HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG TPHCM
KHOA CÔNG NGHỆ THÔNG TIN II
  
BÁO CÁO ĐỒ ÁN MÔN HỌC
AN TOÀN MẠNG
Đề tài:
Giáo viên hướng dẫn: Thầy Lê Phúc
Nhóm thực hiện: Lê Thị Kim Anh 405170002
Nguyễn Thị Cẩm Tú 405170092
Nguyễn Thị Lan Phương 405170049
Thành Phố Hồ Chí Minh
 04– 2009 
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 1 -
MỤC LỤC
I. Tìm hiểu kỹ thuật về VPN - 2 -
1. Các đặc trưng của VPN - 2 -
2. Các giao thức dùng trong VPN - 4 -
II. Tìm hiểu cơ chế mã hóa IPSec - 6 -
1. Giới thiệu về IPSec - 6 -
2. Các chế độ làm việc - 6 -
a. Chế độ giao vận - 6 -
b. Chế độ đường hầm - 6 -
c. Chế độ kết hợp - 7 -
3. Sử dụng IPSec - 7 -
a. Mục đích khi dùng IPSec - 7 -
b. Ưu điểm khi dùng IPSec - 7 -
4. Triển khai IPSec - 9 -
a. Cách IPSec bảo mật lưu lượng - 9 -
b. IPSec Security Policy là gì? - 9 -
c. Các Policy IPSec làm việc với nhau như thế nào - 11 -

thường định ra một giới hạn trên cho phép về độ trễ trung bình của gói trong mạng.
Khi nói đến VPN là người ta nghĩ ngay đến các thuật ngữ sau: hiệu quả, an toàn, bảo vệ
tính riêng tư của dữ liệu. Để đạt được những mục tiêu này thì khi thiết kết một VPN có hiệu
quả cao thì bắt buộc phải đảm bảo bốn đặc tính sau :
 Bảo mật dữ liệu (Data confidentiality): những tác nhân bất hợp pháp sẽ không hiểu
được nội dung của thông điệp.
 Toàn vẹn dữ liệu (Data integrity): đảm bảo nội dung của thông điệp không bị thay
đổi khi truyền từ nguồn đến đích.
 Không thể chối cãi (Sender non-repudiation): đảm bảo người gửi là hợp pháp khi
gửi đến người nhận.
 Xác thực thông điệp (Message authentication): đảo bảo rằng một thông điệp được
gửi từ một nguồn đã xác thực và đến một đích xác thực.
Dưới đây sẽ minh họa một số phương thức dùng để thể hiện các đặc trưng đã nêu
 Tính bảo mật được minh họa bằng hình sau đây :
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 3 -
Hình: Tính bảo mật
Bên gửi và bên nhận sẽ sử dụng một khóa chung để mã hóa và giải mã. Giả sử khóa
này đã được trao đổi một cách an toàn giữa bên gửi và bên nhận bằng thuật toán Diffie
Hellman.
 Tính toàn vẹn được minh họa bằng hình sau đây:
Hình: Tính toàn vẹn
Hàm băm được sử dụng để đảm bảo tính toàn vẹn của dữ liệu.
 Tính xác thực và không thể chối cãi được minh họa bằng hình sau đây:
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 4 -
Hình: Tính xác thực và không thể chối cãi được
Chữ kí số cung cấp một phương thức giúp bên nhận xác thực được thông điệp và tính
không thể chối cãi của bên gửi.
2. Các giao thức dùng trong VPN

các sản phẩm.
+ Ít hỗ trợ giao diện (vì
đây là phần nền bên dưới
ở lớp mạng).
+ Sử dụng tốt cho việc truy cập
từ xa bằng quay số (dial-up).
PPTP
+ Cung cấp cho đầu
cuối-đầu cuối và định
đường hầm nút-nút.
+ Sử dụng những miền
người dùng Windows có
sẵn cho việc xác thực.
+ Sử dụng RSA RC-4.
+ Client có thể đặt phía
sau NAT Router.
+ Không cung cấp mã
hóa dữ liệu từ những máy
chủ truy cập từ xa.
+ Mang tính độc quyền
lớn, yêu cầu một máy
chủ WinNT để kết thúc
đường hầm.
+ Chỉ sử dụng mã hóa
bằng RSA RC-4.
+ Dùng tại các máy chủ truy
cập từ xa cho định đường hầm
proxy.
+ Có thể dùng cho máy để bàn
Win9x hay máy trạm dùng

