NHẬN XÉT CỦA GIÁO VIÊN

..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................
..............................................................................................................................


MỤC LỤC

2

2


DANH MỤC CÁC HÌNH VẼ VÀ BẢNG
Danh mục các hình vẽ và bảng
Hình 1: Mô hình tổng quát của mạng VPN
Hình 2: Các thành phần của mạng VPN truy cập từ xa
thực hiện trên Windows 2003
Bảng 1: Thông tin về tính tương thích của hai kỹ thuật
PPTP và L2TP với các hệ điều hành của MS
Bảng 3: Thông số thiết lập đối với việc lọc gói tin truyền
đến VPN client.
Bảng 2: Thông số thiết lập đối với thông tin được truyền
đi từ client
Hình 3: Mô hình VPN server trong hệ thống mạng bao
quát của Internet.

3

Trang
8
10
11
31
32
36

3



LỜI NÓI ĐẦU
Ngày nay máy tính và mạng máy tính đã trở thành một nhu cầu
không thể thiếu trong cuộc sống và trong công việc của mọi cá nhân, các
cơ quan nhà nước và tổ chức kinh doanh. Để đáp ứng được nhu cầu trao
đổi thông tin ngày càng tăng mạng máy tính cũng phát triển với tốc độ
chóng mặt. Nhu cầu mở rộng mạng của các công ty, tổ chức ngày càng
tăng. Thêm vào đó là các yêu cầu về bảo mật của dữ liệu trên đường
truyền.
Vì thế VPN - Virtural Private Network được sử dụng như một giải
pháp cho mở rộng mạng của công ty, đồng thời là giải pháp an toàn cho
lưu thông và giao dịch trong mạng. VPN cho phép truy cập từ xa an toàn
đến các nguồn tài nguyên trong mạng bên trong của công ty. Việc đảm
bảo an toàn cho VPN cũng như xây dựng các chính sách an toàn luôn là
vấn đề thường trực đối với các nhà quản trị mạng cũng như bản thân của
tổ chức đó.
Chúng em chọn đề tài Tìm hiểu về mạng VPN truy cập từ xa, xây
dựng cài đặt mạng VPN loại này theo giao thức Tunneling L2TP dùng
hệ điều hành Windows XP cho máy truy cập từ xa và Windows Server
2003 cho các máy chủ.
Trong quá trình thực hiện đề tài nhóm em không khỏi mắc phải
thiếu sót. Mong thầy đóng góp ý kiến để chúng em có thể hoàn thiện tốt
hơn trong những đề tài sau này.
Chúng em xin chân thành cảm ơn!
Sinh viên thực hiện:
Nguyễn Văn Quân
Phạm Xuân Sang
Trần Ngọc Thơ
Mai Văn Trọng
Đỗ Văn Tiền
Nguyễn Như Tỉnh

4

4


Chương 1: Hệ thống mạng VPN truy cập
từ xa
1.1. Giới thiệu
Một mạng riêng ảo (Virtual Private Network – VPN) là một hệ
thống mở rộng của một mạng riêng thông thường. Nó bao gồm các liên
kết giữa các hệ thống mạng chung hoặc các mạng công cộng kiểu như
mạng Internet. Với một mạng VPN, ta có thể gửi dữ liệu giữa hai máy
tính thông qua một mạng công cộng giống như với các liên kết kiểu pointto-point. Việc thiết lập một hệ thống mạng VPN bao gồm hai công đoạn
chính là xây dựng và cấu hình hệ thống mạng.
Để giả lập một liên kết point-to-point, dữ liệu sẽ được đóng gói với
phần header mang các thông tin định tuyến. Các thông tin nay giúp cho
dữ liệu có thể được truyền qua các hệ thống mạng chung hoặc mạng công
cộng để đến điểm nhận. Để giả lập một liên kết riêng, dữ liệu được đóng
gói với mục đích chống truy cập không hợp lệ. Các gói tin bị chặn bắt
trên mạng chung thường là không thể giải mã được nếu không có các
khóa mã hóa. Liênkết mà trong đó dữ liệu riêng được đóng gói và mã hóa
được gọi là một liên kết của mạng riêng ảo.Ta có thể thấy trong hình dưới
đây một mô hình liên kết logic tương đương với một liên kết VPN.
Những người sử dụng có thể sử dụng các liên kết VPN ngay tại nhà
mình hay trên đường đi làm để có thể thiết lập một phiên truy cập từ xa
đến một máy chủ nào đó với một hạ tầng truyền thông là một mạng chung
hay Internet. Xột trên phương diện người sử dụng, liên kết VPN là một
liên kết kiểu point-to-point giữa một máy tính (VPN Client) và một máy
chủ của một tổ chức nào đó (VPN Server). Kiến trúc hạ tầng cụ thể của
mạng chung hay mạng công cộng ở đây không được xét tới bởi vì, về

phương diện logic, ta có thể thấy dữ liệu được gửi qua một liên kết riêng
chuyên biệt.
Các tổ chức cũng có thể sử dụng các liên kết VPN để thiết lập các
liên kết được định tuyến giữa các văn phòng ở xa nhau hay với các tổ
chức khác thông qua một hệ thống mạng công cộng mà vẫn có thể đảm
bảo an toàn cho các phiên liên lạc. Xét về mặt logic, một liênkết VPN có
5

5


định tuyến sử dụng mạng Internet hoạt động như một liên kết chuyên biệt
của mạng diện rộng.

Hình 1: Mô hình tổng quát của mạng VPN

Có hai loại công nghệ thực hiện tính năng truy cập từ xa được thực
hiện trong hệ điều hành Windows 2003, đó là:


Giao thức tuyến truyền Point-to-Point (Point-to-Point Tunneling
Protocol -PPTP). PPTP sử dụng các phương thức xác thực giao thức
PPP ở mức người sử dụng và dịch vụ mã hóa Point-to-Point của
Microsoft (Microsoft Point-to-Point Encryption - MPPE) để mã hóa
dữ liệu.



