Trƣờng Cao Đẳng Nguyễn Tất Thành
Khoa Công Nghệ Thông Tin
***

Khóa Luận Tốt Nghiệp
Đề tài:
Tìm hiểu công nghệ VPN ứng dụng VPN triển
khai hệ thống mạng cho công ty trên thiết bị
của CISCO

Giáo viên hƣớng dẫn: Trần Trung Kiên
Sinh viên thực hiện: Phan Hoàng Tùng Lâm – 210805680
Nguyễn Tƣờng Huy – 210803427
TP.HCM, Năm 2011

Báo cáo khóa luận tốt nghiệp

Báo cáo khóa luận tốt nghiệp
i

LỜI CẢM ƠN
☻☻☻

Để thực hiện đồ án tốt nghiệp này, em xin chân thành cảm ơn sự tận tình của quý
thầy cô Khoa Công Nghệ Thông Tin Trường Cao Đẳng Nguyễn Tất Thành đã truyền
đạt cho em những kiến thức và kinh nghiệm quý báu trong suốt gần 2 năm học tại trường.
Em cũng xin chân thành cảm ơn thầy Trần Trung Kiên đã tận tình giúp đỡ và chỉ
bảo cho em trong thời gian làm đồ án tốt nghiệp này.
Thời gian thực hiện đề tài không nhiều, cũng như toàn bộ các kiến thức khó có thể
nghiên cứu hoàn toàn. Và với bản thân là sinh viên chưa ra trường không có nhiều kinh
nghiệm nên đề tài sẽ không tránh khỏi những sai sót, kính mong nhận được ý kiến đóng
góp và đánh giá của các thầy cô để em có thêm nhiều kinh nghiệm cũng như nhận ra
những khuyết điểm của đề tài.
Cuối cùng, mong quý thầy cô Khoa Công Nghệ Thông Tin Trường Cao Đẳng
Nguyễn Tất Thành, thầy Trần Trung Kiên nhận nơi em lời cảm ơn chân thành, lòng biết
ơn sâu sắc nhất và xin kính chúc quý thầy cô dồi dào sức khỏe để luôn hoàn thành tốt
công việc và những định hướng của mình.









Báo cáo khóa luận tốt nghiệp
ii

TÓM TẮT KHÓA LUẬN


Tên đề tài: Tìm hiểu công nghệ VPN ứng dụng VPN triển khai hệ thống mạng
cho công ty trên thiết bị của CISCO


Giáo viên hƣớng dẫn: Trần Trung Kiên


Thời gian thực hiện: từ 20/12/2010 đến 16/4/2011


Sinh viên thực hiện: Phan Hoàng Tùng Lâm MSSV: 210805680
Nguyễn Tƣờng Huy 210803427


Loại đề tài: Nghiên cứu và triển khai


Nội dung đề tài


Nội dung:

- Tổng quan VPN
- Bảo mật hệ thống VPN
- Triển khai mô hình VPN

Kết quả đạt đƣợc:

- Hiểu được thế nào là 1 VPN
- Triển khai và thiết lập được 2 mô hình VPN trên IPSec:
+ Remote Access
+ Site to Site

Báo cáo khóa luận tốt nghiệp
iii


Xác nhận của GVHD Ngày tháng năm

SV thực hiện





Tr ần Trung Kiên Phan Hoàng Tùng Lâm
Nguyễn Tƣờng Huy


















Báo cáo khóa luận tốt nghiệp
iv

MỤC LỤC
Lời cảm ơn i
Tóm tắt khóa luận ii
Mục lục iv
Thuật ngữ viết tắt vi
Danh mục hình vẽ ix
Mở đầu xiii
Chƣơng I: Tổng quan VPN
1. Lịch sử và phát triển 1
2. Giới thiệu tổng quát về VPN 2
3. Khái niệm VPN 3
4. Sơ lƣợc về các giao thức dùng cho VPN 8
4.1 Giao thức định đường hầm điểm – điểm PPTP 8

