> <Destination IP> : PSK "……………………"
❖ Ví dụ:
116.103.227.149 116.103.227.172 : PSK
"gIIn09Lgs9cFFHgCDz+hhu+bW1dwKJq958FcEkYrgwiofHHMeixxAlXOL1CHI
a9eGF91LWRGNruJKz5nk+5eAw=="
❖ Cấu hình ipsec
$ cp /etc/ipsec.conf /etc/ipsec.conf.orig
$ vi /etc/ipsec.conf
Thêm cấu hình sau:

# basic configuration
config setup
charondebug="all"
uniqueids=yes
strictcrlpolicy=no
# connection to site B
conn SiteA-to-SiteB
authby=secret
left=%defaultroute
leftid=<IP Public Site A>
leftsubnet=<Subnet Private Site A>
right=<IP Public Site B>
rightsubnet=<Subnet Private Site B>
ike=aes256-sha2_256-modp1024!
esp=aes256-sha2_256!
keyingtries=0
ikelifetime=1h
lifetime=8h
dpddelay=30
dpdtimeout=120
dpdaction=restart
keyexchange=ikev2
auto=start
 ❖ Giải thích các tham số:
 config setup: chỉ định thông tin cấu hình chung cho IPSec áp dụng cho tất cả
các kết nối.
 charondebug = “all” xác định số lượng đầu ra gỡ lỗi Charon sẽ được ghi lại.
 uniqueids = yes cho biết liệu một ID người tham gia cụ thể là duy nhất.

 strictcrlpolicy=no điều này có nghĩa là strongSwan sẽ không đòi hỏi chứng
chỉ phải được đánh dấu là đã thu hồi (CRLs của chúng không được dùng hoặc
không tìm thấy) để thiết lập kết nối VPN (Optional).
 conn SiteA-SiteB là tên kết nối.
 authby=secret chỉ định cách kết nối được xác thực.
 auto=start cho phép bắt đầu kết nối theo mặc định.
 type=tunnel là loại kết nối (default type = tunnel).
 left=138.201.255.67 là địa chỉ IP công khai của máy chủ A.
 leftsubnet=192.168.200.43/24 là mạng con/IP riêng của máy chủ A.
 right=95.217.16.14 là địa chỉ IP công khai của máy chủ B/máy chủ từ xa.
 rightsubnet=192.168.200.130/24 là mạng con/IP riêng của máy chủ B.
 ike=aes256-sha2_256-modp1024 là loại mã hóa khi trao đổi khóa Internet.
 keyexchange=ikev2 là phiên bản trao đổi khóa trên Internet.
 ikelifetime=1h là thời gian trước khi xác thực lại khóa.
 esp=aes256-sha2_256 là bộ giao thức bảo mật đóng gói.
 aggressive cho biết nên sử dụng Chế độ tích cực hay Chế độ chính.
 keyingtries cho biết số lần thử cần thực hiện để đàm phán kết nối.
 lifetime xác định thời gian tồn tại của một phiên bản kết nối cụ thể, kể từ
khi thương lượng thành công đến khi hết hạn.
 dpddelay chỉ định khoảng thời gian mà các trao đổi được gửi đến ngang hàng.
dpdtimeout chỉ định khoảng thời gian chờ để xóa các kết nối trong trường hợp
không hoạt động.
 dpdaction nêu cách sử dụng giao thức Phát hiện ngang hàng chết (DPD) để
quản lý kết nối.

❖ Sau khi cấu hình IPsec xong tiến hành start/restart IPSec
$ ipsec start / ipsec restart
❖ Kiểm tra kết nối IPSec
$ ipsec statusall
❖ Set service to start after boot:
$ systemctl enable strongswan-starter
❖ To get IPsec SA information:
$ ip xfrm state
❖ Capture ESP packet
$ tcpdump -i eth0 host <ip address> and esp -nn
 ❖ Sau khi cấu hình StrongSwan Server và tạo kết nối thành công

3. Cấu hình route table trên client server

❖ Trên Client Server Site A
$ ip route add <Subnet Site B> via <Ip Private Strong Swan Server>
Tuy nhiên giải pháp này chỉ là tạm thời cần cấu hình định tuyến sao cho khi network
retries sẽ không bị mất cấu hình.
Đối với Ubuntu Server thì sửa cấu hình trong netplan:
$ cd /etc/netplan
Cấu hình file 01-netcfg.yaml
$ vi 01-netcfg.yaml
Thêm cấu hình sau tuy thuộc tình huống
##
network:
version: 2
renderer: networkd
ethernets:
eth0:
dhcp4: yes
eth1:
dhcp4: yes
routes:
- to: 192.168.0.0/16 <CIDR Site B>
via: 10.16.0.171<Gateway Site to Site VPN>
eth2:
dhcp4: yes
eth3:
dhcp4: yes
eth4:
dhcp4: yes

Sau khi cấu hình xong chạy command:

