1

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
-------------------------------

NGUYỄN QUỐC CƯỜNG

NGHIÊN CỨU VPN
VÀ GIẢI PHÁP TRIỂN KHAI IPSEC VPN
KẾT NỐI MẠNG NỘI TỈNH

CHUYÊN NGÀNH : TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH

MÃ SỐ:260.48.15
Người hướng dẫn khoa học: TS Trần Việt Hưng
TĨM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT

HÀ NỘI – 2011


2

MỞ ĐẦU

1. Tính cấp thiết của đề tài.
Hiện nay cơng nghệ VPN đã trở thành cần thiết xây
dựng mạng lưới doanh nghiệp lựa chọn bảo mật, ứng dụng
này để phát triển các nhu cầu của thị trường, giới thiệu các
công nghệ VPN chính, tích hợp VPN gateway xu hướng bảo
mật và ứng dụng.
Cuối năm 1999, IETF IPsec Security Nhóm làm việc

hoàn thành mở rộng, trong thỏa thuận với IPsec ISAKMP
(Internet

Security Association và

Key Management

Protocol) giao thức, phân phối chính thức IKE, Oakley.
ISAKMP / IKE / Oakley hỗ trợ tự động tạo ra mật mã, kênh
chứng thực, cũng như phân phối trọng điểm và cập nhật bảo
mật tự động. IPsec định nghĩa một tập hợp các tính tồn vẹn
cho việc bảo vệ tư nhân và các giao thức tiêu chuẩn. IPsec
hỗ trợ một loạt các thuật tốn mã hóa như DES, 3DES.
Hiện nay khơng chỉ Bưu điện tỉnh Hịa Bình mà hầu hết
các Bưu điện tỉnh thành đang triển khai phương án kết nối
mạng theo hình thức thuê kênh Megawan. Trước yêu cầu đó
Bưu điện tỉnh Hịa Bình xây dựng giải pháp kết nối nội tỉnh


3

bằng phương thức IPSec VPN (Internet Protocol Security)
và SSL VPN (Secure Socket Layer) trên nền Internet cho
các điểm triển khai online, đáp ứng yêu cầu về mở rộng
phạm vi kết nối, triển khai phát triển các dịch vụ Bưu chính
có tiền năng (ePost,Paypost…) tới các điểm Bưu cục, đồng
thời giảm chi phí kết nối so với triển khai kết nối theo hình
thức Megawan.
2. Mục đích nghiên cứu
Nghiên cứu hồn thiện mạng tin học Bưu Điện Tỉnh

Hịa Bình.
3. Đối tượng và phạm vi nghiên cứu
Mạng Bưu chính Bưu Điện Tỉnh Hịa Bình
4. Phương pháp nghiên cứu
Phương pháp thu thập tài liệu, phương pháp tổng hợp phân tích số liệu, phương pháp thực nghiệm.
5. Kết cấu của luận văn:
Chương 1 : Tổng quan Ipsec VPN.
Chương 2 : Ipsec VPN
Chương 3 : Mô tả giải pháp VPN triển khai thực tế trên
mạng lưới.


4

Chương 1
TỔNG QUAN IPSEC VPN

1.1. Khái niệm VPN
VPN (Virtual Private Network ): hay còn gọi là: Mạng
riêng Ảo, cho phép mở rộng phạm vi mạng nội bộ bằng cách sử
dụng lợi thế của internet để tạo một đường hầm ảo kết nối từ xa.
Kỹ thuật VPN cho phép ta kết nối với một host (máy tính) nằm
xa hàng ngàn km với mạng LAN của mình và làm cho nó trở
thành một node (nút mạng ) hay một PC nữa trong mạng LAN.
Một đặc điểm nữa của VPN là sự kết nối giữa clients và mạng
ảo của bạn khá an toàn như chính bạn đang ngồi trong cùng một
mạng LAN.

