Lời mở đầu.
Hiện nay nền kinh tế nước ta đang trên con đường phát triển mạnh, các
doanh nghiệp, công ty có xu hướng mở chi nhánh phân bố các nơi khác nhau.
Điều đó đã thu của các doanh nghiệp một khoản chi phí không nhỏ. Vì thế một
vấn đề cấp thiết đặt ra là phải thiết kế một mạng máy tính có khả năng tăng
cường thông tin từ xa trên địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu).
ngoài ra tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn để tiết kiệm
được chi phí và thời gian. VPN ra đời đáp ứng tất cả các yêu cầu trên
Cụm từ Virtual Private Network gọi là mạng riêng ảo- VPN được khởi sự
năm 1997.
Mục đích mong muốn của công nghệ VPN là việc sử dụng Internet và tính
phổ cập của nó. Tuy nhiên, do Internet là nguồn thông tin công cộng nên có thể
được truy cập từ bất kỳ ai, bất kỳ lúc nào, bất kỳ nơi đâu, việc trao đổi thông tin
có thể bị nghe trộm dễ dàng, sự truy cập bất hợp pháp và phá hoại dữ liệu khi
trao đổi dữ liệu.
Mục đích chính của VPN là cung cấp bảo mật, tính hiệu quả và độ tin cậy
trong mạng trong khi vẫn đảm bảo cân bằng giá thành cho toàn bộ quá trình xây
dựng mạng.
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là
Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở
trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao
số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một
tổ chức với địa điểm hoặc người sử dụng ở xa.
. Do đó VPN có một vị trí quan trọng trong nền kinh tế hiện nay và trong
tương lai. Tuy nhiên nó lại chưa được bi ết đến đầy đủ và chi tiết, vì vậy nhóm
em quyết định chon đề tài về VPN.
Vpn được chúng tôi nghiên cứu trong một thời gian không dài. Tuy nhiên
ưu việt của nó cũng được thể hiện phần nào. Có được điều đó chúng tôi xin trân
thành cảm ơn:
Thầy Đỗ Đức Thọ - giảng viên bộ môn mạng máy tính.
Thầy cô khoa quản trị mạng trường Đại Học Kinh Tế Quốc Dân.

Tập đoàn Phú Thái
Chúng tôi hy vọng rằng với nội dung chúng tôi đã viết các bạn sẽ hiểu hơn
về VPN và những ưu thế của nó từ đó xây dựng được dự án hay trong tương lai.
Xin trân thành cảm ơn!
1
Lý thuyết.
 I. Tổng quan về mạng riêng ảo VPN (Virtual Private Network).
 II. VPN và bảo mật internet VPN.
 III. Thiết kế VPN
I. Tổng quan về mạng riêng ảo.
I.1. Mạng riêng ảo là gì?
Khái niệm mạng riêng ảo.
 Mạng riêng ảo là phương pháp làm cho một mạng công cộng hoạt
động như một mạng cục bộ kết hợp với các giải pháp bảo mật trên đường
truyền. Vpn cho phép thành lập các kết nối riêng với người dùng ở xa, các văn
phòng chi nhánh của công ty và các đối tác của công ty đang sử dụng chung một
mạng công cộng.
 Kh ái ni ệm định đường h ầm (tunneling):
 Là cơ chế dùng cho việc đóng gói một giao thức trong một giao
thức khác. Định đường hầm cho phép che dấu giao thức lớp mạng nguyên thuỷ
bằng cách mã hoá vào trong một vỏ bọc IP.
 Kh ái ni ệm v ề ch ất l ượng d ịch v ụ :
 Vpn còn cung cấp các thoả thuận về chất lượng dịch vụ (QoS),
những thoả thuận bao gồm định ra một giới hạn trên cho phép về độ trễ trung
bình của gói trong mạng.
 Vpn= định đường hầm + bảo mật + các thoả thuận QoS.
I.2. Sự thuận lợi và bất lợi của VPNs.
 Thuận lợi.
 Giảm chi phí đường truyền: Vpn cho phép tiết kiệm đến 60% chi
phí so với thuê bao đường truyền và giảm đáng kể tiền cước.

 Giảm chi phí đầu tư: Vpn không tốn chi phí đầu tư cho máy chủ, bộ
định tuyến, các bộ chuyển mạch như khi đầu tư cho một mạng WAN của công
ty (có thể thuê của các nhà cung cấp dịch vụ).
2
 Giảm chi phí quản lý và hỗ trợ: với quy mô kinh tế của mình các
nhà cung cấp dịch vụ có thể mang lại cho công ty những tiết kiệm có giá trị so
với việc tự quản lý mạng.
 Truy cập mọi lúc mọi nơi. Vpn không làm ảnh hưởng đến bất kì
một dịch vụ truyền thống nào của internet.
 Cải thiện kết nối.
 An toàn trong giao dịch.
 Hiệu quả về băng thông.
 Enhanced scalability.
 Bất lợi :
 Phụ thuộc trong môi trường Internet.
 Thiếu sự hổ trợ cho một số giao thức kế thừa.
I.3. Phân loại mạng riêng ảo.
.
yêu cầu của VPN.
 VPNs nhằm hướng vào 3 yêu cầu cơ bản sau đây :
♣ Có thể truy cập bất cứ lúc nào bằng điều khiển từ xa, bằng điện thoại
cầm tay, và việc liên lạc giữa các nhân viên của một tổ chức tới các tài nguyên
mạng.
♣ Nối kết thông tin liên lạc giữa các chi nhánh văn phòng từ xa.
♣ Ðược điều khiển truy nhập tài nguyên mạng khi cần thiết của khách
hàng, nhà cung cấp và những đối tượng quan trọng của công ty nhằm hợp tác
kinh doanh.
I.4. Phân loại VPN.
 .


