Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
Trang 49
BAØI 3 : VPN (VIRTUAL PRIVATE NETWORK)
I. Lý thuyết chung cho VPN
• VPN cung cấp kết nối mạng với khoảng cách dài. Về một khía cạnh nào đó có thể hiểu
VPN như là WAN. Tuy nhiên đặc điểm quan trọng của VPN là khả năng sử dụng mạng
có sẵn như là Internet thay vì là các đường truyền thuê riêng. Kỹ thuật VPN thực hiện
mạng truy nhập hạn chế nhưng vẫn sử dụng cáp và router của mạng công cộng điều này
được xem như bảo m
ật cơ bản.
• VPN có thể hổ trợ sử dụng 3 mô hình khác nhau:
- Kết nối client truy xuất từ xa: VPN có thể được thiết kế với hỗ trợ truy xuất có bảo vệ
từ xa tới mạng công ty qua Internet. Sử dụng mô hình client/server như sau:
o Máy client muốn truy cập vào mạng công ty thì trước tiên phải kết nối đến bất
kỳ ISP nào cung cấp dịch vụ Internet.
o Tiếp theo Client phải khở
i tạo kết nối đến server VPN của công ty. Kết nối này
được thực hiện bằng phần mềm VPN client được cài đặt trên máy host ở xa.
o Ngay khi kết nối được thiết lập máy client có thể lên lạc với hệ thống trong
công ty (các máy khác trong công ty) qua Internet như là máy trong nôi bộ
công ty.

- LAN to LAN Internetworking (site to site): Ngoài khả năng truy xuất từ xa, VPN có
thể làm cầu nối cho 2 mạng LAN với nhau để hình thành một Intranet mở rộng. Giải
pháp này cần kết nối VPN server với VPN server.

Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
Trang 50
- Controlled access within Intranet: Mạng Intrenet cũng có thể sử dụng kỹ thuật VPN để
thực hiện việc truy xuất có điều khiển đến các lớp mạng con riêng. Ở chế độ này VPN
server đóng vai trò như gateway của mạng. Phương pháp này đặc biệt thích hợp để bảo

i 2 bước nếu sử dụng tunneling tự nguyện). VPN tunneling bắt buộc sẽ nhận
dạng client và kết hợp chúng với VPN server chỉ định bằng các kết nối logic được
xây dựng sẵn trong các thiết bị kết nối gọi là VPN FEP (Front End Processor), hay
NAS, POS.
- Các giao thức của VPN Tunneling:
Có rất nhiều giao thức mạng máy tính được sử dụng cho VPN tunneling. Tuy nhiên, 3
giao thức dưới đây là phổ biến nhất và chúng không tương thích lẫn nhau.
• PPTP (
Point-to-Point Tunneling Protocol) là nghi thức biến thể của Point to Point
Protocol dùng truyền qua mạng dial up. PPTP thích hợp cho ứng dụng truy cập từ xa
của VPN nhưng cũng hỗ trợ trong LAN Internetworking. PPTP hoạt động ở lớp 2 của
mô hình OSI.
Sử dụng PPTP: PPTP đóng gói dữ liệu trong gói PPP và sau đó tích hợp trong gói
IP và truyền qua đường hầm VPN. PPTP hỗ trợ việc mã hóa dữ liệu và nén các gói
dữ liệu này. PPTP cũng sử dụng dạng GRE (
Generic Routing Encapsulation) để
lấy dữ liệu và đưa đến đích cuối cùng. Trong PPTP thì VPN tunnel được tạo ra qua
2 quá trình: - PPTP client kết nối đến ISP qua đường dial up hoặc ISDN.
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
Trang 51
- Qua thiết bị kết nối PPTP tạo ra kết nối điều khiển TCP giữa VPN client và VPN
server để thiết lập tunnel. PPTP sử dụng TCP port 1723 cho các kết nối này.
- PPTP cũng hỗ trợ kết nối VPN qua LAN. Các kết nối ISP là không cần thiết trong
trường hợp này vì thế đường hầm có thể tạo trực tiếp.
Ngay khi đường hầm VPN được thiết lập PPTP hỗ trợ hai loại thông tin như sau:
-
Các thông điệp điều khiển để quản lý và đánh giá kết nối VPN. Thông điệp điều khiển
có thể truyền trực tiếp giữa VPN client và Server.
- Các gói dữ liệu đi qua đường hầm đến VPN client hoặc từ VPN client đi
Kết nối điều khiển PPTP: ngay khi kết nối TCP được thiết lập PPTP sử dụng chuỗi các

