46

2.6.2 Giao thức định đường hầm lớp 2 - L2TP ( Layer 2 Tunneling
Protocol )
Đây là giao thức chuẩn của IETF (Internet Engineering Task Force) sử dụng
kỹ thuật khoá công cộng (public key technology) để thực hiện việc xác thực người
dùng và có thể hoạt động thông qua một môi trường truyền thông đa dạng hơn so
với PPTP. Một điểm đáng lưu ý là L2TP không thể sử dụng để thực hiện mã hoá.
Microsoft bắt đầu cung cấp L2TP như một phần của RAS trong hệ điều hành
Windows 2000.

Hình 37 Giao thức L2TP
2.6.3 Giao thức bảo mật IP – Ipsec
Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hoá. Lợi điểm
lớn nhất của IPSec là giao thức này có thể được sử dụng để thiết lập một VPN một
cách tự động và thích hợp với chính sách bảo mật tập trung và có thể sử dụng để
thiết lập một VPN dựa trên cơ sở các máy tính mà không phải là người dùng. IPSec
được cung cấp như một phần trong hệ điều hành Windows NT 4.0 và Window
2000.
47


Hình 38 Giao thức IPSec
Ngoài ra còn có giao thức chuyển tiếp lớp 2 L2F (Layer 2 Forwarding) là cơ
sở để xây dựng nên L2TP.
2.7 LỢI ÍCH CỦA VPN
2.7.1 Đối với khách hàng
 Giảm thiểu chi phí sử dụng so với việc kết nối mạng diện rộng dùng
các kênh thuê riêng. Theo thống kê thực tế chi phí sử dụng cho
mạng riêng ảo chỉ bằng 60% so với chi phí của việc dùng kênh kết
nối riêng. Ðiều này đặc biệt có ý nghĩa lớn đối với các công ty đa

quốc gia, thông qua mạng riêng ảo giúp khách hàng giảm thiểu thời
gian và đáp ứng nhu cầu làm việc trực tuyến.
+ Giảm thiểu thiết bị sử dụng.
+ Giảm thiểu chi phí kênh kết nối đường dài.
+ Giảm thiểu việc thiết kế và quản lý mạng.
+ Giảm thiểu việc lãng phí băng thông, khách hàng có khả năng trả
theo cước lưu lượng sử dụng.
48

 Quản lý dễ dàng : Khách hàng có khả năng quản lý số lượng người sử
dụng (khả năng thêm, xoá kênh kết nối liên tục, nhanh chóng). Hiện
nay nhu cầu sử dụng tư vấn từ bên ngoài, các nguổn lực từ bên ngoài
để phục vụ cho công tác kinh doanh đã trở thành một xu hướng. Tổ
chức IDC dự đoán nhu cầu sử dụng các dịch vụ quản lý mạng từ bên
ngoài tăng từ 2,4 tỷ trong năm 1998 lên 4,7 tỷ trong năm 2002.
2.7.2 Đối với nhà cung cấp dịch vụ
 Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ
gia tăng giá trị khác kèm theo.
 Tăng hiệu quả sử dụng mạng Internet hiện tại.
 Kéo theo khả năng tư vấn thiết kết mạng cho khách hàng đây là một yếu
tố quan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với
khách hàng đặc biệt là các khách hàng lớn.
 Ðầu tư không lớn hiệu quả đem lại cao.
 Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ: Thiết bị sử
dụng cho mạng VPN.
2.8 ƯU ĐIỂM VÀ NHƯỢC ĐIỂM
2.8.1 Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN để
đơn giản hóa việc truy cập đối VPN với các nhân viên làm việc và người dùng lưu
động, mở rộng Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet

đến tận khách hàng và các đối tác chủ chốt và điều quan trọng là những công việc
49

trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng
WAN riêng.
 Giảm chi phí thường xuyên : VPN cho phép tiết kiệm 60% chi phí so
với thuê đường truyền và giảm đáng kể tiền cước gọi đến của các nhân
viên làm việc ở xa. Giảm được cước phí đường dài khi truy cập VPN cho
các nhân viên di động và các nhân viên làm việc ở xa nhờ vào việc họ
truy cập vào mạng thông qua các điểm kết nối POP (Point of Presence) ở
địa phương, hạn chế gọi đường dài đến các modem tập trung
 Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định
tuyến cho mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy
cập bởi vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm
chủ. Công ty cũng không phải mua, thiết lập cấu hình hoặc quản lý các
nhóm modem phức tạp.
 Truy cập mọi lúc, mọi nơi: Các Client của VPN cũng có thể truy cập tất
cả các dịch vụ như www, e-mail, FTP … cũng như các ứng dụng thiết
yếu khác mà không cần quan tâm đến những phần phức tạp bên dưới.
 Khả năng mở rộng : Do VPN sử dụng môi trường và các công nghệ
tương tự Internet cho nên với một Internet VPN, các văn phòng, nhóm và
các đối tượng di động có thể trở nên một phần của mạng VPN ở bất kỳ
nơi nào mà ISP cung cấp một điểm kết nối cục bộ POP
50

2.8.2 Nhược điểm
Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanh
nghiệp. Tuy nhiên VPN không phải không có nhược điểm, mặc dù không ngừng
được cải tiến, nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mật nhưng dường
như đó vẫn là một vấn để khá lớn của VPN.

