Báo Cáo Thực Tập VPN Client To Site

LỜI MỞ ĐẦUHiện nay, Internet đang phát triển mạnh mẽ cả về mặt mô hình lẫn tổ chức, đáp ứng khá đầy đủ các nhu cầu của người sử dụng. Internet đã được thiết kế để kết nối nhiều mạng với nhau và cho phép thông tin chuyển đến người sử dụng một cách tự do và nhanh chóng.Các doanh nghiệp có chuỗi chi nhánh, cửa hàng ngày càng trở nên phổ biến. Không những vậy, nhiều doanh nghiệp còn triển khai đội ngũ bán hàng đến tận người tiêu dùng. Do đó, để kiểm soát, quản lý, tận dụng tốt nguồn tài nguyên, nhiều doanh nghiệp đã triển khai giải pháp phần mềm quản lý nguồn tài nguyên có khả năng hỗ trợ truy cập, truy xuất thông tin từ xa. Tuy nhiên, việc truy xuất cơ sở dữ liệu từ xa luôn đòi hỏi cao về an toàn, bảo mật.VPN – Vitual Private Network ra đời là một trong những lựa chọn số một của hầu hết các doanh nghiệp và tổ chức hiện nay khi muốn đảm bảo chắc chắn về độ an toàn và tính bảo mật của toàn bộ hệ thống, cũng như về giải pháp tiết kiệm chi phí đầu tư cơ sở hạ tầng mạng. VPN có thể xây dựng trên cơ sở hạ tầng có sẵn của mạng Internet. Với giá cả hợp lý và dễ sử dụng, VPN có thể giúp các doanh nghiệp tiếp xúc toàn cầu nhanh chóng và hiệu quả so với các giải pháp mạng WAN, LAN.Nhận thấy được tầm quan trọng của dịch vụ VPN và qua khảo sát tình hình của thực tế tại Công Ty Cổ Phần Đầu Tư Thương Mại Dịch Vụ Sao Lam nên em chọn đề tài cho đồ án tốt nghiệp của mình là: “Cài đặt cấu hình VPN (Virtual Private Network) Trên Windows Server 2012” .Do thời gian nghiên cứu chưa được nhiều và trình độ còn hạn chế nên bài báo cáo không tránh khỏi những khiếm khuyết. Rất mong được sự đóng góp của thầy cô giáo để bài báo cáo của em ngày càng được hoàn thiện hơn. LỜI MỞ ĐẦUHiện nay, Internet đang phát triển mạnh mẽ cả về mặt mô hình lẫn tổ chức, đáp ứng khá đầy đủ các nhu cầu của người sử dụng. Internet đã được thiết kế để kết nối nhiều mạng với nhau và cho phép thông tin chuyển đến người sử dụng một cách tự do và nhanh chóng.Các doanh nghiệp có chuỗi chi nhánh, cửa hàng ngày càng trở nên phổ biến. Không những vậy, nhiều doanh nghiệp còn triển khai đội ngũ bán hàng đến tận người tiêu dùng. Do đó, để kiểm soát, quản lý, tận dụng tốt nguồn tài nguyên, nhiều doanh nghiệp đã triển khai giải pháp phần mềm quản lý nguồn tài nguyên có khả năng hỗ trợ truy cập, truy xuất thông tin từ xa. Tuy nhiên, việc truy xuất cơ sở dữ liệu từ xa luôn đòi hỏi cao về an toàn, bảo mật.VPN – Vitual Private Network ra đời là một trong những lựa chọn số một của hầu hết các doanh nghiệp và tổ chức hiện nay khi muốn đảm bảo chắc chắn về độ an toàn và tính bảo mật của toàn bộ hệ thống, cũng như về giải pháp tiết kiệm chi phí đầu tư cơ sở hạ tầng mạng. VPN có thể xây dựng trên cơ sở hạ tầng có sẵn của mạng Internet. Với giá cả hợp lý và dễ sử dụng, VPN có thể giúp các doanh nghiệp tiếp xúc toàn cầu nhanh chóng và hiệu quả so với các giải pháp mạng WAN, LAN.Nhận thấy được tầm quan trọng của dịch vụ VPN và qua khảo sát tình hình của thực tế tại Công Ty Cổ Phần Đầu Tư Thương Mại Dịch Vụ Sao Lam nên em chọn đề tài cho đồ án tốt nghiệp của mình là: “Cài đặt cấu hình VPN (Virtual Private Network) Trên Windows Server 2012” .Do thời gian nghiên cứu chưa được nhiều và trình độ còn hạn chế nên bài báo cáo không tránh khỏi những khiếm khuyết. Rất mong được sự đóng góp của thầy cô giáo để bài báo cáo của em ngày càng được hoàn thiện hơn. CHƯƠNG 1: GIỚI THIỆU1.Tổng quan1.1 Định nghĩaVPN Virtual Private Network – Mạng riêng ảo là phương pháp làm cho mạng công cộng hoạt động giống như 1 mạng cục bộ, có cùng các đặc tính như bảo mật và tính ưu tiên mà người dùng từng ưu thích. VPN cho phép thành lập các kết nối riêng với những người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty đang sử dụng chung 1 mạng công cộng.Mạng diện rộng WAN truyền thống yêu cầu công ty phải trả chi phí và duy trì nhiều loại đường dây riêng… Trong khi đó VPN không bị những rào cản về chi phí như các mạng WAN do được thực hiện qua một mạng công cộng. Mạng riêng ảo là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa trên mạng điện thoại. Phương thức này vừa tốn kém vừa không an toàn. VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu. Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Giải pháp VPN được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian.

BÁO CÁO THỰC TẬP

TỐT NGHIỆP

ĐỀ TÀI: Cài Đặt Cấu Hình VPN

(Virtual Private Network) Trên Windows

Server 2012

ĐƠN VỊ THỰC TẬP: Công Ty Cổ Phần Đầu Tư Thương Mại Dịch Vụ Sao Lam

Giảng viên hướng dẫn : Nguyễn Quốc Doanh

Học Viên Thực Hiện : Ngô Văn Hùng

Lớp : QT15CD

MSSV : 15.QT.CĐ.075

Đồng Nai , Năm 2018

trợ, giúp đỡ dù ít hay nhiều, dù trực tiếp hay gián tiếp từ người khác Trong suốtthời gian từ khi bắt đầu học tập ở giảng đường đến nay, em đã nhận được rấtnhiều sự quan tâm, giúp đỡ của quý Thầy Cô, gia đình và bạn bè Với lời biết ơnsâu sắc nhất, em xin gửi đến quý Thầy cô ở Khoa Công Nghệ Thông Tin –Trường Cao Đẳng Nghề Công Nghệ Cao Đồng Nai đã truyền đạt vốn kiến thứcquý báu cho chúng em trong suốt thời gian học tập tại trường.