Giao thức tuyến truyền ở tầng thứ 2 (Layer Two Tunneling Protocol
- L2TP) sử dụng dịch vụ an ninh của giao thức IP (IPSec). L2TP sử

dụng các phương thức xác thực ở mức người sử dụng của giao thức
PPP và dịch vụ IPSec để thực hiện xác thực trong đó có dụng đến
các phương thức chứng nhận, xác thực, toàn vẹn và mã hóa dữ liệu.

Một client từ xa có thể tạo một liên kết theo kiểu truy cập từ xa đến
một server. Đồng thời, để đảm bảo việc xác thực ở cả hai phía, server
cũng tự xác thực mình đối với client. Máy tính chạy các hệ điều hành
6

6


Windows XP, Windows 2000, Windows NT version 4.0, Windows
Millennium Edition (ME), Windows 98, và Windows 95 có thể tạo các
liên kết đến một server VPN chạy hệ điều hành Windows Server 2003.
Các VPN client cũng có thể là bất kể một client không thuoc kiểu PPTP
hay L2TP của Microsoft nhưng có sử dụng dịch vụ IPSec.
Để thực hiện mã hóa, ta có thể dụng cả mã hóa theo liên kết và mã
hóa theo các điểm đầu cuối. Phương thức mã hóa theo liên kết chỉ mã hóa
dữ liệu được truyền qua liên kết giữa VPN client và VPN server.



Đối với các liên kết PPTP, ta phải sử dụng dịch vụ mã hóa MPPE
cùng với các dịch vụ xác thực khác của Microsoft như MS-CHAP,
MS-CHAP v2, hay EAP-TLS.



Phương thức mã hóa theo kiểu End-to-End mã hóa dữ liệu từ máy

truyền đến máy nhận. Ta có thể sử dụng dịch vụ IPSec sau khi các
liên kết VPN được thiết lập để mã hóa dữl iệu được gửi đi từ máy
truyền đến máy nhận.

1.2. Các thành phần của mạng VPN truy cập

từ xa
Dưới đây là sơ đồ thể hiện các thành phần của mạng VPN truy cập
từ xa:

7

7


Hình 2: Các thành phần của mạng VPN truy cập từ xa
Ta có thể thấy các thành phần chính của hệ thống này gồm có:







Các VPN client
Hạ tầng mạng Internet
VPN server
Hạ tầng mạng Intranet
Các nền tảng phục cụ công tác xác thựcm phân quyền và
kiểm duyệt

Nền tảng phục vụ các công việc về chứng nhận

Sau đây, ta se xem xét từng thành phần của hệ thống này.

1.2.1. VPN client
VPN client có thể là bất kỳ một mày tính nào có thể tạo các liên kết
PPTP sử dụng dịch vụ MPEE hay liên kết L2TP sử dụng dịch vụ mã hóa
8

8


IPSec. Bảng dưới đây cho ta các thông tin về tính tương thích của hai kỹ
thuật PPTP và L2TP với các hệ điều hành của MS.

VPN Tunneling Protocol
PPTP

L2TP/IPSec

Các hệ điều hành của MS
Windows 2003, Windows XP,
Windows 2000, Windows NT
version 4.0, Windows ME,
Windows 98, Windows 95 (with
the Windows Dial-Up Networking
1.3 or later Performance & Security
Update)
Windows 2003, Windows XP,
Windows 2000


Bảng 1: Thông tin về tính tương thích của hai kỹ thuật PPTP và L2TP với
các hệ điều hành của MS
Một số loại VPN client tiêu biểu mà ta thường gặp là:




Người sử dụng các mày táchxỏc tay nối vào các mạng nội bộ của
các tổ chức để lấy email hoặc các tài nguyên khác trong khi không
ở một chỗ cố định.
Những người làm việc theo kiểu “từ xa”, họ sử dụng Internet để
truy cập vào tài nguyên của các tổ chức từ nhà của mình. Nghĩa là,
các công việc có thể được tiến hành tại nhà mà không cần đến công
sở.

Các VPN client của Micrsoft có thể cấu hình các liên kết VPN một
cách thủ công hoặc sử dụng các dịch vụ quản lý kết nối mà Windows XP
cung cấp. Để có thể tự cấu hình một VPN client trên Windows XP, ta có
thể sử dụng tính năng Make New Connection trong thư mục Network and
Dial-up Connections, để tạo một liên kết VPN đến địa chỉ IP hay tên DNS
của một VPN server trên Internet.

1.2.1.1.

9

Trình quản lý kết nối

9



Khi thực hiện mở rộng cấu trúc của các liên kết VPN cho phạm vi
toàn doanh nghiệp, ta thường gặp phải những vấn đề sau:







Thủ tục cụ thể để cấu hình một liên kết VPN thay đổi tuỳ hteo phiên
bản của hệ điều hành Windows trên máy client.
Để tránh các lỗi cấu hình, doanh nghiệp cần phải có một nhóm nhân
viên kỹ thuật thay vì để những người sử dụng các công việc cấu
hình này.
Một phương thức cấu hình nhất thiết phải có khả năng mở rộng để
đảm bảo cho hàng trăm, thậm chí hàng ngàn máy trong một doanh
nghiệp lớn.
Một liên kết VPN cớ thể cần một cấu hình double-dial, trong đó,
người sử dụng phải quay số để vào Internet trước khi tạo ra một liên
kết VPN với mạng Intranet của tổ chức nào đó.

Giải pháp mà Microsoft đề xuất cho việc cấu hình các liên kết VPN
trong phạm vi một doanh nghiệp là công cụ Connection Manager. Công
cụ này có các thành phần như sau:





Connection Manager (CM)
Connection Manager Administration Kit (CMAK)
Connection Point Services (CPS)

Sau đây, ta sẽ tìm hiều sâu hơn về các thành phần này.

1.2.1.1.1.

Connection Manager

Connection Manager là một trình quay số của client được tích hợp
trong Windows XP. Trình này cho ta những hỗ trợ kết nối cục bộ hoặc kết
nối từ xa đến các dịch vụ dữ liệu mạng tại điểm truy cập kiểu như các
dịch vụ toàn cầu (Worldwide) mà các nhà cung cấp dịch vụ Internet (ISP)
cung cấp.

