BÁO CÁO THỰC TẬP TỐT NGHIỆP
Đề tài: Tìm hiểu giải pháp mã nguồn mở OpenVPN trong Linux


Lời cảm ơn
Em xin chân thành cảm ơn các thầy cô giáo bộ môn Kỹ thuật hệ thống và mạng máy
tính,những người đã dạy dỗ, trang bị cho em những kiến thức bổ ích trong suối những năm
học tập.
Em xin bày tỏ lòng cảm ơn sâu sắc nhất với thầy Bùi Thanh Phong, thầy đã tận tình
giúp đỡ,hướng dẫn và cho em những lời khuyên quý báu trong quá trình thực tập.
Hà nội,ngày 24 tháng 2 năm 2014

2


Mục lục
I. Lời cảm ơn............................................................................................2
II. Mục lục................................................................................................3
III. Danh mục từ viết tắt...........................................................................4
VPN : Virtual private network...................................................................4
IV. Lời mở đầu..........................................................................................5
V. Tổng quan về VPN...............................................................................6
1.

Định nghĩa về VPN...........................................................................6

2.

Tại sao phải sử dụng VPN................................................................6

3.

Kiến trúc của VPN............................................................................7

4.

Các giao thức trong VPN................................................................10

5.

Hệ thống mạng và VPN..................................................................17

5.1

Remote Access VPNs................................................................17

5.2

Site to Site (Lan to Lan).............................................................19

5.3

Quá trình thiết lập một kết nối giữa Client và Server................22

VI. Giải pháp mã nguồn mở OpenVPN trên Linux................................24
1.

Lịch sử của OpenVPN....................................................................24

2.


OpenVPN là gì?..............................................................................25

3.

Ưu điểm của OpenVPN..................................................................26

4.

Cài đặt OpenVPN trong Linux.......................................................27

5.1

Những hiểu biết cơ bản về hệ điều hành Linux và CentOS.......27

5.1.1

Linux.....................................................................................27

5.1.2

CentOS..................................................................................29

5.2
7.
7.1.
3

Cài đặt OpenVPN trong CentOS 6.5 x64..................................30
Cấu hình VPN cơ bản.....................................................................34
Cấu hình OpenVPN server Linux.............................................34



7.2.

Cấu hình OpenVPN client trên MacOS với Tunnelblick..........41

7.3.

Cấu hình OpenVPN client trên Windows XP SP3....................45

8.

Thử nghiệm sử dụng OpenVPN trên máy ảo..................................46

9.

Giám sát và xử lý sự cố...................................................................47

9.1

Trên Server.................................................................................47

9.2

Trên Client.................................................................................47

VII. Kết luận...........................................................................................48
VIII. Tài liệu tham khảo..........................................................................49
IX. Ý kiến giảng viên hướng dẫn............................................................50


4


Danh mục từ viết tắt
VPN : Virtual private network
ISP : Internet service provider
SSL : Secure Sockets Layer
NAS : Network-attached storage
OSI : Open Systems Interconnection Reference Model
IETF : Internet Engineering Task Force
GNU : General Public License
KDE: Desktop Environment
GNOME: GNU Network Object Model Environment
HTTPS : Hypertext Transfer Protocol Secure
TCP : Transmission Control Protocol
UDP : User Datagram Protocol
NAT : Network address translation
SSH : Secure Shell
LDAP : Lightweight Directory Access Protocol
IPsec : Internet Protocol Security
DNS : Domain Name System

5


Lời mở đầu
Hiện nay,Internet đã phát triển mạnh mẽ cả về mặt mơ hình lẫn tổ chức, đáp ứng khá
đầy đủ các nhu cầu của người sử dựng. Internet đã được thiết kế để kết nối nhiều mạng với
nhau và cho phép thông tin chuyển đến người sử dụng một cách tự do và nhanh chóng.Để
làm được điều này người ta sử dụng một hệ thống các thiết bị định tuyến để kết nối các

