-1-

MỤC LỤC


-2Đồ án tốt nghiêp

Danh mục chữ viết tắt

DANH MỤC CHỮ VIẾT TẮT
Từ viết tắt

Từ đầy đủ

Ý nghĩa

3DES

Triple Data Encryption Standard

Thuật toán mật mã 3DES

AES

Advanced Encryption Standard

Tiêu chuẩn mã hóa tiên tiến

AH

Authentication Header

Giao thức tiêu đề xác thực

ATM

Asynchronous Tranfer Mode

Công nghệ truyền tải không đồng bộ

CHAP

Challenge Handshake Authentication Protocol

Giao thức xác thực yêu cầu bắt tay

DES

Data Encryption Standard

Thuật toán mật mã DES

DSL

Digital Subcriber Line

Đường dây thuê bao số

EAP

Extensible Authentication Protocol


Giao thức xác thực mở rộng

ESP

Encapsulating Security Payload

Giao thức tải an ninh đóng gói

FA

Foreign Agent

Đại diện tạm trú

FCS

Frame Check Sequence

Chuỗi kiểm tra khung

FR

Frame Relay

Chuyển tiếp khung dữ liệu

GRE

Generic Routing Encapsulation


Giao thức mã hóa định tuyến

GVPNS

Global VPN Service

Dịch vụ VPN toàn cầu

HA

Home Agent

Đại diện thường trú

HMAC

Hash-based Message Authentication Code

Mã nhận thực bản tin dựa trên hàm
băm

IANA

Assigned Numbers Authority

Tổ chức cấp phát số hiệu Internet

IAS


International Accounting Standards

Dịch vụ xác thực Internet

IETF

Internet Engineering Task Force

Cơ quan chuẩn Internet

IKE

Internet Key Exchange

Giao thức trao đổi khoá Internet

IP

Internet Protocol

Giao thức Internet

IPSec

Internet Protocol Security

Giao thức bảo mật Internet

ISDN


Integrated Service Digital Network

Mạng số liên kết đa dịch vụ

ISP

Internet Service Provider

Nhà cung cấp dịch vụ Internet

IVC

Integrity Value Check

Kiểm tra giá trị tính toàn vẹn

L2F

Layer 2 Forwarding

Giao thức chuyển tiếp lớp 2

L2TP

Layer 2 Tunneling Protocol

Giao thức đường hầm lớp 2

LCP


Link Control Protocol

Giao thức điều khiển liên kết

MAC

Message Authentication Code

Mã xác thực bản tin

MD5

Message Digest 5

Thuật toán MD5

MPPE

Microsoft Point-to-Point Encryption

Mã hoá điểm-điểm của Microsoft

NAS

Network Attached Storages

Ổ lưu trữ mạng


-3Đồ án tốt nghiêp


Danh mục chữ viết tắt

NDIS

Network Driver Interface Specification

Xác định giao diện mạng

NetBEUI

NetBIOS Extended User Interface

Giao thức truyền dẫn thích ứng với
NetBIOS

OSI

Open System Interconnection

Kết nổi hệ thống mở

PAP

Passwork Authentication Protocol

Giao thức xác thực mật khẩu

PBX


Private Branch Exchange

Tổng đài thuê bao

PIN

Personal Information Number

Mã số thông tin cá nhân

PKI

Public Key Infrastructure

Cơ sở hạ tầng khoá công khai

POP

Point of Presence

Điểm truy cập mạng

PPP

Point to Point Protocol

Giao thức điểm tới điểm

PPTP


Point to Point Tunneling Protocol

Giao thức đường ngầm điểm tới điểm

PSTN

Public Switched Telephone Network

Mạng điện thoại chuyển mạch công
cộng

QoS

Quality of Service

Chất lượng dịch vụ

RADIUS

Remote Authentication Dial-In User Service

Xác thực người dùng quay số từ xa

RAS

Remote Access Service

Dịch vụ truy nhập từ xa

RRAS


Routing and Remote Access Server

Máy chủ truy cập định tuyến và truy
cập từ xa

SA

Securty Association

Kết hợp an ninh

SAD

Security Association Database

Cơ sở dữ liệu liên kết bảo mật

SHA

Secure Hash Algorithm

Thuật giải băm an toàn

SPD

Security Policy Database

Chính sách bảo mật cơ sở dữ liệu


SPI

Sercurity Parameter Index

Chỉ số thông số an ninh

TCP

Transmission Control Protocol

Giao thức điều khiển đường truyền

UDP

User Datagram Protocol

Giao thức UDP

VDC

Vietnam Datacommunication Company

Công ty Điện toán và Truyền số liệu

VPN

Virtual Private Network

Mạng riêng ảo


WAN

Wide Area Network

Mạng diện rộng


-4Đồ án tốt nghiêp

Danh mục Hình vẽ

DANH MỤC HÌNH VẼ


-5Đồ án tốt nghiêp

Danh mục bảng

DANH MỤC BẢNG


-6-

CHƯƠNG 1. TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN
1.1. Giới thiệu về mạng riêng ảo VPN
Mạng riêng ảo VPN (Virtual Private Network) là một kỹ thuật đã xuất hiện từ
lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnh tranh khi xuất hiện công nghệ
mạng thông minh với đà phát triển mạnh mẽ của Internet. Trong thực tế, người ta
thường nói tới hai khái niệm VPN đó là: mạng riêng ảo kiểu tin tưởng (Trusted
VPN) và mạng riêng ảo an toàn (Secure VPN).

