HỌC VIỆN KỸ THUẬT QUÂN SỰ
KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN MÔN HỌC
KỸ THUẬT LIÊN MẠNG

Giáo viên hướng dẫn : Nguyễn Hoàng Sinh
Đề tài :
Tìm hiểu, Thiết kế và triển khai dịch vụ VPN Client to site cho Doanh
nghiệp,công ty nhỏ
Sinh viên thực hiện :
Phạm Văn Tùng

Hà nội 12/2015


HỌC VIỆN KỸ THUẬT QUÂN SỰ
KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN MÔN HỌC
KỸ THUẬT LIÊN MẠNG

Giáo viên hướng dẫn : Nguyễn Hoàng Sinh

Đề tài :
Tìm hiểu, Thiết kế và triển khai dịch vụ VPN Client to site cho Doanh
nghiệp,công ty nhỏ

Sinh viên thực hiện :
Phạm Văn Tùng


Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng
chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như
văn phòng tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên
ngoài.
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng
(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một
mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như
đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet
giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.
Có nhiều khái niệm khác nhau về mạng riêng ảo VPN (Virtual Private
Network) tuỳ thuộc vào hình thức tổ chức mạng và thiết bị của nhà cung cấp.
Nếu xét theo góc độ đơn giản nhất thì dịch vụ VPN là mạng được cấu thành
bởi các kênh ảo (không cố định) nhằm truyền tải lưu lượng thông tin cho một tổ
chức riêng rẽ. Đối tượng dịch vụ chính của VPN là các doanh nghiệp, các tổ
chức có nhu cầu thiết lập mạng dùng riêng.
1.2 Chức năng của VPN

VPN cung cấp ba chức năng chính:
-

Sự tin cậy (Confidentiality) : Người gửi có thể mã hóa các gói dữ liệu trước
khi truyền qua mạng. Bằng cách làm như vậy, không một ai có thể truy cập
thông tin mà không được phép. Và nếu có lấy được thì cũng không đọc

-

được.
Tính toàn vẹn (Data Integrity) : Người nhận có thể kiểm tra rằng dữ liệu đã



cho người nhận. Mã hóa là tính năng tùy chọn nó cũng đóng góp vào đặc
điểm riêng tư của VPN.
2. PHÂN LOẠI VPN

Có 2 cách chủ yếu sử dụng các mạng riêng ảo VPN. Trước tiên, các mạng
VPN có thể kết nối hai mạng với nhau. Điều này được biết đến như một mạng
kết nối LAN to LAN VPN hay mạng kết nối site to site VPN. Thứ hai, một
VPN truy cập từ xa có thể kết nối người dùng từ xa tới mạng.
Ngày nay VPNs đã phát triển và phân chia thành ba kiểu VPN chính như sau
2.1

Remote Access VPNs
Intranet VPNs
Ixtranet VPNs
VPN truy cập từ xa (Remote Access)

Remote Access, hay còn gọi là virtual private dial-up network (VPDN).
Cung cấp các truy cập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạ
tầng chia sẻ Access VPN, đây là kết nối user to LAN dành cho nhân viên
muốn kết nối


từ xa đến mạng cục bộ công ty bằng dial-up. Khi công ty muốn thiết lập Remote
access trên qui mô rộng, có thể thuê một ESP (Enterprise Service Provider) và
ESP này sẽ thiết lập một NAS (Network Access Server), người dùng từ xa sẽ
quay số truy cập đến NAS và dùng một phần mềm VPN đầu cuối để kết nối
với mạng cục bộ của công ty. Đường truyền trong Access VPN có thể là tương
tự, quay số, ISDN, các đường thuê bao số (DSL).

Hình 2 Mô hình VPN truy cập từ xa

2.3 Bộ xử lý trung tâm VPN
Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm của
Cisco tỏ ra vượt trội ở một số tính năng. Tích hợp các kỹ thuật mã hóa và thẩm
định quyền truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kế chuyên
biệt cho loại mạng này. Chúng chứa các module xử lý mã hóa SEP, cho phép
người sử dụng dễ dàng tăng dung lượng và số lượng gói tin truyền tải. Dòng
sản phẩm có các model thích hợp cho các mô hình doanh nghiệp từ nhỏ đến
lớn (từ100 cho đến 10.000 điểm kết nối từ xa truy cập cùng lúc).

Hình 3 Bộ xử lý trung tâm VPN Cisco 3000
2.4 Router dùng cho VPN
Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật. Dựa trên hệ điều
hành Internet IOS của mình, hãng Cisco phát triển loại router thích hợp cho mọi
trường hợp, từ truy cập nhà tới văn phòng cho đến nhu cầu của các doanh
nghiệp quy mô lớn.

