Tải bản đầy đủ (.doc) (34 trang)

Thiết lập VPN trên windows server

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (909.37 KB, 34 trang )

HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA CÔNG NGHỆ THÔNG TIN


BÁO CÁO BÀI TẬP LỚN MÔN HỌC
AN TOÀN MẠNG RIÊNG ẢO
Đề Tài: Tìm hiểu về mạng VPN truy cập từ xa, xây dựng cài đặt mạng VPN loại
này theo giao thức Tunneling điểm-nối-điểm (PPTP) dùng hệ điều hành Windows
XP cho máy truy cập từ xa và Windows Server 2003 cho các máy chủ. Phân tích
quá trình kết nối trao đổi thông tin.

Giáo viên hướng dẫn : Hoàng Thanh Nam
Nhóm 1 : Nguyễn Văn Minh Khánh Dương
Lê Hải Anh
Phùng Văn Dương
Bùi Thị Hoài
Nguyễn Thị Phấn

HÀ NỘI, 2016

Mục lục
Mục lục.............................................................................................1
1


CHƯƠNG 1: Mạng VPN truy cập từ xa.......................................7
1.1 Khái quát chung VPN...............................................................................7
1.1.1 Khái niệm VPN..........................................................................................7

1.2. Tổng quan mạng VPN truy cập từ xa.....................................................8
1.3. Ưu điểm, nhược điểm...............................................................................9


1.3.1 Ưu điểm.......................................................................................................9
1.3.2 Nhược điểm...............................................................................................10

1.4. Các thành phần chính của mạng VPN truy nhập từ xa......................10
1.5. Kỹ thuật Tunneling trong mạng VPN truy cập từ xa.........................13

Chương 2: Giao thức định đường hầm điểm nối điểm PPTP
(Point to Point Tunneling Protocol).............................................14
2.1 Giao thức PPTP.......................................................................................14
2.2 Khái quát hoạt động của PPTP..............................................................15
2.3 Duy trì đường hầm bằng kết nối điều khiển PPTP..............................17
2.4 Đóng gói dữ liệu đường hầm PPTP.......................................................18
2.5 Ưu điểm và nhược điểm của PPTP........................................................20

CHƯƠNG 3: THIẾT KẾ MÔ HÌNH VPN CLIENT TO SITE 21
3.1 TÌNH HUỐNG.........................................................................................21
3.2 PHÂN TÍCH VÀ THIẾT KẾ.................................................................21
2.2.1 Thiết bị sử dụng........................................................................................21
3.2.2 Hệ điều hành và giao thức........................................................................21

3.3 MÔ HÌNH TRIỂN KHAI.......................................................................22
3.4 CÁC BƯỚC CÀI ĐẶT............................................................................23
3.4.1 Đại chỉ IP cho các máy..............................................................................23
3.4.2 Tạo User để kết nối VPN..........................................................................24
3.4.3 Cấu hình VPN server.................................................................................25
3.4.4 Kết nối truy cập từ xa vào VPN................................................................28
3.5 Quá trình kết nối...........................................................................................31
3.6 Kết quả đạt được...........................................................................................32