Vì sao vấn đề bảo mật lại lớn như vậy đối với VPN? Một lý do là VPN đưa
các thông tin có tính riêng tư và quan trọng qua một mạng chung có độ bảo mật rất
kém ( thường là Internet). Lý do bị tấn công của VPN thì có vài lý do sau : sự tranh
đua giữa các công ty, sự tham lam muốn chiếm nguồn thông tin, sự trả thù, cảm
giác mạnh…
QoS cho VPN cũng là một vấn đề đau đầu. Hai thông số về QoS cho mạng là
độ trễ và thông lượng. Ta biết rằng VPN chạy trên một mạng chung Internet. Mà
đặc thù của mạng Internet là mạng có cấu trúc đơn giản, lưu lượng tin lớn, khó dự
đoán cũng chính vì thế mà việc quản lý chất lượng cho từng dịch vụ là rất khó khăn.
Thường QoS trên Internet chỉ là best effort.
Khả năng quản lý cũng là vấn đề khó khăn của VPN. Cũng với lý do là chạy
ngang qua mạng Internet nên khả năng quản lý kết nối end to end từ phía một nhà
cung cấp đơn lẻ là điều không thể thực hiện được. Vì thế nhà cung cấp dịch vụ
(ISP) không thể cung cấp chất lượng 100% như cam kết mà chỉ có thể cố hết sức.
Cũng có một lối thoát là các nhà cung cấp ký kết với nhau các bản thoả thuận về các
thông số mạng, đảm bảo chất lượng dịch vụ cho khách hàng. Tuy nhiên các cam kết
này cũng không đảm bảo 100%.

51









CHƯƠNG 3
THIẾT KẾ MÔ HÌNH VPN CLIENT TO SITE

3.1 TÌNH HUỐNG
Trung tâm Tin học VSIC có chi nhánh ở Đà Nẵng, tất cả các dữ liệu, máy
chủ như Web server, Mail server,… đều đặt tại đây. Các nhân viên làm việc trực
tiếp tại trung tâm truy cập vào hệ thống mạng rất thuận lợi, còn nếu những nhân
viên đi công tác xa hay những nhân viên ở nhà muốn truy cập vào hệ thống mạng
của trung tâm lấy dữ liệu thì sao? Lúc này phải có một giải pháp nào đó để những
nhân viên này truy cập vào hệ thống mạng một cách thuận lợi.
3.2 PHÂN TÍCH VÀ THIẾT KẾ
3.2.1 Thiết bị sử dụng
 Đối với user bên ngoài có thể dùng máy PC hay laptop và kết nối
Internet thông qua các đường truyền như Dial-up, ADSL…
52

 Trong công ty có các máy chủ như VPN server, Mail server, Web
server…và kết nối Internet qua Router ADSL.
3.2.2 Hệ điều hành và giao thức
 Hệ điều hành chủ yếu là Window Server 2003 và Window XP.
 Giao thức dùng trong hệ thống mạng là TCP/IP.
53

3.3 MÔ HÌNH TRIỂN KHAI

Hình 39 Mô hình Client to Site
Mô hình gồm có:
 1 máy tính VPN SERVER cài hệ điều hành Window Server 2003, có 2 card
mạng tương ứng với địa chỉ IP là 10.3.9.1 (card mạng ngoài) và
192.168.1.20 (card mạng trong).
 1 máy DOMAIN CONTROLLER cài hệ điều hành Window Server 2003, có
địa chỉ IP là 192.168.1.21.
 1 máy RADIUS cài hệ điều hành Window Server 2003, có địa chỉ IP là

192.168.1.22.
54

 1 máy VPN CLIENT cài hệ điều hành Window server 2003 hoặc Window
XP.
 1 SWITCH.
Yêu cầu đặt ra:
Máy tính VPN CLIENT truy cập từ xa vào trong trung tâm theo giao thức
Tunneling điểm nối điểm (PPTP), chứng thực bởi Radius Server.

CHƯƠNG 4
TRIỂN KHAI CÀI ĐẶT MÔ HÌNH VPN CLIENT TO SITE
4.1 CÁC BƯỚC CÀI ĐẶT
4.1.1 Trên máy Domain Controller tạo Group VPN và User
4.1.1.1 Tạo Group VPN
Vào Administrative Tools -> Active Directory Users and Computer