thông qua các chứng chỉ, nâng cao hơn độ an toàn của dữ liệu khi truyền, và quá trình tunnel
có thể diễn ra trên nhiều hệ thống mạng khác nhau. Tuy nhiên trong môi trường L2TP/IPSec
các VPN Client không thể đặt phía sau NAT Router. Trong trường hợp này chúng ta cần phải
có VPN Server và VPN Client hỗ trợ IPSec NAT-T.
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 6 -
I. Tìm hiểu cơ chế mã hóa IPSec
1. Giới thiệu về IPSec
Để các máy tính trên hệ thống mạng LAN/WAN hay Internet truyền thông được với
nhau ta cần phải sử dụng cùng một giao thức và giao thức được sử dụng phổ biến nhất hiện
nay là TCP/IP. Dữ liệu được truyền đi cần phải được bảo mật theo nhu cầu của người dùng
nên các cơ chế mã hóa và chứng thực cần được áp dụng. Có nhiều giải pháp được đưa ra,
trong đó IPSec được phát triển bởi IETF, hoạt động trên giao thức TCP/IP tỏ ra hiệu quả mà
lại tiết kiệm được nhiều chi phí.
IPSec đã được triển khai rộng rãi để thực thi VPN. Các dịch vụ của IPSec nằm trên
lớp mạng của chồng giao thức. Trong quá trình thực hiện mã hóa, IPSec có thể dùng nhiều
dạng thức khác nhau. Các dạng thức này sẽ được trình bày cụ thể ở phần sau. IPSec có những
phương pháp mã hóa như DES, 3DES, AES và các phương pháp xác thực như HMAC,
MD5, SHA-1. Thấy rằng, tất cả các gói tin mã hóa trong IPSec đều là khóa đối xứng.
2. Các chế độ làm việc
Có hai chế độ làm việc trong IPSec.
- Chế độ giao vận (transport): chỉ có phần thuộc lớp giao vận trong gói tin được xử lý.
- Chế độ đường hầm (tunnel): toàn bộ gói tin được xử lý.
a. Chế độ giao vận
Hình: Các trường hợp của chế độ giao vận
Chế độ giao vận được sử dụng cho cả cổng nối và host, cung cấp cơ chế bảo mật
cho các giao thức lớp trên. Trong chế độ này, AH được chèn vào sau tiêu đề IP và trước các
giao thức lớp trên (TCP/ UDP, ICMP,…)
b. Chế độ đường hầm
Hình: Các trường hợp của chế độ đường hầm