Mạng riêng ảo kiểu tin tưởng được xem như một số mạch thuê của một nhà
cung cấp dịch vụ viễn thông. Mỗi mạch thuê riêng hoạt động như một đường dây
trong một mạng cục bộ. Tính riêng tư của trusted VPN thể hiện ở chỗ nhà cung cấp
dịch vụ sẽ đảm bảo không có một ai sử dụng cùng mạch thuê riêng đó. Khách hàng
của mạng riêng ảo loại này tin tưởng vào nhà cung cấp dịch vụ để duy trì tính toàn
vẹn và bảo mật của dữ liệu truyền trên mạng. Các mạng riêng xây dựng trên các
đường dây thuê thuộc dạng “trusted VPN”.
Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mật dữ
liệu. Dữ liệu ở đầu ra của mạng nội bộ được mật mã rồi chuyển vào mạng công
cộng Internet và sau đó được giải mã dữ liệu tại phía thu. Dữ liệu đã mã hoá có thể
coi như được truyền trong một đường hầm (tunnel) bảo mật từ nguồn tới đích. Cho
dù một kẻ tấn công có thể nhìn thấy dữ liệu đó trên đường truyền thì cũng không có
khả năng đọc được vì dữ liệu đã được mã hoá.
Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sử
dụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các vị
trí của các công ty. Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựa trên
Internet. Khi nói đến mạng riêng ảo VPN chúng ta hiểu đó là mạng riêng ảo dựa
trên Internet.

1.1.1. Định nghĩa
VPN được định nghĩa là một kết nối mạng nội bộ của một tổ chức, công ty
hay doanh nghiệp nào đó được triển khai trên cơ sở hạ tầng mạng công cộng, điển


-7-

hình là mạng Internet với các chính sách quản lý và bảo mật giống như mạng cục
bộ.
VPN không phải là một khái niệm mới, chúng đã từng được sử dụng trong các
mạng điện thoại trước đây nhưng do một số hạn chế mà công nghệ VPN chưa có

được sức mạnh và khả năng cạnh tranh lớn. Trong thời gian gần đây, do sự phát
triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làm cho VPN thực sự có tính
mới mẻ. VPN cho phép thiết lập các kết nối riêng với những người dùng ở xa, các
văn phòng chi nhánh của công ty và đối tác của công ty đang sử dụng chung một
mạng công cộng đó là mạng Internet.

Nguồn: [12]
Hình 1.1. Mô hình mạng VPN

Hình 1.1. là một mô hình mạng riêng ảo điển hình dành cho một hệ thống
mạng doanh nghiệp, mô hình này gồm các thành phần chính của hệ thống mạng
như: các web server, ftp, email, ERP server có chức năng quản lý tài nguyên mạng
riêng của doanh nghiệp, các thiết bị firewall, company modem có chức năng bảo
mật, định tuyến các gói tin đã được mã hoá truyền từ mạng riêng qua mạng Internet
đảm bảo an toàn thông tin trong quá trình truyền và đến nơi nhận một cách bảo mật


-8-

bằng các giao thức đường hầm, các thiết bị người dùng như notebook, PC, được ví
như các VPN Client, đảm nhận việc thu nhận thông tin trao đổi với trụ sở chính với
hệ thống mạng riêng của doanh nghiệp.

1.1.2. Lịch sử phát triển của VPN
Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN), bắt
nguồn từ yêu cầu của khách hàng (client), mong muốn có thể kết nối một cách có
hiệu quả với các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng
(WAN). Trước kia, hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) trước kia
sử dụng các đường thuê riêng cho việc tổ chức mạng chuyên dùng để thực hiện việc
thông tin với nhau.

Các mốc đánh dấu sự phát triển của VPN:

1. Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ
dây chuyên dùng cho các khách hàng lớn. Colisee có thể cung cấp
phương thức gọi số chuyên dùng cho khách hàng. Dịch vụ này căn cứ
vào lượng dịch vụ mà đưa ra cước phí và nhiều tính năng quản lý khác.
2. Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên riêng
là mạng được định nghĩa bằng phần mềm SDN.
3. Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra
Ibercom.
4. Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một
số xí nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và có thể tiết
kiệm gần 30% chi phí, đã kích thích sự phát triển nhanh chóng dịch vụ
này tại Mỹ.
5. Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.
6. Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN; Telstra
của Ô-xtrây-li-a đưa ra dich vụ VPN rong nước đầu tiên ở khu vục châu
Á – Thái Bình Dương.
7. Năm 1992, Viễn thông Hà Lan và Telia Thuỵ Điển thành lập công ty
hợp tác đầu tư Unisource, cung cấp dịch vụ VPN.


