Trờng cao đảng hàng hải I

Bỏo cỏo thc tp
Tỡm hiu mạng riêng ảo VPN

Giáo viên hướng dẫn

: Cô Trần Thuỷ

Sinh viên thực hiện

: Nguyễn Thị Nhài

Ngày sinh

: 10/12/1988

Lớp

: 35CĐT

Khoá học

: 2007- 2010

Hải Phòng, 2010

Lời mở đầu


3

Chương I
1. Định nghĩa.
2. Lịch sử phát triển
3. Công nghệ VPN
3.1. DES và 3 DES
3.2. Đường hầm
3.3. Mật mã
3.4. Keys
4. Tầm quan trọng VPN
5. Bảo mật trong VPN
6. Mục đích
7. Các mơ hình trong VPN
8. Cơ chế an ninh

Chương II: ứng dụng
1. Úng dụng trong bệnh viện
2. Kỹ thuật tunneling
3. Phân loại trong VPN
4. Giao thức internet đường hầm
5. Cách cài đặt VPN theo kiểu LAN nối LAN theo giao
thức L2TP/IPSEC
6. Mơ hình thực hành tạo kết nối VPN từ văn phịng

3
3
4
4
5
6

7
8
10
12
12
14
19
20
20
26
31
26
30

chính tới các chi nhánh
Kết luận
Tài liệu tham khảo

LỜI MỞ ĐẦU
Hiện nay, CNTT đã và đang có vai trị quan trọng trong nhiều lĩnh vực,
ngành nghề khác nhau. Với sự phát triển mạnh mẽ của mạng truyền thơng. Điều
đó đúng không chỉ trên thế giới mà ngay cả Việt Nam. Một câu hỏi thường được
đặt ra là liệu công nghệ đó mang lại ích lợi gì cho cuộc sống, trong sinh hoạt,
trong giải trí, sản xuất, kinh doanh.
Một trong những phần quan trọng nhất trong công nghệ thông tin là mạng
máy tính và lập trình trong mơ hình mạng phân tán. Trong quá trình thực tập và


làm luận văn tốt nghiệp này em đã tìm hiểu, trình bày về đề tài mạng riêng ảo
VPN. Mạng riêng ảo là mạng hạ tầng thông tin dựa trên cồng nghệ chuyển mạch

gói cho phép triển khai các dịch vụ một cách đa dạng và nhanh chóng, giữ cố
định và di động với chi phí thấp nhất,giảm thiểu thời gian đưa dịch vụ mới ra thị
trường, nâng cao hiệu suất sử dụng truyền dẫn, tăng cường khả năng kiểm
soát ,an tồn và bảo mật
Vì thời gian ngắn và khả năng cịn nhiều hạn chế nên đồ án của em cịn
có nhiều thiếu sót. Em mong được sự chỉ bảo của thầy giáo hướng dẫn và các
thầy cô trong khoa đã giúp em hoàn thành đề tài tốt nghiệp này.
Cuối cùng em xin chân thành cảm ơn các thầy cô giáo trong khoa, đặc
biệt là sự hướng dẫn nhiệt tình của thầy giáo hướng dẫn của cô Trần Thuỷ đã
giúp đỡ em trong suốt quá trình thực tập và làm luận văn tốt nghiệp.
Hải Phòng ngày 25 tháng 06 năm 2010
Sinh viên

NGUYỄN THỊ NHÀI

CHƯƠNG I
1. Định nghĩa
Một mạng riêng ảo (VPN) là một mạng máy tính đó là lớp trên đầu cho
phép triển khai các dịch vụ trang chủ của một mạng máy tính cơ bản. Bản chất
tư nhân của một phương tiện VPN rằng các dữ liệu đi qua VPN nói chung khơng
thể nhìn thấy, hoặc là gói gọn từ, lưu lượng mạng nằm bên dưới. Điều này được
thực hiện với mã hóa mạnh mẽ, như của VPN thường được triển khai để được


cao an ninh "mạng lưới các đường hầm". Tương tự, giao thông trong VPN xuất
hiện với mạng cơ bản như dịng giao thơng khác chỉ được thơng qua. Một kết
nối VPN có thể được hình dung như một đường ống "an toàn trong một đường
ống" với ống bên ngoài được kết nối internet của bạn.

2. Lịch sử phát triển.

Các VPN hạn đã được liên kết trong quá khứ với các dịch vụ kết nối từ xa
như mạng điện thoại công cộng và Frame Relay PVC, nhưng cuối cùng đã định
cư tại như là đồng nghĩa với dữ liệu dựa trên mạng-IP. Trước khi khái niệm này
có bề mặt, lớn
Tổng cơng ty đã chi tiêu nguồn lực đáng kể để thiết lập mạng cá nhân
phức tạp,bây giờ thường được gọi là Intranets. Các mạng này đã được cài đặt
bằng cách sử dụng dòng tốn kém cho thuê dịch vụ, Frame Relay, và ATM để kết
hợp người dùng từ xa. Đối với các trang web nhỏ hơn và công nhân trên điện
thoại di động. kết thúc từ xa, các công ty, bổ sung mạng lưới của họ với các máy
chủ truy cập từ xa hoặc ISDN. Đồng thời, các nhỏ-to-kích thước các doanh
nghiệp vừa (SMEs), người không thể đủ khả năng dành riêng cho các đường dây
thuê, bị xuống hạng để tốc độ thấp chuyển sang các dịch vụ.
Khi Internet trở thành nhiều hơn và dễ tiếp cận hơn và băng thông dung
lượng, công ty bắt đầu offload Intranets của họ lên web và tạo ra những gì đang
có bây giờ được gọi là: Extranet để liên kết người dùng nội bộ và bên ngồi.
Tuy nhiên, như chi phí-hiệu quả và nhanh chóng- triển khai như Internet là, có
một vấn đề cơ bản - an ninh.
Hơm nay đã có giải pháp khắc phục của VPN là yếu tố an ninh. Sử dụng
đường hầm giao thức đặc biệt và mã hóa các thủ tục phức tạp, toàn vẹn dữ liệu
và sự riêng tư là đạt được trong những gì có vẻ, cho hầu hết các phần, giống như
một điểm topoint-chuyên dụng kết nối, bởi vì các hoạt động này xảy ra trên một
mạng cơng cộng, mạng riêng ảo có thể có giá ít hơn đáng kể để thực hiện hơn tư
nhân, cho thuê dịch vụ.
Sử dụng Internet, các cơng ty có thể kết nối văn phòng chi nhánh từ xa
của họ, các đội dự án,đối tác kinh doanh, và e-khách hàng vào mạng của công ty


