ĐẠI HỌC ĐÀ NẴNG
TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THÔNG TIN
ĐỒ ÁN TỐT NGHIỆP
TÌM HIỂU ISA 2006 VÀ TRIỂN KHAI HỆ
THỐNG VPN SITE TO SITE TRÊN ISA 2006
Giảng viên hướng dẫn : NGUYỄN THẾ XUÂN LY
Sinh viên thực hiện: 1. LÊ BÁ LỘC
2. NGUYỄN HỒNG KÔNG

Lớp : 08N
Ngành : CÔNG NGHỆ MẠNG VÀ TRUYỀN THÔNG
Khoá : 2008-2011
Đà Nẵng, tháng 5 năm 2011
tim hieu ISA 2006 va trien khai he thong VPN SITE TO SITE tren ISA 2006
MỞ ĐẦU
Ngày nay thế giới chúng ta đã và đang bước vào kỷ nguyên của sự bùng nổ
công nghệ thông tin. Cùng với sự phát triển như vũ bão của các phương tiện truyền
thông đại chúng, lĩnh vực truyền thông máy tính phát triển không ngừng và ngày
càng lớn mạnh. Mạng máy tính toàn cầu Internet đã và đang trở thành nhu cầu bức
thiết cho mọi người. Với Internet, bức tường ngăn cách giữa các quốc gia, giữa các
nền văn hóa, giữa những con người với nhau đã ngày càng giảm đi nhiều hơn .Tuy
nhiên khi Internet làm giảm đi ranh giới giữa các nhà tổ chức, giữa các cá nhân với
nhau, thì nguy cơ mất an toàn, khả năng bị xâm phạm các bí mật, các tài nguyên
thông tin cũng tăng lên. Theo thông kê, số vụ tấn công và xâm phạm tài nguyên
thông tin trên Internet mỗi năm tăng lên 100% so với năm trước.
Làm sao để các tổ chức, các cá nhân đang sử dụng mạng cục bộ khi tham gia
Internet vừa có thể bảo vệ an toàn được các dữ liệu quan trọng không bị sao chép,
sửa đổi hay phá hủy, vừa đảm bảo được tính sẵn sàng cao của dữ liệu mỗi khi cần
đến, đồng thời vẫn đảm bảo khả năng truy xuất thuận tiện, nhanh chóng…. Vấn đề
này đã trở nên hết sức quan trọng. Tuy nhiên để cho người quản trị hệ thống mạng
có thể đảm bảo yêu cầu trên, họ cần có những công cụ hữu hiệu.

Do lần đầu tiên được tiếp xúc với việc tìm hiểu và thực hiện đồ án,nên chúng
em không tránh khỏi những thiếu sót trong quá trình tìm hiểu và trình bày, nhận xét
nên rất mong nhận được sự đóng góp của thầy cô và các bạn.
Chúng em xin chân thành cảm ơn!
ĐÀ NẴNG, 05/2011
Sinh viên thực hiện
LÊ BÁ LỘC
NGUYỄN HỒNG KÔNG

GVHD: Nguyễn Thế Xuân Ly SVTH:Lê Bá Lộc,Nguyễn Hồng Kông
tim hieu ISA 2006 va trien khai he thong VPN SITE TO SITE tren ISA 2006
NHẬN XÉT
(Của giảng viên hướng dẫn : NGUYỄN THẾ XUÂN LY)

