NỘI DUNG
LỜI NÓI ĐẦU.
Chương I: Giới thiệu.
1. Lịch sử.
2. Nhu cầu ứng dụng.
3. Các giải pháp công nghệ liên quan.
4. Các giải pháp mô hình triển khai hiện có.
Chương II: Tìm hiểu giao tức và thuật toán.
1. Sơ đồ nguyên lý tổng quát.
2. Giải thích các trường dữ liệu.
3. Các trường thông tin và nhiệm vụ.
Chương III: Kết quả thực nghiệm.
KẾT LUẬN.
LỜI CÁM ƠN
Chúng em xin bày tỏ lòng kính trọng và biết ơn sâu sắc tới thầy giáo ThS Văn Thiên
Hoàng đã tận tình chỉ bảo và giúp đỡ chúng em hoàn thành đề tài môn này. Đồng
thời chúng em xin được cảm ơn các thầy cô giáo trường Đại Học Kỹ Thuật Công
Nghệ TP.Hồ Chí Minh, những người đã trang bị cho chúng em những kiến thức giúp
em hoàn thành tốt đồ án chuyên ngành này.
Nhóm 7:
Đào Minh Đức MSSV: 1081020004
Huỳnh Đức Thọ MSSV: 1081020095
Võ Thế Văn MSSV: 1081020120
Trương Hiền Luân Vũ MSSV: 1081020126
1
1

LỜI MỞ ĐẦU
Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và đặc
biệt là mạng Internet ngày càng phát triển đa dạng và phong phú. Các dịch vụ trên

mạng Internet đã xâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội. Các
thông tin trao đổi trên Internet cũng đa dạng cả về nội dung và hình thức, trong đó có
rất nhiều thông tin cần bảo mật cao bởi tính kinh tế, tính chính xác và tin cậy của nó.
Bên cạnh đó, những dịch vụ mạng ngày càng có giá trị, yêu cầu phải đảm bảo tính ổn
định và an toàn cao. Tuy nhiên, các hình thức phá hoại mạng cũng trở nên tinh vi và
phức tạp hơn, do đó đối với mỗi hệ thống, nhiệm vụ bảo mật đặt ra cho người quản
trị là hết sức quan trọng và cần thiết.Xuất phát từ những thực tế nêu trên, hiện nay
trên thế giới đã xuất hiện rất nhiều công nghệ liên quan đến bảo mật hệ thống và
mạng máy tính, việc nắm bắt những công nghệ này là hết sức cần thiết.
Xuất phát từ yêu cầu mở rộng Internet để thân thiện hơn với người sử dụng. VPN đã
được nghiên cứu và triển khai ứng dụng trong thực tế, với những tính năng hỗ trợ
đáp ứng được băng thông, triển khai dễ dàng, và đáp ứng được các yêu cầu kĩ thuật,
kinh tế.
Khi nghiên cứu và triển khai ứng dụng giao thức PPTP trong VPN, người ta đặc biệt
quan tâm tới tính bảo mật an toàn thông tin của nó. Do môi trường truyền dẫn đường
hầm riêng nên PPTP an toàn và bảo mật cao tránh sự tấn công của các Hacker.
2
2

Do đó, đi đôi với phát triển PPTP phải phát triển các khả năng bảo mật an toàn, để
cung cấp thông tin hiệu quả, tin cậy cho người sử dụng.
Chương I: Giới thiệu.
1. Giới thiệu lịch sữ:
PPTP được viết tắt từ Point-to-Point Tunneling Protocol tức là giao thức đường hầm,
là một phương thức của mạng riêng ảo VPN (Virtual Private Network). Sữ dụng một
kênh điều khiển qua giao thức TCP và GRE, hoạt đọng để đóng gói PPP. Mục đích
sữ dụng giao thức này để cung cấp mật độ bảo mật truy cập từ xa như sản phẩm điển
hình của VPN.
VPN (Virtual Private Network) là một phương thức bảo mật đường truyền giữa hai
điểm, công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ

thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây, để truy cập từ xa vào hệ
thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa trên
mạng điện thoại. Phương thức này vừa tốn kém vừa không an toàn. VPN cho phép
các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng
Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu. Để cung cấp kết
nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa
những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi
trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng
được gọi là tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này,
các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa
trường hợp "trộm" gói tin trên đường truyền.
Đặc điểm kỹ thuật:
PPTP là giao thức được xác nhận là RFC 2637.
3
3