chính. Điện thoại di động và người lao động telecommuters có thể nhận được
kết nối an tồn bằng cách bấm vào POP (Point-of-Presence) của một ISP địa
phương (Internet Service Provider). Với một VPN, các tập đồn nhìn thấy ngay

lập tức chi phí, giảm cơ hội trong chi phí đường dài của họ (đặc biệt quan trọng
đối với tồn cầu cơng ty), phí thuê hàng, hàng tồn kho thiết bị (như ngân hàng
lớn của modem), và yêu cầu hỗ trợ mạng

3. Công nghệ VPN
Internet là một mạng công cộng được chia sẻ của các mạng với các giao
thức truyền dẫn mở.
Vì vậy, VPN phải bao gồm các biện pháp chọn gói đóng gói mật mã, và
xác thực để đảm bảo rằng dữ liệu nhạy cảm của nó đạt đến điểm đến mà không
cần can thiệp bởi các bên không được phép.

3.1. DES và 3DES
Chuẩn mã hóa dữ liệu (DES) sử dụng 56-bit để mã hóa khóa đối xứng
bit dữ liệu trong khối 64. The 56-bit chính cung cấp 72.057.594.037.927.900
kết hợp có thể. Điều này âm thanh ấn tượng, và nó sẽ mất đến 20 năm đối với
máy tính điển hình để kinh doanh chạy nhiều kết hợp này. Tuy nhiên, tập trung
hơn, cũng như các hacker tài trợ tổ chức với một hàng tồn kho lớn hơn của các
máy tính mạnh mẽ có thể phá vỡ nó trong khoảng 12 giây. DES đã được phát
triển hơn nữa với 3DES của nó
("Triple-DES") hệ thống mã hóa thơng tin nhiều lần.
Ví dụ:
Với 3DES, dữ liệu được mã hóa một lần bằng cách sử dụng một khóa 56bit. Kết quả -Text mật mã sau đó được giải mã bằng cách sử dụng một khóa 56bit thứ hai. Kết quả là rõ ràng văn bản mà khơng xem xét bất cứ điều gì giống
như những gì ban đầu được mã hóa. Cuối cùng,dữ liệu được mã hóa lại bằng
cách sử dụng một khóa 56-bít thứ 3

3.2. Đường hầm
Điều đó làm cho một mạng riêng ảo "hầu như tư nhân" là một đường
hầm. Ngay cả mặc dù bạn truy cập mạng của bạn thông qua Internet, bạn



không thực sự "trên" trên Internet, bạn thực sự "vào" mạng công ty của bạn.
Mặc dù thuật ngữ "đường hầm" cảm thấy như nó mơ tả một con đường cố định
thông qua Internet, đây không phải là trường hợp. Như với bất kỳ Internet giao
thơng, gói dữ liệu của bạn đường hầm VPN có thể mất con đường khác nhau
giữa hai thiết bị đầu cuối.
Điều gì làm cho một truyền VPN một đường hầm là một thực tế rằng chỉ có
người nhận tại khác cuối truyền của bạn có thể nhìn thấy bên trong lớp vỏ bảo
vệ mật mã của bạn, sắp xếp của một đường hầm " tầm nhìn "ý tưởng. Đường
hầm mã hóa cơng nghệ và đóng gói mạng riêng của bạn, các giao thức trong
giao thức Internet (IP). Bằng cách này, bạn có thể đường và cầu, cho phép bộ
lọc, và kiểm sốt chi phí triển khai các tính năng giống như bất kỳ của bạn
truyền thống khác. Vì vậy, khơng chỉ là Internetbased VPN truyền minh bạch
cho người dùng, nó là hầu như minh bạch trong hoạt động quản lý mạng của
bạn, như là tốt.

3.3. Mật mã.
Mã hóa là một kỹ thuật cho các xáo trộn và unscrambling thông tin. Các
unscrambled thông tin được gọi là rõ ràng, văn bản, và các thông tin được gọi là
scrambled thuật tốn mã hóa-văn bản. Ở hai đầu đường hầm VPN của bạn ngồi
một cổng VPN trong phần cứng của phần mềm mẫu. Các cổng tại vị trí mã hóa
gửi thơng tin vào bản mã trước khi gửi các thơng tin được mã hóa thơng qua
đường hầm qua Internet. Các cổng VPN tại địa điểm tiếp nhận giải mã thông
tin trở lại vào văn bản rõ ràng.
Trong những ngày đầu của VPN đường hầm, các cơng ty giữ bí mật các
thuật tốn mã hóa của họ.
Thật khơng may, một khi nó đã bị nứt, tất cả các thơng tin bao giờ được mã
hóa với cơng thức đã trở thành dễ bị tổn thương. Vì vậy, ngành cơng nghiệp bắt
đầu xuất bản nổi tiếng và cũng như các thử nghiệm .
Các thuật tốn mã hố, như mã hóa dữ liệu phổ biến Standard (DES). Nhưng,
nếu mọi người đều biết thuật tốn mã hóa, làm thế nào là dữ liệu lưu giữ an

tồn? Câu trả lời: phím.