Chữ ký của GVHD

kết thúc đường truyền tại đây). Mỗi trạm được nối vào bus qua một đầu nối chữ T
(T_connector) hoặc một bộ thu phát (transceiver) 1
1
Hình 3 Cấu trúc mạng dạng tuyến 2
GVHD: Nguyễn Thế Xuân Ly SVTH:Lê Bá Lộc,Nguyễn Hồng Kông
tim hieu ISA 2006 va trien khai he thong VPN SITE TO SITE tren ISA 2006
Mạng dạng vòng (Ring topology): các máy tính được liên kết với nhau thành
một vòng tròn theo phương thức “điểm - điểm”, qua đó mỗi một trạm có thể nhận
và truyền dữ liệu theo vòng một chiều và dữ liệu được truyền theo từng gói một 2
2
Hình 4 Cấu trúc mạng dạng vòng 2
Mạng dạng lưới (Mesh topology): một máy tính trong mạng có thể kết nối tới
nhiều máy tính 2
2
Hinh 5 Cấu trúc mạng dạng lưới 2
1.1.2.2 Cách thức truy cập mạng 2
Token Ring :được định nghĩa trong tiêu chuẩn IEEE 802.5. Mạng Token Ring có
thể chạy ở tốc độ 4Mbps hoặc 16Mbps. Phương pháp truy cập dùng trong mạng
Token Ring gọi là Token passing. Token passing là phương pháp truy nhập xác
định, trong đó các xung đột được ngǎn ngừa bằng cách ở mỗi thời điểm chỉ một
trạm có thể được truyền tín hiệu. Điều này được thực hiện bằng việc truyền một bó
tín hiệu đặc biệt gọi là Token (mã thông báo) xoay vòng từ trạm này qua trạm khác.
Một trạm chỉ có thể gửi đi bó dữ liệu khi nó nhận được mã không bận 2
Broadcasting đề cập đến truyền một gói tin đó sẽ được nhận bằng mọi thiết bị trên
mạng . Trong thực tế, phạm vi phát sóng được giới hạn trong một miền phát
sóng . Phát sóng một thông báo là trái ngược với unicast giải quyết, trong đó tổ
chức một gửi datagrams đến một máy chủ duy nhất xác định bằng một địa chỉ IP
duy nhất 2
Broadcasting là chủ yếu chỉ khu vực địa phương mạng (LAN), đặc biệt
là Ethernet và Tocken Ring , nơi mà các tác động thực hiện phát sóng không phải là

4
Hình 9 Cáp xoắn đôi STP 4
+ UTP (Unshield Twised Pair): cáp xoắn đôi không bọc kim 4
4
Hình 10 Cáp xoắn đôi UTP 4
Cáp đồng trục (Coaxial cable): dùng chủ yếu cho mạng LAN, có hai loại là cáp dày
(Thick cable) và cáp mỏng (Thin cable) 5
GVHD: Nguyễn Thế Xuân Ly SVTH:Lê Bá Lộc,Nguyễn Hồng Kông
tim hieu ISA 2006 va trien khai he thong VPN SITE TO SITE tren ISA 2006
5
Hình 11 Cáp đồng trục 5
Cáp quang (Fiber optic cable): truyền bằng sóng ánh sáng, chống nhiễu tốt 5
5
Hình 12 Cáp quang 5
1.1.4.2 Thiết bị không dây 5
Radio: khả năng truyền có giới hạn, từ 1Mbps tới 10 Mbps 5
Microwave: truyền dữ liệu với băng thông rộng hơn radio 5
Infrared: sử dụng sự phóng xạ của tia hồng ngoại để truyền dữ liệu 5
1.1.5 Hệ điều hành mạng 5
Windows NT/2000: Windows NT là một hệ điều hành cấp cao của Windows cung
cấp các thao tác hoàn toàn 32-bit trên các hệ thống đơn hay đa xử lý. Hệ nầy xây
dựng sẵn các độ an toàn đáp ứng được các xếp loại của chính phủ và hỗ trợ mạng
tối ưu để thi hành các ứng dụng back-end cho rất nhiều khách (client). 5
Đồng thời hệ điều hành Windows NT được thiết kế đặc biệt để phục vụ những nhu
cầu của người sử dụng mạng và cung cấp hiệu năng làm việc và độ an toàn ở cấp
cao 5
LUNIX: Một hệ điều hành được dùng trong nhiều loại máy tính khác nhau, từ các
máy tính lớn cho đến các máy tính cá nhân, nó có khả năng đa nhiệm phù hợp một
cách lý tưỏng đối với các ứng dụng nhiều người dùng. UNIX được viết bằng ngôn
ngữ lập trình rất linh động, ngôn ngữ C và cũng như C, đó là thành quả nghiên cứu