PPTP được diễn giải bằng thông tin liên lạc peer trên TCP(Transmission Control
Protocol) tại cổng 1723. Sau khi kết nối với TCP để khởi động thì GRE sẽ quản lý
như một tunneling thứ 2 mà cùng peer.
2. Nhu cầu ứng dụng:
Ứng dụng: Hiện nay giao thức PPTP thông dụng nhất là sử dụng trong VPN mạng
riêng ảo. PPTP là giao thức bảo mật đường hầm tốt để quay VPN.
Nhu cầu : Tạo Tunneling(Đường hầm) giao tiếp máy ngoài vào một mạng nội bộ
công ty trên Internet, xây đụng hệ thống mạng cục bộ cho việc trao đổi dữ liệu được
dễ dàng hươn
3. Các giải pháp công nghệ tương ứng liên quan:
 Internet Protocol Security (IPsec) là một bộ giao thức bảo mật Internet Protocol (IP)
thông tin liên lạc bằng cách xác thực và mã hóa mỗi gói tin IP của một phiên giao
tiếp. IPsec cũng bao gồm các giao thức cho việc thiết lập xác thực lẫn nhau giữa các
đại lý vào đầu của các phiên họp và đàm phán của các phím mã hóa được sử dụng

trong phiên. IPsec là chương trình điều hành bảo mật end-to-end trong Layer Internet
của Nghị định thư Internet Suite . Nó có thể được sử dụng trong bảo vệ luồng dữ liệu
giữa một cặp máy chủ (host-to-host), giữa một cặp cổng an ninh (network-to-
network), hoặc giữa một cổng an ninh và một máy chủ (network-to-host). Giao thức
L2TP(Layer 2 Tunneling Protocol) là một giao thức đường hầm được sử dụng để hỗ
trợ mạng riêng ảo (VPN) hoặc như là một phần của việc cung cấp các dịch vụ bởi
các ISP. Nó không cung cấp bất kỳ mã hóa hay bảo mật của chính nó, nó dựa trên
một giao thức mã hóa mà nó đi qua trong vòng đường hầm để cung cấp sự riêng tư
 Giao thức xác thực mở rộng EAP(Extensible Authentication Protocol), là một giao
thức thường xuyên được sử dụng trong các mạng không dây và kết nối Point-to-Point
. Nó được định nghĩa trong RFC 3748 , RFC 2284 đã lỗi thời, và đã được cập nhật
bằng RFC 5247. EAP là một giao thức cung cấp cho vận chuyển và sử dụng vật liệu
keying và các thông số được tạo ra bởi phương pháp EAP. Có nhiều phương pháp
được định nghĩa bởi RFC và một số phương pháp nhà cung cấp cụ thể và đề xuất
mới tồn tại. EAP là một giao thức dây , thay vào đó nó chỉ định nghĩa các định dạng
tin nhắn. Mỗi giao thức sử dụng EAP định nghĩa một cách để đóng gói các thông
điệp EAP trong tin nhắn của giao thức.
4. Các giải pháp mô hình triển khai hiện có.:
Giải pháp:
4
4

Virtual Private Networks (VPN) có tên gọi chung của những kết nối “riêng” và bảo
mật đựa trên một hệ thống kết nối chung, thường là internet, cho phép mở rộng hệ
thống mạng tới các văn phòng ở xa (remote office ), các người dùng làm việc tại nhà
( Home user, home telecommuter), các người dùng di động ( Mobile user ) và cả các
đối tượng thương mại (Busimess Partner).
Mục đích:
- Đáp ứng nhu cầu truy cập dữ liệu và ứng dụng cho người dùng ở xa, bên ngoài
thông tin thông qua Internet

- Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần
trao đổi dữ liệu với nhau. Ví dụ: Một công ty đa quốc gia có nhu cầu chia sẻ thông
tin giữa các chi nhánh đặt tại nhiều nuớc khác nhau, có thể xây dựng một hệ thống
VPN Site-to-Site kết nối hai văn phòng tạo một đường truyền riêng trên mạng
Internet phục vụ quá trình truyền thông an toàn, hiệu quả.
- Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm
tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN
có thể đáp ứng tình huống này.
- Quản lý văn phòng một cách hiệu quả, giám sát công việc từ xa.
- Tích hợp các hệ thống công nghệ cao như Camera quan sát, điện thoại trên nền tảng
Internet, Voice chat, …
- Đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh
trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports)
chia sẻ trên File Server và có thể tương tác với máy tính của họ trong văn phòng khi
cần thiết. Ngoài ra, đối với các dữ liệu mật, nhạy cảm như báo cáo doanh số, trong
quá trình truyền có thể áp dụng các cơ chế mã hóa chặt chẽ để nâng cao độ an toàn
của dữ liệu.
Lợi ích:
5
5

 Tiếc kiệm chi phí.
Remote Access còn được gọi là Dial-up riêng ảo (VPDN) là một kết nối người dùng
đến LAN , thường là nhu cầu của một tổ chức có nhiều nhân viên cần kiên hệ đến
mạng riêng của công ty từ nhiều địa điểm rất xa
VD: công ty muốn thiết lập một VPN lớn đến một nhà cung cấp dịch vụ doanh
nghiệp (ESP). Doanh nghiệp này tạo ra một máy chủ truy cập mạng (NAS) và cung
cấp cho những người sử dụng ở xa một phần mềm máy khách cho máy tính của họ.
sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần
mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN này cho

phép các kết nối an toàn, có mật mã
6
6

Chương II: Tìm hiểu giáo thức, thuật toán.
1. Sơ đồ nguyên lý tổng quát:
PPTP là một phần mở rộng của giao thức Point to Point (PPP). Bởi vì PPTP có thể
tận dụng các tính năng của PPP. Ví dụ: PPTP cho phép đóng gói của nhiều giao thức,
chẳng hạn như IP, IPX thông qua đường hầm VPN. Ngoài ra, PPP hỗ trợ việc sử
7
7

dụng xác thực thông qua PAP, Chap, và MA-Chap, PPTP có thể sử dụng để xác thực
các thiết bị.
1. 2. Giải thích các trường dữ liệu.
Control Message Message Code
Start-Control-Connection-Request 1
Start-Control-Connection-Reply 2
Stop-Control-Connection-Request 3
Stop-Control-Connection-Reply 4
Echo-Request 5
Echo-Reply 6
(Call Management)
Outgoing-Call-Request 7
Outgoing-Call-Reply 8
Incoming-Call-Request 9
Incoming-Call-Reply 10
Incoming-Call-Connected 11
Call-Clear-Request 12
Call-Disconnect-Notify 13

(Error Reporting)
8
8

WAN-Error-Notify 14
(PPP Session Control)
Set-Link-Info 15
Giải thích các trường dữ liệu:
a. Start-Control-Connection-Request: là một thông điệp điều
khiển PPTP sử dụng để thiết lập kết nối điều khiển giữa một PNS và PAC.
mỗi PNS-PAC cặp yêu cầu một kết nối điều khiển chuyên dụng được thành
lập. Một kết nối điều khiển phải được thiết lập trước khi bất kỳ thông điệp
khác PPTP có thể được ban hành. Việc thành lập kiểm soát kết nối có thể
được khởi xướng bởi các PNS hoặc PAC.
b. Start-Control-Connection-Reply: là một thông điệp kiểm soát
PPTP gửi trả lời một tin nhắn Start-Control-Connection-Request nhận được.
Điều này tin nhắn có chứa một mã số kết quả cho thấy các kết quả của kiểm
soát nỗ lực thành lập kết nối.
c. Stop-Control-Connection-Request: là một thông điệp điều khiển
PPTP gửi một đồng đẳng của một kết nối điều khiển PAC-PNS để thông báo
cho các peer khác rằng các kết nối điều khiển nên được đóng lại. Ngoài ra để
đóng cửa điều khiển kết nối, tất cả các cuộc gọi người dùng hoạt động ngầm
được xóa.
d. Stop-Control-Connection-Reply: là một thông điệp điều khiển
PPTP gửi một đồng đẳng của một kết nối điều khiển PAC-PNS khi nhận một
peer Control-Connection-Yêu cầu từ các peer khác.
e. Echo-Request: là một thông điệp kiểm soát PPTP được gửi bởi một
trong hai đồng đẳng của một PAC-PNS kiểm soát kết nối. Thông điệp này
kiểm soát được sử dụng như một "giữ sống "cho kết nối kiểm soát các vấn đề
ngang hàng nhận được.