$ netplan apply

❖ Thực hiện điều tương tự với Client Server Site B

4. Một số lưu ý:
 ❖ Ngoài ra nếu trên server bạn có sử dụng firewall thì để kết nối giữa Site A với
Site B bạn nên thêm các quy tắc trên tường lửa để đảm bảo việc kết nối.
❖ Nếu đã kết nối được từ máy chủ StrongSwan nhưng chưa kết nối được từ máy
chỉ client đảm bảo các chính sách trên security group được mở đúng cách.
❖ Nếu máy bạn kiểm tra trạng thái của tunnel được mở và chính sách trên SG
đúng tuy nhiên vẫn không thể kết nối. Thì hãy kiểm tra lại xem firewall đã mở
cho phép giao thức hoặc port đó đi qua chưa.
❖ Nếu vẫn không thể thực hiện được kết nối hãy đảm bảo rằng tuyến đường từ
chân public đến chân private là thông thoáng

Với giải pháp trên hiện tại đang sử dụng một đường để kết nối, trong trường hợp
tunnel không khả dụng hoặc kết nối tới nhà mạng bị mất hoặc server cài đặt giải pháp
phần mềm Site to Site VPN bị sập, kết nối sẽ bị gián đoạn. Bài toán đầu tiên yêu cầu
kết nối có độ khả dụng cao vì vậy ta cần xây dựng giải pháp có độ khả dụng cao cho
kết nối Site to Site VPN

IV. Xây dựng giải pháp dự phòng VPN

Để xây dựng giải phải pháp đó có rất nhiều cách tùy thuộc vào từng mục đích có thể
sử dụng các cách khác nhau để làm điều đó. Sau đây là một số mô hình xây dựng tính
khả dụng cao đảm bảo kết nối Site to Site VPN

2.1. Dự phòng 1+1 máy chủ strongswan 02 đầu:

❖ Mô hình 1: Ở mô hình này sử dụng tổng cộng 2 máy chủ strongswan ở mỗi bên
kết nối và dự phòng. Mô hình này là mô hình có độ khả dụng cao nhất trong tất
cả các mô hình tuy nhiên chi phí bỏ ra cho giải pháp này cao. Thích hợp trong
trường hợp cả bên chinh nhánh và trụ sở chính có 2 đường kết nối mạng và có
dư tài nguyên phục vụ cho việc dựng máy chủ Site to Site VPN.
2.2. Dự phòng 1+1 strongswan tại 1 đầu với 02 public ip kết nối giữa 2 site
❖ Mô hình 2: Mô hình sau sử dụng hai máy chủ strongswan ở một bên bên còn
lại đảm bảo tỷ lệ SLA dịch vụ cao hoặc nhà cung cấp có sẵn dịch vụ cung cấp
VPN Gateway. Với mô hình này yêu cầu nhà cung cấp đảm bảo tỷ lệ SLA cao
của dịch vụ cũng như đường kết nối tới máy chủ cài đặt Site to Site VPN. Khi
đó phần còn lại chịu trách nhiệm tạo giải pháp dự phòng cho kết nối. Ví dụ tại
trụ sở chính nơi được đảm bảo về mặt hạ tầng máy chủ luôn trong trạng thái
sẵn sàng và chất lượng kết nối mạng đảm bảo khả dụng 24/7. Còn về phía chi
nhánh nơi đặt máy chủ không có đường mạng ổn định cũng như máy chủ
không đảm bảo độ khả dụng cao.

2.3. Dự phòng 1+1 cho đường truyền với 02 ip public, 1 máy chủ strongswan

Trong mô hình này:

Giả sử một máy chủ StrongSwan bên Site A bị mất kết nối.
Server Client sẽ lựa chọn tuyến đường còn lại để kết nối.
❖ Mô hình 3: Sử dụng một server có 2 chân public Ip để kết nối Site to Site VPN.
Trong mô hình này về phần chi phí là tối ưu nhất tuy nhiên. Phần máy chủ cài
đặt cũng như đường kết nối mạng cần đảm bảo luôn khả dụng và sẵn sàng để
kết nối được thông suốt. Thích hợp khi ở trụ sở chính cũng như chi nhánh có
sẵn hai đường mạng kết nối và server cài đặt Site to Site VPN luôn trong trạng
thái sẵn sàng.

Khi sử dụng mô hình 3:

Tùy thuộc vào cấu hình mạng và metric trong route tuyến đường đi sẽ phụ thuộc vào
chỉ số này.

Ví dụ: Với cấu hình như sau

Trên máy demo đang xây dựng 2 đường Site to Site VPN
Cấu hình Route Table như sau:
Lưu ý metric càng thấp độ ưu tiên càng cao.
Hiện tại theo như cấu hình route table như trên card eth2 đang được ưu tiên hơn nên
khi di chuyển trao đổi dữ liệu Site to Site VPN sẽ ưu tiên tuyến đường này hơn.
Kiểm tra nghiệm chứng

Trên card eth2 nhận được thông tin gói tin icmp khi thực hiện kết nối.