Trước hết em xin chân thành cảm ơn Thầy Nguyễn Quốc Doanh đã tận tâmhướng dẫn chúng em qua từng buổi học và thực tập tại Công ty cổ phần đầu tưthương mại dịch vụ Sao Lam cũng như những buổi nói chuyện, thảo luận Thầyđã giúp em hiểu rõ các vấn đề mà các doanh nghiệp cũng như các công ty hiệnnay đang cần nguồn nhân lực có trình độ cũng như chuyên môn cao, qua đó đãtạo cho em những cái nhìn cũng như nhận thức sâu về những công việc đã vàđang cần phải làm

Bài báo cáo được thực hiện trong 8 tuần Bước đầu đi vào thực tế, tìm hiểukiến thực của em còn hạn chế và còn nhiều bỡ ngỡ Do vậy, không tránh khỏinhững thiếu sót là điều chắc chắn, em rất mong nhận được những ý kiến đónggóp của quý Thầy Cô và các bạn học cùng lớp để kiến thực của em trong lĩnhvực này được hoàn thiện hơn

Trong quá trình xây dựng báo cáo thực tập, em đã nhận được nhiều sự giúp

đỡ, góp ý từ phía Công Ty Cổ Phần Đầu Tư Thương Mại Dịch Vụ Sao Lam.

Em xin chân thành cảm ơn sự hướng dẫn của thầy Nguyễn Quốc Doanh đã trựctiếp hướng dẫn em làm báo cáo thực tập tốt nghiệp, giúp em có thể hoàn thànhtốt ký thực tập này Em xin chân thành cảm ơn !!!

Long Thành, Ngày tháng năm 2018

Người thực hiện

Hiện nay, Internet đang phát triển mạnh mẽ cả về mặt mô hình lẫn tổ chức,đáp ứng khá đầy đủ các nhu cầu của người sử dụng Internet đã được thiết kế đểkết nối nhiều mạng với nhau và cho phép thông tin chuyển đến người sử dụngmột cách tự do và nhanh chóng.

Các doanh nghiệp có chuôi chi nhánh, cửa hàng ngày càng trở nên phổbiến Không những vậy, nhiều doanh nghiệp còn triển khai đội ngũ bán hàng đếntận người tiêu dùng Do đó, để kiểm soát, quản lý, tận dụng tốt nguồn tàinguyên, nhiều doanh nghiệp đã triển khai giải pháp phần mềm quản lý nguồn tàinguyên có khả năng hô trợ truy cập, truy xuất thông tin từ xa Tuy nhiên, việctruy xuất cơ sở dữ liệu từ xa luôn đòi hỏi cao về an toàn, bảo mật

VPN – Vitual Private Network ra đời là một trong những lựa chọn số mộtcủa hầu hết các doanh nghiệp và tổ chức hiện nay khi muốn đảm bảo chắc chắnvề độ an toàn và tính bảo mật của toàn bộ hệ thống, cũng như về giải pháp tiếtkiệm chi phí đầu tư cơ sở hạ tầng mạng VPN có thể xây dựng trên cơ sở hạ tầngcó sẵn của mạng Internet Với giá cả hợp lý và dễ sử dụng, VPN có thể giúp cácdoanh nghiệp tiếp xúc toàn cầu nhanh chóng và hiệu quả so với các giải phápmạng WAN, LAN

Nhận thấy được tầm quan trọng của dịch vụ VPN và qua khảo sát tình hình

của thực tế tại Công Ty Cổ Phần Đầu Tư Thương Mại Dịch Vụ Sao Lam nên

em chọn đề tài cho đồ án tốt nghiệp của mình là: “Cài đặt cấu hình VPN (Virtual Private Network) Trên Windows Server 2012”

Do thời gian nghiên cứu chưa được nhiều và trình độ còn hạn chế nên bàibáo cáo không tránh khỏi những khiếm khuyết Rất mong được sự đóng góp củathầy cô giáo để bài báo cáo của em ngày càng được hoàn thiện hơn

Long Thành, Ngày.….Tháng… Năm 2018

Người thực hiện

XÁC NHẬN THỰC TẬP

Cơ sở thực tập :

Người đại diện :

Vị trí và chức vụ :

Xác nhận: Sinhviên :

Lớp :

1. Đã thực tập tốt nghiệp tại công ty trong thời gian từ:

2. Bộ phận thực tập:

3. Về tinh thần, ý thức, thái độ đối với công việc được giao:

4. Về trình độ, kỹ năng làm việc/ khả năng thực hành:

5. Các nhận xét khác (nếu có):

Đồng Nai, Ngày … Tháng……Năm 2018 Cán bộ hướng dẫn của công ty đến thực tập TM Giám Đốc Công Ty (Ký và ghi rõ họ tên) (Họ tên, chữ ký và đóng dấu) NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

Đồng Nai, Ngày Tháng Năm 2018

Giáo viên hướng dẫn

( Ký, ghi rõ họ tên )

GIỚI THIỆU CHUNG VỀ ĐƠN VỊ THỰC TẬP

Tên đơn vị: CÔNG TY CỔ PHẦN ĐẦU TƯ THƯƠNG MẠI DỊCH VU

SAO LAM Địa chỉ: Đường N1, Phường Thống Nhất, Thành phố Biên Hòa, Đồng Nai

Lĩnh Vực Kinh Doanh :

• Nhà đầu tư công nghệ

• Bất động sản và tài chính khác

• Đầu tư, mua bán doanh nghiệp

hút nhiều người biết đến sản phẩm của khách hàng thông qua Internet.