1.2. Giới thiệu về Ipsec VPN và SSL VPN
1.2.1. Ipsec VPN là gì ?

IPSEC VPN (Internet Protocol Security) là giao thức mạng
về bảo mật (security) và thường được liên kết với VPN (tất
nhiên bạn hồn tồn có thể dùng IPSEC ở trong mạng cục bộ
LAN).

1.2.2. SSL VPN là gì ?
Thuật ngữ SSL VPN được dùng để chỉ một dòng sản phẩm
VPN mới và phát triển nhanh chóng dựa trên giao thức SSL


5

1.2.3. Lựa chọn SSL VPN hay IPSec VPN?
Trước tiên, cần phải khẳng định là SSL VPN và IPSec
VPN không phải là hai cơng nghệ loại trừ lẫn nhau. Thường thì
hai công nghệ này đồng thời được triển khai trong cùng một
công ty.
1.2.3.1 Kiểu kết nối, kiểu truy cập
IPSec VPN phù hợp cho các kết nối theo kiểu site-to-site.
Nó là sự lựa chọn tốt nhất cho các mạng LAN từ xa kết nối với
nhau hay kết nối với mạng trung tâm
Nhưng khi người dùng di động từ xa từ các vị trí cơng
cộng ít tin cậy như sân bay, nhà ga, khách sạn, tiệm cà phê
internet muốn truy cập vào tài ngun của cơng ty họ thì giải
pháp IPSec VPN tỏ ra nhiều bất cập và đó chính là ưu điểm của.
1.2.3.2 Phần mềm khách (Client software)
IPSec VPN yêu cầu cần phải có phần mềm Client cài đặt
tại các máy tính để bàn hoặc máy tính xách tay
SSL VPN chỉ cần hệ điều hành có một trình duyệt
(browser) bất kỳ hỗ trợ giao thức SSL là có thể thực hiện ngay

được một kết nối an toàn, dễ dàng vào bảo mật (security)
1.2.3.3 Mức độ an toàn của thiết bị truy cập hay kết nối
mạng từ xa:
Với IPSec VPN (Virtual Private Network), người dùng từ
xa (mobile user) hay mạng LAN từ xa (remote network) kết nối


6

đến cơng ty có thể dễ dàng truy cập đến toàn bộ tài nguyên
mạng (FTP, Email, Web, CRM, ERP..v.v. ) như thể họ đang
ngồi làm việc tại công ty.
SSL VPN là một lựa chọn hợp lý nhất nhằm giảm thiểu tất
cả các nguy cơ đến từ các kết nối từ xa này nhờ cơ chế kiểm
soát đến từng chi tiết
1.2.3.4 Quản lý và kiểm soát truy cập từ xa bằng IPSec
VPN(Access Control):
IPSec VPN được thiết kế để mở rộng phạm vi của mạng
LAN.
Mọi việc sẽ khác đi nếu chúng ta cho phép các nhân viên
thường xuyên di chuyển (mobile user, telecom user.v.v), các đại
lý, các nhà cung cấp, nhà thầu, các đối tác thương mại .v.v. kết
nối vào mạng chúng ta từ xa (remote access).Giải pháp SSL
VPN là một lựa chọn hợp lý nhất nhằm giảm thiểu tất cả các
nguy cơ đến từ các kết nối từ xa này nhờ cơ chế kiểm soát đến
từng chi tiết
1.2.3.5. Mức độ bảo mật (security) :
Khi so sánh SSL VPN và IPSec VPN thường mọi người có
câu hỏi được đặt ra là “Giao thức IPSec VPN và SSL VPN thì
cái nào an tồn hơn?”. Thật ra, cả hai giao thức bảo mật này đều