Dựa trên những nhu cầu cơ bản trên, ngày nay VPNs đã phát triển và
phân chia ra làm 2 phân loại chính sau :
 Remote Access VPNs ( VPN truy cập từ xa).
 Site – to – site VPNs (VPN điểm nối điểm).
3
Central Site
Site-to-Site
Remote Office
Extranet
Business Partner
POP
DSL
Cable
Mobile User
Home Telecommuter
Internet
Truy cập từ xa (Remote Access)
Kết nối chi nhánh của công ty (Site to Site) VPN
Mạng mở rộng (ExtranetVPN)
 VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là
một kết nối người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều
nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa. Ví dụ
như công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ
doanh nghiệp (ESP). ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung
cấp cho những người sử dụng từ xa một phần mềm máy khách cho máy tính của
họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và
dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại
VPN này cho phép các kết nối an toàn, có mật mã.
Một số thành phần chính :
 Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác

nhận và chứng nhận các yêu cầu gửi tới.
 Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số
yêu cầu ở khá xa so với trung tâm.
 Hổ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS
và hổ trợ truy cập từ xa bởi người dùng.
 Bằng việc triển khai Remote Access VPNs, những người dùng từ xa
hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung
cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet.
 Mô hình Intranet VPNs.
Ba lo¹i liªn kÕt trong m¹ng VPN
I.5.Các thành phần của VPN
 HA ( Home Agent ). Bề mặt chung của chương trình là thường cư trú tại
các nút mạng (router) trong mạng đích. Ngoài ra, một nút đích, như Dial-up
Server có thể làm máy chủ HA. HA nhận và xác nhận những yêu cầu gửi đến để
xác thực chúng từ những host đã được ủy quyền. Khi xác nhận thành công bộ
máy khởi tạo, HA cho phép thiết lập tunnel.
4
 FA ( Foreign Agent ). Giao diện trương trình thường cư trú tại các nút
khởi tạo hoặc ở nút truy cập mạng (router) của hệ thống mạng. Các nút khởi tạo
dùng FA để yêu cầu một phiên VPN từ HA ở mạng đích.
 Để có thể thiết lập hoàn chỉnh một tunnel giữa hai nút thông tin đầu
cuối, tunneling đưa ra 4 thành phần yêu cầu sau :
 Mạng đích (Target network): Là mạng trong đó chứa các dữ liệu tài
nguyên mà người dùng từ xa cần truy cập để sử dụng, là những người khởi tạo
ra phiên yêu cầu VPN (mạng đích cũng được hiểu như là mạng gia đình (home
network) trong một số tài liệu về VPN).
 Nút khởi tạo (Initiator node): Người dùng khách hoặc máy chủ khởi tạo
phiên VPN. Nút khởi tạo có thể là một phần của mạng cục bộ hoặc có thể là
người dùng mobile sử dụng laptop.
I.6.Cấu trúc của VPN.

 Tính tương thích:
- Hỗ trợ nhiều chuẩn giao thức.
 Tính bảo mật:
- Password cho người dùng trong mạng.
- Mã hoá dữ liệu khi truyền.
- Đơn giản trong quản lý sử dụng.
 Tính khả dụng:
- Tốc độ kêt nối.
- Chât lượng dịch vụ.
 Khả năng hoạt động tương tác:
- Đồng bộ với thiết bị sử dụng.
 Nhằm mục đích dễ hiểu hơn quá trình hoạt động của công nghệ
tunneling được chia làm 2 giai đoạn:
 Giai đoạn 1: Nút khởi tạo (hoặc người dùng từ xa) yêu cầu một phiên
làm việc VPN và được xác nhận HA tương ứng.
 Giai đoạn 2: dữ liệu được thực sự chuyển qua mạng thông qua tunnel.
Trong giai đoạn I, một kết nối yêu cầu được khởi tạo và những tham số
phiên được đàm phán. (Giai đoạn này cũng có thể được xem như là giai đoạn
thiết lập tunnel). Nếu yêu cầu được chấp nhận và tham số phiên được đàm phán
thành công, một tunnel được thiết lập giữa hai nút thông tin đầu cuối.
Điều này xảy ra qua những việc chính sau :
1. Nút khởi tạo gửi yêu cầu kết nối đến vị trí FA trong mạng.
2. FA xác nhận yêu cầu bằng cách thông qua tên truy cập và mật khẩu
được cung cấp bởi người dùng.
3. Nếu tên truy cập và mật khẩu cung cấp bởi người dùng không hợp lệ,
yêu cầu phiên làm việc VPN bị từ chối. Ngược lại, nếu quá trình xác nhận sự
thống nhất của FA thành công, nó sẽ chuyễn yêu cầu đến mạng đích HA.
. Trong quá trình nhận thông tin mã hóa, HA cởi bỏ tunnel header và
header của giao thức định tuyến, đưa gói dữ liệu trở về dạng nguyên bản của nó.
5

. Dữ liệu nguyên gốc sau đó được chuyển hướng đến nút mong muốn cần
đến trong mạng.
Figure 4-3: The process of transferring data across a tunnel.

