MÔ PHỎNG MẠNG RIÊNG ẢO VPN

1


MỤC LỤC

DANH MỤC HÌNH ẢNH

2


DANH MỤC BẢNG BIỂU

3


DANH MỤC CÁC TỪ VIẾT TẮT
VPN

Virtual Private Network

OSI

Open Systems Interconnection

IPSEC

Internet Protocol Security

GRE

Generic Routing Encapsulation

ESP

Encapsulation Security Protocol

DES

Data Encryption Standard

AH

Authentication Header

LAN

Local Area Network

VLAN

Virtual Local Area Network

MD5

Message Digest

IKE

Internet Exchange Key


ISAKMP

Internet Security Association and Key Management Protocol

EIGRP

Enhanced Interior Gateway Routing Protocol

OSPF

Open Shortest Path First

DHCP

Dynamic Host Configuration Protocol

HMAC

Hash-based Message Authentication Code

MAC

Media Access Control

4


TỔNG QUAN VỀ ĐỀ TÀI
Virtual Private Network (mạng riêng ảo) thường được gọi tắt là VPN là một kỹ

thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnh tranh khi xuất
hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ của Internet. Trong thực tế,
người ta thường nói tới hai khái niệm VPN đó là: mạng riêng ảo kiểu tin tưởng (Trusted
VPN) và mạng riêng ảo an toàn (Secure VPN).Mạng riêng ảo kiểu tin tưởng được xem
như một số mạch thuê của một nhà cung cấp dịch vụ viễn thông. Mỗi mạch thuê riêng
hoạt động như một đường dây trong một mạng cục bộ. Tính riêng tư của VPN thể hiện ở
chỗ nhà cung cấp dịch vụ sẽ đảm bảo không có một ai sử dụng cùng mạch thuê riêng đó.
Khách hàng của mạng riêng ảo loại này tin tưởng vào nhà cung cấp dịch vụ để duy trì
tính toàn vẹn và bảo mật của dữ liệu truyền trên mạng. Các mạng riêng xây dựng trên các
đường dây thuê thuộc dạng “trusted VPN”.Mạng riêng ảo an toàn là các mạng riêng ảo có
sử dụng mật mã để bảo mật dữ liệu. Dữ liệu ở đầu ra của một mạng được mật mã rồi
chuyển vào mạng công cộng (ví dụ: mạng Internet) như các dữ liệu khác để truyền tới
đích và sau đó được giải mã dữ liệu tại phía thu. Dữ liệu đã mật mã có thể coi như được
truyền trong một đường hầm (tunnel) bảo mật từ nguồn tới đích. Cho dù một kẻ tấn công
có thể nhìn thấy dữ liệu đó trên đường truyền thì cũng không có khả năng đọc được vì dữ
liệu đã được mật mã. Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an
toàn, sử dụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các
site của các công ty. Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựa trên
Internet. Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựa trên Internet.

5


Trang 6/ 35

CHƯƠNG 1: GIỚI THIỆU VPN VÀ MỘT VÀI KĨ THUẬT CƠ BẢN TRONG
THIẾT KẾ MẠNG DOANH NGHIỆP
1.1 VPN là gì?
VPN (Virtual Private Network) hay còn gọi là mạng riêng ảo là một công nghệ
cung cấp một giao thức an toàn giữa các mạng riêng dựa trên kĩ thuật là “ tunneling” để

tạo ra một mạng riêng trên nền internet. Về bản chất, đây là quá trình đặt toàn bộ gói
tin vào trong một lớp header chứa thông tin định tuyến có thể truyền qua mạng trung
gian VPN là một mạng riêng sử dụng một mạng chung để kết nối cùng với các site (các
mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng một kết nối thực,
chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn qua
đường internet từ mạng riêng của công ty tới các hạ tầng mạng của các nhân viên từ xa.
VPN trong doanh nghiệp được chia thành ba loại chính : remote access VPN, site to
site VPN, extranet VPN.
1.1.1

