TRƯỜNG ĐẠI HỌC VĂN HIẾN
KHOA KỸ THUẬT- CÔNG NGHỆ
BỘ MÔN CÔNG NGHỆ THÔNG TIN
------------------

BÁO CÁO NGHIÊN CỨU KHOA HỌC
ĐỀ TÀI: NGHIÊN CỨU VÀ TRIỂN KHAI MẠNG RIÊNG ẢO VPN
Sinh viên thực hiện: Bạch Quốc Huy
Lớp 11T1


NGHIÊN CỨU VÀ TRIỂN KHAI MẠNG RIÊNG ẢO VPN
BẠCH QUỐC HUY – MSSV 1191010039
LỚP 11T1
TRƯỜNG ĐẠI HỌC VĂN HIẾN
KHOA CÔNG NGHỆ THÔNG TIN
KHÓA 2011-2015

2


Tóm tắt
Đề tài tìm hiểu kỹ về mạng riêng ảo VPN khái niệm cũng như lịch sử hình thành của mạng
riêng ảo.Cách thức hình thành một mạng riêng ảo dựa trên môi trường internet.Đề tài tập trung đi
sâu vào tìm hiểu các vấn đề bảo mật, mã hóa dữ liệu khi thực hiện một kết nối VPN.Tập trung
nghiên cứu về các giao thức bảo mật như PPTP,SSTP,L2TP,IPSEC khi người dùng thực hiện kết
nối VPN vào các Server.Giới thiệu về hệ điều hành windown server 2008 và thực hiện xây dựng
một VPN server dựa trên hệ điều hành windown server 2008.

1. Đặt vấn đề.
1.1 Sự phát triển của internet và vấn đề cấp bách cần phải xây dựng mạng riêng ảo.

Như chúng ta đã biết internet trong một vài năm trở lại đây đã có những bước phát
triển chóng mặt. Hầu như internet xuất hiện ở mọi nơi như các quán cà phê, các công ty,
các hộ gia đình…
Đối với các doanh nghiệp thì mạng internet giờ đây là một điều không thể thiếu nó phục
vụ nhu cầu tra cứu thông tin của toàn bộ đội ngũ nhân viên của công ty.Thay vì việc phải
ngồi một chỗ rồi lục tung hàng trăm quyển sách để tìm kiếm thông tin giờ đây chỉ bằng
vài thao tác đơn giản nhân viên hoàn toàn có thể tìm kiếm được thông tin mình muốn chỉ
trong vòng vài phút.Các công ty cũng có thể hoàn toàn sử dụng internet để trao đổi dữ
liệu cho nhau.Tuy nhiên chính sự phổ biến quá nhanh của internet đã biến nó thành mảnh
đất màu mỡ cho các phần tử xấu, họ có thể dùng internet để đánh cắp thông tin của chính
những người đang dùng internet.Môi trường internet chưa bao giờ là an toàn nhất là đối
với các thông tin quan trọng như là các chứng từ mua bán của các doanh nghiệp, các giấy
tờ liên quan đến các loại tài khoản ngân hàng. Theo Privacy Rights Clearinghouse, một tổ
chức chuyên theo dõi các vụ tấn công bảo mật và rò rỉ dữ lớn, thì đã có hơn 4 triệu hồ sơ
y tế bị giới tội phạm mạng đánh cắp trong năm nay 2014, một con số đáng báo động và
cao

hơn

rất

nhiều

so

với

các

năm


trước

(

nguồn

những phải bảo vệ dữ liệu từ những
phần tử xấu mà có khi các dữ liệu của chúng ta còn bị tấn công từ chính các cơ quan
chính phủ điển hình như vụ Edward Snowden năm 2014.Để giải quyết vấn đề này doanh
3