LAN và WAN với nhau.Các máy tính được kết nối vào Internet thơng qua các nhà cung
cấp dịch vụ ISP. Với Internet, những dịch vụ như đào tạo từ xa, mua hàng trực tuyến, tư
vấn các lĩnh vực và rất nhiều điều khác đã trở thành hiện thực. Tuy nhiên do Internet có
phạm vi tồn cầu và khơng một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn
trong việc bảo mật và an toàn dữ liệu, cũng như việc quản lý dịch vụ.
Các doanh nghiệp có chỗi chi nhánh, cửa hàng ngày càng trở nên phổ biến.Khơng
những vậy, nhiều doanh nghiệp cịn triển khai đội ngũ bán hàng đến tận người dùng.Do đó,
để kiểm sốt, quản lý, tận dụng tốt nghuồn tài nguyên, nhiều doanh nghiệp đã triển khai
giải pháp phần mềm quản lý nguồn tài nguyên có khả năng hỗ trợ truy cập, truy xuất thông
tin từ xa. Tuy nhiên, việc truy xuất cơ sở dữ liệu từ xa ln địi hỏi cao về vấn đề an toàn,
bảo mật.
Để giải quyết vấn đề trên, nhiều doanh nghiệp đã chọn giải pháp mơ hình mạng
riêng ảo VPN. Với mơ hình mới này,người ta không phải đầu tư thêm nhiều về cơ sở hạ
tầng mà các tính năng như bảo mật và dộ tin cậy vậy được bảo đảm, đồng thời có thể quản
lý riêng sự hoạt động của magj này. VPN cho phép người sử dụng làm việc tại nhà riêng ,
trên đường đi hoặc các văn phịng chi nhánh có thể kết nối an tồn tới máy chủ của tổ chức
mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng. Nhưng thông thường, triển
khai phần mềm VPN và phần cứng tốn nhiều thời gian và chi phí , do đó OpenVPN là một
giải pháp mã nguồn mở VPN hồn tồn miễn phí và cực kỳ hiệu quả cho các doanh nghiệp.
Nội dung báo cáo được trình bày theo 2 phần chính:
1.Những tìm hiểu cơ bản về VPN
2.Tìm hiểu về OpenVPN và triển khai trong mơ hình máy ảo

6


Tổng quan về VPN
1. Định nghĩa về VPN

Trước kia khi một cơng ty,tổ chức muốn kết nối các văn phịng,chinh nhánh với

nhau họ phải thuê riêng một kênh đường truyền leased line từ các ISP.Ngày nay với sự
phát triển nhanh chóng và phổ biến của internet,việc thuê một kênh riêng đã trở nên khơng
hiệu quả,ngồi ra chi phí cho việc thuê kênh riêng hiện nay là khá cao.Để đáp ứng hai u
cầu hiệu quả và chi phí thì VPN đã ra đời,đưa đến cho các doanh nghiệp giải pháp để kết
nối các văn phịng và chi nhánh.Vậy VPN là gì?
Có khá nhiều định nghĩa về VPN,em xin đưa một vài ví dụ cụ thể :
“Mạng riêng ảo hay VPN (viết tắt cho Virtual Private Network) là một mạng dành
riêng để kết nối các máy tính của các cơng ty,tập đồn hay các tổ chức với nhau thông qua
mạng Internet công cộng.” nguồn: Wikipedia
“Một mạng VPN có thể hiểu là một thiết lập logic vật lý bảo mật được thực hiện bởi
những phần mềm đặc biệt.Thiết lập sự riêng tư bằng việc bảo vệ kết nối điểm cuối” nguồn:
OpenVPN-Markus Feiler
Nhưng có lẽ định nghĩa đơn giản nhất dành cho VPN là:
“Bản chất của VPN là một kết nối bảo mật giữa hai hoặc nhiều điểm của mạng công
cộng” nguồn: SSL VPN-Joseph Steinberg & Timothy Speed

Hình 1: Mơ Hình mạng riêng ảo (VPN)
7


2. Tại sao phải sử dụng VPN

VPN ra đời từ nhu cầu kết nối giữa các công ty mẹ với các cơng ty con và chi
nhánh.Chính vì vậy,cho tới nay thì các cơng ty,tổ chức chính là đối tượng chính sử dụng
VPN.Đặc biệt là các cơng ty có nhu cầu cao về việc trao đổi thông tin,dữ liệu giữa các văn
phịng với nhau nhưng lại khơng địi hỏi u cầu q cao về tính bảo mật,cũng như dữ
liệu.Vì vậy đối với các doanh nghiệp,những lý do sau khiến mỗi đơn vị,tổ chức,cơng ty sử
dụng VPN:
1.


Giảm chi phí thường xun

Tiết kiệm 60% chi phí thuê đường truyền,cũng như là chi phí gọi đường dài của
những văn phòng ở xa.Với những nhân viên di động thì việc đăng nhập vào mạng VPN
chung của công ty thông qua các POP tại địa điểm đó.
2.