4.2 Giao thức định đường hầm lớp 2 - L2TP 9
4.3 Giao thức bảo mật IPSec 9
5. Ƣu nhƣợc điểm của VPN 10
5.1 Ưu điểm 10
5.2 Nhược điểm 11
6. Các mô hình của VPN 11
6.1 Mô hình Client – Server (Remote Access) 12
6.2 Mô hình Site-to-site VPN 18
6.3 Mô hình VPN nội bộ (Intranet VPN) 25
6.4Mô hình VPN mở rộng (Extranet VPN) 27
Chƣơng II: Bảo mật hệ thống VPN
1. Các giao thức hoạt động trên hệ thống VPN 28
1.1 Giao thức IPSec 28
1.1.1 Dạng thức của IPSec 29
1.1.2 Quản lý khóa 33
1.1.3Sử dụng IPSec 36
2. Giao thức PPTP 39
Báo cáo khóa luận tốt nghiệp
v

1.2.1 Dạng thức của PPTP 39
1.2.2 Sử dụng PPTP 42
1.2.3 Khả năng áp dụng trong thực tế 43
3. Giao thức L2TP 43
1.3.1 Dạng thức của L2TP 44
1.3.2 Sử dụng L2TP 47
1.3.3 Khả năng áp dụng của L2TP 48
4. Các cơ chế bảo mật cho hệ thống mạng VPN trên internet 49
2.1 Bảo mật trên mạng 50
2.1.1 Đánh lừa 50

2.1.2 Ăn cấp phiên 51
2.1.3 Nghe trộm 52
2.1.4 Tấn công ngay chính giữa 53
2.2 Hệ thống xác thực 54
2.2.1 Mật khẩu truyền thông 54
2.2.2 Mật khẩu một lần 54
2.2.3 Các hệ thống mật khẩu khác 54
Chƣơng III: Triển Khai Mô Hình VPN Over IPSec
1. Giới thiệu phần mềm mô phỏng GNS3 58
2. Remote Access VPN 62
3. Mô hình Site-To-Site 76
Tổng kết 83
Tài liệu tham khảo 84





Báo cáo khóa luận tốt nghiệp
vi

THUẬT NGỮ VIẾT TẮT


AAA Authenticationg Authorizaion Accounting
AES Advance Encryption Standard
AH Authenticaiton Header
ARP Address Resolution Protocol
CA Certification Authority
CBC Cipher Block Chaining

DES Data Encryption Standard
DMVPN Dynamic Multipoint Virtual Private Network
DoS Deny of Service
DPD Dead Peer Detection
ESP Encapsulaiton Security Payload
GRE Generic Routing Encapsulation
HMAC Hash Message Authenticateion Code
ICV Integrity Check Value
IETF Internet Engineering Task Force
IKE Internet Key Exchange

IOS Internetwork Operating System
IPSec Internet Protocol Security
Báo cáo khóa luận tốt nghiệp
vii

ISAKMP Internet Security Association and Key
Management Protocol
IV Initialization Vector
L2F Layer 2 Forwarding
L2TP Layer 2 Tunneling Protocol
MAC Message Authenticateion Code
MD5 Message-Digest Algorithm 5
MTU Maximum Transmission Unit
NAT-T Network Address Translation Traversal
NHRP Next-hop Resolution Protocol
OSI Open Systems Interconnection Reference
Model
OSPF Open Shortest Path First
PFS Perfect Forward Secrecy

PKI Public Key Infastructure
PPTP Point-to-Point Tunneling Protocol
RA Registration Authority
RADIUS Remote Authentication Dial-In User Service
RAS Remote Access Server
RSA Ron Rivest, Adi Shamir, Len Adleman
SA Security Association
SAD Security Association Database
SDM Security Device Manager
SHA-1 Secure Hash Algorithm – 1
SPD Security Policy Database
Báo cáo khóa luận tốt nghiệp
viii

SPD Security Policy Database
SPI Security Parameter inddex
SSH Secure Shell
SSL Secure Socket Layer
TACACS+ Terminal Access Controller Access Control
System Plus
TCP Transmission Control Protocol
TED Tunnel Endpoint Discovery
TLS Transport Layer Security
UDP User Datagram Protocol
VPN Virtual Private Network
X-auth Extended Authentication