3.4 Keys
Phím A là mã bí mật mà các thuật tốn mã hóa sử dụng để tạo ra một phiên
bản duy nhất của thuật tốn mã hóa-văn bản. Để đặt nó trong điều kiện đơn
giản, hai người có thể đi đến các cửa hàng phần cứng và mua cùng một khóa ra
khỏi kệ, nhưng sự kết hợp của họ khác nhau. Tất nhiên, VPN ổ khóa có nhiều
hơn ba con số vào quay số kết hợp. Là một vấn đề của thực tế, an ninh, sức
mạnh truyền tải phụ thuộc vào độ dài của các phím mà bạn sử dụng.
Đây là cơng thức:
• 8-bit phím = 256 kết hợp hoặc hai cho quyền lực thứ tám (28)
• 16-bit phím = 65.536 kết hợp hoặc hai cho quyền lực thứ 16 (216)
• 56-bit phím = 72.057.594.037.927.900 hoặc hai đến sức mạnh 56
• Và như vậy ...
Nói cách khác, nếu bạn sử dụng một khóa 16-bit, một kẻ xâm nhập có thể
phải cố gắng làm cho 65.536 tại bể kết hợp của bạn. Rõ ràng, đây sẽ là một
nhiệm vụ khá đơn giản và nhanh chóng cho máy tính. Đó là lý do tại sao rất
nhiều sản phẩm VPN trên thị trường hiện nay đang sử dụng 168-bit phím
Có một số doanh nghiệp ra khỏi đó thậm chí sẽ cao hơn. Ngay cả máy
tính nhanh nhất hiện nay cần gia hạn thời gian để crack một mã phức tạp. Bạn
có thể bị cám dỗ để thực hiện một chính sách ln ln sử dụng phương pháp
mã hóa bit cao nhất có sẵn, nhưng phải ghi nhớ rằng chế biến như vậy phức tạptext sẽ yêu cầu mật mã đáng kể, dành riêng cho CPU xử lý điện năng. Có cách
khác để sử dụng các phím đến an ninh tối đa cho phù hợp với nhu cầu của bạn.

4. Tầm quan trọng của vpn.
Mạng riêng ảo hay VPN (viết tắt cho Virtual Private Network) là một
mạng dành riêng để kết nối các máy tính của các cơng ty, tập đồn hay các tổ
chức với nhau thông quan mạng Internet công cộng.
NGN (Next Generation Network) là mạng hạ tầng thông tin dựa trên

công nghệ chuyển mạch gói, cho phép triển khai các dịch vụ một cách đa dạng
và nhanh chóng, đáp ứng sự hội tụ giữa thoại và dữ liệu, giữa cố định và di động
với chi phí thấp nhất, giảm thiểu thời gian đưa dịch vụ mới ra thị trường, nâng


cao hiệu suất sử dụng truyền dẫn, tăng cường khả năng kiểm sốt, bảo mật thơng
tin của khách hàng.
Mạng viễn thơng thế hệ mới NGN là một mạng có hạ tầng thông tin duy
nhất dựa trên công nghệ chuyển mạch gói, cho phép triển khai các dịch vụ một
cách đa dạng và nhanh chóng. NGN cũng đáp ứng được xu hướng hội tụ giữa
thoại và số liệu, giữa cố định và di động.
Việc quyết định chuyển toàn bộ hạ tầng viễn thông sang mạng thế hệ mới
NGN được xem là một quyết sách táo bạo và mang tính cách mạng. GS.TSKH
Đỗ Trung Tá, Bộ trưởng Bộ Bưu chính Viễn thơng nhận xét: "NGN có mấy
điểm hết sức ưu việt. Thứ nhất là về cơng nghệ. Nó tích hợp giữa cố định và di
động, tích hợp giữa các dịch vụ truyền thoại, truyền hình ảnh với các cơ sở dữ
liệu". Cịn ông Hà Huy Hào, Tổng giám đốc Juniper Networks Việt Nam cho
rằng: "Hiện nay, mọi người đã biết được mạng hội tụ NGN bởi vì nó đã trở
thành sự thật và đã đưa rất nhiều dịch vụ cho khách hàng tại Việt Nam. Đặc biệt
là tất cả các khách hàng doanh nghiệp.
Đối với người khai thác quản lý, thuận lợi ở chỗ là nó giúp bảo dưỡng
một cách hết sức kịp thời và tạo ra rất nhiều các loại dịch vụ trên nền NGN".
Hàng loạt các dịch vụ viễn thông thực sự bùng nổ sau cuộc cách mạng NGN. Có
thể kể đến dịch vụ thơng tin, giải trí, thương mại 1900, dịch vụ thoại miễn phí,
dịch vụ điện thoại cố định trả trước, dịch vụ thoại miễn phí từ trang web, dịch vụ
cuộc gọi thương mại miễn phí... Và khơng thể không kể đến dịch vụ mạng riêng
ảo Megawan, một dịch vụ thể hiện tính ưu việt cũng như khả năng mềm dẻo của
mạng thế hệ mới NGN.
GS.TSKH Đỗ Trung Tá chia sẻ: "Bây giờ, doanh nghiệp cần tiếp xúc với
khách hàng. Khách hàng muốn gọi điện cho doanh nghiệp, muốn hỏi khơng mất

tiền. Trên mạng NGN này mình cung cấp thơng tin khơng phải trả tiền. Khách
hàng nói thoải mái với doanh nghiệp mà không phải trả tiền". "Việc mềm dẻo và
linh hoạt ở đây thể hiện từ khâu thiết bị đầu cuối của khách hàng cho đến mạng
lưới, khâu ứng dụng chạy trên mạng.


Toàn bộ phần thiết bị cho khách hàng rất sẵn có trên thị trường, khơng
phụ thuộc vào bất kể nhà cung cấp nào. Như vậy giá cả rất cạnh tranh và họ có
thể tuỳ chọn", ơng Trần Mạnh Hùng, Phó Tổng giám đốc VNPT cho biết thêm.
Mạng riêng ảo chinh phục cuộc sống thật Việc kết nối các mạng máy tính của
các doanh nghiệp lâu nay vẫn được thực hiện trên các đường truyền thuê riêng,
cũng có thể là kết nối Frame Relay hay ATM.

Nhưng, rào cản lớn nhất đến với các doanh nghiệp tổ chức đó là chi phí.
Chi phí từ nhà cung cấp dịch vụ, chi phí từ việc duy trì, vận hành các hạ tầng
mạng, thiết bị riêng của doanh nghiệp... rất lớn. Vì vậy, điều dễ hiểu là thời gian
qua, chúng ta gần như không thấy được nhiều ứng dụng, giải pháp hữu ích trên
mạng diện rộng WAN.


