Tìm hiểu mạng riêng ảo VPN (Phần 1)
Giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ chức có xu hướng
tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài
nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và
thời gian.
Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng
chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối
(như 'Văn phòng' tại gia) hoặc người sử dụng (Nhân viên di động) truy cập
đến từ bên ngoài.
Khái niệm
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng
(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với
một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp
như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua
Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng
ở xa.
Các loại VPN
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và
VPN điểm-nối-điểm (site-to-site)
VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là một
kết nối người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều
nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa.
Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung
cấp dịch vụ doanh nghiệp (ESP). ESP này tạo ra một máy chủ truy cập
mạng (NAS) và cung cấp cho những người sử dụng từ xa một phần mềm
máy khách cho máy tính của họ. Sau đó, người sử dụng có thể gọi một số
miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy
cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an
toàn, có mật mã.
Hình minh họa cho thấy kết nối giữa Văn phòng chính và "Văn phòng" tại
gia hoặc nhân viên di động là loại VPN truy cập từ xa).

Để giải mã một message, máy tính phải dùng mã chung được máy tính
nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng
loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép
bạn mã hóa hầu như bất cứ thứ gì.
Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an
ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền
đăng nhập toàn diện hơn.
IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề
(header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích
thước. Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao
thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và
các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau.
IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với
router, firewall với router, PC với router, PC với máy chủ.
Máy chủ AAA
AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập),
Authorization (cho phép) và Accounting (kiểm soát). Các server này được
dùng để đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một kết nối
được gửi tới từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra. Các
thông tin về những hoạt động của người sử dụng là hết sức cần thiết để theo
dõi vì mục đích an toàn.
Sản phẩm công nghệ dành cho VPN
Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn sẽ cần phải cài
đặt những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo. Đó có thể
là:
- Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa.
- Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật
PIX.
- Server VPN cao cấp dành cho dịch vụ Dial-up.
- NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người

Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển
đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel,
máy khách và máy chủ phải sử dụng chung một giao thức (tunnel
protocol).
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận
biết. Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface),
nơi gói tin đi vào và đi ra trong mạng.
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi
mạng có thông tin đang đi qua.
- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như
GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được
truyền đi (như IPX, NetBeui, IP).
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ
trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua
Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định
tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở
rộng một mạng riêng trên Internet.
Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing
Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger
Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao
gồm thông tin về loại gói tin mà bạn đnag mã hóa và thông tin về kết nối
giữa máy chủ với máy khách. Nhưng IPSec trong cơ chế Tunnel, thay vì
dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa. IPSec hoạt động tốt
trên cả hai loại mạng VPN truy cập từ xa và điểm- nối-điểm. Tất nhiên, nó
phải được hỗ trợ ở cả hai giao diện Tunnel.
Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính
qua máy chủ truy cập, tới router (tại đây giao thức mã hóa GRE diễn ra), qua

tên là DC1, hoạt động như một trung tâm điều khiển domain (domain
controller), một máy chủ DNS (Domain Name System), một máy chủ
DHCP (Dynamic Host Configuration Protocol) và một trung tâm chứng
thực CA (certification authority).
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên
VPN1, hoạt động như một máy chủ VPN. VPN1 được lắp đặt 2 adapter
mạng.
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên
IAS1, hoạt động như một máy chủ quản lý người sử dụng truy cập từ xa
RADIUS (Remote Authentication Dial-in User Service).
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên
IIS1, hoạt động như một máy chủ về web và file.
- Một máy tính chạy Windows XP Professional, mang tên CLIENT1, hoạt
động như một máy khách truy cập từ xa.
Ở đây có các phân đoạn mạng Intranet dành cho mạng LAN của công ty và
phân đoạn mạng Internet. Tất cả các máy tính ở Intranet được kết nối với
một HUB (máy chủ truy cập) hoặc switch Layer 2. Tất cả các máy tính trên
mạng Internet được kết nối với một HUB hoặc switch Layer 2. Ta sử dụng
các địa chỉ 172.16.0.0/24 cho Intranet; địa chỉ 10.0.0.0/24 cho Internet.
IIS1 chứa cấu hình địa chỉ IP, sử dụng giao thức DHCP. CLIENT1 cũng
dùng giao thức DHCP cho cấu hình địa chỉ IP nhưng cũng được xác định
bằng một cấu hình IP khác để có thể đặt trên mạng Intranet hoặc Internet.
Dưới đây là cách cài đặt cho riêng từng máy.
Kỳ 1: Cách lắp đặt cho DC1
Để định cấu hình DC1 cho các dịch vụ mà nó kiêm nhiệm, bạn làm theo
các bước sau đây:
1. Cài đặt Windows Server 2003, bản Enterprise Edition, để làm một server
riêng.
2. Xác định giao thức TCP/IP với địa chỉ IP là 172.16.0.1 và địa chỉ cho
mạng cấp dưới là 255.255.255.0.

