Thiết kế và triển khai VPN Client to Site cho mạng LAN
LỜI NÓI ĐẦU
Ngày nay thế giới chúng ta đã và đang bước vào kỷ nguyên
của sự bùng nổ thông tin. Cùng với sự phát triển như vũ bão của
các phương tiện truyền thông đại chúng, lĩnh vực truyền thông
máy tính đã và đang phát triển không ngừng. Mạng máy tính toàn
cầu internet đã và đang trở thành nhu cầu bức thiết cho mọi người.
Với internet, bức tường ngăn cách giữa các quốc gia, giữa các nền
văn hóa, giữa những con người với nhau đã ngày càng giảm đi.
Ngày nay có khoảng 50 – 60 triệu người đang sử dụng internet và
các ứng dụng trên internet là vô cùng phong phú. Từ các ứng dụng
truy xuất từ xa như: NC (Network Computer), WWW,VPN… thì
mạng máy tính đồng thời cung cấp môi trường truyền thông tốt
cho các dịch vụ thư tín điện tử (Email), tin tức, các hệ quản trị dữ
liệu phân bố……
Tuy nhiên khi internet làm giảm đi ranh giới giữa các nhà tổ
chức, giữa các cá nhân với nhau, thì nguy cơ mất an toàn, khả
năng bị xâm phạm các bí mật, các tài nguyên thông tin cũng tăng
lên. Theo thông kê, số vụ tấn công và xâm phạm tài nguyên thông
tin trên internet mỗi năm tăng lên 100% so với năm trước.
Làm sao để các tổ chức, các cá nhân đang sử dụng mạng cục
bộ khi tham gia internet vừa có thể bảo vệ an toàn được các dữ
liệu quan trọng không bị sao chép, sửa đổi hay phá hủy, vừa đảm
bảo được tính sẵn sàng cao của dữ liệu mỗi khi cần đến, đồng thời
Đinh Duy Tú
1
Thiết kế và triển khai VPN Client to Site cho mạng LAN
vẫn đảm bảo khả năng truy xuất thuận tiện, nhanh chóng…. Vấn
đề này đã trở nên hết sức quan trọng. Tuy nhiên để cho người
quản trị hệ thống mạng có thể đảm bảo yêu cầu trên, họ cần có
những công cụ hữu hiệu.

Với lý do trên, em chọn đề tài “Thiết kế và triển khai VPN
Client to Side trong mạng Lan” là đề tài nguyên cứu của em.
VPN là công nghệ được sử dụng phổ biến hiện nay nhằm
cung cấp kết nối an toàn và hiệu quả để truy cập tài nguyên nội bộ
công ty từ bên ngoài thông qua mạng Internet. Mặc dù sử dụng hạ
tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được tính riêng tư
của dữ liệu giống như đang truyền thông trên một hệ thống mạng
riêng.
Đinh Duy Tú
2
Thiết kế và triển khai VPN Client to Site cho mạng LAN
Nội dung của đề tài chia làm bốn chương:
Chương 1. Tổng quan về mạng máy tính
Giới thiệu kiến thức cơ bản về mạng, mô hình mạng, giao
thức mạng, hệ điều hành mạng, mô hình OSI, các thiết bị cơ bản
trong mạng LAN và WAN, các dịch vụ trên mạng, các hiểm họa
và phương pháp tấn công trên mạng. Bên cạnh đó tìm hiểu về
Firewall và mạng VPN.
Chương 2. Tổng quan về công nghệ VPN
Giới thiệu khái quát chung, phân loại, các sản phẩm công
nghệ, các giao thức, các kỹ thuật Tunneling, lợi ích, ưu và nhược
điểm của công nghệ VPN.
Chương 3. Thiết kế mô hình VPN Client to Site
Đưa ra tình huống, phân tích, thiết kế và mô hình triển khai
thực tế.
Chương 4. Triển khai cài đặt mô hình VPN Client to Site
Các bước cài đặt chủ yếu và những chú ý cần thiết khi triển
khai mô hình.
Đinh Duy Tú
3

