BÁO CÁO CHUYÊN ĐỀ

Học phần: AN TOÀN DỊCH VỤ MẠNG

TÌM HIỂU VÀ ĐÁNH GIÁ TÍNH NĂNG CỦA MỘT SỐ SẢN

PHẨM VPN

Nhóm học viên:

Trung đội:

Giáo viên hướng dẫn:

Bắc Ninh, tháng 9 năm 2023

2
 LỜI MỞ ĐẦU
Với sự phát triễn không ngừng của công nghệ thông tin, các tài liệu, thông tin được
trao đổi với nhau một cách nhanh chóng, nhưng đối với những thông tin, tài liệu quan trọng
chỉ cho một nhóm người hay thành viên, nhân viên trong một tổ chức, một công ty, một
doanh nghiệp thì sao? Những thông tin này có bị rơi vào tay của những kẻ trộm công nghệ
hay không. Họ dùng tài liệu này vào những việc xấu, hay bán cho một công ty khác để làm
ra một sản phẩm được trộm lấy, mà bản quyền không phải của họ, làm tổn thất ngân sách
cho các công ty bị mất cắp. Vấn đề này, khiến cho các công ty, doanh nghiệp phải nhức đầu
về việc bảo mật mạng cục bộ (LAN) của chính công ty họ.
Mạng riêng ảo Virtual Private Network (VPN) là giải pháp cung cấp một mô hình
mạng diện rộng Wide Area Network (WAN) an toàn cho các tổ chức hiện nay. Các doanh
nghiệp có thể kết nối các chi nhánh với nhau thông qua mạng Internet công cộng mà vẫn giữ
được yêu cầu về bảo mật. Hơn thế nữa, VPN còn giảm thiểu chi phí cho những liên kết từ
xa từ vì địa bàn rộng (trên toàn quốc hay toàn cầu).
Qua những gì chúng em hiểu biết được sự lo lắng băn khoăn, an toàn bảo mật khi trao
đổi thông tin giữa các tổ chức, cá nhân. Với sự hướng dẫn, giúp đỡ của thầy cô, chúng em
chọn đề tài này để nghiên cứu các thành phần, vai trò, các hoạt động từng thành phần, và các
chi tiết giao thức trong mỗi hoạt động thành phần đó để xây dựng một mạng riêng ảo VPN.
Ứng dụng và triễn khai cài đặt trên các hệ thống mạng.
Do còn nhiều hạn chế về mặt kiến thức nên trong quá trình thực hiện đề tài, nhóm
chúng em không tránh khỏi thiếu sót. Nhóm chúng em rất mong nhận được những ý kiến
đóng góp, đánh giá của quý thầy cô để có thể hoàn thiện được đề tài một cách hoàn chỉnh và
rút kinh nghiệm cho những đề tài sau.
Chúng em xin chân thành cảm ơn quý thầy cô Khoa Công nghệ Thông tin đã quan
tâm, giảng dạy tận tình chúng em trong suốt thời gian học tập vừa qua, đặc biệt là thầy
Nguyễn Mạnh Thắng là người hướng dẫn thực hiện để chúng em có thêm kiến thức và hoàn
thành tốt đề tài của mình.
Chúng em xin trân thành cảm ơn!.

3
 Tóm tắt chuyên đề:
Gồm có 3 chương:
Chương 1: Cơ sở lý thuyết và nguyên lý vận hành VPN.
Chương 2: Ứng dụng và đánh giá một số sản phẩm VPN.
Chương 3: Hướng dẫn triển khai mạng riêng ảo VPN Client - to - site.
Nhiệm vụ chuyên đề:
Là tìm hiểu định nghĩa VPN, các thành phần mạng VPN. Vai trò và cơ chế hoạt
động của từng thành phần. Các giao thức trong mọi hoạt động VPN, chi tiết từng giao thức.
Tìm hiểu một VPN Server, các quy trình sử dụng nó. Các giao thức áp dụng khi triển khai
VPN. Mô hình thực nghiệm minh hoạ.

BẢNG PHÂN CÔNG NHIỆM VỤ

STT Họ và tên Nhiệm vụ
Chương 1: Nêu khái niệm và nguyên lý hoạt
1
động của VPN.
Chương 2: Ứng dụng và đánh giá một số sản
phẩm VPN.
2
Chương 3: Cài đặt và hướng dẫn sử dụng
một số loại hình kết nối VPN.

4
 MỤC LỤC
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT...........................................................7
DANH MỤC BẢNG BIỂU.....................................................................................................8
DANH MỤC CÁC HÌNH VẼ ĐỒ THỊ...................................................................................9
CHƯƠNG 1: LÝ THUYẾT VÀ NGUYÊN LÝ VẬN HÀNH..............................................11
1. Định nghĩa VPN là gì?.......................................................................................................11
1.1. Các dạng kết nối VPN..............................................................................................13
1.2. Những thành phần của VPN.....................................................................................15
1.3. Vai trò và cơ chế hoạt động của từng thành phần...................................................16
1.4. VPN server (Mạng riêng ảo Máy chủ):....................................................................16
1.5. VPN client (Mạng riêng ảo cho máy khách)............................................................17
1.6. Tunnel (Đường hầm)................................................................................................18
1.7. Kết nối VPN.............................................................................................................18
1.8. Đường hầm giao thức...............................................................................................18
1.9. Đường hầm dữ liệu...................................................................................................18
1.10. Transit liên mạng:...................................................................................................18

2. NGUYÊN LÝ VẬN HÀNH:.............................................................................................19

2.1. Các giao thức hoạt động VPN..................................................................................19
2.2. Giao thức định hướng lớp 2 - L2F ( Layer 2 Forwarding )......................................21
2.3 Giao thức định hướng L2TP......................................................................................23
2.4. Giao thức bảo mật IP - IPSEC..................................................................................26
2.5. SSL VPNs(Secure Sockets Layer )..........................................................................40
2.6. GRE ( Generic Routing Encapsulation )..................................................................42
2.7. Giao thức L2TPv3....................................................................................................44

3. MẬT MÃ...........................................................................................................................55
3.1 Khái niệm về Mã hoá................................................................................................55
3.2 Hệ mật khoá công khai là gì?....................................................................................55
3.3 Hai phương pháp khoá công khai quan trọng............................................................56

CHƯƠNG 2. ỨNG DỤNG VÀ ĐÁNH GIÁ MỘT SỐ SẢN PHẨM VPN..........................59

5
1. Proton VPN........................................................................................................................59
2. NordVPN............................................................................................................................62
3. Surfshark VPN...................................................................................................................65
2. Tiêu chí đánh giá VPN:......................................................................................................69
CHƯƠNG 3: HƯỚNG DẪN TRIỂN KHAI MẠNG RIÊNG ẢO VPN CLIENT - TO - SITE
................................................................................................................................................72
1. Mô tả thực nghiệm:............................................................................................................72
2. Công cụ sử dụng.................................................................................................................72
3. Mô hình triển khai..............................................................................................................72
4. Mô tả các bước cần thực hiện............................................................................................72
5. Hướng dẫn các bước thực hiện...........................................................................................73
5.1. Thực hiện trên máy chủ Data...................................................................................73
5.2. Thực hiện trên máy chủ VPN Server.......................................................................74
5.3. Thực hiện trên máy Windows 7...............................................................................81

KẾT LUẬN............................................................................................................................85
TÀI LIỆU THAM KHẢO......................................................................................................86

6
 DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT
ST
Chữ viết tắt Chữ nguyên bản
T
1 VPN Virtual Private Network
2 WAN Wide Area Network
3 LAN Local area network

7
 DANH MỤC BẢNG BIỂU
Bảng 1. 1: Các ưu nhược điểm của các hệ thống mã hoá......................................................58
Bảng 1. 2: So sánh chi phí và thời gian cần thiết để bẻ các khoá có độ dài khác nhau.........58
Bảng 1. 3: Chiều dài của khoá bí mật và khoá công khai đối với các mức bằng nhau của
việc bảo mật............................................................................................................................59

Bảng 2. 1: Thông tin chung về Proton VPN...........................................................................61

Bảng 2. 2: Bảng thông tin về Nord VPN.................................................................................64
Bảng 2. 3: Bảng thông tin của Surfshark................................................................................67

8
 DANH MỤC CÁC HÌNH VẼ ĐỒ THỊ

Hình 1: Mô hình mạng VPN...................................................................................................11

Hình 2: VPN và mô hình OSI..................................................................................................12
Hình 3: Mô hình mạng VPN...................................................................................................13
Hình 4: Các hình thức kết nối VPN........................................................................................14
Hình 5: VPN site to site..........................................................................................................15
Hình 6: Các thành phần VPN.................................................................................................16
Hình 7: VPN Server................................................................................................................16
Hình 8: Card mạng Ip VPN....................................................................................................17
Hình 9: Mô hình PPTP...........................................................................................................19
Hình 10: Các thành phần cơ bản của một VPN sử dụng PPTP.............................................20
Hình 11: Mô hình đặc trưng L2F...........................................................................................22
Hình 12: Các thành phần cơ bản của L2TP...........................................................................24
Hình 13: Khung giao thức được sử dụng trong IPSec...........................................................27
Hình 14: Khuôn dạng gói AH.................................................................................................28
Hình 15: Khuôn dạng gói ESP...............................................................................................30
Hình 16: Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH...............................................32
Hình 17: Khuôn dạng gói tin IPv6 trước và sau khi xử lý AH...............................................32
Hình 18: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP..............................................33
Hình 19: Khuôn dạng gói tin IPv6 trước và sau khi xử lý ESP..............................................33
Hình 20: 5 bước hoạt động của IPSec....................................................................................34
Hình 21: Thương lượng..........................................................................................................34
Hình 22: IKE Phase 1.............................................................................................................35
Hình 23: Tập chính sách IKE.................................................................................................36
Hình 24: Xác thực các đối tác................................................................................................37
Hình 25: Thỏa thuận các thông số bảo mật IPSec.................................................................38
Hình 26: Đường hầm IPSec được thiết lập............................................................................38
Hình 27: Kết thúc đường hầm................................................................................................39
Hình 28: Quá trình trao đổi thông tin....................................................................................39
Hình 29: Các giao thức con của SSL trong mô hình TCP/IP.................................................42
Hình 30: Cấu trúc gói tin được đóng thêm GRE Header.......................................................43
Hình 31: Tunnel mode và Transport mode.............................................................................44
Hình 32: Hoạt động L2TPv3..................................................................................................46
Hình 33: Đóng gói..................................................................................................................47
Hình 34: Leased Line ảo với Cấu trúc liên kết logic L2TPv3................................................48
Hình 35: Đóng gói gói tin với L2TPv3...................................................................................49
Hình 36: 2 Frame Relay Hub-và-nan Kiến trúc với Internet và Firewall Outsourced..........49
Hình 37: L2TPv3 hoạt động Internet trên Router Cisco 10720.............................................50
Hình 38: Ethernet trên L2TPv3..............................................................................................52

9
Hình 39: L2TPv3 gói Xử lý trong Cisco Router Internet Dòng 12000...................................53
Hình 40: So sánh giữa các ứng dụng VPN.............................................................................70
Hình 41: Máy ảo VPN Server phải có 02 card mạng, mỗi card mạng kết nối với Data và
Windows 7...............................................................................................................................72
Hình 42: Đặt địa chỉ IP cho máy thử nghiệm.........................................................................73
Hình 43: Tạo thư mục và chia sẻ thư mục..............................................................................74
Hình 44: Kết thúc cài đặt........................................................................................................74
Hình 45: Thông số Vmnet 2....................................................................................................75
Hình 46: Giao diện System Preparation Tool........................................................................75
Hình 47: Kết thúc....................................................................................................................76
Hình 48: Kiểm tra kết nối.......................................................................................................77
Hình 49: Giao diện cài đặt dịch vụ.........................................................................................78
Hình 50: Tùy chọn services....................................................................................................78
Hình 51: Tùy chọn Routing and remote access server setup wizard......................................79

10
 CHƯƠNG 1: LÝ THUYẾT VÀ NGUYÊN LÝ VẬN HÀNH
1. Định nghĩa VPN là gì?

VPN được viết tắt bởi (Virtual Private Network) là một mạng riêng ảo, đáp ứng nhu
cầu truy cập từ xa vào mạng nội bộ văn phòng chính để trao đổi dữ liệu hay sử dụng ứng
dụng ngày càng phổ biến đã thúc đẩy sự phát triển của VPN. Tuy nhiên vì lý do mạng
Internet là một mạng công cộng chia sẻ có thể được truy cập bởi bất cứ ai, bất kì ở đâu và
bất kì thời gian nào nên xuất hiện nhiều nguy cơ thông tin trao đổi có thể bị truy cập trái
phép. Mục đích đầu tiên của VPN là đáp ứng các yêu cầu bảo mật, khả năng truyền tải thông
tin và độ tin cậy của mạng với chi phí bổ sung hợp lý.
Theo tiêu chuẩn được định nghĩa bởi Internet Engineering Task Force (IETF), VPN là
sự kết nối các mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ và công cộng như
mạng Internet hay IP backbones riêng.
Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sang mạng công
cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông tin đầu cuối. Sự mở
rộng được thực hiện bởi các “đường hầm” logic (private logical "tunnels"). Những đường
hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối như là giao thức thông tin point-to-point.

Hình 1: Mô hình mạng VPN

Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là
Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa.
Thay cho việc sử dụng kết nối thực, chuyên dùng như đường leased-line, mỗi VPN sử dụng
các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay
các nhân viên từ xa.
Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an
toàn và bảo mật VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo ra một
đường ống bảo mật (Tunnel) giữa nơi nhận và nơi gửi giống như một kết nối point-to-point
trên mạng riêng.

11
 Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hoá hay có cơ chế
giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có
thể đi đến đích thông qua mạng công cộng một cách nhanh chóng. Dữ liệu được mã hoá một
cách cẩn thận do đó nếu các gói packet bị bắt lại trên đường truyền công cộng cũng không
thể đọc được nội dùng vì không có khoá (key) để giải mã.

Hình 2: VPN và mô hình OSI

Liên kết với dữ liệu được mã hoá và đóng gói được gọi là kết nối VPN. Một mạng
VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN
khác tại những văn phòng từ xa, các điểm kết nối (như 'Văn phòng' tại gia) hoặc người sử
dụng (Nhân viên di động) truy cập đến từ bên ngoài. Các đường kết nối VPN thường được
gọi là đường ống VPN (Tunnel VPN).