thông tin về tài nguyên. Client Gopher hiển thị một thực đơn, người dùng chỉ việc
lựa chọn cái mà mình cần. kết qủa của việc lựa chọn được thể hiện ở một thực đơn
khác. 6
Gopher bị giới hạn trong kiểu các dữ liệu. Nó chỉ hiển thị dữ liệu dưới dạng mã
ASCII mặc dù có thể chuyển dữ liệu dạng nhị phân và hiển thị nó bằng một phần
mềm khác 6
1.2.4 Dịch vụ WAIS 6
WAIS (Wide Area Information Serves) là một dịch vụ tìm kiếm dữ liệu. WAIS
thường xuyên bắt đầu việc tìm kiếm dữ liệu tại thư mục của máy chủ, nơi chứa toàn
bộ danh mục của các máy phục vụ khác. Sau đó, WAIS thực hiện tìm kiếm máy
GVHD: Nguyễn Thế Xuân Ly SVTH:Lê Bá Lộc,Nguyễn Hồng Kông
tim hieu ISA 2006 va trien khai he thong VPN SITE TO SITE tren ISA 2006
phục vụ thích hợp nhất. WAIS có thể thực hiện công việc của mình với nhiều loại
dữ liệu khác nhau như văn bản ASCII, GIF, điện thư… 6
1.2.5 Dịch vụ World Wide Web 6
World Wide Web (WWW hay Web) là một dịch vụ tích hợp, sử dụng đơn giản và
có hiệu qủa nhất trên Internet. Web tích hợp cả FTP, WAIS, Gopher. Trình duyệt
Web có thể cho phép truy nhập vào tất cả các dịch vụ trên 6
Tài liệu WWW được viết bằng ngôn ngữ HTML (HyperText Markup Language)
hay còn gọi là ngôn ngữ đánh dấu siêu văn bản. Siêu văn bản là văn bản bình
thường cộng thêm một số lệnh định dạng. HTML có nhiều cách liên kết với các tài
nguyên FTP, Gopher server và Web server. Web server là máy phục vụ Web, đáp
ứng các yêu cầu về truy nhập tài liệu HTML. Web server trao đổi các tài liệu
HTML bằng giao thức HTTP (HyperText Transfer Protocol) hay còn gọi là giao
thức truyền siêu văn bản 7
Trình duyệt Web (Web client) là chương trình để xem các tài liệu Web. Trình duyệt
Web gửi các URL đến máy phục vụ Web sau đó nhận trang Web từ máy phục vụ
Web dịch và hiển thị chúng. Khi giao tiếp với máy phục vụ Web thì trình duyệt
Web sử dụng giao thức HTTP. Khi giao tiếp với một Gopher server thì trình duyệt
Web hoạt động như một Gopher client và sử dụng giao thức gopher. Trình duyệt

