Báo cáo thực tập tốt nghiệp
LỜI CẢM ƠN
Sau một thời gian thực hiện, đề tài nghiên cứu “Thiết kế và triển khai VPN Client
to Site trên Window server 2008” đã phần nào hoàn thành. Ngoài sự cố gắng của
bản thân em còn nhận được sự giúp đỡ nhiệt tình từ thầy cô, bạn bè, các anh, chị
nơi em thực tập.
Trước hết em xin cảm ơn các thầy cô giáo bộ môn công nghệ thông tin trường Đại
học Kỹ Thuật Công Nghệ TP.HCM đã giúp đỡ em trong quá trình học tập. Đặc biệt
là Giảng viên Nguyễn Ngọc Đại đã tận tình giúp đỡ em trong suốt quá trình thực
hiện đề tài.
Xin cảm ơn ban giám đốc cùng các anh chị em làm việc tại Công Ty Cổ Phần
Công Nghệ DPL đã tạo điều kiện cho em được thực tập và học hỏi các kinh
nghiệm để hoàn thành đề tài này.
Em xin chân thành cảm ơn!
GVHD : Nguyễn Ngọc Đại Trang 1
Báo cáo thực tập tốt nghiệp
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập – Tự do – Hạnh phúc
NHẬN XÉT THỰC TẬP
Họ và tên sinh viên :
Mã sinh viên :
Khoá học :
1. Thời gian thực tập :
……………………………………………………………………………………
2. Bộ phận thực tập :
……………………………………………………………………………………
3. Tinh thần trách nhiệm với công việc và ý thức chấp hành kỷ luật :
……………………………………………………………………………………
……………………………………………………………………………………
4. Kết quả thực tập theo đề tài :
……………………………………………………………………………………

……………………………………………………………………………………
5. Nhận xét chung :
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
Cán bộ hướng dẫn của cơ quan đến thực tập
(Ký và ghi rõ họ tên)
Ngày 24 tháng 01 năm 2013
Thủ trưởng cơ quan
(Ký tên và đóng dấu)
GVHD : Nguyễn Ngọc Đại Trang 2
Báo cáo thực tập tốt nghiệp
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN






















TP.Hồ Chí Minh, Ngày tháng năm 2013
GIÁO VIÊN HƯỚNG DẪN
(Ký và ghi rõ họ tên)
GVHD : Nguyễn Ngọc Đại Trang 3
Báo cáo thực tập tốt nghiệp
MỤC LỤC
DANH MỤC CÁC TỪ VIẾT TẮT
SỐ TT CỤM TỪ VIẾT
TẮT
01 Local Area Network LAN
02 Metropolitan Area Network MAN
03 Wide Area Network WAN
04 Global Area Network GAN
05 Remote Authentication Dial-In User Service RADIUS
06 Internet Protocol Security IPSec
GVHD : Nguyễn Ngọc Đại Trang 4
Báo cáo thực tập tốt nghiệp
07 Generic Routing Encapsulation GRE
08 Layer 2 Tunneling Protocol L2TP
09 Point to Point Tunneling Protocol PPTP
10 Layer 2 Forwarding L2F
11 Point to Point Protocol PPP
12 Network Access Server NAS
13 Enterprise Service Provider ESP
14 Virtual Private Dial-up Network VPDN
15 Internet Service Provider ISP

16 Quality of Service QoS
17 Point of Presence POP
18 Virtual Privae Network VPN
DANH MỤC CÁC HÌNH VẼ
STT TÊN HÌNH
01
Hình 1 : Mô hình minh hoạ VPN
02
Hình 2 : Mô hình VPN truy cập từ xa
03
Hinh 3 : Mô hình kết nối VPN điểm nối điểm
04 Hình 4 : Bộ xử lý trung tâm VPN Cisco 3000
05 Hình 6 : Bộ Cisco PIX Firewall
06 Hình 5 : Router Cisco
07 Hình 7 : Mô hình Tunneling truy cập từ xa
GVHD : Nguyễn Ngọc Đại Trang 5
Báo cáo thực tập tốt nghiệp
08 Hình 8 : Mô hình Tunnelong điểm nối điểm
09
Hình 9 : Giao thức PPTP
10
Hình 10 : Giao thức L2TP
11
Hình 11: Giao thức IPSec
12 Hình 12 : Mô hình Client to Site
MỞ ĐẦU
Ngày nay có khoảng 60-70 triệu người đang sử dụng internet và các ứng dụng
trên internet là vô cùng phong phú. Từ các ứng dụng truy xuất từ xa như: NC (Network
Computer), VPN….thì mạng máy tính đồng thời cung cấp môi trường truyền thông tốt
cho các dịch vụ thư tín điện tử (Email), tin tức….