f. Echo-Reply: là một thông điệp kiểm soát PPTP được gửi bởi một trong
hai đồng đẳng của một PAC-PNS kiểm soát kết nối nhận được một Echo-
Request.
g. Outgoing-Call-Request: là một thông điệp kiểm soát PPTP gửi bởi
PNS PAC để cho biết rằng một cuộc gọi đi từ các PAC là được thành lập. Yêu
cầu này cung cấp PAC với thông tin cần thiết để thực hiện cuộc gọi. Nó cũng
9
9

cung cấp thông tin cho PAC có nghĩa là được sử dụng để điều chỉnh việc
truyền tải dữ liệu để PNS cho phiên này một khi nó được thành lập.
h. Outgoing-Call-Reply: là một thông điệp kiểm soát PPTP gửi PAC
các PNS đáp ứng nhắn Outgoing-Call-Yêu cầu nhận được. Các trả lời cho biết
kết quả của các cuộc gọi đi. nó cũng cung cấp thông tin để PNS về các thông
số cụ thể được sử dụng cho cuộc gọi.
i. Incoming-Call-Request: là một thông điệp điều khiển PPTP gửi
PAC PNS chỉ ra rằng một cuộc gọi trong nước được thành lập từ PAC. Yêu
cầu này cung cấp các PNS với thông tin tham số cho các cuộc gọi đến.
j. Incoming-Call-Reply: là một thông điệp kiểm soát PPTP gửi PNS
PAC trong phản ứng với một tin nhắn đến-Call-Yêu cầu nhận được. Các trả
lời cho biết kết quả của các cuộc gọi đến. Nó cũng cung cấp thông tin cho
phép PAC để điều tiết việc truyền tải dữ liệu để PNS cho phiên này.
k. Call-Disconnect-Notify: là một thông điệp kiểm soát PPTP gửi
PNS PAC chỉ ra rằng một cuộc gọi cụ thể là bị ngắt kết nối. Các gọi bị xóa có
thể là hoặc một cuộc gọi đến hoặc đi, trong bất kỳ nhà nước. PAC trả lời tin
nhắn này với một cuộc gọi-Ngắt kết nối thông báo tin nhắn.
l. Set-Link-Info: là một thông điệp kiểm soát PPTP gửi bởi PNS PAC để
thiết lập tùy chọn PPP-thương lượng. Bởi vì các tùy chọn này có thể thay đổi
bất cứ lúc nào trong suốt thời gian của cuộc gọi, PAC phải có khả năng cập
nhật thông tin cuộc gọi nội bộ của mình năng động và thực hiện PPP đàm

phán về một phiên PPP hoạt động.
3. Các trường thông tin và nhiệm vụ.
1) Xác nhận(Nhận biết được các bên tham gia giao tiếp không bị giải mã).
2) Điều khiển truy cập(Thông tin điều khiển được truy cập).
3) Bảo mật dữ liệu(Gồm dữ liệu về tên thuật toán, dữ liệu phục cho việc trao đổi
khóa mật, dữ liệu công khai dữ liệu mã hóa).
Hai thành phần cơ bản của Internet tạo nên mạng riêng ảo VPN, đó là:
• Đường hầm (Tunnelling) cho phép làm “ảo” một mạng riêng.
Đường hầm: là kết nối giữa 2 điểm cuối khi cần thiết. Khi kết nối này sẽ được giải
phóng khi không truyền dữ liệu dành băng thông cho các kết nối khác. Kết nối này
mang tính lôgích “ảo” không phụ thuộc vào cấu trúc vật lý của mạng. Nó che giấu
các các thiết bị như bộ định tuyến, chuyển mạch và trong suốt đối với người dùng.
10
10

