Đồ án tốt nghiệp Đại học Chương 3. Xây dựng một mạng
VPN
CHƯƠNG 3
XÂY DỰNG MẠNG VPN
Một VPN bao gồm hai thành phần chính đó là: tuyến kết nối đến Internet
được sung cấp bởi ISP và phần mềm cũng như phần cứng để bảo mật dữ liệu
bằng cách mã hoá trước khi truyền ra mạng Internet. Các chức năng của VPN
được thực hiện bởi các bộ định tuyến, tường lửa và các phần cứng, phần mềm.
Trong chương này, ta sẽ xem xét tới các thành phần của mạng VPN và một
số vấn đề liên quan đến việc xây dựng mạng VPN như việc kết nối đến ISP, các
bộ định tuyến, tường lửa, và các thiết bị phần cứng khác, các sản phẩm phần
mềm cần thiết cho mạng VPN.
3.1 Thành phần cơ bản của một VPN
Cấu trúc phần cứng chính của VPN bao gồm: Máy chủ VPN (VPN
servers), máy khách VPN (VPN clients) và một số thiết bị phần cứng khác như:
Bộ định tuyến VPN (VPN routers), cổng kết nối VPN (VPN Gateways) và bộ
tập trung (Concentrator).
3.1.1 Máy chủ VPN
Nhìn chung, Máy chủ VPN là thiết bị mạng dành riêng để chạy phần mềm
máy chủ (Software servers). Dựa vào những yêu cầu của công ty, mà một mạng
VPN có thể có một hay nhiều máy chủ. Bởi vì mỗi máy chủ VPN phải cung cấp
dịch vụ cho các máy khách (VPN client) ở xa cũng như các máy khách cục bộ,
đồng thời các máy chủ luôn luôn sãn sàng thực hiện những yêu cầu truy nhập từ
các máy khách.
Những chức năng chính của máy chủ VPN bao gồm:
- Tiếp nhận những yêu cầu kết nối vào mạng VPN
- Dàn xếp các yêu cầu và các thông số kết nối vào mạng như là: cơ
chế của các quá trình bảo mật hay các quá trình xác lập
- Thực hiện các quá trình xác lập hay quá trình bảo mật cho các
máy khách VPN
- Tiếp nhận các dữ liệu từ máy khách và chuyển dữ liệu yêu cầu về

Đặc trưng của máy khách VPN gồm:
- Những người làm việc ở xa sử dụng mạng Internet hoặc mạng
công cộng để kết nối đến tài nguyên của công ty từ nhà.
- Những người dùng di động sử dụng máy tính xách tay...để kết nối
vào mạng cục bộ của công ty thông qua mạng công cộng, để có
thể truy cập vào hòm thư điện tử hoặc các nguồn tài nguyên trong
mạng mở rộng.
Đoàn Thanh Bình, D01VT
59
Đồ án tốt nghiệp Đại học Chương 3. Xây dựng một mạng
VPN
- Những người quản trị mạng từ xa, họ dùng mạng công cộng trung
gian, như là mạng Internet, để kết nối tới những site ở xa để quản
lý, giám sát, sửa chữa hoặc cài đặt dịch vụ hay các thiết bị.

Internet
Bộ tập trung
truy cập của ISP
Máy chủ
Bộ định tuyến
Máy chủ
Bộ định tuyến
Mạng riêng
được bảo vệ
Mạng riêng
được bảo vệ
Máy khách
di động
Máy khách
tại nhà

