Card mạng dùng để kết nối tới phân mạng Intranet và card mạng kết nối tới
Internet được cài đặt đúng. Ta giả định sử dụng T3 để kết nối máy chủ mạng riêng
ảo với Internet. Chúng ta sẽ xem nó như một card mạng WAN
Cấu hình TCP/IP trên card mạng LAN và WAN
Xác định địa chỉ IP cho card mạng LAN, chẳng hạn sử dụng địa chỉ IP là
172.31.0.1 với một subnetmask là 255.255.0.0.
Xác định địa chỉ IP cho card mạng WAN, chẳng hạn là 207.209.68.1 với mặt
nạ mạng là 255.255.255.255
DNS cũng được cấu hình và nên hướng vào dịch vụ DNS bên trong của Công
ty. Trình phân giải địa chỉ bên ngoài nên được chuyển tiếp bởi máy chủ DNS bên
trong tới một người có thẩm quyền bên ngoài
Cấu hình dịch vụ định tuyến
Để cấu hình dịch vụ định tuyến trên máy chủ mạng riêng ảo sử dụng các thiết
lập sau:
- Kết nối mạng riêng ảo, xem xét đến kết nối tương ứng với giao diện được
kết nối tới Internet
- Gán địa chỉ IP, thông thường xác định một phạm vi địa chỉ, chẳng hạn từ
172.31.255.1 tới 172.31.255.254, nghĩa là tạo ra một vùng địa chỉ tĩnh cho 254
Client VPN, hoặc sử dụng giao thức cấu hình Host động(DHCP) để phân phối địa
chỉ IP cho các Client
Cấu hình đường định tuyến tĩnh trên máy chủ để kết nối liên lạc giữa
Intranet và Internet
Không có các đường định tuyến tĩnh, chỉ mạng con cục bộ sẽ được coi như
các Client VPN. Máy chủ VPN cần biết về tất cả các mạng con mà Client có thể
cần kết nối đến và vì vậy đòi hỏi phải có các đường định tuyến tĩnh.
Để kết nối được tới các vị trí trong Intranet, một đường định tuyến tĩnh được
tạo với các thiết lập cho:
- Giao diện mạng: Card mạng LAN kết nối với Intranet
- Địa chỉ dích: Chẳng hạn, 172.16.0.0
- Mặt nạ mạng: Chẳng hạn, 255.240.0.0
- Gateway: Chẳng hạn, 172.31.0.2

Đường định tuyến tĩnh làm đơn giản hoá việc định tuyến bằng cách tổng kết
tất cả các đích trên mạng Intranet của tổng công ty. Kỹ thuật này được biết như là
bộ tổng hợp định tuyến. Đường định tuyến tĩnh này được sử dụng mà máy chủ
mạng riêng ảo không cần được cấu hình với một giao thức định tuyến.
Để kết nối tới được các vị trí trên Internet, một đường định tuyến được tạo với
các thiết lập cho:
- Giao diện mạng trên Card mạng WAN kết nối tới Internet
- Địa chỉ đích
- Mặt nạ mạng
- Gateway
Đường định tuyến này tổng hợp tất cả các đích trên Internet và sẽ cho máy
chủ mạng riêng ảo gửi bất kỳ đích nào “chư biết” được yêu cầu ra Internet cho
trình phân giải tên. Đường định tuyến này cho phép máy chủ mạng riêng ao phản
hồi một Client từ xa hoặc một Router yêu cầu quay số từ bất kỳ nơi nào trên
Internet. Việc sử dụng các đường định tuyến tĩnh thay cho Default Gateway thiết
lập trên các giao diện, nên có thể bỏ trống. Các đường định tuyến tĩnh sẽ không bị
đè bởi bất kỳ cấu hình tự động nào
Cấu hình một đường định tuyến tĩnh trên Router Intranet để kết nối được
với các văn phòng chi nhánh.
Để kết nối được với các văn phòng chi nhánh từ Router Intranet, một đường
định tuyến tĩnh được tạo theo các thiết lập theo các thông số cần thiết:
- Giao diện mạng LAN kết nối tới Intranet
- Địa chỉ đích, chẳng hạn 192.168.0.0
- Mặt nạ mạng, chẳng hạn 172.31.0.1
Đường định tuyến tĩnh này làm đơn giản hoá việc định tuyến bằng cách tổng
hợp tất cả các đích tại văn phòng chi nhánh của Tổng công ty. Router Intranet phân
phối đường định tuyến tĩnh này tới các Router lân cận của nó, và như vậy một
đường định tuyến tới các văn phòng chi nhánh tồn tại trên mỗi Router của Intranet.
Đây là cách tất cả các tài nguyên bên trong sẽ biết cách tìm các nhánh văn phòng ở
xa. Bằng cách phân phối đường định tuyến này, máy chủ mạng riêng ảo có thế