Thiết kế và triển khai VPN Client to Site cho mạng LAN
CHƯƠNG 1
TỔNG QUAN MẠNG MÁY TÍNH
1.1 Khái niệm cơ bản
1.1.1Định nghĩa
Mạng máy tính là hai hay nhiều máy tính được kết nối với
nhau theo một cách nào đó sao cho chúng có thể trao đổi thông tin
qua lại với nhau.
Hình 1.1 Mô hình mạng cơ bản
1.1.2Kiến trúc mạng
• Mạng dạng sao (Star topology): ở dạng sao, tất cả các trạm
được nối vào một thiết bị trung tâm có nhiệm vụ nhận tín
hiệu từ các trạm và chuyển tín hiệu đến trạm đích với
phương thức kết nối là “điểm - điểm”.
Hình 1.2 Cấu trúc mạng dạng sao
Đinh Duy Tú
4
Thiết kế và triển khai VPN Client to Site cho mạng LAN
• Mạng dạng tuyến (Bus topology): trong dạng tuyến, các máy
tính đều được nối vào một đường dây truyền chính (bus).
Đường truyền chính này được giới hạn hai đầu bởi một loại
đầu nối đặc biệt gọi là terminator (dùng để nhận biết là đầu
cuối để kết thúc đường truyền tại đây). Mỗi trạm được nối
vào bus qua một đầu nối chữ T (T_connector) hoặc một bộ
thu phát (transceiver).
Hình 1.3 Cấu trúc mạng dạng tuyến
• Mạng dạng vòng (Ring topology): các máy tính được liên
kết với nhau thành một vòng tròn theo phương thức “điểm -
điểm”, qua đó mỗi một trạm có thể nhận và truyền dữ liệu
theo vòng một chiều và dữ liệu được truyền theo từng gói

một.
Hình 1.4 Cấu trúc mạng dạng vòng
Đinh Duy Tú
5
Thiết kế và triển khai VPN Client to Site cho mạng LAN
• Mạng dạng lưới (Mesh topology): một máy tính trong mạng
có thể kết nối tới nhiều máy tính.
Hinh 1.5 Cấu trúc mạng dạng lưới
1.1.3Mô hình mạng
• LAN (Local Area Network) - Mạng cục bộ, kết nối các máy
tính trong một khu vực bán kính hẹp thông thường khoảng
vài trăm mét.
Hình 1.6 Mô hình mạng LAN
• MAN (Metropolitan Area Network) - Kết nối các máy tính
trong phạm vi một thành phố.
Đinh Duy Tú
6
Thiết kế và triển khai VPN Client to Site cho mạng LAN
Hình 1.7 Mô hình mạng MAN
• WAN (Wide Area Network) - Mạng diện rộng, kết nối máy
tính trong nội bộ các quốc gia hay giữa các quốc gia trong
cùng một châu lục.
Hình 1.8 Mô hình mạng WAN
• GAN (Global Area Network) - Kết nối các máy tính từ các
châu lục khác nhau.
1.1.4Hệ điều hành mạng
• Windows NT/2000: Windows NT là một hệ điều hành cấp
cao của Windows cung cấp các thao tác hoàn toàn 32-bit trên
các hệ thống đơn hay đa xử lý.
Đinh Duy Tú