Công ty tin rằng kết quả của chiến dịch quảng cáo thành công ban đầu bắt nguồntừ phân tích khoa học nội tại cũng như tình trạng hiện tại, hoạt động và tối ưuhóa chiến dịch liên tục

Từ những tư duy mới theo xu hướng, đội ngũ kỹ sư thiết kế chuyên nghiệpsẽ thổi hồn vào sản phẩm và doanh nghiệp của bạn với những thông điệp từnhững hình ảnh, video, câu chuyện,… đầy cảm hứng truyền tải tới khách hàngcủa bạn một cách tự nhiên và ấn tượng sâu sắc

Cùng với sự quảng cáo thương hiệu đẳng cấp của bạn luôn hiện diện nôi bậttrên Internet để tiếp cận khách hàng, giúp doanh nghiệp của bạn bạn có ROI tối

đa, và xây dựng thương hiệu trên khắp Việt Nam và quốc tế

Phòng làm việc

Sơ đồ ảo hóa

1.

• CPU (Central Processing Unit): Đơn vị xử lý trung tâm trong máy tính.

• OS (Operating System): Hệ điều hành máy tính.

• USB (Universal Serial Bus): Chuẩn truyền dữ liệu cho BUS (Thiết bị)

ngoại vi

• Wi – Fi (Wireless Fidelity): Kỹ thuật mạng không dây.

• LAN (Local Area Network): Mạng máy tính cục bộ.

• WAN (Wide Area Network): Mạng máy tính diện rộng.

• ADSL (Asymmetric Digital Subscriber Line): Đường thuê bao bất đối

xứng – kết nối băng thông rộng

• TCP/IP (Transmission Control Protocol/Internet Protocol): Giao thức

mạng

• IP (Internet Protocol): Giao thức giao tiếp mạng Internet.

• DHCP (Dynamic Host Configuration Protocol): Hệ thống giao thức cấu

hình IP động

• DNS (Domain Name System): Hệ thống phân giải tên miền thành IP và

ngược lại

• MAC (Media Access Control): Khả năng kết nối ở tầng vật lý.

• AD (Active Directory): Hệ thống thư mục tích cực, có thể mở rộng và tự

điều chỉnh giúp cho người quản trị có thể quản lý tài nguyên trên mạngmột cách dễ dàng

• DC (Domain Controller): Hệ thống tên miền.

• OU (Organization Unit): Đơn vị tổ chức trong AD.

• HTML (Hyper Text Markup Language): Ngôn ngữ đánh dấu siêu văn

bản

• ISP (Internet Service Provider): Nhà cung cấp dịch vụ Internet.

• WWW (World Wide Web): Hệ thống Web diện rộng toàn cầu.

• HTTP (Hyper Text Transfer Protocol): Giao thức truyền tải File dưới

dạng siêu văn bản

• URL (Uniform Resource Locator): Dùng để định nghĩa một Website, là

đích của một liên kết

• FTP (File Transfer Protocol): Giao thức truyền tải File.

• ID (Identity): Cở sở để nhận dạng.

CHƯƠNG 1: GIỚI THIỆU

1. Tổng quan1.1 Định nghĩa

VPN - Virtual Private Network – Mạng riêng ảo là phương pháp làm chomạng công cộng hoạt động giống như 1 mạng cục bộ, có cùng các đặc tính nhưbảo mật và tính ưu tiên mà người dùng từng ưu thích VPN cho phép thành lậpcác kết nối riêng với những người dùng ở xa, các văn phòng chi nhánh của công

ty và đối tác của công ty đang sử dụng chung 1 mạng công cộng.Mạng diện rộngWAN truyền thống yêu cầu công ty phải trả chi phí và duy trì nhiều loại đườngdây riêng… Trong khi đó VPN không bị những rào cản về chi phí như các mạngWAN do được thực hiện qua một mạng công cộng

Mạng riêng ảo là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đápứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí Trước đây, đểtruy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thứcRemote Access quay số dựa trên mạng điện thoại Phương thức này vừa tốn kémvừa không an toàn VPN cho phép các máy tính truyền thông với nhau thôngqua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tínhriêng tư và bảo mật dữ liệu

Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với mộtmạng LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp nhưđường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữamạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa

Giải pháp VPN được thiết kế cho những tổ chức có xu hướng tăng cườngthông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tàinguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được đượcchi phí và thời gian

1.2 Lịch sử phát triển của VPN

Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN) bắtđầu từ yêu cầu của khách hàng (client), mông muốn có thể kết nối một cách cóhiểu quả với các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng(WAN) Trước kia, hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) trướckia sử dụng các đường thuê riêng cho việc tổ chức mạng chuyên dùng để thựchiện việc thông tin với nhau

Các mốc đánh dấu sự phát triển của VPN:

Năm 1975, Francho Telecom đưa ra dịch vụ Colisee có thể cung cấpphương thức gọi số chuyên dùng cho khách hàng Dịch vụ này căn cứ vào lượngdịch vụ mà đưa ra cước phí và nhiều tính năng quản lý khác

Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên riêng làmạng được định nghĩa bằng phần mềm SDN

Năm 1986, Sprint đưa ra Vnet, Telefornica Tây Ban Nha đưa ra Ibercom Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một sốdoanh nghiệp vừa và nhỏ có thể sử dụng dịch vụ VPN và đã tiết kiệm được 30%chi phí Điều này đã kích thích sự phát triển nhanh chóng dịch vụ này tại Mỹ Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN

Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN; Telestra củaÔ-xtray-li-a đưa ra dịch vụ VPN trong nước đầu tiên ở khu vực châu Á-TháiBình Dương.