Ghi chú :
 Nếu 2 điểm đầu cuối không sử dụng cùng giao thức tunneling, một
số tham biến cấu hình tunnel như mã hóa, tham số nén, và cơ chế duy trì tunnel
cũng được đàm phán.
Với việc thiết lập tunnel, giai đoạn I được xem như đã xong và giai đoạn
II, hay giai đoạn chuyển giao dữ liệu, bắt đầu. Quá trình giao dịch trong giai
đoạn II này thực hiện qua các bước sau:
1. Nút khởi tạo bắt đầu chuyển hướng các gói dữ liệu đến FA.
2. FA tạo tunnel header và chèn nó vào từng gói dữ liệu. Thông tin header
của giao thức định tuyến (được đàm phán trong giai đoạn I) sau đó được gắn vào
gói dữ liệu.
3. FA chuyển hướng các gói dữ liệu đã mã hóa đến HA bằng cách sử
dụng tunnel number đã được cung cấp.
4. Nếu yêu cầu được HA chấp nhận, FA gửi login ID đã được mã hóa và
mật khẩu tương ứng đến nó.
5. HA kiểm chứng thông tin đã được cung cấp. Nếu quá trình kiểm
chứng thành công, HA gửi những Register Reply, phụ thuộc vào một số tunnel
đến FA.
6. Một tunnel được thiết lập khi FA nhận Register Reply và số tunnel.
* Định dạng gói dữ liệu VPN.
Như đã được mô tả ở phần trước, trước khi gói dữ liệu nguyên gốc được
phân phát đến mạng đích thông qua tunnel, nó đã được mã hóa bởi FA. Gói dữ
liệu mã hóa này được đề cập như một tunneled packet. Định dạng của một
tunneled packet được mô tả theo hình bên dưới.
Figure 4-4: The format of a tunneled packet


6
Như đã thấy ở hình 4-4, một tunneled packet bao gồm 3 phần, bao gồm :
 Header of the routable protocol. Phần đầu chứa địa chỉ nguồn (FA)
và đích (HA). Bởi vì quá trình giao dịch thông qua Internet chủ yếu là dựa trên
cơ sở IP, phần đầu này là phần IP header chuẩn phổ biến và chứa địa chỉ IP của
FA, HA tham gia trong quá trình giao dịch. Tunnel packet header. Phần đầu này
chứa 5 phần:
- Protocol type. Trường này chỉ ra loại giao thức của gói dữ liệu
nguyên gốc (hoặc pay-load).
- Kiểm tra tổng (Checksum). Phần này chứa thông tin kiểm tra tổng
quát liệu gói dữ liệu có bị mất mát trong suốt qua trình giao dịch. Thông tin này
tùy chọn.
- Khóa (Key). Thông tin này được dùng để nhận dạng hoặc xác nhận
nguồn thực của dữ liệu (bộ khởi tạo).
- Số tuần tự (Sequence number): Trường này chứa đựng 1 con số chỉ
ra số tuần tự của gói dữ liệu trong một loạt các gói dữ liệu đã và đang trao đổi.
- Source routing: Trường này chứa đựng thêm thông tin định tuyến,
phần này tuỳ chọn.
 Payload. Gói dữ liệu nguyên gốc được gửi đến FA bởi bộ khởi tạo.
Nó cũng chứa đựng phần đầu nguyên gốc.
II. VPN VÀ BẢO MẬT INTERNET VPN.
II.1.1. Kiến trúc mạng VPN.
Đường hầm:phần ảo trong VPN.
 Các kết nối được thiết lập trên nhu cầu tổ chức.
 Một nối chỉ được tạo ra giữa 2 site khi cần thiết.
 Việc tạo đường hầm tạo ra kết nối đặc biệt giữa 2 điểm cuối.
 Việc tạo đường hầm tạo ra một kết nối đặc biệt giữa dòng dữ liệu và
thông tin người dùng.
Các dịch vụ bảo mật- phần riêng trong VPN.
Các dịch vụ bảo mật trong VPN bao gồm:

Xác thực.
 Điều khiển truy cập.
 Tin cậy.
 Tính toàn vẹn dữ liệu.
 Việc xác thực người dùng và tính tòan vẹn dữ liệu phụ thuộc vào các
tiến trình mã hóa.
7
II.1.2. Bảo mật trong VPN.
 Tường lửa.
 Mật mã truy cập:bao gồm mật mã riêng và mật mã chung.
 Giao thức bảo mật Internet.
 Máy chủ AAA (Authentication Authorization Accounting)- kiểm soát
việc cho phép thẩm định quyền truy cập.
Tường lửa.
 Tường lửa (firewall): là rào chắn vững chắc giữa mạng riêng và Internet.
Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và
giao thức được chuyển qua. Một số sản phẩm dùng cho VPN như router 1700
của Cisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy
hệ điều hành Internet Cisco IOS thích hợp. Tốt nhất là hãy cài tường lửa thật tốt
trước khi thiết lập VPN.
Mã truy cập.
 Mật mã truy cập: là khi một máy tính mã hóa dữ liệu và gửi nó tới một
máy tính khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng
và mật mã chung.
 Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một
mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã
riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể
cài mã lên đó, để máy tính của người nhận có thể giải mã được.
 Mật mã chung (Public-Key Encryption): kết hợp mã riêng và một mã
công cộng. Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do

máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó.
Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn
cung cấp, đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này
được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu
như bất cứ thứ gì.
II.1.3. Giao thức bảo mật giao thức Internet (IPSec).
 Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng
an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền
đăng nhập toàn diện hơn.
 IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu
đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước.
Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này.
Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa
trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa
dữ liệu giữa nhiều thiết bị khác nhau như router với router…
Máy chủ AAA.
 AAA : là viết tắt của ba chữ Authentication (thẩm định quyền truy cập),
Authorization (cho phép) và Accounting (kiểm soát). Các server này được dùng
để đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một kết nối được gửi tới
từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra. Các thông tin về những
8
hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an
toàn.
II.2. Một số giao thức cho VPN.
 - Bảo mật IP: là 1 chuẩn mở đảm bảo cho quá trình trao đổi dữ liệu được
an toàn.
- Giao thức đường hầm điểm-điểm: là sự lựa chọn thay thế cho giao thức
bảo mật IP.
- Giao thức đường hầm lớp 2: là giao thức đảm bảo cho vận chuyển dữ
liệu trên Internet được an tòan.

IP Security (IPSec).
 IP Security (IPSec) : Ðược phát triển bởi IETF, IPSec là một chuẩn mở
đảm bảo chắc chắn quá trình trao đổi dữ liệu được an toàn và phương thức xác
nhận người dùng qua mạng công cộng. Không giống với những kỹ thuật mã hoá
khác, IPSec thực hiện ở tầng thứ 7 trong mô hình OSI (Open System
Interconnect). Vì thế, chúng có thể chạy độc lập so với các ứng dụng chạy trên
mạng. Và vì thế mạng của bạn sẽ được bảo mật hơn mà không cần dùng bất kỳ
chương trình bảo mật nào.
Point-to-point Tunneling Protocol.
 (PPTP) : Phát triển bởi Microsoft, 3COM, và Ascend Communications,
PPTP là một sự chọn lựa để thay thế cho IPSec. Tuy nhiên IPSec vẫn còn được
sử dụng nhiều trong một số Tunneling Protocol. PPTP thực hiện ở tầng thứ 2
(Data Link Layer).
Layer 2 Tunneling Protocol (L2TP)
 Ðược phát triển bởi Cisco System, L2TP được dự định sẽ thay thế cho
IPSec. Tuy nhiên IPSec vẫn chiếm ưu thế hơn so về bảo mật trên Internet. L2TP
là sự kết hợp giữa Layer 2 Forwarding (L2F) và PPTP và được dùng để đóng
gói các frame sữ dụng giao thức Point-to-point để gởi qua các loại mạng như
X.25, FR, ATM.
 Ghi chú : L2F là một protocol được đăng ký độc quyền bởi Cisco
System để đảm bảo việc vận chuyễn dữ liệu trên mạng Internet được an toàn.
II.3. Kiến trúc VPN của Cisco.
 Khối truy cập VPN.
 Khối truy cập làm nền cho các ứng dụng thương mại được thiết kế tuân
theo các yêu cầu và quy định giống như mạng riêng của công ty.
 Khối bảo mật.
 Kiến trúc xác thực.
 Trong môi trường truy cập VPN, khía cạnh bảo mật quan trọng nhất liên
quan đến việc nhận ra một người dùng của công ty và thiết lập đến một đường
hầm đến cổng nối của công ty. Cổng nối này phải có khả năng xác thực được

ngưới dùng, các quyền truy cập và tính cước.
 Xác thực đơn phương.
9
 Để xác thực người dùng đầu tiên Client sẽ thiết lập kết nối mạng cung
cấp dịch vụ thông qua một POP, sau đó kết nối thiết lập thứ hai với mạng khách
hàng.
 Các điểm cuôí trong truy cập đường hầm của VPN xác thực với nhau.
Kế tiếp người dùng kết nối với các thiết bị đầu cuối khách hàng (CPE). Các
cổng nối người dùng sử dụng giao thức phân tích chất lượng thành viên và giao
thức Internet nối tiếp SLIP (Serial Line Internet Protocol) và được xác thực
thông qua các một giao thức xác định tên mật khẩu như: PAP (Password
Authentication Protocol), giao thức xác định yêu cầu bắt tay CHAP (Chanllenge
Handshak Protocol) hay một hệ thống điều khiển truy nhập cứng.
Đây là kiến trúc điển hình của VPN.
VPN Logical.
10
Khách hàng tiềm năng cuả VPN.
Mô hình mạng cơ bản lớp 3 của VPN.
11
Tunelling.
II.4. Mô hình xác thực
a.Xác thực đơn phương
b. Mô hình xác thực song phương.
Đầu tiên, người dùng sẽ quay số đến điểm truy cập POP của ISP, sau đó
ISP sẽ nhận diện người gọi thông qua một số nhận diện chung. Máy chủ truy cập
mạng NAS (Network access Server) sẽ biết được số nhận diện này thuộc mạng
khách hàng nào. Kế tiếp, NAS sẽ thiếp lập một đường hầm với cổng nối phiá
12
Internet VPN
Mobile