Báo cáo khóa luận tốt nghiệp
ix

DANH MỤC HÌNH VẼ


Hình 1.3.1 Mô hình mạng VPN cơ bản 3
Hình 1.3.2 Cấu trúc của một VPN 4
Hình 1.3.3 Bảo mật trong VPN 5
Hình 1.3.4 Đường hầm trong VPN 6
Hình 1.3.5 Mã hóa trong VPN 6
Hình 1.3.6 Tường lửa VPN 7
Hình 1.3.7 Định danh người dùng trong VPN 7
Hình 1.4.1 Giao thức PPTP 8
Hình 1.4.2 Giao thức L2TP 9
Hình 1.4.3 Giao thức IPSec 9
Hình 1.6.1 Các mô hình VPN 11
Hình 1.6.2 Mô hình Remote Access VPN qua Internet 12
Hình 1.6.3 Bước 1 trong thiết lập đường hầm 15
Hình 1.6.4 Bước 2 trong thiết lập đường hầm 15
Hình 1.6.5 Bước 3 trong thiết lập đường hầm 16
Hình 1.6.6 Bước 4 trong thiết lập đường hầm 16
Hình 1.6.7 Bước 5 trong thiết lập đường hầm 17
Hình 1.6.8 Bước 6 trong thiết lập đường hầm 17

Hình 1.6.9 Bước 7 trong thiết lập đường hầm 18
Hình 1.6.10 Mô hình Site-to-Site VPN 19
Báo cáo khóa luận tốt nghiệp
x

Hình 1.6.11 Các bước tạo Tunnel cho VPN Site-to-Site 20
Hình 1.6.12 Hình thành tuyến lưu thông lý tưởng 20
Hình 1.6.13 IKE Phase 1 giữa hai Peer 21
Hình 1.6.14 Thiết lập chính sách cho IKE 21
Hình 1.6.15 Quá trình trao đổi khóa Diffle-Hellman 22
Hình 1.6.16 Xác thực Peer 22
Hình 1.6.17 Khởi tạo các thành phần bảo mật IPSec 23
Hình 1.6.18 Thiết Thiết lập transform set 23
Hình 1.6.19 Hình thành Tunnel IPSec 24
Hình 1.6.20 Intranet VPN dùng trong mạng nội bộ 26
Hình 1.6.21 Extranet VPN 27
Hình 2.1.1 Giao thức IPSec 28
Hình 2.1.2 IPSec SA 29
Hình 2.1.3 Cấu trúc gói tin AH 30
Hình 2.1.4 Cấu trúc gói tin ESP 31
Hình 2.1.5 Chế độ Main Mode 34
Hình 2.1.6 Chế độ Aggressive mode 35
Hình 2.1.7 Chế độ Quick mode 35
Hình 2.1.8 Security gateway 37
Hình 2.1.9 Cấu trúc SA 37
Hình 2.1.10 Giao thức PPTP 39
Hình 2.1.11 Mã hóa gói trong PPTP 41
Hình 2.1.12 Giao thức L2TP 43
Hình 2.1.13 Đường hầm L2TP 45
Báo cáo khóa luận tốt nghiệp

xi

Hình 2.2.1 Các cơ chế bảo mật cho hệ thống mạng VPN trên internet 49
Hình 2.2.2 Đánh lừa trong VPN Internet 50
Hình 2.2.3 Ăn cấp phiên trong VPN internet 51
Hình 2.2.4 Nghe trộm trong VPN Internet 52
Hình 2.2.5 Tấn công ngay chính giữa 53
Hình 2.2.6 Giao thức xác thực mật khẩu PAP 55
Hình 2.2.7 Giao thức xác thực yêu cầu bắt tay CHAP 55
Hình 2.2.8 Xác thực TACACS 56
Hình 2.2.8 Quay số từ xa – RADIUS 57
Hình 3.1.1 Giao diện khởi động GNS3 58
Hình 3.1.2 Lựa chọn kết nối trong GNS3 59
Hình 3.1.3 Nhập IOS Image cho các thiết bị 60
Hình 3.1.4 Xác định đường dẫn IOS 61
Hình 3.2.1 Mô hình Remote AccessVPN 62
Hình 3.2.2 Hai NIC ảo trên máy do VMware tạo ra 63
Hình 3.2.3 Giao diện Cisco SDM 64
Hình 3.2.4 Giao diện VPN Client 64
Hình 3.2.5 Giao diện khởi động kết nối SDM 66
Hình 3.2.6 Giao diện đăng nhập SDM 67
Hình 3.2.7 Thông số Router hiển thị trên SDM 68
Hình 3.2.8 Chọn cấu hình Easy VPN Server 69
Hình 3.2.9 Chọn interface VPN Server và chế độ xác thực 70
Hình 3.2.10 Tạo chính sách ISAKMP 70
Hình 3.2.11 Tạo Transform-set 71
Báo cáo khóa luận tốt nghiệp
xii