12
 Hình 3: Mô hình mạng VPN
1.1. Các dạng kết nối VPN

1.1.1. Phân loại kỹ thuật dựa trên 3 yêu cầu cơ bản:

+ Mạng VPN truy cập từ xa (Remote Access VPN) người sử dụng ở xa có thể truy
cập vào tài nguyên mạng đoàn thể bất kỳ thời gian nào.
+ Mạng VPN cục bộ (Intranet VPN) kết nối nội bộ giữa các chi nhánh văn phòng ở xa
nhau.
+ Mạng VPN mở rộng (Extranet VPN).
1.1.2. Phân loại theo phương thức kết nối: VPN client to site và VPN site to site.
+ VPN client to site (Remote Access VPN)
VPN client to site là loại VPN giúp cho 1 người dùng có thể kết nối đến 1 mạng riêng
ở xa thông qua 1 VPN server. Thông thường, để có thể sử dụng VPN client to site, máy tính
của người dùng sẽ phải cài đặt 1 phần mềm VPN client để có thể kết nối được đến VPN
server. 1 ví dụ điển hình và thông dụng nhất đó là OpenVPN.
Người dùng khởi động VPN client trên máy tính cá nhân, sử dụng
username/password để xác thực với VPN server và sau đó sẽ khởi tạo 1 đường
truyền VPN được mã hóa từ máy tính cá nhân của người dùng đến mạng riêng ở xa. Sau đó
dữ liệu từ máy tính của người dùng đến mạng ở xa sẽ được truyền trên đường truyền riêng
an toàn và bảo mật.

13
 Hình 4: Các hình thức kết nối VPN
VPN client to site (Remote Access VPN)
VPN client to site thường được sử dụng cho các mục đích:
Giúp người dùng truy cập vào các mạng riêng ở xa, ví dụ như truy cập vào các máy
chủ chỉ có mạng LAN trong Datacenter
Truy cập internet an toàn và bảo mật hơn thông qua việc kết nối qua VPN
Giấu địa chỉ IP Public thật của máy tính cá nhân trên internet
Một trong những ứng dụng cung cấp VPN client to site phổ biến nhất hiện nay đó là
OpenVPN.
+ VPN site to site
VPN site to site là một dạng VPN kết nối 2 hay nhiều mạng riêng với nhau thông qua
đường truyền an toàn và bảo mật. VPN site to site giúp mở rộng mạng của doanh nghiệp,
giúp cho các chi nhánh ở các nơi khác nhau có thể truy cập đến các ứng dụng hay tài nguyên
dùng chung đặt tại head office thông qua 1 đường truyền an toàn và bảo mật dựa trên
Internet.

14
 Hình 5: VPN site to site
Các bạn có thể tưởng tượng đơn giản, bạn có 1 mạng riêng ở Hà Nội, 1 mạng riêng ở
Hồ Chí Minh, và 2 mạng riêng này cần kết nối với nhau để trao đổi dữ liệu, lúc đó bạn sẽ
cần đến VPN site to site.
Giao thức phổ biến nhất được sử dụng trong kết nối VPN site to site đó là IPsec.
VPN site to site giúp giải quyết rất nhiều bài toán của doanh nghiệp hiện nay như:
Kết nối giữa các datacenter với nhau
Kết nối datacenter với VPC trên Cloud
Kết nối giữa các Branch Office với Head Office
1.2. Những thành phần của VPN

- VPN server (Mạng riêng ảo Máy chủ)

Một máy tính chấp nhận các kết nối VPN từ máy khách VPN.
- VPN client (Mạng riêng ảo cho máy khách)
Một máy tính để khởi tạo một kết nối VPN đến một máy chủ VPN server. Một khách.
hàng VPN client có thể là một máy tính cá nhân hoặc một router.
-Tunnel (đường hầm):
+ Kết nối VPN.
+ Đường hầm giao thức.
+ Đường hầm dữ liệu
+ Transit liên mạng
- Public network

15
 Hình 6: Các thành phần VPN
1.3. Vai trò và cơ chế hoạt động của từng thành phần
1.4. VPN server (Mạng riêng ảo Máy chủ):
1.4.1. Vai trò của VPN server:
VPN servers là các thiết bị mạng chuyên dụng chạy phần mềm server. Phụ thuộc vào
các yêu cầu của tổ chức, có thể có một hay nhiều VPN server. Bởi vì một server VPN phải
cung cấp các dịch vụ cho các khách hàng VPN ở xa cũng như ở địa phương, chúng luôn sẵn
sàng và sẵn sàng chấp nhận các yêu cầu.

Hình 7: VPN Server

1.4.2. Các chức năng chính VPN Server:
Chức năng chính của các VPN server bao gồm các nhiệm vụ sau:
- Lắng nghe các yêu cầu kết nối cho VPN.
16
 - Dàn xếp các yêu cầu và thông số kết nối, như là kỹ thuật mật mã và kỹ thuật xác
nhận.
- Sự xác nhận và sự cấp phép cho khách hàng VPN.
- Chấp nhận dữ liệu từ khách hàng hoặc chuyển tiếp dữ liệu yêu cầu bởi khách hàng.
- Như là điểm cuối của đường hầm và kết nối VPN. Một điểm cuối khác được cấp bởi
người cuối cùng yêu cầu phiên VPN.
1.4.3. Cơ chế hoạt động của VPN
VPN Server có thể hỗ trợ hai hay nhiều card mạng. Một hay nhiều card được sử dụng
để kết nối chung vào mạng nội bộ của tổ chức, trong khi các card mạng khác thường được
sử dụng để kết nối chúng vào internet. Trong trường hợp sau cùng, VPN server giống như
VPN gateway hay router.

Hình 8: Card mạng Ip VPN

Lưu ý: Một VPN Server có thể hoạt động như một gateway hay một router, nếu số
lượng yêu cầu hoặc số người sử dụng thấp (cho tới 20). Nếu VPN server phải hỗ trợ một
lượng lớn các users và hoạt động như là một router hoặc một gateway, gánh nặng của đường
hầm, mã hóa, xác nhận, tường lửa và định tuyến sẽ làm cho server chạy chậm, kéo theo hiệu
suất của toàn hệ thống giảm. Thêm vào đó, rất khó để bảo vệ thông tin được lưu trữ trên
server. Vì thế VPN Server phải thật chuyên nghiệp để chỉ phục vụ khách VPN và các yêu
cầu.
1.5. VPN client (Mạng riêng ảo cho máy khách)
1.5.1. Vai trò VPN client.
VPN Clients là các máy cục bộ hay ở xa khởi tạo một kết nối VPN với VPN Server
và vào mạng từ xa sau khi chúng đã được xác nhận đầu cuối của mạng từ xa. Chỉ sau khi
đăng nhập thành công VPN server và client có thể giao tiếp với nhau. Tổng quát, một VPN
Client là một phần mềm. Tuy nhiên nó cũng có thể là phần cứng chuyên dụng. Một router
phần cứng VPN với khả năng định tuyến cuộc gọi theo yêu cầu, cái mà quay số tới router
phần cứng VPN khác, là một ví dụ của thiết bị phần cứng chuyên dụng.

17
 1.5.2. Cơ chế hoạt động VPN client:
Với sự gia tăng lực lượng lao động của một tổ chức, rất nhiều người dùng (VPN
clients) có các dữ liệu không đồng bộ. Các người dùng này có thể sử dụng VPN để trao đổi
một cách an toàn tới mạng nội bộ của tổ chức.
- Các mô tả tiêu biểu của một VPN client bao gồm các phần sau:
Các người giao tiếp từ xa sử dụng Internet hoặc mạng công cộng để kết nối nguồn tài
nguyên của tổ chức từ nhà.
- Những người sử dụng laptops, palmyops và notebooks, những người mà sử dụng
mạng công cộng để kết nối với mạng nội bộ của tổ chức để truy cập mail và các tài nguyên
nội bộ khác.
- Các nhà quản trị từ xa, những người sử dụng mạng công cộng trung gian, như là
internet, để kết nối với các nơi ở xa để quản lý giám sát, khắc phục sự cố, hoặc cấu hình các
dịch vụ và thiết bị.
1.6. Tunnel (Đường hầm).

Các thành phần dữ liệu kết nối được đóng gói.

1.7. Kết nối VPN.

Các phần kết nối dữ liệu được mã hóa. Đối với các kết nối VPN an toàn, dữ liệu được
mã hóa và đóng gói theo cùng một phần của kết nối.
Lưu ý: Nó có thể tạo ra một đường hầm và gửi dữ liệu thông qua các đường hầm mà
không cần mã hóa. Đây không phải là một kết nối VPN bởi vì các dữ liệu cá nhân được gửi
qua một mạng chia sẻ hoặc của cộng đồng trong một hình thức không được mã hóa và dễ
dàng có thể đọc được.
1.8. Đường hầm giao thức

Giao thức được sử dụng để quản lý các đường hầm và đóng gói dữ liệu cá nhân. Dữ
liệu là đường hầm cũng phải được mã hóa là một kết nối VPN.
1.9. Đường hầm dữ liệu.

Dữ liệu thường được gửi qua một liên kết điểm-điểm tin.
1.10. Transit liên mạng:

Mạng chia sẻ hoặc của cộng đồng qua các dữ liệu đóng gói. Windows Server 2003,
liên mạng luôn luôn là một liên mạng IP. Liên mạng có thể là Internet hoặc mạng nội bộ dựa
trên IP.
Ghi chú
- Thông thường, các đường hầm và kết nối VPN theo cùng một phần của kết nối. Tuy
nhiên, trong cấu hình đường hầm bắt buộc, các đường hầm (đóng gói) và kết nối VPN (mã
hóa) không được định nghĩa theo cùng một phần của kết nối.
18
 2. NGUYÊN LÝ VẬN HÀNH:
2.1. Các giao thức hoạt động VPN
2.1.1. Giao thức đường hầm điểm-điểm PPTP (Point-to-Point Tunneling
Protocol)

PPTP là một trong số nhiều kỹ thuật được sử dụng để thiết lập đường hầm cho những
kết nối từ xa. Giao thức PPTP là sự mở rộng của giao thức PPP cơ bản cho nên giao thức
PPTP không hỗ trợ những kết nối nhiều điểm liên tục mà nó chỉ hỗ trợ kết nối từ điểm tới
điểm, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet
đến site đích.
Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng của truy cập từ
xa, lợi dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa
(client) và mạng riêng. Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet
là có thể tạo đường hầm bảo mật tới mạng riêng của họ.
PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing
Encapsulation) được mô tả lại để đóng gói và tách gói PPP, giao thức này cho phép PPTP
linh hoạt xử lý các giao thức khác không phải IP như: IPX, NetBEUI, NetBIOS.

Hình 9: Mô hình PPTP

Áp dụng trong thực tế của L2TP
- Mô hình PPTP
Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực. PPTP có thể sử
dụng PPP để mã hoá dữ liệu nhưng Microsoft đã đưa ra phương thức mã hoá khác mạnh hơn
đó là mã hoá điểm - điểm MPPE (Microsoft Point- to- Point Encryption) để sử dụng cho
PPTP.

19
 Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (lớp liên kết dữ liệu)
trong khi IPSec chạy ở lớp 3 của mô hình OSI. Bằng cách hỗ trợ việc truyền dữ liệu ở lớp
thứ 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec chỉ
có thể truyền các gói IP trong đường hầm.
2.1.2 Các thành phần của PPTP
Tổng quát một PPTP VPN yêu cầu phải có: một máy chủ truy cập mạng dùng cho
phương thức quay số truy cập bảo mật vào VPN, một máy chủ PPTP, và PPTP client.

Hình 10: Các thành phần cơ bản của một VPN sử dụng PPTP
Các máy chủ PPTP có thể đặt tại mạng của công ty và do một nhóm người của công
ty quản lý nhưng NAS phải do ISP hỗ trợ.
Máy chủ PPTP
Máy chủ PPTP thực hiện hai chức năng chính là: đóng vai trò là điểm kết nối của
đường hầm PPTP và chuyển các gói đến từ đường hầm tới mạng LAN riêng. Máy chủ PPTP
chuyển các gói đến máy đích bằng cách xử lý gói PPTP để được địa chỉ mạng của máy tính
đích.
Máy chủ PPTP cũng có khả năng lọc gói bằng cách sử dụng lọc gói PPTP. Lọc gói
PPTP có thể cho phép máy chủ ngăn cấm, chỉ cho phép truy cập vào Internet, mạng riêng
hay cả hai.
Thiết lập một máy chủ PPTP tại site mạng gây nên một giới hạn nếu như máy chủ
PPTP nằm sau tường lửa. PPTP được thiết kế sau cho chỉ có một cổng TCP/IP (1723) được
sử dụng để chuyển dữ liệu đi. Sự khiếm khuyết của cấu hình cổng này có thể làm cho tường
lửa dễ bị tấn công hơn. Nếu như tường lửa được cấu hình để lọc gói thì phải thiết lập nó cho
phép GRE đi qua.

20
 Một thiết bị khác được khởi xướng năm 1998 bởi hãng 3Com có chức năng tương tự
máy chủ PPTP được gọi là chuyển mạch đường hầm. Mục đích của chuyển mạch đường
hầm là mở rộng đường hầm từ một mạng đến một mạng khác, trải rộng đường hầm từ mạng
của ISP đến mạng riêng. Chuyển mạch đường hầm có thể được sử dụng tại tường lửa làm
tăng khả năng quản lý truy cập từ xa vào tài nguyên của mạng nội bộ, nó có thể kiểm tra các
gói đến và về, giao thức của các khung PPP hoặc tên của người dùng từ xa.
Phần mềm client PPTP
Nếu như các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay phần mềm
nào cho các client, chỉ cần một kết nối PPP chuẩn. Nếu như các thiết bị của ISP không hỗ trợ
PPTP thì một client Windows (hoặc phần mềm tương tự) vẫn có thể tạo kết nối bảo mật
bằng cách: đầu tiên quay số kết nối tới ISP bằng PPP, sau đó quay số một lần nữa thông qua
cổng PPTP ảo được thiết lập ở client.
Client PPTP đã có sẵn ở Win 9x và các hệ điều hành sau này. Khi chọn client PPTP
cần phải so sánh các chức năng của nó với máy chủ PPTP đã có. Không phải tất cả các phần
mềm client PPTP đều hỗ trợ MS-CHAP, nếu thiếu công cụ này thì không thể tận dụng được
ưu điểm mã hoá trong RRAS.
Máy chủ truy cập mạng NAS
Máy chủ truy cập mạng NAS còn có tên gọi khác là Máy chủ truy cập từ xa (Remote
Access Server) hay bộ tập trung truy cập (Access Concentrator). NAS cung cấp khả năng
truy cập đường dây dựa trên phần mềm và có khả năng tính cước và có khả năng chịu đựng
lỗi tại ISP POP. NAS của ISP được thiết kế cho phép một số lượng lớn người dùng có thể
quay số truy cập vào cùng một lúc.
Nếu một ISP cung cấp dịch vụ PPTP thì cần phải cài một NAS cho phép PPTP, để hỗ
trợ các client chạy trên các nền khác nhau như Unix, Windows, Macintosh. Trong truờng
hợp này, máy chủ ISP đóng vai trò như một client PPTP kết nối với máy chủ PPTP tại mạng
riêng và máy chủ ISP trở thành một điểm cuối của đường hầm, điểm kết thúc còn lại là máy
chủ tại đầu mạng riêng.
2.1.3 Áp dụng thực tế PPTP
PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp đều có kế hoạch thay thế
PPTP bằng L2TP khi mà giao thức này đã được chuẩn hoá. PPTP thích hợp cho quay số truy
cập với số lượng người dung giới hạn hơn là cho VPN kết nối LAN - LAN. Một vấn đề của
PPTP là xử lý xác thực quyền người dùng thông qua Windows hay thông qua RADIUS.
Máy chủ PPTP cũng quá tải với một số lượng người dùng quay số truy cập hay một lưu
lượng lớn dữ liệu truyền qua, mà điều này là một yêu cầu của kết nối LAN - LAN. Khi sử
dụng VPN PPTP mà có hỗ trợ thiết bị của ISP thì một số quyền quản lý phải chia sẻ cho ISP.
Tính bảo mật của PPTP không mạnh bằng IPSec. Tuy nhiên, quản lý bảo mật trong PPTP lại
đơn giản hơn.
21
 2.2. Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding)
Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát triển dựa
trên giao thức PPP (Point-to-Point Protocol). L2F cung cấp giải pháp cho dịch vụ quay số ảo
bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet.
L2F là giao thức được phát triển sớm nhất, là phương pháp truyền thống để cho những người
sử dụng ở xa truy cập vào một mạng công ty thông qua thiết bị truy cập từ xa.
L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở lớp liên kết dữ
liệu.
2.2.1 Các thành phần & hoạt động của L2F

L2F đóng gói những gói ở lớp 2 và trong trường hợp này là đóng gói PPP, truyền
xuyên qua một mạng.