Remote Access VPN

Remoe Access VPN Còn được gọi là Dial-up riêng ảo (VPDN) là một kết nối
người dùng đến mạng của công ty, thường là nhu cầu của một tổ chức có nhiều nhân
viên cần liên hệ với mạng riêng của mình từ rất nhiều địa diểm ở xa. Ví dụ như công ty
muốn thiết lập một VPN lớn đến một nhà cung cấp dịch vụ doanh nghiệp . Doanh
nghiệp này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử
dụng ở xa một phần mềm máy khách cho máy tính của họ. Sau đó, người sử dụng có
thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để
truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có
mật mã.
Có hai cấu trúc được sử dụng để kết nối trong Remote Access VPN. Thứ nhất là
khởi tạo bởi người dùng, ở cấu trúc này, người dùng sẽ thiết lập các phiên Ipsec thông
qua môi trường internet để đi đến các thiết bị đầu cuối của công ty. Thứ hai là khởi tạo
bởi NAS, lúc bấy giờ người dùng sẽ kết nối với NAS, sau đó NAS sẽ tiến hành thiết
lập một đường truyền ảo trên nền internet từ công ty tới người dùng.

MÔ PHỎNG MẠNG RIÊNG ẢO VPN



Trang 7/ 35

Hình 1.1 Sơ đồ mạng Remote Access VPN [1]

1.1.2
Site –to –
site VPN
Đây là kiểu
mạng VPN kết nối các chi
nhánh của 1 công ty ở xa về cơ sở
chính. Kiểu mạng này cũng dựa trên hạ tầng mạng internet để thiết lập đường
truyền ảo. Có thể thiết lập đường truyền ảo trực tiếp giữa các cở sở hoặc thiết lập
đường truyền ảo thông qua các nhà cung cấp dịch vụ internet.
Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:
Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng
thông qua một hay nhiều nhà cung cấp dịch vụ). Giảm được số nhân viên kỹ thuật hỗ
trợ trên mạng đối với những nơi xa.Bởi vì những kết nối trung gian được thực hiện
thông qua mạng Internet, nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp
mới. Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường
ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao. Ví dụ
như công nghệ Frame Relay, ATM.
Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đi
cùng như:
Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet – cho
nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất lượng
dịch vụ (QoS). Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.
Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu
truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường
Internet.


MÔ PHỎNG MẠNG RIÊNG ẢO VPN


Trang 8/ 35

Hình 1.2 Site – to - site VPN [1]

1.1.3 Extranet
Đây là phương pháp dùng để liên kết công ty với các công ty đối tác thân mật
khác. Khi đường truyền đực thiết lập thì phái công ty đối tác cũng có thể truy nhập vào
những nội dung mà công ty cho phép. Đường truyền này cũng sử dụng cơ sở hạ tầng
của internet.
Những ưu điểm chính của mạng VPN mở rộng: chi phí cho mạng VPN mở rộng
thấp hơn rất nhiều so với mạng truyền thống. Dễ dàng thiết lập, bảo trì và dễ dàng thay
đổi đối với mạng đang hoạt động. Vì mạng VPN mở rộng được xây dựng dựa trên
mạng Internet nên có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp

MÔ PHỎNG MẠNG RIÊNG ẢO VPN


Trang 9/ 35

phù hợp với các nhu cầu của mỗi công ty hơn.Bởi vì các kết nối Internet được nhà
cung cấp dịch vụ Internet bảo trì, nên giảm được số lượng nhân viên kỹ thuật hỗ trợ
mạng, do vậy giảm được chi phí vận hành của toàn mạng.
Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn những
nhược điểm đi cùng như: Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua
mạng công cộng vẫn tồn tại.Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện,
với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong
môi trường Internet. Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.