Customer
Telecommuser
POP
Nhµ cung cÊp dÞch vô
Internet
Cæng nèi c«ng ty
Central Site cña c«ng
ty
X¸c thùc C
X¸c thùc C
khách hàng. Cuối cùng, người dùng được xác thực lần thứ hai bởi cổng nối phía
mạng công ty
Mô hình xác thực song phương.
II.5. Firewall.
 C Cisco IPX Firewall cho phép 64000 kết nối hoạt động cùng một lúc,
hoạt đ ộng dựa trên thuật toán bảo mật tương thích ASA (Adaptive security
Aloritm), thu ật toán này bảo mật đến các mạng máy nội bộ.
 Các đặc điểm chính:
 -Điều khiển truy cập dựa ngữ cảnh CBAC (Context-based access
control):
 Cung cấp bảo mật, lọc các ứng dụng cho lưu lượng IP, cung cấp các
giao thức mới nhất.
 - Java bloking-bảo mật chống lại Java applet nguy hiểm chỉ cho phép
các apple từ các nguồn đáng tin cậy.
 - Phát hiện và ngăn ngừa từ chối các dịch vụ (Denial-of-service
detection and prevention) để bảo mật các tài nguyên bộ định tuyến chống lại các
tấn công thông thường.
 - Cảnh báo thời gian thực (real-time alert) cảnh báo trong trường hợp
của các tấn công từ chối các dịch vụ và các tình trạng đặc biệt khác.
 - Theo dõi và kiểm tra (audit trail): do tìm người truy cập bằng thời gian,

địa chỉ, nguồn và đích, cộng tổng số byte được chuyển đi.
Mô hình bức tường lửa (1).
13
Internet VPN
Mobile
Customer
Telecommuser
POP
Nhµ cung cÊp dÞch vô
Internet
Cæng nèi c«ng ty
X¸c thùc C
X¸c thùc I
Central Site cña c«ng ty
X¸c thùc C
VPN nằm phía trước firewall.
Mô hình bức tường lửa (2).
VPN server năm phía sau Firewall.
III. Thiết kế phần cứng VPN.
 Phần cứng VPN.
 Một số kết nối VPN.
 Giải pháp VPN của Cissco
III.1. Phần cứng VPN.
 VPN hoạt động dựa trên nguyên lý lợi dụng cơ sở hạ tầng của mạng
công cộng đã có để xây dựng mạng riêng.
 Một trong những điểm khác nhau giữa sản phẩm thông dụng hiện nay
là ở các thiết bị đường hầm. Một cổng nối bảo mật có thể tạo ra một đường hầm
để liên kết với Lan đến một cổng nối khác hoặc chỉ một host đầu xa có thể tạo ra
một đường hầm để kết nối một cổng nối và Lan mà không có số.
 Khi khách hàng không đủ tài nguyên thì một sản phẩm duy nhất được

tích hợp các chức năng khác nhau có sức lôi quấn đặc biệt. Việc cài đặt một
đường hầm có thể khiến cho việc thiết lập một VPN trở lên dễ dàng hơn.
 Một trong những vấn đề lớn nhất đối với các thiết bị là hỗ trợ việc
đồng bộ hoá.
Yêu cầu thiết kế VPN.
14
 Để thiết kế VPN hữu dụng cần khảo sát và đề ra yêu cầu thiết kế sát
với nhu cầu khai thác sử dụng. Các yêu cầu gồm:
 Có bao nhiêu người dùng cho mỗi site?
 Loại kết nối: thường trực hay yêu cầu?
 Lưu lượng mạng do site phát sinh biến đổi lưu lượng theo giờ, ngày,
lưu lượng dự phòng?
 Tần suất kết nối theo yêu cầu, độ tin cậy cần thiết?
 Có cần site hỗ trợ người dùng từ xa không?
Kĩ thuật cơ bản của VPN.
 Các giao thức đường hầm phan loại theo lớp mà nó hoạt động dựa trên
đó. Vd: giao thức đường hầm lớp 2 là: PPTP, L2TP, LFP.
 Các khối của một VPN: gồm hai thành phần là tuyến kết nối đến
internet do ISP cung cấp. Và phần mềm và phần cứng để bảo mật dữ liệu trước
khi truyền ra internet.
Giao thức cơ bản của VPN.
 Giao thức an ninh internet (IP security protocol).
 Được thực hiện bởi IEIF (internet engineering task force).
 Tương thích với cả IPv4 và IPv6.
 Có hai chế độ mã hoá: chế độ truyền (bảo vệ payload) và chế độ đường
hầm (bảo vệ payload và header).
III.2.Vấn đề kết nối VPN.
 Lựa chọn giải pháp thích hợp cho WAN, RAS, VPN.
 Lựa chọn ISP nên chộn cùng một ISP cho các kết nối, QoS.
 Giải quyết các sự cố: lỗi kết nối, lỗi nhận thức, định tuyến thoả thuận