Đường hầm được tạo ra bằng cách đóng gói các gói tin (Encapsulate) để truyền
qua Internet. Đóng gói có thể mã hoá gói gốc và thêm vào tiêu đề IP mới cho gói. Tại
điểm cuối, cổng dạng gói tin tạo đường hầm: IP Header, AH, ESP, Tiêu đề và dữ liệu.
Đường hầm có 2 loại: Thường trực (Permanent) và tạm thời (Temporary hay
Dynamic).
Thông thường các mạng riêng ảo VPN sử dụng dạng đường hầm động. Đường hầm
động rất hiệu quả cho VPN, vì khi không có nhu cầu trao đổi thông tin thì được huỷ
bỏ. Đường hầm có thể kết nối 2 điểm cuối theo kiểu LAN- to - LAN tại các cổng bảo
mật (Security Gateway), khi đó người dùng trên các LAN có thể sự dụng đường hầm
này. Còn đối với trường hợp Client- to - LAN, thì Client phải khởi tạo việc xây dựng
đường hầm trên máy người dùng để thông tin với cổng bảo mật để đến mạng LAN
đích.
• Các dịch vụ bảo mật đa dạng cho phép dữ liệu mang tính riêng tư.
Trong VPN sử dụng cơ chế đường hầm (Tunnelling) và các giao thức tầng 2
và tầng 3, xác thực người dùng, kiểm soát truy nhập, bảo mật dữ liệu bằng mã hoá, vì

vậy VPN có tính bảo mật cao, giảm thiểu khả năng tấn công, thất thoát dữ liệu.
Mặc dù theo nghiên cứu trên thì 802.1x là một chuẩn bảo mật khá an toàn, tuy nhiên
nó vẫn tồn tại những nhược điểm của nó, nó vẫn chưa thể chống lại sự tấn công
DOS, một số đặc tính lại yêu cầu đặc biệt về thiết bị phần cứng, do đó việc tất yếu là
phải kết hợp các phương pháp bảo mật với nhau, đồng thời với việc đưa ra các chính
sách bảo mật hợp lí.
11
11

Theo các vần đề trên thì một số chính sách mà bản thân 802.1x đã đưa ra nhằm khắc
phục những nhược điểm của mình là: bảo mật về mặt thiết bị vật lí, phân cấp quyền
hợp lí, luôn bật tính năng tối ưu nhất, do mọi tính năng hầu như đều có thể enable
hoặc disable. Sử dụng các thiểt bị quét phổ để xác định các thiết bị nghe trộm, cung
như xác định công suất phát hợp lí để tránh tín hiệu sóng bị rò rỉ ra ngoài phạm vi
cần thiết.
Bên cạnh đó cũng có thể tích hợp công nghệ VPN để bảo mật cho kết nối WLAN.
Khi VPN server được tích hợp vào AP, các client sử dụng phần mềm VPN client, sử
dụng các giao thức như PPTP hoặc Ipsec để hình thành một đường hầm trực tiếp tới
AP.
Trước tiên client liên kết tới điểm truy nhập, sau đó quay số kết nối VPN, được yêu
cầu thực hiện để client đi qua được AP. Tất cả lưu lượng được qua thông qua đường
hầm, và có thể được mã hóa để thêm một lớp an toàn.
4) Toàn vẹn dữ liệu (Xác nhận được dữ liệu nhận là đúng không bi sữa đổi).
Ví dụ: Như thỏa thuận hàm băm là gì ? Dữ liệu băm là gì ? dữ liệu gì được chọn để
băm cho bai toán phần mềm.
PPPTP được định nghĩa bởi IETF trong RFC 2673. Protocol này đưọc thiết kế bởi
Microsoft để cho phép các kết nối chi phi thấp đến các mạng của doanh nghiệp thông
qua mạng Internet công cộng. Các phiên kết nối PPTP bảo mật cho phép kết nối vào
mạng doanh nghiệp thông qua Internet. Các cuộc gọi này thường được gọi vào các
thiết bị phần cứng, sau đó thiết bị này kết nối vào một Windows NT server. FEP