1.2.1.1.2.

Connection Manager Administration Kit

Một người quản trị mạng có thể chỉnh sửa hình thức và phương
thức hoạt động của một kết nối được tạo bởi CM bằng việc sử dụng
10

10


CMAK. Với CMAK, người quản trị mạng có thể xây dựng một trình quay
số ở phía client và một phần mềm kết nối cho phép người sử dụng có thể
kết nối đến mạng đó bằng cách chỉ sử dụng các tính năng mà người quản

trị mạng đã định ra cho họ. CM hỗ trợ rất nhiều tính năng có thể hỗ trợ cả
việc làm đơn giản hoá hoặc tăng cường khả năng hỗ trợ kết nối cho người
sử dụng. Hầu hết các tính năng này là tương thích đối với CMAK.
CMAK cho phép ta xây dựng các đặc tả tuỳ chọn đối với các gói cài
đặt, qua đó, CM có thể chỉ ra định danh của tổ chức tương ứng. Điều này
cho phép ta xác định xem những thuộc tính và chức năng nào mà bạn
muốn có. Như vậy CMAK giúp ta xây dựng các đặc tả dịch vụ theo tuỳ
chọn.

1.2.1.1.3.

Connection Point Services

CPS cho phép ta tự động phân phát và cập nhật danh bạ liên lạc.
Các danh bạ này có chứa một hay nhiều mục có tên là Point of Presence
(POP). Mỗi POP cho ta một số điện thoại mà qua đó ta có được các truy
cập và Internet thông qua thủ tục quay số với số điện thoại đó. Các danh
bạ có thể cung cấp cho người sử dụng toàn bộ thông tin về POP. Như vậy,
trong khi di chuyển, người sử dụng có thể kết nốt đến nhiều điểm truy cập
khác nhau thay vì bị hạn chế với một POP duy nhất.
Nếu không thể cập nhật sổ danh bạ này (đây là chức năng mà CPS
thực hiện tự động), người sử dụng phải liên hệ đến nhân viên hỗ trợ kỹ
thuật để có được những thông tin về sự thay đổi thông tin của POP và có
thể cấu hình lại phần mềm quay số client của họ.

CPS có hai thành phần:





11

Phone Book Administrator: Đây là một công cụ được sử dụng để
tạo và duy trì cơ sở dữ liệu của các danh bạ và để tạo ra các thông
tin mới về danh bạ cho cụng cụ Phone Book Service.
Phone Book Service: Đây là một phần mở rộng của Microsoft
Internet Information Services (IIS) chạy trên phiên bản Windows
NT Server 4.0 hoặc mới hơn (cngf với IIS). Phone Book Service tự
động kiểm tra danh bạ của các thuê bao hoặc những nhân viên có
11


thể công tác và khi đó, nếu cần thì tải thông tin về các danh bạ này
xuống và thực hiện cập nhật.

1.2.1.2.

Đăng nhập một lần

Đăng nhập một lần (Single sign-on) là khả năng cho phép một
người dùng truy cập từ xa có thể tạo một domain bằng cách sử dụng cùng
một mức uỷ nhiệm. Đối với những hệ thống nền dựa trên domain,
username và password được sử dụng để vừa thực hiện xác thực và phân
quyền đối với một kết nối từ xa và cũng là để đăng nhập vào một domain
của Windows.
Đối với các kết nối VPN, người sử dụng trước tiên phải kết nối vào
Internet, sau đó mới có thể tạo được một kết nối VPN. Sau khi kết nối
Internet được tạo ra, người sử dụng có thể thực hiện tạo một kết nối và
đăng nhập vào một domain nào đó.
Nếu có một account riêng mà ISP cung cấp để truy cập vào Internet,

người sử dụng có thể tạo một liên kết thông qua thủ tục quay số với
những uỷ quyền mà ISP đã xác lập. Sau đó, ta có thể cấu hình cho kết nối
VPN của mình để quay số qua kết nối mà ISP cung cấp, sau đó, ta mới có
một liên kết VPN. Trong quá trình cấu hình này, người sử dụng sẽ không
bao giờ phải gõ vào những uỷ quyền của ISP khi cần đăng nhập vào một
domain. Sự kết hợp giữa kết nối của ISP và kết nối VPN có thể được cấu
hình trực tiếp hoặc thông qua CM.

1.2.1.3.

Những điều cần lưu ý khi cấu hình một
VPN client

Ta cần chú ý một số điểm sau khi cấu hình những VPN client để
thực hiện các kết nối tử xa như sau:


12

Nếu ta có một lượng nhỏ các VPN client, nên thực hiện cấu hình
trực tiếp các kết nối VPN trên từng máy.
Nếu ta có một lượng lớn các VPN client chạy nhiều phiên bản khác
nhau của hệ điều hành Windows, hãy sử dụng cụng cụ Connection
12




Manager mà Windows Server 2003 cung cấp để tạo ra các cấu hình
kết nối VPN tuỳ chọn và duy trì thông tin của các POP.

Nếu ta đang sử dụng các VPN client trên Windows XP hay
Windows 2000 và tạo các kết nối theo giao thức L2TP, trước tiên ta
phải thiết lập một chứng nhận trên máy VPN client.

1.2.2. Cơ sở hạ tầng mạng Internet
Để tạo một kết nối VPN đến một VPN server qua Internet, có một
số điểm sau đây mà ta cần lưu ý:




Phải có được tên của VPN server.
Phải truy cập được đến VPN server.
Truyền thông VPN phải được cho phép theo chiều đến và đi khỏi
VPN server.

1.2.2.1.