nghiệp hoàn toàn có thể thuê các đường dây riêng biệt phục vụ cho việc kết nối giữa các
chi nhánh và các đối tác của mình.Việc trao đổi thông tin trên các đường dây này sẽ an
toàn hơn rất nhiều so với việc truyền tải chúng trên mạng internet. Tuy nhiên vấn đề gặp
phải ở đây là chi phí để thuê các đường dây riêng là không hề rẻ và nó cũng chẳng hề
thuận tiện một chút nào.Cần phải có một giải pháp vừa tiết kiệm và lại đảm bảo an toàn
như khi doanh nghiệp thuê riêng một đường dây riêng.
1.2 Lý do thực hiện.
Qua các vấn đề nêu ở trên, ta thấy việc triển khai mạng riêng ảo VPN cho doanh
nghiệp sẽ hoàn toàn giải quyết được những vấn đề trên.Mạng riêng ảo hoàn toàn được
xây dựng dựa trên cơ sở của mạng internet vì vậy mà doanh nghiệp không phải tốn thêm
bất cứ một khoản chi phí nào.Hơn nữa các giao thức trong VPN hoàn toàn có thể bảo mật
dữ liệu một cách hoàn hảo tùy thuộc vào mức độ bảo mật mà người dùng yêu cầu. Vì vậy
nghiên cứu này sẽ tập trung nghiên cứu về mạng riêng ảo VPN và các hướng dẫn làm sao
có thể tạo ra một mạng riêng ảo VPN bằng chính hệ điều hành Windown server
2008.Cách triển khai các giao thức bảo mật khi kết nối VPN.
2 Phương pháp thực hiện.
Đề tài tập trung nghiên cứu chủ yếu công nghệ mạng riêng ảo VPN và triển khai nó

trên hệ điều hành win server 2008.Mặc dù có rất nhiều giải pháp để tạo một mạng riêng
ảo.Chúng ta có thể sử dụng các thiết bị phần cứng của cisco hoặc có thể sử dụng giải
pháp phần mềm ngay trên các phiên bản hệ điều hành windown của Microsoft.Tuy nhiên
do điều kiện không cho phép nên nghiên cứu sẽ triển khai mạng riêng ảo VPN trên hệ
điều hành Windown server 2008.
Mạng riêng ảo hay VPN (Virtual Private Network) là một mạng dành riêng để kết nối
các máy tính lại với nhau thông qua mạng Internet công cộng. Những máy tính tham gia
mạng riêng ảo sẽ "nhìn thấy nhau" như trong một mạng nội bộ - LAN (Local Area
Network).
Internet là một môi trường công cộng, việc chia sẻ dữ liệu có tính riêng tư thông qua
Internet là cực kỳ nguy hiểm vì những dữ liệu đó có thể dễ dàng bị rò rỉ, bị ăn cắp...

4


Mạng riêng ảo là giao thức trợ giúp việc kết nối các máy tính lại với nhau thông qua một
kênh truyền dẫn dữ liệu (tunel) riêng đã được mã hóa.
Mạng riêng ảo giúp bảo vệ dữ liệu trong khi chúng được truyền trên Internet vì vậy mạng
riêng ảo thường được ứng dụng trong các trường hợp sau:
Làm việc từ xa: Truy cập từ xa thông qua Internet vào mạng của công ty để chia sẻ dữ
liệu cũng như thực thi các ứng dụng nội bộ.
Kết nối nhiều mạng với nhau (Site-to-Site): Nếu công ty có nhiều văn phòng, việc kết
nối các mạng lại với nhau thành một mạng thống nhất sẽ đem lại hiệu quả ấn tượng trong
việc quản lý & chia sẻ thông tin.
Tạo phiên làm việc an toàn: Mạng riêng ảo là giải pháp tốt & với chi phí thấp cho một
số công việc đòi hỏi tính bảo mật cao như quản trị máy chủ, website, cơ sở dữ liệu...
Nếu thường xuyên làm việc trên Internet & thông tin là tài sản vô giá, bạn nên ứng
dụng mạng riêng ảo vào công việc của mình.
Các loại VPN
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN điểm-nốiđiểm (site-to-site)

VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là một kết nối
người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ
với mạng riêng của mình từ rất nhiều địa điểm ở xa. Ví dụ như công ty muốn thiết lập
một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanh nghiệp (ESP). ESP này tạo ra
một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng từ xa một phần
mềm máy khách cho máy tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí
để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của
công ty. Loại VPN này cho phép các kết nối an toàn, có mật mã.
VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều
điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa
trên Intranet hoặc Extranet. Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa
muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN
nội bộ) để nối LAN với LAN. Loại dựa trên Extranet: Khi một công ty có mối quan hệ
mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng...), họ có thể xây
dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác
nhau có thể làm việc trên một môi trường chung.
Bảo mật trong VPN
Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet. Bạn có thể
thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được
5


chuyển qua. Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nâng cấp
để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS
thích hợp. Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN.
Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác
thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật mã chung.
Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã
hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng yêu cầu bạn phải biết
mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người

nhận có thể giải mã được.
Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng. Mã
riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ
máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message, máy tính phải
dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa.
Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho
phép bạn mã hóa hầu như bất cứ thứ gì.
Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh cao
cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện
hơn.
IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề (header) và
kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước. Chỉ những hệ thống nào
hỗ trợ IPSec mới có thể tận dụng được giao thức này. Ngoài ra, tất cả các thiết bị phải sử
dụng một mã khóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo
mật giống nhau. IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với
router, firewall với router, PC với router, PC với máy chủ.
Máy chủ AAA
AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho
phép) và Accounting (kiểm soát). Các server này được dùng để đảm bảo truy cập an toàn
hơn. Khi yêu cầu thiết lập một kết nối được gửi tới từ máy khách, nó sẽ phải qua máy chủ
AAA để kiểm tra. Các thông tin về những hoạt động của người sử dụng là hết sức cần
thiết để theo dõi vì mục đích an toàn.
3 Kết quả thực hiện.
Kết quả của đề tài này là nghiên cứu và hiểu được cơ chế vận hành của một mạng riêng
ảo VPN.
Có thể triển khai được một mạng riêng ảo trong điều kiện thực tế , tiến hành kết nối VPN
theo từng giao thức bảo mật PPTP,L2TP,SSTP,IPSEC hiểu rõ ưu nhược điểm của từng
giao thức.VPN không chỉ có ích đối với các doanh nghiệp mà đối với người dùng cá nhân
nó cũng rất đáng để chúng ta sử dụng.Sau đây tôi sẽ đưa ra 5 lý do để chúng ta có thể
suy nghĩ việc bắt đầu xây dựng mạng riêng ảo VPN.

6


3.1 Các lý do để bắt đầu với một mạng riêng ảo.
3.1.1 Tự bảo vệ khi dùng Wifi công cộng với VPN.
Một trong những lý do lớn để dùng VPN là để bảo vệ chính bạn khi truy cập internet
bằng mạng wifi công cộng. Bạn trả tiền hàng ngày để dùng wifi của khách sạn không có
nghĩa là nó an toàn đối với thông tin cá nhân của bạn.
Bạn cần nhận thức được sự thật là mạng wifi công cộng không được mã hóa và không
đảm bảo an ninh cho người dùng. Bất cứ ai hiểu biết công nghệ một chút có thể dễ dàng
thấy hoạt động internet của bạn. Bạn không cần là một hacker giỏi để biết cách xen vào
các tín hiệu wifi không được mã hóa.
Vấn đề ở đây là wifi công cộng cứ như thể là một trò hề. Không nên tin vào nó, và bạn
cần biết điều này trước khi làm bất cứ gì với kiểu mạng như vậy. Chi vài đô-la mỗi tháng
và đăng ký một dịch vụ VPN, nó sẽ mã hóa và bảo vệ việc lướt web của bạn trong khi
bạn kết nối vào internet qua một kết nối công cộng.
Nếu bạn đi nhiều và thường xuyên đăng nhập vào internet qua wifi công cộng ở sân
bay hay quán cafe, vậy thì VPN chắc chắn là một sự đầu tư tốt cho bạn.
3.1.2 Giải trí với dữ liệu dạng stream ở bất cứ đâu
Cách số 1 để xem phim và chương trình TV là “stream” (tải dữ liệu theo dòng) từ các
website như Hulu, Netflix, BBC iPlayer, và nhiều website khác. Không may, theo thỏa
thuận bản quyền giữa các công ty stream này và các bên giữ bản quyền nội dung, những
dịch vụ này không dùng được với đa số người sống ở ngoài nước Mỹ. Những dịch vụ này
đang mở rộng từ từ, nhưng nếu bạn sống hoặc đi đến một nước không có các dịch vụ
stream này, bạn có thể dùng VPN để vượt qua sự ngăn chặn.
Cách nó hoạt động cũng đơn giản. VPN cho phép bạn dễ dàng thay đổi địa chỉ IP,
ngăn không cho ai biết bạn đang ở đâu. Bạn có thể đăng nhập vào VPN khi đang ở
Moscow và chuyển địa chỉ IP sang của New York, khiến cho lưu lượng internet của bạn
nghĩ rằng nó đến từ New York.