1.3.1.3 Các lỗ hổng loại A 8
Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất
hợp pháp. Lỗ hổng này rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống 8
Các lỗ hổng loại A có mức độ rất nguy hiểm, đe dọa tính toàn vẹn và bảo mật của
hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém
hoặc không kiểm soát được cấu hình mạng. 8
1.3.2 Các phương pháp tấn công trên mạng 8
1.3.2.1 Virus 8
Virus tin học là một phần mềm máy tính mang tính lây lan (ký sinh) và có thể phá
hoại dữ liệu. Tính lây lan của Virus là khả năng tự sao chép của Virus từ đối tượng
bị nhiễm sang đối tượng khác và làm cho nó nhân bản nhanh chóng. Đối tượng bị
nhiễm là các tệp ( như chương trình, dữ liệu, thư điện tử, văn bản, macro…) và môi
trường lan truyền bao gồm mạng, đường truyền và các loại bộ nhớ (RAM, đĩa cứng,
đĩa mềm, băng từ, đĩa CD, đĩa ZIP, đĩa ĐV, đĩa Flash…).Virus có nhiều cách lây
GVHD: Nguyễn Thế Xuân Ly SVTH:Lê Bá Lộc,Nguyễn Hồng Kông
tim hieu ISA 2006 va trien khai he thong VPN SITE TO SITE tren ISA 2006
lan và tất nhiên cũng có nhiều cách phá hoại khác nhau. Virus máy tính có nhiều
chủng họ, chẳng hạn như Boot, File, Macro, Trojan, Worm, Polymorphic, Hoaxes. 8
Tấn công mạng sử dụng Virus là một phương pháp tấn công khá phổ biến hiện nay.
Mọi loại hệ điều hành đều thường xuyên bị tấn công bởi virus và tác hại gây ra bởi
virus là rất lớn và thật khó lường. 8
1.3.2.2 Treo cứng hệ thống 8
Kỹ thuật này làm treo cứng hệ thống của nạn nhân bằng cách tấn công qua những
giao thức tiêu chuẩn, chẳng hạn "dội bom thư" (mail bombing) qua giao thức
SMTP, hoặc tấn công "ngập lụt" (flooding) qua giao thức TCP. Trong đó, tấn công
"ngập lụt" là kiểu tấn công phổ biến 8
1.3.2.3 Từ chối dịch vụ 8
Kỹ thuật "từ chối phục vụ" (Denial of Service-DoS) làm cho hệ thống máy chủ bị
nhận quá nhiều yêu cầu giả và không thể đáp ứng được nữa. Kỹ thuật này còn được
cải tiến thành "từ chối phục vụ phân tán" ( Distributed DoS- DDoS) khi các cuộc

chặn, hạn chế hỏa hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật
được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các
nguồn thông tin nội bộ và hạn chế sự xâm nhập không mong muốn vào hệ thống.
Cũng có thể hiểu Firewall là một cơ chế để bảo vệ mạng tin tưởng khỏi các mạng
không tin tưởng 9
Nói cách khác, Firewall là hệ thống ngăn chặn việc truy nhập trái phép từ bên ngoài
vào mạng cũng như những kết nối không hợp lệ từ bên trong ra. Firewall thực hiện
việc lọc bỏ những địa chỉ không hợp lệ dựa theo các quy tắc hay chỉ tiêu định trước.
9
9
Hình 13 Firewall 9
1.4.1.2 Các kiểu firewall 10
Firewall dựa trên Application level gateway 10
10
Hình 14 Application level gateway 10
Cổng vòng (Circuit level gateway) 10
10
Hình 15 Circuit level gateway 10
GVHD: Nguyễn Thế Xuân Ly SVTH:Lê Bá Lộc,Nguyễn Hồng Kông
tim hieu ISA 2006 va trien khai he thong VPN SITE TO SITE tren ISA 2006
10
Hình16 Proxy Server Firewall 10
1.4.2 Mạng VPN 11
1.4.2.1 Định nghĩa 11
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để
kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung
tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra
các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa
điểm hoặc người sử dụng ở xa 11
1.4.2.2 Thành phần: có 4 thành phần chính 11

