Tìm hiểu mạng riêng ảo VPN (Phần 8)
Phần này sẽ giới thiệu cách cài đặt VPN kiểu LAN nối LAN theo giao thức L2TP/IPSec.
Đây là giao thức có mức độ bảo mật cao nhất dành cho mạng riêng ảo vì cả người sử dụng
và máy tính đều phải qua giai đoạn kiểm định quyền truy cập.
Một mô hình VPN điểm-nối-điểm. Ảnh: Microsoft.
Các công cụ kiểm định là Microsoft Challenge Handshake Authentication Protocol (MS-
CHAP) Version 2 hoặc Extensible Authentication Protocol (EAP). Cơ chế này có mức độ
bảo mật cao hơn PPTP hay IPSec Tunnel Mode vì chúng không có phần thẩm định quyền
truy cập đối với người sử dụng.
Bạn có thể chọn một trong 2 phương pháp thẩm định đối với máy tính là chứng nhận
(certificate) hoặc mật khẩu chung, trong đó phương pháp chứng nhận an toàn hơn. Tuy
nhiên, dùng mật khẩu chung là lựa chọn hợp lý nếu bạn không thể cung cấp các chứng
nhận cho gateway của VPN. Trước khi quyết định dùng cách này, cần chú ý những điểm
sau:
- Tất cả các máy khách và gateway phải dùng một mã chia sẻ duy nhất.
- Nếu mật khẩu này được thay đổi để đảm bảo bí mật (thường thì các mật khẩu nên thay
thường xuyên), bạn phải đổi bằng tay trên mỗi máy tính sử dụng nó để kết nối tới
gateway VPN.
- Mật khẩu chung này hiển thị trong giao diện cấu hình của máy chủ ISA và trong
registry, giúp xác định ai đã truy cập vào ISA. Nhưng nếu một chứng nhận được cài đặt
lên máy này, nó không được cấu hình truy xuất thông tin; do đó, kẻ đột nhập chỉ có thể
dùng chứng nhận khi kiểm soát được cả máy tính.
- Dải mã Unicode của mật khẩu được chuyển đổi sang mã nhị phân ASCII và mã này
được dùng đến nếu kết nối thành công. Khi mật khẩu dùng mã ASCII không thể gửi được
đi, quá trình sẽ thay thế bằng dải mã Unicode. Tuy nhiên, các thiết bị không theo chuẩn
Unicode có thể từ chối, khiến cho kết nối không thực hiện được.
Tình huống thực nghiệm
Ví dụ: Công ty XYZ có văn phòng chính ở Hà Nội và chi nhánh tại TP HCM, muốn liên
kết với nhau bằng mạng riêng ảo theo giao thức L2TP, dùng mật khẩu chung. Giao thức
L2TP cũng yêu cầu đầy đủ các máy tính như khi kết nối VPN điểm-nối-điểm PPTP,
nhưng các công đoạn có sự khác biệt.

Mô hình thực nghiệm có 2 tường lửa (firewall), một ở văn phòng chính, một ở chi nhánh;
một máy kiểm soát DC chạy Exchange 2003; một máy khách nằm sau tường lửa ISA của
chi nhánh. Tường lửa này chạy Windows Server 2003 SP1 và bản ISA Firewall 2006.
Quy trình tạo lập mạng VPN bao gồm 7 bước như sau:
- Tạo mạng LAN kết nối ở xa (TP HCM) tại văn phòng chính (Hà Nội).
- Tạo tài khoản gọi ở Gateway VPN tại văn phòng Hà Nội.
- Tạo mạng LAN kết nối ở xa tại văn phòng TP HCM.
- Tạo Network Rule ở văn phòng TP HCM.
- Tạo Access Rules ở văn phòng TP HCM.
- Tạo tài khoản gọi ở Gateway VPN tại văn phòng TP HCM.
- Kích hoạt kết nối giữa các LAN.
Kỳ 1: Tạo mạng LAN TP HCM tại ISA Firewall ở văn phòng Hà Nội
1. Trên ISA Firewall tại văn phòng Hà Nội, mở cây chương trình Microsoft Internet
Security and Acceleration Server 2006 và mở đến tên máy chủ. Chọn biểu tượng Virtual
Private Networks.
2. Nhấn vào thẻ Remote Sites trong ô Details > chọn thẻ Tasks trong ô Task > nhấn vào
Add Remote Site Network.
3. Trên trang Welcome to the Create VPN Site to Site Connection Wizard, gõ tên của
mạng khách trong ô Site to site network name. Ở ví dụ này, gõ VPN_TPHCM. Nhấn
Next.
4. Trên trang VPN Protocol, bạn có 3 lựa chọn về giao thức, chọn Layer Two Tunneling
Protocol (L2TP) over IPSec. Nhấn Next.
5. Một hộp thoại xuất hiện, thông báo rằng bạn cần phải tạo một tài khoản người sử dụng
trên firewall của ISA tại văn phòng Hà Nội. Tài khoản này sẽ được firewall của ISA tại
TP HCM sử dụng để thẩm định quyền truy cập cho firewall của trụ sở.
Tài khoản này phải trùng tên với mạng khách đã tạo ra trong bước 3 ở trên. Vì vậy, bạn
cũng nhập tên VPN_TPHCM. Nhấn OK.
6. Trên trang Connection Owner, chọn máy trong danh sách làm định danh kết nối. Lựa
chọn này chỉ có thể thấy trong bản ISA Enterprise Edition chứ không có trong Standard
Edition. Nếu có cân bằng tải (NLB) trên dãy máy, bạn không cần tự chỉ định máy kết nối