Giảm chi phí đầu tư

So với việc phải đầu tư từ đầu như trước đây thì giờ đây mọi chi phí về máy
chủ,đường truyền,bộ định tuyến,bộ chuyển mạch … Các cơng ty có thể th chúng từ các
đơn vị cung cấp dịch vụ.Như vậy vừa giảm được chi phí đầu tư trang thiết bị.
3.

Giảm chi phí duy trì nơi hệ thống và bảo trì

Thuận tiện cho việc nâng cấp hay bảo trì trong quá trình sử dụng vì hiện nay các
công ty cung cấp dịch vụ sẽ chịu trách nhiệm bảo trì hệ thống họ cung cấp hoặc nâng cấp
theo nhu cầu của khách hàng.
4.

Truy cập mọi lúc mọi nơi

Mọi nhân viên có thể sử dụng hạ tầng,dịch vụ của bên cung cấp trong điều kiện cho
phép để kết nối vào mạng VPN của công ty.Điều này đặc biệt quan trọng thời kỳ hiện
nay,khi mà thơng tin khơng chỉ cịn được đánh giá bằng độ chính xác mà cịn cả tính tức
thời.
1. Kiến trúc của VPN

Một hệ thống VPN được xây dựng lên bởi 2 thành phần chính là (Tunneling) đường

hầm kết nối và (Secure services) các dịch vụ bảo mật cho kết nối đó.Tunneling chính là
8


thành phần “Virtual” và Sercure services là thành phần “Private” của một mạng riêng ảo
VPN(Virtual Private Network).

1.

Đường hầm kết nối (Tunneling)

Khác với việc thuê một đường truyền riêng các kết nối bằng việc sử dụng cách tạo
đường hầm không liên tục,mà chỉ được xác lập khi có yêu cầu kết nối.Do vậy khi khơng
cịn được sử dụng các kết nối này sẽ được huỷ,giải phóng băng thơng,tài ngun mạng cho
các yêu cầu khác.Điều này cho thấy một ưu điểm rất lớn của VPN so với việc thuê đường
truyền riêng đó là sự linh hoạt.
Cấu trúc logic của mạng được thiết lập dành cho thiết bị mạng tương ứng của mạng
đó mà không cần quan tâm đến hạ tầng mạng hiện có là một đặc điểm “ảo” khác của
VPN.Các thiết bị phần cứng của mạng đều trở nên tàng hình với người dùng và thiết bị của
mạng VPN.Chính vì thế trong quá trình tạo ra đường hầm,những kết nối hình thành nên
mạng riêng ảo khơng có cùng tính chất vật lý với những kết nối cố định trong mạng Lan
thông thường.
Tạo đường hầm chính là hình thành 2 kết nối đặc biệt giữa hai điểm cuối trên
mạng.Các gói tin IP trước khi chuyển đi phải được đóng gói,mã hố gói tin gốc và thêm IP
header mới.Sau đó các gói tin sẽ được giải mã,tách bỏ phần tiêu đề tại gateway của điểm
đến,trước khi được chuyển đến điểm đến đầu cuối.
Đường hầm kết nối khiến việc định tuyến trở nên dễ dàng hơn,hồn tồn trong suốt
với người sử dụng.
Có hai loại đường hầm kết nối thường trực và tạm thời.Tính hiệu quả và tối ưu của
một đường hầm kết nối thường trực là khơng cao.Do đó đường hầm tạm thời thường được

sử dụng hơn vì tính linh động và hữu dụng hơn cho VPN.
Có hai kiểu kết nối hình thành giữa hai đầu kết nối của mỗi đường hầm là Lan to
Lan và Client to Lan.
(i)

Lan to Lan

Kết nối lan to lan được hình thành giữa 2 văn phịng chi nhánh hoặc chi nhánh với
cơng ty.Các nhân viên tại những văn phịng và chi nhánh đều có thể sử dụng đường hầm để
trao đổi dữ liệu.
9


(ii)

Client to lan

Kiểu kết nối client to lan dành cho các kết nối di động của các nhân viên ở xa đến
công ty hay chi nhánh.Để thực hiện được điều này,các máy client phải chạy một phần mềm
đặc biệt cho phép kết nối với gateway của công ty hay chinh nhánh.Khi kết nối này được
thực hiện thì đã xác lập một đường hầm kết nối giữa công ty và nhân viên ở xa.