Hình 11: Mô hình đặc trưng L2F

L2F sử dụng các thiết bị:

NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (remote client) và gateway
home. Hệ thống ERX hoạt động như NAS.
Tunnel: Định hướng đường đi giữa NAS và home gateway. Một đường hầm gồm một
số kết nối.
Home gateway: Ngang hàng với NAS.
Kết nối (connection): Là một kết nối PPP trong đường hầm. Trong CLI, một kết nối
L2F được xem như là một phiên.
Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đường hầm. Trong trường
hợp này thì Home gateway là điểm đích.

22
 Hoạt động L2F bao gồm các tiến trình: thiết lập kết nối, đường hầm và phiên làm
việc.
Ví dụ minh hoạ hoạt động của L2F:
- Một người sử dụng ở xa quay số tới hệ thống NAS và bắt đầu một kết nối PPP tới
ISP.
- Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết LCP
(Link Control Protocol).
- NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới tên miền (domain name) hay xác
thực RADIUS để kiểm tra xem có hay không có user yêu cầu dịch vụ L2F.
- Nếu user yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa chỉ của gateway đích
(home gateway).
- Một đường hầm được thiết lập từ NAS tới gateway đích nếu giữa chúng chưa có
đường hầm nào. Sự thành lập đường hầm bao gồm giai đoạn xác thực từ ISP tới gateway
đích để chống lại tấn công bởi những kẻ thứ ba.
- Một kết nối PPP mới được tạo ra trong đường hầm, điều này tác động kéo dài phiên
PPP từ user ở xa tới home gateway. Kết nối này được thiết lập như sau: Home gateway tiếp
nhận các lựa chọn và tất cả thông tin xác thực PAP/CHAP, như đã thoả thuận bởi thiết bị
đầu cuối của user và NAS. Home gateway chấp nhận kết nối hoặc thoả thuận lại LCP và xác
thực lại user.
- Khi NAS tiếp nhận lưu lượng dữ liệu từ user, nó lấy gói và đóng gói lưu lượng vào
trong một khung L2F và hướng nó vào trong đường hầm.
- Tại home gateway, khung L2F được tách bỏ, và dữ liệu đóng gói được hướng tới
mạng công ty.
2.2.2 Quản lý L2F

Khi hệ thống đã thiết lập những điểm đích, những đường hầm tunnel, và những phiên
kết nối ta phải điều khiển và quản lý lưu lượng L2F như sau:
- Ngăn cản tạo những điểm đích, những đường hầm tunnel, những phiên mới.
- Đóng và mở lại tất cả hay chọn lựa những điểm đích, những đường hầm tunnel,
những phiên.
- Có khả năng kiểm tra tổng UDP.
- Thiết lập thời gian rỗi cho hệ thống và lưu giữ cơ sở dữ liệu vào những đường hầm
và những kết nối.
Sự thay đổi một điểm đích làm ảnh hưởng tới tất cả những đường hầm và phiên tới
điểm đích đó; Sự thay đổi một đường hầm làm ảnh hưởng tới tất cả các phiên trong đường
hầm đó.

23
 2.3 Giao thức định hướng L2TP
2.3.1 Các thành phần của L2TP
Bởi vì chức năng chính của L2TP là quay số truy cập VPN thông qua Internet nên các
thành phần của L2TP bao gồm: bộ tập trung truy cập mạng, máy chủ L2TP, và các L2TP
client. Thành phần quan trọng nhất của L2TP là định nghĩa điểm kết thúc một đường hầm,
LAC và LNS. LNS có thể cài đặt ngay tại công ty và điều hành bởi một nhóm làm việc của
công ty còn LAC thì thường được hỗ trợ của ISP. Các thành phần cơ bản của L2TP như hình
vẽ:

Hình 12: Các thành phần cơ bản của L2TP

Máy chủ mạng L2TP
Máy chủ L2TP có hai chức năng chính là: đóng vai trò là điểm kết thúc của đường
hầm PPTP và chuyển các gói đến từ đường hầm đến mạng LAN riêng và ngược lại. Máy chủ
chuyển các gói đến máy tính đích bằng cách xử lý gói L2TP để có được địa chỉ mạng của
máy tính đích.
Không giống như máy chủ PPTP, máy chủ L2TP không có khả năng lọc các gói.
Chức năng lọc gói trong L2TP được thực hiện bởi tường lửa. Tuy nhiên trong thực tế, người
ta tích hợp máy chủ mạng và tường lửa. Việc tích hợp này mang lại một số ưu điểm hơn so
với PPTP, đó là:
L2TP không đòi hỏi chỉ có một cổng duy nhất gán cho tường lửa như trong PPTP.
Chương trình quản lý có thể tuỳ chọn cổng để gán cho tường lửa, điều này gây khó khăn cho
kẻ tấn công khi cố gắng tấn công vào một cổng đã biết trong khi cổng đó có thể đã thay đổi.

24
 Luồng dữ liệu và thông tin điều khiển được truyền trên cùng một UDP nên việc thiết
lập tường lửa sẽ đơn giản hơn. Do một số tường lửa không hỗ trợ GRE nên chúng tương
thích với L2TP hơn là với PPTP.
Phần mềm client L2TP
Nếu như các thiết bị của ISP đã hỗ trợ L2TP thì không cần phần cứng hay phần mềm
nào cho các client, chỉ cần kết nối chuẩn PPP là đủ. Tuy nhiên, với các thiết lập trên thì
không sử dụng được mã hoá của IPSec. Do vậy ta nên sử dụng các client tương thích L2TP
cho L2TP VPN.
Một số đặc điểm của phần mềm client L2TP
- Tương thích với các thành phần khác của IPSec như: máy chủ mã hoá, giao thức
chuyển khoá, giải thuật mã hoá, …
- Đưa ra một thông báo rõ ràng khi IPSec đang hoạt động.
- Hỗ trợ tải SA về.
- Hàm băm (hashing) xử lý được các địa chỉ IP động.
- Có cơ chế bảo mật khoá (mã hoá khoá với mật khẩu).
- Có cơ chế chuyển đổi mã hoá một cách tự động và định kỳ.
- Chặn hoàn toàn các lưu lượng không IPSec.
Các bộ tập trung truy cập mạng
Một ISP cung cấp dịch vụ L2TP cần phải cài một NAS cho phép L2TP để hỗ trợ cho
các client L2TP chạy trên các nền khác nhau như Unix, Windows, Macintosh.
Các ISP có thể cung cấp các dịch vụ L2TP mà không cần phải thêm các thiết bị hỗ trợ
L2TP vào máy chủ truy cập của họ, điều này đòi hỏi tất cả người dùng phải có client L2TP
tại máy của họ. Điều này cho phép người dùng có thể sử dụng dịch vụ của nhiều ISP khi mà
mô hình mạng của họ rộng lớn về mặt địa lý.
2.3.2 Áp dụng trong thực tế của L2TP

Việc lựa chọn một nhà cung cấp dịch vụ L2TP có thể thay đổi tuỳ theo yêu cầu thiết
kế mạng. Nếu thiết kế một VPN đòi hỏi mã hoá đầu cuối-đầu cuối thì cần cài các client
tương thích L2TP tại các host từ xa và thoả thuận với ISP là sẽ xử lý mã hoá từ máy đầu
cuối đến tận máy chủ của mạng VPN. Nếu xây dựng một mạng với mức độ bảo mật thấp
hơn, khả năng chịu đựng lỗi cao hơn và chỉ muốn bảo mật dữ liệu khi nó đi trong đường
hầm trên Inernet thì thoả thuận với ISP để họ hỗ trợ LAC và mã hoá dữ liệu chỉ từ đoạn
LAC đến LNS của mạng riêng.
L2TP là một thế hệ giao thức quay số truy cập mới của VPN. Nó phối hợp những đặc
tính tốt nhất của PPTP và L2F. Hầu hết các nhà cung cấp sản phẩm PPTP đều đưa ra các sản
phẩm tương thích L2TP hoặc sẽ giới thiệu sau này.

25
 Mặc dù L2TP chủ yếu chạy trên mạng IP, nhưng khả năng chạy trên các mạng khác
như Frame Relay, ATM đã làm cho nó thêm phổ biến. L2TP cho phép một lượng lớn client
từ xa được kết nối vào VPN hay cho các kết nối LAN-LAN có dung lượng lớn. L2TP có cơ
chế điều khiển luồng để làm giảm tắc nghẽn trên đường hầm L2TP.
L2TP cho phép thiết lập nhiều đường hầm với cùng LAC và LNS. Mỗi đường hầm có
thể gán cho một ngưòi dùng xác định, hoặc một nhóm các người dùng và gán cho các môi
trường khác nhau tuỳ theo thuộc tính chất lượng phục vụ QoS của người dùng.
2.3.3 Giao thức đường hầm lớp 2 - L2TP
Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP và L2F-
chuyển tiếp lớp 2. PPTP do Microsoft đưa ra còn L2F do Cisco khởi xướng. Hai công ty này
đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn hoá tại IETF.
Giống như PPTP, L2TP là giao thức đường hầm, nó sử dụng tiêu đề đóng gói riêng
cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F và PPTP là L2F không
phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi trường vật lý khác. Bởi vì
GRE không sử dụng như giao thức đóng gói, nên L2F định nghĩa riêng cách thức các gói
được điều khiển trong môi trường khác. Nhưng nó cũng hỗ trợ TACACS+ và RADIUS cho
việc xác thực. Có hai mức xác thực người dùng: đầu tiên ở ISP trước khi thiết lập đường
hầm, sau đó là ở cổng nối của mạng riêng sau khi kết nối được thiết lập.
L2TP mang đặc tính của PPTP và L2F. Tuy nhiên, L2TP định nghĩa riêng một giao
thức đường hầm dựa trên hoạt động của L2F. Nó cho phép L2TP truyền thông qua nhiều
môi trường gói khác nhau như X.25, Frame Relay, ATM. Mặc dù nhiều công cụ chủ yếu của
L2TP tập trung cho UDP của mạng IP, nhưng có thể thiết lập một hệ thống L2TP mà không
cần phải sử dụng IP làm giao thức đường hầm. Một mạng ATM hay frame Relay có thể áp
dụng cho đường hầm L2TP.
Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sử dụng các giao thức điều
khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặc NETBEUI. Cũng giống như
PPTP, L2TP cũng có cơ chế xác thực PAP, CHAP hay RADIUS.
Mặc dù Microsoft đã làm cho PPTP trở thành tùy chọn phổ biến khi xây dựng VPN
bằng cách hỗ trợ giao thức này sẵn có trong hệ điều hành Windows nhưng công ty cũng đã
hỗ trợ thêm L2TP.
2.4. Giao thức bảo mật IP - IPSEC

Các giao thức nguyên thuỷ TCP/IP không bao gồm các đặc tính bảo mật vốn có.
Trong giai đoạn đầu của Internet khi mà người dùng thuộc các trường đại học và các viện
nghiên cứu thì vấn đề bảo mật dữ liệu không phải là vấn đề quan trọng như bây giờ khi mà
Internet trở nên phổ biến, các ứng dụng thương mại có mặt khắp nơi trên Internet và đối
tượng sử dụng Internet rộng hơn bao gồm cả các Hacker.

26
 Để thiết lập tính bảo mật trong IP ở cấp độ gói, IETF đã đưa ra họ giao thức IPSec.
Họ giao thức IPSec đầu tiên được dùng cho xác thực, mã hoá các gói dữ liệu IP, được chuẩn
hoá thành các RFC từ 1825 đến 1829 vào năm 1995. Họ giao thức này mô tả kiến trúc cơ
bản của IPSec bao gồm hai loại tiêu đề được sử dụng trong gói IP, gói IP là đơn vị dữ liệu cơ
sở trong mạng IP. IPSec định nghĩa 2 loại tiêu đề cho các gói IP để điều khiển quá trình xác
thực và mã hoá: một là xác thực tiêu đề IP – AH (IP Authentication Header) điều khiển việc
xác thực và hai là đóng gói tải tin an toàn ESP (Encapsulation Security Payload) cho mục
đích mã hoá.
IPSec không phải là một giao thức. Nó là một khung của các tập giao thức chuẩn mở
cho phép những nhà quản trị mạng lựa chọn thuật toán, các khoá và phương pháp nhận thực
để cung cấp sự xác thực dữ liệu, tính toàn vẹn dữ liệu, và sự tin cậy dữ liệu. IPSec là sự lựa
chọn cho bảo mật tổng thể các VPN, là phương án tối ưu cho mạng của công ty. Nó đảm bảo
truyền thông tin cậy trên mạng IP công cộng đối với các ứng dụng.
IPsec tạo những đường hầm bảo mật xuyên qua mạng Internet để truyền những luồng
dữ liệu. Mỗi đường hầm bảo mật là một cặp những kết hợp an ninh để bảo vệ luồng dữ liệu
giữa hai Host.
IPSec được phát triển nhắm vào họ giao thức IP kế tiếp là IPv6, nhưng do việc triển
khai IPv6 còn chậm và sự cần thiết phải bảo mật các gói IP nên IPSec đã được thay đổi cho
phù hợp với IPv4. Việc hỗ trợ cho IPSec chỉ là tuỳ chọn của IPv4 nhưng đối với IPv6 thì có
sẵn IPSec.
2.4.1 Khung giao thức IPSec

IPSec là khung của các chuẩn mở, được phát triển bởi IETF.