point-to-point của PPTP.
• IP security (IPsec)
Cấu trúc IPsec cung cấp một framework cho việc bảo mậ
t tại lớp IP cho cả IPv4
và IPv6. Bằng việc cung cấp sự bảo mật tại lớp này, các giao thức thuộc các lớp
cao hơn như transport, application có thể sử dụng sự bảo mật IPsec mà không cần
thêm bất cứ sự thay đổi nào. Trong quá trình mã hóa và chứng thực dữ liệu, IPsec
sử dụng một trong hai hoặc cả hai giao thức sau để bạo mật thông tin:
- Authentication header (AH): header của gói tin được mã hóa và bảo vệ phòng
chống các trườ
ng hợp IP spoofing (sự giả mạo IP) hay “man in the midle
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
Trang 52
attack”. Tuy nhiên, trong trường hợp này chỉ có phần header của gói tin đuợc
bảo vệ còn phần nội dung thông tin chính thì không.
- Encapsulation Security Payload (ESP): nội dung thông tin sẽ được mã hóa,
ngăn chặn các hacker đặt chương trình nghe lén và chặn bắt dữ liệu.
Thông thường, khi muốn bảo vệ thông tin truyền trong mạng công cộng, người ta
phải kết hợp cả hai giao thức AH và ESP.
III. Bảo mật
trong VPN
Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet. Bạn có
thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức
được chuyển qua. Một số sản phẩm dùng cho VPN như router 1700 của Cisco có
thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành
Internet Cisco IOS thích hợp. Tốt nhất là hãy cài tườ
ng lửa thật tốt trước khi thiết
lập VPN.
Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính
khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật mã

động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
Trang 53

IV. Thiết lập
VPN client remote access
Xét mô hình dưới đây: Gồm 5 máy đóng vai trò khác nhau trong mạng riêng ảo

- Máy tính chạy Windows Server 2003, phiên bản Enterprise Edition, đặt tên là DC1, hoạt
động như một trung tâm điều khiển domain (domain controller), một máy chủ DNS
(Domain Name System), một máy chủ DHCP (Dynamic Host Configuration Protocol)
và một trung tâm chứng thực CA (certification authority).
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên VPN1, hoạt động
như một máy chủ VPN. VPN1 được lắp đặt 2 adapter mạng.
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IAS1, hoạt động
như một máy chủ quản lý người sử dụng truy cập từ xa RADIUS (Remote
Authentication Dial-in User Service).
- Máy tính chạ
y Windows Server 2003, bản Standard Edition, mang tên IIS1, hoạt động
như một máy chủ về web và file.
- Một máy tính chạy Windows XP Professional, mang tên CLIENT1, hoạt động như một
máy khách truy cập từ xa.
Tuy nhiên để tiết kiệm ta kết hợp máy DC1,IAS1 và IIS1 sử dụng chung server. Riêng
máy chủ VPN có 2 card mạng được cài đặt như sau:
SIM01 là máy tính chạy Windows Server 2003, Standard Edition cung cấp các dịch vụ máy
chủ VPN cho các máy client VPN. Để định cấu hình cho SIM01 làm máy chủ VPN, thực hiện
các bước sau:
1. Cài đặt Windows Server 2003, Standard Edition cho máy với tư cách là server thành

16. Bạn sẽ nhận
được message nhắc phải định cấu hình DHCP Relay Agent.
17. Nhấn OK.
18. Trong cây chương trình, mở SIM01 (local), sau đó là IP Routing và kế tiếp là DHCP
Relay Agent. Nhấn chuột phải vào DHCP Relay Agent rồi chọn Properties.
19. Trong hộp thoại DHCP Relay Agent Properties, gõ 192.167.6.1 trong ô Server
address.
20. Nhấn Add rồi OK.
Cài đặt cho Client
CLIENT1 là máy tính chạy Windows XP Professional, hoạt động như một máy khách VPN
và truy cập từ xa đến các tài nguyên trong Intranet thông qua mạng Internet. Để định cấu hình
cho CLIENT1 làm máy khách, bạn thực hiện các bước sau:
1. Trên máy CLIENT1, cài đặt Windows XP Professional dùng account administrator để
thay đổ
i địa chỉ IP của máy thành 192.167.5. x+50 (x là số thứ tự của máy chẳng hạn
máy 22 thì IP là 192.167.5.72)
2. Tại ô Subnet mask, gõ 255.255.255.0.
3. Nhấn OK để lưu các thay đổi đối với giao thức TCP/IP. Nhấn OK để lưu các thay đổi
đối với kết nối Local Area Network.
4. Khởi động lại máy CLIENT1 và log on bằng tài khoản student.
5. Trên máy CLIENT1, mở thư mục Network Connections từ Control Panel.
6. Trong Network Tasks, chọn Create a new connection.
7. Trên trang Welcome to the New Connection Wizard của New Connection Wizard,
nhấn Next.
8. Trên trang Network Connection Type
, Chọn Connect to the network at my
workplace.
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
Trang 55