-9-

8. Năm 1993, AT&T, KDD và viễn thông Singapore tuyên bố thành lập
Liên minh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế,
trong đó có dịch vụ VPN.
9. Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert, cung
cấp dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…
10. Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu

(GVPNS).
11. Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), Viễn thông
Pháp (French Telecom) kết thành liên minh Global One.
12. Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN, Công
nghệ này có mặt trên khắp các tạp chí khoa học công nghệ, các cuộc
hội thảo…Các mạng VPN xây dựng trên cơ sở hạ tầng mạng Internet
công cộng đã mang lại một khả năng mới, một cái nhìn mới cho VPN.
Công nghệ VPN là giải pháp thông tin tối ưu cho các công ty, tổ chức
có nhiều văn phòng, chi nhánh lựa chọn. Ngày nay, với sự phát triển
của công nghệ, cơ sở hạ tầng mạng IP (Internet) ngày một hoàn thiện đã
làm cho khả năng của VPN ngày một hoàn thiện.
Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho các dịch
vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện.

1.1.3. Các thành phần tạo nên VPN
Để triển khai một hệ thống VPN chúng ta cần có một số thành phần cơ
bản, nhưng việc tạo ra hệ thống VPN thì mỗi người sẽ có một sự lựa chọn thành
phần khác nhau để phù hợp với công ty hay mục đích của mỗi người, một số thành
phần cơ bản tạo nên VPN đó là: VPN Client, VPN Server, IAS Server, Firewall,
giao thức đường hầm và giao thức xác thực.
1.1.3.1. VPN client
Một khách hàng VPN có thể là một máy tính hoặc nó có thể là một bộ định
tuyến. Loại VPN khách hàng sử dụng cho mạng của công ty thực sự phụ thuộc
vào nhu cầu cá nhân của công ty đó.


-10-

Mặt khác, nếu công ty có một vài nhân viên những người đi công tác xa
thường xuyên và cần phải truy cập vào mạng của công ty trên đường đi, bạn có

thể sẽ được hưởng lợi từ việc thiết lập máy tính xách tay của nhân viên như VPN
client.
Về mặt kỹ thuật, bất kỳ hệ điều hành có thể hoạt động như một VPN Client
miễn là nó có hỗ trợ các giao thức như: giao thức đường hầm điểm-điểm
PPTP(Point To Point Tunneling Protocol), giao thức đường hầm lớp 2 L2TP (Layer 2
Tunneling Protocol) và giao thức bảo mật Internet IPSec (Internet Protocol
Security). Trong các hệ điều hành của Microsoft, bạn có thể sử dụng Windows XP,
Windows 7 hoặc ngay cả Windows 10. Ngày nay, với các phiên bản Windows mới
thì khả năng truy cập mạng VPN càng được phát triển tối ưu hơn, do đó vấn đề
không tương thích với các phiên bản hệ điều hành hiện nay là tồn tại.
1.1.3.2. VPN server
Các máy chủ VPN hoạt động như một điểm kết nối cho các khách hàng
VPN. Về mặt kỹ thuật, chúng ta có thể sử dụng Window Server 2008,
Window Server 2012 hoặc phiên bản mới nhất là Windows Server 2016 như là
một máy chủ VPN.
VPN Server khá đơn giản. Nó là một máy chủ chạy hệ điều hành Windows
Server 2016 và cài đặt dịch vụ máy chủ định tuyến và truy cập từ xa RRAS
(Routing and Remote Access Server). Khi một kết nối VPN đã được chứng thực,
các máy chủ VPN chỉ đơn giản là hoạt động như một bộ định tuyến cung cấp cho
khách hàng VPN có thể truy cập đến một mạng riêng.
1.1.3.3. IAS server
Một trong những yêu cầu bổ sung cho một máy chủ VPN là cần có một máy
chủ dịch vụ xác thực người dùng truy cập từ xa RADIUS (Remote Authentication
Dial In User Service). RADIUS là một server sử dụng quay số xác thực từ xa.
RADIUS là cơ chế mà các nhà cung cấp dịch cụ Internet thường sử dụng để xác
thực các thuê bao để thiết lập kết nối Internet.