Tuy nhiên khi internet làm giảm đi ranh giới giữa các nhà tổ chức, giữa các cá
nhân với nhau, thì nguy cơ mất an toàn, khả năng bị xâm phạm các bí mật, các tài nguyên
thông tin cũng tăng lên.
Làm sao đễ các tổ chức, các cá nhân đang sử dụng mạng cục bộ khi tham gia
internet vừa có thể bảo vệ an toàn được các dữ liệu quan trọng không bị sao chép, sữa đổi
GVHD : Nguyễn Ngọc Đại Trang 6
Báo cáo thực tập tốt nghiệp
hay phá huỷ, vừa đảm bảo khả năng truy xuất thuận tiện, nhanh chóng… Vấn đề này đã
trở nên hết sức quan trọng. Tuy nhiên để cho người quản trị hệ thống mạng có thể đảm
bảo yêu cầu trên, họ cần những công cụ hữu hiệu.
Với lý do trên, em chọn đề tài “Thiết kế và triển khai VPN Site to Site trên
Window server 2008” .
CHƯƠNG 1: GIỚI THIỆU CHUNG ĐƠN VỊ THỰC TẬP VÀ DỰ ÁN MẠNG
1. THÔNG TIN VỀ ĐƠN VỊ THỰC TẬP
1.1 Quá trình hình thành và phát triển của công ty.
Công ty DPL được thành là sự kết hợp của những thành viên tâm huyết với ngành
CNTT tại Việt Nam với nhiều năm kinh nghiệm năng động, sáng tạo, nhiệt huyết, dám
nghĩ, dám làm . Ngay từ những ngày đầu mới thành lập, chúng tôi hiểu rằng sản phẩm
chất lượng,dịch vụ hậu mãi chu đáo là kim chỉ nam của DPL.

Với phương châm đó chúng tôi luôn lựa chọn những công nghệ,sản phẩm ,giải
pháp tiên tiến nhất đến với Khách hàng . Do vậy, tất cả sản phẩm do DPL cung cấp ra thị
trường đều xứng đáng với giá trị của Quý Khách Hàng đã đầu tư, đồng thời công ty
không ngừng hợp tác với các thương hiệu quốc tế để trở thành đối tác lớn của các hãng
hàng đầu thế giới như: INTEL - Dell - HP – IBM – SAMSUNG
GVHD : Nguyễn Ngọc Đại Trang 7
Báo cáo thực tập tốt nghiệp

Ngoài sự nỗ lực không ngừng của tập thể nhân sự công ty DPL còn có sự tin
tưởng và ủng hộ nhiệt tình của Quý Khách Hàng và các đối tác. Chúng tôi nổ lực không