5. Bảo mật trong VPN.
Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet.
Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và
giao thức được chuyển qua. Một số sản phẩm dùng cho VPN như router 1700
của Cisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy
hệ điều hành Internet Cisco IOS thích hợp. Tốt nhất là hãy cài tường lửa thật tốt
trước khi thiết lập VPN.
Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy
tính khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và
mật mã chung.

Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí
mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng yêu
cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên
đó, để máy tính của người nhận có thể giải mã được.
Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã cơng
cộng. Mã riêng này chỉ có máy của bạn nhận biết, cịn mã chung thì do máy của
bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an tồn) với nó. Để giải mã
một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp,
đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này được dùng rất
phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ
gì.
Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an
ninh cao cấp như các thuật tốn mã hóa tốt hơn, q trình thẩm định quyền đăng
nhập tồn diện hơn.
IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề
(header) và kích thước của mỗi gói tin cịn Transport chỉ mã hóa kích thước. Chỉ
những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này. Ngoài
ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi
hệ thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu


giữa nhiều thiết bị khác nhau như router với router, firewall với router, PC với
router, PC với máy chủ.

6. Mục đích.
Cơng nghệ VPN chỉ rõ 3 u cầu cơ bản:


Cung cấp truy nhập từ xa tới tài nguyên của tổ chức mọi lúc, mọi nơi.




Kết nối các chi nhánh văn phịng với nhau.



Kiểm sốt truy nhập của khách hàng, nhà cung cấp và các thực thể bên

ngoài tới những tài ngun của tổ chức.

7. Các Mơ hình VPN.
Các mơ hình VPN bao gồm:Truy Cập từ xa (remote-Access),hay cũng
được gọi là Mạng quay số riêng ảo (Virtual Private Dial-up Network) hay
VPDN, đây là dạng kết nối User-to-Lan áp dụng cho các cơng ty mà các nhân
viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa
và bằng các thiết bị khác nhau.
Khi VPN được triển khai, các nhân viên chỉ việc kết nối Internet thông
qua các ISPs và sử dụng các phần mềm VPN phía khách để truy cập mạng công
ty của họ. Các công ty khi sử dụng loại kết nối này là những hãng lớn với hàng
trăm nhân viên thương mại. Các Truy Cập từ xa VPN đảm bảo các kết nối được
bảo mật mã hóa giữa mạng riêng rẽ của cơng ty với các nhân viên từ xa qua một
nhà cung cấp dịch vụ thứ ba (third-party).
Khởi tạo bởi phía khách (Client-Initiated) – Người dùng từ xa sử dụng
phần mềm VPN client để thiết lập một đường hầm an toàn tới mạng riêng thông
qua một ISP trung gian.
Với Truy cập từ xa VPN, các nhân viên di động và nhân viên làm việc ở
nhà chỉ phải trả chi phí cho cuộc gọi nội bộ để kết nối tới ISP và kết nối tới
mạng riêng của công ty, tổ chức. Các thiết bị phía máy chủ VPN có thể là Cisco
Routers, PIX Firewalls hoặc VPN Concentrators, phía client là các phần mềm
VPN hoặc Cisco Routers.



Site-to-Site: Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo
mật diện rộng, mỗi cơng ty có thể tạo kết nối với rất nhiều các site qua một
mạng cơng cộng như Internet.
Site-to-site VPN có thể thuộc một trong hai dạng sau:


A: Intranet VPN : Áp dụng trong trường hợp cơng ty có một hoặc nhiều

địa điểm ở xa, mỗi địa điểm đều đã có một mạng cục bộ LAN. Khi đó họ có thể
xây dựng một mạng riêng ảo để kết nối các mạng cục bộ vào một mạng riêng
thống nhất.


B:Extranet VPN :
Giải pháp VPN (Vỉtual Private netwỏk) được thiết kế cho những tổ chức có

xu hướng tăng cường thơng tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc
hay toàn cầu).tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết
kiệm chi phí và thời gian


Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phịng
chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối
(như 'Văn phòng' tại gia) hoặc người sử dụng (Nhân viên di động) truy cập
đến từ bên ngoài.

8. CƠ CHẾ AN NINH
Secure VPN sử dụng mã hóa giao thức đường hầm để cung cấp các dự

định bảo mật (chặn đánh chặn và vì vậy gói sniffing ), người gửi xác
thực (chặn nhận dạnggiả mạo ), và tin nhắn tồn vẹn (chặn thơng điệp thay đổi)
để đạt được sự riêng tư .
Secure VPN giao thức bao gồm:


IPsec (Internet Protocol Security) - Một giao thức bảo mật dựa trên các

tiêu chuẩn phát triển ban đầu-cho IPv6 , trong đó hỗ trợ là bắt buộc, mà còn sử
dụng rộng rãi với IPv4 . Đối với VPN L2TP thường được sử dụng trên IPsec.


Transport Layer Security (SSL / TLS) được sử dụng hoặc cho đường

hầm của tồn bộ mạng lưới giao thơng một ( SSL / TLS VPN ), như
trong OpenVPN dự án, hoặc để đảm bảo kết nối cá nhân. SSL đã được nền tảng
của một số nhà cung cấp để cung cấp khả năng truy cập từ xa VPN. Một lợi thế
thực tế của một SSL VPN là nó có thể được truy cập từ các địa điểm mà giới
hạn truy cập bên ngoài để thương mại điện tử dựa trên SSL các trang web mà
không cần triển khai IPsec. Dựa trên SSL VPN có thể dễ bị -of-dịch vụ tấn cơng
từ chối gắn kết với các kết nối TCP bởi vì sau này của họ vốn đã không được
thẩm định.


Datagram Transport Layer Security (DTLS), được sử dụng bởi Cisco cho

một thế hệ sản phẩm tiếp theo được gọi là VPN Cisco AnyConnect VPN . DTLS


giải quyết các vấn đề được tìm thấy khi đường hầm TCP qua TCP như là trường

hợp với SSL / TLS


Microsoft Point-to-Point Encryption (MPPE) của Microsoft được sử dụng

với họ PPTP . Một số triển khai tương thích trên các nền tảng khác cũng tồn tại.