7
Thiết kế và triển khai VPN Client to Site cho mạng LAN
• UNIX: Một hệ điều hành được dùng trong nhiều loại máy
tính khác nhau, từ các máy tính lớn cho đến các máy tính cá
nhân, nó có khả năng đa nhiệm phù hợp một cách lý tư}ng
đối với các ứng dụng nhiều người dùng.
• Linux: Linux là hệ điều hành “giống” Unix - 32 bit chạy
được trên nhiều trạm bao gồm các bộ xử lý Intel, SPARC,
PowerPC và DEC Alpha cũng như những hệ thống đa xử lý.
1.2 Mạng LAN và WAN
1.2.1Giao thức và mô hình truyền thông
1.2.1.1 Khái niệm giao thức
Là một chuẩn của tổ chức mạng đưa ra cho phép các
máy tính trên mạng giao tiếp vơi nhau một cách thống nhất.
1.2.1.2 Mô hình OSI
Năm 1984, tổ chức Tiêu chuẩn hóa Quốc tế - ISO
(International Standard Organization) chính thức đưa ra mô hình
OSI (Open Systems Interconnection), là tập hợp các đặc điểm kỹ
thuật mô tả kiến trúc mạng dành cho việc kết nối các thiết bị
không cùng chủng loại.
Mô hình OSI được chia thành 7 tầng, mỗi tầng bao gồm
những hoạt động, thiết bị và giao thức mạng khác nhau.
Đinh Duy Tú
8
Thiết kế và triển khai VPN Client to Site cho mạng LAN
Hình 1.13 Mô hình OSI
• Tầng vật lý (Physical): là tầng thấp nhất, có chức năng
là truyền dòng bit không có cấu trúc qua đường truyền
vật lý.
• Tầng liên kết dữ liệu (Data Link): cung cấp phương tiện

để truyền thông tin qua liên kết vật lý đảm bảo tin cậy.
• Tầng mạng (Network): thực hiện việc chọn đường và
chuyển tiếp thông tin với công nghệ chuyển mạch thích
hợp.
• Tầng giao vận/vận tải (Transport): thực hiện truyền dữ
liệu giữa hai đầu mút, kiểm soát lỗi.
• Tầng phiên (Session): cung cấp phương tiện quản lý
truyền thông giữa các ứng dụng.
• Tầng trình diễn (Presentation): chuyển đổi cú pháp dữ
liệu để đáp ứng yêu cầu truyền dữ liệu của các ứng
dụng qua môi trường OSI và nén, mã hóa dữ liệu.
Đinh Duy Tú
9
Thiết kế và triển khai VPN Client to Site cho mạng LAN
• Tầng ứng dụng (Applications): xác định giao diện giữa
người sử dụng và môi trường OSI.
1.2.1.3 Các giao thức phổ biến
• Giao thức TCP/IP: nằm ở tầng giao vận (Transport) của
mô hình OSI. Ưu thế chính của bộ giao thức này là khả
năng liên kết hoạt động của nhiều loại máy tính khác
nhau. Giao thức này đã trở thành tiêu chuẩn thực tế cho
kết nối liên mạng cũng như kết nối Internet toàn cầu.
Hình 1.14 Giao thức TCP/IP
• IPX/SPX: Đây là bộ giao thức sử dụng trong mạng
Novell. Ưu thế chính là nh}, nhanh và hiệu quả trên các
mạng cục bộ đồng thời hỗ trợ khả năng định tuyến.
Hình 1.15 Giao thức IPX/SPX
Đinh Duy Tú
10
Thiết kế và triển khai VPN Client to Site cho mạng LAN

• ATP
Hình 1.16 Giao thức ATP
• NetBEUI: Bộ giao thức thu nh}, nhanh và hiệu quả
được cung cấp theo các sản phẩm của hãng IBM, cũng
như sự hỗ trợ của Microsoft. Bất lợi chính của bộ giao
thức này là không hỗ trợ định tuyến và sử dụng giới
hạn ở mạng dựa vào Microsoft.
1.2.2Mạng LAN
1.2.2.1 Bốn tiêu chí mạng LAN
• Phương tiện truyền dẫn.
• Quy tắc và chuẩn (giao thức).
• Phần mềm và quản lý ứng dụng.
• Thiết bị phần cứng.
1.2.2.2 Các thiết bị mạng
1.2.2.2.1 Bộ lặp (Repeater): làm việc trên tầng
Physical.
Đinh Duy Tú
11
Thiết kế và triển khai VPN Client to Site cho mạng LAN
Hình 1.17 Repeater
1.2.2.2.2 Bộ tập trung (Hub): hoạt động ở tầng
Data Link.
Hình 1.18 Hub
1.2.2.2.3 Cầu nối (Bridge): làm việc trên tầng
Data Link.
Hình 1.19 Bridge
Đinh Duy Tú
12
Thiết kế và triển khai VPN Client to Site cho mạng LAN
1.2.2.2.4 Bộ chuyển mạch (Switch): có hai loại là

