46

2.6.2 Giao thức định đường hầm lớp 2 - L2TP ( Layer 2 Tunneling
Protocol )
Đây là giao thức chuẩn của IETF (Internet Engineering Task Force) sử dụng
kỹ thuật khoá công cộng (public key technology) để thực hiện việc xác thực người
dùng và có thể hoạt động thông qua một môi trường truyền thông đa dạng hơn so
với PPTP. Một điểm đáng lưu ý là L2TP không thể sử dụng để thực hiện mã hoá.
Microsoft bắt đầu cung cấp L2TP như một phần của RAS trong hệ điều hành
Windows 2000.

Hình 37 Giao thức L2TP
2.6.3 Giao thức bảo mật IP – Ipsec
Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hoá. Lợi điểm
lớn nhất của IPSec là giao thức này có thể được sử dụng để thiết lập một VPN một
cách tự động và thích hợp với chính sách bảo mật tập trung và có thể sử dụng để
thiết lập một VPN dựa trên cơ sở các máy tính mà không phải là người dùng. IPSec
được cung cấp như một phần trong hệ điều hành Windows NT 4.0 và Window
2000.
47Hình 38 Giao thức IPSec
Ngoài ra còn có giao thức chuyển tiếp lớp 2 L2F (Layer 2 Forwarding) là cơ
sở để xây dựng nên L2TP.
2.7 LỢI ÍCH CỦA VPN
2.7.1 Đối với khách hàng
 Giảm thiểu chi phí sử dụng so với việc kết nối mạng diện rộng dùng
các kênh thuê riêng. Theo thống kê thực tế chi phí sử dụng cho
mạng riêng ảo chỉ bằng 60% so với chi phí của việc dùng kênh kết
nối riêng. Ðiều này đặc biệt có ý nghĩa lớn đối với các công ty đa

đến tận khách hàng và các đối tác chủ chốt và điều quan trọng là những công việc
49

trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng
WAN riêng.
 Giảm chi phí thường xuyên : VPN cho phép tiết kiệm 60% chi phí so
với thuê đường truyền và giảm đáng kể tiền cước gọi đến của các nhân
viên làm việc ở xa. Giảm được cước phí đường dài khi truy cập VPN cho
các nhân viên di động và các nhân viên làm việc ở xa nhờ vào việc họ
truy cập vào mạng thông qua các điểm kết nối POP (Point of Presence) ở
địa phương, hạn chế gọi đường dài đến các modem tập trung
 Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định
tuyến cho mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy
cập bởi vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm
chủ. Công ty cũng không phải mua, thiết lập cấu hình hoặc quản lý các
nhóm modem phức tạp.
 Truy cập mọi lúc, mọi nơi: Các Client của VPN cũng có thể truy cập tất
cả các dịch vụ như www, e-mail, FTP … cũng như các ứng dụng thiết
yếu khác mà không cần quan tâm đến những phần phức tạp bên dưới.
 Khả năng mở rộng : Do VPN sử dụng môi trường và các công nghệ
tương tự Internet cho nên với một Internet VPN, các văn phòng, nhóm và
các đối tượng di động có thể trở nên một phần của mạng VPN ở bất kỳ
nơi nào mà ISP cung cấp một điểm kết nối cục bộ POP
50

2.8.2 Nhược điểm
Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanh
nghiệp. Tuy nhiên VPN không phải không có nhược điểm, mặc dù không ngừng
được cải tiến, nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mật nhưng dường
như đó vẫn là một vấn để khá lớn của VPN.

3.1 TÌNH HUỐNG
Trung tâm Tin học VSIC có chi nhánh ở Đà Nẵng, tất cả các dữ liệu, máy
chủ như Web server, Mail server,… đều đặt tại đây. Các nhân viên làm việc trực
tiếp tại trung tâm truy cập vào hệ thống mạng rất thuận lợi, còn nếu những nhân
viên đi công tác xa hay những nhân viên ở nhà muốn truy cập vào hệ thống mạng
của trung tâm lấy dữ liệu thì sao? Lúc này phải có một giải pháp nào đó để những
nhân viên này truy cập vào hệ thống mạng một cách thuận lợi.
3.2 PHÂN TÍCH VÀ THIẾT KẾ
3.2.1 Thiết bị sử dụng
 Đối với user bên ngoài có thể dùng máy PC hay laptop và kết nối
Internet thông qua các đường truyền như Dial-up, ADSL…
52

 Trong công ty có các máy chủ như VPN server, Mail server, Web
server…và kết nối Internet qua Router ADSL.
3.2.2 Hệ điều hành và giao thức
 Hệ điều hành chủ yếu là Window Server 2003 và Window XP.
 Giao thức dùng trong hệ thống mạng là TCP/IP.
53

3.3 MÔ HÌNH TRIỂN KHAI

Hình 39 Mô hình Client to Site
Mô hình gồm có:
 1 máy tính VPN SERVER cài hệ điều hành Window Server 2003, có 2 card
mạng tương ứng với địa chỉ IP là 10.3.9.1 (card mạng ngoài) và
192.168.1.20 (card mạng trong).
 1 máy DOMAIN CONTROLLER cài hệ điều hành Window Server 2003, có
địa chỉ IP là 192.168.1.21.
 1 máy RADIUS cài hệ điều hành Window Server 2003, có địa chỉ IP là