ngừng để có thể mang đến những sản phẩm chất lượng cao hơn, tiện ích hơn, sản phẩm
và dịch vụ đa dạng với giá thành hợp lý xứng đáng với những gì mà Quý khách Hàng
dành cho chúng tôi trong suốt thời gian qua cũng như sau này.
Đồng hành cùng cộng đồng CNTT Việt Nam, Quý Khách Hàng luôn là đồng
nghiệp cùng chia sẻ, ủng hộ và phát triển những ứng dụng, giải pháp CNTT cùng chúng
tôi. Với ý nghĩa đó, tập thể nhân sự làm việc tại DPL luôn cố gắng mang hết kinh nghiệm
cùng với sự nhiệt tình, năng động, sáng tạo và trí tuệ của mình sẵn sàng phục vụ mọi nhu
cầu dù bạn ở xa hay gần.
1.2. Các sản phẩm và lĩnh vực kinh doanh của công ty
- Chuyên phân phối các sản phẩm tại Việt Nam :INTEL- HP- DELL
- Máy chủ: INTEL - HP - DELL - IBM - ACER
- Máy tính để bàn (Personal Computer) : DELL - HP - LENOVO
- Máy tính xách tay (Laptop) : DELL - HP - LENOVO - TOSHIBA
- Màn hình : DELL - HP - ACER - SAMSUNG - LG
- Linh kiện máy tính chính hãng : INTEL - HP - DELL - IBM -
- Cung cấp các thiêt bị mạng : CISCO - 3COM - INTEL - HP
- Tư vấn, thiết kế lắp đặt hệ thống mạng: LAN, WAN, CAMERA, Báo
động, WirelessLAN
- Tham gia các dự án cung cấp máy tính cho các cơ quan, ban, ngành.
- Cung cấp dịch vụ bảo trì, sửa chữa máy tính cho các công ty.
1.3. Mục tiêu và định hướng phát triển
- Trở thành một trong những công ty hàng đầu tại TP.HCM cung cấp
các sản phẩm,giải pháp CNTT,dịch vụ chất lượng tốt nhất đến tận tay khách hàng.
- Phát triển, ứng dụng công nghệ, giải pháp hiệu quả vào hoạt động
của Quý khách hàng, mang lại giá trị tối đa khi áp dụng .
- Mở rộng thị trường tiêu thụ và đa dạng hoá các sản phẩm CNTT
- Nâng cao đời sống công nhân viên và văn hoá doanh nghiệp.1.2. Thông tin về dự
án sinh viên tham gia thực tập:
2. THÔNG TIN DỰ ÁN
GVHD : Nguyễn Ngọc Đại Trang 8

Báo cáo thực tập tốt nghiệp
2.1 Giới thiệu chung về dự án
Ngày nay có khoảng 60-70 triệu người đang sử dụng internet và các ứng dụng
trên internet là vô cùng phong phú. Từ các ứng dụng truy xuất từ xa như: NC (Network
Computer), VPN….thì mạng máy tính đồng thời cung cấp môi trường truyền thông tốt
cho các dịch vụ thư tín điện tử (Email), tin tức….
Tuy nhiên khi internet làm giảm đi ranh giới giữa các nhà tổ chức, giữa các cá
nhân với nhau, thì nguy cơ mất an toàn, khả năng bị xâm phạm các bí mật, các tài nguyên
thông tin cũng tăng lên.
Làm sao đễ các tổ chức, các cá nhân đang sử dụng mạng cục bộ khi tham gia
internet vừa có thể bảo vệ an toàn được các dữ liệu quan trọng không bị sao chép, sữa đổi
hay phá huỷ, vừa đảm bảo khả năng truy xuất thuận tiện, nhanh chóng… Vấn đề này đã
trở nên hết sức quan trọng. Tuy nhiên để cho người quản trị hệ thống mạng có thể đảm
bảo yêu cầu trên, họ cần những công cụ hữu hiệu.
Với lý do trên, em chọn đề tài “Thiết kế và triển khai VPN Site to Site trên
Window server 2008” .
VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an toàn
và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng Internet.
Mặc dù sử dụng hạ tầng mạng chia sẽ nhưng chúng ta vẫn bảo đảm được tính riêng tư
của dữ liệu giống như đang truyền thông trên một hệ thống mạng riêng.
2.2 Tổng quan về đề tài
2.2.1 Khái niệm về VPN
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là
Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở
trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra
các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm
hoặc người sử dụng ở xa.
GVHD : Nguyễn Ngọc Đại Trang 9
Báo cáo thực tập tốt nghiệp
Hình 1 : Mô hình minh hoạ VPN