kiểm soát tất cả luồng lưu lượng tới các văn phòng ở xa.
2. Cấu hình Domain
Để thuận tiện cho việc áp dụng các thiết lập kết nối khác nhau với các kiểu
kết nổi mạng riêng ảo khác nhau, với kết nối mạng riêng ảo tới văn phòng A, trên
máy chủ Domain ta thực hiện
- Tạo tài khoản người dùng, chẳng hạn VPN_A
- Với các thuộc tính quay số trên tài khoản VPN_A, mức cho phép truy cập từ
xa được thiết lập và đường định tuyến tĩnh 192.168.28.0 với một mặt nạ mạng
255.255.255.0 được thêm vào.
- Các tài khoản nên được tạo theo nhóm
3. Cấu hình bảo mật
Để cho phép các kết nối L2TP/IPSec, Domain tổng công ty được cấu hình đê
tự động nạp các chứng chỉ tới tất cả các thành viên của Domain
4. Cấu hình chính sách truy cập từ xa
Để định nghĩa các thiết lập mã hoá và xác thực cho các Router mạng riêng ảo,
ta tạo chính sách truy cập từ xa với các thông tin cần quan tâm:
- Tên chính sách
- Phương pháp truy cập, chẳng hạn VPN
- Người dùng hoặc nhóm truy cập
- Phương pháp xác thực
- Mức mã hoá chính sách, thường chọn mức mã hoá mạnh hoặc mạnh nhất
Những mô hình ở phần trên, ta mô tả một kết nối văn phòng chi nhánh dựa
trên PPTP cho nhánh văn phòng X và một kết nối văn phòng chi nhánh dựa trên
L2TP/IPSec cho văn phòng Y. Qua mô tả kịch bản này, chúng ta có thể bao trùm
tất cả cơ sở cho việc triển khai. Muốn an toàn nhất, L2TP/IPSec với các chứng chỉ
số là giải pháp được khuyến cáo. Nhiều nhà cung cấp đề xuất chế độ đường hầm
IPSec cho hoạt động này nhưng nó bị từ chối vì lý do an toàn bởi IETF
7.3.1.2.2. Kết nối văn phòng chi nhánh dựa trên PPTP
Nhánh văn phòng X là một nhánh văn phòng dựa trên PPTP, kết nối tới máy
chủ mạng riêng ảo tại tổng công ty.

Để triển khai một PPTP, khởi tạo một chiều, tại Router trên nhánh văn phòng
A ta thực hiện cấu hình:
1. Cấu hình giao diện cho kết nối tới ISP
Để kết nối Router tại văn phòng A tới Internet qua một ISP cục bộ, một giao
được thiết lập như sau:
- Tên giao diện: chẳng hạn ISP
- Kiểu kết nối: Sử dụng Modem, ISDN hoặc thiết bị vật lý khác
- Lựa chọn một thiết bị: Chọn một thiết bị ISDN thích hợp
- Số điện thoại: Số điện thoại của ISP cho nhánh văn phòng A
- Các đường định tuyến tĩnh cho mạng ở xa
+ Để tạo kết nối tới ISP của nhánh văn phòng A lúc kết nối mạng riêng ảo cần
được thiết lập, ta tạo ra đường định tuyến tĩnh tại Router văn phòng A
- Giấy uỷ nhiệm quay số ra ngoài, bao gồm các thông tin
+ Username: là tên tài khoản mà ISP cấp cho nhánh văn phòng A
+ Password: Mật khẩu tương ứng
+ Xác minh lại mật khẩu tương ứng
2. Cấu hình giao diện cho kết nối mạng riêng ảo
Để kết nối Router nhánh văn phòng A tới máy chủ mạng riêng ảo tại trung
tâm sử dụng kết nối mạng riêng ảo qua Internet, người quản trị mạng trung tâm
phải tạo một giao diện quay số với các tham số thông thường như:
- Tên giao diện
- Kiểu kết nối: Kết nối sử dụng VPN
- Kiểu mạng riêng ảo, do đây là kết nối dựa trên PPTP nên chọn giao thức
phải là PPTP
- Địa chỉ đích, là giao diện mạng thứ 2 kết nối với Internet tại máy chủ VPN
trên trung tâm
- Xác định giao thức và tính an toàn được dùng
- Các đường định tuyến tĩnh cho các mạng từ xa
Để làm cho tất cả các vị trí trên Intranet tổng công ty có thể kết nối tới được,
ta tạo ra đường định tuyến tĩnh. Trong đó có các tham số cần quan tâm như:

+ Địa chỉ đích phải là định danh mạng của tổng công ty, chẳng hạn 172.16.0.0
+ Mặt nạ mạng, chẳng hạn là 255.240.0.0
Để là cho tất cả các vị trí trên các nhánh văn phòng có thể kết nối tới được, ta
cũng tạo ra đường định tuyến tĩnh, với địa chỉ đích phải là địa chỉ mạng của các
nhánh văn phòng, chẳng hạn 192.168.0.0; mặt nạ mạng là 255.255.0.0
- Giấy uỷ quyền quay số ra ngoài, sử dụng cho tài khoản trên Domain của
tổng công ty
7.3.1.2.3. Kết nối chi nhánh văn phòng dựa trên L2TP/IPSec
Nhánh văn phòng Y là một kết nối dựa trên L2TP/IPSec, kết nối mạng riêng
ảo với mãy chủ mạng riêng ảo tại tổng công ty.