bảo mật tốt cho hệ thống. Chúng đều cung cấp một phương


7

pháp trao đổi khóa an tồn (secure key exchange) và phương
pháp mã hóa mạnh (encrytion).
1.2.3.6 Vấn đề tương thích với Firewall, tính năng
NAT:
Việc kết nối IPSec thơng qua Firewall cũng là một khó
khăn. IPSec VPN dùng các giao thức AH (Authenticated
Header) hoặc/và ESP (Encapsulating Security Payload).
IPSec khơng tương thích với việc chuyển đổi địa chỉ mạng
bằng tính năng NAT (Network Address Translation).
SSL VPN tương thích hồn tồn với Firewall, NAT
hayserver proxy.
1.2.3.7 Ứng dụng:
IPSec VPN hỗ trợ tất cả các ứng dụng trên nền tảng IP.
Một khi kênh IPSec được thiết lập, tất cả các dịch vụ ứng dụng
từ các ứng dụng truyền thống như web, thư điện tử, truyền file
đến các ứng dụng khác như ICMP, VoIP, SQL.v.v các ứng dụng
đa dịch vụ IPTV, MyTVVideo Server… đều cho phép đi ngang
qua kênh này.
Còn SSL VPN cung cấp các ứng dụng trên nền Web
(Web-based

application),

(POP3/IMAP/SMTP).


các

ứng

dụng

e-mail


8

Chương 2
IPSEC VPN

2.1. Khái niệm
IPSec có nghĩa là Internet Protocol SECurity. Nó dùng để
chỉ một bộ các giao thức (AH, ESP, FIP-140-1, v.v..) được phát
triển bởi Internet Engineering Task Force (IETF).

2.2. Các thuật toán dùng trong Ipsec VPN
Thuật Toán DES: Là phương thức mã hóa dữ liệu dùng
khóa 56 bit cho block dữ liệu
Thuật Tốn 3DES: Dùng khóa có chiều dài 168 bit.
IKE: làm nhiệm vụ trao đổi key giữa các vpn gateway.

2.3 Kết hợp bảo mật IPSec
Kết hợp bảo mật (SAs) là khái niệm cơ bản của giao thức
IPSec. Theo người phát triển IPSec, SA là một kết nối logic
không định hướng giữa hai máy dùng dịch vụ IPSec.
Một IPSec SA sử dụng hai cơ sở dữ liệu. Security

Association Database (SAD) (Cơ sở dữ liệu kết hợp bảo mật)
chứa thông tin liên quan về các SA. Thông tin bao gồm các
khóa giải thuật, chu kì sống của SA, và chuỗi số. Cơ sở dữ liệu
IPSec thứ hai, Security Policy Database (SPD) (Cơ sở dữ liệu


9

cách thức bảo mật) , chứa thông tin về dịch vụ bảo mật gồm
một danh sách các thực thể truyền đi và nhận về.
2.4 Ipsec security protocols
IPSec gồm ba chức năng chính sau

- Xác thực và tịan vẹn dữ liệu
- Tin cẩn

- Quản lý khóa
2.4.1. Authentication Header Protocol
Giao thức header xác thực (AH) đính thêm vào header của
IP datagram. Header này cung cấp IP datagram gốc tại nơi nhận.
Để tạo ra HA, Hashed Authentication Message Code
(HMAC) được tạo ra tai nơi gửi. Mã hash code được tạo ra trên
một SA xác định, xác định thứ tự biến đổi datagram. Mã sẽ
được đính vào sau IP header ban đầu. Tại nơi nhận, HMAC
được giải mã để xác định người gửi cũng như tính tịan vẹn của
dữ liệu.
2.4.2. Giao thức Encapsulating Security Payload (ESP)
ESP giúp tăng độ tin cậy trong quá trình xác định người
người và xác minh tính tịan vẹn của dữ liệu trong quá trình
truyền qua mạng. ESP se mã hóa nội dung của datagram bằng