-11-


Microsoft cũng có phiên bản riêng của RADIUS được gọi là dịch vụ xác
thực Internet IAS (International Accounting Standards). Các dịch vụ IAS có cả trên
Windows Server 2012 và Windows Server 2016.
1.1.3.4. Firewall
Các thành phần khác theo yêu cầu của mạng riêng ảo VPN (Virtual Private
Network) là một tường lửa tốt. Máy chủ VPN chấp nhận kết nối từ thế giới bên
ngoài, nhưng điều đó không có nghĩa là thế giới bên ngoài cần phải có quyền truy
cập đầy đủ đến máy chủ VPN. Chúng ta phải sử dụng một tường lửa để chặn bất
kỳ cổng nào không sử dụng.
Yêu cầu cơ bản cho việc thiết lập kết nối VPN là địa chỉ IP của máy chủ
VPN có thông qua tường lửa để tiếp cận với máy chủ VPN.
Chúng ta có thể đặt một máy chủ ISA giữa tường lửa và máy chủ VPN. Ý
tưởng là có thể cấu hình tường lửa để điều chỉnh tất cả lưu lượng truy cập VPN có
liên quan đến ISA Server chứ không phải là máy chủ VPN. ISA Server sau đó
hoạt động như một proxy VPN. Cả hai VPN Client và VPN Server chỉ giao tiếp
với máy chủ ISA mà không bao giờ giao tiếp trực tiếp với nhau. Điều này có
nghĩa là ISA Server che chắn các VPN Server từ các VPN Client truy cập đến, vì
thế cho VPN Server sẽ có thêm một lớp bảo vệ.
1.1.3.5. Giao thức đường hầm (Tunneling Protocol)
Khi VPN khách hàng truy cập vào một máy chủ VPN, họ làm như vậy qua
một đường hầm ảo. Đường hầm ảo này là một lối đi an toàn qua môi trường công
cộng như môi trường Internet). Để đào được một đường hầm như thế, ta cần phải
sử dụng một trong các giao thức đường hầm. Một số giao thức để lựa chọn để tạo
đường hầm như: IPSec, L2TP , PPTP và GRE. Nhưng để lựa chọn một giao thức
đường hầm phù hợp cho một mô hình mạng ở một công ty hay một doanh nghiệp
bất kỳ là một quyết định quan trọng khi lập kế hoạch để triển khai hệ thống VPN
cho doanh nghiệp, công ty đó.


-12-


Lợi thế lớn nhất mà L2TP hơn PPTP là nó dựa trên IPSec. IPSec mã hóa dữ
liệu, cung cấp xác thực dữ liệu, dữ liệu của người gửi sẽ được mã hóa và đảm bảo
không bị thay đổi nội dung trong khi truyền.
Mặc dù L2TP có vẻ là có lợi thế hơn so với PPTP, nhưng PPTP cũng có lợi
thế riêng đó là khả năng tương thích. PPTP hoạt động tốt với các hệ điều hành
Windows hơn L2TP.
1.1.3.6. Giao thức xác thực (Authentication Protocol)
Trong quá trình thiết lập một VPN, chúng ta phải chọn một giao thức xác
thực đi kèm. Hầu hết đa phần đều chọn MS-CHAP v2. MS-CHAP tương đối an
toàn, và nó tương thích với VPN Client sử dụng một trong số các hệ điều hành
Windows hiện nay nên lựa chọn tốt nhất là MS-CHAP.
1.2. Lợi ích của VPN

1.2.1. Lợi ích đối với khách hàng
•
•
•
•

Mở rộng kết nối ra nhiều khu vực và cả thế giới.
Tăng cường an ninh mạng.
Giảm chi phí so với thiết lập mạng WAN truyền thống.
Giúp nhân viên làm việc từ xa, do đó giảm chi phí giao thông và tăng

•
•
•
•


khả năng tương tác.
Đơn giản hoá mô hình kiến trúc mạng.
Cung cấp khả năng tương thích với mạng lưới băng thông rộng.
Giúp thu hồi vốn nhanh so với mạng WAN truyền thống.
Quản lý dễ dàng: trường hợp có khả năng quản lý số lượng người sử
dụng như các hoạt động thêm, xoá kênh kết nối diễn ra liên tục và nhanh
chóng. Hiện nay nhu cầu sử dụng tư vấn từ bên ngoài, các nguồn lực từ
bên ngoài để phục vụ cho công tác kinh doanh đã trở thành một xu

hướng.
• Khả năng cung cấp dịch vụ một cách nhanh chóng: VPN được cung cấp
trên mạng IP tích hợp được một số ưu điểm của mạng này đó là khả năng
liên kết lớn, mạng lưới sẵn có vì vậy giảm thiểu thời gian cung cấp dịch
vụ.


-13-

1.2.2. Đối với nhà cung cấp dịch vụ
• Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ
gia tăng giá trị khác kèm theo.
• Phí duy trì hệ thống cũng là một vấn đề đáng quan tâm, với VPN phí
duy trì rất rẻ, hơn thế nữa bằng việc thuê hạ tầng có sẵn của các công ty
cung cấp dịch vụ Internet thì chi phí duy trì không còn đáng lo ngại.
1.3. Ưu và nhược điểm của VPN:

