Thiết kế và triển khai VPN Client to Site cho mạng LAN
LỜI CẢM ƠN
Sau gần 3 tháng nỗ lực thực hiện luận văn. Ngoài sự cố gắng hết mình của
bản thân, em đã nhận được sự khích lệ, động viên rất nhiều từ phía nhà trường, thầy
cô và bạn bè.
Trước hết con xin cám ơn ba mẹ đã luôn động viên và tạo mọi điều kiện tốt
để con học tập và hoàn thành luận văn tốt nghiệp này.
Em xin cám ơn thầy cô Trường Đại Học Duy Tân đã truyền đạt những kiến
thức quý báu cho em trong suốt quá trình học tập. Đặc biệt, em xin bày tỏ lòng biết
ơn chân thành sâu sắc nhất đến Thầy Trần Bàn Thạch, người đã tận tình hướng dẫn
và giúp đỡ em trong suốt thời gian thực hiện luận văn này.
Xin cám ơn tất cả bạn bè đã và đang động viên, giúp đỡ em trong quá trình
học tập và hoàn thành tốt luận văn tốt nghiệp này.
ĐÀ NẴNG, 05/2008
Sinh viên thực hiện
Đinh Duy Tú
Đinh Duy Tú
1
Thiết kế và triển khai VPN Client to Site cho mạng LAN
MỤC LỤC
MỤC LỤC 2
TỔNG QUAN MẠNG MÁY TÍNH 10
1.1 KHÁI NIỆM CƠ BẢN 10
1.1.1 Định nghĩa 10
1.1.2 Kiến trúc mạng 10
1.1.3 Mô hình mạng 12
1.1.4 Phương tiện truyền dẫn 13
1.1.4.1 Cáp 13
1.1.4.2 Thiết bị không dây 14
1.1.5 Hệ điều hành mạng 14
1.2 MẠNG LAN VÀ WAN 15

1.2.1 Giao thức và mô hình truyền thông 15
1.2.1.1 Khái niệm giao thức 15
1.2.1.2 Mô hình OSI 15
1.2.1.3 Các giao thức phổ biến 16
1.2.2 Mạng LAN 18
1.2.2.1 Bốn tiêu chí mạng LAN 18
1.2.2.2 Các thiết bị mạng 18
1.2.2.3 Các chuẩn LAN 19
1.2.3 Mạng WAN 20
1.2.3.1 Thành phần của WAN 20
1.2.3.2 Các chuẩn WAN 21
1.3 CÁC DỊCH VỤ TRÊN MẠNG INTERNET 22
1.3.1 Dịch vụ truy nhập từ xa 22
1.3.2 Dịch vụ truyền tệp (FTP) 22
1.3.3 Dịch vụ Gopher 22
1.3.4 Dịch vụ WAIS 23
1.3.5 Dịch vụ World Wide Web 23
1.3.6 Dịch vụ thư điện tử (E mail) 23
1.4 CƠ BẢN AN TOÀN MẠNG 24
1.4.1 Các hiểm họa trên mạng 24
1.4.1.1 Các lỗ hổng loại C 24
1.4.1.2 Các lỗ hổng loại B 24
1.4.1.3 Các lỗ hổng loại A 24
1.4.2 Các phương pháp tấn công trên mạng 24
1.4.2.1 Virus 24
1.4.2.2 Treo cứng hệ thống 25
1.4.2.3 Từ chối dịch vụ 25
1.4.2.4 Lợi dụng chương trình 25
1.4.3 Các phương pháp bảo mật 25
1.5 FIREWALL VÀ MẠNG VPN 26

1.5.1 Firewall 26
Đinh Duy Tú
2
Thiết kế và triển khai VPN Client to Site cho mạng LAN
1.5.1.1 Khái niệm cơ bản 26
1.5.1.2 Các kiểu firewall 27
1.5.2 Mạng VPN 28
1.5.2.1 Định nghĩa 28
CHƯƠNG 2 29
TỔNG QUAN VỀ CÔNG NGHỆ VPN 29
2.1 KHÁI QUÁT CHUNG 29
2.1.1 Lịch sử hình thành và phát triển 29
2.1.2 Khái niệm VPN 30
2.2 PHÂN LOẠI VPN 31
2.2.1 VPN truy cập từ xa (Remote Access) 32
2.2.2 VPN điểm nối điểm (Site to Site) 32
2.3 SẢN PHẨM CÔNG NGHỆ DÀNH CHO VPN 33
2.3.1 Bộ xử lý trung tâm VPN 33
2.3.2 Router dùng cho VPN 34
2.3.3 Tường lửa PIX của Cisco 34
2.4 CÁC YÊU CẦU CƠ BẢN ĐỐI VỚI MỘT GIẢI PHÁP VPN 35
2.4.1 Tính tương thích 35
2.4.2 Tính bảo mật 35
2.4.3 Tính khả dụng 35
2.4.4 Khả năng hoạt động tương tác 36
2.5 THIẾT LẬP KẾT NỐI TUNNEL 36
2.5.1 Các loại giao thức 36
2.5.2 Kỹ thuật Tunneling trong mạng VPN 37
2.5.2.1 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa 37
2.5.2.2 Kỹ thuật Tunneling trong mạng VPN điểm nối điểm 37