Mục đích sử dụng VPN :Mục đích của VPN là cho phép người sử dụng có thể
làm việc tại nhà, trên đường đi hay tại các văn phòng chi nhánh có thể kết nối một cách
an toàn đến máy chủ tại trụ sở chính của công ty hay tổ chức bằng cơ sở hạ tầng được
cung cấp bởi các nhà mạng công cộng.
+ VPN đảm bảo tính an toàn thông tin giữa người cung cấp và người sử dụng, các
đối tác kinh doanh với nhau trong môi trường truyền thông Internet rộng lớn.
+ VPN đặc biệt do có đặc tính có thể sử dụng mạng công cộng như Internet mà vẫn
đảm bảo tính riêng tư và tiết kiệm chi phí hơn nhiều.
2.2.2 Phân loại VPN
VPN truy cập từ xa (Remote-Access ) : còn được gọi là mạng Dial-up
riêng ảo (VPDN), là một kết nối người dùng-đến-LAN, thường là nhu cầu của một
tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa
điểm ở xa. Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến một nhà
cung cấp dịch vụ doanh nghiệp (ESP). ESP này tạo ra một máy chủ truy cập mạng
(NAS) và cung cấp cho những người sử dụng từ xa một phần mềm máy khách cho
máy tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với
GVHD : Nguyễn Ngọc Đại Trang 10
Báo cáo thực tập tốt nghiệp
NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty.
Loại VPN này cho phép các kết nối an toàn, có mật mã.
Hình 2 : Mô hình VPN truy cập từ xa
VPN điểm-nối-điểm (site-to-site) : là việc sử dụng mật mã dành cho nhiều người
để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet.
Loại này có thể dựa trên Intranet hoặc Extranet. Loại dựa trên Intranet: Nếu một công ty
có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một
VPN intranet (VPN nội bộ) để nối LAN với LAN. Loại dựa trên Extranet: Khi một công
ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách
hàng ), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để
nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung.
GVHD : Nguyễn Ngọc Đại Trang 11

Báo cáo thực tập tốt nghiệp
Hinh 3 : Mô hình kết nối VPN điểm nối điểm
2.3 Sản phẩm công nghệ giành cho VPN
Tuỳ vào loại VPN (truy cập từ xa hay điểm nối điểm), bạn sẽ cần phải cài đặt
những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo. Đó có thể là :
+ Phần mềm cho desktop của máy khách hang cho người dùng từ xa.
+ Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX.
+ Server VPN cao cấp dành cho dịch vụ Dial-up.
+ NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người sử
dụng từ xa.
+ Mạng VPN và trung tâm xử lý.
2.3.1 Bộ xử lý trung tâm VPN
Có rất nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm
Cisco tỏ ra vượt trội ở một số tính năng. Tích hợp các kỹ thuật mã hoá và thẩm
định quyền truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kế chuyên
biệt cho loại mạng này. Chúng chứa các module xữ lý mã hoá SEP, cho phép
người dùng dễ dàng tăng dung lượng và số lượng gói tin truyền tải. Dòng sản
phẩm có các model thích hợp cho các mô hình doanh nghiệp từ nhỏ đến lớn (từ
100 cho đến 10.000 điểm kết nối từ xa truy cập cùng lúc).
GVHD : Nguyễn Ngọc Đại Trang 12
Báo cáo thực tập tốt nghiệp
Hình 4 : Bộ xử lý trung tâm VPN Cisco 3000
2.3.2 Router dùng cho VPN
Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật. Dựa trên hệ điều
hành Internet IOS của mình, hãng Cisco phát triển các loại router thích hợp cho
mọi trường hợp, từ truy cập nhà đến văn phòng cho đến nhu cầu của các doanh
nghiệp quy mô lớn.
Hình 5 : Router Cisco
2.3.3 Tường lữa PIX của Cisco
Firewall trao đỗi internet riêng (Private Internet Exchange) bao gồm một cơ