với ISP.
 Gợi ý về an ninh giới hạn người truy cập, giới hạn tài nguyên.
III.3. Giải pháp VPN của SISSCO.
15
VPN product function matrix.
Site to site VPN. Remote Access VPN.
IOS VPN
router
Primary role.
Allencompassing site to site
connectivity features
Provides routiny, QoS,
WAN interfaces, multicast and
multiprotocol support.
Basic remote access
functionality.
PIX. Solution for security
organizations that prefer
operating firewalls.
Provides full firewall features.
Basic site to site functionality.
Provides most remote
access features.
Solution for security
organizations that prefer
operating firewalls.
Provides full firewall
features.
VPN 3000
concertrators.

Basic site to site functionality. Primary role.
Full featured remote
access solution.
Remote Access VPNs .
Cisco VPN 3000.
 Connection of remote sites, users and partners across VPN.
 High density, low bandwidth connections.
 WAN Router.
 PIX Firewall .
 Cisco VPN 3000 Concentrator.
 Cisco Secure ACS (AAA).
 WAN Router.
16
TYPE Application As atternatiive to Benefit
Remote access
VPN
Remote dial
connectivity.
Dedicated dial
ISDN.
Ubiquitous
access lower
cost.
Site to site VPN. Site to site
internal
connectivity.
Leased line
frame relay
(ATM).
Extend

connectivity
increased.
Extranet VPN. Biz to biz
external
connectivity.
Fax, mail, EDI
(electronic data
interchange).
Facilitates
e-commerce.
 PIX Firewall .
 Cisco VPN 3000 Concentrator.
 Cisco Secure ACS (AAA).
Cisco VPN 3002
Hardware VPN Client
17
Internet VPN
Central Site
Mobile
Customer
Telecommuter
POP
Cisco VPN Clients
Microsoft Win 2000 (IPSec)
Microsoft Win 9x/NT (PPTP)
18
Ứng dụng mạng riêng ảo VPN trong tập đoàn Phú
Thái
Phú Thái là tập đoàn phân phối hàng hóa hàng đầu ở Việt Nam. Với 2500
nhân viên và mạng lưới kinh doanh, phân phối trên khắp cả nước. Trụ sở chính

ở Hà Nội(189 Trường Chinh-Hà Nội) và có 3 chi nhánh lớn nhất là ở Hải
Phòng, Đà Nẵng, TP.HCM và nhiều trung tâm khác.
Lựa chọn mạng riêng ảo VPN
• Trước đó mỗi trung tâm, công ty có một hệ thống máy tính riêng để
phục vụ sản xuất kinh doanh nên việc trao đổi thông tin rất khó khăn và tốn kém
đặc biệt là việc trao đổi dữ liệu giữa các hệ thống máy tính của tập đoàn .
• Với mạng riêng ảo VPN đã làm tăng khẳ năng kết nối và trao đổi
thông tin, tăng năng suất lao động, phân phối, truy cập dễ dàng giữa các trung
tâm
19
Mạng VPN/MPLS trong tập đoàn
I- Công nghệ VPN/MPLS.
MPLS-Multi Protocol Label Switching(công nghệ chuyển mạch nhãn
đa giao thức).
Tập đoàn sử dụng dịch vụ mạng IP VPN/MPLS do EICVINA cung
cấp. Đây là một dịch vụ mạng có thể dùng cho các ứng dụng khác nhau, cho
phép việc trao đổi thông tin một cách an toàn bằng nhiều lựa chọn kết nối với
nhiều tính năng nổi trội: kết nối trực tiếp giữa các điểm bất kỳ, nhiều lựa chọn
công nghệ kết nối, tích hợp dữ liệu, thoại & và video, độ bảo mật cao, dễ sử
dụng.
• Như vậy, với VPN dựa trên MPLS, DN hoàn toàn có thể đạt được
các mục tiêu của mình như: điều khiển nhiều hơn trên hạ tầng mạng, cung cấp
đa lớp dịch vụ tới người sử dụng, đảm bảo hiệu năng đáp ứng theo yêu cầu của
ứng dụng, hỗ trợ hội tụ đa công nghệ với nhiều kiểu lưu lượng trên cùng một
mạng đơn.
• Nhờ ưu điểm vượt trội của chất lượng dịch vụ qua mạng IP và là
phương án triển khai VPN theo công nghệ mới, khắc phục được nhiều vấn đề
mà các công nghệ ra đời trước nó chưa giải quyết được, MPLS thực sự là một
lựa chọn hiệu quả trong triển khai hạ tầng thông tin DN.
II – VPN point-to-point.