Secure Socket Tunneling Protocol (SSTP) của Microsoft được giới thiệu

trong Windows Server 2008 và Windows Vista Service Pack 1. Đường hầm
SSTP PPPhoặc L2TP giao thông thông qua một SSL kênh 3.0.


MPVPN (Multi Path Virtual Private Network). Công ty Phát triển Hệ

thống Ragula sở hữu đăng ký nhãn hiệu hàng hoá "MPVPN". [6]


SSH VPN - OpenSSH cung cấp VPN đường hầm để bảo đảm kết nối từ

xa tới hệ thống mạng (hoặc mạng lưới liên kết). Tính năng này (tùy chọn-w)
khơng nên nhầm lẫn với cổng chuyển tiếp (tùy chọn -L/-R/-D). OpenSSH server
cung cấp số lượng hạn chế các đường hầm VPN đồng thời và các tính năng của
chính nó khơng hỗ trợ chứng thực cá nhân.
Xác thực thiết bị đầu cuối đường hầm được yêu cầu xác thực trước khi tự
an toàn đường hầm VPN có thể được thành lập. Cuối đường hầm người
dùng tạo ra, chẳng hạn như VPN truy cập từ xa có thể sử dụng mật
khẩu , sinh trắc học , xác thực hai yếu tố hoặc các mật mã phương
pháp. Cho-to-mạng đường hầm mạng, mật khẩu hoặc giấy chứng nhận

kỹ thuật số thường được sử dụng, là khoá phải được lưu trữ vĩnh viễn và
không yêu cầu can thiệp bằng tay cho đường hầm được thiết lập tự động.
Xây dựng khối Tuỳ thuộc vào việc PPVPN chạy trong lớp 2 hay lớp 3,
các khối xây dựng được mô tả dưới đây có thể chỉ L2, L3 chỉ, hoặc sự kết
hợp của hai. Multiprotocol Label Switching (MPLS) chức năng làm mờ
các-L3 sắc L2.
Trong khi RFC 4.026 tổng quát các điều khoản này để trang trải và L3
VPN L2, họ đã được giới thiệu trong RFC 2547 .
Khách hàng cạnh thiết bị. (CE)
Nói chung, một CE là một thiết bị, vật chất tại các cơ sở khách hàng, cung
cấp truy cập vào các dịch vụ PPVPN. Một số triển khai xử lý nó hoàn toàn như


là một điểm phân giới cắm mốc giữa các nhà cung cấp và trách nhiệm của khách
hàng, trong khi những người khác cho phép khách hàng để cấu hình nó.
Nhà cung cấp thiết bị cạnh (PE)
PE là một thiết bị hoặc thiết lập các thiết bị, ở rìa của mạng lưới nhà cung
cấp, cung cấp quan điểm của nhà cung cấp của các trang web khách hàng. PES
là nhận thức của các mạng riêng ảo kết nối thông qua họ, và đó duy trì VPN nhà
nước.
Nhà cung cấp thiết bị (P) AP hoạt động bên trong thiết bị mạng lõi của nhà
cung cấp, và không trực tiếp giao diện cho bất kỳ thiết bị đầu cuối khách
hàng. Nó có thể, ví dụ, cung cấp định tuyến cho các đường hầm vận hành nhiều
nhà cung cấp thuộc về PPVPNs khách hàng khác nhau. Trong khi các thiết bị P
là một phần quan trọng của việc thực hiện PPVPNs, nó khơng phải là chính nó
VPN-nhận thức và khơng duy trì VPN nhà nước. vai trị chủ yếu của nó là cho
phép các nhà cung cấp dịch vụ cho quy mô của các dịch vụ PPVPN, như là, ví
dụ, bởi hành động như một điểm tập hợp cho PES nhiều. P-to-P kết nối, trong
vai trò như vậy, thường là cao năng lực liên kết quang học giữa các địa điểm
chính của nhà cung cấp.người dùng có thể nhìn thấy PPVPN dịch vụ

Trong cả hai của các dịch vụ này, các nhà cung cấp không cung cấp đầy đủ
định tuyến hoặc cầu nối mạng, nhưng các thành phần mà từ đó khách hàng có
thể xây dựng mạng lưới khách hàng quản lý. VPWS là điểm-điểm, trong khi
VPLS có thể được point-to-multipoint. Chúng có thể được mơ phỏng mạch
Layer 1 khơng có cấu trúc liên kết dữ liệu.
Khách hàng xác định tổng thể của khách hàng dịch vụ VPN, mà cũng có
thể liên quan đến việc định tuyến, bắc cầu, hoặc các yếu tố mạng lưới chủ nhà.
Một sự nhầm lẫn đáng tiếc có thể xảy ra từ viết tắt giữa Virtual Private
Line Dịch vụ và dịch vụ riêng ảo LAN; bối cảnh nên làm cho nó rõ ràng cho dù
"VPLS" có nghĩa là lớp 1 riêng ảo trực tuyến hoặc lớp 2 riêng ảo LAN.
OSI Layer 2 dịch vụ:
Virtual LAN: một Layer 2 kỹ thuật mà cho phép cùng tồn tại của lĩnh vực
phát sóng nhiều LAN, kết nối với nhau thơng qua trung kế bằng cách sử


dụng IEEE 802.1Q giao thức trunking. giao thức trunking khác đã được sử dụng
nhưng đã trở nên lỗi thời, kể cả Inter-Switch Link (ISL), IEEE 802,10 (ban đầu
là một giao thức bảo mật, nhưng một nhóm nhỏ đã được giới thiệu cho
trunking), và thi đua ATM LAN (LANE).
Dịch vụ LAN riêng ảo (VPLS): phát triển bởi IEEE, VLAN cho phép
nhiều mạng LAN được gắn thẻ để chia sẻ trunking chung. VLAN thường chỉ
bao gồm các cơ sở khách hàng doanh. Các là một lớp 1 công nghệ hỗ trợ thi đua
của cả hai điểm point-to và điểm-tới-đa topo. Phương pháp thảo luận ở đây mở
rộng công nghệ lớp 2 như802.1d và 802.1q trunking LAN để chạy trên tàu vận
tải như Metro Ethernet .
Một tập hợp con của VPLS, các thiết bị điện tử phải có khả năng L3; IPLS
các gói dữ liệu hơn là trình bày các khung. Nó có thể hỗ trợ IPv4 hoặc IP.