Switch lớp 2 làm việc trên tầng Data Link và Switch lớp 3
làm việc trên tầng Network của mô hình OSI.
Hình 1.20 Switch
1.2.2.3 Các chuẩn LAN
Chuẩn Viện công nghệ điện và điện tử (IEEE): Tiêu chuẩn
IEEE LAN được phát triển dựa vào Ủy ban IEEE 802.
• IEEE 802.1
• IEEE 802.2
• IEEE 802.3
• IEEE 802.4
•
• IEEE 802.11
Chuẩn uỷ ban tư vấn quốc tế về điện báo và điện thoại
(CCITT):
Một số chuẩn: V22, V28, V35
X series bao gồm các tiêu chuẩn OSI.
Chuẩn cáp và chuẩn giao tiếp EIA.
Đinh Duy Tú
13
Thiết kế và triển khai VPN Client to Site cho mạng LAN
Các tiêu chuẩn EIA dành cho giao diện nối tiếp giữa modem
và máy tính.
• RS-232.
• RS-449.
• RS-422
1.2.3Mạng WAN
1.2.3.1 Thành phần của WAN
1.2.3.1.1 Kỹ thuật chuyển mạch
• Chuyển mạch kênh (Switching circuit): khi hai node
mạng kết nối với nhau giữa chúng sẽ được thiết lập

một kênh truyền cố định, kênh truyền này sẽ không
thay đổi trong suốt quá trình liên lạc. Khi một trong
hai ngừng kết nối thì kênh truyền sẽ được giải
phóng.
• Chuyển mạch thông báo (Switching message):
thông báo là một đơn vị thông tin có đối tượng và
nội dung.
• Chuyển mạch gói (Switching packet): packet là
những gói tin được chia ra, mỗi gói đều có phần
thông tin điều khiển (header, trailer) cho biết nguồn
gửi và đích nhận.
1.2.3.1.2 Phương tiện truyền dẫn
• Bộ điều giải (Modems)
Đinh Duy Tú
14
Thiết kế và triển khai VPN Client to Site cho mạng LAN
Hình 1.21 Modems
• Cổng ra vào (Gateway)
Hình 1.22 Gateway
• Bộ định tuyến (Router)
Hình 1.23 Router
Đinh Duy Tú
15
Thiết kế và triển khai VPN Client to Site cho mạng LAN
1.2.3.2 Các chuẩn WAN
• ISDN (Intergrated Services Digital Network): là một
loại mạng viễn thông số tích hợp đa dịch vụ cho
phép sử dụng cùng một lúc nhiều dịch vụ trên cùng
một đường dây điện thoại thông thường.
• ATM (Asynchronous Tranfer Mode) hay Cell relay:

hiện nay kỹ thuật Cell Relay dựa trên phương thức
truyền thông không đồng bộ (ATM) có thể cho phép
thông lượng hàng trăm Mbps.
• X.25: được CCITT công bố lần đầu tiên vào năm
1970. X.25 cung cấp quy trình kiểm soát luồng giữa
các đầu cuối đem lại chất lượng đường truyền cao
cho dù chất lượng mạng lưới đường dây truyền
thông không cao.
• Frame Relay: công nghệ này ra đời có thể chuyển
nhận các khung truyền lớn tới 4096 byte và không
cần thời gian cho việc h}i đáp, phát hiện lỗi và sửa
lỗi ở lớp 3 (No protocol at Network layer) nên Frame
Relay có khả năng chuyển tải nhanh hơn hàng chục
lần so với X.25 ở cùng tốc độ.
1.3 Các dịch vụ trên mạng Internet
1.3.1Dịch vụ truy nhập từ xa
Telnet cho phép người sử dụng đăng nhập từ xa vào hệ
thống từ một thiết bị đầu cuối nào đó trên mạng.
Đinh Duy Tú
16
Thiết kế và triển khai VPN Client to Site cho mạng LAN
1.3.2Dịch vụ truyền tệp (FTP)
Là một dịch vụ cơ bản và phổ biến cho phép chuyển các tệp
dữ liệu giữa các máy tính khác nhau trên mạng.
1.3.3Dịch vụ Gopher
Gopher là một dịch vụ chuyển tệp tương tự như FTP, nhưng
nó hỗ trợ người dùng trong việc cung cấp thông tin về tài nguyên.
1.3.4Dịch vụ WAIS
WAIS (Wide Area Information Serves) là một dịch vụ tìm
kiếm dữ liệu. WAIS thường xuyên bắt đầu việc tìm kiếm dữ liệu

tại thư mục của máy chủ, nơi chứa toàn bộ danh mục của các máy
phục vụ khác.
1.3.5Dịch vụ World Wide Web
World Wide Web (WWW hay Web) là một dịch vụ tích hợp,
sử dụng đơn giản và có hiệu qủa nhất trên Internet. Web tích hợp
cả FTP, WAIS, Gopher. Trình duyệt Web có thể cho phép truy
nhập vào tất cả các dịch vụ trên.
1.3.6Dịch vụ thư điện tử (E mail)
Dịch vụ thư điện tử (hay còn gọi là điện thư) là một dịch vụ
thông dụng nhất trong mọi hệ thống mạng dù lớn hay nh}.
1.4 Cơ bản an toàn mạng
1.4.1Các hiểm họa trên mạng
Các hiểm họa trên mạng do các lỗ hổng gây ra, các lỗ hổng
này trên mạng là các yếu điểm quan trọng mà người dùng, hacker
dựa đó để tấn công vào mạng. Các hiện tượng sinh ra trên mạng
Đinh Duy Tú
17
Thiết kế và triển khai VPN Client to Site cho mạng LAN
do các lỗ hổng này mang lại thường là : sự ngưng trệ của dịch vụ,
cấp thêm quyền đối với các user hoặc cho phép truy nhập không
hợp pháp vào hệ thống.
1.4.1.1 Các lỗ hổng loại C
Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng
dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; không làm phá
h}ng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp.
1.4.1.2 Các lỗ hổng loại B
Đối với dạng lỗ hổng này, mức độ nguy hiểm ở mức độ
trung bình. Những lỗ hổng này thường có trong các ứng dụng trên
hệ thống; có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật.
1.4.1.3 Các lỗ hổng loại A

Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa
tính toàn vẹn và bảo mật của hệ thống. Các lỗ hổng loại này
thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không
kiểm soát được cấu hình mạng.
1.4.2Các phương pháp tấn công trên mạng
1.4.2.1 Virus
Virus tin học là một phần mềm máy tính mang tính lây lan
(ký sinh) và có thể phá hoại dữ liệu. Tính lây lan của Virus là khả
năng tự sao chép của Virus từ đối tượng bị nhiễm sang đối tượng
khác và làm cho nó nhân bản nhanh chóng. Đối tượng bị nhiễm là
các tệp ( như chương trình, dữ liệu, thư điện tử, văn bản,
macro…) và môi trường lan truyền bao gồm mạng, đường truyền
Đinh Duy Tú
18
Thiết kế và triển khai VPN Client to Site cho mạng LAN
và các loại bộ nhớ (RAM, đĩa cứng, đĩa mềm, băng từ, đĩa CD,
đĩa ZIP, đĩa ĐV, đĩa Flash…).Virus có nhiều cách lây lan và tất
nhiên cũng có nhiều cách phá hoại khác nhau. Virus máy tính có
nhiều chủng họ, chẳng hạn như Boot, File, Macro, Trojan, Worm,
Polymorphic, Hoaxes.
1.4.2.2 Treo cứng hệ thống
Kỹ thuật này làm treo cứng hệ thống của nạn nhân bằng cách
tấn công qua những giao thức tiêu chuẩn, chẳng hạn "dội bom
thư" (mail bombing) qua giao thức SMTP, hoặc tấn công "ngập
lụt" (flooding) qua giao thức TCP. 1.4.2.3 Từ chối
dịch vụ
Kỹ thuật "từ chối phục vụ" (Denial of Service-DoS) làm cho
hệ thống máy chủ bị nhận quá nhiều yêu cầu giả và không thể đáp
ứng được nữa. .
1.4.3Các phương pháp bảo mật