Hình 4 Router Cisco


2.5 Tường lửa PIX của Cisco
Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chế
dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN
và chặn truy cập bất hợp pháp.

Hình 5 Bộ Cisco PIX Firewall
Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao,
xoay sở được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào
IP.
2.6 CÁC YÊU CẦU CƠ BẢN ĐỐI VỚI MỘT GIẢI PHÁP VPN
Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo.

vi nhất định hoặc liên quan đến cả hai vấn đề trên.


2.6.4 Khả năng hoạt động tương tác
Mặc dù VPN đã xuất hiện trên thị trường khoảng 2 năm trở lại đây nhưng các
tiêu chuẩn liên quan đến dịch vụ này vẫn chưa được tiêu chuẩn hoá một cách
toàn diện, các nhà sản xuất thiết bị vẫn phát triển các chuẩn kỹ thuật riêng của
mình. Vì vậy cần chú ý việc lựa chọn thiết bị nào trong khi phát triển mạng riêng
ảo, cũng như đảm bảo tính đồng bộ của thiết bị sử dụng. Trên thế giới hiện
có tới 60 giải pháp khác nhau liên quan đến VPN.
2.7 THIẾT LẬP KẾT NỐI TUNNEL
2.7.1 Các loại giao thức
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng
riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào
trong một lớp tiêu đề (header) chứa thông tin định tuyến có thể truyền qua hệ
thống mạng trung gian theo những "đường ống" riêng (Tunnel). Khi gói tin được
truyền đến đích, chúng được tách lớp tiêu đề và chuyển đến các máy trạm cuối
cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ phải
sử dụng chung một giao thức (Tunnel Protocol).
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận
biết. Hai điểm đầu cuối này được gọi là giao diện Tunnel (Tunnel Interface), nơi
gói tin đi vào và đi ra trong mạng.
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
+ Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng
có thông tin đang đi qua.


+ Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE,
IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
+ Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được

Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính
qua máy chủ truy cập, tới Router (tại đây giao thức mã hóa GRE diễn ra), qua
Tunnel để tới máy tính của văn phòng từ xa.


2.8 CÁC GIAO THỨC SỬ DỤNG TRONG VPN
Hiện nay có ba giao thức chính dùng để xây dựng VPN là:
2.8.1 Giao thức định đường hầm điểm nối điểm PPTP (Point to Point
Tunneling Protocol)
Đây là giao thức định đường hầm phổ biến nhất hiện nay, PPTP (Point to
Point Tunneling Protocol) được cung cấp như một phần của dịch vụ truy cập từ
xa RAS (Remote Access Services) trong hệ điều hành Windows NT 4.0 và
Window
2000, sử dụng cách mã hoá sẵn có của Windows, xác thực người dùng và cơ sở
cấu hình của giao thức điểm - điểm PPP (Point to Point Protocol) để thiết lập
các khoá mã.
Giao thức định đường hầm điểm - điểm PPTP (Point – to – Point Tunneling
Protocol) được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP
forum. Nhóm này bao gồm 3Com, Ascend comm, Microsoft,

ECI

Telematicsunication và US robotic. Ý tưởng cơ sở cho giao thức này là tách
các chức năng chung và riêng của truy cập từ xa, lợi dụng lợi ích của cơ sở hạ
tầng Internet sẵn có để tạo kết nối bảo mật giữa client và mạng riêng. Người
dùng ở xa chỉ việc quay số đến nhà cung cấp dịch cụ ISP địa phương là có thể
tạo một đường hầm bảo mật tới mạng riêng của họ.
Giao thức quay số truy cập vào Internet phổ biến nhất là giao thức điểm điểm PPP (Point to Point Protocol). PPTP được xây dựng dựa trên chức năng
của PPP, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật
thông qua Internet đến site đích. PPTP sử dụng giao thức bọc gói định tuyến


Hình 10 Giao thức IPSec
Ngoài ra còn có giao thức chuyển tiếp lớp 2 L2F (Layer 2 Forwarding) là cơ sở
để xây dựng nên L2TP.
2.9 LỢI ÍCH CỦA VPN