lý khác (như quản lý hóa đơn nợ chi tiết, chất lượng và thống kê lượng nghiệp
vụ…). Mạng dây chuyên dùng loại hình cùng hưởng thụ này chính là hình thức đầu
tiên của VPN, chủ yếu là dùng để nối thông tổng đài thuê bao, cung cấp dịch vụ
chuyển mạch âm thoại và quản lý mạng lưới cho hộ khách. Nhưng phạm vi bao phủ
của VPN lấy tổng đài làm cơ sở để thực hiện này rất hẹp, chủng loại tính năng
nghiệp vụ cung cấp không nhiều, có thể tiếp nhập PBX mà không thể tiếp nhập hộ
dùng chỉ có một đôi dây, nên không thực sự linh hoạt 12
Bắt đầu từ năm 1985, ba công ty viễn thông đường dài cỡ lớn của Mỹ là AT&T,
MCI và Sprint đã lần lượt đưa ra nghiệp vụ mạng chuyên dùng ảo, có tên riêng là
SDN (Software Defined Network – mạng được định nghĩa bằng phần mềm), Vnet
và VPN, đây được coi như là một phương tiện tương đối rẻ tiền dùng để thay thế
cho dây chuyên dùng. Do chi phí VPN rẻ hơn dây thuê dùng đối với các hộ khách
có lượng nghiệp vụ không bằng nhau, được áp dụng các ưu đãi về cước phí với mức
độ khác nhau, nên nhiều hộ khách có mạng chuyên dùng lớn đều bắt đầu chuyển
sang áp dụng nghiệp vụ VPN. Khoảng năm 1988, trên mặt nghiệp vụ VPN, ba công
ty nói trên đã triển khai một cuộc chiến quyết liệt về giá cả, làm cho một số xí
nghiệp vừa và nhỏ cũng chịu nổi cước phí sử dụng VPN và có thể tiết kiệm được
gần 30% chi phí thông tin, đã kích thích sự phát triển nhanh chóng của dịch vụ này
tại Mỹ. Hiện nay VPN không chỉ dùng cho nghiệp vụ âm thoại mà còn có thể dùng
cho nghiệp vụ dữ liệu 12
Sự phát triển toàn cầu hóa của kinh tế cũng kéo theo sự phát triển nhanh chóng của
VPN trên toàn cầu. Sự hình thành của một số tổ chức thương mại tầm cỡ thế giới và
GVHD: Nguyễn Thế Xuân Ly SVTH:Lê Bá Lộc,Nguyễn Hồng Kông
tim hieu ISA 2006 va trien khai he thong VPN SITE TO SITE tren ISA 2006
liên minh kinh tế có tính khu vực, như liên minh Châu Âu chẳng hạn, làm cho tỷ
trọng thương mại quốc tế hóa tăng lên rất nhiều, từ đó cũng dẫn đến sự tăng trưởng
nhu cầu dịch vụ viễn thông quốc tế. Một số liên minh và công ty đa quốc gia cần có
mạng lưới toàn cầu phức tạp nối liền với chất lượng cao các bộ máy thương mại
trên toàn thế giới của họ lại với nhau và phải có sự phục vụ kịp thời về mặt quản lý
và bảo dưỡng. Do mạng lưới quốc tế áp dụng VPN có thể thỏa mãn một cách có

dịch vụ chính của VPN là các doanh nghiệp, các tổ chức có nhu cầu thiết lập mạng
dùng riêng. 13
2.2 Phân loại VPN 14
Có 2 cách chủ yếu sử dụng các mạng riêng ảo VPN. Trước tiên, các mạng VPN
có thể kết nối hai mạng với nhau. Điều này được biết đến như một mạng kết nối
LAN to LAN VPN hay mạng kết nối site to site VPN. Thứ hai, một VPN truy cập
từ xa có thể kết nối người dùng từ xa tới mạng 14
2.2.1 VPN truy cập từ xa (Remote Access) 14
Remote Access, hay còn gọi là virtual private dial-up network (VPDN). Cung cấp
các truy cập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạ tầng chia sẻ
Access VPN, đây là kết nối user to LAN dành cho nhân viên muốn kết nối từ xa đến
mạng cục bộ công ty bằng dial-up. Khi công ty muốn thiết lập Remote access trên
qui mô rộng, có thể thuê một ESP (Enterprise Service Provider) và ESP này sẽ thiết
lập một NAS (Network Access Server), người dùng từ xa sẽ quay số truy cập đến
NAS và dùng một phần mềm VPN đầu cuối để kết nối với mạng cục bộ của công
ty. Đường truyền trong Access VPN có thể là tương tự, quay số, ISDN, các đường
thuê bao số (DSL) 14
14
Hình 18 Mô hình VPN truy cập từ xa 14
2.2.2 VPN điểm nối điểm (Site to Site) 14
Đây là cách kết nối nhiều văn phòng trụ sở xa nhau thông qua các thiết bị chuyên
dụng và một đường truyền được mã hoá ở qui mô lớn hoạt động trên nền Internet.
Site to Site VPN gồm 2 loại: 14
Các VPN nội bộ (Intranet VPN ) 14
GVHD: Nguyễn Thế Xuân Ly SVTH:Lê Bá Lộc,Nguyễn Hồng Kông
tim hieu ISA 2006 va trien khai he thong VPN SITE TO SITE tren ISA 2006
Đây là kiểu kết nối site to site VPN. Các chi nhánh có riêng một Sever VPN và kết
nối lại với nhau thông qua Internet. Và các chi nhánh này sẽ kết nối lại với nhau
thành một mạng riêng duy nhất (Intranet VPN) và kết nối LAN to LAN 14
Các VPN mở rộng ( Extranet VPN ) 14