Hình 3.2.12 Chọn xác thực người dùng và tìm kiếm xác thực ngay trên Router71

Hình 3.2.13 Tạo dải địa chỉ cấp cho user khi kết nối tới VPN Server. 72
Hình 3.2.14 Tạo ACL trong Split Tunneling 73
Hình 3.2.15 Tổng thể cầu hình được tạo 74
Hình 3.2.16 Giao diện chính của Cisco VPN Client 74
Hình 3.2.17 Xác thực người dùng 75
Hình 3.2.18 Client được cấp IP qua NIC Cisco VPN Adapter 75
Hình 3.3.1 Mô hình VPN Site-to-Site 76












Báo cáo khóa luận tốt nghiệp
xiii

MỞ ĐẦU

Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế
giới cả về số lượng và về kĩ thuật. Và sự phát triển đó không có dấu hiệu sẽ dừng lại. Sự
phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào hệ thống
Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào
các hoạt động thương mại với quy mô lớn nhỏ khác nhau
Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin quan

trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với xu hướng toàn cầu
hóa, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi nhánh trên khắp
nơi tăng cao. Người ta thấy rằng có thể giảm chi phí này bằng cách sử dụng mạng
Internet, từ đó có thể tăng lợi nhuận của tổ chức.
Một điều phát sinh là tính bảo mật và hiệu quả kinh tế của việc truyền tải dữ liệu qua
mạng trung gian công cộng không an toàn như Internet. Để giải quyết vấn đề này, một
giải pháp đưa ra là mạng riêng ảo (VPN). Chính điều này là động lực cho sự phát triển
mạnh mẽ của VPN như ngày nay.










Báo cáo khóa luận tốt nghiệp Chương 1: Tổng quan VPN
1

CHƢƠNG 1: TỔNG QUAN VPN

1. Lịch sử hình thành và phát triển:

Bắt nguồn từ yêu cầu của hộ khách (client), mong muốn có thể kết nối một cách
có hiệu quả các tổng đài thuê bao (PBX) lại với nhau, thông qua mạng diện rộng WAN.
PBX hệ thống điện thoại nhóm (group telephone) hoặc mạng cục bộ LAN trước kia sử
dụng dây thuê bao riêng cho việc tổ chức mạng chuyên dung để thực hiện nối thông.
Năm 1975, viễn thông Pháp (France telecom) đã đưa ra một loại nghiệp vụ

được gọi là Colisee, cung cấp dịch vụ dây chuyên dụng loại chuyển mạch cho các hộ
khách thương mại loại lớn. Kết cấu của nó là lấy tổng đài chuyển tiếp E 10 N3 của
Alcatel làm cơ sở thông qua dây thuê chung, nối các bộ phận của công ty lớn đến thiết
bị tập trung này, đặt tại Paris. Colisee có thể cung cấp phương án gọi số chuyên dụng
cho hộ khách. Căn cứ lượng nghiệp vụ mà đưa ra cước phí và nhiều tính năng quản lý
khác (như quản lý hóa đơn nợ chi tiết, chất lượng và thống kê lượng nghiệp vụ…).
Mạng dây chuyên dùng loại hình cùng hưởng thụ này chính là hình thức đầu tiên của
VPN, chủ yếu là dùng để nối thông tổng đài thuê bao, cung cấp dịch vụ chuyển mạch
âm thoại và quản lý mạng lưới cho hộ khách. Nhưng phạm vi bao phủ của VPN lấy
tổng đài làm cơ sở để thực hiện này rất hẹp, chủng loại tính năng nghiệp vụ cung cấp
không nhiều, có thể tiếp nhập PBX mà không thể tiếp nhập hộ dùng chỉ có một đôi dây,
nên không thực sự linh hoạt.
Bắt đầu từ năm 1985, ba công ty viễn thông đường dài cỡ lớn của Mỹ là
AT&T, MCI và Sprint đã lần lượt đưa ra nghiệp vụ mạng chuyên dùng ảo, có tên riêng là
SDN (Software Defined Network – mạng được định nghĩa bằng phần mềm), Vnet và
VPN, đây được coi như là một phương tiện tương đối rẻ tiền dùng để thay thế cho dây
chuyên dùng. Do chi phí VPN rẻ hơn dây thuê dùng đối với các hộ khách có lượng
nghiệp vụ không bằng nhau, được áp dụng các ưu đãi về cước phí với mức độ khác nhau,
nên nhiều hộ khách có mạng chuyên dùng lớn đều bắt đầu chuyển sang áp dụng nghiệp
vụ VPN. Khoảng năm 1988, trên mặt nghiệp vụ VPN, ba công ty nói trên đã triển khai
một cuộc chiến quyết liệt về giá cả, làm cho một số xí nghiệp vừa và nhỏ cũng chịu nổi
cước phí sử dụng VPN và có thể tiết kiệm được gần 30% chi phí thông tin, đã kích thích
Báo cáo khóa luận tốt nghiệp Chương 1: Tổng quan VPN
2