1.4.3.1 Xác thực (Authentication): là quá trình xử lý và
giám sát người sử dụng trong quá trình logon hay truy cập
bất kỳ vào tài nguyên mạng. 1.4.3.2 Điều khiển truy cập
(Access Control): giới hạn quyền truy cập của người dùng
vào tài nguyên hệ thống và cho phép những ai có quyền truy
cập vào.
1.4.3.3 Mã hóa dữ liệu (Data Encryption): nhằm mục
đích không cho người khác đánh cắp dữ liệu. Khi dữ liệu gửi
Đinh Duy Tú
19
Thiết kế và triển khai VPN Client to Site cho mạng LAN
đi thì có kèm theo một khóa (key), nếu ai có khóa trùng với
khóa đó mới đọc được nội dung của dữ liệu gửi tới.
1.4.3.4 Chính sách (Auditing): nhằm mục đích quản lý
người sử dụng trong hệ thống như giám sát quá trình đăng
nhập vào hệ thống, chỉnh sửa dữ liệu và một số vấn đề khác.
1.5 Firewall
1.5.1. Khái niệm
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế
trong xây dựng để ngăn chặn, hạn chế h}a hoạn. Trong công nghệ
mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ
thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các
nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong
muốn vào hệ thống. Nói cách khác, Firewall là hệ thống ngăn
chặn việc truy nhập trái phép từ bên ngoài vào mạng cũng như
những kết nối không hợp lệ từ bên trong ra. Firewall thực hiện
việc lọc b} những địa chỉ không hợp lệ dựa theo các quy tắc hay
chỉ tiêu định trước.
Hình 1.24 Firewall
Đinh Duy Tú

20
Thiết kế và triển khai VPN Client to Site cho mạng LAN
1.5.2 Các kiểu firewall
• Firewall dựa trên Application level gateway
Hình 1.25 Application level gateway
• Proxy Server Firewall
Hình 1.27 Proxy Server Firewall
Đinh Duy Tú
21
Thiết kế và triển khai VPN Client to Site cho mạng LAN
CHƯƠNG 2
TỔNG QUAN VỀ CÔNG NGHỆ VPN
2.1 Khái quát chung
2.1.1 Lịch sử hình thành và phát triển
Năm 1975, viễn thông Pháp (France telecom) đã đưa ra một
loại nghiệp vụ được gọi là Colisee, cung cấp dịch vụ dây chuyên
dụng loại chuyển mạch cho các hộ khách thương mại loại lớn.
Kết cấu của nó là lấy tổng đài chuyển tiếp E 10 N3 của Alcatel
làm cơ sở thông qua dây thuê chung, nối các bộ phận của công ty
lớn đến thiết bị tập trung này, đặt tại Paris. Colisee có thể cung
cấp phương án gọi số chuyên dụng cho hộ khách. Căn cứ lượng
nghiệp vụ mà đưa ra cước phí và nhiều tính năng quản lý khác
(như quản lý hóa đơn nợ chi tiết, chất lượng và thống kê lượng
nghiệp vụ…). Mạng dây chuyên dùng loại hình cùng hưởng thụ
này chính là hình thức đầu tiên của VPN, chủ yếu là dùng để nối
thông tổng đài thuê bao, cung cấp dịch vụ chuyển mạch âm thoại
và quản lý mạng lưới cho hộ khách. Nhưng phạm vi bao phủ của
VPN lấy tổng đài làm cơ sở để thực hiện này rất hẹp, chủng loại
tính năng nghiệp vụ cung cấp không nhiều, có thể tiếp nhập PBX
mà không thể tiếp nhập hộ dùng chỉ có một đôi dây, nên không