Năm 1992, Viễn thông Hà Lan và Telia Thủy Điển thành lập công ty hợptác đầu tư Unisoure, cung cấp dịch vụ VPN

Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập liênminh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, trong đó códịch vụ VPN

Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert, cung cấpdịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…

Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu(GVPNS)

Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), viễn thông Pháp(Prench Telecom) kết thành liên minh Global One

Năm 1997, có thể coi là một năm rực rỡ với công ghệ VPN, công nghệVPN có mặt trên khắp các tạp chí công nghệ, các cuộc hội thảo….Các mạngVPN xây dựng trên cơ sở hạ tầng mạng Internet công cộng đã mang lại một khảnăng mới, một cái nhìn mới cho VPN Công nghệ VPN là giải pháp thông tin tối

ưu cho các công ty tổ chức có nhiều văn phòng, chi nhánh lựa chọn

Ngày nay, với sự phát triển của công nghệ, cơ sở hạ tầng mạng IP (Internet)ngày một hoàn thiện đã làm cho khả năng của VPN ngày một hoàn thiện Hiệnnay, VPN không chỉ dùng cho các dịch vụ thoại mà còn dùng cho các dịch vụ dữliệu, hình ảnh và các dịch vụ đa phương tiện

1.3 Phân loại VPN

Có hai loại VPN phổ biến hiện nay là VPN truy cập từ xa (Remote Access)và VPN điểm nối điểm (site-to-site)

• VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (Virtual

private Dial-up Network - VPDN ), là một thiết kế nối người dùng đến LAN,thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạngriêng của mình từ rất nhiều địa điểm ở xa Ví dụ như công ty muốn thiết lập mộtVPN lớn phải cần đến một nhà cung cấp dịch vụ doanh nghiệp (ESP) ESP nàytạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người dùng từ

xa một phần mềm máy khách cho máy tính của họ Sau đó, người sử dụng có thểgọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách đểtruy cập vào mạng riêng của công ty Loại VPN này cho phép các kết nối antoàn, có mật mã

• VPN điểm nối điểm là việc sử dụng mật mã dành cho nhiều người để kết

nối nhiều điểm cố định với nhau thông qua một mạng công cộng như mạngInternet Loại này có thể dựa trên Intranet và Extranet Loại dựa trên Intranet:Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duynhất, họ có thể tạo ra một VPN Intranet (VPN nội bộ) để nối LAN với LAN.Loại dựa trên Extranet : Khi một công ty có mối quan hệ mật thiết với một công

ty khác (ví dụ như đối tác cung cấp, khách hàng,… ), họ có thể xây dựng mộtVPN Extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khácnhau có thể làm việc trên cùng một môi trường chung

1.4 Những lợi ích mà VPN mang lại

 Mở rộng kết nối ra nhiều khu vực và cả thế giới

 Tăng cường an ninh mạng

 Giảm chi phí so với việc thiết lập mạng WAN truyền thống

 Giúp nhân viên làm việc từ xa, do đó giảm chi phí giao thông và tăng khảnăng tương tác

 Đơn giản hóa mô hình kiến trúc mạng

 Hô trợ làm việc từ xa

 Cung cấp khả năng tương thích với mạng lưới mạng băng thông rộng

 Quản lý dễ dàng

 Khả năng lựa chọn tốc độ tối đa từ tốc độ 9,6 Kbit/s tới T1/E1 hoặc sửdụng công nghệ DSL

 Khả năng cung cấp dịch vụ một cách nhanh chóng: VPN được cung cấptrên mạng IP tích hợp được một số ưu điểm của mạng này đó là khả năngliên kết lớn, mạng lưới sẵn có vì vậy giảm thiểu thời gian cung cấp dịchvụ

Đối với nhà cung cấp dịch vụ:

 Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụgia tăng giá trị khác kèm theo

 Tăng hiệu quả sự dụng mạng Internet hiện tại

 Kéo theo khả năng tư vấn thiết kế mạng cho khách hàng, đây là một yếutố quan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ vớikhách hàng đặc biệt là các khách hàng lớn

 Đầu tư không lớn đem lại hiệu quả cao

 Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ Thiết bị sửdụng cho mạng VPN

1.5 Ưu điểm và nhược điểm của VPN

• Ưu điểm:

Mạng riêng ảo mang lại lợi ích thực sự và tức thời cho các công ty, tổ chức, giúpđơn giản hóa việc trao đổi thông tin giữa các nhân viên làm việc ở xa, ngườidùng lưu động, mở rộng Intranet đến từng văn phòng …

 Tiết kiệm chi phí: việc sử dụng VPN sẽ giúp các công ty giảm được chiphí đầu tư và chi phí thường xuyên nhiều số liệu cho thấy, giá thành cho việckết nối LAN-to-WAN giảm từ 20 tới 30% so với việc sử dụng đương thuê riêngtruyền thống, còn đối với việc truy cập từ xa giảm từ 60 tới 80%

 Tính linh hoạt: tính linh hoạt ở đây không chỉ thể hiện trong quá trình vậnhành và khai thác mà nó còn thực hiện mềm dẻo đối với yêu cầu sử dụng kháchhàng có thể sử dụng

 Khả năng mở rộng: Do VPN được xây dụng dựa trên có sở hạ tầng mạngcông cộng nên bất cứ ở nơi nào có mạng công cộng (như Internet ) điều có thểtriển khai VPN Dễ dàng mở rộng băng thông hay gỡ bỏ VPN khi không có nhucầu

 Giảm thiểu các hô trợ kỹ thuật: việc chuẩn hóa trên một kiểu kết nối đốitượng di động đến một POP của ISP và việc chuẩn hóa các yêu cầu về bảo mậtđã làm giảm thiểu nhu cầu về nguồn hô trợ kỹ thuật cho mạng VPN

 Giảm thiểu các yêu cầu về thiết bị: bằng việc cung cấp một giải pháp truynhập cho các doanh nghiệp qua đường Internet, việc yêu cầu về thiết bị ít hơn vàđơn giản hơn nhiều so với việc bảo trì các modem riêng biệt, các card tươngthích cho thiết bị đầu cuối và các máy chủ truy nhập từ xa

 Đáp ứng nhu cầu thương mại: Đối với các thiết bị và công nghệ viễnthông mới thì những vấn đề cần quan tâm là chuẩn hóa, các khả năng quản trị,mở rộng và tích hợp mạng, tính kế thừa, độ tin cậy và hiệu suất hoạt động, đặcbiệt là khả năng thương mại của sản phẩm

 Vấn đề an ninh: Một mạng riêng ảo thường rẻ và hiệu quả hơn so với cácgiải pháp sử dụng kênh thuê riêng Tuy nhiên, nó cũng tiềm ẩn nhiều rủi ro anning khó lường trước và do đó sự an toàn sẽ không là tuyệt đối