b) Dịch vụ bảo mật (secure services)
Nếu chỉ thực hiện tạo ra một đường hầm kết nối đến chi nhánh hay nhân viên ở xa
mà khơng hề có cơ chế bảo vệ cho các dữ liệu di chuyển trên nó thì cũng như việc các ngân
hàng chuyển tiền mà khơng có lực lượng bảo vệ vậy.Tất cả các dữ liệu sẽ khơng được bảo
vệ,hồn tồn có thể bị đánh cắp,thay đổi trên quá trình vận chuyển một cách dễ dàng.Chính
vì vậy các cơ chế bảo mật cho VPN chính là xương sống của giải pháp này.
Một mạng VPN cần cung cấp 4 chức năng bảo mật cho dữ liệu:


• Xác thực(Authentication): Đảm bảo dữ liệu đến từ một nguồn quy định.
• Điều khiển truy cập (Access control) : hạn chế quyền từ những người dùng bất hợp
pháp.
• Tin cậy (Confidentiality): Ngăn chặn việc theo dõi hay sao chép dữ liệu trong q
trình vận chuyển trên mạng.
• Tính tồn vẹn (Data integrity): đảm bảo dữ liệu không bị thay đổi,được bảo toàn từ
đầu gửi đến đầu nhận.

Các dịch vụ bảo mật trên được cung cấp tại lớp 2 (Data link) và lớp 3 (Network)
trong mơ hình 7 lớp OSI.Các dịch vụ bảo mật đều được triển khai tại các lớp thấp của mơ
hình OSI làm giảm sự tác động đến người dùng.Việc bảo mật có thể thực hiện tại các đầu
cuối (end to end) hoặc giữa các nút (node to node).
Bảo mật tại các điểm đầu cuối là hình thức bảo mật có được độ tin cậy cao,ví dụ như
tại 2 máy tính đầu cuối.Tuy vậy nhưng hình thức bảo mật đầu cuối hay client to client lại
có nhược điểm làm tang sự phức tạp cho người dùng,khó khăn cho việc quản lý.
10


Trái với bảo mật điểm đầu cuối,bảo mật tại các nút thân thiện hơn với người dùng
cuối.Giảm số tác vụ có thể làm chậm hệ thống máy tính như mã hoá hay giải mã.Tuy nhiên
việc bảo mật tại các nút lại yêu cầu mạng sau nó phải có độ tin cậy cao.Mỗi hình thức bảo
mật đều có ưu điểm riêng,tuỳ theo từng yêu cầu của hệ thống cần xây dựng mà chọn hình
thức phù hợp.

1. Các giao thức trong VPN

a) Ipsec

mơ hình Ipsec
Internet Security Protocol là một cấu trúc được khởi sướng và duy trì phát triển bởi

lực lượng chuyên trách về kỹ thuật liên mạng (IETF) nhằm cung cấp các dịch vụ bảo mật
11


cho giao thức Ipv4 và Ipv6.Nó được xây dựng để phục vụ cho các cấu trúc tầng trên
cùng,đúng hơn là tập chung vào các thuật toán mã hoá và phương pháp trao đổi các
khoá.Ipsec được thiết kế chạy trên ứng dụng để bảo mật cho hệ thống mạng của chính
nó.Nâng cấp Ipsec chỉ có nghĩa là nâng cấp tính năng bảo mật,các ứng dụng mạng hiện tại
có thể tiếp tục sử dụng để truyền dữ liệu.
Ipsec cung cấp ba phương thức bảo mật đó là :

➢ Thuật tốn mã hố
➢ Thuật tốn xác thực
➢ Quản lý khố

Hai lợi ích chính bắt nguồn từ IPsec là các sản phẩm hoặc dịch vụ IPSec tăng tính
năng bảo mật bổ sung cũng như khả năng tương tác với các sản phẩm khác IPSec tăng
cường an ninh có nghĩa là xác thực tồn diện nhất và mạnh mẽ nhất ,trao đổi khoá, và các
thuật tốn mã hóa , mạnh mẽ cho sử dụng trong thế giới
Mặc dù IPSec vẫn còn trải qua thay đổi , nhiều nền tảng cơ bản đã được đông lạnh
đủ cho các nhà cung cấp để hoàn thiện , kiểm tra, và phân phối các sản phẩm VPN.

IPSec được hỗ trợ hai kiểu mã hoá .Để bảo vệ khối lượng của mỗi gói tin, trong khi
các chế độ đường hầm mã hóa cả tiêu đề và khối lượng. Một cách hợp lý đủ các chế độ
đường hầm an toàn hơn, vì nó bảo vệ danh tính của người gửi và người nhận, cùng với một
số lĩnh vực ẩn IP khác có thể cung cấp cho một người trung gian thơng tin hữu ích.