vì quá trình NLB sẽ tự động chọn.
Trong ví dụ này chúng ta không dùng NLB vì chỉ có một máy trong dãy. Vì vậy, hãy
dùng cổng mặc định là tên firewall ở văn phòng chính VPN_Hanoi. Nhấn Next.
7. Trên trang Remote Site Gateway, gõ địa chỉ IP hoặc tên miền đầy đủ cho máy chủ
VPN mạng khách. Chú ý đây là tính năng mới trong ISA firewall 2006; ở bản cũ bạn chỉ
có thể nhập địa chỉ IP. Tính năng này tỏ ra hữu ích khi nhiều văn phòng chi nhánh phải
dùng IP động; do đó, cách duy nhất để kết nối chắc chắn nhất là thông qua dịch vụ tên
miền. Ví dụ, trong trường hợp này là tphcm.xyz.com.vn Nhấn Next.
8. Trên trang Remote Authentication, đánh dấu vào ô Local site can initiate connections
to remote site using these credentials. Gõ tên tài khoản mà bạn sẽ tạo trên firewall ở văn
phòng TP HCM để cho phép văn phòng Hà Nội truy cập. Trong ví dụ này, nhập tên
VPN_Hanoi vào ô User name.
Domain là tên của firewall ISA Server 2006 tại chi nhánh TP HCM, trong ví dụ này là
ISA2006VPN_TPHCM. Nếu firewall này cũng là máy chủ quản lý domain (domain
controller), bạn sẽ dùng tên miền thay cho tên máy. Gõ mật khẩu và xác nhận lại trong
hai ô tiếp theo. Nhấn Next.
9. Trên trang L2TP/IPSec Outgoing Authentication, chọn phương pháp bạn muốn dùng
để thẩm định quyền truy cập đối với firewall ở văn phòng TP HCM. Trong thực nghiệm
này, chúng ta chọn Pre-shared key authentication (mật khẩu chung) rồi gõ mật khẩu vào ô
tương ứng. Nhấn Next.
10. Nhấn vào mục Add Range trên trang Network Address. Trong hộp thoại IP Address
Range Properties, gõ địa chỉ 10.0.1.0 vào ô Starting address. Gõ 10.0.1.255 vào ô Ending
address. Nhấn OK.
11. Nhấn Next trên trang Network Addresses.
12. Trên trang Remote NLB, kiểm tra NLB có được dùng ở firewall này không. Nếu có,
đánh dấu vào ô The remote site is enabled for Network Load Balancing. Sau đó, thêm địa
chỉ IP vào dãy NLB của chi nhánh TP HCM bằng cách nhấn vào nút Add Range.
Thực nghiệm này không dùng NLB nên bạn bỏ dấu trong ô The remote site is enabled for
Network Load Balancing. Nhấn Next.
13. Trên trang Site to Site Network Rule, bạn có thể cấu hình một Network Rule để kết