•Mô hình VPN ở đây là VPN point-to-point: các nút điểm là Hà Nội và
Hải Phòng, Đà Nẵng, TP.HCM. Tập đoàn sử dụng VPN điểm- điểm giữa trụ sở
chính và các chi nhánh.
2.1 Mô hình điểm-nối-điểm giữa Hà Nội và TP.HCM
20
2.1 Các thiết bị cần thiết.
• Trong mô hình VPN điểm -điểm giữa Hà Nội và TP.HCM, mỗi
điểm cần nhiều máy làm các nhiệm vụ khác nhau: một máy chủ kiểm soát
domain, máy chủ IAS, máy chủ thẩm định quyền truy cập, một Router VPN…
Ngoài ra tại mỗi chi nhánh là một mạng LAN với các Server và nhiều Client.
Tại Hà Nội có 30 Client và các chi nhánh khác là 20 Client.
2.1.1.1 Tên máy tính và Vai trò
•CLIENT1 chạy Windows XP Professional, bản SP2 : Máy khách
•ROUTER1 chạy Windows Server 2003, bản SP1, Standard Edition: Máy
chủ VPN & Router trả lời
•INTERNET chạy Windows Server 2003, bản SP1, Standard Edition:
Router Internet
•ROUTER2 chạy Windows Server 2003, bản SP1, Standard Edition: Máy
chủ VPN- & Router gọi
•CLIENT2 chạy Windows XP Professional, bản SP2: Máy khách
Mô hình minh họa cho kết nối Hà Nội vàTP.HCM
• Trong mô hình trên: Client 1 là đại diện cho cả mạng LAN ở trụ sở
chính Hà Nội, bao gồm các Server nối với 30 Client, các Hub và Switch,
Firewall
• Client 2 đại diện cho mạng LAN ở chi nhánh TP.HCM, gồm các
Server, 20 client, các hub, switch và được bảo mật bởi Firewall
• Ngoài ra, mạng còn cần 4 Hub:
-Một hub để nối Hà Nội( CLIENT 1) với router trả lời( ROUTER 1).
21
-Một hub nối TP.HCM ( CLIENT 2) với router gọi ( ROUTER 2).

-Một hub để nối router trả lời( ROUTER 1) với Internet ( INTERNET ).
-Một hub để nối router gọi ( ROUTER 2) với Internet (INTERNET).
2.1.1.2 Địa chỉ IP.
1.Địa chỉ IP cho mạng con ở văn phòng Hà Nội
Máy tính/Giao diện Địa chỉ IP
• CLIENT 172.16.4.3
• ROUTER1 (tới Intranet của Hà Nội) 172.16.4.1
2.Địa chỉ IP cho các mạng con Internet
Máy tính/Giao diện Địa chỉ IP
• ROUTER1 (tới Internet) 10.1.0.2
• INTERNET (tới ROUTER1) 10.1.0.1
• ROUTER2 (tới Internet) 10.2.0.2
• INTERNET (tới ROUTER2) 10.2.0.1
3.Địa chỉ IP cho mạng con ở văn phòng TP HCM
Máy tính/Giao diện Địa chỉ IP
• ROUTER2 (tới mạng Intranet của TP HCM) 172.16.56.1
• CLIENT2 172.16.56.3
2.2 Giao thức truyền thông
• Trong mô hình VPN/MPLS này có sử dụng kết hợp cả hai giao thức
PPTP và L2TP.
2.2.1 Giao thức PPTP
Point-to-Point Tunneling Protocol (PPTP).
• PPTP là một giải pháp độc quyền cung cấp khả năng bảo mật giữa
remote client và enterprise server bằng việc tạo ra một VPN thông qua một IP
trên cơ sở mạng trung gian. Được phát triển bởi PPTP Consortium (Microsoft
Corporation, Ascend Communications, 3COM, US Robotics, và ECI
Telematics), PPTP được đưa ra dựa trên yêu cầu VPNs thông qua mạng trung
gian không an toàn. PPTP không những tạo điều kiện dễ dàng cho việc bảo mật
các giao dịch thông qua TCP/IP trong môi trường mạng chung, mà còn qua
mạng riêng intranet.