chế dịch địa chỉ mạnh rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN
và chặn truy cập bất hợp pháp.
GVHD : Nguyễn Ngọc Đại Trang 13
Báo cáo thực tập tốt nghiệp
Hình 6 : Bộ Cisco PIX Firewall
Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay sở
được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào IP.
2.4 Các yêu cầu an toàn đối với một giải pháp VPN
Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo.
2.4.1 Tính tương thích
Tính tương thích : Mỗi công ty, mỗi doanh nghiệp đều được xây dựng các
hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tục khác nhau và
không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ. Rất nhiều các hệ
thống mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết nối trực tiếp
với Internet. Đễ có thể sử dụng được IP VPN tất cả các hệ thống mạng riêng đều
phải được chuyển sang một hệ thống địa chỉ theo chuẩn sử dụng trong Internet
củng như bổ sung các tính năng về tạo kênh kết nối ảo, cài đặt cổng kết nối
internet có chức năng trong việc chuyển đổi các thủ tục khác nhau sang chuẩn IP.
80% số lượng khách hàng được hỏi yêu cầu khi chọn một nhà cung cấp dịch vụ IP
VPN phải tương thích với các thiết bị hiện có của họ.
2.4.2 Tính bảo mật
Tính bảo mất (Security) : Tính bảo mật cho khách hàng là một yếu tốt quan
trọng nhất đối với một giải pháp VPN. Người sử dụng cần được đảm bảo các dữ
liệu thông qua mạng VPN đạt được mức độ an toàn giống như trong một hệ thống
mạng dùng riêng do họ tự xây dựng và quản lý. Việc cung cấp tính năng bảo đảm
an toàn cần được đảm bảo hai mục tiêu sau :
GVHD : Nguyễn Ngọc Đại Trang 14
Báo cáo thực tập tốt nghiệp
- Cung cấp tính năng an toàn thích hợp bao gồm : cung cấp mật khẩu cho người
sử dụng trong mạng và mã hoá dữ liệu khi truyền.

- Đơn giản trong việc duy trì quản lý, sử dụng. Đòi hỏi thuận tiện và đơn giản
cho người sử dụng củng như nhà quản trị mạng trong việc cài đặt củng như
quản trị hệ thống.
2.4.3 Tính khả dụng
Tính khả dụng : Một giải pháp VPN cần thiết phải cung cấp được tính bảo đảm
về chất lượng, hiệu suất sử dụng dịch vụ củng như dung lượng truyền. Tiêu chuẩn về
chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới có khả năng đảm
bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối. QoS liên quan đến khả năng
đảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặc liên quan đến cả hai vấn đề
trên.
2.4.4 Khả năng hoạt động tương tác
Mặc dù VPN đã xuất hiện trên thị trường khoảng 4 năm trở lại đây nhưng các tiêu
chuẩn liên quan đến dịch vụ này vẫn chưa được tiêu chuẩn hoá một cách toàn diện, các
nhà sản xuất thiết bị vẫn phát triển các chuẩn kỹ thuật riêng của mình. Vì vậy cần chú ý
việc lựa chọn thiết bị nào khi phát triển mạng riêng ảo, củng như đảm bảo tính đồng bộ
của thiết bị sử dụng. Trên thế giới hiện có tới 60 giải pháp khác nhau liên quan đến VPN.
2.5 Thiết lập kết nối Tunnel
2.5.1 Các loại giao thức
Hầu hết các VPN dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng
riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp
tiêu đề (header) chưa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian
theo những “đường ống” riêng (Tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp tiêu đề và chuyển
đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và
máy chủ phải sử dụng chung một giao thức (Tunnel Protocol)
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận
biết. Hai điểm đầu cuối này được gọi là giao diện Tunnel (Tunnel Interface), nơi gói tin đi
vào và đi ra trong mạng.
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
GVHD : Nguyễn Ngọc Đại Trang 15

Báo cáo thực tập tốt nghiệp
- Giao thức truyển tảu (Carruer Protocol) là giao thức được sử dụng bở mạn có
thông tin đang đi qua.
- Giao thức mã hoá dữ liệu (Encapsulating Protocol) là giao thức (như GRE,
IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền
đi (như IPX, NetBeui, IP).
Người dùng có hể đặt một gói tin sử dụng giao thức không được hỗ trợ trên
Internet (như NetBeui) bên trong một gói tin IP va gửi nó an toàn quan Internet. Hoặc, họ
có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác
dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet.
2.5.2 Kỹ thuật Tunneling trong mạng VPN
2.5.2.1 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa
Tunneling là một phần quan trọng trong việc xây dựng một mạng VPN, nó
thường dùng giao thức điểm nối điểm PPP (Point to Point Protocol). Là một phần của
TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa
máy chủ và máy truy cập từ xa. Các chuẩn truyền thông sử dụng để quản lý các Tunnel
và đóng gói dữ liệu của VPN. Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ
xa phụ thuộc vào PPP.
Hình 7 : Mô hình Tunneling truy cập từ xa
GVHD : Nguyễn Ngọc Đại Trang 16
Báo cáo thực tập tốt nghiệp
2.5.2.2 Kỹ thuật Tunneling trong mạng VPN điểm nối điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing
Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol)
để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về
loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy
khách. Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai
trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ
xa và điểm nối điểm. Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel.