các giải thuật mã hóa


10

So sánh ESP với AH ta thấy rằng : AH chú trọng đến việc
xác minh và bảo vệ tòan vẹn dữ liệu của IP datagram, trong khi
đó ESP chỉ bảo vệ phần payload (chứa nội dung cần truyền ).
2.5 Ipsec Modes
SA trong IPSec được thực thi trong hai mode. Gồm đó
mode truyền tải(Transport mode) và mode đường hầm (Tunnel
mode). Cả AH va ESP đều hoạt động ở cả hai mode.
2.5.1. Mode chuyền tải
Mode chuyển tải bảo vệ các giao thức ở lớp trên và các
trình ứng dụng. Trong mode chuyền tải, IPSec header được gắn
vào giữa IP header và header của các giao thức lớp trên.
Mode truyển tải ít sử lý ở phần đầu của datagram nên nó
nhanh hơn. Tuy nhiên nó sẽ khơng hiệu quả với ESP hoặc các
trường hợp khơng xác thực cũng như mã hóa IP header.
2.5.2. Mode đường hầm
Mode đường hầm bảo vệ tòan bộ IP datagram. Tòan bộ IP
datagram được bọc lại vởi một IP datagram khác, sau đó một
IPSec header đính vào giữa IP header cũ và mới.
2.6 Internet key exchange
Nó cịn có tên khác là ISAKMP/Oakley, ISAKMP có
nghĩa là Bảo mật mạng và quản lý khóa (Internet Security
Association and Key Management Protocol).


11


IKE là sự kết hợp của giao thức ISAKMP, Oakley, và
SKEME. Nó dử dụng ISAKMP làm framework cơ bản cịn giao
thức Oakley and SKEME dùng trong quá trình trao đổi khóa.
IKE làm việc ở hai pha, pha I và pha II
2.6.1. Pha IKE
Trong IKE, mặc định rằng một đường truyền đảm bảo đã
được thiết lập. Đường truyền đảm bảo này phải được thiết lập
trước khi dàn xếp bất kì thơng số nào
2.6.1.2. Pha I IKE
Trước tiên, pha I IKE sẽ xác thực đầu cuối của q trình
thơng tin và thiết lập các kênh truềyn bảo đảm cho SA.
Pha này sẽ thiết lập một sự liên kết bảo mật để khung
ISAKMP sử dụng.
Nếu hai bên chọn ra được một khóa xác thực công cộng,
hai bên cần phải trao đổi ID của chúng. Sau khi trao đổi thơng
tin cần thiết, sau đó cả hai bên sẽ tạo ra khóa bí mật của riêng
chúng dựa trên thông tin trao đổi. Thông qua cơ chế này, khóa
mật mã được tạo ra mà khơng cần phải trao đổi bất kì khóa náo
khác qua mạng


12

2.6.1.2. IKE Pha II
Trong pha này, SA sẽ sử dụng những dịch vụ đã được dàn
xếp trước đó.Cơ chế các thực, hàm hash code, giải thuật mật mã
sẽ bảo vệ các gói (sử dụng AH and ESP).
Thỏa thuận pha II xảy ra thường xuyên hơn thỏa thuận pha
I. Thỏa thuận pha II sẽ được lặp lại sau 4-5 phút.

Thông thường nhiều phiên làm việc pha II được hỗ trợ bởi
một phiên làm c việc pha I duy nhất. Điều này giúp nghiệp vụ
IKE trở nên nhanh hơn.
Oakley là một giao thức của IKE. Oakley gồm bốn mode
IKE.
2.6.2. Mode IKE
 Bốn mode chính IKE
 mode chính
 Aggressive mode
 mode nhanh
 New Group mode
2.6.2.1. Mode chính
Mode chính xác minh và bảo vệ hai bên trao đổi thơng tin.
Trong mode này hai phía sẽ trao đổi sáu thông điệp.