TÀI LIỆU THAM KHẢO.............................................................33


2


DANH MỤC CÁC TỪ VIẾT TẮT

3


SỐ

CỤM TỪ

TT

VIẾT TẮT

01

Metropolitan Area Network

MAN

02

Local Area Network

LAN

03


Wide Area Network

WAN

04

Global Area Network

GAN

05

Advanced Research Projects Agency

ARPA

06

Transmission Control Protocol/Internet
Protocol

TCP/IP

07

File Transfer Protocol

FTP


08

Wide Area Information Server/ Service

WAIS

09

World Wide Web

WWW

10

HyperText Markup Language

HTML

11

HyperText Transfer Protocol

HTTP

12

Uniform Resource Locator

URL


13

Mail User Agent

MUA

14

Message Transfer Agent

MTA

15

Software Defined Network

SDN

16

Virtual Private Network

VPN

17

Point of Presence

POP


18

Quality of Service

QoS

19

Internet Service Provider

ISP

20

Virtual Private Dial-up Network

21

Enterprise Service Provider

ESP

22

Network Access Server

NAS

23


Point to Point Protocol

PPP

24

Layer 2 Forwarding

L2F

25

Point to Point Tunneling Protocol

PPTP

26

Layer 2 Tunneling Protocol

L2TP

VPDN

4


DANH MỤC CÁC HÌNH VẼ

SỐ


TÊN HÌNH

TT
1

Hình 1 Mô hình mạng VPN cơ bản

2

Hình 2 Mô hình VPN truy cập từ xa

3

Hình 7 Mô hình Tunneling truy cập từ xa

4

Hình 8 Mô hình Tunneling điểm nối điểm

5

Hình 9 Giao thức IPSec

6

Hình 10 Mô hình Client to Site

5



LỜI NÓI ĐẦU
Ngày nay thế giới chúng ta đã và đang bước vào kỷ nguyên của sự
bùng nổ thông tin. Cùng với sự phát triển như vũ bão của các phương tiện
truyền thông đại chúng, lĩnh vực truyền thông máy tính đã và đang phát triển
không ngừng. Mạng máy tính toàn cầu internet đã và đang trở thành nhu cầu
bức thiết cho mọi người. Với internet, bức tường ngăn cách giữa các quốc gia,
giữa các nền văn hóa, giữa những con người với nhau đã ngày càng giảm đi.
Ngày nay có khoảng 50 – 60 triệu người đang sử dụng internet và các ứng
dụng trên internet là vô cùng phong phú. Từ các ứng dụng truy xuất từ xa
như: NC (Network Computer), WWW,VPN… thì mạng máy tính đồng thời
cung cấp môi trường truyền thông tốt cho các dịch vụ thư tín điện tử (Email),
tin tức, các hệ quản trị dữ liệu phân bố……
Tuy nhiên khi internet làm giảm đi ranh giới giữa các nhà tổ chức, giữa
các cá nhân với nhau, thì nguy cơ mất an toàn, khả năng bị xâm phạm các bí
mật, các tài nguyên thông tin cũng tăng lên. Theo thông kê, số vụ tấn công và
xâm phạm tài nguyên thông tin trên internet mỗi năm tăng lên 100% so với
năm trước.
VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết
nối an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài
thông qua mạng Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng
ta vẫn bảo đảm được tính riêng tư của dữ liệu giống như đang truyền thông
trên một hệ thống mạng riêng.

6


CHƯƠNG 1: Mạng VPN truy cập từ xa
1.1 Khái quát chung VPN
1.1.1 Khái niệm VPN


Hiện nay giải pháp VPN (Virtual Private Network) được thiết kế cho
những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động
rộng (trên toàn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến
từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian.

Hình 1 Mô hình mạng VPN cơ bản
Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn
phòng chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết
nối (như văn phòng tại gia) hoặc người sử dụng (Nhân viên di động) truy cập
đến từ bên ngoài.
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng
(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một
mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như
đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet
giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.
7


Có nhiều khái niệm khác nhau về mạng riêng ảo VPN (Virtual Private
Network) tuỳ thuộc vào hình thức tổ chức mạng và thiết bị của nhà cung cấp.
Nếu xét theo góc độ đơn giản nhất thì dịch vụ VPN là mạng được cấu thành
bởi các kênh ảo (không cố định) nhằm truyền tải lưu lượng thông tin cho một
tổ chức riêng rẽ. Đối tượng dịch vụ chính của VPN là các doanh nghiệp, các
tổ chức có nhu cầu thiết lập mạng dùng riêng.
1.2. Tổng quan mạng VPN truy cập từ xa
VPN truy cập từ xa còn được gọi là mạng Virtural Private Dial-up Netword là
một kết nối người dùng-đến-LAN.Remote Access VPN mô tả việc các người
dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng Intranet của
công ty thông qua gateway hoặc VPN concentrator (bản chất là một server).