2.6 CÁC GIAO THỨC SỬ DỤNG TRONG VPN 38
2.6.1 Giao thức định đường hầm điểm nối điểm PPTP (Point to Point Tunneling
Protocol) 38
2.6.2 Giao thức định đường hầm lớp 2 - L2TP ( Layer 2 Tunneling Protocol ).39
2.6.3 Giao thức bảo mật IP – Ipsec 39
2.7 LỢI ÍCH CỦA VPN 40
2.7.1 Đối với khách hàng 40
2.7.2 Đối với nhà cung cấp dịch vụ 41
2.8 ƯU ĐIỂM VÀ NHƯỢC ĐIỂM 41
2.8.1 Ưu điểm 41
2.8.2 Nhược điểm 42
CHƯƠNG 3 43
THIẾT KẾ MÔ HÌNH VPN CLIENT TO SITE 43
3.1 TÌNH HUỐNG 43
3.2 PHÂN TÍCH VÀ THIẾT KẾ 43
3.2.1 Thiết bị sử dụng 43
Đinh Duy Tú
3
Thiết kế và triển khai VPN Client to Site cho mạng LAN
3.2.2 Hệ điều hành và giao thức 43
3.3 MÔ HÌNH TRIỂN KHAI 44
CHƯƠNG 4 45
TRIỂN KHAI CÀI ĐẶT MÔ HÌNH VPN CLIENT TO SITE 45
4.1 CÁC BƯỚC CÀI ĐẶT 45
4.1.1 Trên máy Domain Controller tạo Group VPN và User 45
4.1.1.1 Tạo Group VPN 45
4.1.1.2 Tạo User 46
4.1.1.3 Thêm User tu1 vào Group VPN 48
4.1.2 Cài đặt và cấu hình Radius Server 49
4.1.2.1 Các bước cài đặt 49

4.1.2.2 Cấu hình 52
1.4.3 Cài đặt và cấu hình VPN Server dùng Radius Server chứng thực bằng
username, password 59
4.1.4 Cài đặt và kết nối máy Client 65
4.1.4.1 Cài đặt 65
4.1.4.2 Kết nối 68
TÀI LIỆU THAM KHẢO 71
Đinh Duy Tú
4
Thiết kế và triển khai VPN Client to Site cho mạng LAN
DANH MỤC CÁC TỪ VIẾT TẮT
SỐ TT CỤM TỪ VIẾT TẮT
01 Local Area Network LAN
02 Metropolitan Area Network MAN
03 Wide Area Network WAN
04 Global Area Network GAN
05 Advanced Research Projects Agency ARPA
06 Transmission Control Protocol/Internet Protocol TCP/IP
07 File Transfer Protocol FTP
08 Wide Area Information Server/ Service WAIS
09 World Wide Web WWW
10 HyperText Markup Language HTML
11 HyperText Transfer Protocol HTTP
12 Uniform Resource Locator URL
13 Mail User Agent MUA
14 Message Transfer Agent MTA
15 Software Defined Network SDN
16 Virtual Private Network VPN
17 Point of Presence POP
18 Quality of Service QoS

19 Internet Service Provider ISP
20 Virtual Private Dial-up Network VPDN
21 Enterprise Service Provider ESP
22 Network Access Server NAS
23 Point to Point Protocol PPP
24 Layer 2 Forwarding L2F
25 Point to Point Tunneling Protocol PPTP
26 Layer 2 Tunneling Protocol L2TP
27 Generic Routing Encapsulation GRE
28 Internet Protocol Security IPSec
29 Remote Authentication Dial-In User Service RADIUS
Đinh Duy Tú
5
Thiết kế và triển khai VPN Client to Site cho mạng LAN
DANH MỤC CÁC HÌNH VẼ
SỐ
TT
TÊN HÌNH
01 Hình 1 Mô hình mạng cơ bản
02 Hình 2 Cấu trúc mạng dạng sao
03 Hình 3 Cấu trúc mạng dạng tuyến
04 Hình 4 Cấu trúc mạng dạng vòng
05 Hinh 5 Cấu trúc mạng dạng lưới
06 Hình 6 Mô hình mạng LAN
07 Hình 7 Mô hình mạng MAN
08 Hình 8 Mô hình mạng WAN
09 Hình 9 Cáp xoắn đôi STP
10 Hình 10 Cáp xoắn đôi UTP
11 Hình 11 Cáp đồng trục
12 Hình 12 Cáp quang