Hình 8 : Mô hình Tunnelong điểm nối điểm
Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ
truy cập, tới Router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel để tới máy tính
của văn phòng từ xa.
2.6 Các loại giao thức sử dụng trong VPN
Hiện nay có ba giao thức chính dùng để xây dựng VPN là:
2.6.1 Giao thức định đường hầm điểm nối điểm PPTP (Point to Point
Tunneling Protocol)
Đây là giao thức định đường hầm phổ biến nhất hiện nay, PPTP (Point to Point
Tunneling Protocol) được cung cấp như một phần của dịch vụ truy cập từ xa RAS
(Remote Access Services) trong hệ điều hành Windows NT 4.0 và Window 2000, sử
dụng cách mã hoá sẵn có của Windows, xác thực người dùng và cơ sở cấu hình của giao
GVHD : Nguyễn Ngọc Đại Trang 17
Báo cáo thực tập tốt nghiệp
thức điểm - điểm PPP (Point to Point Protocol) để thiết lập các khoá mã.
Giao thức định đường hầm điểm - điểm PPTP (Point – to – Point Tunneling
Protocol) được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP forum. Nhóm
này bao gồm 3Com, Ascend comm, Microsoft, ECI Telematicsunication và US robotic. Ý
tưởng cơ sở cho giao thức này là tách các chức năng chung và riêng của truy cập từ xa,
lợi dụng lợi ích của cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa client và
mạng riêng. Người dùng ở xa chỉ việc quay số đến nhà cung cấp dịch cụ ISP địa phương
là có thể tạo một đường hầm bảo mật tới mạng riêng của họ.
Giao thức quay số truy cập vào Internet phổ biến nhất là giao thức điểm - điểm
PPP (Point to Point Protocol). PPTP được xây dựng dựa trên chức năng của PPP, cung
cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site
đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing
Encapsulation) được mô tả lại để đóng và tách gói PPP, giao thức này cho phép PPTP
mềm dẻo xử lý các giao thức khác không phải là IP như IPX, NETBEUI chẳng hạn.
Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp thứ 2 (lớp liên kết dữ
liệu) trong khi IPSec chạy ở lớp thứ 3. Bằng cách hỗ trợ việc truyền dữ liệu ở lớp 2,

PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec chỉ có
thể truyền các gói IP trong đường hầm.
Hình 9 : Giao thức PPTP
2.6.2 Giao thức định đường hầm lớp 2 - L2TP ( Layer 2 Tunneling
Protocol )
GVHD : Nguyễn Ngọc Đại Trang 18
Báo cáo thực tập tốt nghiệp
Đây là giao thức chuẩn của IETF (Internet Engineering Task Force) sử dụng kỹ
thuật khoá công cộng (public key technology) để thực hiện việc xác thực người dùng và
có thể hoạt động thông qua một môi trường truyền thông đa dạng hơn so với PPTP. Một
điểm đáng lưu ý là L2TP không thể sử dụng để thực hiện mã hoá. Microsoft bắt đầu cung
cấp L2TP như một phần của RAS trong hệ điều hành Windows 2000.
Hình 10 : Giao thức L2TP
2.6.3 Giao thức bảo mật IP- IPSec
Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hoá. Lợi điểm lớn
nhất của IPSec là giao thức này có thể được sử dụng để thiết lập một VPN một cách tự
động và thích hợp với chính sách bảo mật tập trung và có thể sử dụng để thiết lập một
VPN dựa trên cơ sở các máy tính mà không phải là người dùng. IPSec được cung cấp
như một phần trong hệ điều hành Windows NT 4.0 và Window 2000.
GVHD : Nguyễn Ngọc Đại Trang 19
Báo cáo thực tập tốt nghiệp
Hình 11: Giao thức IPSec
Ngoài ra còn có giao thức chuyển tiếp lớp 2 L2F (Layer 2 Forwarding) là cơ sở để xây
dựng nên L2TP.
CHƯƠNG 2 : THIẾT KẾ MÔ HÌNH VPN CLIENT TO SITE
1. TÌNH HUỐNG
Công ty SX & DV Hà Phát có chi nhánh ở Bạc Liêu, tất cả các dữ liệu, máy chủ
như Web Server, Mail Server,… đều đặt tại đây. Các nhân viên làm việc trực tiếp tại công
ty truy cập vào hệ thống mạng rất thuận lợi, còn nếu những nhân viên đi công tác xa hay
những nhân viên ở nhà muốn truy cập vào hệ thống mạng của trung tâm lấy dữ liệu thì