Vì đó, giải pháp này thường được gọi là client/server. Trong giải pháp này,
người dùng thường thường sử dụng các công nghệ WAN truyền thống để tạo
lại các tunnel về mạng HO của họ.
VPN truy nhập từ xa là kiểu VPN điển hình nhất vì những VPN này có thể
thiết lập từ bất cứ nơi nào có mạng Internet. Chúng giúp mở rộng mạng của
công ty tới những người sử dụng thông qua cơ sở hạ tầng chia sẻ chung, trong
khi những chính sách mạng công ty vẫn duy trì. VPN truy nhập từ xa cung
cấp khả năng truy nhập từ xa một cách an toàn từ những thiết bị di động,
những người dùng, những chi nhánh hay những bạn hàng của công ty. Những
kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách
sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp thường
yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng.

8


Hình 1.1 : Mô hình VPN truy cập từ xa

1.3. Ưu điểm, nhược điểm
1.3.1 Ưu điểm
Mạng VPN truy nhập từ xa so với các phương pháp truy nhập từ xa truyền
thống có những ưu điểm vượt trội như :
– Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì
quá trình kết nối từ xa được các ISP thực hiện.
– Giảm được các chi phí cho kết nối từ khoảng cách xa vì chúng được thay
thế bởi các kết nối cục bộ thông qua mạng Internet.
– Cung cấp dịch vụ kết nối giá rẻ cho những người dùng ở xa.
– Vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc
độ cao hơn so với các truy nhập khoảng cách xa.
– VPN truy nhập từ xa cung cấp khả năng truy cập tốt hơn đến các site của

công ty bởi vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.
- Cho phép thiết lập các kết nối an toàn, có mã hóa dữ liệu
9


1.3.2 Nhược điểm
Mặc dù có khá nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn tồn
tại một số khuyết điểm như:
– Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảoQoS.
– Có nguy cơ bị mất dữ liệu cao, hơn nữa nguy cơ các gói tin có thể bị phân
phát không đến nơi hoặc mất gói .
– Thuật toán mã hoá phức tạp nên tiêu đề giao thức tăng một cách đáng kể.

1.4. Các thành phần chính của mạng VPN truy nhập từ xa

10


- Remote Access Server(RAS): thiết bị này được đặt tại trung tâm, một
VPN server là một máy tính chạy hệ điều hành Windows server, trên máy
này có cài đặt các dịch vụ định tuyến và truy cập từ xa.

Hình 1.2 : mô hình non – VPN Remote Access

Chức năng của VPN server gồm :
• Lắng nghe các yêu cầu kết nối của các giao thức PPTP hay L2TP
• Xác thực và cấp thẩm quyền cho các liên kết VPN trước khi cho
phép truyền dữ liệu
• Đóng vai trò của một router chuyển tiếp dữ liệu giữa các VPN client
và các tài nguyên có trong mạng cục bộ của tổ chức