Tên của VPN server

Trong hầu hết các trường hợp, ta thường tham chiếu đến VPN
server thông qua tên của nó chứ không phải là địa IP. Đơn giản là vì tên
của server sẽ dễ nhớ hơn nhiều. Chỉ có một điều cần phải đảm bảo là, cho
dù ta có sử dụng bất kỳ tên nào cho máy chủ đi nữa thì tại đó cũng phải
được chuyển đổi thành một địa chỉ IP sử dụng nền tảng DNS cho Internet.
Khi ta sử dụng tên thay cho các địa chỉ IP, ta có thể có được những
tiện lợi mà DNS cung cấp trong việc cân bằng tải trong trường hợp có
nhiều VPN server có cùng tên. Với DNS, ta có thể tạo nhiều bản ghi lưu
một tên nào đó nhưng có thể ứng với nhiều địa chỉ IP khác nhau. Trong
trường hợp này, các DNS server sẽ gửi trở lại tất cả các địa chỉ có liên hệ

đến một tên DNS đã được yêu cầu và sẽ thực hiện ngẫu nhiên hoá thứ tự
của các yêu cầu liên tiếp. Do hầu hết các DNS client sử dụng địa chỉ đầu
tiên trong các phản hồi cho các yêu cầu gửi đến DNS server, kết quả là
các kết nối VPN client có mức phân bố đều nhau trên các VPN server.

13

13


1.2.2.2.

Khả năng kết nối đến VPN server

Để các VPN client có thể kết nối đến VPN server phải được gán
một địa chỉ IP chung. Thông qua địa chỉ này, các gói tin được truyền tiếp
bằng các chức năng định tuyến của Internet. Nếu ta được sử dụng một địa
chỉ IP tĩnh do một ISP cung cấp thì điều này không còn là vấn đề đáng
ngại. Trong một số phương thức cấu hình, VPN server được cấu hình với
một địa chỉ IP riêng và có một địa chỉ IP tĩnh được công bố rộng rãi trên
Internet. Một thiết bị trung gian giữa mạng Internet và VPN server thực
hiện chuyển đổi địa chỉ IP tĩnh trên Internet thành địa chỉ IP thực sự của
VPN trong các gói tin được truyền đến và đi khỏi VPN server.
Trong một số trường hợp, nền tảng routing đó có và hoạt động tốt
nhưng các client vẫn không thể nối đến VPN server, điều này có thể là do
các firewall, các router lọc gói tin, các bộ dịch địa chỉ mạng, các gateway
bảo mật hay các thiết bị khác ngăn không cho các gói tinh đươc truyền và
nhận bởi VPN server.

1.2.2.3.


Các VPN server và cấu hình firewall

Có hai phương thức sử dụng firewall để bảo vệ một VPN server:

14



VPN server được kết nối trực tiếp vào Internet và firewall
nằm ở giữ VPN server và mạng Intranet của tổ chức. Trong
phương thức cấu hình này, VPN server phải được cấu hình
với các bộ lọc gói tin. Các bộ lọc này phải đảm bảo là chỉ cho
phép truyền và nhận các gói tin đi và đến trong giao thức của
Intranet. Firewall có thể được cấu hình để cho phép một số
hình thức truy cập từ xa nhất định.



Firewall được kết nối vào Internet và VPN server sẽ nằm giữa
Firewall và mạng Intranet của tổ chức. Trong cách cấu hình
này, cả firewall và VPN server được gắn với một phần của
mạng được gọi là mạng vòng ngoài. cả firewall và VPN
server phải được cấu hình với các bộ lọc gói tin để chỉ cho
phép các lưu thông VPN truyền vào và nhận từ Internet.
14


1.2.3. Các giao thức xác thực
Để có thể xác thực người sử dụng khi họ muốn tạo một liên kết PPP,

Windows XP và Windows Server 2003 hỗ trợ rất nhiều giao thức xác
thực, trong đó, ta có thể kể đến:







Password Authentication Protocol (PAP)
Challenge-Handshake Authentication Protocol (CHAP)
Microsoft Challenge Handshake Authentication Protocol
(MS-CHAP)
MS-CHAP version 2 (MS-CHAP v2)
Extensible Authentication Protocol-Message Digest 5 (EAPMD5)
Extensible Authentication Protocol-Transport Level Protocol
(EAP-TLS)

Đối với các kết nối PPTP, ta phải sử dụng MS-CHAP, MS-CHAP
v2, hay EAP-TLS. Chỉ có ba giao thức này cung cấp các cơ chế để tạo ra
một khóa mã hóa giống nhau cho cả VPN client và VPN server. MPPE sử
dụng các khóa mã hóa này để mã hóa tất cả dữ liệu được truyền trong liên
kết VPN kiểu PPTP. MS-CHAP và MS-CHAP v2 là các giao thức xác
thực dựa trên mật khẩu.
Nếu không có các thẻ chứng nhận kiểu smart card, MS-CHAP v2
được coi là một giao thức xác thực mạnh hơn MS-CHAP và có khả năng
thực hiện xác thực ở cả hai phía. Qua đó, VPN client được xác thực bởi
VPN server và ngược lại, VPN server được xác thực bởi VPN client.
Đối với các kết nối L2TP/IPSec, bất kỳ giao thức xác thực nào đều
có thể được sử dụng vì việc xác thực diễn ra sau khi VPN client và VPN

server đã thiết lập được một kênh truyền an toàn để thực hiện liên lạc, các
kênh này được gọi là các mối liên kết an toàn của IPSec. Tuy nhiên, việc
sử dụng MS-CHAP và MS-CHAP v2 vẫn được khuyến khích do tính
năng xác thực cao hơn.

Lựa chọn phương thức xác thực:
Ta nên chú ý đến các yếu tố sau khi lựa chọn một phương thức xác
thực cho các kết nối VPN:
15

15






Nếu người sử dụng dựng các smart card hay có một thẻ chứng
nhận thì ta nên dựng giao thức xác thực EAP-TLS cho cả các
kết nối kiểu PPTP và kết nối kiểu L2TP.
Nếu ta phải sử dụng một giao thức xác thực sử dụng mật
khẩu, hãy sử dụng MS-CHAP v2 và dung những mật khẩu đủ
mạnh cùng với các chính sách nhóm. MS-CHAP v2 được hỗ
trợ bởi Windows Server 2003, Windows XP, Windows 2000,
Windows NT 4.0 (với Service Pack 4 hay các phiênbạn sau
này), Windows ME, Windows 98, và Windows 95 (với
Windows Dial-Up Networking 1.3 hay các phiên bản sau
này).