được ấn định để tự nhận thấy liệu có phù hợp với điều kiện của chính sách. Tiến trình này
trong suốt với người dùng và các ứng dụng bắt đầu truyền dữ liệu. Do IPSec được đóng trong
gói IP chuẩn nên nó có thể truyền trên mạng mà không đòi hỏi cấu hình đặc biệt trên thiết bị
giữa hai host. IPSec không thể mã hóa một số loại lưu lượng chẳng hạn broadcast, multicast
và gói giao thức Kerberos.
b. Ưu điểm khi dùng IPSec
 Lợi ích chính của IPSec là nó mã hóa trong suốt hoàn toàn đối với tất cả giao thức
lớp 3 của mô hình OSI và cao hơn
 IPSec cung cấp:
o Xác thực lẫn nhau trước và trong quá trình trao đổi
o Sự cẩn mật trong suốt quá trình mã hóa của lưu lượng IP và xác thực số của
gói. IPSec có 2 chế độ: ESP (Encapsulating Security Payload) – mã hóa dựa
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 8 -
trên một hoặc một vài thuật toán nào đó và AH (Authentication Header) – xác
thực lưu lượng nhưng không mã hóa nó.
o Toàn vẹn lưu lượng IP bằng cách loại bỏ lưu lượng đã được thay đổi. Cả ESP
và AH đều dùng để xác nhận tính toàn vẹn của tất cả lưu lượng IP. Nếu gói đã
được thay đổi thì chữ kí số sẽ không đính kèm và gói sẽ bị hủy.
o Ngăn chặn tấn công: Cả ESP và AH dùng số tuần tự để bất cứ gói nào được
capture lại trong lần gửi lại sau đó sẽ dùng số không tuần tự. Dùng số được
sắp xếp theo thứ tự để chắc chắc rằng kẻ tấn công không thể dùng lại hay gửi
lại dữ liệu đã được capture để thiết lập phiên làm việc hoặc thu thập thông tin
bất hợp pháp. Dùng số tuần tự cũng để bảo vệ tấn công công bằng cách chặn
message và sau đó dùng message y hệt để truy nhập bất hợp pháp vào tài
nguyên, có thể là vài tháng sau đó.
Ví dụ: Bởi vì việc capture lại thông tin mật có thể làm hại đến sự thành công của một
tổ chức, nên một tổ chức cần phải thiết lập một mạng riêng đáng tin cậy bảo mật các thông
tin nhạy cảm chẳng hạn dữ liệu về sản phẩm, báo cáo tài chính và kết hoạch marketing. Bạn
có thể dùng IPSec để chắc chắn rằng sự liên lạc đó được riêng tư và bảo mật trên network,

ISAKMP nhưng bạn cũng sẽ không thấy bất cứ gói AH hay ESP theo sau.
 Gói IP được mã hóa: Sau khi security association được thiết lập thì bộ điều khiển
IPSec giám sát toàn bộ lưu lượng IP, so sánh lưu lượng với bộ lọc được định
nghĩa
b. IPSec Security Policy là gì?
 Định nghĩa
IPSec security policy bao gồm một hoặc nhiều quy luật quyết định cách hoạt
động của IPSec
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 10 -
 IPSec Security policy rules
Bạn triển khai IPSec bằng cách thiết lập policy. Mỗi policy có thể chứa đựng một
vài quy luật nhưng bạn chỉ có thể xác nhận một policy riêng lẻ tại một thời điểm bất kì trên
một máy. Bạn phải phối hợp tất cả quy luật được yêu cầu thành một chính sách đơn. Mỗi quy
luật bao gồm:
 Bộ lọc: Bộ lọc quy định cho policy biết loại lưu lượng nào để áp dụng cho
filter action. Chẳng hạn, bạn có thể có bộ lọc nhận dạng chỉ lưu lượng giao
thức HTTP hoặc lưu lượng FTP.
 Filter action: Filter action quyết định cho chính sách phải làm gì nếu lưu lượng
thỏa bộ lọc. Chẳng hạn, bạn có thể báo cho IPSec chặn đứng tất cả lưu lượng
FTP nhưng đòi hỏi mã hóa tất cả lưu lượng HTTP. Filter action cũng có thể
chỉ rõ thuật toán mã hóa và băm mà policy nên dùng.
 Phương pháp xác thực: Có 3 phương pháp có thể xác thực: certificates, giao
thức Kerberos và Preshared key. Mỗi rule có thể chỉ rõ nhiều phương pháp xác
thực.
 Policy mặc định
Ở Window 2000 hoặc sau đó, có 3 policy được cấu hình mặc định:
 Client (Respond only): Nếu máy tính yêu cầu client dùng IPSec thì nó sẽ đáp
ứng với IPSec. Policy Client (Respond Only) sẽ không khởi tạo IPSec trên
chính nó. Policy này có 1 rule được gọi là Default Response rule. Rule này