Hình 13: Khung giao thức được sử dụng trong IPSec

Một số giao thức chính được khuyến khích sử dụng khi làm việc với IPSec.
Giao thức bảo mật IP (IPSec)
+ AH (Authentication Header)
27
 + ESP (Encapsulation Security Payload)
Mã hoá bản tin
+ DES (Data Encryption Standard)
+ 3 DES (Triple DES)
Các chức năng toàn vẹn bản tin
+ HMAC (Hash – ased Message Authentication Code)
+ MD5 (Message Digest 5)
+ SHA-1 (Secure Hash Algorithm -1)
Nhận thực đối tác (peer Authentication)
+ Rivest, Shamir, and Adelman (RSA) Digital Signatures
+ RSA Encrypted Nonces
Quản lý khoá
+ DH (Diffie- Hellman)
+ CA (Certificate Authority)
Kết hợp an ninh
+ IKE (Internet Key Exchange)
+ ISAKMP (Internet Security Association and Key Management Protocol)
IPSec là tập hợp những tiêu chuẩn mở làm việc cùng nhau để thiết lập tính bảo mật,
toàn vẹn dữ liệu và nhận thực giữa các thiết bị ngang hàng. Những điểm ngang hàng có thể
là những cặp Host hay những cặp cổng nối bảo mật (những bộ định tuyến, những tường lửa,
những bộ tập trung VPN …) hay có thể giữa một host và một cổng nối bảo mật, như trong
VPN truy cập từ xa.
Hai giao thức chính của IPSec là AH (Authentication Header) và ESP (Encapsulation
Security Payload).
*AH: Cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gói IP truyền
giữa hai hệ thống. Nó là một phương tiện để kiểm tra xem dữ liệu có bị thay đổi trong khi
truyền không. Do AH không cung cấp khả năng mật mã dữ liệu nên các dữ liệu đều được
truyền dưới dạng bản rõ.
*ESP: Là một giao thức an toàn cho phép mật mã dữ liệu, xác thực nguồn gốc dữ
liệu, kiểm tra tính toàn vẹn dữ liệu. ESP đảm bảo tính bí mật của thông tin thông qua việc
mật mã ở lớp IP. Tất cả các lưu lượng ESP đều được mật mã giữa hai hệ thống.
2.4.2. Giao thức AH

28
 Hình 14: Khuôn dạng gói AH
Next header (8bit): Xác định kiểu dữ liệu của phần Payload tiếp sau AH. Giá trị của
trường này được lựa chọn từ tập các giá trị số giao thức IP được định nghĩa bởi IANA
(TCP_6; UDP_ 17).
Payload length (8bit): Xác định độ dài của AH theo đơn vị 32bit (4 Byte).
Reserved (16 bit): trường này dùng để dự trữ sử dụng trong tương lai. Giá trị của
trường này có thể đặt bằng 0 và có tham gia trong việc tính Authentication Data.
Security Parameter Index (SPI):
SPI là một số 32 bit bất kỳ, cùng với địa chỉ IP đích và giao thức an ninh ESP cho
phép nhận dạng duy nhất SA cho gói dữ liệu này. Các giá trị SPI từ 1÷255 được dành riêng
để sử dụng trong tương lai. SPI thường được lựa chọn bởi phía thu khi thiết lập SA. SPI là
trường bắt buộc.
Giá trị SPI 0 được sử dụng cục bộ. Có thẻ sử dụng giá trị này để chỉ ra chưa có SA
nào tồn tại.
Sequence number (SN):
Trường 32 bit không dấu chứa một giá trị đếm tăng dần. SN là trường bắt buộc cho dù
phía thu không thực hiện dịch vụ chống trùng lặp cho một SA cụ thể nào. việc xử lý SN tuỳ
thuộc phía thu, nghĩa là phía phát luôn phải truyền trường này, còn phía thu có thể không
cần phải xử lý nó.
Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được thiết lập (gói
đầu tiên được truyền đi sử dụng SA sẽ có SN=1). Nếu dịch vụ anti-replay được lựa chọn thì
được phát đi sẽ không được lặp lại (bằng cách thiết lập một SA mới, và do đó là một khoá
mới) trước khi truyền gói thứ 232 của một SA.
Authentication Data:
Trường này có độ dài biến đổi chứa một một giá trị kiểm tra tính toàn vẹn ICV
(Integrity Check Value) cho gói tin. Độ dài của trường này bằng số nguyên lần 32 bit (hay 4
Byte).

29
 Trường này có thể chứa một phần dữ liệu đệm kiểu tường minh (Explicit padding) để
đảm bảo độ dài của AH header là số nguyên lần 32 bit (đối với IPv4) hoặc 64 bit (đối với
IPv6).
2.4.3. Giao thức ESP

Hình 15: Khuôn dạng gói ESP

Trong đó:
- Security Parameter Index (SPI):
SPI là một số 32 bit bất kỳ, cùng với địa chỉ IP đích và giao thức an ninh ESP cho
phép nhận dạng duy nhất SA cho gói dữ liệu này. Các giá trị SPI từ 1÷255 được dành riêng
để sử dụng trong tương lai. SPI thường được lựa chọn bởi phía thu khi thiết lập SA. SPI là
trường bắt buộc.
Giá trị SPI 0 được sử dụng cục bộ. Có thẻ sử dụng giá trị này để chỉ ra chưa có SA
nào tồn tại.
- Sequence number (SN):
Trường 32 bit không dấu chứa một giá trị đếm tăng dần (SN). SN là trường bắt buộc
cho dù phía thu không thực hiện dịch vụ chống trùng lặp cho một SA cụ thể nào. việc xử lý
SN tuỳ thuộc phía thu, nghĩa là phía phát luôn phải truyền trường này, còn phía thu có thể
không cần phải xử lý nó.
Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được thiết lập (gói
đầu tiên được truyền đi sử dụng SA sẽ có SN=1). Nếu dịch vụ anti-replay được lựa chọn thì
được phát đi sẽ không được lặp lại (bằng cách thiết lập một SA mới, và do đó là một khoá
mới) trước khi truyền gói thứ 232 của một SA.
- Payload Data
Trường này có độ dài biến đổi chứa dữ liệu mô tả trong Next header. Payload Data là
trường bắt buộc và có độ dài bằng số nguyên lần Byte.
- Padding

30
 Nếu thuật toán mật mã được sử dụng yêu cầu bản rõ (cleartext hay plaintext) phải là
số nguyên lần khối các Byte (trong mật mã khối) thì Padding field được sử dụng để thêm
vào Plaintext để có kích thước yêu cầu.
Padding cần thiết để đảm bảo phần dữ liệu mật mã sẽ kết thúc ở biên giới 4 Byte để
phân biệt rõ ràng với trường Authentication Data.
Ngoài ra padding còn có thể được sử dụng để che dấu độ dài thực của Payload, tuy
nhiên mục đích này phải được cân nhắc vì nó ảnh hưởng tói băng tần truyền dẫn. Bên gửi có
thể thêm 0÷255 Padding Byte.
- Pad length
Trường này xác định số padding Byte đã thêm vào. Các giá trị hợp lệ là 0÷255. Pad
length là trường bắt buộc.
Next header (8bit)
Là một trường bắt buộc. Next header xác định kiểu dữ liệu chứa trong Payload Data.
Giá trị của trường này được lựa chọn từ tập các giá trị IP Protocol Numbers định nghĩa bởi
IANA.
- Authentication Data.
Trường có độ dài biến đổi chứa một giá trị kiểm tra tính toàn vẹn ICV (integrity
Check Value) tính trên dữ liệu của toàn bộ gói ESP (trừ trường Authentication Data). Độ dài
của trường phụ thuộc vào hàm xác thực được lựa chọn. Trường này là tuỳ chọn, và chỉ được
thêm vào nếu dịch vụ authentication được lựa chọn cho SA đang xét. Thuật toán xác thực
phải chỉ ra độ dài của ICV và các bước xử lý cũng như các luật so sánh cần thực hiện để
kiểm tra tính toàn vẹn của gói tin.
2.4.4. Hoạt động của AH và ESP trong các chế độ (mode)
AH và ESP đều có thể được sử dụng cho các gói tin IP theo hai cách khác nhau tương
ứng với hai mode: Transport mode và Tunnel mode.
- Transport mode:
Được sử dụng phổ biến cho những kết nối giữa các host hay giữa các thiết bị có chức
năng như những host. Ví dụ, một cổng nối IPSec (đó có thể là bộ định tuyến phần mềm IOS,
FIX Firewall, hay bộ tập trung VPN 3000 của Cisco) có thể xem như là một host khi được
truy nhập bởi một nhà quản lý cấu hình hay những hoạt động điều khiển khác.

Transport mode cho phép bảo vệ phần tải tin của gói dữ liệu, cung cấp cơ chế bảo mật
cho các giao thức ở lớp trên, nhưng không bảo vệ IP header vì phần IP header luôn ở dạng
“clear”.
Trong Transport mode, AH được chèn vào sau tiêu đề IP và trước các giao thức lớp
trên (TCP, UDP) hoặc bất kỳ tiêu đề IPSec đã được chèn vào trước đó.

31
 - Tunnel mode:
Được sử dụng giữa các cổng nối như các bộ định tuyến, những FIX Firewall, những
bộ tập trung. Tunnel mode cũng được sử dụng phổ biến khi một host kết nối tới một trong
những cổng nối đó để gia tăng truy nhập tới các mạng được điều khiển bởi cổng nối đó, như
trong trường hợp những người dùng từ xa quay số truy cập tới một bộ định tuyến hay bộ tập
trung.

Hình 16: Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH

Hình 17: Khuôn dạng gói tin IPv6 trước và sau khi xử lý AH

32
 Hình 18: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP

Hình 19: Khuôn dạng gói tin IPv6 trước và sau khi xử lý ESP

Để có thể áp dụng AH và ESP trong chế độ Transport mode và Tunnel mode, IPSec
yêu cầu phải hỗ trợ được cho tổ hợp của Transport mode và Tunnel mode. Điều này được
thực hiện bằng cách sử dụng Tunnel mode để mã hoá và xác thực các gói và tiêu đề của nó
rồi gắn AH hoặc ESP, hoặc dùng cả hai trong chế độ Transport mode để bảo mật cho tiêu đề
mới được tạo ra. AH và ESP không thể sử dụng chung trong Tunnel mode bởi vì ESP đã có
cơ chế tuỳ chọn xác thực, tuỳ chọn này nên sử dụng trong Tunnel mode khi các gói cần phải
mã hoá và xác thực.
2.4.5. Hoạt động của IPSec

33
 Ta biết rằng, mục đích chính của IPSec là bảo vệ luồng dữ liệu mong muốn với các
dịch vụ bảo mật cần thiếtvà hoạt động của IPSec có thể chia thành 5 bước chính như sau:

Hình 20: 5 bước hoạt động của IPSec

- A gửi lưu lượng cần bảo vệ tới B.
- Router A và B thoả thuận một phiên trao đổi IKE Phase 1.
IKE SA ← IKE Phase → IKE SA

- Router A và B thoả thuận một phiên trao đổi IKE Phase 2.

IPSec SA ← IKE Phase → IPSec SA

- Thông tin được truyền dẫn qua đường hầm IPSec.

- Kết thúc đường hầm IPSec.
5 bước hoạt động của IPSec:

Bước 1- Kích hoạt lưu lượng cần bảo vệ.

Hình 21: Thương lượng

Việc xác định lưu lượng nào cần được bảo vệ là một phần việc trong chính sách an
ninh (Security Policy) của một mạng VPN. Chính sách được sử dụng để quyết định lưu
lượng nào cần được bảo vệ và không cần bảo vệ (lưu lượng ở dạng bản rõ (clear text) không
cần bảo vệ). Chính sách sau đó sẽ được thực hiện ở giao diện của mỗi đối tác IPSec.
Đối với mỗi gói dữ liệu đầu vào và đầu ra sẽ có ba lựa chọn: Dùng IPSec, cho qua
IPSec, hoặc huỷ gói dữ liệu. Đối với mọi gói dữ liệu được bảo vệ bởi IPSec, người quản trị
hệ thống cần chỉ rõ các dịch vụ bảo mật được sử dụng cho gói dữ liệu. Các cơ sở dữ liệu,
chính sách bảo mật chỉ rõ các giao thức IPSec, các node, và các thuật toán được sử dụng cho
luồng lưu lượng.
34
 Khi phát hiện ra lưu lượng cần bảo vệ thì một đối tác IPSec sẽ kích hoạt bước tiếp
theo: Thoả thuận một trao đổi IKE Phase 1.
Bước 2 - IKE Phase 1
Mục đích cơ bản của IKE Phase 1 là để thoả thuận các tập chính sách IKE (IKE
policy), xác thực các đối tác ngang hàng, và thiết lập kênh an toàn giữa các đối tác. IKE
Phase 1 có hai chế độ: Chế độ chính (main mode) và chế độ nhanh (Aggressive mode).

Hình 22: IKE Phase 1

Chế độ chính có 3 trao đổi hai chiều giữa bên khởi tạo và bên nhận:
- Trao đổi thứ nhất: Các thuật toán mật mã và xác thực (sử dụng để bảo vệ các trao
đổi thông tin IKE) sẽ được thoả thuận giữa các đối tác.
- Trao đổi thứ hai: Sử dụng trao đổi DH để tạo các khoá bí mật chung (shared secret
keys), trao đổi các số ngẫu nhiên (nonces) để khẳng định nhận dạng của mỗi đối tác. Khoá bí
mật chung được sử dụng để tạo ra tất cả các khoá mật mã và xác thực khác.
- Trao đổi thứ ba: Xác minh nhận dạng của nhau (xác thực đối tác). Kết quả chính
của chế độ chính là một đường truyền thông an toàn cho các trao đổi tiếp theo của hai đối
tác.
Chế độ nhanh thực hiện ít trao đổi hơn (tất nhiên là ít gói dữ liệu hơn). Hầu hết mọi
thứ đều được thực hiện trong trao đổi thứ nhất: Thoả thuận tập chính sách IKE; tạo khoá
công cộng DH; và một gói nhận dạng (identify packet), có thể sử dụng để xác định nhận
dạng thông qua một bên thứ ba (third party). Bên nhận gửi trở lại mọi thứ cần thiết để hoàn
thành (complete) việc trao đổi. Cuối cùng bên khởi tạo khẳng định (confirm) việc trao đổi.
Các tập chính sách IKE:
Khi thiết lập một kết nối an toàn giữa Host A và Host B thông qua Internet, một
đường hầm an toàn được thiết lập giữa Router A và Router B. Thông qua đường hầm, các
giao thức mật mã, xác thực và các giao thức khác được thoả thuận. Thay vì phải thoả hiệp
từng giao thức một, các giao thức được nhóm thành các tập, chính là tập chính sách IKE

35
(IKE policy set). Các tập chính sách IKE được trao đổi trong IKE Phase 1 ở chế độ chính và
trong trao đổi thứ nhất. Nếu một chính sách thống nhất (matching policy) được tìm thấy ở
hai phía thì chế độ chính tiếp tục. Nếu không tìm thấy chính sách thống nhất nào thì đường
hầm sẽ bị loại bỏ.