13

2.6.2.2. Aggressive Mode
Aggressive mode trao đổi ba thông điệp thay vì sáu như
main mode. Nhờ vậy, Aggressive mode nhanh hơn Main mode.
2.6.2.3. Mode nhanh
Mode IKE thứ ba, mode nhanh, là mode pha II. Nó dùng
để thống nhất SA cho dịch vụ bảo mật IPSec. Bên cạch đó quick
mode cũng tạo ra những dữ liệu cần thiết cho việc tao ra khóa.
Nếu cách thức của Perfect Forward Secrecy (PFS) được thống
nhất sớm từ pha I, một khóa Diffie-Hellman hịan chỉnh sẽ được
khởi tạo. Ngược lại một khóa mới được tạo ra bằng cách sử
dụng giá trị hash.
2.6.2.4. New Group Mode

New group mode dùng để tạo ra một nhóm riêng mới.
Việc này giúp cho việc trao đổi khóa Diffie-Hellman trở nên
thuận tiện hơn. Hình 2-18 minh họa new group mode.Mặc dù
mode này xảy ra sau pha I nhưng nó khơng phải là một phần
của pha II.
Bên cạnh bốn mode IKE chung vừa nêu trên cịn có
inormational mode. Mode này được kết hợp với sự trao đổi ở
pha II và SA. Mode này sẽ cung cấp những thông tin thêm về
hai bên gửi và nhận dữ liệu.
2.7 Các chính sách bảo mật cho Ipsec VPN :
- Sử dụng Wizards cho cài đặt hệ thống VPN


14

- Cấu hình chặt chẽ các chính sách quản lý truy cập
- Tận dụng chức năng NAT của firewall để che giấu địa
chỉ IP nội mạng
- Tường lửa SifoWorks U
- Công nghệ lọc URL (Filtering URL)
- Sử dụng chức năng quản lý thời gian thực mạnh mẽ của
firewall
- SifoWorks U-series cho phép công ty quản lý các ứng
dụng nhắn tin nhanh (Instant Messaging) và download P2P gây
nên những lỗ hổng bảo mật và chiếm dụng dung lượng đường
truyền bằng cách khóa các tên tập tin gửi kèm cụ thể hay lọc
qua ActiveX, Java hay thông tin Cookie gửi kèm trong các trang
web.



15

Chương 3
MÔ TẢ GIẢI PHÁP VPNTRIỂN KHAI THỰC TẾ
TRÊN MẠNG LƯỚI

3.1 Điều kiện triển khai Ipsec VPN và SSL VPN:

- Tại trung tâm tỉnh phải đăng ký 01 đường MegaVNN
hoặc FTTH
- Phải có Firewall hoặc router layer3 làm VPN Server
- Tại các điểm triển khai kết nối phải có 01 đường
MegaVNN
- Có phần mềm Forticlient đối với các điểm triển khai
IPSec VPN và Internet Explorer đối với các điểm triển khai SSL
VPN
3.2 Sơ đồ mạng bưu chính Hịa Bình sau khi triển khai
kết nối nội tỉnh theo giải pháp mới ( IPSEC VPN VÀ SSL
VPN ):


16

Hình 3-1: Sơ đồ mạng Bưu chính Hịa Bình
3.3 Cấu hình Ipsec VPN trên mạng lưới (Giải pháp
dùng cho các điểm triển khai kết nối cố định địi hỏi tính
liên tục trong kết nối như Bưu cục 2, 3):
3.3.1 Cấu hình Internet tại trung tâm tỉnh:



17

Hình 3-4: Giao diện cấu hình sau khi đăng nhập tài
khoản admin
3.3.2 Cấu hình IPSEC VPN tại trung tâm tỉnh:

Hình 3-10: Thiết lập rule cho cấu hình IPSEC VPN


18

3.3.3 Cấu hình Internet tại các điểm triển khai kết nối
(dựa trên

thiết bị đang triển khai thực tế tại đơn vị

modem Linksys AG241)

Hình 3-27: Giao diện kết nối sau khi cấu hình các tham
số kết nối VPN

3.4 Cấu hình SSL VPN trên mạng lưới(Giải pháp dùng
cho các điểm BĐVHX, các điểm Đại lý, người dùng
di động khơng địi hỏi tính kết nối liên tục):
3.4.1