2.2.1.1 Đặc trưng của PPTP.
•Công dụng của PSTNs (Public Switched Telephone Networks): PPTP cho
phép sử dụng PSTNs cho việc triển khai VPNs. Kết quả là, quá trình xử lý sự
phát triển VPN đặc biệt đơn giản và tổng chi phí cho việc triển khai thì khá thấp.
Đối với những doanh nghiệp có kết nối mạng diện rộng dựa trên các đường thuê
bao leased line được loại bỏ.
•Hỗ trợ giao thức Non-IP: PPTP cũng hổ trợ một số giao thức triển khai
mạng thông thường khác như TCP/IP, IPX, NetBEUI, và NetBIOS.
2.2.1.2 Vai trò của PPP trong giao dịch PPTP.
• PPTP là phần mở rộng của PPP, nó không thay đổi công nghệ PPP. Nó
chỉ định nghĩa một phương pháp mới trong việc vận chuyển lưu lượng VPN
thông qua một mạng chung không an toàn. Khá giống PPP, PPTP cũng không
22
hổ trợ đa kết nối, tất cả các kết nối PPTP đều ở dạng điểm-điểm. PPP thực hiện
một số chức năng giao dịch dựa trên PPTP :
- Thiết lập và kết thúc các kết nối vật lý giữa 2 đầu cuối thông tin.
- Xác thực PPTP clients.
- Mã hóa IPX, NetBEUI, NetBIOS, TCP/IP datagrams để tạo ra PPP
datagrams và bảo mật dữ liệu trao đổi giữa các bên có liên quan.
2.2.1.3 Các thành phần của quá trình giao dịch PPTP.
• Bất kỳ quá trình giao dịch nào dựa trên PPTP triển khai ít nhất 3
thành phần, các thành phần đó là :
- PPTP client
- Network Access Server (NAS)
- PPTP server
23
2.2.1.3.1 PPTP Clients.
• Một PPTP client là một nút mạng hổ trợ PPTP và có thể yêu cầu
những nút khác cho một phiên VPN. Nếu kết nối được yêu cầu từ một remote
server. PPTP client phải sử dụng dịch vụ của ISP’s NAS. Vì lý do đó, client phải

dùng modem để kết nối vào kết nối PPP tới nhà ISP. PPTP client cũng phải
được kết nối vào thiết bị VPN để có thể tunnel yêu cầu (và dữ liệu tiếp theo, nếu
yêu cầu được chấp nhận) đến thiết bị VPN trên mạng từ xa. Kết nối đến các thiết
bị VPN từ xa sử dụng kết nối quay số đầu tiên đến ISP’s NAS để thiết lặp một
tunnel giữa hai thiết bị VPN thông quan Internet hoặc các mạng trung gian khác.
• Không giống những yêu cầu cho các phiên kết nối VPN từ xa, yêu
cầu cho một phiên VPN đến một mạng cục bộ không yêu cầu một kết nối đến
ISP’s NAS. Cả client và server đều đã được kết nối về mặt vật lý, việc tạo ra
một kết nối đến ISP’s NAS là không cần thiết. Client, trong trường hợp này, chỉ
yêu cầu các phiên kết nối quay số bằng thiết bị VPN trên server.
• Khi các gói dữ liệu yêu cầu định tuyến cho một yêu cầu từ xa và
một yêu cầu kết nối cục bộ khác nhau, gói dữ liệu được gắn kèm với 2 yêu cầu
được xử lý khác nhau. Gói dữ liệu PPTP đến một server cục bộ mà được đặt trên
thiế bị vật lý trung gian gắn kèm card mạng của PPTP client. Ngược lại, gói dữ
liệu PPTP đến remote server được định tuyến thông qua phương tiện truyền
thông vật lý được gắn kèm trong thiết bị thông tin, chẳng hạn như router.
2.2.1.3.2 PPTP Servers.
PPTP Servers law những nút mạng hổ trợ PPTP và có khả năng duy trì các
yêu cầu cho các phiên VPN từ những nút khác (từ xa hoặc nội bộ). Để đáp lại
những yêu cầu từ xa, những server phải hổ trợ khả năng định tuyến.
2.2.1.3.PPTP Network Access Servers (NASs)
24
PPTP NASs được đặt tại nhà cung cấp dịch vụ ISP và cung cấp kết nối
Internet đến các client sử dụng PPP để quay số. Khả năng có nhiều client đồng
thời đưa ra yêu cầu phiên một VPN là rất cao, những server phải có khả năng hổ
trợ đồng thời nhiều client. Hơn nữa, PPTP client không bị hạn chế với các hệ
điều hành không phải của Microsoft. Do đó, PPTP NASs có khả năng xữ lý
dùng nhiều hệ điều hành khác nhau như Microsoft's Windows, Unix, và Apple's
Macintosh
2.2.1.4 Quá trình xử lý PPTP.

PPTP tận dụng 3 quá trình xữ lý để bảo đảm cho thông tin liên lạc PPTP
thông qua môi trường không an toàn. Những quá trình đó là :
· Quá trình thiết lặp kết nối PPP
· Điều khiển kết nối
· PPTP tunneling và trao đổi dữ liệu
2.2.1.5 Điều khiển kết nối PPTP.
Sau khi kết nối PPP giữa PPTP client và server được thiết lặp, quá trình
điều khiển PPTP bắt đầu. PPTP connection control được thiết lặp dựa trên cơ sở
địa chỉ IP của client và server, sử dụng cổng TCP động và chiếm giữ cổng TCP
1723. Sau khi quá trình điều khiển kết nối được thiết lặp, các thông tin điều
khiển và quản lý sẽ được trao đổi giữa các bên có liên quan trong quá trình giao
tiếp. Những thông tin đảm nhiệm vai trò bảo trì, quản lý và kết thúc PPP tunnel.
Những thông điệp này là những thông điệp có định kỳ bao gồm "PPTP-Echo-
Request, PPTP-Echo-Reply" dùng để giúp đỡ trong việc dò tìm các kết nối
PPTP hư hỏng giữa server và client.
25