11


• Đóng vai trò của một điểm cuối trên tuyến truyền VPN đi từ phía
client
Các VPN server thường được cài đặt thêm 2 adapter, một bộ để nối với
mạng Internet cái còn lại được nói với hệ thống mạng cục bộ của tổ chức
- Remote Access client :bằng việc triển khai Remote Access VPN qua
Internet những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần
thiết lập một kết nối cục bộ đến nhà cung cấp dịch vụ Internet, sau đó
có thể kết nối đến tài nguyên của doanh nghiệp thông qua VPN truy
nhập từ xa.
Remote Access client có thể là bất kỳ một máy tính nào mà tạo được
các liên kết PPTP sử dụng dịch vụ MPEE hay liên kết L2TP sử dụng
dịch vụ mã hóa IPSec
- VPN Tunneling Protocol
- Trình quản lý kết nối (Connection Manager) : là công cụ gồm các
thành phần chính sau :
• Connection Manager (CM) : là một trình quay số của client, trình
này cho ta những hỗ trợ kết nối cục bộ hoặc kết nối từ xa đến các
dịch vụ dữ liệu mạng tại điểm truy cập do các nhà cung cấp dịch vụ
Internet (ISP) cung cấp
• Connection Manager Administration Kit (CMAK) : người quản trị
mạng có thể chỉnh sửa hình thức và phương thức hoạt động của
một kết nối được tạo bởi CM bằng việc sử dụng CMAK. CMAK
giúp người quản trị xây dựng một trình quay số ở phía client và
một phần mềm kết nối cho phép người dùng có thể kết nối đến
mạng đó bằng cách chỉ sử dụng các tính năng mà người quản trị
mạng đã định ra cho họ.

• Connection Point Services (CPS) : cho phép nhà quản trị tự động
phân phát và cập nhật danh bạ liên lạc, các danh bạ này có chứa
một hay nhiều mục POP. Mỗi POP cho ta một số điện thoại mà qua
đó ta có được các truy cập và Intrenet thông qua thủ tục quay số
12


với số điện thoại đó. Các danh bạ cung cấp cho người dùng toàn bộ
thông tin về POP, như vậy trong khi di chuyển người dùng vẫn có
thể kết nối đến nhiều điểm truy cập khác nhau thay vì bị hạn chế
bởi một POP duy nhất.

- Cơ sở hạ tầng mạng Internet : để tạo một kết nối mạng riêng ảo đến
một VPN server qua Internet ta cần lưu ý những điểm sau :
• Phải có được tên của VPN server
• Phải truy cập được đến VPN server
• Truyền thông VPN phải đợc cho phép theo chiều đến và đi khỏi
VPN server
- Hạ tầng mạng Intranet : đây là một yếu tố quan trọng trong việc thực
hiện mô hình VPN truy cập từ xa. Nếu không được thiết kế đúng, các
VPN client sẽ không thể có được các địa chỉ IP chính xác, các gói tin
cũng sẽ không được chuyển tiếp đúng giữa các VPN client và các tài
nguyên có trong mạng nội b

1.5. Kỹ thuật Tunneling trong mạng VPN truy cập từ xa
Các giao thức được thiết lập dựa trên cấu trúc cơ, hầuhết mạng riêng ảo VPN
sử dụng kỹ thuật Tunneling để tạo ra một mạng riêng trên nền Internet. Về
bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu
đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian
theo những “đường hầm” riêng (tunnel). Khi gói tin được truyền đến đích,

chúng được tách lớp header và chuyển đến các máy trạm cần nhận dữ liệu. Để
thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao
thức (tunnel protocol).

13


- Kỹ thuật Tunneling trong mạng VPN truy cập từ xa :
Với loại VPN truy nhập từ xa Tunneling thường sử dụng giao thức điểm-nốiđiểm PPP, là một phần của TCP/IP- PPP đóng vai trò truyền tải cho các giao
thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Nói
tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP.
Các giao thức dùng trong mạng VPN truy cập từ xa :
 L2F - Layer 2 Forwarding được Cisco phát triển, L2 F dùng bất kỳ cơ
chế thẩm định quyền truy cập nào được PPP hỗ trợ.
 PPTP - Point-to-Point Tunneling Protocol được tập đoàn PPTP Forum
phát triển. Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ
cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ.
 L2TP - Layer 2 Tunneling Protocol là sản phẩm hợp tác giữa các thành
viên PPTP Forum, Cisco và IETF.