Để Ipsec làm việc như mong đợi, tất cả các thiết bị phải chia sẻ một khoá.ặMc dù
các giao thức được sử dụng để mã hóa dữ liệu là rất quan trọng vào thành công chung của
hệ thống, rất nhiều công việc đã đi vào xác thực và trao đổi khóa bằng người gửi và q

trình nhận.Tất nhiên nó được thực hiện chủ yếu thơng qua giao thức ISAKMP / oakley và
X 0,509 hệ thống chứng nhận kỹ thuật số.
12


b) ESP( Encapsulating Security Payload )

Cấu trúc gói tin được đóng gói bằng giao thức ESP

đơn vị cơ bản của truyền trên internet là các gói tin IP, khi mà hầu hết truyền thông
đều dựa trên WAN và LAN . IPSec xử lý mã hóa ngay ở cấp IP gói tin sử dụng giao thức
mới, Encapsulating Security Protocol (ESP). ESP được thiết kế để hỗ trợ hầu như bất kỳ
loại mã hóa đối xứng, chẳng hạn như DES hoặc triple DES.Hiện nay, ESP dựa trên tối
thiểu 56-bit DES. ESP cũng hỗ trợ một số xác thực, một phần chồng chéo với các giao thức
Ipsec,AH: xác thực header.Thơng thường ESP có thể được sử dụng bên trong gói tin IP
khác, để ESP có thể được vận chuyển qua các thường xuyên Thay vì TCP bình thường
hoặc chỉ định gói tin UDP, các thông tin tiêu đề sẽ tuyên bố tải trọng của gói tin là ESP
được thay thế. Bởi vì nó được đóng gói trong phương thức này, ESP có thể được vận
chuyển qua các mạng và là ngay lập tức tương thích ngược với phần lớn các phần cứng
được sử dụng để mạng đường sang ngày khác.

13


2.

AH( Authentication header)

Mơ hình giao thức AH


ESP bảo vệ việc dữ liệu bằng cách mã hóa, giao thức tiêu đề xác thực của IPSec xử
lý chỉ là xác thực, mà khơng cần bảo mật. Giao thức AH có thể được sử dụng kết hợp với
ESP trong chế độ đường hầm hoặc là một đứng một mình xác thực. Các giao thức xác thực
tiêu đề xử lý đảm bảo các thông tin tiêu đề IP nơi ESP là có liên quan với tải để hỗ trợ một
IPSec chức năng cơ bản yêu cầu triển khai của AH-chứa HMAC-SHA và HMAC-MD5
(HMAC là một hệ thống xác thực đối xứng được hỗ trợ bởi hai mã băm này.

3.
14

Internet key exchange,ISAMKP/Oakley


Trao đổi thông báo giữa hai điểm cuối sử dụng giao thức IKE

Bất kỳ cuộc trò chuyện được bảo vệ giữa hai bên chỉ có ESP và AH khơng hồn
thành bức tranh cho một hệ thống IPSec, để giao tiếp an tồn cho cả hai bên phải có khả
năng đàm phán phím để sử dụng trong khi thơng tin liên lạc đang xảy ra cộng với cả hai
bên cần phải có khả năng quyết định các thuật tốn mã hóa và xác thực để sử dụng trao đổi
khóa internet (IKE) giao thức ( trước đây gọi là ISAKMP / Oakley ) cung cấp xác thực của
tất cả các đồng nghiệp xử lý các chính sách an ninh mỗi một thực hiện và kiểm soát trao
đổi các khoá

15


Phát sinh khoá và thay đổi khoá rất quan trọng bởi vì thời gian càng lâu số lượng dữ
liệu có nguy cơ,dễ dàng hơn nó sẽ trở thành bản mã để đánh chặn hơn để phân tích. Đây là
khái niệm hồn hảo chuyển tiếp bằng cách thay đổi các khố thường xun nó trở nên khó
khăn cho ăn trợm mạng, phải thu thập lượng lớn dữ liệu nếu muốn tiếp tục crack các khố.


4.