nối văn phòng chính với chi nhánh. Chú ý rằng firewall ISA luôn yêu cầu bạn có
Network Rule để kết nối các mạng với nhau. Ngay cả khi đã tạo ra các mạng và Access
Rules, kết nối vẫn không thành công cho đến khi bạn tạo Network Rule.
Firewall ISA mới đã giải quyết được trục trặc mà nhiều người gặp phải khi dùng bản cũ,
như ISA 2004, là họ thường quên hoặc không biết tới vai trò của Network Rule. Bản
2006 sẽ yêu cầu bạn làm việc này ngay trong wizard.
Chọn Create a Network Rule specifying a route relationship để chấp nhận tên mặc định.
(Chú ý: bạn có thể chọn I’ll create a Network Rule later nếu muốn tự tạo một Network
Rule. Chú ý rằng lựa chọn mặc định dùng để kết nối mạng của văn phòng chính và chi
nhánh). Nhấn OK.
14. Một tính năng nổi bật nữa trong bản 2006 là trang Site to Site Network Access Rule.
Tại đây, bạn có thể cấu hình một Access Rule để cho phép các kết nối từ trụ sở đến chi
nhánh.
Khi chọn Create an allow Access Rule. This rule will allow traffic cetween the Internal
Network and the new site to site Network for all users, bạn có 3 lựa chọn từ menu xổ
xuống Apply the rule to these protocols.
- All outbound traffic: dùng khi bạn muốn cho phép tất cả các truy cập từ văn phòng
chính đến chi nhánh.
- Selected protocols: Mục này được dùng khi bạn muốn kiểm soát các truy cập từ trụ sở
tới chi nhánh. Nếu muốn hạn chế kết nối trong một số giao thức, chọn mục này rồi nhấn
vào nút Add cho tất cả các giao thức. Chú ý: lúc này bạn không thể khóa việc sử dụng
giao thức ở phía người sử dụng. Bạn phải đợi cho đến khi wizard này kết thúc rồi tới mục
Firewall Policy để thay đổi sau.
- All outbound traffic except selected: Lựa chọn này giúp bạn cho phép tất cả các truy cập
nhưng giới hạn giao thức. Nhấn nút Add để thiết lập các giao thức bạn muốn khóa.
Ở thực nghiệm này, chúng ta chọn All outbound traffic. Nhấn Next.
15. Nhấn Finish trên trang Completing the New Site to Site Network Wizard.
16. Hộp thoại Remaining VPN Site to Site Tasks hiện ra báo bạn cần phải tạo một tài
khoản với cái tên VPN_TPHCM. Nhấn OK.
17. Chọn Remote Site Network và nhấn vào đường liên kết Edit Selected Network trong

cửa sổ Task.
18. Trong hộp thoại VPN_TPHCM Properties, thẻ General cung cấp thông tin về Remote
Site Network. Bạn có thể tắt hoặc bật kết nối VPN điểm-nối-điểm từ thẻ này.
19. Trên thẻ Server, người dùng có thể thay đổi máy định danh kết nối cho kiểu VPN
điểm-nối-điểm. Bạn chỉ có thể chỉ định một máy duy nhất khi NLB không được bật trên
giao diện mở rộng của tường lửa ISA.
Nếu NLB được bật trên giao diện này, nó sẽ tự động chỉ định máy kết nối cho bạn. Chú ý
rằng bạn có thể tạo ra các dãy gateway VPN mà không cần bật NLB. Tuy nhiên, trong
hầu hết các trường hợp, bạn nên dùng đến cân bằng tải.
20. Trên thẻ Address, bạn có thể thay đổi hay thêm địa chỉ mạng khách.
21. Trên thẻ Remote NLB, bạn xác định các địa chỉ IP được chỉ định trên gateway VPN ở
mạng khách. Bạn chỉ cần cấu hình các địa chỉ IP nếu gateway VPN ở mạng khách có sử
dụng NLB.
Ở thực nghiệm này, chúng ta không thêm các địa chỉ mới vì NLB không được bật lên ở
tường lửa ISA tại mạng văn phòng TP HCM.
22. Trên thẻ Authentication, chọn giao thức thẩm định quyền truy cập mà bạn muốn trên
tường lửa ISA để dùng khi làm việc với gateway ở mạng chi nhánh. Mặc định ở đây là
Microsoft CHAP Version 2.
Lựa chọn an toàn nhất là EAP nhưng phương pháp này yêu cầu bạn chỉ định chứng nhận
(certificate) của người dùng cho các tài khoản.
23. Trên thẻ Protocol, cấu hình giao thức VPN mà bạn muốn để tạo ra tunnel truyền dẫn
cho mạng riêng ảo. Người dùng có thể thay đổi mật mã chung ở đây.
24. Trên thẻ Connection, bạn có thể thay đổi các thuộc tính cho gateway VPN của mạng
khách. Người dùng sẽ thay đổi được thời gian duy trì kết nối VPN trong khi không làm
việc với máy (trạng thái idle). Mặc định là Never drop the connection. Đóng hộp thoại
VPN_TPHCM Properties.
25. Nhấn phải chuột vào Remote Site Network > Site to Site Summary command. Trong
hộp thoại, bạn sẽ thấy các thông tin cài đặt trên mạng chính và Required site to site
settings for the other end of this tunnel (yêu cầu cài đặt đối với mạng khách).
26. Hoàn thành công đoạn cấu hình bằng cách nhấn vào Apply để lưu các thay đổi. Nhấn

OK trong hộp thoại Apply New Configuration.