(front end processor) sẽ truyền các gói PPP từ người dùng cuối và sau đó đóng gói
các gói đó vào mạng WAN. Bởi vì PPP hỗ trợ nhiều giao thức khác nhau (IP, IPX,
NetBEUI), nó có thể truy cập các hạ tầng mạng rất khác nhau. Kiến trúc này bao
gồm các ứng dụng client/server trong đó client là các PC của người dùng, chạy
PPTP. Về phía server, sẽ có các dial-in routers, VPN concentrator. Cả hai đầu đều có
thể khởi tạo tunnel. Khi người dùng ở xa khởi tạo một tunnel, nó được gọi là chế độ
xung phong (voluntary mode). Khi tunnel được tạo từ server, chế độ này được gọi là
compulsory mode. Một NAS có thể khởi tạo một tunnel ngay cả khi một client
không có chạy PPTP.
PPTP sẽ đóng gói các frame PPP vào các IP datagrams để truyền trên hệ thống mạng
IP, chẳng hạn như mạng Internet/Intranet. PPTP sẽ kế thừa các đặc tính của PPP như
mã hóa, nén…PPTP yêu cầu một hạ tầng mạng IP giữa một PPTP clients và một
PPTP server. PPTP client có thể được kết nối vào một mạng IP mà PPTP server cũng
12
12

kết nối vào mạng IP này. Hoặc PPTP clients cũng có thể quay vào một NAS để thiết
lập kết nối IP.
PPTP dùng TCP để tạo và hủy các tunnel. PPTP cũng dùng một phiên bản bổ sung
của GRE để đóng gói PPP như là dữ liệu của tunnel. Tải của khung PPP có thể được
mã hóa hoặc nén hoặc cả hai.GRE được định nghĩa trong RFC 1701 và 1702, đơn
giản chỉ là một cơ chế để thực hiện quá trình đóng gói một giao thức lớp network tùy
ý vào một giao thức khác. GRE cung cấp một cơ chế đơn giản, gọn nhẹ để đóng gói
data để gửi trên mạng IP. Vì vậy PPTP có thể truyền các giao thức khác nhau ở lớp
network, chẳng hạn như IP, IPX và NetBEUI.
Quá trình xác thực diễn ra trong giai đoạn tạo các kết nối VPN PPTP sử dụng cùng
một cơ chế nhưng các kết nối PPP; nghĩa là cũng dùng PAP hoặc CHAP. Một phiên
bản nâng cao của CHAP, được gọi là MS-CHAP được tạo ra bởi Microsoft dùng các
thông tin trong NT domain. Một chọn lựa khác cho quá trình xác thực là IETF PPP
(Extensible Authentication Protocol –EAP). Microsoft cũng đã tích hợp một giao

thức khác gọi là Microsoft Point-to-Point Encryption (MPPE)4 để mã hóa traffic trên
các kết nối PPP.MPPE dựa trên thuật toán RSA R4 (Rovest, Shamir, and Adelman
(RSA) RC4).
Nếu quá trình mã hóa trên toàn bộ kết nối là cần thiết, IPSEC có thể mã hóa IP traffic
từ đầu kết nối cho đến cuối kết nối (end-to-end) sau khi một kênh PPTP đã được thiết
lập.
Đối với Windows 2000, cả hai giao thức EAP-Transport Level Security (EAP-TLS)
hoặc MS-CHAP phải được dùng cho dữ liệu bên trong các PPP frame.
PPTP Control Connection and Tunnel Maintenance:Kết nối PPTP giữa địa chỉ IP của
PPTP client và IP address của PPTP server dùng port 1723. Các gói dữ liệu PPTP
mang các thông tin điều khiển kết nối để duy trì PPTP tunnel.
Sau giai đoạn bắt tay ban đầu, hai bên sẽ trao đổi một loạt các thông điệp bao gồm 12
thông điệp thiết lập và duy trì kết nối.
5) Chống đối họ (Dữ liệu nào làm căn cứ để bên tham gia chối bỏ để tham gia,
phục vụ cho việc giải quyết sau này).
Chú ý: tìm tài liệu vào google.com gõ RFC và tên đề tài.
13
13