1.3.1. Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho các công ty. Có thể dùng VPN
không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, người
dùng từ xa, mở rộng Intranet đến từng văn phòng, chi nhánh, không những chúng ta

có thể triển khai Extranet đến tận khách hàng và các đối tác chủ chốt mà còn làm
giảm chi phí cho các công việc trên thấp hơn nhiều so với việc mua thiết bị và
đường dây cho mạng WAN riêng. Những lợi ích này dù trực tiếp hay gián tiếp đều
bao gồm: tiết kiệm chi phí , tính mềm dẻo, khả năng mở rộng và một số ưu điểm
khác.
1.3.1.1. Giảm chi phí
Việc sử dụng mạng VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi
phí bảo trì thường xuyên. Tổng giá thành của việc sở hữu một mạng VPN sẽ được
giảm thiểu, do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết
bị mạng trên đường truyền backbone và duy trì hoạt động của hệ thống. Giá thành
cho việc kết nối LAN-to-LAN giảm từ 20 tới 30% so với việc sử dụng đường thuê
riêng truyền thống. Còn đối với việc truy cập từ xa giảm từ 60 tới 80%.
1.3.1.2. Linh hoạt trong vận hành và sử dụng
Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khai
thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng. Khách hàng có thể sử
dụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể
được sử dụng để kết nối các văn phòng nhỏ, các đối tượng di động. Nhà cung cấp


-14-

dịch vụ VPN có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết nối
modem 56 Kbit/s, ISDN 128Kbit/s, xDSL, T1, T2.
1.3.1.3. Mở rộng hệ thống
Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng Intertnet, bất
cứ ở nơi nào có mạng Internet thì đều có thể triển khai VPN. Mà mạng công cộng
có mặt ở khắp nơi nên khả năng mở rộng của VPN là rất linh động. Một cơ quan ở
xa có thể kết nối một cách dễ dàng đến mạng công ty bằng cách sử dụng hệ thống
mạng Internet có sẵn tại công ty thông qua các modum có chức năng VPN và mạng
VPN rất dễ dàng gỡ bỏ khi có nhu cầu. Khả năng mở rộng băng thông khi một văn

phòng, chi nhánh yêu cầu băng thông lớn hơn thì vẫn có thể nâng cấp dễ dàng.
1.3.1.4. Giảm thiểu các hỗ trợ kỹ thuật
Việc chuẩn hoá trên một kiểu kết nối từ đối tượng di động đến một điểm truy
cập mạng POP (Point of Presence) của nhà cung cấp dịch vụ ISP (Internet Service
Provider) và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về
nguồn hỗ trợ kỹ thuật cho mạng VPN. Và ngày nay, khi mà các nhà cung cấp dịch
vụ đảm nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗ trợ kỹ
thuật đối với người sử dụng ngày càng giảm.
1.3.1.5. Giảm thiểu các yêu cầu về thiết bị
Bằng việc cung cấp một giải pháp cho các xí nghiệp truy cập bằng quay số
truy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so với việc
bảo trì các modem riêng biệt, các card adapter tương thích cho các thiết bị đầu cuối
và các máy chủ truy cập từ xa. Một doanh nghiệp có thể thiết lập các thiết bị khách
hàng cho một môi trường đơn, như T1, với phần còn lại của kết nối được thực hiện
bởi ISP. Bộ phận T1 có thể làm việc thiết lập kết nối WAN và duy trì bằng cách thay
đổi dải modem và các mạch nhân của Frame Relay bằng một kết nối diện rộng đơn
có thể đáp ứng nhu cầu lưu lượng của các người dùng từ xa, kết nối LAN-LAN và
lưu lượng Internet cùng một lúc.


-15-

1.3.1.6. Phục vụ nhu cầu thương mại
Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để
đảm bảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản
phẩm của nhiều nhà cung cấp khác nhau có thể làm việc với nhau.
Đối với các vấn đề thiết bị và công nghệ viễn thông mới thì vấn đề cần quan
tâm là chuẩn hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng,
tính kế thừa, độ tin cậy, và hiệu suất hoạt động, đặc biệt là khả năng thương mại của
sản phẩm.


1.3.2. Nhược điểm
Mặc dù phổ biến nhưng mạng riêng ảo VPN (Virtual Private Network)
không hẳn là hoàn hảo và hạn chế thì luôn luôn tồn tại trọng bất kì hệ thống mạng
nào. Một số hạn chế cần lưu ý khi triển khai hệ thống VPN.
VPN đòi hỏi sự hiểu biết chi tiết về vấn đề an ninh mạng, việc cấu hình và
cài đặt phải cẩn thận, chính xác đảm bảo tính an toàn trên hệ thống mạng Internet
công cộng.
Độ tin cậy và hiệu suất của một VPN dựa trên Internet không phải là dưới
sự kiểm soát trực tiếp của công ty, vì vậy giải pháp thay thế là hãy sử dụng một
nhà cung cấp dịch vụ Internet tốt và chất lượng.
Việc sử dụng các sản phầm VPN và các giải pháp của các nhà cung cấp
khác nhau không phải lúc nào cũng tương thích do các vấn đề về tiêu chuẩn công
nghệ VPN. Khi sử dụng pha trộn và kết hợp các thiết bị sẽ có thể gây ra những vấn
đề kỹ thuật hoặc nếu sử dụng không đúng cách sẽ lãng phí rất nhiều chi phí triển
khai hệ thống.
Một hạn chế hay nhược điểm rất khó tránh khỏi của VPN đó là vấn đề bảo
mật cá nhân, bởi vì việc truy cập từ xa hay việc nhân viên kết nối với hệ thống văn
phòng bằng máy tính xách tay, máy tính riêng, khi đó nếu các máy tính của họ thực
hiện hàng loạt các ứng dụng khác, ngoài việc kết nối tới văn phòng làm việc thì
những tin tặc có thể lợi dụng yếu điểm từ máy tính cá nhân của họ tấn công vào