1.2 Các kĩ thuật thiết lập VPN
Hiện nay có nhiều kĩ thuạt được sử dụng trong việc thiết lập một mảng riêng ảo
như L2TP, GRE, Ipsec. Trong đó Ipsec và GRE là 2 giao thức nổi trội nhất. Trong bài
này, chủ yếu tìm hiểu giao thức Ipsec
1.2.1 GRE VPN
GRE VPN ( Generic Routing Encapsulation) đây là giao thức được phát triển
bởi Cisco để đóng gói một loạt các giao thức bên trong đường hầm IP để tạo đường kết
nổi điểm tới điểm.
1.2.1.1 Cấu trúc GRE VPN
GRE thêm vào tối thiểu 24 byte vào gói tin, trong đó bao gồm 20-byte IP header
mới, 4 byte còn lại là GRE header. GRE có thể tùy chọn thêm vào 12 byte mở rộng để
cung cấp tính năng tin cậy như: checksum, key chứng thực, sequence number.

MÔ PHỎNG MẠNG RIÊNG ẢO VPN


Trang 10/ 35

Hình 1.3 Cấu trúc gói tin được đóng gói bởi GRE[2]
GRE là công cụ tạo tunnel khá đơn giản nhưng hiệu quả. Nó có thể tạo
tunnel cho bấy kì giao thức lớp 3 nào.
GRE cho phép những giao thức định tuyến hoạt động trên kênh truyền
của mình.
GRE header bản thân nó chứa đựng 4 byte, đây là kích cỡ nhỏ nhất của
một GRE header khi không thêm vào các tùy chọn. 2 byte đầu tiên là các
cờ (flags) để chỉ định những tùy chọn GRE. Những tùy chọn này nếu
được active, nó thêm vào GRE header. Bảng sau mô tả những tùy chọn
của GRE header.


Bảng 1-1 Cấu trúc GRE header

Bit
Tùy chọn
GRE header
0
Kiểm tra lỗi
(checksum)
2
Chuỗi khóa
(key)
3
Số thứ tự
13-15

Mô tả

Thêm một trương 4 byte checksum vào
GRE header nếu bit này là 1
Thêm một chuỗi khóa 4 byte vào sau
trường checksum nếu bit này là 1
Thêm chuyễn số thứ tự vào sau trường key
nếu bit nào là 1
Phiên bản GRE 0: GRE cơ bản; 1: PPTP

Trong GRE header 2 byte còn lại chỉ định cho trường giao thức. 16 bits này xác
định kiểu của gói tin được mang theo trong GRE tunnel. Hình sau mô tả cách mà một
gói tin GRE với tất cả tùy chọn được gán vào một IP header và data.

MÔ PHỎNG MẠNG RIÊNG ẢO VPN



Trang 11/ 35

Hình 1.4 Định dạng tùy chọn trong GRE header [2]

1.2.1.2 Ưu nhược điểm của GRE VPN
GRE VPN không phụ thuộc vào nhà cung cấp dịch vụ ISP, công ty chỉ cần mua
các đại chỉ IP public đặt ở ngõ vào mỗi site, sau đó nó thiết lập một dường hầm kết nối
trực tiếp tới các site. Gói tin khi chuyển đi sẽ được gắn thêm IP header và GRE header
để tạo nên tính bảo mật cho gói tin.
Các gói tin gắn vào mặc dù có tính bảo mật, nhưng nó khá yếu bởi không sử dụng
nhiều thuật toán mã hóa, xác thực,…nên có khả năng sẽ bị đánh cấp, sữa đổi…
1.2.2 IPSec VPN
Ipsec ( Internet Protocol Security) là môt giao thức bảo mật được đặt ở lớp 3
(network layer) trong mô hình OSI , cho phép tuyền gói tin bằng cách xác thực và mã

MÔ PHỎNG MẠNG RIÊNG ẢO VPN


Trang 12/ 35

hóa các gói tin IP của môt cuộc trao đổi. IPSec thực hiện mã hóa và xác thực ở lớp
mạng. Nó cung cấp một giải pháp an toàn dữ liệu từ đầu cuối-đến-đầu cuối trong bản
thân cấu trúc mạng(ví dụ khi thực hiện mạng riêng ảo VPN). Vì vậy vấn đề an toàn
được thực hiện mà không cần thay đổi các ứng dụng cũng như các hệ thống cuối. Các
gói mã hóa có khuôn dạng giống như gói tin IP thông thường, nên chúng dễ dàng được
định tuyến qua mạng Internet mà không phải thay đổi các thiết bị mạng trung gian, qua
đó cho phép giảm đáng kể các chi phí cho việc triển khai và quản trị. PSec là một
nền(Frame work) kết hợp giao thức bảo mật và cung cấp mạng riêng ảo với các dữ liệu