Chương III: Kết quả thực nghiệm minh họa.
1. Mô hình triển khai thực nghiệm.
1.Xây dựng một Remote Access VPN
1.1. Yêu cầu phần cứng
- Một modem ADSL
- Cần có một đường truyền ADSL tốc độ cao (Nếu là dịch vụ ADSL với địa chỉ IP
tĩnh càng tốt) phục vụ cho quá trình kết nối và truyền thông giữa trong và ngoài công
ty. Các người dùng ở xa (VPN Client) sẽ kết nối đến máy chủ cung cấp dịch vụ VPN
Server để gia nhập hệ thống mạng riêng ảo của công ty và được cấp phát địa chỉ IP
thích hợp để kết nối với các tài nguyên nội bộ của công ty.
- Một máy chủ cài đặt Windows Server 2003 hoặc Windows Server 2000 làm máy

chủ VPN (VPN Server), có 1 card mạng kết nối với hệ thống mạng nội bộ và một
card mạng kết nối tới lớp mạng chạy dịch vụ Internet bên ngoài ADSL (IP tĩnh, nếu
dùng IP động thì phải sử dụng kết hợp với các dịch vụ Dynamic DNS như
dynDNS.org hay no-ip.com) để kết nối với bên ngoài (Internet).
1.2. Yêu cầu phần mềm :
- Một máy tính VPN server sử dụng Windows server 2003.
- Một máy tính VPN client sử dụng Windows XP, Vista hay Windows 7.
Mô hình Remote Access VPN :
Gồm một máy tính làm server VPN và một máy client
Máy VPN server :
IP Address : 192.168.1.200
Subnet Mask : 255.255.255.0
Default Gateway : 192.168.1.1
Preferred DNS Server : 210.245.24.20
Máy VPN client :
IP Address : 192.168.1.X ( X nằm trong dãi từ 1 đến 255)
Subnet Mask : 255.255.255.0
14
14

Default Gateway : 192.168.1.1
Preferred DNS Server : 210.245.24.20
2.Các bước thực hiện
a) Đăng ký một DDNS (Dynamic Domain Name System – Hệ thống
tên miền động)
Internet.
DDNS có nhiệm vụ cập nhật địa chỉ IP WAN cho kết nối
Để thuận tiện cho quá trình truy cập người ta sử dụng tên miền thay thế cho IP WAN.
Giả sử ta có tên miền là ttp07b.homeip.net tương ứng với địa chỉ IP WAN
118.112.10.156 , khi IPWAN thay đổi thành 1 địa chỉ khác như 118.68.9.169 thì dịch

vụ DDNS sẽ tự động cập nhật địa chỉ IPWAN mới cho tên miền ttp07b.homeip.net.
=> Như vậy chúng ta không cần quan tâm IP WAN mà chỉ cần nhớ đến tên miền mà
thôi.
Ta có thể đăng ký tài khoản ở các trang no-ip.com hoặc dyndns.com . Sau khi đăng
ký xong thì mở mail kích hoạt tài khoản , vào lại trang no-ip.com hoặc dyndns.com
đăng nhập bằng accoutn đã đăng ký rồi tạo một tên miền
15
15

16
16

Sau đó click Next để hoàn thành
17
17

b) Cấu hình một VPN server trên Windows 2003 :
Bước 1 : Cài đặt các dịch vụ trên Routing and Remote Access.
Trước khi cài VPN, cần Stop dịch vụ Windows Firewall/Internet Connection Sharing
(ICS) và chuyển dịch vụ đó sang chế độ Disable (mặc định sau khi cài là Automatic).
Chạy Services Manager bằng cách click Start->Programs-> Administrative Tools-
>Services. Giao diện của Services Manager như hình :
18
18

Sau khi dừng dịch vụ Windows Firewall/Internet Connection Sharing (ICS),
tiến hành cài đặt VPN Server.
Để cài đặt VPN trên Windows 2003, chạy Manager Your Server bằng cách
click Start->Programs->Administrative Tools-> Manager Your Server.
Nhấp vào Add or remove a role để tạo thêm các dịc vụ.

19
19

Click Next để tiếp tục
20
20

Click Next để tiếp tục.
21
21

Click Next để tiếp tục.
22
22

Click Next để tiếp tục vào cấu hình VPN .
23
23

Cho phép cấu hình Routing and Remote Access Server.
24
24

chọn VPN server và LAN routing.
Cho phép lựa chọn các dịch vụ có trong Routing and Remote Access.
25
25