Hình 23: Tập chính sách IKE

Ví dụ: Router A gửi các tập chính sách IKE Policy 10 và IKE Policy 20 tới Router B.
Router B so sánh với tập chính sách của nó, IKE Policy 15, với các tập chính sách nhận
được từ Router A. Trong trường hợp này, một chính sách thống nhất được tìm thấy: IKE
Policy 10 của Router A và IKE Policy 15 của Router B là tương đương.
Trong nhiều ứng dụng điểm - điểm, mỗi bên chỉ cần định nghĩa một tập các chính
sách IKE. Tuy nhiên ở mạng trung tâm có thể phải định nghĩa nhiều chính sách IKE để đáp
ứng nhu cầu của tất cả các đối tác từ xa.
Trao đổi khoá Diffie-Hellman:
Trao đổi khoá Diffie-Hellman là một phương pháp mật mã khoá công khai cho phép
hai bên thiết lập một khoá bí mật chung qua một môi trường truyền thông an toàn. Khoá mật
mã này sẽ được sử dụng để tạo ra tất cả các khoá xác thực và mã hoá khác.
Khi đã hoàn thành việc thoả thuận các nhóm, khoá bí mật chung SKEYID sẽ được
tính. SKEYID được sử dụng để tạo ra 3 khoá khác SKEYID_a, SKEYID_e, SKEYID_d.
Mỗi khoá có một mục đích riêng: SKEYID_a được sử dụng trong quá trình xác thực.
SKEYID_e được sử dụng trong quá trình mật mã.
SKEYID_d được sử dụng để tạo ra các khoá cho các kết hợp an ninh không theo giao
thức ISAKMP (non-ISAKMP SAs). Cả bốn khoá trên đều được tính trong IKE Phase 1.

36
 Khi bước này hoàn thành, các đối tác ngang hàng có cùng một mật mã chia sẻ nhưng
các đối tương này không được xác thực. Qua trình này diễn ra ở quá trình thứ 3, quá trình
xác thực đối tác.
Xác thực đối tác:
Xác thực đối tác là bước trao đổi cuối cùng được sử dụng để xác thực các đối tác
nghĩa là thực hiện kiểm tra xem ai đang ở bên kia của đường hầm. Các thiết bị ở hai đầu
đường hầm VPN phải được xác thực trước khi đường truyền thông được coi là an toàn. Trao
đổi cuối cùng của IKE Phase 1 có mục đích là để xác thực đối tác.

Hình 24: Xác thực các đối tác

Ba phương pháp xác thực nguồn gốc dữ liệu:

- Pre-shared keys (Các khoá chia sẻ trước) - một giá trị khoá bí mật được nhập vào
bằng tay để xác định đối tác.
- RSA signatures (Các chữ ký RSA) - sử dụng việc trao đổi các chứng nhận số (digital
certificates) để xác thực đối tác.
- RSA encryption nonces - Các số ngẫu nhiên (nonces_một số ngẫu nhiên được tạo ra
bởi mỗi đối tác) được mã hoá và sau đó được trao đổi giữa các đối tác ngang hàng, 2 nonce
được sử dụng trong suốt quá trình xác thực đối tác ngang hàng.
Bước 3 - IKE Phase 2
Mục đích của IKE Phase 2 là để thoả thuận các thông số bảo mật IPSec được sử dụng
để bảo mật đường hầm IPSec.

37
 Hình 25: Thỏa thuận các thông số bảo mật IPSec

IKE Phase 2 thức hiện các chức năng sau:

- Thoả thuận các thông số bảo mật IPSec (IPSec security parameters), các tập chuyển
đổi IPSec (IPSec transform sets).
- Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations).
- Định kỳ thoả thuận lại IPSec SAs để đảm bảo tính an toàn của đường hầm.
- Thực hiện một trao đổi DH bổ xung (khi đó các SA và các khoá mới được tạo ra,
làm tăng tính an toàn của đường hầm).
IKE Phase 2 chỉ có một chế độ được gọi là: Quick Mode
Chế độ này diễn ra khi IKE đã thiết lập được đường hầm an toàn ở IKE Phase 1. IKE
Phase 2 thoả thuận một tập chuyển đổi IPSec chung, tạo các khoá bí mật chung sử dụng cho
các thuật toán an ninh IPSec và thiết lập các SA IPSec. Quick mode trao đổi các nonce mà
được sử dụng để tạo ra khoá mật mã chung mới và ngăn cản các tấn công “Replay” từ việc
tạo ra các SA không có thật.
Quick mode cũng được sử dụng để thoả thuận lại một SA IPSec mới khi SA IPSec cũ
đã hết hạn.
Bước 4 - Đường hầm mật mã IPSec
Sau khi đã hoàn thành IKE Phase 2 và quick mode đã thiết lập các kết hợp an ninh
IPSec SA, lưu lượng trao đổi giữa Host A và Host B thông qua một đường hầm an toàn. Lưu
lượng được mật mã và giải mã theo các thuật toán xác định trong IPSec SA.

Hình 26: Đường hầm IPSec được thiết lập

Bước 5 - Kết thúc đường hầm

38
 Hình 27: Kết thúc đường hầm
Các kết hợp an ninh IPSec SA kết thúc khi bị xoá hoặc hết hạn. Một SA hết hạn khi
lượng thời gian chỉ ra đã hết hoặc một số lượng Byte nhất định đã truyền qua đường hầm.
Khi các SA kết thúc, các khoá cũng bị huỷ. Lúc đó các IPSec SA mới cần được thiết lập,
một IKE Phase 2 mới sẽ được thực hiện, và nếu cần thiết thì sẽ thoả thuận một IKE Phase 1
mới. Một thoả thuận thành công sẽ tạo ra các SA và khoá mới. Các SA mới được thiết lập
trước các SA cũ hết hạn để đảm bảo tính liên tục của luồng thông tin.
Để tóm tắt toàn bộ quá trình hoạt động của IPSec, ta xét một ví dụ như trong hình vẽ
sau:

Hình 28: Quá trình trao đổi thông tin

Trong ví dụ này, B muốn truyền thông an toàn với A. Khi gói dữ liệu tới Router B,
Router này sẽ kiểm tra chính sách an ninh và nhận ra gói này cần được bảo vệ. Chính sách
an ninh được cấu hình trước cũng cho biết Router A sẽ là điểm cuối phía bên kia của đường
hầm IPSec. Router B kiểm tra xem đã có IPSec SA nào được thiết lập với Router A chưa?
Nếu chưa thì yêu cầu một quá trình IKE để thiết lập IPSec SA. Nếu hai Router đã thoả thuận
được một IPSec SA thì IPSec SA có thể được tạo ra tức thời. Trong trường hợp, hai Router
chưa thoả thuận một IKE SA thì đầu tiên chúng phải thoả thuận một IKE SA trước khi thoả

39
thuận các IPSec SA. Trong quá trình này, hai Router trao đổi các chứng thực số, các chứng
thực này phải được ký trước bởi một CA mà hai phía cùng tin tưởng. Khi phiên IKE đã được
thiết lập, hai Router có thể thoả thuận IPSec SA. Khi IPSec SA đã được thiết lập, hai Router
sẽ thống nhất được thuật toán mật mã (chẳng hạn DES), thuật toán xác thực (chẳng hạn
MD5), và một khoá phiên sử dụng chung. Tới đây, Router B có thể mật mã gói tin của B, đặt
nó vào trong một gói IPSec mới, sau đó gửi tới Router A. Khi Router A nhận gói IPSec, nó
tìm kiếm IPSec SA, xử lý gói theo yêu cầu, đưa về dạng gói tin ban đầu và chuyển tới A.
Quá trình phức tạp này được thực hiện hoàn toàn trong suốt đối với A và B.
2.4.6. Hạn chế trong IPSec
Mặc dù IPSec đã sẵn sàng đưa ra các đặc tính cần thiết cho việc bảo mật một VPN
thông qua mạng Internet nhưng nó vẫn còn trong giai đoạn phát triển để hướng tới hoàn
thiện. Tất cả các gói được xử lý theo IPSec sẽ làm tăng kích thước gói tin do phải thêm vào
các tiêu đề IPSec làm cho băng thông của mạng giảm xuống. Điều này có thể được giải
quyết bằng cách nén dữ liệu trước khi mã hóa, nhưng điều này chưa được chuẩn hóa.
- IKE vẫn là công nghệ chưa được chứng minh. Phương thức chuyển khoá bằng tay
lại không thích hợp cho mạng có số lượng lớn các đối tượng di động.
- IPSec được thiết kế chỉ để điều khiển lưu lượng IP mà thôi.
- Việc tính toán cho nhiều giải thuật trong IPSec vẫn còn là một vấn đề đối với các
trạm làm việc và máy PC cũ.
- Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với
chính phủ một số nước.
- Sử dụng IPSec ở chế độ đường hầm cho phép các nút có thể có những địa chỉ IP
không hợp lệ nhưng vẫn có thể liên lạc được với các nút khác. Nhưng khi chuyển xuống bảo
mật mức Host thì các địa chỉ đó phải được quản lý cẩn thận sao cho nhận dạng được nhau.
2.5. SSL VPNs (Secure Sockets Layer )
2.5.1 Giới thiệu về SSL trong VPN
Thuật ngữ SSL VPN được dùng để chỉ một dòng sản phẩm VPN mới và phát triển
dựa trên giao thức SSL.Giao thức SSL không mới nhưng tích hợp giao thức SSL với công
nghệ VPN lại là một mô hình mới. Sử dụng SSL VPN để kết nối giữa người dùng từ xa vào
tài nguyên mạng công ty thông qua kết nối HTTPS ở lớp ứng dụng thay vì tạo “đường
hầm” ở lớp mạng như giải pháp IPSec đã nói ở trên. Vậy SSL là một giải pháp VPN dưới
dạng là một ứng dụng (application based VPN).
SSL VPN được thiết kế cho những giải pháp truy cập từ xa và không cung cấp những
kết nối site-to-site. SSL sử dụng trình duyệt web, user không phải chạy bất kỳ phần mềm
client nào trên những máy tính của họ.

40
 SSL VPN hoạt động ở layer 3 (session layer) của mô hình OSI.Và client là một trình
duyệt web.Do đó những ứng dụng như Telnet, FTP, SMTP, POP3, multimedia, hệ thống
điện thoại di động IP, điều khiển desktop từ xa không làm việc với SSL VPN bởi vì chúng
không sử dụng trình duyệt web cho giao diện đầu cuối của user. Nhiều nhà cung cấp cũng sử
dụng cả java hoặc ActiveX để nâng cao SSL VPNs bằng việc hỗ trợ những ứng dụng không
phải là HTTP, những khách hàng là POP3, SMTP e-mail, và tập tin Microsoft Windows và
chia sẻ máy in, ví dụ Citrix, Windows Terminal Services…
2.5.2. Chức năng của SSL

SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được chuẩn hoá
để thực hiện các nhiệm vụ bảo mật sau:
- Xác thực server: Cho phép người sử dụng xác thực được server muốn kết nối. Lúc
này, phía browser sử dụng các kỹ thuật mã hoá công khai để chắc chắn rằng certificate và
public ID của server là có giá trị và được cấp phát bởi một CA (certificate authority) trong
danh sách các CA đáng tin cậy của client. Điều này rất quan trọng đối với người dùng. Ví dụ
như khi gửi mã số credit card qua mạng thì người dùng thực sự muốn kiểm tra liệu server sẽ
nhận thông tin này có đúng là server mà họ định gửi đến không.
- Xác thực Client: Cho phép phía server xác thực được người sử dụng muốn kết nối.
Phía server cũng sử dụng các kỹ thuật mã hoá công khai để kiểm tra xem certificate và
public ID của server có giá trị hay không và được cấp phát bởi một CA (certificate authority)
trong danh sách các CA đáng tin cậy của server không. Điều này rất quan trọng đối với các
nhà cung cấp. Ví dụ như khi một ngân hàng định gửi các thông tin tài chính mang tính bảo
mật tới khách hàng thì họ rất muốn kiểm tra định danh của người nhận.
- Mã hoá kết nối: Tất cả các thông tin trao đổi giữa client và server được mã hoá trên
đường truyền nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối với cả hai bên
khi có các giao dịch mang tính riêng tư. Ngoài ra, tất cả các dữ liệu được gửi đi trên một kết
nối SSL đã được mã hoá còn được bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn, thay
đổi trong dữ liệu (đó là các thuật toán băm – hash algorithm).

41
 Hình 29: Các giao thức con của SSL trong mô hình TCP/IP
2.6. GRE (Generic Routing Encapsulation )
2.6.1 Giới thiệu GRE
GRE - Generic Routing Encapsulation là giao thức được phát triển đầu tiên bởi Cisco,
với mục đích chính tạo ra kênh truyền ảo (tunnel) để mang các giao thức lớp 3 thông qua
mạng IP.
Đây là giao thức truyền thông đóng gói IP và tất cả các gói dữ liệu bên trong đường
hầm IP (IP tunnel).
Với GRE Tunnel, Cisco router sẽ đóng gói cho mỗi vị trí một giao thức đặc trưng chỉ
định trong gói IP header, tạo một đường kết nối ảo (virtual point-to-point) tới Cisco router
cần đến. Và khi gói dữ liệu đến đích IP header sẽ được mở ra.
Bằng việc kết nối nhiều mạng con với các giao thức khác nhau trong môi trường có
một giao thức chính. GRE tunneling cho phép các giao thức khác có thể thuận lợi trong việc
định tuyến cho gói IP.
Ngoài ra, khi bạn muốn chạy các giao thức định tuyến động như OSPF/EIGRP xtrên
các kênh VPN thì ta cũng phải dùng GRE tunnels.
Một số đặc điểm chung của GRE tunnel:

GRE tunnel giống IPsec Tunnel vì gói tin gốc được bọc bên ngoài 1 lớp "vỏ"
GRE là không cung cấp điều khiển luồng (flow control).
GRE thêm ít nhất và header 24byte, trong đó IP header mới 20 byte.
GRE hỗ trợ đa giao thức nên hỗ trợ bất kỳ giao thức lớp 3 nào chạy qua đường hầm
(IP, IPX, Apple Talk...).
GRE cần thiết cho IP Multicast/ broadcast.

42
 Nhược điểm:
Không có cơ chế mã hóa.
Không có cơ chế hash.
Không có cơ chế xác thực nguồn gốc peer.
2.6.2. Cơ chế hoạt động của GRE
Để tạo ra các kênh truyền, GRE cũng thực hiện việc đóng gói gói tin tương tự như
giao thức IPSec hoạt động ở Tunnel mode. Trong quá trình đóng gói, GRE sẽ thêm các
header mới vào gói tin, và header mới này cung cấp các thông số cần thiết dùng để truyền
các gói tin thông qua môi trường trung gian.
GRE chèn ít nhất 24 byte vào đầu gói tin, trong đó 20 byte là IP header mới dùng để
định tuyến, còn 4 byte là GRE header. Ngoài ra GRE còn có thể tùy chọn thêm 12 byte mở
rộng để cung cấp tính năng tin cậy như: checksum, key chứng thực, sequence number.

Hình 30: Cấu trúc gói tin được đóng thêm GRE Header

Hai byte đầu tiên trong phần GRE header là GRE flag 2-byte. Phần bày chứa các cờ
dùng để chỉ định những tính năng tùy chọn của GRE
Bit 0 (checksum): Nếu bit này được bật lên (giá trị bằng 1) thỉ phần checksum được
thêm vào sau trường Protocol type của GRE header.
Bit 2 (key): Nếu bit này được bật lên thì phần Key tính năng chứng thực sẽ được áp
dụng, đây như dạng password ở dạng clear text. Khi một thiết bị tạo nhiều tunnel đến nhiều
thiết bị đích thì key này được dùng để xác định các thiết bị đích.
Bit 3 (Sequence number): Khi bit này được bật thì phần sequence number được thêm
vào GRE header.
Hai byte tiếp theo là phần Protocol Type chỉ ra giao thức lớp 3 của gói tin ban đầu
được GRE đóng gói và truyền qua kênh truyền.
Khi gói tin đi qua tunnel nó sẽ được thêm GRE header như trên và sau khi tới đầu bên
kia của kênh truyền, gói tin sẽ được loại bỏ GRE header để trả lại gói tin ban đầu.