Kiểm tra trên card eth0

Trên card eth0 không nhận được thông tin gói tin icmp khi thực hiện kết nối.

Nhược điểm của mô hình này là phức tạp trong triển khai và cấu hình route.

V. Ưu điểm của giải pháp Site to Site VPN

❖ An toàn dữ liệu: Site-to-Site VPN sử dụng mã hóa để bảo vệ dữ liệu truyền
qua mạng Internet giữa các vị trí. Điều này đảm bảo rằng thông tin nhạy cảm
không thể bị đánh cắp hoặc bị truy cập trái phép trong quá trình truyền tải.
❖ Tiết kiệm chi phí: So với việc thiết lập các mạng riêng ảo truyền thống bằng
các dịch vụ thuê bao riêng biệt, Site-to-Site VPN giúp tiết kiệm chi phí đáng
kể. Nó sử dụng cơ sở hạ tầng Internet hiện có và không yêu cầu việc sở hữu cơ
sở hạ tầng đặc biệt.
❖ Kết nối dễ dàng: Việc thiết lập Site-to-Site VPN thường khá dễ dàng, đòi hỏi
ít thời gian và tài nguyên so với việc triển khai các giải pháp mạng phức tạp
khác như MPLS (Multiprotocol Label Switching).
 ❖ Tích hợp linh hoạt: Site-to-Site VPN cho phép tích hợp các vị trí khác nhau
vào mạng tổ chức, bao gồm cả các trang web hoặc dịch vụ đặt biệt chạy trên
đám mây công cộng.
❖ Khả năng mở rộng: Giải pháp VPN Site-to-Site có khả năng mở rộng, cho
phép bạn thêm các vị trí mới vào mạng hiện có một cách dễ dàng khi tổ chức
của bạn mở rộng hoặc thay đổi cơ cấu.
❖ Hiệu suất cao: Nếu được cấu hình đúng, Site-to-Site VPN có thể cung cấp
hiệu suất đáng tin cậy và nhanh chóng, cho phép truy cập dữ liệu và tài nguyên
giữa các vị trí một cách hiệu quả.
❖ Bảo mật tăng cao: Các giải pháp VPN phổ biến hiện nay, chẳng hạn như
IPsec (Internet Protocol Security), cung cấp các cơ chế bảo mật mạnh mẽ,
chẳng hạn như xác thực hai yếu tố, chứng thực và sự toàn vẹn của dữ liệu.

VI. Nhược điểm của giải pháp Site to Site VPN

❖ Khả năng mở rộng có hạn: Site-to-Site VPN có thể trở nên khó khăn khi cần
mở rộng mạng hoặc thêm các địa điểm mới vào hệ thống. Điều này đòi hỏi
quản trị viên phải cấu hình và duy trì các kết nối VPN mới mỗi khi có sự thay
đổi trong cơ cấu mạng.
❖ Hiệu suất và băng thông: Hiệu suất của Site-to-Site VPN có thể bị ảnh hưởng
bởi hiệu năng của kết nối Internet, đặc biệt khi các vị trí có đường truyền
không ổn định hoặc có băng thông hạn chế. Việc truyền dữ liệu qua các kết nối
VPN có thể gây trễ và giảm tốc độ truyền dữ liệu so với mạng LAN truyền
thống.
❖ Quản lý và bảo mật: Site-to-Site VPN yêu cầu sự quản lý phức tạp và chặt
chẽ để đảm bảo tính bảo mật của hệ thống. Cần phải duy trì các chứng chỉ và
mật khẩu đáng tin cậy, đồng thời kiểm soát quyền truy cập để đảm bảo chỉ
những người được ủy quyền mới có thể truy cập vào mạng VPN.
❖ Single Point of Failure: Khi một điểm kết nối VPN gặp sự cố, nó có thể dẫn
đến việc mất kết nối giữa các chi nhánh hoặc vị trí khác nhau. Điều này gây
ảnh hưởng lớn đến khả năng liên lạc và trao đổi dữ liệu giữa các vị trí.
❖ Chi phí: Triển khai và duy trì hệ thống Site-to-Site VPN có thể đòi hỏi một số
chi phí, đặc biệt là khi bạn cần phải sử dụng các thiết bị phần cứng hoặc dịch
vụ bảo mật chuyên nghiệp.

Mặc dù có nhược điểm, Site-to-Site VPN vẫn là một giải pháp hữu ích để kết nối các
mạng LAN riêng biệt và tạo mạng riêng ảo an toàn trên Internet hoặc mạng công
cộng. Tuy nhiên, trước khi triển khai, cần cân nhắc và xem xét các yếu tố an ninh và
hiệu suất để đảm bảo rằng nó phù hợp và đáng tin cậy cho nhu cầu của tổ chức.