sự phát triển nhanh chóng của dịch vụ này tại Mỹ. Hiện nay VPN không chỉ dùng cho
nghiệp vụ âm thoại mà còn có thể dùng cho nghiệp vụ dữ liệu.
Sự phát triển toàn cầu hóa của kinh tế cũng kéo theo sự phát triển nhanh chóng
của VPN trên toàn cầu. Sự hình thành của một số tổ chức thương mại tầm cỡ thế giới và
liên minh kinh tế có tính khu vực, như liên minh Châu Âu chẳng hạn, làm cho tỷ trọng

thương mại quốc tế hóa tăng lên rất nhiều, từ đó cũng dẫn đến sự tăng trưởng nhu cầu
dịch vụ viễn thông quốc tế. Một số liên minh và công ty đa quốc gia cần có mạng lưới
toàn cầu phức tạp nối liền với chất lượng cao các bộ máy thương mại trên toàn thế giới
của họ lại với nhau và phải có sự phục vụ kịp thời về mặt quản lý và bảo dưỡng. Do
mạng lưới quốc tế áp dụng VPN có thể thỏa mãn một cách có hiệu quả nhu cầu của số hộ
khách này. Và so với đường dây trong nước, có thể tiết kiệm chi phí truyền dẫn còn rõ rệt
hơn, đối với các hộ khách lớn như công ty hay tập đoàn đa quốc gia càng có tính hấp dẫn,
những tổ chức này ồ ạt chuyển từ các mạng chuyên dùng đã được thiết lập sang sử dụng
VPN. Một số hộ khách thương mại lớn còn liên kết lại với nhau hình thành hiệp hội hộ
dùng VPN, như hiệp hội dùng VPN châu Âu (EVUA), và có ảnh hưởng tương đối lớn,
mục đích là nhằm có thể đạt được tỷ lệ tính năng trên giá cả tốt nhất trong việc sử dụng
nghiệp vụ VPN. Nhờ có những ảnh hưởng đó, nghiệp vụ VPN quốc tế (IVPN) hay còn
gọi là VPN toàn cầu (GPN), đã phát triển nhanh nhất.

2. Tổng quát về VPN :

Vpn (virtual private network ) là một mạng riêng ảo, thực sự bùng nổ vào năm 1997.
Là phương pháp làm cho một mạng công cộng (vd như mạng internet) hoạt động giống
như mạng cục bộ. Vpn cho phép thành lập các kết nối riêng với những người dùng ở xa
hay các văn phòng chi nhánh của công ty và đối tác của công ty đang sử dụng chung một
mạng công cộng. Giúp tiếc kiệm về chi phí và tính an toàn bảo mật dữ liệu. Mạng diện
rộng (wide area network - WAN) truyền thống yêu cầu công ty phải trả chi phí và duy trì
nhiều loại đường truyền riêng, song song với việc đầu tư các thiết bị và đội ngũ cán bộ.
Nhưng những vấn đề về chi phí đã làm cho các công ty dù muốn hưởng lợi ích từ việc
mở rộng mạng đem lại nhưng đôi khi họ không thực hiện nổi. Trong khi đó, vpn không bị
những rào cản về chi phí như các mạng WAN trên do thực hiện qua một mạng công
cộng.
Báo cáo khóa luận tốt nghiệp Chương 1: Tổng quan VPN
3