bảo mật, toàn vẹn và xác thực. Làm việc với sự tập hợp của các chuẩn mở được thiết
lập để đảm bảo sự bảo mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu, và chứng thực dữ
liệu giữa các thiết bị tham gia vào mạng VPN. Các thiết bị này có thể là các host hoặc
là các security gateway (routers, firewalls, VPN concentrator, ...) hoặc là giữa 1 host và
gateway như trong trường hợp remote access VPNs.
1.2.2.1 Cấu trúc IPSec trong VPN

Hình 1.5 cấu trúc framework của gí tin Ipsec [2]
•

IP Security Protocol (IPSec)

Authentication Header (AH): cung cấp tính toàn vẹn phi kết nối và chứng thực nguồn
gốc dữ liệu cho các gói dữ liệu IP và bảo vệ chống lại các cuộc tấn công replay.
Encapsulation Security Protocol (ESP): cung cấp tính năng bảo mật, chứng thực nguồn
gốc dữ liệu, tính toàn vẹn phi kết nối và dịch vụ chống replay.

MÔ PHỎNG MẠNG RIÊNG ẢO VPN


Trang 13/ 35

Hình 1.6 Cấu trúc ESP [2]

.

ESP điền giá trị 50 trong IP Header. ESP Header được chèn vào sau IP Header
và trước Header của giao thức lớp trên. IP Header có thể là một IP Header mới trong
chế độ Tunnle hoặc là IP Header nguồn nếu trong chế độ Transport.


MÔ PHỎNG MẠNG RIÊNG ẢO VPN


Trang 14/ 35

Hình 1.7 Gói IP được bảo vệ bởi ESP trong chế độ transport [1]

Hình 1.8 Gói tin Ip được bảo vệ bởi ESP trong chế độ tunnel

•

Mã hóa.

Data Encryption Standard (DES): Được phát triển bởi IBM. DES sử dụng 1
khóa 56-bít, đảm bảo hiệu năng mã hóa cao. DES là một hệ thống mã hóa khóa đối
xứng.
Triple DES (3DES): là một biến thể của DES 56-bít. Hoạt động tương tự như
DES, trong đó dữ liệu được chia thành các khối 64 bít. 3DES thực thi mỗi khối ba lần,
mỗi lần với một khóa 56 bít độc lập. 3DES cung cấp sức mạnh khóa đáng kể so với
DES.
•

Tính toàn vẹn dữ liệu.(Hash)

Hash-based Message Authentication Code (HMAC) : là một thuật toán toàn vẹn
dữ liệu đảm bảo tính toàn vẹn của bản tin. Tại đầu cuối, bản tin và một khóa chia sẻ bí

MÔ PHỎNG MẠNG RIÊNG ẢO VPN



Trang 15/ 35

mật được gửi thông qua một thuật toán băm, trong đó tạo ra một giá trị băm. Bản tin và
giá trị băm được gửi qua mạng. Hai dạng phổ biến của thuật toán HMAC như sau:
Message Digest 5 (MD5): là một hàm băm để mã hóa với giá trị băm là 32 bít.
MD5 biến đổi một thông điệp có chiều dài bất kỳ thành một khối có kích thước cố định
32 bít. Thông điệp đưa vào sẽ được cắt thành các khối 512 bít, thông điệp sau đó được
độn sao cho chiều dài của nó chia chẵn cho 512.
Secure Hash Algorithm-1,2 (SHA-1,2): Sử dụng một khóa 160 bít, 224 bít….
•

Peer Authentication: xác thực ngang hàng:

Rivest, Shamir, and Adelman (RSA) Digital Signutures: là một hệ thống mật mã khóa
bất đối xứng. Nó sử dụng một chiều dài khóa là 512 bít, 768 bít, 1024 bít hoặc lớn hơn.
IPsec không sử dụng RSA để mã hóa dữ liệu. Chỉ sử dụng RSA để mã hóa trong giai
đoạn xác thực ngang hàng.
•

Security Association: chính sách bảo mật:

Internet Exchange Key (IKE): IPSec dùng một giao thức thứ ba, Internet Key
Exchange (IKE), để thỏa thuận các giao thức bảo mật và các thuật toán mã hóa trước
và trong suốt phiên giao dịch. Internet Security Association and Key Management
Protocol (ISAKMP). Sẽ có 2 chính sách được cấu hình. Chính sách IKE( chính sách
pha 1) và chính sách Ipsec( chính sách pha 2) . Chính sách pha 1 có nhiệm vụ thiết lập
kết nối. Sau đó các bên thông tin thỏa thuận môt ISAKMP để đồng bộ các thuât toán
như băm dữ liệu, xác thực, thuât toán mã hóa và toàn vẹn dữ liệu. sau khi cơ chế mã
hóa và hàm băm đã được đồng bộ thì môt khóa bảo mật sẽ được phát sinh. Nếu hai bên
đồng ý sử dụng các phương pháp xác nhận trên thì chúng chỉ cần trao đổi ID. Sau khi

trao đổi các thông tin cần thiết, cả hai bên sẽ tự tạo ra các mã khóa riêng dùng để trao
đổi thông tin, dựa vào cách này mà các khóa mã hóa sẽ được phát sinh mà không cần
trao đổi bất kì khóa nào thông qua mạng. Chính sách pha 2 cũng sử dụng nhiều dịch vụ
khác nhau để thỏa thuận. cơ chế xác nhận, hàm bâm, thuật toán mã hóa sẽ được tạo nên
và đóng gói vào gói tin tạo thành lớp Ipsec. Sự thỏa thuận trong pha 2 sẽ xảy ra thường
xuya6n hơn pha 1, với chu kì khoảng 4-5 phút môt lần. Sự thay đổi thường xuya6n các
mả khóa ngăn cản việc mã khóa có thể bị bẽ gãy và bị đánh cấp dữ liệu.

MÔ PHỎNG MẠNG RIÊNG ẢO VPN


Trang 16/ 35

1.2.2.2 Chế độ hoạt động.
IPsec có thể được hoạt động theo chế độ chuyển giao(transport mode) từ máy
chủ này đến máy chủ khác cũng như chế độ đường hầm (tunnel mode) trong mạng.
Chế độ chuyển giao: chỉ có trọng tải (dữ liệu được truyền) của gói tin IP mới
được mã hóa và/hoặc chứng thực. Trong quá trình định tuyến cả IP header đều không
bị chỉnh sửa hay mã hóa. Transport mode sử dụng trong tình huống giao tiếp host to
host. Chế độ này có thuận lợi là chỉ thêm vài byte cho mỗi gói tin và nó cho phép các
thiết bị trên mạng thấy được địa chỉ đích của gói. Chế độ này thiếu mất quá trình xử lí
phần đầu nên nó nhanh hơn tuy nhiên nó không hiệu quả trong trường hợp ESP có khả
năng không xác nhận mà cũng không mã hóa phần đầu IP
Chế độ Tunnel: Trong chế độ tunnel, toàn bộ gói tin IP sẽ được mã hóa và/hoặc
chứng thực. Sau đó nó được đóng gói vào một gói tin IP mới với tiêu đề IP mới. Chế
độ tunnel được sử dụng để tạo mạng riêng ảo phục vụ cho việc liên lạc giữa các mạng,
liên lạc giữa máy chủ và mạng (ví dụ như truy cập người sử dụng từ xa), và giữa các
máy chủ.
1.2.2.2 Ưu nhựơc điểm
Ipsec là môt lớp vỏ bọc tương đối kính cho gói dữ lịu, vì sử dụng nhiều thuật

toán như băm(MD5) , mã hóa dữ liệu(DES) , toàn vẹn dữ liệu… làm cho gói tin truyền
đi được an toàn ngay cả khi chúng bị xem lén thì nội dung bên trong cũng sẽ không bị
lộ.
Tuy nhiên, điểm bất lợi của giao thức này là phải phụ thuộc vào nhà cung cấp
dịch vụ mạng. Khi công ty cần mở rộng thêm mày tính, phòng ban… thì buộc phải liên
lạc với ISP để học định tuyến đường cho các mạng mới.
1.4 Giới thiệu vài kĩ thuật trong xây đựng, cấu hình mạng.
1.4.1 Kĩ thuật chia IP