 Độ tin cậy và thực thi: VPN sử dụng phương pháp mã hóa để bảo mật dữliệu, và các hàm mật mã phức tạp có thể dẫn đến lưu lượng tải trên các máy chủlà khá nặng

1.6 Các dạng kết nối mạng riêng ảo

 Phân loại kỹ thuật VPN dựa trên 3 yêu cầu cơ bản

- Người sử dụng ở xa có thể truy cập vào tài nguyên mạng đoàn thể bất kỳ thờigian nào

- Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau

- Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung cấphay các thực thể ngoài khác là đều quan trọng đối với tổ chức hay cơ quan

 Dựa vào những yêu cầu cơ bản trên VPN được chia thành:

- Mạng VPN truy cập từ xa (Remote Access VPN)

- Mạng VPN cục bộ (Intranet VPN)

- Mạng VPN mở rộng (Extranet VPN)

1.6.1 Remote Access VPN

Remote Access VPN cho phép truy cập bất cứ lúc nào bằng Remote,mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tàinguyên mạng của tổ chức Đặc biệt là những người dùng thường xuyên dichuyển hoặc các chi nhánh văn phòng nhỏ mà không có kết nối thường xuyênđến mạng Intranet hợp tác

 Một số thành phần chính:

Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác nhậnvà chứng nhận các yêu cầu gửi tới

Quay số kết nói đến trung tâm, điều này sẽ làm giảm chi phí cho một sốyêu cầu ở khá xa so với trung tâm

Hô trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và

hô trợ truy cập từ xa bởi người dung

Bằng việc triển khai Remote Access VPN, những người dùng từ xa hoặccác chi nhánh văn phòng chỉ cần cài đặt một số kết nối cục bộ đến nhà cung cấpdịch vụ ISP hoặc các ISP’s POP và kết nối đến tài nguyên thông qua Internet.Thông tin Remote Access Setup được mô tả bởi hình vẽ sau:

 Ưu và nhược điểm của Remote Access VPN

- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa

- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc độcao hơn các truy nhập khoảng cách xa

- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng

hô trợ mức thấp nhất của dịch vụ kết nối

 Nhược điểm :

- Remote Access VPNs cũng không đảm bảo được chất lượng phục vụ

- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói tin dữ liệucó thể đi ra ngoài và bị thất thoát

- Do độ phức tạp của thuật toán mã hóa , protocol overheal tăng đáng kể, điều nàygây khó khăn cho quá trình xác nhận thêm vào đó, việc nén dữ liệu IP và PPP-based diễn ra vô cùng chậm chạp và tồi tệ

- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các gói dữ liệu lớnnhư các gỡi dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm

- Mạng VPN truy nhập từ xa không hô trợ các dịch vụ đảm bảo chất lượng dichvụ Bởi vì thuật toán mã hóa phức tạp, nên tiêu đề giao thức tăng một cách đángkể Thêm vào đó việc nén dữ liệu IP xẩy ra chậm

- Do qua trình truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớnthì sẽ rất chậm

1.6.2 Mạng VPN cục bộ (Intranet VPN)

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểmkhác nhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chinhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hóa bảomật Điều này cho phép tất cả các địa điểm có thể truy cập an toàn các nguồn dữliệu được phép trong toàn bộ mạng của công ty

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khảnăng mở rộng, tính tin cậy và hô trợ cho nhiều giao thức khác nhau với chi phíthấp nhưng vẫn bảo đảm được tính mềm giẻo Kiểu VPN này thường được cấuhình như một VPN Site-to Site

Intranet VPN thường được sử dụng để kết nối các văn phòng chi nhánh củatổ chức mạng với mạng intranet trung tâm Trong hệ thống intranet không sửdụng kỹ thuật VPN thì ở môi site ở xa khi kết nối intranet trung tâm phải sửdụng campus router

Hệ thống có chi phí cao bởi có ít nhất là 2 router cần thiết để kết nối Sựvận hành, bảo trì và quản lý intranet yêu cầu chi phí phụ thuộc vào lưu lượngtruyền tải tin của mạng và diện tích địa lý của mạng intranet

Với sự bổ sung giải pháp VPN thì chi phí đắt đỏ của WAN backbone đượcthay thế bằng chi phí thấp của kết nối internet, qua đó tổng chi phí cho mạngintranet sẽ giảm xuống

 Những ưu điểm của mạng VPN cục bộ:

- Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô hình Wanbackbone

- Giảm thiểu đáng kể số lượng hô trợ yêu cầu người dùng cá nhân qua toàn cầu,các trạm ở một số Remote site khác nhau

- Bởi vì internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấpnhững kết nối mới ngang hàng

- Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dich vụ,loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phícho việc thực hiện Intranet

 Các nhược điểm của mạng VPN cục bộ

- Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẻ trên mạng công cộngInternet và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ ( denial-of-server) vẫn còn là một mối đe dọa an toàn thông tin

- Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng vẫn rất cao

- Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tinmilltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do đươc truyền thông quaInternet

- Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên,và QoS cũng không được bảo đảm

1.6.3 Mạng VPN mở rộng ( Extrnet VPN )

Không giống như Intranet và Remote Access, Extranet không hoàn toàncách ly từ bên ngoài (outer-world), Extranet cho phép truy cập những tài nguyênmạng cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cungcấp, đối tác những người giữ vai trò quan trọng trong tổ chức

Mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranetkết hợp lại với nhau để tạo ra một Extranet Điều này làm cho khó triển khai vàquản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việcbảo trì và quản trị Thêm nữa là mạng Extranet sẽ dễ mở rộng do điều này sẽlàm rối tung toàn bộ mạng Intranet và có thể ảnh hưởng đến các kết nối bênngoài mạng Sẽ có những vấn đề về bạn gặp bất thình lình khi kết nối một

Intranet vào một mạng Extranet Triển khai và thiết kế một mạng Extranet có thểlà một cơn ác mộng của các nhà thiết kết và quản trị mạng

Mô hình Extranet VPN khắc phục những nhược điểm đó của mô hìnhExtranet truyền thống Sự bùng nổ của VPN giúp cho nhiệm vụ cài đặt củamạng ngoài trở nên dễ dàng hơn và giảm chi phí Thiết kế Extranet VPN được

mô tả như dưới

 Một số thuận lợi của Extranet

- Do hoạt động trên môi trường Intranet, bạn có thể lựa chọn nhà phân phối khilựa chọn và đưa ra phương pháp giải quyết tùy theo nhu cầu của tổ chức

- Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp của tổchức

- Dễ dàng triển khai, quản lý và sửa chữa thông tin

 Một số bất lợi của Extranet

- Sự đe dọa về tính an toàn, như bị tấn công bằng tù chối dịch vụ vẫn còn tồn tại

- Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet

- Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổidiễn ra chậm chạp

- Do dựa trên internet, QoS cũng không được đảm bảo thường xuyên

1.7 An toàn bảo mật của VPN trên Internet 1.7.1 Bảo mật trong VPN

 Tường lửa (firewall) Là rào chẵn vững chắc giữa mạng riêng và Internet Bạn cóthể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giaothức được chuyển qua Một số sản phẩm dùng cho VPN như router 1700 củaCisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệđiều hành Internet Cisco IOS thích hợp Tốt nhất là hãy cài tường lửa thật tốttrước khi thiết lập VPN

 Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tínhkhác thì chỉ có máy đó mới giải mã được Có hai loại là mật mã riêng và mật mãchung

 Mật mã riêng (Symmetric-Key Encryption)

Môi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máytính khác trong mạng Mã riêng yêu cầu bạn phải biết mình đang liên hệ vớinhững máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thểgiải mã được

 Mật mã chung (Public-Key Encryption)

Kết hợp mã riêng và một mã công cộng Mã riêng này chỉ có máy của bạnnhận biết, còn mã chung thì do máy bạn cấp cho bất kỳ máy nào muốn liên hệ(một cách an toàn) với nó Để giải mã một message, máy tính phải dùng mãchung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa.Có một ứng dụng loại này được dùng phổ biến là Pretty Good Privacy (PGP),cho phép bạn mã hóa hầu như bất cứ thứ gì

 Giao thức bảo mật giao thức Internet (IPSec)

Cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốthơn, quá trình thẩm định quyền đăng nhập toàn diện hơn

 IPSec có hai cơ chế mã hóa là Tunnel và Transport

Tunnel mã hóa tiêu đề (header) và kích thước của môi gói tin còn Transportchỉ mã hóa kích thước Chỉ những hệ thống nào hô trợ IPSec mới có thể tậndụng được gia thức này Ngoài ra, tất cả các thiết bị phải sử dụng một mã nguồn

khóa chung và các tường lửa trên môi hệ thống phải có các thiết lập bảo mậtgiống nhau IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, firewall với router, Pc với router, Pc với máy chủ

1.7.2 Sự an toàn và tin cậy

Sự an toàn của một hệ thống máy tính là một bộ phận của khả năng bảo trìmột hệ thống đáng tin cậy được Thuộc tính này của một hệ thống được viện dẫnnhư sự đáng tin cậy

Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:

- Tính sẵn sàng: khả năng sẵn sàng phục vụ, đáp ứng yêu cầu trong khoảng thờigian Tính sẵn sàng thường được thực hiện qua những hệ thống phần cứng dựphòng

- Sự tin cậy: Nó định nghĩa xác xuất của hệ thống thực hiện các chức năng của nótrong một chu kỳ thời gian Sự tin cậy khác với tĩnh sẵn sàng, nó được đo trongcả một chu kỳ của thời gian, nó tương ứng tới tính liên tục của một dịch vụ

- Sự an toàn: Nó chỉ báo hiệu một hệ thống thực hiện những chức năng của nóchính xác hoặc thực hiện trong trường hợp thất bại một ứng xử không thiệt hạinào xuất hiện

- Sự an ninh: Trong trường hợp này sự an ninh có nghĩa như một sự bảo vệ tất cảcác tài nguyên của hệ thống

Một hệ thống máy tính đáng tin cậy ở mức cao nhất là luôn bảo đảm antoàn ở bất kỳ thời gian nào Nó bảo đảm không một sự va chạm nào mà khôngcảnh báo thông tin có cảm giác, lưu tâm đến dữ liệu có cảm giác có 2 khía cạnhđể xem xét:

• Tính bí mật

• Tính toàn vẹn

Thuật ngữ tính bảo mật như được xác định có nghĩa rằng dữ liệu khôngthay đổi trong một ứng xử không hơp pháp trong thời gian tồn tại của nó Tínhsẵn sàng, sự an toàn và an ninh là những thành phần phụ thuộc lẫn nhau Sự an

ninh bảo vệ hệ thống khỏi những mối đe dọa và sự tấn công Nó đảm bảo một hệthống an toàn luôn sẵn sàng và đáng tin cậy

1.7.3 Hình thức an toàn

Sự an toàn của hệ thống máy tính phụ thuộc vào tất cả những thành phầncủa nó

Có 3 kiểu khác nhau của sự an toàn:

• Sự an toàn phần cứng

• Sự an toàn thông tin

• Sự an toàn quản trị

 An toàn phần cứng: Những đe dọa và tấn công có liên quan tới phần cứng của

hệ thống, nó có thể được phân ra vào 2 phạm trù:

• Sự an toàn vật lý

• An toàn bắt nguồn Sự an toàn vật lý bảo vệ phần cứng trong hệ thống khỏi những mối đe dọavật lý bên ngoài như sự can thiệp, mất cắp thông tin, động đất và ngập lụt Tất cảnhững thông tin nhạy cảm trong những tài nguyên phần cứng của hệ thống cầnsự bảo vệ chống lại tất cả những sự bảo vệ này

 An toàn thông tin: Liên quan đến tính dễ bị tổn thương trong phần mềm, phần

cứng và sự kết hợp của phần cứng và phần mềm Nó có thể được chia vào sự antoàn và truyền thông máy tính Sự an toàn máy tính bao trùm việc

bảo vệ của các đối tượng chống lại sự phơi bày và sự dễ bị tổn thương của hệthống, bao gồm các cơ chế điều khiển truy nhập, các cơ chế điều khiển bắt buộcchính sách an toàn, cơ chế phần cứng, kỷ thuật, mã hóa… Sự an toàn truyềnthông bảo vệ đối tượng truyền