13 Hình 13 Mô hình OSI
14 Hình 14 Giao thức TCP/IP
15 Hình 15 Giao thức IPX/SPX
16 Hình 16 Giao thức ATP
17 Hình 17 Repeater
18 Hình 18 Hub
19 Hình 19 Bridge
20 Hình 20 Switch
21 Hình 21 Modems
22 Hình 22 Gateway
23 Hình 23 Router
24 Hình 24 Firewall
25 Hình 25 Application level gateway
26 Hình 26 Circuit level gateway
27 Hình 27 Proxy Server Firewall
28 Hình 28 Mô hình mạng VPN cơ bản
29 Hình 29 Mô hình VPN truy cập từ xa
30 Hình 30 Mô hình VPN điểm nối điểm
31 Hình 31 Bộ xử lý trung tâm
32 Hình 32 Router Cisco
33 Hình 33 Tường lửa PIX của Cisco
34 Hình 34 Mô hình Tunneling truy cập từ xa
35 Hình 35 Mô hình Tunneling điểm nối điểm
36 Hình 36 Giao thức PPTP
Đinh Duy Tú
6
Thiết kế và triển khai VPN Client to Site cho mạng LAN
37 Hình 37 Giao thức L2TP
38 Hình 38 Giao thức IPSec
39 Hình 39 Mô hình Client to Site

Đinh Duy Tú
7
Thiết kế và triển khai VPN Client to Site cho mạng LAN
LỜI NÓI ĐẦU
Ngày nay thế giới chúng ta đã và đang bước vào kỷ nguyên của sự bùng nổ
thông tin. Cùng với sự phát triển như vũ bão của các phương tiện truyền thông đại
chúng, lĩnh vực truyền thông máy tính đã và đang phát triển không ngừng. Mạng
máy tính toàn cầu internet đã và đang trở thành nhu cầu bức thiết cho mọi người.
Với internet, bức tường ngăn cách giữa các quốc gia, giữa các nền văn hóa, giữa
những con người với nhau đã ngày càng giảm đi. Ngày nay có khoảng 50 – 60 triệu
người đang sử dụng internet và các ứng dụng trên internet là vô cùng phong phú. Từ
các ứng dụng truy xuất từ xa như: NC (Network Computer), WWW,VPN… thì
mạng máy tính đồng thời cung cấp môi trường truyền thông tốt cho các dịch vụ thư
tín điện tử (Email), tin tức, các hệ quản trị dữ liệu phân bố……
Tuy nhiên khi internet làm giảm đi ranh giới giữa các nhà tổ chức, giữa các
cá nhân với nhau, thì nguy cơ mất an toàn, khả năng bị xâm phạm các bí mật, các
tài nguyên thông tin cũng tăng lên. Theo thông kê, số vụ tấn công và xâm phạm tài
nguyên thông tin trên internet mỗi năm tăng lên 100% so với năm trước.
Làm sao để các tổ chức, các cá nhân đang sử dụng mạng cục bộ khi tham gia
internet vừa có thể bảo vệ an toàn được các dữ liệu quan trọng không bị sao chép,
sửa đổi hay phá hủy, vừa đảm bảo được tính sẵn sàng cao của dữ liệu mỗi khi cần
đến, đồng thời vẫn đảm bảo khả năng truy xuất thuận tiện, nhanh chóng…. Vấn đề
này đã trở nên hết sức quan trọng. Tuy nhiên để cho người quản trị hệ thống mạng
có thể đảm bảo yêu cầu trên, họ cần có những công cụ hữu hiệu.
Với lý do trên, em chọn đề tài “Thiết kế và triển khai VPN Client to Side
cho mạng Lan” là đề tài nguyên cứu của em.
VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an
toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng
Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được
tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng

riêng.
Nội dung của đề tài chia làm bốn chương:
Đinh Duy Tú
8
Thiết kế và triển khai VPN Client to Site cho mạng LAN
Chương 1. Tổng quan về mạng máy tính
Giới thiệu kiến thức cơ bản về mạng, mô hình mạng, giao thức mạng, hệ
điều hành mạng, mô hình OSI, các thiết bị cơ bản trong mạng LAN và WAN, các
dịch vụ trên mạng, các hiểm họa và phương pháp tấn công trên mạng. Bên cạnh đó
tìm hiểu về Firewall và mạng VPN.
Chương 2. Tổng quan về công nghệ VPN
Giới thiệu khái quát chung, phân loại, các sản phẩm công nghệ, các giao
thức, các kỹ thuật Tunneling, lợi ích, ưu và nhược điểm của công nghệ VPN.
Chương 3. Thiết kế mô hình VPN Client to Site
Đưa ra tình huống, phân tích, thiết kế và mô hình triển khai thực tế.
Chương 4. Triển khai cài đặt mô hình VPN Client to Site
Các bước cài đặt chủ yếu và những chú ý cần thiết khi triển khai mô hình.
Đinh Duy Tú
9
Thiết kế và triển khai VPN Client to Site cho mạng LAN
CHƯƠNG 1
TỔNG QUAN MẠNG MÁY TÍNH
1.1 KHÁI NIỆM CƠ BẢN
1.1.1 Định nghĩa
Mạng máy tính là hai hay nhiều máy tính được kết nối với nhau theo một
cách nào đó sao cho chúng có thể trao đổi thông tin qua lại với nhau.
Hình 1 Mô hình mạng cơ bản
1.1.2 Kiến trúc mạng
• Mạng dạng sao (Star topology): ở dạng sao, tất cả các trạm được nối vào một
thiết bị trung tâm có nhiệm vụ nhận tín hiệu từ các trạm và chuyển tín hiệu

