hồ sơ các bộ lọc gói, ta có thể cấu hình lưu lượng IP được cho phép nhận từ
các Client truy cập từ xa(Bộ lọc đầu vào) hoặc được gửi tới Client từ xa (Bộ lọc
đầu ra)
+ Các thiết lập xác thực có thể định nghĩa giao thức Client VPN phải sử dụng
để gửi giấy uỷ nhiệm của nó và cấu hình của các loại EAP, chẳng hạn EAP-TLS.
Việc ngăn chặn các luồng lưu lượng được định tuyến từ Client VPN
Một khi Client VPN thiết lập thành công một kết nối PPTP hoặc L2TP, theo
ngầm định bất kỳ gói nào gửi qua kết đều nhận được bởi máy chủ mạng riêng ảo
và chuyển tiếp chúng. Các gói gửi qua kết nối có thể bao gồm:
- Các gói có nguồn gốc từ máy tính Client truy cập từ xa
- Các gói gửi tới máy Client truy cập từ xa bởi các máy khác
Lúc máy Client truy cập từ xa tạo ra kết nối mạng riêng ảo, theo ngầm định
nó tạo một đường định tuyến mặc định vì vậy tất cả luồng lưu lượng phù hợp với
đường định tuyến mặc định được gửi qua kết nối mạng riêng ảo. Nếu các máy tính
khác đang chuyển tiếp luồng lưu lượng tới Client VPN truy cập từ xa, xem các
máy Client truy cập từ xa như một Router, mà luồng lưu lượng cũng được chuyển
tiếp qua kết nối mạng riêng ảo. Đây là một vấn đề an toàn vì máy chủ mạng riêng
ảo không xác thực các máy tính đang chuyển tiếp luồng lưu lượng tới Client VPN
truy cập từ xa
8. Cơ sở hạ tầng chứng chỉ số
Để thực hiện việc xác thực dựa trên chứng chỉ cho các kết nối L2TP hoặc xác
thực người dùng dựa trên chứng chỉ cho các kết nối mạng riêng ảo sử dụng EAP-
TLS, một cơ sở hạ tầng, được biết đến như cơ sở hạ tầng khoá công khai (PKI),
dùng để phát hành các chứng chỉ để đệ trình trong quá trình xác thực và để xác
nhận tính hợp lệ của chúng chỉ đang được đệ trình.
Như vậy ta thấy, các kết nối mạng riêng ảo truy cập từ xa gồm nhiều thành
phần. Client VPN phải được cấu hình để tạo kết nối mạng riêng ảo tới máy chủ
VPN. Cơ sở hạ tầng mạng phải hỗ trợ khả năng kết nối tới được giao diện máy chủ
mạng riêng ảo trên mạng Intranet và hỗ trợ xử lý tên DNS của máy chủ mạng riêng
ảo. Ta phải xác định giao thức xác thực và giao thức mạng riêng ảo để sử dụng. Cơ
sở hạ tầng mạng Intranet phải hỗ trợ xử lý đặt tên của các tài nguyên trong Intranet,

định tuyến tới các Client truy cập từ xa và các tài nguyên cách ly. Cơ sở hạ tầng
AAA phải được cấu hình để cung cấp tính năng xác thực sử dụng Domain, xác
thực sử dụng các chính sách truy cập từ xa, và kiểm toán các kết nối mạng riêng ảo
truy cập từ xa. Với các kết nối L2TP/IPSec hoặc lúc sử dụng xác thực EAP-TLS,
một cơ sở hạ tầng chứng chỉ phải được sử dụng để phát hành chứng chỉ người dùng
và chứng chỉ máy tính
6.2. Triển khai mạng riêng ảo truy cập từ xa
6.2.1. Triển khai truy cập từ xa dựa trên PPTP hoặc L2TP/IPSec
Nhiều thủ tục triển khai truy cập từ xa là giống nhau khi ta sử dụng PPTP
hoặc L2TP/IPSec, nhưng ta cần xem xét một số điểm khác biệt nổi bật trong khi
thiết lập, tuỳ thuộc vào cái nào được sử dụng. Không kể tập hợp giao thức mà ta sử
dụng, việc triển khai các kết nối mạng riêng ảo truy cập từ xa bao gồm các bước
sau:
- Triển khai một cơ sở hạ tầng chứng chỉ số
- Triển khai một cơ sở hạ tầng Internet
- Triển khai một cơ sở hạ tầng xác thực, cấp quyền và kiểm toán
- Triển khai các máy chủ mạng riêng ảo
- Triển khai một cơ sở hạ tầng Intranet
- Triển khai các Client VPN
Sau đây ta sẽ thảo luận chi tiết hơn về các phần
6.2.1.1. Triển khai một cơ sở hạ tầng chứng chỉ số
Với các kết nối mạng riêng ảo dựa trên PPTP, một cơ sở hạ tầng chứng chỉ là
cần thiết chỉ khi ta đang sử dụng các chứng chỉ người dùng được cài đặt cục bộ và
xác thực EAP-TLS, mới L2TP/IPSec, cơ sở hạ tầng chứng chỉ số là điều bắt buộc.