1.2.4. Các giao thức VPN

Windows Server 2003, Windows XP hỗ trợ hai giao thức VPN
truy cập từ xa là:



Point-to-Point Tunneling Protocol
Layer Two Tunneling Protocol

Sau đây, ta sẽ tìm hiểu hai giao thức này.

1.2.4.1.

Point-to-Point Tunneling Protocol

Được công bố cùng Windows NT 4.0, PPTP cho phép thực hiện xác
thực người sử dụng trong giao thức PPP và MPPE để đóng gói và mã hóa
các gói tin truyền trong giao thức IP, IPX và NetBEUI. Khi MS-CHAP v2
được công bố với tính năng cung cấp mật khẩu rất tốt, PPTP là một công
nghệ VPN an toàn. EAP-TLS có thể được sử dụng với Windows Server
2003, Windows XP để hỗ trợ smart card. Nói chung, PPTP là một giao
thức được hỗ trợ rộng rãi, dễ triển khai và có thể dùng trong các bộ dịch
địa chỉ mạng.

16

16


1.2.4.2.


Layer Two Tunneling Protocol with IPSec

L2TP cho phép xác thực người sử dụng trong giao thức PPP và cho
phép mã hoó theo dịch vụ IPSec để đóng gói và mã hóa các gói tin truyền
trong giao thức IP, IPX và NetBEUI. Sù kết hợp này hình thành một giao
thức được gọi là L2TP/IPSec. Giao thức này sử dụng việc xác thực định
danh các máy có dựng thẻ chứng nhận để tạo các liên kết an toàn, đồng
thời thực hiện xác thực người sử dụng dựa trên giao thức PPP.
L2TP/IPSec cho phép ta đảm bảo sự toàn vẹn dữ liệu, xác thực dữ
liệu đối với mỗi gói tin. Tuy nhiên, L2TP/IPSec, cần một nền tảng về các
thẻ chứng nhận đẻ phân bổ các thẻ chứng nhận đến các máy và chỉ được
hỗ trợ bởi các VPN client chạy Windows XP and Windows 2000.

1.2.4.3.

Lựa chọn giữa PPTP và L2TP

Khi cần phải quyết định lựa chọn giữa PPTP và L2TP để thực hiện
các kết nối VPN từ xa, ta có thể cân nhắc một số vấn đề sau:






17

PPTP có thể được sử dụng với các client chạy nhiều hệ điều
hành Windows khác nhau như Windows XP, Windows 2000,
Windows NT version 4.0, Windows ME, Windows 98, và

Windows 95 với Windows Dial-Up Networking 1.3 hay các
phiên bản sau này. PPTP không yêu cầu một nền tảng hệ
thống thẻ xác nhận để cung cấp các thẻ chứng nhận cho các
máy client.
Các liên kết VPN dựa trên PPTP cho ta tính năng toàn vẹn
thông tin. Tuy nhiên, các kết nối VPN trong PPTP không cho
ta tính năng toàn vẹn dữ liệu xác thực dữ liệu.
Các máy PPTP VPN client có thể được định vị thông qua một
NAT. Nếu NAT có chứa một công cụ chỉ sửa có khả năng xác
định được phương thức chuyển đổi dữ liệu trên các tuyến
truyền PPTP một cách chính xác. Hầu hết các NAT sử dụng
mọt địa chỉ IP chugn duy nhất, nó bao gồm ICS và thành phần
giao thức định tuyến NAT, thành phần này có thể được cấu
hình để cho phép truyền thụng dựa trên các địa chỉ IP và TCP.
17












Các máy L2TP VPN client không thể được đặt sau một NAT
vì đó có một giao thức Trao đổi khoá Internet (Internet Key
Exchange - IKE). Giao thức này được sử dụng để thoả thuận

các liên kết an toàn của dịch vụ IPSec trên Windows Server
2003. Dữ liệu được bảo vệ bởi IPSec là không thể chuyển đổi
được.
L2TP chỉ có thể được sử dụng với Windows XP và Windows
2000. Nó hỗ trợ các thẻ chứng nhận như là phương thức mã
hóa đối với IPSec. Việc xác thực các thẻ chứng nhận cần phải
có một hạ tầng các thẻ xác nhận để phát hành các thẻ xác
nhận cho VPN server và tất cả các VPN client.
Thông qua việc sử dụng IPSec, các liên kết VPN kiểu L2TP
có khả năng đảm bảo toàn vẹn và an toàn dữ liệu, đồng thời,
dịch vụ này còn cho ta khả năng xác thực dữ liệu và bảo vệ
trước các cuộc tấn công kiểu replay.
PTP và L2TP không phải là hai giao thức mà ta nhất thiết lựa
chọn một trong số chúng. Một Windows 2003 VPN server hỗ
trợ đồng thời PTP và L2TP. Ta có thể sử dụng PPTP cho một
liên kết VPN truy cập từ xa nào đó trên các máy không cài đặt
Windows XP hoặc Windows 2000 và khụgn có các thẻ chứng
nhận đã cài đặt sẵn. Mặt khác, ta có thể sử dụng giao thức
L2TP để thực hiện các kết nối VPN từ xa từ một máy VPN
client chạy Windows XP hoặc Windows 2000 và đã cài đặt
thẻ chứng nhận.
Nếu sử dụng cả PPTP và L2TP, ta có thể tạo ra các chính sách
truy cập khác nhau, các chính sách này sẽ định ra các tham số
kết nối khác nhau trong hai giao thức.