7


VPN sẽ cho phép bạn “mở khóa” các dịch vụ này rất nhanh và dễ cài đặt, sử dụng.
Chỉ đơn giản là bật két nối VPN khi bạn muốn stream nội dung và tắt đi khi quay lại tìm
kiếm trên internet như bạn vẫn thường làm.
3.1.3 Truy cập internet không giới hạn ở nơi làm việc và trường học
Nếu bạn đang là sinh viên đại học hay là nhân viên một công ty lớn, có thể bạn sẽ
phải tuân thủ một chính sách dùng internet. Bạn có thể bị chặn không được dùng
Facebook, YouTube, Twitter, và ngay cả tài khoản email trực tuyến của bạn.
Kết nối VPN có thể dễ dàng giúp bạn thoát khỏi những kiểu mạng giới hạn như vậy
và kết nối đến các website vốn bị chặn hoặc bị giới hạn.
VPN sẽ giúp lưu lượng internet của bạn không bị “đọc” bởi người quản trị mạng hay
bởi ISP. Nó ngăn bất kỳ ai thu thập thông tin về hoạt động trên mạng của bạn. Tôi không
khuyến khích bạn bắt đầu phá luật của trường đại học hoặc của cơ quan. Hãy dùng kiến
thức này và tự đưa ra đánh giá tốt nhất. Tôi chỉ đơn giản nói cho bạn biết điều gì có thể
làm được.
Một cách tuyệt vời khác để dùng VPN là bảo vệ bạn khi đang dùng cách chia sẻ tập
tin ngang hàng (P2P). Vì những lý do rõ ràng, Hiệp hội điện ảnh Mỹ và các tổ chức
tương tự đang liên tục cố gắng ngăn chặn những người thường chia sẻ file không xâm
phạm những tài sản trí tuệ của họ.
Nhắc lại, tôi không thể khuyến khích các bạn chia sẻ các bản sao vi phạm tác quyền
của các bộ phim lớn, tôi chỉ nói là nó có thể bảo vệ bạn khi đang sử dụng bất kỳ cách chia
sẻ file nào, kể cả hợp pháp và phi pháp, bằng cách dùng VPN.
Một kết nối VPN sẽ hơi làm chậm băng thông đường truyền của bạn, nhưng đó là
một cái giá nhỏ để ngăn những gì bạn tải xuống và tải lên không bị chính quyền “nhìn
thấy”. Tôi nghĩ chúng ta không cần phải so đo gì khi trả thêm tiền cho quyền riêng tư và
được bảo vệ.
3.1.4 Vượt qua sự kiểm duyệt ở các nước xa
Tương tự với điểm thứ 3 của bài này về việc vượt qua chính sách internet của doanh

nghiệp hay trường đại học, VPN cũng có thể được dùng để giải phóng bạn khỏi sự kiểm
soát quá mức hoặc kiểm duyệt internet. Những nước như Iran, Thái Lan, Nga, Trung
8