 An toàn quản trị: An toàn quản trị liên quan đến tất cả các mối đe dọa mà con

người lợi dụng tới một hệ thống máy tính Những mối đe dọa này có thể là hoạtđộng nhân sự Sự an toàn nhân sự bao trùm việc bảo vệ của những đối tượngchống lại sự tấn công tù những người dùng ủy quyền

Môi người dùng của hệ thống của những đặc quyền để truy nhập những tàinguyên nhất định Sự an toàn nhân sự chứa đựng những cơ chế bảo vệ chống lạinhững người dùng cố tình tìm kiếm được những đặc quyền cao hơn hoặc lạmdụng những đặc quyền của họ, cho nên sự giáo dục nhận thức rất quan trọng đểnó thực sự là một cơ chế bảo vệ sự an toàn hệ thống Thống kê cho thấy nhữngngười dùng ủy quyền có tỷ lệ đe dọa cao hơn cho một hệ thống máy tính so vớitừ bên ngoài tấn công Những thông tin được thống kê cho thấy chỉ có 10% củatất cả các nguy hại máy tính được thực hiện từ bên ngoài hệ thống, trong khi cóđến 40% là bởi những người dùng trong cuộc và khoảng 50% là bởi người làmthuê

2. Các Giao Thức Kết Nối Tunnel Trong Vpn

Trong VPN có 3 giao thức chính để xây dựng một mạng riêng ảo hoànchỉnh đó là:

- IPSEC (IP Security)

- PPTP (Point to Point Tuneling Protocol)

- L2TP (Layer 2 Tunneling Protocol)

Tùy vào từng ứng dụng và mục đích cụ thể mà môi giao thức có thể cónhững ưu nhược điểm khác nhau khi triển khai vào mạng VPN

2.1 Giao thức Point-to-Point Tunneling Protocol (PPTP) 2.1.1 Khái quát về PPTP

PPTP là một giải pháp độc quyền cung cấp khả năng bảo mật giữa RemoteClient và Enterprise Server bằng việc tạo ra một VPN thông qua một IP trên cơsở mạng trung gian Được phát triển bởi PPTP Consortium (MicrosoftCorporation, Ascend Communications, 3COM, US Robotics, và ECITelematics) , PPTP được đưa ra dựa trên yêu cầu VPNs thông qua mạng trunggian không an toàn PPTP không những tạo ra điều kiện dễ dàng cho việc bảo

mật các giao dịch thông qua TCP/IP trong môi trường mạng chung, mà còn quamạng riêng intranet

PPTP là một trong số nhiều kỹ thuật được sử dụng để thiết lập đường hầmcho những kết nối từ xa Giao thức PPTP là một sự mở rộng của giao thức PPP

cơ bản cho nên giao thức PPTP không hô trợ những kết nối nhiều điểm liên tụcmà có nó chỉ hô trợ kết nối từ điểm tới điểm

PPTP chỉ hô trợ IP, IPX, Net BEUI, PPTP không làm thay đổi PPP mà nóchỉ là giải pháp mới, một cách tạo đường hầm trong việc chuyên chở giao thôngPPP

2.1.2 Bảo mật trong PPTP

PPTP đưa ra một số dịch vụ khác nhau cho PPTP client và server Nhữngdịch vụ này bao gồm các dịch vụ sau:

• Mã hóa và nén dữ liệu

• Thẩm định quyền ( Authentication)

• Điều khiển truy cập ( Accsee control)

• Trích học Packet

Ngoài các cơ chế bảo mật cơ bản nói trên, PPTP có thể được sử dụng kếthợp với firewall va router

 Mã hóa và nén dữ liệu PPTP

PPTP không cung cấp cơ chế mã hóa bảo mật dữ liệu Thay vì nó dùng dịchvụ mã hóa được đưa ra bởi PPP PPP lần lượt dùng Microsoft Point-to-PointEncryption (MPPE), đây là phương pháp mã hóa shared secret

Phương pháp shared secret thường dùng trong mục đích mã hóa trongtrường hợp PPP là ID của người dùng và nó tương ứng với mật khẩu 40-bitSession key thường dùng để mã hóa user Thuật toán băm được dùng để cấpkhóa là thuật toán RSA RC4 Khóa này được dùng để mã hóa tất cả dữ liệu đượctrao đổi qua tunnel Tuy nhiên, 40-bit key thì quá ngắn và quá yếu kém đói vớicác kĩ thuật hack ngày nay Vì thế, phiên bản 128-bit key ra đời

Nhằm làm giảm rủi ro, Microsoft đòi hỏi khóa phải được làm tươi sau 256gói packet

 PPTP Data Authentication

- CHAP ( Microsoft Challenge Handshake Authentication Protocol) CHAP là một phiên bản tùy biến của Microsoft của CHAP và được dùng làmphương pháp xác nhận cơ bản cho PPP Bởi vì nó tương đối mạnh như CHAP,chức năng của MS-CHAP thì hoàn toàn tương tự CHAP Hai điểm khác nhauchính giữa hai cơ chế này là CHAP dựa trên thuật toán hàm băm RSA MD5,MS-CHAP thì dựa trên RSA RC4 và DES Vì lý do thực tế MS-CHAP đã pháttriển đơn độc cho các sản phẩm của Microsoft ( Windows 9x và một số phiênbản Windows NT), nó không được hổ trợ bởi các nền tảng khác

MS PAP ( Pasword Authentication Protocol) PAP là phương pháp đơn giản vàthương được triển khai nhiều nhất trong giao thức xác nhận quay số Nó cũngdùng để các nhận các kết nối PPP Tuy nhiên, nó gửi user ID và mật khẩu trongmột định dạng chưa mã hóa thông qua kết nối Một kẻ hở khác của PAP là chiexác nhận 1 lần điêmt thông tin cuối ở giai đoạn thiết lập kết nối Vì lý do đó, nếumột hacker xâm nhập vào kết nối được một lần, anh ta sẽ không phải lo lắng gìhơn nữa về xác nhận Chính vì lý do đó, PAP được xem là một giao thức xácnhận kém nhất và vì thế nó không được ưu thích trong cơ chế xác nhận củaVPN