1.2.5. VPN server
Một VPN server là một máy tính chạy hệ điều hành Windows
Server 2003, trên máy này có cài đặt dịch vụ định tuyến và truy cập từ xa.
Các công việc của VPN server gồm có:



18

Lắng nghe các yêu cầu kết nối của giao thức PPTP hoặc các
thoả thuận về liên kết an toàn của dịch vụ IPSec để thiết lập
các liên kết L2TP.
18







Xác thực và cấp thẩm quyền cho các liên kết VPN trước khi
cho phép truyền dữ liệu.
Đóng vai trò của một router chuyển tiếp dữ liệu giữa các VPN
client và các tài nguyên có trong mạng cục bộ của tổ chức.
Đóng vai trò của một điểm cuối trên tuyến truyền VPN đi từ
phía client.
Đóng vai trò điểm cuối của điểm cuối trong một kết nối VPN
từ phía VPN client.

Thông thường, các VPN server thường được cài đặt thêm hai bé
adapter, một bộ để nối với mạng Internet, cái còn lại được nối với hệ
thống mạng cục bộ của tổ chức. Khi ta thực hiện cấu hình và cho phép
dịch vụ định tuyến và truy cập từ xa, ta cần phải thiết lập thông tin về vai
trò mà mày VPN cần phải đảm nhận. Đối với các VPN server, ta nên chọn
Virtual private network (VPN) server. Với lựa chọn này, Routing and
Remote Access server sẽ hoạt động với vai trò của server với khả năng hỗ

trợ dịch vụ truy cập từ xa và các kết nối VPN theo kiểu router-to-router.
Đối với các kết nối VPN truy cập từ xa, người sử dụng phần mềm VPN
client và khởi tạo một liên kết từ xa để truy cập tới một server. Đối với
các liên kết VPN kiểu router-to-router, một router sẽ khởi tạo một liên kết
đến một router khác.

Cấu hình cho VPN Server:
Khi cấu hình một VPN server, ta phải chú ý đến một số điểm sau:






19

Những giao thức nào sẽ được hỗ trợ trên các kết nối VPN:
Dịch vụ định tuyến và truy cập từ xa có thể chuyển tiếp các
gói tin của giao thức IP, IPX, và NetBEUI qua các liên kết sử
dụng công nghệ của giao thức PPTP và L2TP.
Liên kết nào tới VPN server đươc thực hiện qua Internet:
Thông thường, các VPN server loại kết nối vao Internet
thường có it nhất 2 kết nối và mạng LAN: Một kết nối là và
mạng Internet và một là kết nối và mạng nội bộ của tổ chức.
Liệu VPN server có thể là một DHCP client không: VPN
server phải được cấu hình trực tiếp khi kết nối với Internet.
Trong khi đó, MS lại không khuyến khích việc để một VPN
server cũng đồng thời là một DHCP client trong mạng
Intranet. Do yêu cầu của việc định tuyến đối với VPN server,
địa chỉa IP, subnet mask, DNS server và WINS server phải

19






được cấu hình trực tiếp, tuy nhiên nhưng không được cấu hình
một gateway mặc định. Tuy nhiên, vẫn có thể thực hiện cấu
hình trực tiếp cho TCP/IP của VPN server nhưng lại có thể
dùng DHCP để thu được địa chỉ IP cho các VPN client.
Cách thức các địa chỉ IP được phân bổ cho các VPN client
truy cập từ xa: VPN server có thể được cấu hình để có khả
năng thu được các địa chỉ IP từ DHCP hay trong một giới hạn
địa chỉ được cấu hình trực tiếp. Sử dụng DHCP để thu thập
các địa chỉ IP sẽ làm đơn giản hoá việc cấu hình. Tuy nhiên, ta
phải đảm bảo được rằng, phạm vi DHCP cho subnet mà qua
đó kết nối nội bộ của VPN server được thực hiện phải có đủ
số địa chỉ cho tất cả các máy tính được kết nối vật lý vào
subnet và phải đáp ứng được số cổng PPTP và L2TP tối đa.
Ví dụ, nếu subnet có 50 DHCP client thì cấu hình mặc định
cho VPN server phải đạp bảo có được ít nhất 307 địa chỉ (50
máy + 128 PPTP client + 128 L2TP client + 1 VPN server).
Nếu không có đủ số địa chỉ IP thì những VPN client kết nối
vào với địa chỉ VPN nằm ngoài phạm vi cho phép sẽ không
thể truy cập tới các tài nguyên trong mạng cục bộ.
Liệu sẽ có nghiều VPN server hay không: Nếu cần có nhiều
VPN server, ta cần tạo các một bản ghi cho DNS để có thể
phân biệt được cùng tên một tên của VPN server nhưng lại
ứng với nhiều địa chỉ IP khác nhau của các VPN server riêng

biệt.

1.2.6. Hạ tầng mạng Intranet
Hạ tầng mạng intranet là một yếu tố quan trọng trong việc thực hiện
mô hình VPN. Nếu không được thiết kế đúng, các VPN client sẽ không
thể có được các điạ chỉ IP chính xác và không thể phân biệt được các tại
máy sử dụng trong mạng intranet mà nó được kết nối. Hơn nữa, các gói
tin cũng sẽ không được chuyển tiếp giữa VPN client và các tài nguyên có
trong mạng nội bộ.

20

20


1.2.6.1.

Chuyển đổi tên

Nếu ta sử dụng DNS để chuyển đổi tại các máy trạm hoặc chuyển
đổi từ tên theo kiểu WINS sang tên theo giao thức NetBIOS trong mạng
nội bộ, ta phải đảm bảo rằng, VPN server phải được cấu hình với các địa
chỉ IP phù hợp với các DNS và WINS server. VPN có thể được cấu hình
trực tiếp hoặc tự động dưới dạng một DHCP client.
Sau khi việc thoả thuận một phiên kết nối PPP đã được hoàn tất, các
VPN client chạy Windows XP and Windows 2000 sẽ gửi một thông điệp
đến VPN server với mục đích thông báo. Sau đó, VPN server sẽ phản hồi
lại cho VPN client, trong thông điệp gửi về sẽ có một tên miền DNS, các
địa chỉ DNS server bổ sung của các DNS server được kiểm tra trước khi
DNS server được cấu hình thông qua việc thoả thuận một liên kết PPP.