3. Khái niệm VPN:

Vpn là một đường hầm vận chuyển giao thông mạng riêng từ một hệ thống ở đầu này
đến hệ thống ở đầu kia qua mạng chung (như mạng internet ) mà không để giao thông
nhận biết có những hộp trung gian giữa 2 đầu, hoặc không để cho những hộp trung gian
nhận biết chúng đang chuyển những gói tin qua mạng đã được mã hóa đi qua đường hầm.
Định đường hầm (tunneling ) là một cơ chế dùng cho việc đóng gói(encapsulate ) một
giao thức vào trong một giao thức khác. Trong ngữ cảnh internet, định đường hầm cho
phép những giao thức như: IPX, AppleTalk và IP được mã hóa, sau đó đóng gói trong IP.
Tương tự, trong ngữ cảnh VPN, định đường hầm che giấu giao thức lớp mạng nguyên
thủy bằng cách mã hóa gói dữ liệu và chứ gói mã hóa vào trong một vỏ bọc IP(IP
envelope). Vỏ bọc IP này thực ra là một gói IP, sau đó sẽ được chuyển đi một cách bảo
mật qua mạng internet. Tại bên nhận, sau khi nhận được gói trên sẽ tiếng hành gỡ bỏ vỏ
bọc bên ngoài và giải mã thông tin dữ liệu trong gói này và phân phối đến thiết bị truy
cập thích hợp, chẳng hạn như 1 bộ định tuyến.
Một ứng dụng điển hình của VPN là cung cấp 1 kênh an toàn từ đầu mạng giúp cho
những văn phòng chi nhánh hoặc văn phòng ở xa hoặc những người làm việc từ xa có thể
dùng internet truy cập vào tài nguyên công ty một cách bảo mật và thoải mái như đang sử
dụng máy tính cục bộ trong mạng công ty.

Hình 1.3.1 Mô hình mạng VPN cơ bản
Báo cáo khóa luận tốt nghiệp Chương 1: Tổng quan VPN
4

Những thiết bị ở đầu mạng hổ trợ cho mạng riêng ảo là switch, router và firewall.
Những thiết bị này có thể được quản trị bỡi công ty hoặc các nhà cung cấp dịch vụ (ISP).
Phần “ảo” (virtual) bắt nguồn từ yếu tố ta đang tạo một liên kết riêng qua mạng
chung. VPN cho phép ta giả vờ như đang dùng đường dây thuê bao hoặc quay số điện
thoại trực tiếp để truyền thông tin giữa 2 đầu. VPN là “riêng” (private) vì sự mã hóa được
dùng để đạt sự bảo mật một trao đổi trên mạng riêng mặc dù trao đổi này xảy ra trên

mạng chung. VPN cũng dùng “mạng” (network) IP để trao đổi.
VPN cho phép những máy tính kết nối trực tiếp tới những máy khác thông qua sự
kết nối địa lý, mà không cần phải thuê đường truyền, điều này làm đơn giản hóa tùy chọn
cấu trúc mạng và làm tăng sự phát triển mạng mà không phải thiết kế lại mạng LAN hoặc
gián đoạn sự kết nối.
VPN là một chi nhánh của kỹ thuật liên lạc riêng lẻ, được đưa lên từ mạng chung.
Người sử dụng có thể truy xuất đến mạng công ty dù ở nhà hay ở xa, thông qua sự kết nối
cục bộ đến ISP. VPN thiết lập một kết nối bảo mật giữa người sử dụng và mạng trung
tâm. Dịch vụ này cũng có thể thiết lập những kết nối trực tiếp giữa những khu vực khác
nhau thông qua ISP, qua ISP giá thành giảm trong kết nối qua quay số và những dịch vụ
thuê đường truyền. Dữ liệu truyền đi thì được bào đảm với kỹ thuật bảo mật cao.
Cấu trúc của VPN:
Tất cả các VPN đều cho phép truy cập bảo mật qua các mạng công cộng bằng cách sử
dụng những dịch vụ bảo mật, bao gồm việc định đường hầm (tunneling) và các biện pháp
mã hóa dữ liệu.

Hình 1.3.2 Cấu trúc của một VPN
Báo cáo khóa luận tốt nghiệp Chương 1: Tổng quan VPN
5

Tính bảo mật:
Bảo mật là những gì làm cho VPN trở nên có tính “ảo” và “riêng”. Để cạnh tranh
và nhiều lý do khác, việc bảo mật thông tin và các quá trình trao đổi thông tin của công ty
trở nên có tính chất sống còn, đó là nguyên nhân các giải pháp WAN và đường truyền
kênh thuê riêng được sử dụng 1 cách phổ biến như hiện nay. Như vậy, yêu cầu của VPN
là phải bảo mật như đường dây thuê riêng, đồng thời mang lại những ưu điểm về chi phí
mà không cần phải bỏ những tính riêng tư của mạng. Do đó, cần kết hợp các sản phẩm và
công nghệ với nhau để đảm bảo bảo mật cho các kết nối VPN.