Chương 2: Giao thức định đường hầm điểm nối điểm
PPTP (Point to Point Tunneling Protocol)
2.1 Giao thức PPTP
Đây là giao thức định đường hầm phổ biến nhất hiện nay, PPTP (Point
to Point Tunneling Protocol) được cung cấp như một phần của dịch vụ truy
cập từ xa RAS (Remote Access Services) trong hệ điều hành Windows NT
4.0 và Window 2000, sử dụng cách mã hoá sẵn có của Windows, xác thực
người dùng và cơ sở cấu hình của giao thức điểm - điểm PPP (Point to Point
Protocol) để thiết lập các khoá mã.


14


Giao thức định đường hầm điểm - điểm PPTP (Point – to – Point Tunneling
Protocol) được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP
forum. Nhóm này bao gồm 3Com, Ascend comm, Microsoft, ECI
Telematicsunication và US robotic. Ý tưởng cơ sở cho giao thức này là tách
các chức năng chung và riêng của truy cập từ xa, lợi dụng lợi ích của cơ sở hạ
tầng Internet sẵn có để tạo kết nối bảo mật giữa client và mạng riêng. Người
dùng ở xa chỉ việc quay số đến nhà cung cấp dịch cụ ISP địa phương là có thể
tạo một đường hầm bảo mật tới mạng riêng của họ.

Hình 9 Giao thức PPTP

2.2 Khái quát hoạt động của PPTP
PPP đã trở thành giao thức truy nhập Internet và các mạng IP rất phổ
biến hiện nay, nó làm việc ở lớp liên kết dữ liệu (Datalink Layer) trong mô
hình OSI, PPP bao gồm các phương thức đóng, tách gói cho các loại dữ liệu
khác nhau để truyền nối tiếp, PPP có thể đóng các gói tin IP, IPX và NetBEUI
để truyền đi trên kết nối điểm – điểm từ máy gửi đến máy nhận.
PPTP đóng gói các khung dữ liệu của giao thức PPP và các IP
datagram để truyền qua mạng IP (Internet hoặc Intranet). PPTP cùng một kết
15


nối TCP (gọi là kết nối điều khiển PPTP) để khởi tạo, duy trì, kết thúc đường
hầm và một phiên bản của giao thức GRE để đóng gói các khung PPP. Phần
tải tin của khung PPP có thể được mật mã hóa và/hoặc nén.
PPTP sử dụng PPP để thực hiện các chức năng:
- Thiết lập và kết thúc kết nối vật lý.

- Xác thực người sử dụng.
-Tạo các gói dữ liệu PPP.
PPTP giã định tồn tại một mạng IP giữa PPTP client và PPTP server.
PPTP client có thể được kết nối trực tiếp thông qua việc dial-up tới máy chủ
truy nhật mạng NAS để thiết lập kết nối IP. Khi một kết nối PPP được thiết
lập thì người dùng thường đã được xác thực, đây là giai đoạn tùy chọn trong
PPP, tuy nhiên nó luôn được cung cấp bởi các ISP.
Việc xác thực trong quá trình thiết lập kết nối dựa vào trên PPTP sử
dụng các cơ chế xác thực của kết nối PPP. Các cơ chế xác thực có thể là:
- EAP (Extensible Authentication Protocol): Giao thức xác thực mở
rộng.
- CHAP ( Challenge Handshake Authentication Protocol ) : Giao thức
xác thực đòi hỏi bắt tay
- PAP (Password Authentication Protocol): Giao thức xác thực mật khẩu.
Với PAP, mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản
(clear text), không có bảo mật, CHAP là một giao thức xác thực mạnh
hơn phương thức bắt tay ba bước. CHAP chống lại các vụ tấn công
quay lại bằng cách sử dụng các giá (Challenge Value) duy nhất và
không thể đoán trước được.
- PPTP cũng thừa hưởng vật mật mã và /hoặc nén phần tải tin từ PPP. Để
mật mã phần tải tin, PPP có thể sử dụng phương thức mã hóa điểm –
tới – điểm MPPE (Microsoft Point to Point Encryption). Nếu cần sử
dụng mật mã đầu cuối đến đầu cuối thì có thể sử dụng IPSec để mật mã