43
 2.6.3. GRE over IPSec
GRE là giao thức không bảo mật, việc kết hợp với IPSec sẽ giúp tăng cường tính
năng bảo mật cho kênh truyền.
Khi IPSec kết hợp với GRE sẽ cung cấp khả năng định tuyến động trên kênh truyền,
do đó tạo ra khả năng mở rộng hệ thống mạng rất lớn.
2.6.4. Cơ chế hoạt động GRE over IPSec
GRE over IPSec là sự kết hợp giữa GRE và IPSec. Lúc này các gói tin GRE sẽ được truyền thông
qua kênh truyền bảo mật do IPSec thiết lập. Điều này được thực hiện thông qua việc IPSec
sẽ đóng gói gói tin GRE bởi các thông tin bảo mật của mình.
GRE over IPSec cũng có hai mode hoạt động; Tunnel mode và Transport mode

Hình 31: Tunnel mode và Transport mode

Như hình trên phần IP packet ban đầu sẽ được bao bọc bởi GRE header, sau đó IPSec
sẽ thêm thông tin IPSec header để cung cấp những tính năng bảo mật cho gói tin GRE rồi
truyền đi. Khi gói tin đến đầu bên kia của kênh truyền, nó sẽ được thao tác ngược lại để phục
hồi gói tin ban đầu.
2.7. Giao thức L2TPv3
2.7.1 Tổng quan L2TPv3
Layer 2 Tunneling Protocol phiên bản 3 (L2TPv3) cho phép các nhà cung cấp dịch vụ
và các doanh nghiệp lớn với các mạng lõi IP có nguồn gốc cung cấp tốc độ cao Layer 2
đường hầm hoặc VPN dịch vụ cho khách hàng người dùng cuối, kết hợp với lớp mình 3 dịch
vụ VPN. L2TPv3 dịch vụ VPN có thể được cung cấp mà không làm tăng chi phí vốn cho các
thiết bị đơn giản bằng cách nâng cấp phần mềm Cisco IOS. L2TPv3 được cung cấp như là
một phần của danh mục đầu tư VPN VPN công nghệ hàng đầu có sẵn trên bề rộng lớn nhất
của thiết bị định tuyến Cisco Unified.
L2TPv3 đang nổi lên như một công nghệ cốt lõi đường hầm và VPN cho mạng thế hệ
tiếp theo. L2TPv3 cung cấp sự linh hoạt và khả năng mở rộng của IP với tính bảo mật của
Frame Relay và chế độ chuyển giao không đồng bộ (ATM). L2TPv3 sẽ cho phép các dịch
44
vụ mạng sẽ được chuyển giao trên mạng IP định tuyến. Quyết định dịch vụ sẽ được thực
hiện tại các VPN và các thiết bị đầu cuối đường hầm và chuyển mà không yêu cầu tiền xử lý
trung gian, cung cấp hiệu quả cao hơn và khả năng mở rộng.
Bằng cách làm giảm độ phức tạp mạng lưới khách hàng và chi phí, L2TPv3 VPN cho
phép các nhà cung cấp dịch vụ phục vụ cơ sở đa dạng của các doanh nghiệp nhỏ và vừa.
Thay vì thiết lập và quản lý điểm-điểm mạch giữa cá nhân mỗi văn phòng, doanh nghiệp
cung cấp chỉ có một kết nối từ router văn phòng của một bộ định tuyến cạnh nhà cung cấp
dịch vụ. Các nhà cung cấp dịch vụ mở rộng cung cấp và tạo ra thêm nguồn thu nhập bằng
cách cung cấp cho khách hàng VPN với Internet quản lý, mạng nội bộ, và extranet mà không
có sự phức tạp các ứng dụng trước đây đòi hỏi.
L2TPv3 là sự kế thừa đường hầm phổ quát (UTI) layer 2 VPN, thực hiện độc quyền
của Cisco. L2TPv3 là một thực hiện chuẩn hóa, mô tả trong dự thảo L2TPv3 dự thảo-IETF-
l2tpext-L2TP-base-xx, định nghĩa các giao thức điều khiển cũng như các thủ tục đóng gói
đường hầm nhiều lớp kết nối giữa hai nút kết nối IP. L2TPv3 cung cấp một giải pháp mở
rộng để triển khai nhiều lớp mạng riêng ảo trên cơ sở hạ tầng IP hiện có và đang nổi lên như
là công nghệ đường hầm cốt lõi cho các mạng lõi IP thế hệ tiếp theo.
2.7.2. L2TPv3 cung cấp những gì?
- L2TPv3 cung cấp những lợi thế cho các nhà cung cấp dịch vụ sau đây:
Cung cấp một cơ chế đường hầm đơn giản để thực hiện dễ dàng LAN và chức năng
IP, cung cấp một phương tiện đơn giản cho các dịch vụ IP VPN
Đơn giản hóa sự tương tác giữa các mạng cung cấp dịch vụ và mạng lưới khách hàng
Bảo vệ đầu tư trong khi xây dựng nâng cao VPN Hỗ trợ
Tạo điều kiện cho dịch vụ mới
Cho phép vận chuyển của giao thức IP, chẳng hạn như Internetwork Packet Exchange
(IPX) và SNA, cũng như các giao thức máy tính để bàn khác
- L2TPv3 cung cấp các ưu điểm sau cho khách hàng doanh nghiệp:
Đơn giản hóa sự tương tác giữa nhà cung cấp dịch vụ và mạng lưới khách hàng.
Cho phép khách hàng sử dụng chọn lựa nhà cung cấp dịch vụ hoặc các cơ sở doanh
nghiệp để triển khai mạng riêng ảo
Dễ dàng cấu hình.
Hỗ trợ nâng cao VPN sử dụng tính năng như an ninh, quản lý mạng riêng ảo có thể
được thay đổi để đáp ứng yêu cầu của khách hàng
2.7.3. Hoạt Động L2TPv3

45
 L2TPv3 công nghệ cho phép một cặp bộ định tuyến kết nối thông qua một mạng IP
để cung cấp tốc độ cao, kết nối giữa một cặp các giao diện. Chức năng này có thể được sử
dụng để xây dựng Layer 2 VPN hoặc để hỗ trợ mạng (Frame Relay, ATM, thuê đường line).
L2TPv3 đường hầm có sẵn với các gói IP cơ bản
Giữa hai địa điểm mạng lưới khách hàng được đóng gói trong một gói tin IP và được
gửi qua một mạng lưới IP. Các bộ định tuyến nội bộ của mạng IP xử lý lưu lượng truy cập
và không cần biết bất cứ điều gì về mạng lưới khách hàng.

Hình 32: Hoạt động L2TPv3

Trong hình 32, các bộ định tuyến R1 và R2 cung cấp L2TPv3 dịch vụ. Những bộ định
tuyến giao tiếp với nhau bằng cách sử dụng giao thức IP thông qua: giao diện Int2, mạng IP,
và giao diện Int3. Trong ví dụ này, các bộ định tuyến R3 và R4 giao tiếp thông qua Packet-
over-SONET (POS) bằng cách sử dụng một đường hầm L2TPv3. Đường hầm L2TPv3 Tu1
được cấu hình giữa giao diện int1 trên R1 và giao diện Int4 trên R2. Bất kỳ gói dữ liệu đến
giao diện int1 trên R1 được đóng gói trong L2TPv3 và gửi qua đường hầm (Tu1) R2. R2
decapsulates các gói dữ liệu và truyền nó vào giao diện Int4 trên R4. Khi R4 cần phải gửi
một gói tin đến R3, gói tin theo một con đường ngược lại.
Lưu ý những hoạt động L2TPv3
- Tất cả các gói tin nhận được trên giao diện INT1 sẽ được chuyển tiếp đến R4. R3 và
R4 không thể nhìn thấy.

46
 - Trong các bộ định tuyến Internet dòng Cisco 12000, các cổng LAN khác không
được sử dụng cho L2TPv3 phải có một router kết nối. Khi Media-Access-Control (MAC)
lọc bởi bộ nhớ địa chỉ Content-tắt cho phép L2TPv3 làm việc, nó được bật trên tất cả các
cổng.
- Phương pháp này được sử dụng cho các giao diện Ethernet: Bất kỳ gói tin nhận
được từ LAN1 R1 trên giao diện Ethernet E1 sẽ được gói gọn trong L2TPv3 và gửi qua
đường hầm Tu2 R2 giao diện E2, nơi nó sẽ được truyền đi trên LAN2.
- Phương pháp này được sử dụng cho Frame Relay subinterfaces: Bất kỳ gói tin nhận
được từ LAN1 bởi R1 trên một subinterface sẽ được gói gọn trong L2TPv3 và gửi qua
đường hầm để subinterface R2, nơi nó được truyền đi trên LAN2.
2.7.4. Mô tả L2TPv3
Khi dữ liệu vào một giao diện đường hầm tới L2TPv3 bao gồm:
- Tải trọng L2TPv3 Header độc lập (12 byte)
- Cung cấp header IP (20 byte)
Các L2TPv3 Header có định dạng hiển thị trong Hình 33.
2.7.5. Đóng gói, gói tin với L2TPv3

Hình 33: Đóng gói

L2TPv3 các thông số header là:

- Giao hàng tận nơi header - Các header cần thiết để thực hiện các gói tin L2TPv3
qua mạng lưới phân phối. Đây là một header IPv4. Các header giao hàng là 20 byte.
- L2TPv3 header Chứa các thông tin cần thiết để xác định bối cảnh đường hầm tại
điểm đóng gói . Các header độc lập tải trọng là 12 byte.
- Tải trọng, được vận chuyển bằng L2TPv3. Nó có thể là một lớp liên kết khung hoặc
một gói lớp mạng.
- Tunnel nhận dạng, xác định bối cảnh đường hầm trên hệ thống decapsulating. Các
giá trị của ID đường hầm được chọn để tối ưu hóa hiệu quả xác định bối cảnh của hệ thống
decapsulating, do đó có thể lựa chọn để hỗ trợ lĩnh vực bit nhận dạng đường hầm nhỏ hơn.

47
Điều này đạt được bằng cách thiết lập một giá trị để nhận dạng đường hầm L2TPv3 của
1023. L2TPv3 đường hầm nhận dạng giá trị 0 được dành riêng để sử dụng bởi giao thức.
- Tunnel cookie có 8-octet được chia sẻ giữa hai thiết bị đầu cuối của một đường hầm
L2TPv3. Tunnel Cookie này làm giảm nguy cơ tắt nghẽn của giao thông decapsulated xảy ra
bởi một lỗi trong cấu hình, được cấu hình ở cả hai: nguồn và thiết bị định tuyến đích phải
phù hợp, hoặc dữ liệu sẽ được giảm xuống.
2.7.6. Hỗ trợ nguyên chế độ.
Nguyên chế độ là khả năng thông tin đường hầm qua một giao diện vật lý mà không
quan tâm đến các loại thông tin đang được tiến hành. Trong chế độ hỗ trợ nguyên, một giao
diện vật lý được gắn vào cả hai đầu của một đường hầm L2TPv3. Tất cả các gói tin và
khung đến giao diện này được chuyển qua đường hầm. Các giao diện vật lý kết hợp với các
thiết bị đầu cuối đường hầm phải cùng loại. Cisco Systems hiện hỗ trợ nối tiếp, POS, và các
giao diện Ethernet trong chế độ thô.
Chế độ thô có thể được sử dụng hiệu quả hỗ trợ đường truyền ảo. Đường truyền ảo
cho thuê là một yêu cầu phổ biến từ doanh nghiệp có nhu cầu để kết nối các trang web từ xa
với nhau trên một kênh dịch vụ rõ ràng.

Hình 34: Leased Line ảo với Cấu trúc liên kết logic L2TPv3

Trong trường hợp này, hai giao diện DS-3 nối tiếp được nối vào mạng của khách
hàng (doanh nghiệp A) hình thức Int2 và Int3 các điểm nguồn và ra của đường hầm L2TPv3.
Các nhà cung cấp dịch vụ duy trì kết nối IP giữa PE A và PE B bằng cách sử dụng các giao
thức định tuyến chuẩn. Điều này hình thành dải VPN lớp 2 được thành lập. Bất kỳ các gói
tin được gửi qua DS-3 từ router của khách hàng (CE A) sẽ được tự động đóng gói với một
header L2TPv3 và chuyển tiếp trên mạng IP để đi ra trên giao diện PE B và decapsulated.
Sau đó, liên kết toàn bộ dữ liệu điều khiển khung hình (HDLC) được chuyển tiếp giao diện

48
nối tiếp (Int3) và cho khách hàng các bộ định tuyến CE B, do đó hoàn thành được Layer 2
(lớp 2).
2.7.7. Hỗ trợ Frame Relay
Khung hình hỗ trợ chuyển tiếp được thiết kế để hỗ trợ các đường hầm của các mạch
ảo cá nhân (nhà đầu tư) được phân bổ trên một giao diện vật lý duy nhất. Trong kịch bản
này, VC trên một giao diện nhất định có thể đi tới các điểm đến khác nhau. Trong Hình 35,
khả năng đường hầm nhà đầu tư cá nhân được sử dụng để triển khai một hub-and-spoke loại
hình mạng trên một lõi IP.

Hình 35: Đóng gói gói tin với L2TPv3

Kịch bản sau đây cung cấp dịch vụ mà một nhà cung cấp có thể hỗ trợ. Khách hàng là
một doanh nghiệp hiện có với mạng Frame là một trung tâm chuyển tiếp. Các nhà cung cấp
dịch vụ muốn cung cấp truy cập Internet kết hợp với tường lửa quản lý và các dịch vụ đa
phương tiện. Hình dưới đây minh họa kiến trúc dịch vụ này.