Nếu đang sử dụng chỉ một giao thức xác thực dựa trên mật khẩu như MS-CHAP
v2), thì không đòi hỏi cơ sở hạ tầng chứng chỉ và cơ sở hạ tầng này cũng không
được dùng cho việc tạo kết nối mạng riêng ảo. Ta có thể lựa chọn việc sử dụng mật
khẩu, miễn là các chứng chỉ cho phép xác thực 2 nhân tố và sẽ cho phép ta sử dụng
các công nghệ an toàn của IPSec.
Để sử dụng một cơ sở hạ tầng chứng chỉ cho các kết nối mạng riêng ảo dựa

trên PPTP, ta phải cài đặt một chứng chỉ máy tính trên máy chủ xác thực (Máy chủ
mạng riêng ảo hoặc máy chủ RADIUS) và phân phối tới Client VPN hoặc một
chứng chỉ người dùng trên mỗi máy Client VPN.
6.2.1.2. Triển khai một cơ sở hạ tầng Internet
Bây giờ ta đã có tất cả các dịch vụ cấp chứng chỉ đã triển khai, hãy chuyển
sang khai thác hệ thống mạng riêng ảo đã cấu hình và triển khai. Bước thứ nhất là
triển khai cơ sở hạ tầng Internet cho các kết nối mạng riêng ảo truy cập từ xa sẽ xử
lý tất cả các yêu cầu kết nối và truy cập đến tới và từ Internet. Triển khai cơ sở hạ
tầng Internet bao gồm:
- Đặt máy chủ mạng riêng ảo trong một mạng vành đai hoặc trên Internet
- Cấu hình giao diện Internet
- Bổ sung địa chỉ vào máy chủ hệ thống tên miền Internet
1. Đặt máy chủ mạng riêng ảo trong mạng vành đai hoặc trên Internet
Quyết định nơi đặt máy chủ liên quan đến Firewall Intranet của ta. Trong cấu
hình thông dụng nhất, máy chủ mạng riêng ảo được đặt sau Firewall trên mạng
vành đai giữa Intranet và Internet. Cấu hình này cho phép Firewall xử lý nhiều tác
vụ bảo mật, chẳng hạn như xem xét các tấn công và lọc các luồng lưu lượng không
mong muốn bên ngoài, cho phép máy chủ mạng riêng ảo xử lý luồng lưu lượng
mạng riêng ảo truy cập từ xa. Nếu đang sử dụng một Firewall trước máy chủ mạng
riêng ảo, cấu hình bộ lọc gói trên Firewall để cho phép luồng lưu lượng PPTP hoặc
L2TP/IPSec khi được yêu cầu tới và từ địa chỉ IP của các giao diện mạng vành đai
của máy chủ mạng riêng ảo.