Tính đến thời điểm hiện tại, có hai phân bản IP được sử dụng, đó là IPv4 và
IPv6. Mặc dù IPv6 được đưa vào ứng dụng cách đây vài năm, nhưng nó chưa thực sử
phổ biến với các người dùng, ngoại trừ các nhàn cung cấp dịch vụ. Hiện tại IPv4 vẫn
đang được sử dụng phổ biến nhất. Trong IPv4 có 2 loại địa chỉ IP đó là Ip private và Ip
public. Ip pivate có số lượng không hạn chế bởi nó có thể được sử dụng lại nhiều lần,
đây là loại địa chỉ IP mà các ngừơi dùng sửa dụng để đặt cho mạng riêng của mình.

MÔ PHỎNG MẠNG RIÊNG ẢO VPN


Trang 17/ 35

Riêng Ip public thì có giới hạn, chỉ có 2^32 địa chỉ được cấp phát để sử dụng cho toàn
thế giới. Và chúng là duy nhất tức là không thể sử dụng lại.
Có 2 phương pháp đặt địa chỉ IP trong cấu hình mạng. Thứ nhất là đặt IP tĩnh,
tức là ta phải đặt địa chỉ Ip cho từng thiết bị một. Phương pháp thứ 2 là đặt địa chỉ IP
động, tức là ta sẽ thiết lập một trung tâm cung cấp IP cho các thiết bị, việc ta cần làm là
quy định lớp mạng cần đặt và các thiết bị sẽ được đặt Ip một cách nẫu nhiên trong giới
hạn của lớp mạng đó. Vì vậy địa chỉ Ip có thể bị thay đổi sau mỗi lần khởi động thiết
bị. Cách chia IP động được sử dụng nhiều trong truyền tín hiệu không dây( wifi,..)
1.4.2 Kỹ thuật chuyển mạch

Hiện nay trong mạng mày tính, thiết bị được sử dụng cho chuyển mạch chủ yếu
là hub và switch. Hub là thiết bị có chức năng đơn thuần là ghép nối các phân đoạn
mạng lại với nhau hoặc dùng để mở rộng thêm thành hần cho cùng một lớp mạng.
Hoàn toàn không thể cấu hình lên hub. Trong mô hình OSI thì hub là thiết bị thuộc lớp
1( lớp vật lí)
Thiết bị switch đây là thiết bị chuyển phát các gói tin mà không cần phải lưu trữ
toàn bộ cấu trúc frame, nó chỉ cần biết đia chỉ MAC là có thể chuyển các frame. Mặc
định các kết nối chung một switch thì sẽ có cùng địa chỉ mạng. N hưng ta cũng có thể
cấu hình lên nó để tạo các lớp mạng khác nhau. Kĩ thuật này được gọi là chi
VLAN( mạng LAN ảo). Switch có thể truyền ở chế độ song công. Trong mô hình OSI
thì switch là thiết bị thuộc lớp 2( lớp liên kết dữ liệu).