16


lưu lượng IP giữa các đầu cuối sau khi đường hầm PPTP đã được thiết
lập.
Sau khi PPP thiết lập kết nối, PPTP sử dụng các qui luật đóng gói của

PPP để đóng gói truyền trong đường hầm. Để tận dụng ưu điểm của kết nối
tạo ra bỏi PPP, PPTP định nghĩa hai loại gói là gói điều khiển và gói dữ liệu,
sau đó gán chúng vào hai kênh riêng là kênh điều khiển và kênh dữ liệu.
PPTP phân tách các kênh điều khiển và kênh dữ liệu với giao thức TCP và
luồng dữ liệu với giao thức IP. Kết nối TCP tạo giữa máy trạm PPTP và máy
chủ PPTP được sử dụng để truyền tải thông báo điều khiển.

2.3 Duy trì đường hầm bằng kết nối điều khiển PPTP
Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP
(cổng TCP được cấp phát ngẫu nhiên) và địa chỉ IP của máy chủ PPTP (sử
dụng cổng mặc định là 1723). Kết nối điều khiển PPTP mang các bản tin điều
khiển cà quản lý được sử dụng để duy trì đường hầm PPTP. Các bản tin này
bao gồm PPTP echo-request và PPTP echo-reply định kỳ để phát hiện các lỗi
kết nối giữa các máy trạm và máy chủ PPTP. Các gói của kết nối điều khiển
PPTP bao gồm tiêu đề IP, tiêu đề TCP, bản tin điều khiển PPTP và tiêu đề
phần đuôi của lớp liên kết dữ liệu.

17


Tiêu đề liên Tiêu đề IP

Tiêu đề TCP

kết

Bản tin điều

Phần


Khiển PPTP

liên

dữ liệu

đuôi

Kêt dữ liệu

Hình 2.5: Gói dữ liệu kết nối điều khiển PPTP

2.4 Đóng gói dữ liệu đường hầm PPTP
Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức, hình
thức dưới đây mô tả cấu trúc dữ liệu đã được đóng gói:
Tiêu

đề Tiêu

liên

kết IP

đề Tiêu

đề Tiêu

GRE

PPP


dữ liệu

đề Tải

PPP Phần đuôi

được mã liên
hóa

kết

(IP, dữ liệu

IPX,
NetBEUI)

Hình 2.6: Gói dữ liệu đường hầm PPTP
Phần tải của khung PPP ban đầu được mã hóa và đóng gói với tiêu đề
PPP để tạo ra khung PPP. Khung PPP sau đó được đóng gói với phần tiêu đề
của phiên bản giao thwusc GRE sửa đổi.

18


GRE là giao thức đóng gói chung, cung cấp cơ chế đóng gói dữ liệu để
định tuyến qua mạng IP. Đối với phần PPTP, phần tiêu đề của GRE được sửa
đổi một số điểm như sau:
- Một trường xác định 32 bit được them vào.
- Một bit xác nhận được thay thế bằng trường độ dài Payload 16

bit. Trường chi số cuộc gọi được thiết lập bởi máy trạm PPTP trong
quá trình khởi tạo đường hầm PPTP

Đóng gói IP
Phần tải PPP (đã được mật mã) và các tiêu đề GRE sau đó được đóng
gói với một tiêu đề để IP chứa các thông tin địa chỉ nguồn và đích thích hợp
cho máy trạm và máy chủ PPTP.
Đóng gói lớp liên kết dữ liệu
Để có thể truyền qua mạng LAN hoặc WAN, gói IP cuối cùng sẽ được
đóng gói với một tiêu đề và phần đuôi của lớp liên kết dữ liệu ở giao diên vật
lý đầu ra . Ví dụ, nếu gói tin IP được gửi qua giao diện Ethernet, nó sẽ được
đóng gói với phần tiêu đề và đuôi Ethernet. Nếu gói được gửi qua đường
truyền WAN điểm – tới – điểm, nó sẽ được đóng gói với phần tiêu đề và đuôi
của giao thức PPP.
Xử lý dữ liệu tài đầu cuối đường hầm PPTP