Hình 36: 2 Frame Relay Hub-và-nan Kiến trúc với Internet và Firewall Outsourced

49
 Doanh nghiệp kết nối với các nhà cung cấp dịch vụ với một giao diện nối tiếp truyền
thống cấu hình encapsulations Frame Relay và một cấu hình point-to-point (điểm tới điểm)
subinterface. Chỉ định subinterfaces sẽ được các mạng nội bộ công ty cung cấp truy cập
Internet. Phân cấp truy cập Internet trong các cấu hình trung tâm truyền thống, do đó làm
giảm các yêu cầu băng thông tại vị trí trung tâm. Doanh nghiệp được miễn phí để chạy một
chính sách định tuyến độc lập và thậm chí thêm IP Security (IPSec) mã hóa cho các yêu cầu
tăng cường an ninh.
2.7.8. Frame Relay subinterface hạn chế.
Nếu một subinterface Frame Relay được cấu hình cho đường hầm, nó phải được ánh
xạ tới một đường hầm độc đáo L2TPv3. (Mỗi đường hầm L2TPv3 phải có một bản đồ với
một subinterface Frame Relay.)
Liên kết kết nối dữ liệu nhận dạng (DLCI) tại các bộ định tuyến xâm nhập phải được
DLCI ràng buộc tại các bộ định tuyến đi ra.
L2TPv3 Frame Relay subinterfaces hỗ trợ 10-bit địa chỉ DLCI. Frame Relay mở rộng
là không được hỗ trợ.
DLCIs không được hỗ trợ.
2.7.9. Ethernet Hỗ trợ
L2TPv3 hoạt động Internet trong các bộ định tuyến Cisco 10720.
Hỗ trợ của các tính năng Internet trong các thiết bị định tuyến Cisco 10720 L2TPv3
cho phép các nhà cung cấp dịch vụ cung cấp các dịch vụ Ethernet cho khách hàng của họ
bằng cách mở rộng Ethernet hoặc mạng LAN ảo (VLAN) từ một địa điểm khác bằng cách
sử dụng đường hầm L2TPv3

Hình 37: L2TPv3 hoạt động Internet trên Router Cisco 10720

50
 Trong hình 37 hai thiết bị định tuyến ở cuối đường hầm L2TPv3 được kết nối thông
qua một liên kết điểm-điểm POS. Các chức năng được hỗ trợ là tầng 2 tới lớp 2 mở rộng qua
đường hầm L2TPv3. Hoặc là giao diện toàn bộ hoặc subinterface các VLAN có thể được
ánh xạ tới một đường hầm L2TPv3 để mở rộng mạng Ethernet qua mạng IP. Cơ chế này cho
phép các nhà cung cấp dịch vụ cung cấp các dịch vụ Ethernet trên một diện tích rộng.
Khi L2TPv3 được sử dụng để kết nối khách hàng trên các đường trục IP, các giao
diện vật lý kết nối với mạng của khách hàng trở thành đường hầm đi vào / đi ra. Các giao
diện trên các bộ định tuyến Cisco 10720 có thể được sử dụng đi vào hoặc đi ra Internet có
thể là Ethernet hoặc 802.1Q đóng gói subinterfaces.
Các bộ định tuyến nhà cung cấp dịch vụ Internet giao tiếp thông thường bằng cách sử
dụng các giao thức định tuyến IP được cấu hình trên mạng lõi IP. Các router (bộ định tuyến
CE) giao tiếp qua cấu hình L2TPv3 đường hầm. Bất kỳ gói dữ liệu nhận được Router Cisco
Internet 10720 được đóng gói với một header L2TPv3 và gửi qua L2TPv3 đường hầm, một
trong hai đường hầm L2TPv3 1 hoặc Tunnel L2TPv3 2. Các gói dữ liệu đến từ các trang
web của khách hàng có thể đi qua giao diện Ethernet chính. Các gói tin được đóng gói với
các header L2TPv3 và gửi đến các trang web khác.
Nếu các gói dữ liệu khách hàng trong một giao diện 802.1Q-đóng gói, các gói tin vẫn
sẽ được đóng gói với một header L2TPv3 và gửi đến Router Cisco khác Internet 10720. Khi
kết thúc nhận, Router Cisco 10720 Internet decapsulates header L2TPv3 chuyển tiếp lưu
lượng đóng gói 802.1Q bộ định tuyến CE của khách hàng.
2.7.10. Ethernet trên L2TPv3
Hình 38 cho thấy hoạt động của kết nối LAN-to-LAN bằng cách sử dụng một đường
hầm L2TPv3. Các gói tin đến từ LAN1 ở trên giao diện Ethernet của Router Cisco Internet
10720 số 1. Các gói dữ liệu từ khách hàng được đóng gói với một header L2TPv3 và gửi qua
lõi rỗng IP bằng cách sử dụng IP định tuyến để đi ra giao diện Ethernet của Cisco 10720 số
Router Internet 2.

51
 Hình 38: Ethernet trên L2TPv3

Router Cisco 10720 Internet ở phía bên nhận decapsulates các gói dữ liệu và chuyển
tiếp lưu lượng truy cập LAN2. Một hoạt động tương tự xảy ra nếu chạy từ LAN2. LAN1 và
LAN2 trở thành kết nối qua mạng đường trục IP, và Cisco 10720 chuyển tiếp Router
Internet Layer 2 các gói dữ liệu trong bất kỳ định tuyến hoặc về các địa chỉ IP của khách
hàng. Cả hai địa điểm xuất hiện như thể chúng được kết nối với cùng một dây. Điều này có
thể được mở rộng cho nhiều trang web. Sự khác biệt chính trong trường hợp này là trên các
trang web của khách hàng là không có lớp 3 thiết bị định tuyến, vì vậy L2TPv3 mở rộng lớp
2 kết nối trên các lõi IP cho phép các nhà cung cấp dịch vụ.
2.7.11. VLAN ID Rewrite L2TPv3 Egress Tunnel VLAN
ID VLAN Rewrite có tính năng được áp dụng để đường hầm L2TPv3 được gắn vào
giao diện VLAN 802.1Q trên Internet Router Cisco 10720. Phía ra của một đường hầm
L2TPv3 ánh xạ tới một VLAN.
VLAN ID trong các gói tin đi 802.1Q ID của VLAN địa phương.
Tính năng này cho phép bạn sử dụng giao diện VLAN VLAN ID khác nhau ở cả hai
đầu của một đường hầm L2TPv3. Khi bạn sử dụng tính năng VLAN Rewrite ID, Cisco
khuyên sử dụng giao thức tái sử dụng không gian (SRP) là giao diện trên Internet Router
Cisco 10720.
Thẻ Tunnel trong Internet Router Cisco dòng 12000
Các thiết bị định tuyến Cisco 12000 Series Internet yêu cầu các thẻ đường hầm bổ
sung cho L2TPv3 hoạt động. Thẻ Tunnel không được sử dụng với dòng thiết bị định tuyến
Cisco 7200 hoặc 7500.

52
 Hình 39: L2TPv3 gói Xử lý trong Cisco Router Internet Dòng 12000.

Lưu ý: Các mũi tên trong Hình 39 đại diện cho dòng chảy và hướng của một gói tin
theo một hướng. Lưu lượng thực tế trong đường hầm có thể chảy trong hai hướng.
2.7.12. Hành động trên Router Đóng gói
Trong Hình 39, lưu lượng truy cập từ mạng lưới khách hàng trên trang web 1 được
gửi đến một giao diện xâm nhập trên router nhà cung cấp dịch vụ mạng. Khi giao diện được
cấu hình cho đường hầm L2TPv3, tất cả các gói tin đến được chuyển tiếp vào thẻ đường
hầm. Thẻ đường hầm đóng gói gói tin với một tiêu đề đóng gói có chứa địa chỉ IP và thông
tin tiêu đề L2TPv3. Gói được đóng gói sau đó được gửi vào thẻ đi ra thích hợp, đó sẽ gửi gói
tin đến mạng IP như một gói tin IP bình thường.
2.7.13. Hoạt động trên Router Decapsulation Tunnel
Khi một L2TPv3 đóng gói gói tin đến thẻ đường hầm, gói tin được kiểm tra cho một
session ID hợp lệ và một phím phù hợp với L2TPv3. Nếu không đúng, gói tin được âm thầm
giảm. (Người dùng không được thông báo.) Nếu session ID và L2TPv3 phải chính xác, thẻ
đường hầm decapsulates các gói tin (bằng cách loại bỏ các header IP + L2TPv3) gửi gói tin
đến thẻ đi ra. Thẻ đi ra sau đó sẽ gửi gói tin đến các mạng lưới khách hàng. Nó không thêm
một layer mới.
Chú ý: Nếu thẻ đường hầm không nhận được các gói tin L2TPv3 các gói được gửi
đến các dòng thẻ CPU và bộ xử lý tuyến đường.
2.7.14. Tổng hạn chế
L2TPv3 có những hạn chế:
- Số lượng tối đa của đường hầm L2TPv3 có thể được cấu hình giới hạn ở đường hầm
1022

53
 - Đơn vị truyền tối đa (MTU) trên giao diện của khách hàng phải được thiết lập để
không phân mảnh trong suốt đường hầm. Điều này là cần thiết bởi vì các đường hầm
L2TPv3 không hỗ trợ phân mảnh. (Một giải pháp đang được phát triển.)
MTU trong các đường trục IP byte x lớn hơn MTU hoạt động trên dây giả. Các giá trị
cho x là:
802.1Q = 50
Ethernet = 46
POS = 36
Frame Relay = 34
CHDLC = 36
Không có tín hiệu vốn có hoặc (công việc đang tiến hành).
Nền tảng hỗ trợ và phát hành
- Cisco 12000 Series Internet thiết bị định tuyến
- Cisco 10720 Metro Ethernet Router
- Dòng thiết bị định tuyến Cisco 7200
- Dòng thiết bị định tuyến Cisco 7500
Cisco IOS 12,0 (18) ST
- Nguyên chế độ L2TPv3 đường hầm ở mức cổng, giống như giao diện trên mỗi đầu
của đường hầm
- Nền tảng, Cisco 12000, 7500, và thiết bị định tuyến dòng 7200
Cisco IOS 12,0 (19) ST
- Frame Relay-L2TPv3 đường hầm cho Frame Relay subinterfaces point-to-point,
mỗi Frame Relay mạch ảo thường trực (PVC) bản đồ một đường hầm độc đáo
- Nền tảng, Cisco 12000, 7500, và thiết bị định tuyến dòng 7200
Cisco IOS 12,0 (21) ST
- 802.1Q VLAN-L2TPv3 đường hầm cho 802.1Q point-to-point
subinterfaces
- Nền tảng, Cisco 12000, 7500, và thiết bị định tuyến dòng 7200
Cisco IOS 12,0 (19) SP
- Nguyên chế độ L2TPv3 đường hầm ở mức cổng, giống như giao diện trên mỗi đầu
của đường hầm 802.1Q VLAN-L2TPv3 đường hầm cho 802.1Q point-to-point
subinterfaces.

54
 3. MẬT MÃ
3.1 Khái niệm về Mã hoá
Mã hoá được dựa trên hai thành phần: đó là một thuật toán và một khoá. Một thuật
toán mã hoá là một chức năng toán học nối phần văn bản hay các thông tin dễ hiểu với một
chuỗi các số gọi là khoá để tạo ra một văn bản mật mã khó hiểu. Mặc dù có một vài thuật
toán mã hoá đặc biệt không sử dụng khoá có sẵn nhưng với các thuật toán sử dụng các khoá
thì đặc biệt quan trọng hơn. Mã hoá trên một hệ thống khoá cơ bản cung cấp hai ưu điểm
quan trọng: một là bằng việc dùng một khoá có thể sử dụng cùng một thuật toán để truyền
thông với nhiều người; tất cả những gì phải làm là sử dụng một khoá khác cho mỗi thành
viên tương ứng. Thứ hai, nếu như bản tin được mã hoá bị bẻ gẫy, chỉ cần chuyển một khoá
mới để bắt đầu mã hoá bản tin đó lại mà không cần phải đổi một thuật toán mới để thực hiện
quá trình đó. Số khoá mà thuật toán có thể cung cấp phụ thuộc vào số bit trong khoá.
Ví dụ: một khoá dài 8 bit cho phép có 256 số kết nối có thể hay còn gọi là khoá. Số
khoá càng lớn thì khả năng một bản tin đã được mã hoá bị bẻ gãy càng thấp. Mức độ khó
phụ thuộc vào chiều dài của khoá.
Hình thức cũ nhất của mã hoá dạng khoá cơ bản được gọi là mã hoá khoá bí mật
(secret key) hay còn gọi là mã hoá đối xứng (symmetric). Trong cơ chế này, cả người gửi lẫn
người nhận đều chiếm giữ cùng một khoá; có nghĩa là, cả hai bên có thể mã hoá và giải mã
dữ liệu với khoá đó. Nhưng mã hoá đối xứng xuất hiện một số các trở ngại: ví dụ, cả hai bên
phải đồng ý trên một khoá bí mật được chia sẻ. Nếu như chúng ta có nhiều sự trao đổi thì
chúng ta phải giữ dấu của n khoá bí mật với mỗi khoá được dùng cho một sự trao đổi. Nếu
như sử dụng cùng một khoá cho nhiều trao đổi thì người nhận sẽ có khả năng đọc thư của
người khác.
Cơ chế mã hoá đối xứng cũng có một vấn đề với việc xác thực bởi vì đặc điểm nhận
dạng của một bản tin gốc hay người nhận không thể chứng minh được. Do hai bên cùng
chiếm giữ một khoá giống nhau nên đều có thể tạo và mã hoá và cho là người khác gửi bản
tin đó. Điều này gây ra sự mơ hồ về tác giả của bản tin đó. Để giải quyết tình huống này,
người ta sử dụng mã hoá khoá công khai.
3.2 Hệ mật khoá công khai là gì?
Mã hoá khoá công khai (Public key) được dựa trên ý niệm của khoá đôi. Một phần
của khoá đôi, khoá riêng (Private key) chỉ được biết đến bởi người thiết kế, phần khác là
khoá công khai có thể được công bố một cách rộng rãi nhưng vẫn được kết hợp với người sở

55
hữu. Các khoá đôi có một đặc điểm duy nhất là dữ liệu đã mã hoá với một khoá có thể được
giải mã với một khoá khác trong cùng một cặp.
Những khoá này có thể được dùng trong hai cách khác nhau: cung cấp bản tin một
cách tin cậy và chứng minh sự tin cậy của một bản tin gốc. Trong trường hợp đầu tiên, người
gửi sử dụng khoá công khai của người dự định nhận để mã hoá một bản tin, do đó, nó sẽ vẫn
còn tin cậy cho đến khi được giải mã bởi người nhận với khoá riêng. Trong trường hợp thứ
hai, người gửi mã hoá một bản tin bằng cách sử dụng một khoá riêng (khoá mà chỉ có người
gửi truy cập được).
Ưu điểm:
- Khoá công khai của khoá đôi có thể được phân phát một cách sẵn sàng mà không sợ
rằng điều này làm ảnh hưởng đến việc sử dụng các khoá riêng. Không cần phải gửi một bản
sao chép khoá công khai cho tất cả các đáp ứng mà chúng ta có thể lấy nó từ một máy chủ
được duy trì bởi một công ty hay là nhà cung cấp dịch vụ.
- Cho phép xác thực nguồn phát của bản tin.
- Việc sử dụng các thuật toán mã hoá khoá công khai để mã hoá các bản tin tương đối
chậm. Vì thế, một giải pháp được đưa ra là bản tin tóm tắt (Message Digest) có thể được mã
hoá và sau đó được dùng như chữ ký điện tử. Các thuật toán mã hoá sử dụng phương pháp
này được biết đến là các hàm băm một chiều. Hàm băm một chiều không dùng một khoá, nó
chỉ đơn giản là một công thức để chuyển đổi một bản tin có chiều dài bất kỳ thành một chuỗi
đơn các số gọi là một bản tin tóm tắt.
3.3 Hai phương pháp khoá công khai quan trọng
3.3.1. Kỹ thuật Diffie-Hellman
Kỹ thuật Diffie-Hellman là thuật toán mã hoá khoá công khai thực tế đầu tiên. Trong
thực tế, kỹ thuật này được ứng dụng rất nhiều cho việc quản lý khoá.
Cơ chế làm việc: hai bên trao đổi có thể sử dụng kỹ thuật DiffieHellman để tạo ra một
giá trị bí mật dùng chung mà sau đó có thể được dùng như một khoá chung cho một thuật
toán mã hoá khoá bí mật.
3.3.2. Mật mã khoá công khai RSA
Kỹ thuật khoá công khai RSA khoá công khai có tên bắt nguồn từ ba nhà phát triển là:
Ron Rivest, Adir Shamir và Leonard Adelman. Bảo mật của kỹ thuật này được dựa trên thực
tế là có thể tương đối dễ dàng để nhân A và B được kết quả là C, nhưng không dễ dàng khi
biết C lại có thể suy ra A và B khi A và B là những số tương đối lớn. Kỹ thuật này tạo ra các
khoá công khai phù hợp với các khoá riêng biệt. Điều này tạo cho RSA những ưu điểm của

56
 việc cho phép người giữ một khoá riêng mã hoá dữ liệu với khoá đó, vì thế, bất kỳ người nào
với một bản sao của khoá công khai đều có thể giải mã nó sau đó.
3.3.3. Chọn lựa các giải pháp mã hoá
Không có một hệ thống mã hoá nào là lý tưởng cho tất cả các tình trạng mạng. Bảng
2.2 mô tả ưu và nhược điểm của một số kiểu mã hoá.