MÔ PHỎNG MẠNG RIÊNG ẢO VPN


Trang 18/ 35

Hình 1.9 Mô hình chuyển mạch [3]

MÔ PHỎNG MẠNG RIÊNG ẢO VPN


Trang 19/ 35

Dưới đây là hình ảnh thực tế của một switch

1.4.3 Kỹ thuật định tuyến
Định tuyến là quá tìm và xác định đường đi cho các gói tin. Thông tin về những
con đường này có thể là được cập nhật tự động từ các router khác hoặc là do người
Hình 1.10 Switch 24 cổng [2]

quản trị mạng chỉ định cho router. Người quản trị mạng khi chọn lựa một giao thức
định tuyến động cần cân nhắc một số yếu tố như: độ lớn của hệ thống mạng, băng
thông các đường truyền, khả năng của router, loại router và phiên bản router, các giao
thức đang chạy trong hệ thống mạng. Router là thiết bị trong mạng có vai trò kết nối,
định tuyến và vận chuyển dữ liệu từ net này sang net khác. Router còn có chức năng
ngăn chặn các gói tin giữa các lớp mạng. Đường Route trên Router gồm các yếu tố sau:
•
•
•
•

Interface: Gói tin đi ra bằng cổng nào (card mạng nào trên router)
Destination, Network mask: Gói tin sẽ đi tới network nào.
GateWay: Địa chỉ IP của router kế tiếp trên đường đi.
Metric: độ ưu tiên.
Có 2 kiểu định tuyến là định tuyến động và đinh tuyến tĩnh.

•

Định tuyến động là kiểu định tuyến mà các thiết bị định tuyến (router)có thể tự
học đường và học các lớp thông qua các lớp mạng kết nối trực tiếp vớp các cổng
giao tiếp của router. Từ đó nó tạ ra một bảng định tuyến gồm có các thông tin và
các thông số đi đến các lớp mạng khác. Một số giao thức định tuyến được sử dụng
phổ biến là : OSPF, RIP, EIGRP,IGRP,…).

MÔ PHỎNG MẠNG RIÊNG ẢO VPN


Trang 20/ 35


•

Định tuyến tĩnh là phương thức định tuyến được thiết lập thủ công bởi người quản
trị, đường đi trên các router và các thông số như địa chỉ đich, địa chỉ ngồn, đường
đi ưu tiên… và các router không có khả năng tự học lớp mạng, tự tìm đường đi. Vì
vậy khi có sự thay đổi về mặt định tuyến thì người quản trị mạng phải trực tiếp
thay đổi bảng định tuyến.

Thiết bị định tuyến hiện nay là router. Thiết bị này thuộc lớp 3 (network) trong mô
hình OSI. Đây là thiết bị làm việc trực tiếp với các IP.

CHƯƠNG 2: ĐẶT VẤN ĐỀ VÀ TIẾN HÀNH THIẾT KẾ MẠNG
2.1 Đặt vấn đề.
Một công ty gồm có 2 cơ sở (một cơ sở chính, một chi nhánh). Hai cơ sở này ở
cách nhau rất xa. Cơ sở chính có 5 phòng: giám đốc, kinh doanh, nhân sự, kế toán, IT.
Chi nhánh có 4 phòng: giam đốc, kinh doanh, nhân sự, kế toán.
Yêu cầu:
•

Kết nối nối 2 cở sở lại với nhau. Việc truyền dữ liệu phải đảm bảo độ bảo mật.

MÔ PHỎNG MẠNG RIÊNG ẢO VPN


Trang 21/ 35

•
•
•
•

•
•

Xây dựng hệ thống mạng LAN cho mỗi cơ sở.
Thiết lập các server quản lí phân giải tên miền,trang mạng, email và cơ sở dữ liệu
của công ty. Việc sử dụng cơ sở dữ liệu phải được phân quyền.
Công ty có web là www.thanhnhan.com
Địa chỉ mail là : thanhnhan.com
Nhân viên có thể sử dụng internet.
Giảm tối đa chi phí xây dựng.