19


Khi nhận được dữ liệu đầu cuối đường hầm PPTP, máy trạm và máy
chủ PPTP sẽ thực hiện các bước sau :
-

Xử lý loại bỏ phần tiêu đề trên và đuôi của lớp liên kết dữ liệu.
Xử lý và loại bỏ tiêu đề IP.
Xử lý và loại bỏ tiêu đề GRE và PPP.
Giải mã và/hoặc giải nén phần tải PPP( nếu cần thiết).
Xử lý phần tải tin để nhận hoặc chuyển tiếp.

2.5 Ưu điểm và nhược điểm của PPTP

Ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 trong khi
IPSec chạy ở lớp 3 của mô hình OSI. Bằng cách hỗ trợ việc truyền dữ liệu ở
lớp 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác IP ( ví dụ
IPX, NetBEUI ) trong khi IPSec chỉ có thể truyền các gói IP trong đường
hầm.
Tuy nhiên, PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp
đều có kế hoạch thay thế PPTP bằng L2TP khi giao thức này đã được chuẩn
hóa. PPTP thích hợp cho việc dial-up truy nhập với số lượng người dùng giới
hạn là cho VPN kết nối LAN-LAN.
Một vấn đề của PPTP là xử lý xác thực người dùng thông qua Windows
Server hay thông qua RADIUS. Máy chủ PPTP cũng quá tải với một số lượng
lớn người dùng dial-up hay một lượng lớn dữ liệu truyền qua, mà điều này là
một yêu cầu của kết nối LAN-LAN.

20


CHƯƠNG 3: THIẾT KẾ MÔ HÌNH VPN CLIENT TO SITE
3.1 TÌNH HUỐNG
Xây dựng cài đặt mạng VPN loại này theo giao thức Tunneling điểm-nốiđiểm (PPTP) dùng hệ điều hành Windows XP cho máy truy cập từ xa và
Windows Server 2008 cho các máy chủ
3.2 PHÂN TÍCH VÀ THIẾT KẾ
2.2.1 Thiết bị sử dụng
• Sử dụng 1 máy sever 2008 và 2 máy win XP
3.2.2 Hệ điều hành và giao thức
• Hệ điều hành chủ yếu là Window Server 2008 và Window XP.
• Giao thức dùng trong hệ thống mạng là TCP/IP.

21



3.3 MÔ HÌNH TRIỂN KHAI

Hình 10 Mô hình Client to Site
Mô hình gồm có:
• 1 máy tính VPN SERVER cài hệ điều hành Window Server 2008, có 2
card mạng tương ứng với địa chỉ IP là 10.0.10.10 (card mạng trong) và
172.16.10.10 (card mạng ngoài).
• 1 máy Window XP trong mạng LAN có địa chỉ IP 10.0.10.12
• 1 máy Window XP truy cập từ xa có địa chỉ IP 172.16.10.12
Yêu cầu đặt ra:
Máy tính CLIENT truy cập từ xa vào trong máy XP theo giao thức
Tunneling điểm nối điểm (PPTP)
Rồi dùng Wiresharh để bắt gói tin

22


3.4 CÁC BƯỚC CÀI ĐẶT
3.4.1 Đại chỉ IP cho các máy
1 máy winsever 2008 có 2 card mạng

1 máy win xp mạng nội bộ-Địa chỉ Ip 10.0.10.12
1 máy win xp truy cập từ xa-Địa chỉ Ip 172.16.10.12

23


3.4.2 Tạo User để kết nối VPN
Tạo


một

user

tên

nhom1

Điền đầy đủ thong tin rồi ấn Create

24


3.4.3 Cấu hình VPN server
3.4.3.1 Tạo Roles= Sever manager>Roles>add Roles

Sau đó ấn next> chọn Network Policy and Access Servicer

25


×