Hình 1.3.3 Bảo mật trong VPN

Đƣờng hầm:
Các đường hầm (tunnel) chính là đặc tính ảo của VPN, nó làm cho một kết nối
dường như một dòng lưu lượng duy nhất trên đường dây. Đồng thời còn tạo cho VPN khả
năng duy trì những yêu cầu về bảo mật và quyền ưu tiên như đã áp dụng trong mạng nội
bộ, bảo đảm cho vai trò kiểm soát dòng lưu chuyển dữ liệu. Đường hầm củng làm cho
VPN có tính riêng tư.
Các loại công nghệ đường hầm được dùng phổ biến cho truy cập VPN gồm có
giao thức định đường hầm điểm - điểm PPTP (Point to Point Tunneling Protocol), chuyển
tiếp lớp 2 – L2F (Layer 2 Forwarding) hoặc giao thức định đường hầm lớp 2 – L2TP
(Layer 2 Tunneling Protocol). Các mạng VPN nội bộ và mở rộng dành riêng có thể sử
dụng những công nghệ như bảo mật IP – Ipsec (IP security) hoặc bọc gói định tuyến
chung GRE (Generic Route Encapsulation) để tạo nên các đường hầm ảo thường trực.
Báo cáo khóa luận tốt nghiệp Chương 1: Tổng quan VPN
6


Hình 1.3.4 Đường hầm trong VPN
Mã hóa:
Mã hóa (encryption) là tính năng tùy chọn nó cũng đóng góp vào đặc điểm “riêng
tư” của VPN. Chỉ nên sử dụng mã hóa cho những dòng dữ liệu quan trọng đặc biệt, còn
bình thường thì không cần vì việc mã hóa có thể ảnh hưởng xấu đến tốc độ, tăng gánh
nặng cho bộ sử lý.

Hình 1.3.5 Mã hóa trong VPN
Tƣờng lửa:
Chúng ta sử dụng tường lửa (firewall) để bảo mật mạng nội bộ của mình chống lại
những cuộc tấn công vào lưu lượng trên mạng và nhựng kẻ phá hoại, giải pháp bức tường
lửa tốt là công cụ có khả năng phân biệt các lưu lượng dựa trên cơ sở người dùng, trình
ứng dụng hay nguôn gốc.
Báo cáo khóa luận tốt nghiệp Chương 1: Tổng quan VPN

7


Hình 1.3.6 Tường lửa VPN
Định danh ngƣời dùng (User Identification):
Mọi người dùng điều phải chịu sự kiểm tra xác thực để báo cho mạng biết những
thông tin về họ (quyền truy cập, mật khẩu, ) và phải chịu sự ủy quyền để báo cho biết về
những gì họ được phép làm. Một hệ thống tốt còn thực hiện tính toán để theo dõi những
việc mà người dùng đã làm nhằm mục đích tính cước và bảo mật. Xác thực
(Authentication), trao quyền (Athorization) và tính cước (Accounting) được gọi là các
dịch vụ AAA.

Hình 1.3.7 Định danh người dùng trong VPN

Báo cáo khóa luận tốt nghiệp Chương 1: Tổng quan VPN
8

Tính ƣu tiên:
Ưu tiên là quá trình “gắn thẻ” cho dòng lưu lượng của một ứng dụng nào đó đối với
các dịch vụ đươc xúc tiến qua mạng. Ví dụ như lưu thông các trình ứng dụng nghiệp vụ
quan trọng (chẳng hạn như các ứng dụng cơ sở dữ liệu danh mục hoặc bán hàng) có thể
nhận được ưu tiên hàng đầu để chuyển nhanh, phù hợp với xu thuế canh tranh trên
thương trường, trong khi các dịch vụ như gởi e-mail hay truyền tập tin thì có ưu tiên thấp
hơn. Khả năng gán quyền ưu tiên sẽ phải độc lập với dữ liệu truyền để đảm bảo tính hoàn
hảo thực sự của dịch vụ.