Secure Server
(Require
Security)
No policy
assigned
No IPSec
No IPSec
No IPSec
No
communication
Client (Respond
Only)
No IPSec
No IPSec
IPSec
IPSec
Server (Request
Security)
No IPSec
IPSec
IPSec
IPSec
Secure Server
(Require
Security)
No
communication
IPSec
IPSec
IPSec

mạng mở chẳng hạn Internet, Extranets và Intranets.
 Một certificate nối kết một public key với thực thể nắm giữ private key tương
ứng. Chẳng hạn, bạn có thể mã hóa dữ liệu cho người nhận với public key của
họ và chắc chắn rằng chỉ người nhận có private key dùng để giải mã dữ liệu.
 Người cung cấp certificate được gọi là Certification Authority (CA).
Certificate được cung cấp cho người dùng, máy tính hoặc một dịch vụ chẳng
hạn IPSec.
 Lợi ích của certificate
Một trong những lợi ích chính của certificate là host sẽ không còn duy trì một tập
password cho đối tượng riêng tư cần được xác thực như một điều kiện cho phép truy cập.
Điều đó thay cho việc host chỉ đơn thuần thiết lập sự tin cậy trong một CA cung cấp
certificate.
b. Tại sao lại dùng Certificates với IPSec để bảo mật lưu lượng mạng
Bảng sau miêu tả một vài trường bạn có thể dùng certificate
Sử dụng certificate
Miêu tả
Chữ kí số
Dùng public key trong certificate để xác nhận
rằng dữ liệu đã được mật hiệu với private key
tương ứng
Encrypting File System (EFS)
Dùng public key trong certificate để mã hóa
tập tin khóa mã hóa
Xác thực Internet
Giúp web client nhận dạng web server. Web
server cũng có thể dùng certificate để kiểm
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 13 -
tra web client
IP Security

1. Mô hình IPSec
Mô hình kết nối đơn giản nhất đạt được bằng cách tạo ra một IPSec VPN giữa hai
site, thường được gọi là kết nối site-to-site, sử dụng mô hình IPSec. Các vị trí có thể được kết
nối thông qua mạng IP riêng như mạng Frame Relay hay ATM chạy IP sử dụng chế độ giao
vận (transport mode) hay thông qua mạng Internet công cộng sử dụng chế độ đường hầm
(tunnel mode).
Mã hóa IPSec được áp dụng sau khi một gói dữ liệu clear text được nhận, quyết định
định tuyến được đưa ra, và một giao diện được chọn làm đường truyền ra (egress
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 14 -
transmission). Chính sách IPSec được áp dụng cho giao diện đường ra (egress interface), nơi
mà tiến trình mã hóa là một trong những hàm cuối cùng được gọi vào lúc trước khi truyền
gói. Một cách tương tự, các gói mã hóa được nhận vào từ giao diện có áp dụng chính sách
IPSec được giải mã trước khi hoàn tất quyết định định tuyến và chuyển tiếp. Ở đây, điểm
mấu chốt là chính sách IPSec kết hợp với giao diện đường ra (egress interface) cho việc mã
hóa gói tin và giao điện đường vào (ingress interface) cho việc giải mã gói tin. Thông thường,
giao diện đường ra và giao diện đường vào là một và như nhau; vì vậy, chính sách IPSec nhất
quán cho cả hai luồng theo hai hướng truyền tin.
Nếu các cổng (gateway) IPSec có nhiều giao diện đường ra, chính sách định tuyến
trên các điểm cuối sẽ đảm bảo rằng giao diện được sử dụng cho lưu lượng vào và ra giống
với giao diện mà tại đó chính sách IPSec được áp dụng.
Mô hình IPSec là mô hình khái niệm tương đối đơn giản và dễ hiểu. Nó bảo vệ lưu
lượng unicast từ một subnet đến một subnet khác. Nhìn chung, mô hình IPSec ít thông dụng
nhất vì viễn cảnh về tiềm năng của các nút mạng IPSec và khả năng thiết lập kết nối giữa các
site. Dù mô hình bảo vệ đơn giản về khái niệm nhưng cấu hình của nó có thể khá phức tạp
đối với các mạng VPN lớn. Đòi hỏi phải cấu hình một cách rõ ràng một profile bảo vệ cho
lưu lượng giữa mọi mạng con. Việc thêm vào một mạng con trong VPN có thể đòi hỏi các
cập nhật cấu hình cho tất cả các cổng (gateway) VPN khác trong mạng. Các nhà thiết kế
mạng phải cấp phát cẩn thận các khổi địa chỉ IP tại mỗi site để tối thiểu hóa phần cấu hình
của profile ủy nhiệm IPSec riêng biệt. Trong một số trường hợp, những nhà quy hoạch mạng