sao ? Lúc này phải có một giải pháp nào đó để những nhân viên này truy cập vào hệ
thống mạng một cách thuận lợi.
2.PHÂN TÍCH VÀ THIẾT KẾ
2.1 Thiết bị sử dụng
- Đối vơi user bên ngoài có thể dùng máy PC hay Laptop và kết nối Internet thông
qua các đường truyền như Dial-up, ADSL…
- Trong công ty có các máy chủ như VPN server, Mail Server, Web Server… và
kết nối Internet thông qua Router ADSL
GVHD : Nguyễn Ngọc Đại Trang 20
Báo cáo thực tập tốt nghiệp
2.2 Hệ Điều Hành và giao thức
- Hệ điều hành chủ yếu là Window Server 2008 và Window 7
- Giao thức dùng trong hệ thống mạng là TCP/IP.
3. MÔ HÌNH TRIỂN KHAI
Hình 12 : Mô hình Client to Site
GVHD : Nguyễn Ngọc Đại Trang 21
Báo cáo thực tập tốt nghiệp
Mô hình gồm có :
- 1 máy tính VPN SERVER cài hệ điều hành Window Server 2008, có 2 card
mạng tương ứng với địa chỉ IP 137.107.1.1 (card mạng ngoài) và 192.168.1.1 (card mạng
trong)
- 1 máy DOMAIN CONTROLLER cài hệ điều hành Window Server 2008, có địa
chỉ IP là 192.168.1.65
- 1 máy RADIUS cài hệ điều hành Window Server 2008, có địa chỉ IP là
192.168.1.66
- 1 máy VPN CLIENT cài hệ điều hành Window 7,8 hoặc Window XP
- 1 SWITCH, 1 ROUTER
Yêu cầu đặt ra :
Máy tính VPN CLIENT truy cập từ xa vào trung tâm theo giao thức Tunneling
điểm nối điểm (PPTP), chứng thực bởi Radius Server.

4.CÁC BƯỚC CÀI ĐẶT
4.1 Thực hiện trên máy DOMAIN CONTROLLER
Trong phòng ban IT cho phép các Group và User được phép VPN Client to Site
Start > Programs > Administrative Tools > Active Directory Users and Computers
Kiểm tra các OU, Group, User
GVHD : Nguyễn Ngọc Đại Trang 22
Báo cáo thực tập tốt nghiệp
Tạo thư mục và chia sẻ thư mục
GVHD : Nguyễn Ngọc Đại Trang 23
Báo cáo thực tập tốt nghiệp
4.2 Thực hiện trên Radius Server
Join máy Radius Server vào Domain và Cài đặt Radius Server
Start > Programs > Administrative Tools > Server Manager
GVHD : Nguyễn Ngọc Đại Trang 24
Báo cáo thực tập tốt nghiệp
Tại cửa sổ “Select Server Roles”, chọn “Network Policy and Access Services”,
chọn Next để tiếp tục
Tại cửa sổ “Network Policy and Access Services”, chọn Next.
GVHD : Nguyễn Ngọc Đại Trang 25