4. Sơ lƣợc về các giao thức dùng cho VPN:

Hiện nay có 3 giao thức chính dùng để xây dựng VPN là:
4.1 Giao thức định đƣờng hầm điểm – điểm PPTP



Hình 1.4.1 Giao thức PPTP
Đây là giao thức định đường hầm phổ biến nhất hiện nay, PPTP (Point-to-Point
Tunneling Protocol) được cung cấp như một phần của các dịc vụ truy cập từ xa RAS
(Remote Access Servicess) sử dụng cách mã hóa sẵn có, xác thực người dùng và cở sở
cấu hình của giao thức điểm – điểm PPP (Point-to-Point Protocol) để thiết lập các khóa
mã.


Báo cáo khóa luận tốt nghiệp Chương 1: Tổng quan VPN
9

4.2 Giao thức định đƣờng hầm lớp 2 – L2TP:


Hình 1.4.2 Giao thức L2TP
Đây là giao thức chuẩn của IETF (Internet Enginneerring Task Force) sử dụng kĩ
thuật khóa công cộng (public key technology) để thực hiện việc xác thực người dùng và
có thể hoạt động thông qua một môi trường truyền thông đa dạng hơn so với PPTP. Một
điểm đáng lưu ý là L2TP (Layer 2 Tunneling Protocol) không thể sử dụng để thực hiện
việc mã hóa.
4.3 Giao thức bảo mật IPsec:


Hình 1.4.3 Giao thức IPSec
Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hóa. Lợi điểm lớn
nhất của Ipsec (IP security) là giao thức này có thể được sử dụng để thiết lập một VPN
một cách tự động và thích hợp với chính sách bảo mật tập trung và có thể sử dụng và có
thể sử dụng để thiết lập một VPN dựa trên cơ sở các máy tính mà không phải là các

người sử dụng.
Báo cáo khóa luận tốt nghiệp Chương 1: Tổng quan VPN
10

Để xây dựng một VPN bảo mật, chúng ta có thể dùng 2 cách sao:
Cách 1: Có thể dùng PPTP một cách độc lập vì bản thân PPTP có thể cung cấp
một VPN bảo mật. Dùng cách này ta sẽ giảm thiểu được chi phí và việc quản lý sẽ ít
phức tạp.
Cách 2: Kết hợp giữa L2TP và IPSec để cung cấp một VPN bảo mật, cách này
thích hợp cho những công ty đòi hỏi tính bảo mật mạng cao, mặc dù phương pháp này sẽ
gây tốn kém và việc quản lý mạng sẽ có độ phức tạp hơn so với cách trên.

5. Ƣu nhƣợc điểm của VPN:

5.1 Ƣu điểm :
- Bảo mật: VPN mã hóa tất cả dữ liệu trên đường hầm VPN.
- Tiết kiệm chi phí: Sự xuất hiện của VPN đã làm cho những cuộc quay số đường
dài tốn kém hay đường dây thuê bao không còn cần thiết nữa đối với những tổ chức sử
dụng VPN”đóng gói” dữ liệu 1 cách an toàn qua mạng internet.
- Nhanh chóng: những tổ chức có văn phòng chi nhánh hay những người làm việc
từ xa có thể truy cập dữ liệu của văn phòng công ty chính từ bất kì địa điểm nào trên thế
giới mà không phải tốn kém nhiều bằng cách kết nối vào mạng internet thông qua nhà
cung cấp dịch vụ địa phương.
- Có nhiều lý do cho việc thiết lập VPN cho việc truy xuất từ xa, nhưng đặc biệt hấp
dẫn nhất tới những người quan tâm là khả năng tiếc kiệm giá thành.
- Trong những tổ chức lớn, điều này gây ra một sự khác biệt lớn về giá thành. Khi
một tổ chức đưa công ty lên mạng của mình, số lượng đường truyền thuê sẽ tăng theo số
mũ. Trong mạng WAN truyền thống, điều này có thể giới hạn tính linh hoạt cho sự phát
triển, VPN thì không.
- Sử dụng VPN, các khách hàng nhận được sự thiết lập kết nối Internet tốc độ cao

và thiết lập cấu hình trong thời gian ngắn hơn những dịch vụ tương tự.
- Số lượng kết nối đồng thời lớn.
- Băng thông không bị hạn chế, chỉ phụ thuộc vào tốc độ đường truyền internet mà
bạn sử dụng.