đến trạm đích với phương thức kết nối là “điểm - điểm”.
Hình 2 Cấu trúc mạng dạng sao
• Mạng dạng tuyến (Bus topology): trong dạng tuyến, các máy tính đều được
nối vào một đường dây truyền chính (bus). Đường truyền chính này được
giới hạn hai đầu bởi một loại đầu nối đặc biệt gọi là terminator (dùng để
nhận biết là đầu cuối để kết thúc đường truyền tại đây). Mỗi trạm được nối
vào bus qua một đầu nối chữ T (T_connector) hoặc một bộ thu phát
(transceiver).
Đinh Duy Tú
10
Thiết kế và triển khai VPN Client to Site cho mạng LAN
Hình 3 Cấu trúc mạng dạng tuyến
• Mạng dạng vòng (Ring topology): các máy tính được liên kết với nhau
thành một vòng tròn theo phương thức “điểm - điểm”, qua đó mỗi một trạm
có thể nhận và truyền dữ liệu theo vòng một chiều và dữ liệu được truyền
theo từng gói một.
Hình 4 Cấu trúc mạng dạng vòng
• Mạng dạng lưới (Mesh topology): một máy tính trong mạng có thể kết nối
tới nhiều máy tính.
Hinh 5 Cấu trúc mạng dạng lưới
Đinh Duy Tú
11
Thiết kế và triển khai VPN Client to Site cho mạng LAN
1.1.3 Mô hình mạng
• LAN (Local Area Network) - Mạng cục bộ, kết nối các máy tính trong một
khu vực bán kính hẹp thông thường khoảng vài trăm mét. Kết nối được thực
hiện thông qua các môi trường truyền tốc độ cao, ví dụ cáp đồng trục hay
cáp quang. LAN thường được sử dụng trong nội bộ một cơ quan/tổ chức…,
các LAN có thể kết nối với nhau thành WAN.
Hình 6 Mô hình mạng LAN

• MAN (Metropolitan Area Network) - Kết nối các máy tính trong phạm vi
một thành phố. Kết nối này được thực hiện thông qua các môi trường truyền
thông tốc độ cao (50-100 Mbit/s).
Hình 7 Mô hình mạng MAN
• WAN (Wide Area Network) - Mạng diện rộng, kết nối máy tính trong nội bộ
các quốc gia hay giữa các quốc gia trong cùng một châu lục. thông thường
kết nối này được thực hiện thông qua mạng viễn thông. Các WAN có thể
được kết nối với nhau thành GAN hay tự nó đã là GAN.
Đinh Duy Tú
12
Thiết kế và triển khai VPN Client to Site cho mạng LAN
Hình 8 Mô hình mạng WAN
• GAN (Global Area Network) - Kết nối các máy tính từ các châu lục khác
nhau. Thông thường kết nối này được thực hiện thông qua mạng viễn thông
và vệ tinh.
1.1.4 Phương tiện truyền dẫn
1.1.4.1 Cáp
• Cáp xoắn đôi (Twisted pair cable)
- Dùng phổ biến cho mạng LAN.
- Có hai loại:
+ STP (Shield Twised Pair): cáp xoắn đôi bọc kim.
Hình 9 Cáp xoắn đôi STP
+ UTP (Unshield Twised Pair): cáp xoắn đôi không bọc kim.
Đinh Duy Tú
13
Thiết kế và triển khai VPN Client to Site cho mạng LAN
Hình 10 Cáp xoắn đôi UTP
• Cáp đồng trục (Coaxial cable): dùng chủ yếu cho mạng LAN, có hai loại là
cáp dày (Thick cable) và cáp mỏng (Thin cable).
Hình 11 Cáp đồng trục

• Cáp quang (Fiber optic cable): truyền bằng sóng ánh sáng, chống nhiễu tốt.
Hình 12 Cáp quang
1.1.4.2 Thiết bị không dây
• Radio: khả năng truyền có giới hạn, từ 1Mbps tới 10 Mbps.
• Microwave: truyền dữ liệu với băng thông rộng hơn radio.
• Infrared: sử dụng sự phóng xạ của tia hồng ngoại để truyền dữ liệu.
1.1.5 Hệ điều hành mạng
• Windows NT/2000: Windows NT là một hệ điều hành cấp cao của Windows
cung cấp các thao tác hoàn toàn 32-bit trên các hệ thống đơn hay đa xử lý.
Hệ nầy xây dựng sẵn các độ an toàn đáp ứng được các xếp loại của chính
phủ và hỗ trợ mạng tối ưu để thi hành các ứng dụng back-end cho rất nhiều
Đinh Duy Tú
14
Thiết kế và triển khai VPN Client to Site cho mạng LAN
khách (client). Đồng thời hệ điều hành Windows NT được thiết kế đặc biệt
để phục vụ những nhu cầu của người sử dụng mạng và cung cấp hiệu năng
làm việc và độ an toàn ở cấp cao.
• UNIX: Một hệ điều hành được dùng trong nhiều loại máy tính khác nhau, từ
các máy tính lớn cho đến các máy tính cá nhân, nó có khả năng đa nhiệm
phù hợp một cách lý tưỏng đối với các ứng dụng nhiều người dùng. UNIX
được viết bằng ngôn ngữ lập trình rất linh động, ngôn ngữ C và cũng như C,
đó là thành quả nghiên cứu của AT & T Bell Laboratories UNIX là một môi
trường lập trình toàn diện, nó diễn đạt một triết lý lập trình duy nhất. Tuy
nhiên với hơn 200 lệnh không kể các thông báo lỗi, và với những cú pháp
lệnh khó hiểu UNIX là một gánh nặng cho những người không quen sử dụng
và không giỏi kỹ thuật. Với sự phát triển các shell của UNIX, hệ điều hành
này có thể đóng một vai trò phổ dụng hơn trong điện toán.
• Linux: Linux là hệ điều hành “giống” Unix - 32 bit chạy được trên nhiều
trạm bao gồm các bộ xử lý Intel, SPARC, PowerPC và DEC Alpha cũng như
những hệ thống đa xử lý. Hệ điều hành nầy là miễn phí, bạn có thể tải nó