3.1.5 Cổng kết nối VPN
Cổng kết nối IP là thiết bị biên dịch những giao thức không phải là giao
thức IP sang giao thức IP và ngược lại. Như vậy, những cổng kết nối này cho
phép một mạng riêng hỗ trợ chuyển tiếp dựa trên giao thức IP. Những thiết bị
này có thể là những thiết bị mạng dành riêng, nhưng cũng có thể là giải pháp
dựa trên phần mềm. Với thiết bị phần cứng, cổng kết nối IP nói chung được thiết
lập ở biên của mạng cục bộ của công ty. Còn là giải pháp dựa trên phần mềm,
thì cổng kết nối IP được cài đặt trên mỗi máy chủ và được sử dụng để chuyển
đổi các lưu lượng từ giao thức không phải là giao thức IP sang giao thức IP và
ngược lại. Ví dụ như phần mềm Novell’s Border Manager.
Các cổng kết nối VPN là các cổng kết nối bảo mật (Security gateway) được
đặt giữa mạng công cộng và mạng riêng nhằm nhăn chặn xâm nhập trái phép
vào mạng riêng. Cổng kết nối VPN có thể cung cấp những khả năng tạo đường
hầm và mã hoá dữ liệu riêng trước khi được chuyển đến mạng công cộng.
3.2 Các vấn đề cần chú ý khi thiết kế VPN
Để thiết kế một VPN hữu dụng, cần phải nắm vững những thông số của
mạng và những yêu cầu đối với VPN sắp được thiết kế, chẳng hạn:
- Số lượng site? số lượng người dùng ở mỗi site?
- Lưu lượng mạng do các site phát sinh, biến đổi lưu lượng theo giờ, theo ngày.
- Các site có hỗ trợ người dùng từ xa không? Nếu có thì bao nhiêu?
- Loại kết nối đến Internet? Là kết nối thường trực hay kết nối theo yêucầu?
Nếu là kết nói thường trực thì bao lâu kết nối được lưu dự phòng một lần.
Đoàn Thanh Bình, D01VT
61
Đồ án tốt nghiệp Đại học Chương 3. Xây dựng một mạng
VPN
Nếu là kết nối theo yêu cầu thì bao lâu được yêu cầu? độ tin cậy
cần thiết phải có?
3.2.1 Các vấn đề về mạng và ISP
Do sự phát triển qua nhanh của mạng nên một vấn đề đặt ra về mạng đó là

Đồ án tốt nghiệp Đại học Chương 3. Xây dựng một mạng
VPN
Mã hoá là một tiến trình đòi hỏi tính toán và nó thay đổi tuỳ theo giải thuật.
Với các giải thuật khác nhau cho ta các mức độ bảo mật khác nhau, ta có thể sử
dụng các phương thức mã hoá khác nhau để phân quyền truy cập.
Khi thiết kế VPN cần quyết định bao lâu thì khoá được chuyển đổi giữa các
cổng nối bảo mật. Nếu một VPN chỉ có một số lượng nhỏ cổng bảo mật thì
chuyển khoá bang tay vẫn là một giải pháp có thể chấp nhận được. Tuy nhiên,
giải pháp trên không thích hợp khi VPN trải rộng trên một quốc gia hay kgắp
toàn cầu. Trong trường hợp này thì sử dụng e-mail bảo mật là một giải pháp.
Để dữ liệu được bảo mật cao nhất thì tốt hơn hết là sử dụng hệ thống
chuyển khoá tự động. Những khoá sử dụng cho mã hoá và xác thực có thể thay
đổi theo quy luật: sau một số gói được truyền đi; sau một khoảng thời gian;mỗi
khi bắt đầu một phiên làm việc mới hoặc là tổ hợp nhưng quy luật trên. Tự đông
thay đổi khoá làm tăng khả năng chống lại tấn công, xâm phập trái phép.
Khi sử dụng hệ thống quản lý khoá thì cần kèm theo một số cơ chế hồi
khoá. Điều này đặc biệt hưu ích khi muốn khôi phục lại dữ liệu cũ cùng với
khoá cũ trước đó.
Chứng thực số hay còn gọi là xác thực tính hợp lệ. Trong tiến trìng mã hoá
khoá chung có sử dụng một cặp khoá chung để xác thực tính hợp lệ của khoá.
Những chứng thực này nhằm rằng buộc khoá chung với một số thực thể mạng
tên, có thể là nguời dùng hay máy tính. nhiều trình duyệt Web sử dụng chứng
thực điện tử để đảm bảo truyền hông bảo mật với máy chủ, sử dụng Secure
Sockets Layer cho các mục đích thương mại điện tử. Một số hệ thống e-mail đưa
ra khả năng mã hoá dựa trên chứng thực điện tử và những công nghệ để phân
phối chúng: Chứng thực điện tử CA và cơ sở hạ tầng khóa công cộng (Public
Key Infrastructures).
3.3 Quá trình xây dựng
Trước hết ta xét quá trình thiết lập một cuộc trao đổi thông tin trong VPN.
Một người làm việc ở xa muốn thực hiện kết nối tới mạng công ty và truy