Iso X.509 v3( Digital Certificates)

Mơ hình hệ thống xác thực sử dụng X.509v3 của RedhatOS

Mặc dù không phải là một giao thức bảo mật kiểu giống như ESP và AH, hệ thống
X.509 là quan trọng bởi vì nó cung cấp một mức độ kiểm sốt truy cập với một phạm vi
lớn hơn. Bởi vì các hệ thống chứng chỉ X.509 được sử dụng với các thiết bị cơ sở hạ tầng
khóa cơng cộng khác và các phần mềm, các nhà cung cấp IPsec đã chọn để kết hợp chúng
vào thiết bị của họ để xử lý xác thực. Quản lý giấy chứng nhận, như xử lý bởi một bên thứ
ba đáng tin cậy, sẽ đóng một vai trị lớn trong tương lai của bộ IPsec, và cơng việc đang
được thực hiện bởi các nhà cung cấp để có những sản phẩm của họ giao tiếp với các CAs
(Certificate Authorities) để xác thực.

16


5.

LDAP( Lightweight directory access protocol)

Ví dụ về server có sử dụng LDAP

Hệ thống X.509 là giao thức truy cập thư mục nhẹ, hoặc LDAP. LDAP là một dịch
vụ X.500 nhỏ hơn, dễ dàng hơn và hợp lý để thực hiện, điều này hỗ trợ các giải pháp VPN
khác nhau để cung cấp xác thực và quản lý giấy chứng nhận. Sản phẩm phần cứng như
Vịnh mạng Extranet LDAP Đổi sử dụng cũng như một số giải pháp phần mềm phổ biến,
chẳng hạn như Windows NT và Novell. Nó đang trở thành phổ biến hơn để sử dụng hệ

thống xác thực của bên thứ ba đáng tin cậy (như LDAP và hệ thống thư mục X.500) để truy
cập từ xa đến một mạng công ty (hoặc một VPN).

17


6.

Radius

Hệ thống sử dụng Radius

Có hệ thống LDAP và X.500 cung cấp xác thực và quản lý giấy chứng nhận cho
người sử dụng bất cứ nơi nào trên thế giới, Radius là một hệ thống xác thực sử dụng nhiều
hơn cho tra cứu tổ chức trong nội bộ. Hệ thống radius được phát triển như một tiêu chuẩn
mở của công ty Livingstone _, và hiện chưa _ bởi IETF, nhưng đang được xem xét. Gần
đây, _ hệ thống Radius để tăng cường khả năng client / server và nhà cung cấp cụ thể của
của nó, cho phép các nhà sản xuất để thích ứng sản phẩm và dịch vụ của họ sang các thị
trường cụ thể. Nhiều giải pháp VPN hiện để hỗ trợ xác thực bằng cách sử dụng Radius hơn
so với các hệ thống chứng nhận công cộng khác , nhưng một làn sóng hỗ trợ cho hệ thống
X.500 cũng được tiến hành.

7.

18

PPTP(point to point tunneling protocol)


Giao thức PPTP


Giao thức đường hầm point-to-point (PPTP) là một phần mở rộng của giao thức
PPP (point-to-point) . Các dịch vụ đường hầm cung cấp nền tảng cho IP. PPP đã rất thích
hợp để sửa đổi bởi vì chức năng của nó đã bắt chước hành vi của những gì một VPN sẽ
cần: một đường hầm điểm-điểm. Tất cả những gì cịn thiếu là bảo mật . PPTP, tuy nhiên, là
nhiều hơn một kênh thơng tin liên lạc an tồn host-to-host, hơn là một Lan-to-Lan . Mặc dù
nó hồn tồn có thể định tuyến lưu lượng qua một đường hầm PPTP, các giải pháp Ipsec là
hộp số tốt hơn cho loại ứng dụng.
1. Hệ thống mạng và VPN
1.

19

Remote Access VPNs


Remote Access VPNs

Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile và các
thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức.
Remote Access VPNs mô tả việc các người dùng ở xa sử dụng các phần mềm VPN
để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concertrator ( bản
chất là một server), Vì lý do này,giải pháp này thường được gọi là client/server. Trong giải
pháp này, người dùng thường sử dụng các công nghệ WAN truyền thống để tạo lại các
tunnel về mạng riêng của họ.
Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN,
trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây. Trong
thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless và sau đó về
mạng của cơng ty. Trong cả hai trường hợp, phần mềm client trên máy PC đều cho phép
khởi tạo các kết nối bảo mật, còn được gọi là tunnel.

Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu
nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì giai đoạn
ban đầu này dựa trên cùng một chính sách về bảo mật của cơng ty. Chính sách bao gồm :
Quy trình,kỹ thuật,máy chủ,điều khiển truy cập,v.vv

20