Nếu VPN server là một DHCP client, VPN server sẽ chuyển các gói
tin thông báo được gửi từ VPN client đến cho DHCP server được sử
dụng. Nếu VPN server được cấu hình TCP/IP trực tiếp, thành phần giao
thức định tuyến DHCP Relay Agent phải được cấu ình với địa chỉ IP của
Ítnhất 1 DHCP trong mạng cục bộ.

1.2.6.2.

Chuyển đổi tên để truy cập đến các tài
nguyên

Đối với các phiên truy cập VPN từ xa, quá trình chuyển đổi tên cần
có một số lưu ý sau:




21

Sử dụng lệnh Ping hoặc các công cụ khác để kiểm tra việc
chuyển đổi tên DNS và WINS. Nếu việc chuyển đổi tên của
VPN server là không đúng thì nó cũng sẽ không đúng cho
các VPN client. Ta phải đảm bảo việc chuyển đổi tên là đúng
trước khi kiểm tra các kết nối VPN.
Nếu VPN là một DHCP client, ta không cần thiết phải cấu
hình thêm gì nữa. Các DNS và WINS server được gán cho các
VPN server cũng sẽ được gán cho các VPN client. Tuy vậy,
việc cấu hình một VPN server như là một DHCP client không
được khuyến khích bởi vì những vấn đề gạp phải khi cấu hình
21







các gateway mặc định của VPN server. Do vậy, ta nên thực
hiện cấu hình TCP/IP trực tiếp cho các giao tiếp của VPN
server với mạng nội bộ và trực tiếp cấu hình cho thành phần
giao thức DHCP Relay Agent với địa chỉ IP của một hoặc một
số DHCP server.
Nếu VPN server được cấu hình trực tiếp với cấu hình TCP/IP,
hay kiểm tra địa chỉ của DNS và WINS server. Trong cấu
hình này, ta phải tự bổ sung địa chỉ IP của ít nhất một DHCP
server trong mạng nội bộ và cần phải yêu cầu để các thông
điệp thông báo được chuyển tiếp giữa VPN server chạy
Windows Server 2003, Windows XP, Windows 2000 và
DHCP server. Nếu không, các thông báo được gửi từ VPN
client chạy Windows XP và Windows 2000 sẽ bị huỷ bỏ. Do
vậy, các VPN client không thể nhận được các thông tin cập
nhất về địa chỉ của DNS và WINS server hoặc tên miền DNS.
Nếu ta có một subnet đơn với phạm vi nhá cho một văn phòng
và không có các DHCP, DNS hay WINS server, lúc đó, ta
phải thực hiện cấu hình cho cả DNS và WINS server để có thể
chuyển đổi tên của các máy trong subnet và các VPN client
hoặc sử dụng NetBEUI như là một giao thức mạng LAN
trong các kết nối VPN.

1.2.7. Routing
Để bổ sung một tuyến truyền mặc đinh vào Internet, ta phải cấu

hình cho kết nối với Internet với một gateway mặc định và sau đó trực
tiếp cấu hình kết nối với mạng nội bộ mà không có một gateway mặc
định. Để có thể bổ sung các tuyến truyền vào bảng định tuyến của VPN
server, ta cót thể làm theo các cách sau đây:


22

Bổ sung các tuyến truyền tĩnh sử dụng dịch vụ định tuyến và
truy cập từ xa. Trong phương pháp này, bạn không cần thiết
phải bổ sung một tuyến truyền cho mỗi subnet trong mạng nội
bộ. Tối thiểu, bạn chỉ cần bổ sung các tuyến truyền nối đến
các địa chỉ IP có thể có trong mạng nội bộ của mình. Ví dụ,
nếu mạng nội bộ sử dụng một phần không gian các địa chỉ
10.0.0.0/8 để đánh số các subnet và các máy trạm. Ta không
cần thiết phải bổ sung một tuyến mới cho mỗi subnet, chỉ cần
22




bổ sung một tuyến với địa chỉ IP là 10.0.0.0 và địa chỉ subnet
là 255.255.0.0. Địa chỉ này trỏ đến router của subnet lân cận
trong mạng nội bộ mà trong đó có VPN server.
Nếu ta đang sử dụng giao thức định tuyến như Routing
Information Protocol (RIP), hay Open Shortest Path First
(OSPF), ta có thể bổ sung và cấu hình các thành phần của RIP
hay OSPF trong dịch vụ định tuyến và truy cập từ xa để VPN
server có thể tham gia vào việc phân phát các thông tin định
tuyến như là một router động.


Trong trường hợp mạng nội bộ chỉ có một subnet duy nhất thì
không cần thiết phải cấu hình gỡ thêm.
Việc đảm bảo rằng ta có thể truy cập đến các VPN client từ các
mạng nội bộ hay không tuỳ thuộc vào cách ta cấu hình VPN server để thu
nhận các địa chỉ IP của các VPN client. Những địa chỉ IP được gán cho
các VPN client khi chúng kết nối với VPN server có thể thu được từ:




Một dải địa chỉ thuộc subnet, đây là một dải địa chỉ của
subnet thuộc mạng nội bộ mà VPN server được kết nối.
Nguồn địa chỉ này được sử dụng khi VPN server được cấu
hình để sử dụng DHCP và sử dụng các địa chỉ IP cho các
VPN client và khớ nó được cấy hình trực tiếp với các địa chỉ
IP nằm trong một dải các địa chỉ mà server kết nối vào.
Một dải địa chỉ không nằm trong subnet. Đây là dải địa chỉ
biểu diễn một subnet khác được kết nối logic với VPN server.
Dải địa chỉ này được sử dụng khi VPN server được cấu hình
trực tiếp với một dải địa chỉ IP dành cho một subnet riêng
biệt.