cách dùng Control Panel => Add or Remove Programs.
22. Mở Active Directory Users and Computers.
23. Trong cây thư mục, chọn example.com.
24. Nhấn chuột phải vào Users, chọn Computer.
25. Trong hộp thoại New Object Computer, nhập IAS1 trong mục
Computer name.
26. Nhấn Next. Trong hộp thoại Managed, nhấn Next. Trong hộp thoại
New Object Computer, nhấn Finish.
27. Dùng các bước từ 24 đến 26 để tạo thêm tài khoản máy tính với các tên
IIS1, VPN1 và CLIENT1.
28. Trong cây thư mục, nhấn chuột phải vào Users, chọn User.
29. Trong hộp thoại New Object User, nhập VPNUser trong mục First
name và VPNUser trong User logon name.
30. Nhấn Next.
31. Trong hộp thoại New Object User, nhập một password tùy chọn vào
mục Password and Confirm password. Bỏ dấu ở ô User must change
password at next logon và đánh dấu ở ô Password never expires.
32. Trong hộp thoại New Object User, chọn Finish.
33. Trong cây thư mục, nhấn chuột phải vào Users, chọn Group.
34. Trong hộp thoại New Object Group, nhập vào dòng VPNUsers ở mục
Group name rồi nhấn OK.
35. Kích đúp vào VPNUsers.
36. Nhấn vào thẻ Members và nhấn Add.
37. Trong hộp thoại Select Users, Contacts, Users hoặc Groups, nhập
vpnuser trong mục Enter the object names to select.
38. Nhấn OK. Trong hộp thoại Multiple Names Found, nhấn OK. Account
của người sử dụng VPNUser được đưa vào sanh sách nhóm VPNUsers.
39. Nhấn OK để lưu các thay đổi đối với nhóm VPNUsers.
Tìm hiểu mạng riêng ảo VPN (Phần 4)
Phần này giới thiệu cách cài đặt mạng VPN loại truy cập từ xa theo giao thức Tunneling

chọn New Remote Access Policy.
11. Trên trang Welcome to the New Remote Access Policy Wizard, nhấn
Next.
12. Trên trang Policy Configuration Method, nhập VPN remote access to
intranet vào ô Policy name.
13. Nhấn Next. Trên trang Access Method, chọn VPN.
14. Nhấn Next. Trên trang User or Group Access, chọn Group.
15. Nhấn nút Add. Trong hộp thoại Select Groups, gõ VPNUsers trong ô
Enter the object names to select.
16. Nhấn OK. Nhóm VPNUsers trong domain example.com được thêm vào
danh sách nhóm trên trang Users or Groups.
17. Nhấn Next. Trên trang Authentication Methods, giao thức thẩm định
quyền truy cập MS-CHAP v2 được chọn mặc định.
18. Nhấn Next. Trên trang Policy Encryption Level, bỏ đánh dấu trong các
ô Basic encryption và Strong encryption.
19. Nhấn Next. Trên trang Completing the New Remote Access Policy,
nhấn Finish.
IIS1
IIS1 chạy Windows Server 2003, Standard Edition và dịch vụ Internet
Information Services (IIS). Để định cấu hình cho IIS1 làm máy chủ về tập
tin và web, bạn thực hiện các bước sau:
1. Cài đặt Windows Server 2003, Standard Edition cho máy với tư cách là
server thành viên mang tên IIS1 trong domain example.com.
2. Cài đặt IIS làm tiểu mục thuộc Application Server của Windows
Components Wizard trong Control Panel-Add or Remove Programs.
3. Trên IIS1, dùng Windows Explorer để tạo một cơ chế chia sẻ mới cho
thư mục gốc của ổ C:, dùng tên ROOT với các cho phép mặc định.
4. Để xác định máy chủ web có hoạt động chính xác không, hãy chạy trình
duyệt Internet Explorer trên IAS1. Nếu Internet Connection Wizard nhắc
bạn thì hãy định cấu hình kết nối Internet cho một kết nối LAN. Trong

