VPN (Virtual Private Network – mạng riêng ảo) - VPN là hệ thống mạng riêng ảo kết nối giữa các máy tính dựa trên đường truyền internet. - VPN Server: cung cấp dịch vụ VPN cho các client kết nối vào. - VPN Client: máy thực hiện kết nối VPN tới Server. - VPN sử dụng 1 trong 2 giao thức: o PPTP (Point-to-Point Tunnelling Protocol):  Chứng thực bằng giao thức MS-CHAP v2.  Dữ liệu truyền trên đường VPN chỉ được mã hóa sau khi kết nối VPN thành công. o L2TP/IPSec (Layer 2 Tulnneling Protocol / IP Security)  Mã hóa dữ liệu bằng IPSec (dùng Preshared Key) hoặc SSL (dùng CA).  Mã hóa ngay tại giai đoạn chứng thực và cả giai đoạn truyền dữ liệu. - Có 2 kiểu VPN: o VPN Client-to-site o VPN Site-to-Site VPN Client-to-Site: - Dựa trên đường truyền internet, máy Client bên ngoài sẽ kết nối với mạng nội bộ (bên trong VPN Server) như là “mạng riêng”. - Khi thực hiện kết nối VPN thành công, một “đường hầm” (tunnel) sẽ được thiết lập để truyền dữ liệu giữa VPN Client và VPN Server. - Máy Client bên ngoài sẽ kết nối với hệ thống mạng nội bộ theo kiểu LAN Routing. Trong đó, VPN Server đóng vai trò là 1 Router. - Việc tạo ra một tunnel để kết nối mạng riêng ảo làm phát sinh trên máy Server (và cả Client) một giao tiếp mạng (card mạng) ảo mới. - Địa chỉ IP gán cho các NIC ảo trên tunnel bắt buộc phải khác Network ID với các mạng đang có trong hệ thống. (xem hình) - IP của NIC ảo trên các Client là do Server cấp tự động.  IP address 192.168.1.2 /24 là IP “mặt ngoài” của VPN Server.  IP address 192.168.1.222 /24 là IP của VPN Client.  IP address 192.168.10.0 /24 là IP của các máy trong mạng nội bộ (bên trong VPN Server.  IP address 192.168.11.1 /24 là IP của NIC ảo (tạo tunnel) của VPN Server.  IP address 192.168.11.2 /24 là IP của NIC ảo (tạo tunnel) của VPN Client. VPN Site-to-Site: - Dựa trên đường truyền internet, máy 02 mạng nội bộ ở 2 Chi nhánh sẽ kết nối với nhau như là “mạng riêng”. - Máy ISA sẽ đóng vai trò của Router. Nó định tuyến các traffic qua lại giữa 2 mạng. - Kết nối VPN site-to-site, mỗi Server sẽ mang 2 chức năng: o Là VPN Server: tiếp nhận phiên kết nối từ Server bên kia vào. o Là VPN Client: thức hiện kết nối tới VPN Server bên kia. - Như vậy, trên mỗi Server sẽ phát sinh 2 tunnel: o Tunnel 1: “đường hầm” cho phép server ở xa kết nối vào. o Tunnel 2: “đường hầm” kết nối tới server ở xa. - Mỗi tunnel sẽ phát sinh một NIC ảo. IP address xác định theo quy luật: o Tunnel 1 (vai trò VPN Server): dùng IP address đầu tiên của dãy IP address cấp phát cho các VPN Client ở xa. o Tunnel 2 (vai trò VPN Client): IP address do các VPN Server ở xa cấp phát động o Các dãy IP address phải khác Network ID với nhau. - Mỗi Server phải tạo ít nhất 1 Tài khoản có quyền Remote access Dial-In (đăng nhập từ xa theo kiểu quay số) vào Server. Tài khoản này sẽ cấp cho người quản trị Server ở xa. - Do ISA Firewall chỉ nhận dạng các Network đã được định nghĩa trước, người quản trị phải định nghĩa Network của Site bên kia (ở xa) cho ISA. Dãy IP address của mạng là dảy IP nội bộ của site bên kia. - Để nhận dạng Site ở xa kết nối vào: o Một VPN có thể kết nối site-to-site với nhiều VPN Server khác nhau. o Khi VPN Server nhận đươc một yêu cầu kết nối site-to-site từ bên ngoài gởi vào, nó sẽ căn cứ vào Tên tài khoản mà yêu cầu kết nối đó khai báo để nhận dạng yêu cầu kết nối đó xuất phát từ Site nào. Từ đó, VPN Server sẽ dùng kết nối mạng tương ứng để kết nối phản hồi về Site kia. o Tên Tài khoản (site ở xa khai báo) phải trùng với tên Network (đã được định nghĩa tại Site nhận yêu cầu kết nối). Hay nói cách khác: Khi tạo một kết nối VPN thì cũng phải tạo 1 Tài khoản cùng tên với tên của kết nối VPN đó. . VPN (Virtual Private Network – mạng riêng ảo) - VPN là hệ thống mạng riêng ảo kết nối giữa các máy tính dựa trên đường truyền internet. - VPN Server: cung cấp dịch vụ VPN cho các. client kết nối vào. - VPN Client: máy thực hiện kết nối VPN tới Server. - VPN sử dụng 1 trong 2 giao thức: o PPTP (Point-to-Point Tunnelling Protocol):  Chứng thực bằng giao thức MS-CHAP v2. . liệu. - Có 2 kiểu VPN: o VPN Client-to-site o VPN Site-to-Site VPN Client-to-Site: - Dựa trên đường truyền internet, máy Client bên ngoài sẽ kết nối với mạng nội bộ (bên trong VPN Server) như