2. Cấu hình giao diện Internet
Kết nối máy chủ mạng riêng ảo tới mạng vành đai với một card mạng và kết
nối tới mạng Intranet với một card mạng khác. Cấu hình máy chủ mạng riêng ảo để
chuyển tiếp các gói IP giữa Internet và Intranet, chẳng hạn nếu dùng hệ điều hành
Windows thì dùng dịch vụ Routing anhd Remote Access Server
Với các kết nối kết nối tới Internet hoặc mạng vành đai, cấu hình giao thức
TCP/IP với một địa chỉ IP công cộng, một subnet mask và cổng kết nối mặc định
của hoặc Firewall(nếu Firewal được đặt trong một mạng vành đai) hoặc một

Router của ISP(nếu máy chủ mạng riêng ảo được kế nối trực tiếp tới Internet và
không có Firewall giữa máy chủ mạng riêng ảo và Router của ISP)
3. Bổ sung địa chỉ vào máy chủ DNS internet
Với các thiết bị mạng riêng ảo để thực hiện chức năng, người dùng sẽ cần
phải có khả năng tìm thấy máy chủ mạng riêng ảo từ bất kỳ nơi nào trên Internet,
vì vậy, ta cần thông báo tên máy chủ một cách đúng đắn. Để đảm bảo rằng tên của
máy chủ mạng riêng ảo(ví dụ, vpn.fis.com) có thể được xử lý với các địa chỉ IP
thích hợp của nó theo một trong 2 thủ tục sau. Bạn có thể bổ sung địa chỉ DNS vào
máy chủ DNS nếu đang cung cấp dịch vụ phân giải tên DNS cho người dùng
Internet(Nếu là trường hợp này, đảm bảo rằng ISP của ta biết nó và rằng máy chủ
DNS của ta có thể phản hồi yêu cầu bởi các máy chủ DNS của ISP). Như một sự
lựa chọn, ta có thể bổ sung vào ISP của ta một bản ghi DNS tới máy chủ DNS nếu
ISP đang cung cấp dịch vụ phân giải tên DNS cho người dùng Internet. Kiểm tra
lại tên của máy chủ mạng riêng ảo có thể được xử lý với địa chỉ IP công cộng lúc
kết nối tới Internet hay không
6.2.1.3. Triển khai một cơ sở hạ tầng AAA
Một khi ta làm cho tên máy chủ mạng riêng ảo có thể xử lý trên Internet, ta
muốn chắc chắn rằng chỉ những người dùng mà ta đồng ý cấp quyền truy cập tới
các dịch vụ mạng riêng ảo. Bước kế tiếp là triển khai hệ thống định danh, được
xem như là các dịch vụ AAA. Việc triển khai cơ sở hạ tầng AAA cho các kết nối
mạng riêng ảo truy cập từ xa bao gồm
- Cấu hình dịch vụ thư mục cho tài khoản người dùng và nhóm
- Cấu hình máy chủ xác thực Internet IAS chính
- Cấu hình IAS với các Client RADIUS
- Cấu hình chính sách mạng riêng ảo truy cập từ xa
Cấu hình dịch vụ thư mục cho tài khoản người dùng và nhóm
Dịch vụ thư mục là trung tâm bảo mật của mạng riêng ảo
+ Phải đảm bảo rằng tất cả người dùng tạo kết nối truy cập từ xa có một tài
khoản tương ứng
+ Thiết lập mức cho phép truy cập từ xa trên tài khoả để cho phép truy cập

hay từ chối truy cập để quản lý truy câp từ xa theo người dùng hoặc theo nhóm
thông qua chính sách truy cập từ xa
+ Tổ chức những người dùng từ xa thành nhóm thích hợp để thuận tiện trong
việc áp dụng chính sách truy cập từ xa theo nhóm
Cấu hình máy chủ IAS chính
Máy chủ IAS sẽ cho phép ta xử lý tất các các liên lạc liên quan tới xác thực và
cấp quyền. Đây sẽ là nguồn tài nguyên máy chủ sống còn và việc mất các dịch vụ
xác thực có thể làm dừng hoạt động của toàn mạng, Vì vậy cần thiết phải có IAS
thứ 2 để dự phòng
Máy chủ IAS chính phải có khả năng truy cập các thuộc tính tài khoản trong
các Domain thích hợp. Nếu IAS đang được cài trên một máy điều khiển miền,
không yêu cầu phải cấu hình cho IAS truy cập các thuộc tính tài khoản trong
Domain mà nó thuộc. Nếu IAS không được cài trên một máy điều khiển miền, ta
phải cấu hình máy chủ IAS chính để nó có thể đọc các thuộc tính của tài khoản
người dùng trong Domain
Nếu máy chủ IAS xác thực và cấp quyền cho các nổ lực kết nối mạng riêng ảo
với các tài khoản người dùng trong các Domain khác, kiểm tra lại xem các Domain
khac có quan hệ tin cậy hai chiều với Domain mà máy chủ IAS là thành viên hay
không.