Quốc, Cuba, Syria, các tiểu vương quốc Ả Rập, và nhiều nước khác ngăn công dân không
được tự do truy cập mạng toàn cầu. Như chúng ta thấy trong cách mạng “Mùa xuân Ả
Rập” ở Ai Cập, internet có thể được dùng như là một công cụ chính trị tuyệt vời để loan
truyền thông tin và tổ chức một cuộc cách mạng.
Tin tốt là kết nối VPN có thể giúp bạn vượt qua kiểm duyệt internet và tránh được
các chính sách internet có tính hạn chế. VPN sẽ hoàn toàn giấu được hoạt động internet
của bạn, cho bạn giả vị trí, cho bạn có được sự tự do internet hoàn toàn.
3.1.5 Bảo vệ quyền riêng tư của bạn
Điều này không rõ ràng lắm, nhưng cũng cần nói đến. Bạn có quyền riêng tư internet,
điều này thật đơn giản. Không ai có thể tước đi quyền này của bạn – trường đại học, ông
chủ của bạn, cơ quan pháp luật địa phương, hay đất nước bạn đang sống. Đã đến lúc bạn
giành lại quyền này và không để cho chính quyền và các cơ quan luật pháp được do thám
bạn.
Với 10 đến 15 đô-la mỗi tháng, bạn sẽ có được một dịch vụ VPN tuyệt vời cho phép
bạn sống một cuộc sống riêng tư và đảm bảo hơn, cả trên mạng và ngoài đời.
3.2 Các loại mạng riêng ảo

3.2.1 Mô hình mạng riêng ảo Client to Server.

9


Mô hình mạng riêng ảo Client to Server

3.2.2 Mô hình mạng riêng ảo Site to Site.


Mô hình mạng riêng ảo Site to Site
4 Kết Luận.
10


4.1 Các kết quả đạt được
Qua quá trình nghiên cứu em đã nắm rõ được cơ chế hoạt động của một mạng riêng ảo
VPN.Cách thực các gói tin được truyền đi trong một mạng riêng ảo.Cài đặt và thử
nghiệm thành công một mạng riêng ảo.
4.2 Hướng phát triển
VPN đang trên đà phát triển ở việt nam nói riêng và thế giới nói chung kéo theo đó rất
nhiều giải pháp để tạo một kết nối VPN được đưa ra cả về phần cứng và phần mềm từ các
nhà sản xuất. Hi vọng trong tương lai các nhà sản xuất sẽ ngày càng đưa ra nhiều giải
pháp để tạo ra các mạng riêng ảo với chi phí thấp đơn giản cho việc vận hành vào bảo trì
khi đó một người không chuyên về IT cũng hoàn toàn có thể tạo ra một mạng riêng ảo để
phục vụ nhu cầu kết nối cá nhân.
5 Tài liệu tham khảo.
1) TCP/IP protocol suite
Behrouz A. Forouzan with Sophia Chung Fegan, 2000 Mc Graw Hill
2) Cải tiến giao thức Internet phiên bản 6 (IPv6)
Tạp chí Bưu Chính Viễn Thông- kỳ 1 tháng 12/2003
3) Công nghệ chuyển mạch IP
Chủ biên:TS.Lê Hữu Lập, Biên soạn: Ks.Hoàng Trọng Minh
Học viện CNBCVT 11/2000
4) Virtual Private Networking and Intranet Security
Copyright © 1999, Microsoft Corperation, Inc
5) Understanding Virtual Private Networking
Copyrignt © 2001, ADTRAN, Inc
6) VPN Technologies: Sefinitions and Requirements

Copỷignt © 2002, VPN Consortium
7) CCSP Cisco Secure VPN Exam Certification Guide
John F. Roland and Mark J. Newcomb
Copyright © 2003 Cisco Systems, Inc
8) IPSec
Copyright © 1998, Cisco Systems, Inc
11


9) Security Protocols Overview
Copyright © 1999, RSA Data Security, Inc
10) Public Key Infranstructure
Copyright © 2001, SecGo Solution Oy.
11) Secure Network Communication (part I, II, III, IV)
Copyright © 2002, Zurcher Hochschule Winterthur.
12) Cisco Secure Virtual Private Networks (Volume 1, 2)
Copyright © 2001, Cisco System, Inc
13) Netscreen Concepts and Examples
Copyright © 2002, NetScreen Technologies, Inc

12