giản hóa bởi các đặc tính ưu việt của việc một profile ủy quyền IPSec có thể được định nghĩa
cho đường hầm GRE mà đường hầm này tải tất cả các luồng lưu lượng giữa hai cổng VPN,
bất chấp loại lưu lượng, nguồn hay đích. Tuy nhiên, sự thỏa hiệp với việc sử dụng mô hình
GRE đòi hỏi hai mức định tuyến:
 Mức định tuyến giữa các cổng VPN định tuyến các gói tin trong đường hầm được mã
hóa.
 Mức định tuyên khác giữa các cổng VPN thông qua đường hầm cung cấp các đường
định tuyến giữa các mạng con người sử dụng đầu cuối.
Vì vậy, mô hình GRE tối thiểu hóa các yêu cầu cung cấp IPSec trong khi tạo ra một
đường hầm phủ lên mạng mà làm phức tạp việc quản trị.
3. Mô hình Remote Access Client
Nhu cầu của việc mã hóa lưu lượng giữa các client (như máy tính, PDA…) và các
cổng VPN đặt ra các thách thức khác nhau. Mô hình RAC (Remote Access Client) đòi hỏi rất
nhiều năng lực khác nhau để cung cấp việc gán địa chỉ cho các host động, thiếu điều khiển
cấu hình, và các kết nối tạm thời. Cả hai mô hình IPSec và GRE hoạt động rất hiệu quả đối
với kết nối site-to-site, kết nối mà tất cả các địa chỉ IP điểm cuối được biết và cấu hình trước
trong các site. Tuy nhiên, cả hai mô hình này sẽ không hoạt động đối với một nhân viên, phải
thường xuyên di chuyển, khi cố gắng kết nối đến mạng VPN của công ty (kết nối IPSec) nếu
như không biết địa chỉ IP. Vì vậy, cần phải có một giải pháp hiệu quả và linh động cho phép
các client truy nhập từ xa đến mạng VPN của công ty. Việc sử dụng các đặc tính ưu việt của
IPSec, mô hình RAC cho phép client sử dụng địa chỉ IP được gán động. Nó cũng có thể cho
phép các nhà cung cấp mạng (network provisioning staff) định nghĩa các chính sách cho
client để đơn giản hóa các hoạt động quản trị mạng. Cả mô hình IPSec và GRE đều không
cung cấp khả năng này. Cần có một cách thức mới để trao đổi những thông tin về khả năng
và thuộc tính trong suốt quá trình thiết lập kết nối IPSec. Có thể thực hiện việc trao đổi các
thông tin về khả năng và thuộc tính bằng cách mở rộng IKE. Tiến trình cấu hình chế độ IKE
gán các thuộc tính kết nối cho client, giả sử rằng nó là host đơn. Các thuộc tính thường được
gán bao gồm:
 Địa chỉ IP private
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc

máy khách truy cập từ xa.
 Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IIS, hoạt động
như một máy chủ về web và file.
2. Cài đặt trên máy chủ VPN
a. Cài đặt DC
 Thiết lập các cấu hình về tài khoản tại DC
- Chạy Active Directory Installation Wizard (tập tin dcpromo.exe) cho một domain
mới ptit.com. Cài đặt dịch vụ DNS khi được yêu cầu.
- Sử dụng trình quản lý Active Directory Users and Computers, nhấn chuột phải vào
domain ptit.com rồi nhấn vào Raise Domain Functional Level.
- Kích chuột vào dòng Windows Server 2003 và chọn Raise.
- Cài đặt giao thức DHCP để làm một thành phần của Networking Services bằng cách
dùng Control Panel => Add or Remove Programs.
- Mở trình quản lý DHCP từ thư mục Administrative Tools.
- Nhấn vào mục Action => Authorize để cho phép sử dụng dịch vụ DHCP.
- Trong cây thư mục, nhấn chuột phải vào dc.ptit.com rồi nhấn New Scope.
- Trên trang Welcome của New Scope Wizard, nhấn Next.
- Ở trang Scope Name, nhập một cái tên như PTIT Network.
- Nhấn vào Next. Trên trang địa chỉ IP, nhập 192.168.3.10 ở ô Start IP address,
192.168.3.100 ở ô End IP address và 24 ở mục Length.
Hình: Khai báo địa chỉ IP
- Nhấn Next. Trên trang Add Exclusions, nhấn Next.
- Trên trang Lease Duration, nhấn Next.
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 18 -
- Trên trang Configure DHCP Options, nhấn Yes, I want to configure DHCP options
now.
- Nhấn Next. Trên trang Router (Default Gateway), nhấn Next.
- Trên trang Domain Name and DNS Servers, nhập vào dòng ptit.com trong mục
Parent domain. Nhập 192.168.3.1 trong ô địa chỉ IP rồi nhấn Add.

- Nhấn OK để lưu các thay đổi đối với nhóm VPNUsers.
 Dưới đây là cách định cấu hình cho DC để tự động nạp các chứng nhận cho máy
tính:
- Mở Active Directory Users và mục Computers.
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 19 -
- Trong cây chương trình, nhấn đúp chuột vào Active Directory Users and
Computers, nhấn chuột phải vào ptit.com, chọn Properties.
- Mở thẻ Group Policy, nhấn vào Default Domain Policy, chọn Edit.
- Trong cây chương trình, mở mục Computer Configuration > Windows Settings >
Security Settings > Public Key Policies > Automatic Certificate Request Settings.
- Nhấn chuột phải vào Automatic Certificate Request Settings, chọn New rồi nhấn
Automatic Certificate Request.
- Trên trang Welcome to the Automatic Certificate Request Setup Wizard, nhấn Next.
- Trên trang Certificate Template, nhấn Computer.
- Nhấn Next. Trên trang Automatic Certificate Request Setup Wizard, nhấn Finish.
Lúc này, kiểu chứng nhận sẽ xuất hiện trong ô hiển thị chi tiết của Group Policy
Object Editor.
- Gõ gpupdate ở dấu nhắc để cập nhật Group Policy trên DC.
 Sau khi cập nhật các chứng nhận mới, bạn cần phải ngừng và khởi động lại chính
sách và các dịch vụ IPsec Policy Agent và Remote Access
- Nhấn Start > Administrative Tools > Services
- Trong ô hiển thị chi tiết, trỏ vào IPSEC Services > Action, sau đó nhấn Restart.
- Trong ô hiển thị chi tiết, trỏ vào Routing and Remote Access > Action rồi nhấn
Restart.
b. Cài đặt IAS
IAS cung cấp cơ chế thẩm định quyền truy cập RADIUS, cho phép truy cập và theo
dõi quá trình truy cập.
- Cài đặt dịch vụ Internet Authentication Service trong Networking Services ở mục
Control Panel-Add or Remove Programs.