Cấu hỉnh SSL VPN tại trung tâm tỉnh


19


Hình 3-28: Giao diện cấu hình SSL VPN
3.4.2

Cấu hình SSL VPN Client tại các điểm triển

khai kết nối

Hình 3-35: Giao diện login để thực hiện kết nối SSL
VPN bằng Internet Explorer


20

3.5 Kết quả thực nghiệm :
Bảng 3-1 : Danh sách dự kiến triển khai mở rộng kết nối
dùng hình thức Megawan nội tỉnh
T

Đơn vị

T

Băng

Hình

Chi phí

thơng


thức

thanh tốn

(DOW kết nối

thường

N/UP)

xun

Ghi chú

VNĐ
(VAT 10%)
1

Các điểm đang
triển khai thực tế

4.096K Megaw
bps/64

(Trung tâm dữ liệu 0Kbps

1.818.181

an Nội

tỉnh

+ Bưu điện Hịa
Bình + TTKhai
thác + TTChuyển
tiền
2

10 điểm BC2 + 7
BC3

512Kb Megaw
ps

15.912.000

an

1 điểm =
936.999
VNĐ/thán
g

Bảng 3-2 : Danh sách dự kiến triển khai mở rộng kết nối
dùng hình thức VPN


21

T


Đơn vị

T

Băng

Hình

Chi phí

thơng

thức

thanh tốn

(DOW kết nối

thường

N/UP)

xun

Ghi chú

VNĐ
(VAT 10%)
1


Các điểm đang
triển khai thực tế

8Mbps/ FTTH

2.200.000

8Mbps

Trung tâm dữ liệu
+ Bưu điện Hịa
Bình + TTKhai
thác + TTChuyển
tiền
2

10 điểm BC2 + 7
BC3

2.048K IPSEC
bps/51

VPN

2Kbps

4.675.000

1 điểm =

275.000
VNĐ/thán
g

So sánh nếu triển khai theo hình thức VPN so với hình
MegaWan nội tỉnh 1 tháng chi phí thanh tốn thường xuyên
hiện tại chênh nhau 10.855.181 VNĐ/tháng (VAT 10%)  chi
phí th kênh bằng hình thức kết nối VPN giảm 130.262.172
VNĐ/năm (VAT 10%) so với megawan.


22

KẾT LUẬN
Khả năng đáp ứng mạng lưới:
1 Giải pháp kết nối nội tỉnh IPSec VPN và SSL VPN đã
đáp ứng được yêu cầu về bảo mật, về kết nối, về truyền
nhận giữa trung tâm tỉnh với các điểm Bưu điện trực
thuộc. Tương thích tốt với các dịch vụ chạy trên nền IP,
đảm bảo hoạt động thông suốt của hoạt động sản xuất
kinh doanh.
2. Giải pháp vẫn đảm bảo việc kết nối từ các điểm Bưu điện
huyện/thị, Bưu cục 3, điểm BĐVHX v.v… tới mạng liên
tỉnh đi Post*net, phục vụ việc triển khai các dịch vụ CFM;
Paypost; Epost v.v… giúp tăng cường khả năng phục vụ
khách hàng trên phạm vi toàn tỉnh.
3. Giải pháp triển khai không phát sinh thêm việc đầu tư về
thiết bị phần cứng, vẫn đảm bảo triển khai tốt trên hệ
thống phần cứng sẵn có (Firewall Fortigate 300A, modem
Linksys AG241 tại Bưu điện huyện/thị, Bưu cục 3, và các

điểm BĐVHX có thể tận dụng modem khuyến mại của
nhà cung cấp dịch vụ để thực hiện kết nối Internet…).
4. Việc triển khai cũng như việc xử lý sự cố về đường truyền
đơn giản hơn so với hình thức kết nối Megawan nội tỉnh
(chỉ cần Viễn thông huyện xử lý được đường truyền
ADSL tại điểm Bưu điện kết nối là thơng được mạng bình