thực sự linh hoạt.
Bắt đầu từ năm 1985, ba công ty viễn thông đường dài cỡ
lớn của Mỹ là AT&T, MCI và Sprint đã lần lượt đưa ra nghiệp vụ
mạng chuyên dùng ảo, có tên riêng là SDN (Software Defined
Đinh Duy Tú
22
Thiết kế và triển khai VPN Client to Site cho mạng LAN
Network – mạng được định nghĩa bằng phần mềm), Vnet và VPN,
đây được coi như là một phương tiện tương đối rẻ tiền dùng để
thay thế cho dây chuyên dùng. Do chi phí VPN rẻ hơn dây thuê
dùng đối với các hộ khách có lượng nghiệp vụ không bằng nhau,
được áp dụng các ưu đãi về cước phí với mức độ khác nhau, nên
nhiều hộ khách có mạng chuyên dùng lớn đều bắt đầu chuyển
sang áp dụng nghiệp vụ VPN. Khoảng năm 1988, trên mặt nghiệp
vụ VPN, ba công ty nói trên đã triển khai một cuộc chiến quyết
liệt về giá cả, làm cho một số xí nghiệp vừa và nh} cũng chịu nổi
cước phí sử dụng VPN và có thể tiết kiệm được gần 30% chi phí
thông tin, đã kích thích sự phát triển nhanh chóng của dịch vụ này
tại Mỹ. Hiện nay VPN không chỉ dùng cho nghiệp vụ âm thoại mà
còn có thể dùng cho nghiệp vụ dữ liệu.
Đinh Duy Tú
23
Thiết kế và triển khai VPN Client to Site cho mạng LAN
2.1.2 Khái niệm VPN
Hình 2.1 Mô hình mạng VPN cơ bản
VPN là một mạng riêng sử dụng hệ thống mạng công cộng
(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ
xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối
thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên
kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức

với địa điểm hoặc người sử dụng ở xa.
2.2 Phân loại VPN
2.2.1 VPN truy cập từ xa (Remote Access)
Remote Access, hay còn gọi là virtual private dial-up
network (VPDN). Cung cấp các truy cập từ xa đến một Intranet
hay Extranet dựa trên cấu trúc hạ tầng chia sẻ Access VPN, đây là
kết nối user to LAN dành cho nhân viên muốn kết nối từ xa đến
mạng cục bộ công ty bằng dial-up.
Đinh Duy Tú
24
Thiết kế và triển khai VPN Client to Site cho mạng LAN
Hình 2.2 Mô hình VPN truy cập từ xa
2.2.2 VPN điểm nối điểm (Site to Site)
Đây là cách kết nối nhiều văn phòng trụ sở xa nhau thông
qua các thiết bị chuyên dụng và một đường truyền được mã hoá ở
qui mô lớn hoạt động trên nền Internet. Site to Site VPN gồm 2
loại:
• Các VPN nội bộ (Intranet VPN )
Đây là kiểu kết nối site to site VPN. Các chi nhánh có riêng
một Sever VPN và kết nối lại với nhau thông qua Internet. Và các
chi nhánh này sẽ kết nối lại với nhau thành một mạng riêng duy
nhất (Intranet VPN) và kết nối LAN to LAN.
• Các VPN mở rộng ( Extranet VPN )
Khi một công ty có quan hệ mật thiết với công ty khác (ví
dụ như một đối tác, nhà cung cấp hay khách hàng) họ có thể xây
dựng một extranet VPN nhằm kết nối Lan to Lan và cho phép các
Đinh Duy Tú
25