xuống từ web hay bạn có thể mua một quyển sách có chứa một CD-ROM
với toàn bộ hệ điều hành như: “Linux: The Complete Reference” của
Richard Peterson (Berkeley, CA: Osborne/McGraw-Hill, 1996).
1.2 MẠNG LAN VÀ WAN
1.2.1 Giao thức và mô hình truyền thông
1.2.1.1 Khái niệm giao thức
Là một chuẩn của tổ chức mạng đưa ra cho phép các máy tính trên
mạng giao tiếp vơi nhau một cách thống nhất.
1.2.1.2 Mô hình OSI
Năm 1984, tổ chức Tiêu chuẩn hóa Quốc tế - ISO (International
Standard Organization) chính thức đưa ra mô hình OSI (Open Systems
Interconnection), là tập hợp các đặc điểm kỹ thuật mô tả kiến trúc mạng dành cho
việc kết nối các thiết bị không cùng chủng loại.
Mô hình OSI được chia thành 7 tầng, mỗi tầng bao gồm những hoạt động, thiết bị
và giao thức mạng khác nhau.
Đinh Duy Tú
15
Thiết kế và triển khai VPN Client to Site cho mạng LAN
Hình 13 Mô hình OSI
• Tầng vật lý (Physical): là tầng thấp nhất, có chức năng là truyền dòng
bit không có cấu trúc qua đường truyền vật lý.
• Tầng liên kết dữ liệu (Data Link): cung cấp phương tiện để truyền
thông tin qua liên kết vật lý đảm bảo tin cậy.
• Tầng mạng (Network): thực hiện việc chọn đường và chuyển tiếp
thông tin với công nghệ chuyển mạch thích hợp.
• Tầng giao vận/vận tải (Transport): thực hiện truyền dữ liệu giữa hai
đầu mút, kiểm soát lỗi.
• Tầng phiên (Session): cung cấp phương tiện quản lý truyền thông giữa
các ứng dụng.
• Tầng trình diễn (Presentation): chuyển đổi cú pháp dữ liệu để đáp ứng

yêu cầu truyền dữ liệu của các ứng dụng qua môi trường OSI và nén,
mã hóa dữ liệu.
• Tầng ứng dụng (Applications): xác định giao diện giữa người sử dụng
và môi trường OSI.
1.2.1.3 Các giao thức phổ biến
• Giao thức TCP/IP: nằm ở tầng giao vận (Transport) của mô hình
OSI. Ưu thế chính của bộ giao thức này là khả năng liên kết hoạt động
của nhiều loại máy tính khác nhau. Giao thức này đã trở thành tiêu
chuẩn thực tế cho kết nối liên mạng cũng như kết nối Internet toàn
cầu.
Đinh Duy Tú
16
Thiết kế và triển khai VPN Client to Site cho mạng LAN
Hình 14 Giao thức TCP/IP
• IPX/SPX: Đây là bộ giao thức sử dụng trong mạng Novell. Ưu thế
chính là nhỏ, nhanh và hiệu quả trên các mạng cục bộ đồng thời hỗ trợ
khả năng định tuyến.
Hình 15 Giao thức IPX/SPX
• ATP
Hình 16 Giao thức ATP
• NetBEUI: Bộ giao thức thu nhỏ, nhanh và hiệu quả được cung cấp
theo các sản phẩm của hãng IBM, cũng như sự hỗ trợ của Microsoft.
Bất lợi chính của bộ giao thức này là không hỗ trợ định tuyến và sử
dụng giới hạn ở mạng dựa vào Microsoft.
Đinh Duy Tú
17
Thiết kế và triển khai VPN Client to Site cho mạng LAN
1.2.2 Mạng LAN
1.2.2.1 Bốn tiêu chí mạng LAN
• Phương tiện truyền dẫn.