2.2 Giao thức IPSEC (IP Security)

2.2.1 Khái quát về IPSEC

Giao thức IPsec được làm việc tại tầng Network Layer – layer 3 của môhình OSI Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, đượcthực hiện từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI) Điềunày tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 vớiTCP, UDP, hầu hết các giao thức sử dụng tại tầng này IPsec có một tính năngcao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của môhình OSI Với một ứng dụng sử dụng IPsec mã (code) không bị thay đổi, nhưngnếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên các tầngtrên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn

2.2.2 Bảo mật trong IPSEC

Khi IPsec được triển khai, cấu trúc bảo mật của nó gồm:

- Sử dụng các giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mậtgói tin (packet) trong quá trình truyền

- Cung cấp phương thức xác thực

- Thiết lập các thông số mã hoá

Xây dựng IPsec sử dụng khái niệm về bảo mật trên nền tảng IP Một sự kếthợp bảo mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví như cáckhoá – keys) là nền tảng trong việc mã hoá và xác thực trong một chiều Tuynhiên trong các giao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhauvà đáp ứng quá trình giao tiếp Thực tế lựa chọn các thuật toán mã hoá và xácthực lại phụ thuộc vào người quản trị IPsec bởi IPsec bao gồm một nhóm cácgiao thức bảo mật đáp ứng mã hoá và xác thực cho môi gói tin IP

Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấpcho một gói tin outgoing (đi ra ngoài), IPsec sử dụng các thông số SecurityParameter Index (SPI), môi quá trình Index (đánh thứ tự và lưu trong dữ liệu –

Index ví như một cuốn danh bạ điện thoại) bao gồm Security AssociationDatabase (SADB), theo suốt chiều dài của địa chỉ đích trong header của gói tin,cùng với sự nhận dạng duy nhất của một thoả hiệp bảo mật (tạm dịch từ –security association) cho môi gói tin Một quá trình tương tự cũng được làm vớigói tin đi vào (incoming packet), nơi IPsec thực hiện quá trình giải mã và kiểmtra các khoá từ SADB.

Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group,và thực hiện cho toàn bộ các receiver trong group đó Có thể có hơn một thoảhiệp bảo mật cho một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nócũng cho phép thực hiện nhiều mức độ bảo mật cho một group Môi người gửicó thể có nhiều thoả hiệp bảo mật, cho phép xác thực, trong khi người nhận chỉ

biết được các keys được gửi đi trong dữ liêu Chú ý các chuẩn không miêu tảlàm thế nào để các thoả hiệp và lựa chọn việc nhân bản từ group tới các cá nhân

2.3 Giao thức L2TP (Layer 2 Tunneling Protocol)

2.3.1 Khái quát về L2TP

Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP vàL2F- chuyển tiếp lớp 2 PPTP do Microsoft đưa ra còn L2F do Cisco khởixướng Hai công ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng kýchuẩn hoá tại IETF Giống như PPTP, L2TP là giao thức đường hầm, nó sử dụngtiêu đề đóng gói riêng cho việc truyền các gói ở lớp 2 Một điểm khác biệt chínhgiữa L2F và PPTP là L2F không phụ thuộc vào IP và GRE, cho phép nó có thểlàm việc ở môi trường vật lý khác Bởi vì GRE không sử dụng như giao thứcđóng gói, nên L2F định nghĩa riêng cách thức các gói được điều khiển trong môitrường khác Nhưng nó cũng hô trợ TACACS+ và RADIUS cho việc xác thực.Có hai mức xác thực người dùng: Đầu tiên ở ISP trước khi thiết lập đườnghầm, Sau đó là ở cổng nối của mạng riêng sau khi kết nối được thiết lập L2TPmang dặc tính của PPTP và L2F Tuy nhiên, L2TP định nghĩa riêng một giao

thức đường hầm dựa trên hoạt động của L2F Nó cho phép L2TP truyền thôngqua nhiều môi trường gói khác nhau như X.25, Frame Relay, ATM.

Mặc dù nhiều công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP,nhưng có thể thiết lập một hệ thống L2TP mà không cần phải sử dụng IP làmgiao thức đường hầm Một mạng ATM hay frame Relay có thể áp dụng chođường hầm L2TP Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sửdụng các giao thức điều khiển một cách mềm dẻo không chỉ là IP mà có thể làIPX hoặc NETBEUI Cũng giống như PPTP, L2TP cũng có cơ chế xác thựcPAP, CHAP hay RADIUS

- Đóng gói IPSec: Tuỳ thuộc vào chính sách IPSec, gói UDP được mật mã vàđóng gói với ESP IPSec header và ESP IPSec Trailer, IPSec AuthenticationTrailer.

- Đóng gói IP: Gói IPSec được đóng gói với IP header chứa địa chỉ IP ngưồn vàđích của VPN client và VPN server

- Đóng gói lớp liên kết dữ liệu: Do đường hầm L2TP hoạt động ở lớp 2 của môhình OSI- lớp liên kết dữ liệu nên các IP datagram cuối cùng sẽ được đóng góivới phần header và trailer tương ứng với kỹ thuật ở lớp đường truyền dữ liệu củagiao diện vật lý đầu ra

Ví dụ, khi các IP datagram được gửi vào một giao diện Ethernet thìIPdatagram này sẽ được đóng gói với Ethernet header và Ethernet Trailer Khicác IP datagram được gửi trên đường truyền WAN điểm-tới-điểm (chẳng hạnđường dây điện thoại hay ISDN, ) thì IPdatagram được đóng gói với PPP headervà PPP trailer

CHƯƠNG 2: CÀI ĐẶT VÀ CẤU HÌNH VPN CLIENT TO SITE VỚI GIAO THỨC PPTP TRÊN WINDOWS SERVER 2012

1 Cài Đặt

1.1 Cài Đặt Windows Server 2012-DC

Máy Windows Server 2012-DC làm File server chứa tài liệu để clientremote access vào lấy tài liệu khi đang công tác ở xa

Sử dụng đĩa cài đặt Windows Sever 2012 để tiến hành cài đặt lên máy vậtlý Ở đây ta chọn bản Windows Sever 2012 R2 Datacenter rồi bấm Next

Quá trình cài đặt sẽ bắt đầu.

Nhập Mật Khẩu Rồi Chon Fisish.

Windows Server 2012 đã được cài đặt thành công.

Cài Đặt IP cho Windows Server 2012-DC