23

thường chứ khơng cần phối hợp với VTN như hình thức
Megawan), giảm thiểu thời gian trễ cho việc khai thác
dịch vụ trên mạng lưới.
5. Khả năng mở rộng mạng lưới dễ dàng, có thể tận dụng
được các điểm Bưu cục 3, điểm BĐVHX, điểm đại lý đã
triển khai ADSL cho mục đích triển khai viễn thơng cơng
ích hoặc kinh doanh Internet để triển khai kết nối với
trung tâm tỉnh mà khơng cần kéo mới đường truyền
ADSL. Đồng thời có thể triển khai theo hình thức đăng ký
gói cước ADSL theo lưu lượng nhằm giảm chi phí tối đa
mà vẫn có thể thực hiện kết nối từ các điểm kết nối có sản
lượng doanh thu thấp về tỉnh.

Hiệu quả về kinh tế :
Đối với chi phí thuê kênh hàng tháng và chi phí lắp đặt ban
đầu thì giải pháp IPSec VPN và SSL VPN giảm thiểu hơn
rất nhiều so với giải pháp Megawan nội tỉnh, cụ thể như
sau:



24

Chi phí đấu nối thuê kênh MegaWan nội tỉnh, gồm có:
Chi phí thanh tốn 1 lần sau khi lắp đặt:
Cước đấu nối hoà mạng ADSL

=

Cước đấu nối hoà mạng kênh

600.000đ/cổng.
= 500.000đ/kênh.

Tổng cước đấu nối hoà mạng
VAT 10%
Tổng tiền phải thanh tốn

=

1.100.000đ.

=

110.000đ.

=

1.210.000đ.

Chi phí thanh tốn thường xun :

Cước th cổng ADSL

=

181.818đ/tháng

Cước thuê kênh nội tỉnh

=

670.000đ/tháng

Tổng cước thuê cổng+kênh

=

851.818đ/tháng.
=

VAT 10%
Tổng tiền phải thanh tốn

=

85.181đ

936.999đ/tháng.

Chi phí đấu nối hồ mạng ADSL, gồm có:
Chi phí thanh tốn 1 lần sau khi lắp đặt:

Cước đấu nối hồ mạng ADSL
VAT 10%

=

80.000đ/cổng.

=

8.000đ/cổng.
=

Tổng tiền phải thanh tốn

88.000đ

Được miễn phí 01 modem
ADSL
Chi phí thanh tốn thường xun (gói cước Easy – triển khai tại
các điểm Bưu cục 3, điểm BĐVHX có sản lượng doanh thu cao):
Cước thuê cổng ADSL

=

=

VAT 10%
Tổng tiền phải thanh toán

250.000đ/tháng


=

25.000đ.

275.000đ/tháng.


25

Đối với các điểm Bưu điện huyện có lượng kết nối giao
dịch lớn hơn sử dụng gói cước Family (385.000đ/tháng). Lưu ý:
Phần thanh tốn chi phí thường xun ở đây chưa tính phần
giảm trừ cho khách hàng lớn, khách hàng đặc biệt.
Như vậy chúng ta thấy việc triển khai giải pháp kết nối nội tỉnh
IPSec VPN và SSL VPN đã giảm chi phí đáng kể so với triển
khai kết nối nội tỉnh theo hình thức Megawan.
Tính tương lai của giải pháp:
Khả năng mở rộng các ứng dụng trên nền tảng truyền dẫn
là rất lớn, có thể triển khai các dịch vụ ứng dụng Web, hệ thống
điều hành nội bộ, Website Bưu điện tỉnh, VoIP (điện thoại
internet)…
Tương lai có thể mở rộng cho các điểm bán hàng đại lý,
người dùng di động nhằm khai thác tài nguyên nội bộ, phục vụ
việc chăm sóc khách hàng được tốt nhất, tiếp cận khách hàng
được thường xuyên nhất.