• Quy tắc và chuẩn (giao thức).
• Phần mềm và quản lý ứng dụng.
1.2.2.2 Các thiết bị mạng
1.2.2.2.1 Bộ lặp (Repeater): làm việc trên tầng Physical.
Hình 17 Repeater
1.2.2.2.2 Bộ tập trung (Hub): hoạt động ở tầng Data Link.
Hình 18 Hub
1.2.2.2.3 Cầu nối (Bridge): làm việc trên tầng Data Link.
Hình 19 Bridge
Đinh Duy Tú
18
Thiết kế và triển khai VPN Client to Site cho mạng LAN
1.2.2.2.4 Bộ chuyển mạch (Switch): có hai loại là
Switch lớp 2 làm việc trên tầng Data Link và Switch lớp 3 làm việc trên
tầng Network của mô hình OSI.
Hình 20 Switch
1.2.2.3 Các chuẩn LAN
Chuẩn Viện công nghệ điện và điện tử (IEEE): Tiêu chuẩn IEEE LAN
được phát triển dựa vào Ủy ban IEEE 802.
• IEEE 802.1
• IEEE 802.2
• IEEE 802.3
• IEEE 802.4
•
• IEEE 802.11
Chuẩn uỷ ban tư vấn quốc tế về điện báo và điện thoại (CCITT):
Một số chuẩn: V22, V28, V35
X series bao gồm các tiêu chuẩn OSI.
Chuẩn cáp và chuẩn giao tiếp EIA.
Các tiêu chuẩn EIA dành cho giao diện nối tiếp giữa modem và máy tính.

• RS-232.
• RS-449.
• RS-422
Đinh Duy Tú
19
Thiết kế và triển khai VPN Client to Site cho mạng LAN
1.2.3 Mạng WAN
1.2.3.1 Thành phần của WAN
1.2.3.1.1 Kỹ thuật chuyển mạch
• Chuyển mạch kênh (Switching circuit): khi hai node mạng kết nối
với nhau giữa chúng sẽ được thiết lập một kênh truyền cố định,
kênh truyền này sẽ không thay đổi trong suốt quá trình liên lạc.
Khi một trong hai ngừng kết nối thì kênh truyền sẽ được giải
phóng.
• Chuyển mạch thông báo (Switching message): thông báo là một
đơn vị thông tin có đối tượng và nội dung. Đường đi của thông
báo không cố định và thông báo có thể chuyển đi trên nhiều
đường.
• Chuyển mạch gói (Switching packet): packet là những gói tin
được chia ra, mỗi gói đều có phần thông tin điều khiển (header,
trailer) cho biết nguồn gửi và đích nhận. Các gói tin có thể đến và
đi theo những đường khác nhau, được lưu trữ rồi chuyển tiếp khi
đi qua nút trung gian.
1.2.3.1.2 Phương tiện truyền dẫn
• Bộ điều giải (Modems)
Hình 21 Modems
Đinh Duy Tú
20
Thiết kế và triển khai VPN Client to Site cho mạng LAN
• Cổng ra vào (Gateway)

Hình 22 Gateway
• Bộ định tuyến (Router)
Hình 23 Router
1.2.3.2 Các chuẩn WAN
• ISDN (Intergrated Services Digital Network): là một loại mạng
viễn thông số tích hợp đa dịch vụ cho phép sử dụng cùng một lúc
nhiều dịch vụ trên cùng một đường dây điện thoại thông thường.
Người dùng cùng một lúc có thể truy cập mạng WAN và gọi điện
thoại, fax mà chỉ cần một đường dây điện thoại duy nhất, thay vì 3
đường nếu dùng theo kiểu thông thường.
• ATM (Asynchronous Tranfer Mode) hay Cell relay: hiện nay kỹ
thuật Cell Relay dựa trên phương thức truyền thông không đồng
bộ (ATM) có thể cho phép thông lượng hàng trăm Mbps. Đơn vị
dữ liệu dùng trong ATM được gọi là tế bào (cell). Các tế bào trong
ATM có độ dài cố định là 53 bytes, trong đó 5 bytes dành cho
phần chứa thông tin điều khiển (cell header) và 48 bytes chứa dữ
liệu của tầng trên.
• X.25: được CCITT công bố lần đầu tiên vào năm 1970. X.25 cung
cấp quy trình kiểm soát luồng giữa các đầu cuối đem lại chất
Đinh Duy Tú
21
Thiết kế và triển khai VPN Client to Site cho mạng LAN
lượng đường truyền cao cho dù chất lượng mạng lưới đường dây
truyền thông không cao. X.25 được thiết kế cho cả truyền thông
chuyển mạch lẫn truyền thông kiểu điểm nối điểm, được quan tâm
và triển khai nhanh chóng trên toàn cầu.
• Frame Relay: công nghệ này ra đời có thể chuyển nhận các khung
truyền lớn tới 4096 byte và không cần thời gian cho việc hỏi đáp,
phát hiện lỗi và sửa lỗi ở lớp 3 (No protocol at Network layer) nên
Frame Relay có khả năng chuyển tải nhanh hơn hàng chục lần so