2.9.1 Đối với khách hàng
+ Giảm thiểu chi phí sử dụng so với việc kết nối mạng diện rộng dùng các kênh
thuê riêng. Theo thống kê thực tế chi phí sử dụng cho mạng riêng ảo chỉ
bằng 60% so với chi phí của việc dùng kênh kết nối riêng. Ðiều này đặc biệt
có ý nghĩa lớn đối với các công ty đa quốc gia, thông qua mạng riêng ảo giúp
khách hàng giảm thiểu thời gian và đáp ứng nhu cầu làm việc trực tuyến.
+ Giảm thiểu thiết bị sử dụng.
+ Giảm thiểu chi phí kênh kết nối đường dài.
+ Giảm thiểu việc thiết kế và quản lý mạng.
+ Giảm thiểu việc lãng phí băng thông, khách hàng có khả năng trả theo cước
lưu lượng sử dụng.
+ Quản lý dễ dàng : Khách hàng có khả năng quản lý số lượng người sử dụng
(khả năng thêm, xoá kênh kết nối liên tục, nhanh chóng). Hiện nay nhu cầu sử
dụng tư vấn từ bên ngoài, các nguổn lực từ bên ngoài để phục vụ cho công tác
kinh doanh đã trở thành một xu hướng. Tổ chức IDC dự đoán nhu cầu sử dụng
các dịch vụ quản lý mạng từ bên ngoài tăng từ 2,4 tỷ trong năm 1998 lên 4,7 tỷ
trong năm 2002.

2.9.2 Đối với nhà cung cấp dịch vụ


+ Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia
tăng giá trị khác kèm theo.

mà không cần quan tâm đến những phần phức tạp bên dưới.
+ Khả năng mở rộng :

Do VPN sử dụng môi trường và các công nghệ

tương tự Internet cho nên với một Internet VPN, các văn phòng, nhóm và các
đối tượng di động có thể trở nên một phần của mạng VPN ở bất kỳ nơi nào
mà ISP cung cấp một điểm kết nối cục bộ POP
2.10.2 Nhược điểm
Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanh
nghiệp. Tuy nhiên VPN không phải không có nhược điểm, mặc dù không
ngừng được cải tiến, nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mật
nhưng dường như đó vẫn là một vấn để khá lớn của VPN.
Vì sao vấn đề bảo mật lại lớn như vậy đối với VPN? Một lý do là VPN đưa các
thông tin có tính riêng tư và quan trọng qua một mạng chung có độ bảo mật rất
kém ( thường là Internet). Lý do bị tấn công của VPN thì có vài lý do sau : sự
tranh đua giữa các công ty, sự tham lam muốn chiếm nguồn thông tin, sự trả


thù, cảm giác mạnh…
QoS cho VPN cũng là một vấn đề đau đầu. Hai thông số về QoS cho mạng là
độ trễ và thông lượng. Ta biết rằng VPN chạy trên một mạng chung Internet.
Mà đặc thù của mạng Internet là mạng có cấu trúc đơn giản, lưu lượng tin lớn,
khó dự đoán cũng chính vì thế mà việc quản lý chất lượng cho từng dịch vụ là
rất khó khăn. Thường QoS trên Internet chỉ là best effort.
Khả năng quản lý cũng là vấn đề khó khăn của VPN. Cũng với lý do là chạy
ngang qua mạng Internet nên khả năng quản lý kết nối end to end từ phía một
nhà cung cấp đơn lẻ là điều không thể thực hiện được. Vì thế nhà cung cấp
dịch vụ (ISP) không thể cung cấp chất lượng 100% như cam kết mà chỉ có thể
cố hết sức. Cũng có một lối thoát là các nhà cung cấp ký kết với nhau các bản

tương ứng với địa chỉ IP là 123.30.245.70 (card mạng ngoài) và
10.10.10.5 (card mạng trong).
+ 1 máy VPN CLIENT cài hệ điều hành Window server 2008 hoặc Window 7.
+ 1 SWITCH.
Yêu cầu đặt ra:
Máy tính VPN CLIENT truy cập từ xa vào trong trung tâm theo giao thức
IPSec, chứng thực bởi Cert trên Server VPN.


CHƯƠNG 4
TRIỂN KHAI CÀI ĐẶT MÔ HÌNH VPN CLIENT TO SITE
4.1 CÁC BƯỚC CÀI ĐẶT
4.1.1

Cài đặt OpenVPN trên Server ubuntu 14.04

-

Sudo apt-get install openvpn

-

Cấu hình trên Server Ubuntu
Cài đặt Certificate Authority (CA)
Tạo thư mục easy-rsa sau đó copy vào trong thư mục /etc/openvpn/
mkdir /etc/openvpn/easy-rsa/
cp –r /usr/share/doc/openvpn/examples/easy-rsa/2.0/* /etc/openvpn/easyrsa/
Tạo key xác thực cho Server
cd /etc/openvpn/easy-rsa/
source vars