hợp, từ truy cập nhà tới văn phòng cho đến nhu cầu của các doanh nghiệp quy mô
lớn 16
16
Hình 21 Router Cisco 16
2.3.3 Tường lửa PIX của Cisco 16
Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chế
dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN và
chặn truy cập bất hợp pháp 16
16
Hình 22 Bộ Cisco PIX Firewall 16
Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay sở
được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào IP 16
2.4 Các yêu cầu cơ bản đối với một giải pháp VPN 16
2.4.1 Tính tương thích 16
Tính tương thích (Compatibility): Mỗi công ty, mỗi doanh nghiệp đều được xây
dựng các hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tục khác
nhau và không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ. Rất nhiều
các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết nối trực
tiếp với Internet. Để có thể sử dụng được IP VPN tất cả các hệ thống mạng riêng
đều phải được chuyển sang một hệ thống địa chỉ theo chuẩn sử dụng trong Internet
cũng như bổ sung các tính năng về tạo kênh kết nối ảo, cài đặt cổng kết nối Internet
có chức năng trong việc chuyển đổi các thủ tục khác nhau sang chuẩn IP. 77% số
lượng khách hàng được hỏi yêu cầu khi chọn một nhà cung cấp dịch vụ IP VPN
phải tương thích với các thiết bị hiện có của họ 16
2.4.2 Tính bảo mật 17
Tính bảo mật (Security): Tính bảo mật cho khách hàng là một yếu tố quan trọng
nhất đối với một giải pháp VPN. Người sử dụng cần được đảm bảo các dữ liệu
thông qua mạng VPN đạt được mức độ an toàn giống như trong một hệ thống mạng
GVHD: Nguyễn Thế Xuân Ly SVTH:Lê Bá Lộc,Nguyễn Hồng Kông
tim hieu ISA 2006 va trien khai he thong VPN SITE TO SITE tren ISA 2006

GVHD: Nguyễn Thế Xuân Ly SVTH:Lê Bá Lộc,Nguyễn Hồng Kông
tim hieu ISA 2006 va trien khai he thong VPN SITE TO SITE tren ISA 2006
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai
điểm đầu cuối này được gọi là giao diện Tunnel (Tunnel Interface), nơi gói tin đi
vào và đi ra trong mạng 17
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau: 17
Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có
thông tin đang đi qua 17
Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec,
L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc 18
Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi
(như IPX, NetBeui, IP) 18
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên
Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet. Hoặc,
họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói
khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet.
18
2.5.2 Kỹ thuật Tunneling trong mạng VPN 18
2.5.2.1 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa 18
Tunneling là một phần quan trọng trong việc xây dựng một mạng VPN , nó thường
dùng giao thức điểm nối điểm PPP (Point to Point Protocol). Là một phần của
TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng
giữa máy chủ và máy truy cập từ xa. Các chuẩn truyền thông sử dụng để quản lý
các Tunnel và đóng gói dữ liệu của VPN. Nói tóm lại, kỹ thuật Tunneling cho mạng
VPN truy cập từ xa phụ thuộc vào PPP 18
18
Hình 23 Mô hình Tunneling truy cập từ xa 18
2.5.2.2 Kỹ thuật Tunneling trong mạng VPN điểm nối điểm 18
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing
Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol)