II. Ứng dụng vpn
Hiện nay, sự ra đời của các công nghệ mới dường như khơng làm cho

người tiêu dùng q chống ngợp. Điều đó đúng không chỉ trên thế giới mà
ngay cả Việt Nam. Một câu hỏi thường được đặt ra là liệu công nghệ đó mang
lại ích lợi gì cho cuộc sống, trong sinh hoạt, trong giải trí, sản xuất, kinh doanh.
Cơng nghệ mạng riêng ảo trên nền NGN không phải ngoại lệ. NGN-cuộc cách
mạng Viễn thông thế hệ mới Nếu chiến lược đi thẳng vào công nghệ số cách đây
gần 20 năm được xem là cuộc cách mạng thứ nhất, thì việc áp dụng công nghệ
mạng thế hệ mới NGN hay IP hố hạ tầng viễn thơng Việt Nam là cuộc cách
mạng thứ hai.

1. Ứng dụng trong bệnh viện.
Sự ra đời của mạng riêng ảo trên nền NGN đã cho phép các tổ chức, doanh
nghiệp có thêm sự lựa chọn mới. Khơng phải vô cớ mà các chuyên gia viễn
thông nhận định, mạng riêng ảo trên nền NGN chính là cơng nghệ mạng WAN
thế hệ mới. Mới đây, bệnh viện Nhi trung ương đã thử nghiệm thành công dịch
vụ này.


Một ca chẩn đoán bệnh từ xa được thực hiện tại bệnh viên Nhi trung
ương, đầu bên kia là bệnh viện Nghệ An và bệnh viện Hồ Bình. Thơng qua
dịch vụ truyền hình hội nghị conferencing sử dụng cơng nghệ mạng riêng ảo,
các chuyên gia y tế đầu ngành có thể cùng hội chẩn các ca bệnh "khó" tại bệnh
viện tuyến dưới, từ đó đưa ra các chẩn đốn, phác đồ điều trị phù hợp cho người
bệnh. Đây là một việc đã cũ với thế giới nhưng hoàn toàn mới với Việt Nam.
Dù mới nhưng là một việc rất cần với các bệnh viện tuyến xa ở các địa
phương. PGS.TS Nguyễn Thanh Liêm, Giám đốc Bệnh viện nhi Trung ương cho
biết: "Vấn đề chuẩn đoán bệnh từ xa ở một số nước trên thế giới đã áp dụng từ
lâu. ở nước ta, chúng tơi có ý tưởng này khá lâu rồi, nhưng chưa thực hiện được
vì nhiều điều kiện.
Nhưng càng ngày càng trở nên bức xúc, bởi vì như chúng ta đã biết là hệ
thống nhi khoa ở tuyến tỉnh cịn rất thiếu ít có điều kiện cập nhật kiến thức liên

tục. Bệnh viện Nhi Trung ương được thành lập năm 1969, lúc đầu, chỉ có 100
giường bệnh nhưng hiện nay, quy mô đã lên đến 560 giường bệnh với gần 1000
cán bộ và trở thành một bệnh viên đầu ngành của cả nước. Nhi Trung Uơng có
tất cả các chuyên khoa liên quan đến sức khoẻ trẻ em. Những kinh nghiệm chẩn
đoán bệnh, chữa trị bệnh từ các chuyên gia đầu ngành của Nhi Trung ương là sự
hỗ trợ rất thiết thực với các bệnh viện tuyến dưới.
PGS.TS Nguyễn Thanh Liêm cho rằng: "Việc đào tạo, cung cấp kiến thức
giúp các đồng nghiệp có thể chẩn đốn và điều trị được bệnh nhân là một nhu
cầu bức xúc. Hơn nữa, chúng ta biết rằng điều kiện giao thông nước ta hiện nay
rất khó khăn, một bệnh nhân phải chuyển 300 cây số về thì tử vong trên dọc
đường xảy ra rất nhiều.
Vì vậy, làm thế nào để tránh được tử vong dọc đường, tránh tốn kém cho
bệnh nhân phải chuyển từ các tỉnh xa về là ý tưởng thôi thúc chúng tơi làm sao
triển khai sớm được chương trình chẩn đoán và điều trị bệnh từ xa". Những kết
quả ban đầu của chẩn đoán từ xa đã vượt quá mong đợi của những người trong
cuộc.
Tuy nhiên, ngoài tác dụng về vấn đề điều trị, tác dụng to lớn hơn nữa là


vấn đề đào tạo và nâng cao kiến thức. Bởi, theo PGS.TS Nguyễn Thanh Liêm,
"qua một cuộc hội chẩn như vậy thì các đồng nghiệp ở các tuyến trước học được
rất nhiều. Bây giờ họ đã hiểu thế nào là bệnh thiếu men D6BD, thế nào là bệnh
hẹp, kít van 2 lá. Họ cũng biết cần phải phẫu thuật, cần phải điều trị như thế nào
và quan trọng, không phải chỉ có một người được học mà một cầu truyền hình
như vậy có cả một bệnh viện học. Nếu chúng ta làm 5 bệnh viện một lúc thì
trong một buổi có hàng trăm người có thể được đào tạo, nâng cao kiến thức
trong cùng một lúc".
Với các kênh thuê riêng, các doanh nghiệp, tổ chức đã có thể triển khai các
ứng dụng hữu ích như truyền hình hội nghị, chẩn đoán bệnh từ xa. Một câu hỏi
đặt ra là tại sao chỉ khi có dịch vụ mạng riêng ảo, các ứng dụng thoại, dữ liệu,