-16-

hệ thống của công ty. Vì vậy việc bảo mật cá nhân luôn được các chuyên gia
khuyến cáo phải đảm bảo an toàn.
1.4. Phân loại mạng riêng ảo VPN
Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản
sau:


• Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc di
động vào mạng nội bộ của công ty.
• Nối liền các chi nhánh, văn phòng di động.
• Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung
cấp dịch vụ hoặc các đối tượng bên ngoài khác.
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm hai loại:

• Mạng VPN Remote Access
• Mạng VPN Site to Site: bao gồm mạng VPN cục bộ (Intranet VPN) và mạng
VPN mở rộng (Extranet VPN).

1.4.1. Mạng VPN truy nhập từ xa (Remote Access VPN)
VPN truy cập từ xa cung cấp các dịch vụ truy nhập VPN từ xa (Remote
Access hay Dial-up VPN) đến một mạng Intranet hay Extranet của một tổ chức trên
nền hạ tầng mạng Internet. Dịch vụ này cho phép người dùng truy xuất tài nguyên
mạng của công ty của họ như họ đang được kết nối trực tiếp vào mạng đó.


-17-

Hình 1.2. Mô hình mạng VPN truy cập từ xa

VPN truy cập từ xa cho phép người dùng từ xa, người dùng di động của một
tổ chức có thể truy cập tới các tài nguyên mạng nội bộ của một công ty, doanh
nghiệp. Điển hình như các yêu cầu truy cập từ xa này được đưa ra bởi người dùng
đang di chuyển hoặc các nhánh văn phòng từ xa mà không có một kết nối cố định
tới Intranet của công ty, doanh nghiệp đó.
Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và
người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua đó để

kết nối tới mạng của công ty qua Internet.
Một số thành phần chính:
•

Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác
nhận và chứng nhận các yêu cầu gửi tới.

•

Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số
yêu cầu ở khá xa so với trung tâm.

•

Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và
hỗ trợ truy cập từ xa bởi người dùng.

•

Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc
các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung
cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua
Internet.

Các ưu điểm của mạng VPN truy nhập từ xa:
• Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi
vì quá trình kết nối từ xa được các ISP thực hiện.

• Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối
khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng

Internet.
• Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
• Bởi vì các kết nối truy nhập là nội bộ nên các modem kết nối hoạt động
ở tốc độ cao hơn so với các truy nhập khoảng cách xa.


-18-

• VPN cung cấp khả năng truy cập tốt hơn đến các site của công ty bởi vì
chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.
Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những
nhược điểm như:

• Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo chất lượng
dịch vụ QoS.
• Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát
không đến nơi hoặc mất gói.
• Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách
đáng kể.

1.4.2. Mạng site to site VPN
1.4.2.1. Mạng VPN cục bộ (Intranet VPN)
Intranet VPNs được sử dụng để kết nối đến các chi nhánh văn phòng của tổ
chức đến Corporate Intranet (backbone router) sử dụng campus router. Theo mô
hình này sẽ rất tốn chi phí do phải sử dụng 2 router để thiết lập được mạng, thêm
vào đó là việc triển khai, bảo trì và quản lý mạng Intranet Backbone sẽ rất tốn kém
và còn tùy thuộc vào lượng lưu thông trên mạng đi trên nó cùng với phạm vi vị trí
địa lý của toàn bộ mạng Intranet.
Ðể giải quyết vấn đề trên, sự tốn kém của đường truyền mạng WAN backbone
được thay thế bởi các kết nối Internet với chi phí thấp, điều này có thể giảm một

lượng chi phí đáng kể của việc triển khai mạng Intranet.


-19-

Intranet VPNs là một VPN nội bộ đươc sử dụng để bảo mật các kết nối giữa
các địa điểm khác nhau của một công ty. Điều này cho phép tất cả các địa điểm có
thể truy cập các nguồn dữ liệu được phép trong toàn bộ mạng của công ty. Các VPN
nội bộ liên kết trụ sở chính, các văn phòng, và các văn phòng chi nhánh trên một cơ
sở hạ tầng chung sử dụng các kết nối mà luôn luôn được mã hoá. Kiểu VPN này
thường được cấu hình như là một VPN Site-to-Site.

Hình 1.3. Mô hình mạng VPN nội bộ

Ưu điểm của việc thiếp lập dựa trên VPN là:

• Loại trừ được các Router từ đường WAN backbone.
• Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn. Cùng
với việc loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được chi
phí của hoạt động Intranet.
• Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện
mạng thông qua một hay nhiều nhà cung cấp dịch vụ).
• Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
• Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet,
nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.
Tuy nhiên cũng có một số nhược điểm:

• Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng như mạng
Internet nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và
mức độ chất lượng dịch vụ QoS (Quality of Service).