Nếu ra sử dụng dải địa chỉ thuộc subnet, ta không cần cấu hình gỡ
thêm cho việc định tuyến bởi VPN server đóng vai trò như một proxy
phân phát các gói tin truyền đên VPN client. Các router và các host trên
subnet có VPN server thực hiện chuyển tiếp các gói tin từ các VPN client
đến VPN server và ngược lại, chuyển các gói tin từ VPN server đến các
VPN client thích hợp.
Nếu ta sử dụng dải địa chỉ không nằm trong subnet thì ta phải bổ

sung các tuyến truyền bao quát các địa chỉ không nằm trong subnet để
đảm bảo rằng, thông tin được truyền đến cho các client được chuyển tiếp
đến cho server và ngược lại, từ server đến cho client cần nhận. Ta có thể
bổ sung các tuyến theo các cách sau:
23

23






Bổ sung một tuyến truyền tĩnh đến router của subnet kế cần
đối với dải các địa chỉ trỏ đến kết nối vào mạng nội bộ của
VPN server. Đồng thời cấu hình router kế cận để nó phát đi
tuyến truyền tĩnh này đến các router khác trong mạng nội bộ
sử dụng giao thức định tuyến động được áp dụng trong mạng
nội bộ.
Nếu VPN server đang sử dụng OSPF và đóng vai trò của một
router động, VPN server phải được cấy hình như là một router
bao quát hệ thông một cách tự động. Từ đó, nó các tuyến
truyền tĩnh nằm ngoài dải của subnet gắn với server có thể
được phát đi trong mạng nội bộ.

Nếu mạng nội bộ chỉ gồm một subnet duy nhất thì ta vừa phải cấu
hình mỗi trạm trong mạng nội bộ cho các tuyến truyền cố định của dải các
địa chỉ ngoài subnet, vừa phải cấu hình mỗi trạm của host trong mạng sao
cho chúng coi VPN server là một gateway mặc định. Do vậy ta nên sử
dụng một tập các địa chỉ nằm trong dải của subnet đối với các mạng nội

bộ chỉ có một subnet.

1.2.7.1.

Đinh tuyến và các VPN server đa năng

Nếu muốn truy cập các dịch vụ chạy trên VPN server từ phía VPN
client, không cần biết là các thông tin được gửi đi qua mạng Internet có
được mã hóa hay không, tất cả đều phụ thuộc vào địa chỉ mà VPN client
sử dụng để truy cập đến các dịch vụ của VPN server.




Nếu VPN client truy cập các dịch vụ thông qua một địa chỉ IP
nội bộ của VPN server thì tất cả thông tin truyền đi đều được
mã hóa trong tuyến truyền của kết nối VPN.
Nếu VPN client truy cập dịch vụ sử dụng địa chỉ public của
VPN server, tất cả các thông tin sẽ được gửi đi dưới dạng text
thông thường trên các đoạn nằm ngoài tuyến truyền của liên
kết VPN.

Tuỳ thuộc vào việc tuyến truyền nào được tạo ra ở phía các client
truy cập từ xa khi thực hiện các kết nối VPN mà ta có thể kết nối tới các
dịch vụ trên VPN server. Tuy vậy, việc truyền thông sẽ vẫn không thể
được thực hiện được trong một số trường hợp. Khi một client truy cập từ
24

24



xa tạo ra một liên kết với một VPN server, nó tạo ra các tuyến truyền sau
đây trong bản định tuyến IP:




Tuyến truyền mặc định sử dụng kết nối VPN: Tuyến truyền
mặc định mới cho liên kết VPN thể thay thế một cách hiệu
quả tuyến truyền đã tồn tại trong thời gian kết nối. Sau khi kết
nối được tạo ra, tất cả thông tin truyền đi không phù hợp với
một địa chỉ của mạng đang được kết snối hoặc địa chỉ của
VPN server sẽ được gửi đi thông qua kết nối VPN.
Tuyền truyền từ một nút mạng tới một VPN server sử dụng kết
nội mạng cục bộ: Đường truyền từ nút mạng nào đó đến địa
chỉ của VPN server được tạo ra để ta có thể truy cập đến VPN
server từ mạng cục bộ được kết nối với server. Nếu tuyến
truyền từ nút mạng không tồn tại thì truyền thông VPN đến
VPN server sẽ không thể thực hiện được.


Kết quả của việc có một tuyến tuyền từ các nút đến VPN server là
tất cả thông tin được truyền giữa các ứng dụng chạy trên máy VPN client
và các ứng dụng chạy trên VPN server sử dụng địa chỉ IP public của
server sẽ không được truyền trực tiếp qua kết nối VPN, mà thay vào đó,
thông tin này được gửi đi dưới dạng không được mã hóa.
Ngoài ra, nếu các bộ lọc gói tin được cấu hình trên VPN server để
chỉ cho phép truyền thông qua các liên kết VPN thì tất cả thông tin truyền
đến cho VPN server dưới các dạng khác sẽ bị loại bỏ. Trong kiểu cấu hình
này, mọi hình thức kết nối đến các dịch vụ chạy trên VPN server sẽ không

được thực hiện vì toàn bộ thông tin gửi đi để kết nối đến VPN server là
không được gửi thông qua kết nối VPN
Điều cốt yếu trong việc VPN client sử dụng địa chỉ để truy cập các
dịch vụ chạy trên VPN server là cách thức tên của VPN được chuyển đổi.
Những người sử dụng và các ứng dụng thông thường sẽ tham chiếu đến
các tài nguyên mạng thông qua tên chứ không phải là địa chỉ IP. Tên phải
được chuyển đổi thành một địa chỉ IP thông qua DNS hoặc WINS. Nếu
DNS hay WINS không chứa một bản ghi để ánh xạ tên của VPN server
sang địa chỉ IP public, truyền thông đến các dịch vụ chạy trên VPN server
sẽ luôn được gửi thông qua kết nối VPN.
Trước khi kết nối VPN được thiết lập, VPN client sẽ sử dụng DNS
để chuyển đổi tên của máy VPN server sang các địa chỉ IP public của nó.
Sau khi kết nối VPN được thiết lập, giả sử là các DNS và WINS server
25

25