với X.25 ở cùng tốc độ. Frame Relay rất thích hợp cho truyền số
liệu tốc độ cao và cho kết nối LAN to LAN và cho cả âm thanh,
nhưng điều kiện tiên quyết để sử dụng công nghệ Frame Relay là
chất lượng mạng truyền dẫn phải cao.
1.3 CÁC DỊCH VỤ TRÊN MẠNG INTERNET
1.3.1 Dịch vụ truy nhập từ xa
Telnet cho phép người sử dụng đăng nhập từ xa vào hệ thống từ một thiết bị
đầu cuối nào đó trên mạng. Với Telnet người sử dụng hoàn toàn có thể làm việc với
hệ thống từ xa như thể họ đang ngồi làm việc ngay trước màn hình của hệ thống.
kết nối Telnet là một kết nối TCP dùng để truyền dữ liệu với các thông tin điều
khiển.
1.3.2 Dịch vụ truyền tệp (FTP)
Là một dịch vụ cơ bản và phổ biến cho phép chuyển các tệp dữ liệu giữa các
máy tính khác nhau trên mạng. FTP hỗ trợ tất cả các dạng tệp, trên thực tế nó không
quan tâm tới dạng tệp cho dù là tệp văn bản mã ASCII hay các tệp dữ liệu dạng nhị
phân. Với cấu hình của máy phục vụ FTP, có thể quy định quyền truy cập của
người sử dụng với từng thư mục lưu trữ dữ liệu, tệp dữ liệu cũng như giới hạn số
lượng người sử dụng có khả năng cùng một lúc có thể truy nhập vào cùng một nơi
lưu trữ dữ liệu.
1.3.3 Dịch vụ Gopher
Trước khi Web ra đời Gopher là dịch vụ rất được ưa chuộng. Gopher là một
dịch vụ chuyển tệp tương tự như FTP, nhưng nó hỗ trợ người dùng trong việc cung
cấp thông tin về tài nguyên. Client Gopher hiển thị một thực đơn, người dùng chỉ
việc lựa chọn cái mà mình cần. kết qủa của việc lựa chọn được thể hiện ở một thực
đơn khác.
Đinh Duy Tú
22
Thiết kế và triển khai VPN Client to Site cho mạng LAN
Gopher bị giới hạn trong kiểu các dữ liệu. Nó chỉ hiển thị dữ liệu dưới dạng mã
ASCII mặc dù có thể chuyển dữ liệu dạng nhị phân và hiển thị nó bằng một phần

mềm khác.
1.3.4 Dịch vụ WAIS
WAIS (Wide Area Information Serves) là một dịch vụ tìm kiếm dữ liệu.
WAIS thường xuyên bắt đầu việc tìm kiếm dữ liệu tại thư mục của máy chủ, nơi
chứa toàn bộ danh mục của các máy phục vụ khác. Sau đó, WAIS thực hiện tìm
kiếm máy phục vụ thích hợp nhất. WAIS có thể thực hiện công việc của mình với
nhiều loại dữ liệu khác nhau như văn bản ASCII, GIF, điện thư…
1.3.5 Dịch vụ World Wide Web
World Wide Web (WWW hay Web) là một dịch vụ tích hợp, sử dụng đơn
giản và có hiệu qủa nhất trên Internet. Web tích hợp cả FTP, WAIS, Gopher. Trình
duyệt Web có thể cho phép truy nhập vào tất cả các dịch vụ trên.
Tài liệu WWW được viết bằng ngôn ngữ HTML (HyperText Markup
Language) hay còn gọi là ngôn ngữ đánh dấu siêu văn bản. Siêu văn bản là văn bản
bình thường cộng thêm một số lệnh định dạng. HTML có nhiều cách liên kết với
các tài nguyên FTP, Gopher server và Web server. Web server là máy phục vụ
Web, đáp ứng các yêu cầu về truy nhập tài liệu HTML. Web server trao đổi các tài
liệu HTML bằng giao thức HTTP (HyperText Transfer Protocol) hay còn gọi là
giao thức truyền siêu văn bản.
Trình duyệt Web (Web client) là chương trình để xem các tài liệu Web.
Trình duyệt Web gửi các URL đến máy phục vụ Web sau đó nhận trang Web từ
máy phục vụ Web dịch và hiển thị chúng. Khi giao tiếp với máy phục vụ Web thì
trình duyệt Web sử dụng giao thức HTTP. Khi giao tiếp với một Gopher server thì
trình duyệt Web hoạt động như một Gopher client và sử dụng giao thức gopher.
Trình duyệt Web có thể thực hiện các công việc khác nhau như ghi trang Web vào
đĩa, gửi Email, hiển thị tệp HTTP nguồn của trang Web,…Hiện nay có hai trình
duyệt Web được sử dụng nhiều nhất là Internet Explorer và Netscape, ngoài ra còn
một số trình duyệt khác như Opera, Mozila,…
1.3.6 Dịch vụ thư điện tử (E mail)
Dịch vụ thư điện tử (hay còn gọi là điện thư) là một dịch vụ thông dụng nhất
trong mọi hệ thống mạng dù lớn hay nhỏ. Thư điện tử được sử dụng rộng rãi như