• Khả năng mất các gói dữ liệu khi truyền vẫn còn cao.


-20-

• Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và
QoS có thể không được đảm bảo.
• Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với
yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn
trong môi trường Internet.
1.4.2.2. Mạng VPN mở rộng (Extranet VPN)
Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng
VPN mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở
rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần
thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các
nhà cung cấp.
Theo cách này chi phí cực đắt vì mỗi mạng riêng trong Intranet phải hoàn
toàn thích hợp với mạng mở rộng. Đặc điểm này dẫn đến sự phức tạp trong việc
quản trị và thực thi của các mạng khác nhau. Hơn nữa rất khó mở rộng vì làm như
vậy có thể phải thay đổi toàn bộ mạng Intranet và có thể ảnh hưởng đến các mạng
mở rộng đã kết nối khác và đây có thể là một cơn ác mộng đối với các nhà thực thi
và quản trị mạng.
Thực thi giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễ
dàng và giảm chi phí đáng kể.


-21-

Hình 1.4. Mô hình mạng VPN mở rộng


Ưu điểm chính của Extranet VPN là:
• Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt
động.
• Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có
nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp
với các nhu cầu của mỗi công ty hơn.
• Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì,
nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm
được chi phí vận hành của toàn mạng.
Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn
những nhược điểm đi cùng như:
• Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức, khả năng bảo mật
thông tin, mất dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại.
• Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu
truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong
môi trường Internet.


-22-

1.5. Kết luận chương
Chương này đã đưa ra khái niệm và lịch sử ra đời của công nghệ mạng riêng
ảo VPN. Đây là một công nghệ đang được các doanh nghiệp tin dùng để bảo mật
các thông tin nội bộ công ty giữa các nhân viên truy cập từ xa, hay các chi nhánh,
đối tác cần được kết nối để trao đổi với nhau, nhờ VPN mà hiện nay vấn đề vị trí,
thời gian làm việc, giúp mở rộng phát triển hệ thống mạng của các doanh nghiệp
một cách mềm dẻo, dễ dàng tiếp cận với khách hàng một cách trực tiếp và điều
quan trọng nhất là tính an toàn thông tin mà VPN mang lại cho doanh nghiệp vẫn
được đánh giá cao về chất lượng mà VPN mang lại.
Mạng VPN gồm các thành phần chính là VPN Client, VPN Server, IAS

Server, Firewall, các giao thức xác thực và thành phần quan trọng đóng vài trò nền
tảng của VPN đó là giao thức đường hầm VPN.
Dựa trên những yêu cầu mà VPN cần đáp ứng cho hệ thống mạng người
dùng, mạng riêng ảo được chia ra làm 2 loại đó là: Remote Access VPN và Site-toSite VPN. Trong đó Site-to-Site bao gồm 2 mô hình là Intranet VPN và Extranet
VPN. Intranet VPN được sử dụng để kết nối các mạng LAN từ các văn phòng chi
nhánh ở xa của một tổ chức đến trụ sở chính còn Extranet VPN thì được sử dụng để
kết nối các mạng khách hàng của tổ chức đến mạng nội bộ của doanh nghiệp. Xét
về phạm vi mở rộng của 2 mô hình này thì mạng Extranet rộng hơn so với mạng
Intranet, vì đối tượng kết nối luôn thay đổi và khó có thể đảm bảo trước nên yêu cầu
bảo mật cũng sẽ cao hơn. Trong khi đó thì Remote access VPN được sử dụng cho
những người làm việc lưu động hoặc những văn phòng ở xa với dung lượng thấp.
Trong chương tiếp theo sẽ trình bày cụ thể hơn về các giao thức đường hầm,
mã hoá và các thành phần bảo mật của VPN.


-23-

CHƯƠNG 2. BẢO MẬT TRONG VPN
2.1. Khái niệm giao thức đường hầm
Giao thức đường hầm là một khái niệm quan trọng của VPN, nó cho phép
các công ty, doanh nghiệp có thể tạo ra các mạng ảo dựa mạng Internet. Mạng ảo
này không cho phép những người không có quyền truy cập vào. Đường hầm cung
cấp một kết nối logic điểm-điểm đưa ra là mã hoá dữ liệu trước khi truyền. Dữ liệu
truyền trong đường hầm chỉ có thể được đọc bởi người nhận và người gửi. Đường
hầm tạo cho VPN có tính chất an toàn bảo mật cho mạng nội bộ công ty, doanh
nghiệp. Trong chương này chúng ta sẽ đi sâu hơn và cụ thể hơn về các giao thức
đường hầm.