hội nghị truyền hình...mới được nhiều tổ chức, doanh nghiệp quan tâm? Mạng
riêng ảo-ưu thế của cơng nghệ, chi phí và bảo mật Theo PGS.TS
Như vậy, chúng ta hoàn toàn làm được, bởi so với tiền xăng xe và mọi chi
phí cho bệnh nhân về Trung ương còn đắt hơn rất nhiều. So với đuờng thuê
riêng leased line cùng tốc độ, chi phí cho một đường kết nối mạng riêng ảo VPN
chỉ bằng 1/3. Một cách dễ hình dung, kênh th riêng có nghĩa là các tổ chức,
doanh nghiệp thiết lập một hạ tầng kết nối riêng giữa các chi nhánh thông qua
nhà cung cấp dịch vụ.
Còn với kết nối mạng riêng ảo, các tổ chức doanh nghiệp chỉ cần một hạ
tầng xDSL trên mạng thoại thơng thường, dịch vụ được thiết lập một cách nhanh
chóng và đơn giản. Ông Phạm Anh Tuấn, Kỹ sư viễn thơng VTN giải thích:
"Có thể thấy một sự khác biệt rất lớn về công nghệ. Trước đây, các dịch vụ như
Frame Relay, Leasedline các nhà cung cấp dịch vụ chỉ biết cung cấp một đường
truyền vật lý trên đó cịn khách hàng phải tự đầu tư tất cả, cả thiết bị đầu cuối,
khách hàng quản lý định tuyến và bảo mật cũng như tất cả các vấn đề khác.
Ngoài ra, khách hàng còn kiêm thêm việc phát hiện khi mà xảy ra sự cố
để báo cho nhà cung cấp để phối hợp xử lý". Trên thực tế, công nghệ VPN
không phải là một cơng nghệ mới mẻ gì. VPN trước đây dựa trên cơng nghệ mã
hố đường truyền, có thể là Ipsec hoặc SSL dựa trên thiết bị hoàn toàn của


khách hàng. Điều này cũng đồng nghĩa với bất lợi là khách hàng sẽ phải đầu tư
rất nhiều cả về thiết bị cũng như nhân lực vận hành và duy trì hệ thống.
Trong khi đó, dịch vụ mạng riêng ảo Megawan lại chạy trên nền mạng
thế hệ mới NGN. Đó chính là sự khác biệt. Với dịch vụ mạng riêng ảo này, các
tổ chức, doanh nghiệp có thể triển khai ứng dụng VPN tại bất kỳ điểm kết nối
nào mình muốn. Toàn bộ việc thiết lập kết nối, thiết bị mạng và an ninh bảo mật
đều do nhà cung cấp dịch vụ đảm trách.
Đương nhiên, các đơn vị ứng dụng đều có thể thiết lập thêm các giải pháp
bảo mật của riêng mình trên hạ tầng VPN sẵn có. PGS.TS Nguyễn Thanh Liêm

tỏ ra rất hài lòng với việc ứng dụng mạng riêng ảo này: "Chúng tơi hồn tồn
thoả mãn về mặt kỹ thuật, vượt qua sự mong đợi cuả chúng tôi qua hai cuộc thử
nghiệm. Một số chuyên gia nước ngoài đã được tham gia hoặc chứng kiến họ
cũng rất ngạc nhiên về bước phát triển của chúng ta, cả vấn đề y tế và vấn đề
bưu chính viễn thơng".
"Muốn làm một ca về chẩn đốn bệnh từ xa, cơng nghệ phải tích hợp cả
hình ảnh động, có tiếng nói chỉ đạo của các bác sỹ, các giáo sư bác sỹ giỏi, nó
phải có các số liệu đảm bảo tính chính xác. Cho nên có thể nói, chính mạng
NGN này hồ hợp tất cả: nghe, nhìn, ghi chép, thành ra rất thuận lợi cho dịch vụ
mới, GS. TSKH Đỗ Trung Tá nhấn mạnh.
Theo lộ trình phát triển của ngành viễn thông, đến cuối năm 2005 này, cả
64/64 tỉnh thành trên cả nước đều có thể triển khai dịch vụ mạng riêng ảo
Megawan trên nền mạng thế hệ mới NGN. Với cách tiếp cận cuộc sống hợp lý:
chi phí hợp lý và cách thức vận hành đơn giản, chắc chắn, các ứng dụng, giải
pháp chạy trên nền mạng riêng ảo sẽ bùng nổ ở nước ta.

2. Kỹ thuật Tunneling
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một
mạng riêng trên nền Internet. Về bản chất, đây là q trình đặt tồn bộ gói tin
vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua
hệ thống mạng trung gian


Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển
đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy
khách và máy chủ phải sử dụng chung một giao thức (tunnel protocol).
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có
thơng tin đang đi qua.
- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE,

IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền
đi (như IPX, NetBeui, IP).
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ
trên Internet (như NetBeui) bên trong một gói IP và gửi nó an tồn qua Internet.
Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (khơng định tuyến) bên
trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng
riêng trên Internet


Trong mơ hình này, gói tin được chuyển từ một máy tính ở văn phịng chính qua
máy chủ truy cập, tới router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel
để tới máy tính của văn phịng từ xa.
Kỹ thuật Tunneling trong mạng VPN truy cập từ xa
Với loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP
(Point-to-Point Protocol). Là một phần của TCP/IP, PPP đóng vai trị truyền tải
cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập
từ xa. Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc
vào PPP.

3. Phân loại vpn


* Công nghệ VPN không phải là dễ dàng so sánh, do vô số các giao thức,
thuật ngữ và các ảnh hưởng tiếp thị mà đã xác định chúng. Ví dụ, cơng nghệ
VPN có thể khác nhau:


Trong các giao thức chúng sử dụng để đường hầm giao thông qua mạng


cơ bản


Bởi vị trí của đường hầm chấm dứt, như cạnh khách hàng hoặc cạnh nhà

cung cấp mạng;


Cho dù họ cung cấp kết nối truy cập trang web-to-site hoặc từ xa;



Trong mức độ an ninh cung cấp;



Đến lớp OSI mà họ hiện tại với mạng kết nối, chẳng hạn như lớp 2 hoặc

lớp 3 mạch kết nối mạng.
Một số đề án phân loại được thảo luận trong các phần sau đây.
vs Trusted VPN Secure VPN
Nhóm ngành cơng nghiệp 'Virtual Private Networking Consortium' đã
xác định hai loại VPN phân loại, Secure VPN và Trusted VPN [1] . tập đoàn này
bao gồm các thành viên như Cisco , D-Link , Juniper và nhiều người khác.
Secure VPN cung cấp một cách rõ ràng cơ chế xác thực của các thiết bị
đầu cuối đường hầm trong thời gian thiết lập đường hầm, và mã hóa của lưu
lượng truy cập quá cảnh. Thông thường VPN an tồn được sử dụng để bảo vệ
giao thơng khi sử dụng Internet như là xương sống cơ bản, nhưng không kém
khi họ có thể được sử dụng trong bất kỳ môi trường khi mức độ bảo mật của
mạng lưới cơ bản khác với lưu lượng truy cập trong VPN.