(Point to Point Protocol). PPTP được xây dựng dựa trên chức năng của PPP, cung
cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet
đến site đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic
Routing Encapsulation) được mô tả lại để đóng và tách gói PPP, giao thức này cho
GVHD: Nguyễn Thế Xuân Ly SVTH:Lê Bá Lộc,Nguyễn Hồng Kông
tim hieu ISA 2006 va trien khai he thong VPN SITE TO SITE tren ISA 2006
phép PPTP mềm dẻo xử lý các giao thức khác không phải là IP như IPX, NETBEUI
chẳng hạn 19
Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp thứ 2 (lớp liên kết dữ
liệu) trong khi IPSec chạy ở lớp thứ 3. Bằng cách hỗ trợ việc truyền dữ liệu ở lớp 2,
PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec
chỉ có thể truyền các gói IP trong đường hầm 19
20
Hình 25 Giao thức PPTP 20
2.6.2 Giao thức định đường hầm lớp 2 - L2TP (Layer 2 Tunneling Protocol) 20
Đây là giao thức chuẩn của IETF (Internet Engineering Task Force) sử dụng kỹ
thuật khoá công cộng (public key technology) để thực hiện việc xác thực người
dùng và có thể hoạt động thông qua một môi trường truyền thông đa dạng hơn so
với PPTP. Một điểm đáng lưu ý là L2TP không thể sử dụng để thực hiện mã hoá.
Microsoft bắt đầu cung cấp L2TP như một phần của RAS trong hệ điều hành
Windows 2000 20
20
Hình 26 Giao thức L2TP 20
2.6.3 Giao thức bảo mật IP – Ipsec 20
Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hoá. Lợi điểm lớn nhất
của IPSec là giao thức này có thể được sử dụng để thiết lập một VPN một cách tự
động và thích hợp với chính sách bảo mật tập trung và có thể sử dụng để thiết lập
một VPN dựa trên cơ sở các máy tính mà không phải là người dùng. IPSec được
cung cấp như một phần trong hệ điều hành Windows NT 4.0 và Window 2000 20
20

2.8.1 Ưu điểm 21
VPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN để đơn giản
hóa việc truy cập đối VPN với các nhân viên làm việc và người dùng lưu động, mở
rộng Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet đến tận
khách hàng và các đối tác chủ chốt và điều quan trọng là những công việc trên đều
có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN
riêng.f 21
GVHD: Nguyễn Thế Xuân Ly SVTH:Lê Bá Lộc,Nguyễn Hồng Kông
tim hieu ISA 2006 va trien khai he thong VPN SITE TO SITE tren ISA 2006
Giảm chi phí thường xuyên : VPN cho phép tiết kiệm 60% chi phí so với thuê
đường truyền và giảm đáng kể tiền cước gọi đến của các nhân viên làm việc ở xa.
Giảm được cước phí đường dài khi truy cập VPN cho các nhân viên di động và các
nhân viên làm việc ở xa nhờ vào việc họ truy cập vào mạng thông qua các điểm kết
nối POP (Point of Presence) ở địa phương, hạn chế gọi đường dài đến các modem
tập trung 21
Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho
mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy cập bởi vì các thiết
bị này do các nhà cung cấp dịch vụ quản lý và làm chủ. Công ty cũng không phải
mua, thiết lập cấu hình hoặc quản lý các nhóm modem phức tạp. 22
Truy cập mọi lúc, mọi nơi: Các Client của VPN cũng có thể truy cập tất cả các dịch
vụ như www, e-mail, FTP … cũng như các ứng dụng thiết yếu khác mà không cần
quan tâm đến những phần phức tạp bên dưới 22
Khả năng mở rộng : Do VPN sử dụng môi trường và các công nghệ tương tự
Internet cho nên với một Internet VPN, các văn phòng, nhóm và các đối tượng di
động có thể trở nên một phần của mạng VPN ở bất kỳ nơi nào mà ISP cung cấp một
điểm kết nối cục bộ POP 22
2.8.2 Nhược điểm 22
Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanh nghiệp.
Tuy nhiên VPN không phải không có nhược điểm, mặc dù không ngừng được cải
tiến, nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mật nhưng dường như đó