2.2 Giải pháp.
Để kết nối 2 cơ sở, có 2 cách. Cách thứ nhất là thuê một đường truyền internet
riêng bằng vật lí(leasedline). Cách thứ 2 là sử dụng đường truyền internet công cộng.
Cách thứ nhất chi phí vô cùng đắt đỏ, nhưng độ an toàn cao. Cách thứ hai rẻ hơn rất
nhiều, nhưng lại không đảm bảo độ an toàn. Vì vậy giải pháp đưa ra là thiết lập một
mạng riêng ảo VPN kết nối 2 cơ sở.
Tại mỗi cơ sở, xây dựng mạng LAN sao cho các phòng ban có thể giao tiếp với
nhau, nhưng phải khác lớp mạng , và dự trù khả năng mở rộng phòng ban trong trương
lai. Vì vậy tạo VLAN là giải pháp hợp lí, giúp giảm chi phí mua nhiều switch, nhưng
vẫn đảm bảo các phòng ban thuộc các lớp mạng khác nhau.
Xây dựng DNS server để phân miền địa chỉ cho web server, e-mail server, FTP
server. Đồng thời thiết lập mật khẩu cho mỗi phòng ban khi sử dụng email công ty,giới
hạn nhân viên được truy nhập cơ sở dữ liệu cung như hạn chế quyền tương tác với dữ
liệu đồng thời cung mật khẩu cho từng cá nhân.
2.3 Thiết kế .
2.3.1 Quy hoạch IP:
Bảng 2-1: Quy hoach IP cho cơ sở chính
PHÒNG
GIÁM ĐỐC

KINH DOANH
NHÂN SỰ
KẾ TOÁN
IT

LỚP MẠNG – ĐỊA CHỈ IP
192.168.10.0/24 DHCP
192.168.20.0/24 DHCP
192.168.30.0/24 DHCP
192.168.40.0/24 DHCP
192.168.50.0/24

MÔ PHỎNG MẠNG RIÊNG ẢO VPN

DEFAULT-ROUTE
192.168.10.1/24
192.168.20.1/24
192.168.30.1/24
192.168.40.1/24
192.168.50.1/24


Trang 22/ 35

PC IT
DNS SERVER
FTP SERVER
WEB SERVER
E-MAIL SERVER


192.168.50.2/24
192.168.50.3/24
192.168.50.4/24
192.168.50.5/24
192.168.20.6/24

Bảng 3-2: Quy hoach IP cho chi nhánh
PHÒNG
LỚP MẠNG
DEFAULT-ROUTE
GIÁM ĐỐC
172.16.10.0/24
172.16.10.1/24
KINH DOANH
172.16.20.0/24
172.16.20.1/24
NHÂN SỰ
172.16.30.0/24
172.16.30.1/24
KẾ TOÁN
172.16.40.0/24
172.16.40.1/24
Công t y mua 2 địa chỉ IP của nhà mạng là 172.17.1.2/24 cho chi nhánh và 168.68.1.2
cho cơ sở chính.
2.3.2 Mô hình thiết kế
Sử dụng phần mềm mô phỏng Cisco Packet Tracer.

MÔ PHỎNG MẠNG RIÊNG ẢO VPN



Trang 23/ 35

Hình 11 Mô hình mạng

MÔ PHỎNG MẠNG RIÊNG ẢO VPN


Trang 24/ 35

TÀI KIỆU THAM KHẢO
[1] www.hocmangcoban.com
[2] www.quantrimang.com
[3]www.thegioimang.vn
[4] Đàm Quang Hồng Hải (2010), Giao trình Mạng Máy Tính,NXB :ĐHQG-HCM
[5] Khương Anh(2005), Giáo Trình Hệ Thống Mạng Máy Tính CCNA Semester
2,NXB Lao Động Xã Hội .

MÔ PHỎNG MẠNG RIÊNG ẢO VPN


Trang 25/ 35

PHỤ LỤC
1 Thông tin cấu hình router cơ sở phụ.
Current configuration : 1941 bytes
version 12.4
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
hostname chinhanh

ip dhcp excluded-address 172.16.10.1
ip dhcp excluded-address 172.16.20.1
ipdhcp excluded-address 172.16.30.1
ip dhcp excluded-address 172.16.40.1
ip dhcp pool vlan10
network 172.16.10.0 255.255.255.0
default-router 172.16.10.1
dns-server 192.168.50.3
ip dhcp pool vlan20
network 172.16.20.0 255.255.255.0

MÔ PHỎNG MẠNG RIÊNG ẢO VPN