VPN IPSec , L2TP (với IPsec để mã hóa giao thơng), SSL / TLS
VPN (với SSL / TLS ) hoặc PPTP (với MPPE ).
Trusted VPN VPN an toàn khác biệt ở chỗ chúng khơng cung cấp tính
năng bảo mật như bảo mật dữ liệu thơng qua mã hóa. Secure VPN tuy nhiên
khơng cung cấp mức độ kiểm soát các luồng dữ liệu đáng tin cậy rằng một VPN
có thể cung cấp băng thông như bảo lãnh hoặc định tuyến.
Khi một doanh nghiệp liên kết nối một tập các nút, tất cả đều dưới sự
kiểm sốt hành chính của mình, thơng qua mạng LAN, mà được gọi là


một mạng nội bộ . [4]Khi các nút liên kết đang được nhiều cơ quan hành chính
nhưng ẩn từ Internet công cộng, các kết quả thiết lập các nút được gọi là
extranet

5. Cách cài đặt VPN kiểu LAN nối LAN theo giao thức L2TP/IPSec.
Đây là giao thức có mức độ bảo mật cao nhất dành cho mạng riêng ảo vì
cả người sử dụng và máy tính đều phải qua giai đoạn kiểm định quyền truy cập.
Các công cụ kiểm định là Microsoft Challenge Handshake Authentication
Protocol (MS-CHAP) Version 2 hoặc Extensible Authentication Protocol
(EAP).

Cơ chế này có mức độ bảo mật cao hơn PPTP hay IPSec Tunnel Mode vì
chúng khơng có phần thẩm định quyền truy cập đối với người sử dụng.
- Tất cả các máy khách và gateway phải dùng một mã chia sẻ duy nhất.
- Nếu mật khẩu này được thay đổi để đảm bảo bí mật (thường thì các mật khẩu
nên thay thường xuyên), bạn phải đổi bằng tay trên mỗi máy tính sử dụng nó để
kết nối tới gateway VPN.


6.1: Tình huống thực nghiệm

Ví dụ: Cơng ty XYZ có văn phịng chính ở Hà Nội và chi nhánh tại TP
HCM, muốn liên kết với nhau bằng mạng riêng ảo theo giao thức L2TP, dùng
mật khẩu chung. Giao thức L2TP cũng yêu cầu đầy đủ các máy tính như khi kết
nối VPN điểm-nối-điểm PPTP, nhưng các cơng đoạn có sự khác biệt.

6.2: Quy trình tạo lập mạng VPN bao gồm 7 bước như sau:
- Tạo mạng LAN kết nối ở xa (TP HCM) tại văn phịng chính (Hà Nội).
- Tạo tài khoản gọi ở Gateway VPN tại văn phòng Hà Nội.
- Tạo mạng LAN kết nối ở xa tại văn phòng TP HCM.
- Tạo Network Rule ở văn phòng TP HCM.
- Tạo Access Rules ở văn phòng TP HCM.
- Tạo tài khoản gọi ở Gateway VPN tại văn phòng TP HCM.
- Kích hoạt kết nối giữa các LAN.
Kỳ 1: Tạo mạng LAN TP HCM tại ISA Firewall ở văn phòng Hà Nội.


1. Trên ISA Firewall tại văn phòng Hà Nội, mở cây chương trình Microsoft
Internet Security and Acceleration Server 2006 và mở đến tên máy chủ. Chọn
biểu tượng Virtual Private Networks.
2. Nhấn vào thẻ Remote Sites trong ô Details > chọn thẻ Tasks trong ô
Task > nhấn vào Add Remote Site Network.
3. Trên trang Welcome to the Create VPN Site to Site Connection Wizard,
gõ tên của mạng khách trong ô Site to site network name. Ở ví dụ này, gõ
VPN_TPHCM. Nhấn Next.
4. Trên trang VPN Protocol, bạn có 3 lựa chọn về giao thức, chọn Layer
Two Tunneling Protocol (L2TP) over IPSec. Nhấn Next.
5. Một hộp thoại xuất hiện, thông báo rằng bạn cần phải tạo một tài khoản
người sử dụng trên firewall của ISA tại văn phòng Hà Nội. Tài khoản này sẽ
được firewall của ISA tại TP HCM sử dụng để thẩm định quyền truy cập cho
firewall của trụ sở.

Tài khoản này phải trùng tên với mạng khách đã tạo ra trong bước 3 ở
trên. Vì vậy, bạn cũng nhập tên VPN_TPHCM. Nhấn OK.
6. Trên trang Connection Owner, chọn máy trong danh sách làm định
danh kết nối. Lựa chọn này chỉ có thể thấy trong bản ISA Enterprise Edition chứ
khơng có trong Standard Edition. Nếu có cân bằng tải (NLB) trên dãy máy, bạn
không cần tự chỉ định máy kết nối vì quá trình NLB sẽ tự động chọn.
7. Trên trang Remote Site Gateway, gõ địa chỉ IP hoặc tên miền đầy đủ
cho máy chủ VPN mạng khách. Chú ý đây là tính năng mới trong ISA firewall
2006; ở bản cũ bạn chỉ có thể nhập địa chỉ IP.

7. Mơ hình thực nghiệm tạo kết nối VPN từ văn phịng
chính tới các chi nhánh
Nội dung của thực hành là thực hiện triển khai một kết nối VPN site-to-site trên
ISA Server Firewall 2004, đó là sự kết nối hai hay nhiều networks sử dụng một