một phương tiện giao tiếp hàng ngày trên mạng nhờ tính linh hoạt và phố biến của
nó. Từ các trao đổi thư tín thông thường, thông tin quảng cáo, tiếp thị, đến những
Đinh Duy Tú
23
Thiết kế và triển khai VPN Client to Site cho mạng LAN
công văn, báo cáo hay kể cả những bản hợp đồng thương mại, chứng từ,…tất cả đều
được trao đổi qua thư điện tử.
1.4 CƠ BẢN AN TOÀN MẠNG
1.4.1 Các hiểm họa trên mạng
Các hiểm họa trên mạng do các lỗ hổng gây ra, các lỗ hổng này trên mạng là
các yếu điểm quan trọng mà người dùng, hacker dựa đó để tấn công vào mạng. Các
hiện tượng sinh ra trên mạng do các lỗ hổng này mang lại thường là : sự ngưng trệ
của dịch vụ, cấp thêm quyền đối với các user hoặc cho phép truy nhập không hợp
pháp vào hệ thống.
1.4.1.1 Các lỗ hổng loại C
Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công
theo DoS (Denial of Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh
hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; không làm
phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp.
1.4.1.2 Các lỗ hổng loại B
Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống
mà không cần thực hiện kiểm tra tính hợp lệ. Đối với dạng lỗ hổng này, mức độ
nguy hiểm ở mức độ trung bình. Những lỗ hổng này thường có trong các ứng dụng
trên hệ thống; có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật.
1.4.1.3 Các lỗ hổng loại A
Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào
hệ thống bất hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ
thống.
Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và bảo mật của
hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém

hoặc không kiểm soát được cấu hình mạng.
1.4.2 Các phương pháp tấn công trên mạng
1.4.2.1 Virus
Virus tin học là một phần mềm máy tính mang tính lây lan (ký sinh)
và có thể phá hoại dữ liệu. Tính lây lan của Virus là khả năng tự sao chép của Virus
từ đối tượng bị nhiễm sang đối tượng khác và làm cho nó nhân bản nhanh chóng.
Đối tượng bị nhiễm là các tệp ( như chương trình, dữ liệu, thư điện tử, văn bản,
macro…) và môi trường lan truyền bao gồm mạng, đường truyền và các loại bộ nhớ
Đinh Duy Tú
24
Thiết kế và triển khai VPN Client to Site cho mạng LAN
(RAM, đĩa cứng, đĩa mềm, băng từ, đĩa CD, đĩa ZIP, đĩa ĐV, đĩa Flash…).Virus có
nhiều cách lây lan và tất nhiên cũng có nhiều cách phá hoại khác nhau. Virus máy
tính có nhiều chủng họ, chẳng hạn như Boot, File, Macro, Trojan, Worm,
Polymorphic, Hoaxes.
Tấn công mạng sử dụng Virus là một phương pháp tấn công khá phổ biến hiện
nay. Mọi loại hệ điều hành đều thường xuyên bị tấn công bởi virus và tác hại gây ra
bởi virus là rất lớn và thật khó lường.
1.4.2.2 Treo cứng hệ thống
Kỹ thuật này làm treo cứng hệ thống của nạn nhân bằng cách tấn công
qua những giao thức tiêu chuẩn, chẳng hạn "dội bom thư" (mail bombing) qua giao
thức SMTP, hoặc tấn công "ngập lụt" (flooding) qua giao thức TCP. Trong đó, tấn
công "ngập lụt" là kiểu tấn công phổ biến.
1.4.2.3 Từ chối dịch vụ
Kỹ thuật "từ chối phục vụ" (Denial of Service-DoS) làm cho hệ thống
máy chủ bị nhận quá nhiều yêu cầu giả và không thể đáp ứng được nữa. Kỹ thuật
này còn được cải tiến thành "từ chối phục vụ phân tán" ( Distributed DoS- DDoS)
khi các cuộc tấn công đồng loạt xuất phát từ nhiều nơi trên mạng và được hứa hẹn
trước vào cùng một thời điểm nên rất khó chống đỡ.
1.4.2.4 Lợi dụng chương trình

Kỹ thuật "lợi dụng" (exploit) khai thác các điểm yếu hoặc các lỗi có sẵn
trong trong một số phần mềm quen biết trên máy của nạn nhân hoặc máy chủ. Phần
lớn các phiên bản hệ điều hành đều có nhiều kẻ hở và thường bị lợi dụng.
1.4.2.5 Giả mạo địa chỉ IP
Kỹ thuật "giả dạng" ( masquerade) hay còn gọi là "giả mạo IP" (IP spoofing)
cho phép hacker gửi vào một máy tính những gói dữ liệu có vẻ đi đến từ một địa chỉ
IP khác với địa chỉ của hacker nhằm che đậy dấu vết. Kỹ thuật này kết hợp với các
kiểu tấn công chủ động khác như lặp lại hoặc thay đổi các thông điệp.
1.4.3 Các phương pháp bảo mật
1.4.3.1 Xác thực (Authentication): là quá trình xử lý và giám sát
người sử dụng trong quá trình logon hay truy cập bất kỳ vào tài nguyên
mạng. Ta có thể xác thực bằng các phương pháp như sử dụng mật mã
(password), khóa (key), dấu vân tay (fingerprints),…
Đinh Duy Tú
25