V. Thiết lập site to site

Trong phần này chúng ta sử dụng hai mô hình mạng LAN kết nối với nhau dùng VPN
điểm nối điểm (PPTP). Tuy nhiên trên thực tế để tăng tính bảo mật thì nên dùng L2TP
over IPSec hoặc IPSec. Mô hình bao gồm 5 máy tính đóng các vai trò khác nhau nhưng
cũng có thể giảm bớt một số máy như trong bài dưới đây ta sử dụng 3 hoặc 4 máy.
Giả sử trong mô hình một công ty có văn phòng đặt tại Hà Nội và chi nhánh đặt tại
TpHCM. Như vậy cần có hai máy đóng vai trò client tạ
i hai mạng LAN. Hai máy trong
đó mỗi máy có hai card mạng đóng vai trò ROUTER1 và ROUTER2 và một máy đóng
vai trò ROUTER trong Internet (Có thể lược bỏ máy này bằng cách chỉ định IP trực tiếp
và ROUTER1,2 có cùng lớp mạng) Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
Trang 58
Xem hình:

Ở đây người ta sử dụng đến 4 hub tuy nhiên để tiết kiệm ta dùng 2 hub nhưng hai mạng
LAN xài chung 1 hub được định địa chi IP khác nhau.
CLIENT1: có IP 192.167.6.5 subnet mask: 255.255.255.0 là mạng LAN ở Hà Nội
ROUTER1: Có hai card mạng
o Card Internal: Có IP 192.167.6.4 và subnet mask 255.255.255.0
o Card External: Có IP 20.0.0.1 và subnet mask 255.0.0.0
ROUTER2: Có hai card mạng
o Card Internal: Có IP 192.167.5.2 và subnet mask 255.255.255.0
o Card External: Có IP 20.0.0.2 và subnet mask 255.0.0.0
CLIENT2: Thức chất lại là Server đóng vai trò Domain Controller, Web server, File
Server, DNS… có IP: 192.167.5.1 và subnetmask: 255.255.25.0
Thực hiện: CLIENT1 ping CLIENT2 (192.167.5.1). Giải thích


Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
Trang 61
11. Trên trang Completing the Routing and Remote Access Server Setup nhấn Finish Tiếp theo ta cấu hình giao diện quay số yêu cầu
1. Trên Routing and Remote Access chọn SIM01 và nhấn chuột phải vào network
Interface

2. Chọn New Demand-dial Interface để mở Demand-Dial Interface Wizard và nhấn
Next
3. Trên trang Interface name gõ vào vpn_hanoi (Lưu ý tên phải trùng với user đã
được khai báo trước). Nhấn Next
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
Trang 62

4. Trên trang Connection type chọn Connect using virtual private networking (VPN).

5. Nhấn Next. Trên trang VPN Type chọn Point-to-Point Tunneling Protocol (PPTP).
Nhấn Next

Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
Trang 63
6. Trên trang Destination Address gõ vào 20.0.0.1 (Địa chỉ của Router1 hay là VPN
server ở Hà Nội) ở ô Host name or IP address

7. Nhấn Next. Trên trang Protocols and Security thực hiện check cả hai mục như
hình



Thay bằng địa chỉ của LAN HCM 192.167.5.0 và subnetmask vẫn là 255.255.255.0
Mật khẩu của vpn_hcm vẫn là Mophong618

Thay vpn_hcm bằng vpn_hanoi mật khẩu không thay đổi
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
Trang 67
Cấu hình chính sách truy cập từ xa
Trên cả ROUTER1 và 2 trong Routing and Remote Access nhấn vào Remote Access Policies
nhấn chuột phải vào Connections to Microsoft Routing and Remote Access server chọn
Properties. Trên thẻ Setting chọn Grant remote access permission. Xong nhấn OK

Thực hiện kết nối và kiểm tra:
Click chuột phải
vào kết nối vừa tạo trong Network Interface và chọn Connect

Sau khi kết nối thực hiện:
- Lênh Ipconfig /all. Xác định IP của các Interface
- Lệnh Ping từ Client1 đến Client 2
- Lệnh tracert 192.167.6.5. Giải thích ý nghĩa thông tin nhận được