được chọn mặc định.
13. Nhấn Next. Trên trang Managing Multiple Remote Access Servers,
nhấn vào Yes, set up this server to work with a RADIUS server.
14. Nhấn Next. Trên trang RADIUS Server Selection, gõ 172.16.0.2 trong
ô Primary RADIUS server và mã bí mật chung trong ô Shared secret.
15. Nhấn Next. Trên trang Completing the Routing and Remote Access
Server Setup Wizard, nhấn Finish.
16. Bạn sẽ nhận được message nhắc phải định cấu hình DHCP Relay
Agent.
17. Nhấn OK.
18. Trong cây chương trình, mở VPN1 (local), sau đó là IP Routing và kế
tiếp là DHCP Relay Agent. Nhấn chuột phải vào DHCP Relay Agent rồi
chọn Properties.
19. Trong hộp thoại DHCP Relay Agent Properties, gõ 172.16.0.1 trong ô
Server address.
20. Nhấn Add rồi OK.
CLIENT1
CLIENT1 là máy tính chạy Windows XP Professional, hoạt động như một
máy khách VPN và truy cập từ xa đến các tài nguyên trong Intranet thông
qua mạng Internet. Để định cấu hình cho CLIENT1 làm máy khách, bạn
thực hiện các bước sau:
1. Kết nối CLIENT1 với phân đoạn mạng Intranet.
2. Trên máy CLIENT1, cài đặt Windows XP Professional như là một máy
tính thành viên có tên CLIENT1 thuộc domain example.com.
3. Thêm tài khoản VPNUser trong domain example.com vào nhóm
Administrators.
4. Rời hệ thống (log off) rồi vào lại (log on), sử dụng tài khoản VPNUser
trong domain example.com.
5. Từ Control Panel-Network Connections, đặt các đặc điểm trên kết nối
Local Area Network, sau đó đặt các đặc điểm trên giao thức TCP/IP.

25. Nhấn Connect.
26. Khi kết nối hoàn tất, chạy Internet Explorer.
27. Nếu Internet Connection Wizard nhắc, định cấu hình nó cho kết nối
LAN. Ở ô Address, gõ http://IIS1.example.com/winxp.gif. Bạn sẽ nhìn thấy
hình ảnh của Windows XP.
28. Nhấn Start > Run, gõ \\IIS1\ROOT rồi nhấn OK. Bạn sẽ thấy các nội
dung của ổ C: trên máy IIS1.
29. Nhấn chuột phải vào kết nối PPTPtoMangcongty rồi nhấn vào
Disconnect.
Tìm hiểu mạng riêng ảo VPN (Phần 5)
Phần này sẽ giới thiệu kết nối VPN truy cập từ xa theo giao thức L2TP/IPsec. Cơ chế này
cần các chứng nhận bảo mật (certificate) trên cả máy khách và máy chủ VPN và được áp
dụng khi người sử dụng cần cấu trúc mã khóa chung (public key infrastructure) ở mức độ
cao hơn PPTP.
Mô hình thực nghiệm kết nối VPN truy cập từ xa. Ảnh: Microsoft
Trong mô hình thực nghiệm này, bạn cần:
- Máy tính chạy Windows Server 2003, phiên bản Enterprise Edition, đặt
tên là DC1, hoạt động như một trung tâm điều khiển domain (domain
controller), một máy chủ DNS (Domain Name System), một máy chủ
DHCP (Dynamic Host Configuration Protocol) và một trung tâm chứng
thực CA (certification authority).