2.1.1. Giới thiệu các giao thức đường hầm
Có rất nhiều giao thức đường hầm khác nhau trong công nghệ VPN, và việc

sử dụng các giao thức nào liên quan đến các phương pháp xác thực và mật mã đi
kèm. Một số giao thức đường hầm phổ biến hiện nay là:

• Giao thức đường hầm chuyển tiếp lớp 2 L2F (Layer 2 Forwarding)
• Giao thức đường hầm điểm tới điểm PTPP (Point to Point Tunneling
Protocol)
• Giao thức đường hầm lớp 2 L2TP (Layer 2 Tunneling Protocol)
• Giao thức bảo mật Internet IPSec (Internet Protocol Security)

2.1.2. Lợi thế của kỹ thuật đường hầm
• Bảo mật: Ngăn chặn sự xâm nhập bất hợp pháp từ cá nhân nào vào đường
hầm. Nhờ đó dữ liệu sẽ được bảo đảm an toàn mặc dù nó được truyền qua
một môi trường truyền thông tin công cộng, kém an toàn như Internet.
• Hiệu quả về mặt kinh tế: Đường hầm dùng mạng công cộng làm môi trường
truyền dẫn dữ liệu. Chi phí cho việc này là cực rẻ nếu so với việc xây dựng
những đường dây riêng nối từ nơi này đến nơi khác trên một khoảng cách
dài. Bên cạnh đó, các tổ chức có thể tiết kiệm được những khoản tiền thường
niên để quản lý và bảo trì đối với các giải pháp đắt tiền khác.


-24-

• Không cần quan tâm đến giao thức: Dữ liệu thuộc về giao thức không định
tuyến, như mạng NetBIOS và mạng NetBEUI không tương thích với giao
thức Internet TCP và IP. Do đó các gói tin không thể gửi qua Internet. Tuy
nhiên, đường hầm cho phép chúng ta gửi những gói tin không IP đến đích
bằng cách đóng gói chúng trong các gói tin IP.

2.1.3. Các thành phần của kỹ thuật đường hầm
Để triển khai một đường hầm giữa hai điểm, chúng ta cần có bốn thành phần

cho đường hầm:
Home network: là mạng đích chứa những tài nguyên được sử dụng từ xa bởi
các máy khách.
Initiator node: Người dùng ở máy truy cập từ xa hoặc máy chủ khởi tạo một
phiên làm việc VPN. Initiator có thể là một phần của mạng nội bộ hoặc là một
người dùng di động.
Home agent: Phần mềm nằm ở một điểm truy cập ở target network. HA sẽ
nhận yêu cầu và kiểm tra xem máy chủ yêu cầu có thẩm quyền truy cập không. Nếu
kiểm tra thành công, HA sẽ bắt đầu thiết lập đường hầm.
Foreign agent: Phần mềm nằm trong Initiator hoặc một điểm truy cập mạng
chứa Initiator. Initiator sử dụng FA để yêu cầu một phiên làm việc VPN từ HA tại
mạng đích.

2.1.4. Hoạt động của kỹ thuật đường hầm
Quá trình hoạt động của kỹ thuật đường hầm được chia làm 2 Phase:
Phase 1: Initiator node (nút bắt đầu) yêu cầu một VPN session và được
chứng thực bởi HA tương ứng (là giao diện phần mềm lưu trú tại nút truy cập mạng)
trong mạng đích. HA sẽ nhận và chứng thực incoming requests để xác nhận những
requests từ các host được uỷ thác. Dựa vào sự chứng thực ban đầu HA sẽ cho phép
thiết lập tunnel. Một yêu cầu kết nối sẽ được bắt đầu và các thông số session được
thoả thuận. Nếu request đó được chấp nhận và các thông số session được thoả thuận
thành công, một tunnel sẽ được thiết lập giữa hai điểm cuối giao tiếp.


-25-

Các bước thiết lập một tunnel:

• Sender gởi yêu cầu kết nối đến FA.
• FA sẽ chứng thực yêu cầu kết nối bằng việc xác nhận giá trị của login

name và password được cung cấp bởi user. Thông thường FA sử dụng
dịch vụ RADIUS để chứng thực sự đồng nhất của Initiator node.
• Nếu login name và password không đúng thì yêu cầu tạo một VPN
session sẽ bị từ chối. Ngược lại FA chứng thực thành công sự đồng nhất
Initiator, FA sẽ forward yêu cầu đến HA của mạng đích.
• Nếu request được chấp nhận bởi HA, FA sẽ gởi login IP đã được mã hoá
và password tương ứng với nó.

Hình 2.1. Quá trình thiết lập tunnel

• HA xác nhận thông tin đã được cung cấp. Nếu xác nhận thành công, HA
sẽ gởi Registry Reply cùng với tunnel number đến FA.
• Một tunnel sẽ được thiết lập khi FA nhận được Registry Reply và tunnel
number.
Phase 2: Truyền dữ liệu trên tunnel
Sau khi thiết lập tunnel, việc trao đổi dữ liệu diễn ra như sau:

• Sender bắt đầu chuyến tiếp các gói dữ liệu đến FA.
• FA sẽ tạo một tunnel header và gắn nó vào mỗi gói dữ liệu. Thông tin
header của một giao thức định tuyến ( đã thoả thuận ở phase 1) được gắn
trên packet.
• FA chuyển tiếp gói dữ liệu đã được mã hoá đến HA bằng việc sử dụng
tunnel number.