VPN là máy tính chạy Windows Server 2003, Standard Edition cung cấp các dịch vụ
máy chủ VPN cho các máy khách VPN. Để định cấu hình cho VPN làm máy chủ VPN, bạn
thực hiện các bước sau:
- Cài đặt Windows Server 2003, Standard Edition cho máy với tư cách là server thành
viên mang tên VPN trong domain ptit.com.
- Mở thư mục Network Connections.
- Đối với kết nối nội bộ Intranet, đặt lại tên kết nối thành "PTIT Network". Đối với
kết nối nội bộ Internet, đặt lại tên kết nối thành "Internet".
- Định cấu hình giao thức TCP/IP cho kết nối PTIT Network với địa chỉ IP là
192.168.3.1, subnet mask là 255.255.255.0 và địa chỉ IP cho máy chủ DNS là
192.168.3.1.
- Định cấu hình giao thức TCP/IP cho kết nối Internet với địa chỉ IP là 10.0.0.1 và
mạng cấp dưới là 255.0.0.0.
- Chạy trình Routing và Remote Access từ thư mục Administrative Tools.
Đồ án môn học Bảo mật mạng GVBM: Thầy Lê Phúc
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 - 21 -
- Trong cây chương trình, nhấn chuột phải vào VPN và chọn Configure and Enable
Routing and Remote Access.
- Trên trang Welcome to the Routing and Remote Access Server Setup Wizard, nhấn
Next.
- Trên trang Configuration, Remote access (dial-up or VPN) được lựa chọn mặc định.
- Nhấn Next. Trên trang Remote Access, chọn VPN.
- Nhấn Next. Trên trang VPN Connection, nhấn vào giao diện Internet trong Network
interfaces.
- Nhấn Next. Trên trang IP Address Assignment , chế độ Automatically được chọn
mặc định.
- Nhấn Next. Trên trang Managing Multiple Remote Access Servers, nhấn vào Yes,
set up this server to work with a RADIUS server.
- Nhấn Next. Trên trang RADIUS Server Selection, gõ 192.168.3.1 trong ô Primary
RADIUS server và mã bí mật chung trong ô Shared secret.

cấu hình kết nối Internet cho một kết nối LAN. Trong Internet Explorer, mục
Address, gõ Bạn sẽ nhìn thấy biểu tượng Windows
XP.
- Để xác định tập tin có hoạt động chính xác không, trên IAS, nhấn Start > Run, gõ
\\IIS\ROOT rồi nhấn OK. Nếu đúng, bạn sẽ thấy nội dung của thư mục gốc của ổ C:
trên IIS.
4. Cài đặt cho máy CLIENT
CLIENT là máy tính chạy Windows XP Professional, hoạt động như một máy khách
VPN và truy cập từ xa đến các tài nguyên trong Intranet thông qua mạng Internet. Để định
cấu hình cho CLIENT làm máy khách, bạn thực hiện các bước sau:
- Kết nối CLIENT với phân đoạn mạng Intranet.
- Trên máy CLIENT, cài đặt Windows XP Professional như là một máy tính thành
viên có tên CLIENT thuộc domain ptit.com.
- Thêm tài khoản VPNUser trong domain ptit.com vào nhóm Administrators.
- Rời hệ thống (log off) rồi vào lại (log on), sử dụng tài khoản VPNUser trong
domain ptit.com.
- Từ Control Panel-Network Connections, đặt các đặc điểm trên kết nối Local Area
Network, sau đó đặt các đặc điểm trên giao thức TCP/IP.
- Nhấn vào thẻ Alternate Configuration rồi chọn User configured.
- Trong ô địa chỉ IP, gõ 10.0.0.2. Tại ô Subnet mask, gõ 255.0.0.0.
- Nhấn OK để lưu các thay đổi đối với giao thức TCP/IP. Nhấn OK để lưu các thay
đổi đối với kết nối Local Area Network.
Để nạp các chứng nhận trên máy này và định cấu hình cho một kết nối VPN truy cập từ
xa theo giao thức L2TP/IPsec, bạn thực hiện các bước như sau:
- Khởi động lại CLIENT và đăng nhập vào máy với tài khoản VPNUser. Máy tính và
Group Policy được cập nhật tự động.
- Tắt máy CLIENT.
- Ngắt kết nối CLIENT khỏi phân đoạn mạng Intranet và kết nối máy với phân đoạn
Internet. Khởi động lại CLIENT và đăng nhập vào với tài khoản VPNUser.
- Trên CLIENT, trong Control Panel, mở thư mục Network Connections.