Kiểu mã hoá Ưu điểm Nhược điểm

- Các khoá giống nhau.
- Nhanh
- Khó khăn cho việc phân
Khoá bí mật - Có thể được bổ sung một
phối khoá.
(đối xứng) cách dễ dàng trong phần
- Không hỗ trợ các chữ ký
cứng.
điện tử.
- Sử dụng hai khoá khác
nhau.
- Tương đối dễ phân phối
- Chậm và đòi hỏi tính
Khoá công khai các khoá.
toán nhiều
- Cung cấp tính toàn vẹn
không từ chối qua các chữ
ký điện tử.
Bảng 1. 1: Các ưu nhược điểm của các hệ thống mã hoá

Khi chọn lựa một thuật toán phù hợp để sử dụng, nguyên tắc chung là xác định dữ
liệu của chúng ta dễ bị ảnh hưởng ra sao và bao lâu thì dữ liệu cần phải được bảo mật. Khi
đã chỉ ra được, lựa chọn một thuật toán mã hoá và chiều dài khoá thích hợp với yêu cầu đó.

Chiều dài bit của

Giá (USD)
khoá
40 56 64 80 128
100,000 2 giây 35 giờ 1 năm 70000 năm 1019 năm
1,000,000 2 giây 3,5 giờ 37 ngày 7000 năm 1018 năm
100 triệu 2 miligiây 2 phút 9 giờ 70 năm 1016 năm
1 tỷ 2 miligiây 13 giây 1 giờ 7 năm 1015 năm
100 tỷ 2 microgiây 1 giây 32 giây 24 ngày 1011 năm
Bảng 1. 2: So sánh chi phí và thời gian cần thiết để bẻ các khoá có độ dài khác nhau

Chiều dài của khoá bí mật Chiều dài khoá công khai

57
 56 bit 384 bit
64 bit 512 bit
80 bit 768 bit
128 bit 2,304 bit

Bảng 1. 3: Chiều dài của khoá bí mật và khoá công khai đối với các mức bằng nhau của
việc bảo mật

58
 CHƯƠNG 2. ỨNG DỤNG VÀ ĐÁNH GIÁ MỘT SỐ SẢN PHẨM VPN

Sử dụng Mạng riêng ảo khi truy cập qua mạng internet đang ngày càng trở
nên quan trọng hơn bao giờ hết. Các phần mềm VPN hoạt động trong suốt với người
dùng để làm cho mọi truy cập trên internet của chúng ta gần như vô danh, tránh bị
theo dõi, bị block IP không truy cập vào được một số website. Dưới đây là đánh giá
một số ứng dụng VPN tốt nhất hiện nay.
1. Proton VPN

Là VPN có tổng thể tốt ứng dụng thân thiện với người dùng đi kèm với bản
dùng thử miễn phí dành cho người dùng.

- Thông tin chung

Tên dịch vụ Proton VPN
Địa điểm công ty Thụy Sĩ
Website protonvpn.com
Sever có tại 69 Quốc gia
Số lượng server 3000 server
Thiết bị sử dụng đồng thời Tối đa 10 thiết bị
Mã hóa AES-256 hoặc ChaCha20
Giao thức sử dụng OpenVPN, IKEv2
Chính sách ghi nhật ký Không có
Giá Từ 4,99$/tháng
Bản dùng thử miễn phí 30 ngày dùng thử

59
 Bảng 2. 1: Thông tin chung về Proton VPN

- Mã hóa và bảo mật:

Proton VPN mã hóa tất cả lưu lượng truy cập mạng bằng AES-256 hoặc
ChaCha20.
Các kết nối VPN sử dụng giao thức VPN OpenVPN hoặc IKEv2.
Proton VPN sử dụng mật mã hóa và giao thức VPN hỗ trợ bảo mật về phía
trước, mỗi lần kết nối với VPN sẽ tạo một bộ khóa mã hóa duy nhất. Bằng cách này,
ngảy cả khi phiên VPN trong tương lại bị xâm phạm, các phiên trước đây vẫn sẽ được
bảo mật.
Proton VPN sử dụng trao đổi khóa Diffie-Hellman để tạo khóa phiên một cách
an toàn.
- Tốc độ kết nối:
Proton VPN thường cung cấp tốc độ ổn định đáng tin cậy cho các hoạt động
trực tuyến hàng ngày như duyệt web và xem video.
Bộ tăng tốc VPN là một bộ công nghệ dành riêng cho Proton VPN có thể tăng
tốc độ VPN lên hơn 400%. Bằng cách khắc phục các hạn chế của CPU ảnh hưởng
đến cách xử lý các giao thức VPN, sử dụng các kỹ thuật kết nối mạng tiên tiến để
giảm độ trễ và tự thiết kế lại các giao thức VPN để giảm sự thiếu hiệu quả trong mã
của chúng, Trình tăng tốc VPN có thể tăng đáng kể hiệu suất tốc độ.
Kết quả kiểm tra tốc độ quốc tế cho thấy:
+ Tốc độ Proton VPN cho máy chủ tại châu Á: 16 Mbps (tải xuống); 6,4 Mbps
(tải lên).
+ Tốc độ Proton VPN cho máy chủ Mỹ: 17,6 Mbps (tải xuống); 36,4 Mbps (tải
lên).
+ Tốc độ Proton VPN cho máy chủ châu Âu: 19.16 Mbps (tải xuống); 74.85
Mbs (tải lên).
- Máy chủ:
Proton VPN có khoảng 3000 máy chủ ở 69 quốc gia, trong đó:
+ 101 máy chủ Secure Core tại 66 quốc gia, dành cho người dùng gói Plus với
các máy chủ này cung cấp cho người dùng quyền truy cập với quyền riêng tư và bảo
mật vượt trội;

60
 + 2684 máy chủ Plus tại 69 quốc gia, dành riêng cho người dùng Plus với đầy
đủ các chức năng: Hỗ trợ phát trực tuyến, trình chặn quảng cáo, tốc độ cao nhất lên
đến 10 Gbps…;
+ 65 máy chủ miễn phí ở 3 quốc gia, dành cho người dùng miễn phí cung cấp
tốc độ trung bình và không hỗ trợ bất kỳ tính năng nâng cao nào.
- Giao diện người dùng:
Ứng dụng Proton VPN có giao diện người dùng đơn giản và trực quan để có
thể thực hiện duyệt web riêng tư và ẩn danh chỉ bằng một cú nhấp chuột. Tất cả thông
tin quan trọng nhất được trình bày một cách tổng quát, bao gồm việc bạn có kết nối
với VPN hay không, tốc độ và lưu lượng truy cập nếu được kết nối và danh sách đầy
đủ các máy chủ mà bạn có thể kết nối. Ngoài ra, bạn có thể tạo cấu hình kết nối tùy
chỉnh để tự động bảo vệ thiết bị của mình bất cứ khi nào bạn kết nối internet.
- Các tính năng khác:
+ Trình tăng tốc VPN - tăng tốc độ của Proton VPN lên đến 400% để cung cấp
cho người dùng một dịch vụ cấp tốc.
+ Dữ liệu không giới hạn không giới hạn băng thông hoặc tốc độ.
+ Hỗ trợ tạo hồ sơ kết nối nhanh vị trí hay theo tùy chọn đã cài đặt.
+ Kết nối nhanh chỉ với 1 cú chạm.
+ Nghiêm cấm nhật ký.
+ Máy chủ được mã hóa toàn bộ đĩa bảo vệ dữ liệu của bạn.
+ Bỏ qua các giới hạn địa lý - lựa chọn giao thức thông minh tự động vượt qua
các lệnh cấm VPN và bỏ chặn nội dung bị kiểm duyệt.
+ Bảo mật chuyển tiếp hoàn hảo - lưu lượng được mã hóa không thể bị bắt và
giải mã sau này.
+ Bảo vệ rò rỉ DNS - Các truy vấn DNS cũng được mã hóa để đảm bảo rằng
hoạt động duyệt web của bạn không thể bị lộ qua rò rỉ DNS.
+ Hỗ trợ phân tách đường hầm cho phép bạn chọn ứng dụng nào đi qua đường
hầm VPN.
+ Công tắc ngắt / ngắt VPN luôn bật cung cấp khả năng bảo vệ chống rò rỉ do
ngắt kết nối ngẫu nhiên.
- Chính sách ghi nhật ký:

61
 Proton VPN có chính sách không thu thập bất kỳ dữ liệu cá nhân như lịch sử
duyệt web, địa chỉ IP, hay hoạt động trực tuyến của người dùng. Điều này đảm bảo
rằng dữ liệu của bạn không bị lưu trữ và sử dụng một cách không mong muốn.
- Hỗ trợ đa nền tảng:
Proton VPN hỗ trợ cho tất cả các nền tảng và thiết bị, có thể được sử dụng trên
nhiều nền tảng và thiết bị khác nhau, chẳng hạn như iPhone , Android , Mac ,
Windows , Linux , Fire TV Stick , Chromebook , Android TV.
- Đánh giá chung:
Ưu điểm:
+ Tiêu chuẩn bảo mật và riêng tư đặc biệt
+ Chính sách không ghi nhật ký
+ Không giới hạn dữ liệu
+ Ứng dụng thân thiện với người dùng
+ Có phiên bản miễn phí
Nhược điểm:
+ Tốc độ hơi chậm
+ Số lượng máy chủ ít hơn so với các đối thủ khác
2. NordVPN

NordVPN là một trong những VPN tốt nhất khi nói đến bảo mật, quyền riêng
tư, tốc độ… và các gói giá rẻ. Nó đi kèm với các tính năng tuyệt vời cho bảo mật và
quyền riêng tư trên internet.

- Thông tin chung:

Tên dịch vụ NordVPN
Địa điểm công ty Panama
62
Website nordvpn.com
Sever có tại 60 Quốc gia
Số lượng server 5756 server
Thiết bị sử dụng đồng thời Tối đa 6 thiết bị
Mã hóa AES-256 bit
Giao thức sử dụng NordLynx, OpenVPN, IKEv2
Chính sách ghi nhật ký Thu thập tối thiểu dữ liệu
Giá Từ 4,59$/tháng
Bản dùng thử miễn phí Không có

Bảng 2. 2: Bảng thông tin về Nord VPN

- Mã hóa và bảo mật:

NordVPN sử dụng mã hóa AES-256 cấp quân sự, được sử dụng bởi các ngân
hàng và nhiều tổ chức chính phủ. Đây là một mật mã cực kỳ mạnh - trên thực tế, nó
mạnh đến mức một tin tặc muốn tấn công bằng mọi cách thì sẽ cần đến hàng tỷ năm
để phá vỡ nó.
Các giao thức được hỗ trợ: NordLynx (WireGuard), OpenVPN UDP,
OpenVPN TCP, IKEv2 / IPsec
NordLynx là phiên bản độc quyền của giao thức WireGuard thế hệ tiếp theo
mang đến tốc độ cao và bảo mật tốt hơn. NordVPN là một trong những công ty đầu
tiên cung cấp giao thức tunneling này trên các nền tảng chính. OpenVPN là một lựa
chọn đáng tin cậy và đã được kiểm tra thời gian, trong khi người dùng macOS và iOS
cũng có thể dùng thử IKEv2.
NordVPN cung cấp tính năng VPN Kill Switch là một tính năng bảo mật nâng
cao được thiết kế để bảo vệ dữ liệu kỹ thuật số của bạn khỏi bị lộ do vô tình. Nếu kết
nối VPN của bạn vô tình bị rớt, VPN Kill Switch sẽ chặn quyền truy cập Internet của
bạn cho đến khi kết nối VPN được khôi phục.
- Tốc độ kết nối:
NordVPN vận hành các máy chủ với tốc độ 10Gbps, điều này cho phép
NordVPN giảm thiểu mọi tắc nghẽn và cung cấp tốc độ nhanh nhất có thể.

63
 NordVPN cung cấp 3 giao thức khác nhau để kết nối VPN: NordLynx,
OpenVPN UDP và OpenVPN TCP. Tất cả những giao thức này đều có tính bảo mật
cao và có tốc độ nhanh. NordLynx là giao thức độc quyền của NordVPN, được thiết
kế để cải thiện tốc độ kết nối khi duy trì người dùng ẩn danh. OpenVPN là một trong
những giao thức VPN nổi tiếng, an toàn và đáng tin cậy nhất đang được sử dụng hiện
nay.
- Máy chủ:
NordVPN có hơn 5500 máy chủ tại 60 quốc gia, là một trong những nhà cung
cấp dịch vụ VPN lớn hiện nay.
Vị trí máy chủ, NordVPN có một đội máy chủ toàn cầu, bao gồm tất cả các lục
địa ngoại trừ Nam Cực.
+ Châu Mỹ với hơn 2400 máy chủ.
+ Châu Âu với hơn 2100 máy chủ.
+ Châu Phi, Trung Đông và Ấn Độ có hơn 100 servers.
+ Châu Á Thái Bình Dương có hơn 600 máy chủ.
Máy chủ đặc biệt, ngoài các máy chủ tiêu chuẩn, cũng có các máy chủ đặc biệt
được tối ưu hóa để giải quyết các nhu cầu cụ thể của người dùng. NordVPN cho phép
bạn lựa chọn:
+ Máy chủ IP chuyên dụng, dành cho người dùng đã mua địa chỉ IP chuyên
dụng.
+ Máy chủ VPN kép, dành cho những người hâm mộ multihop muốn gửi kết
nối của họ qua hai máy chủ.
+ Máy chủ bị xáo trộn, khi bạn ở quốc gia bị hạn chế truy cập internet.
+ Hành động trên máy chủ VPN, khi bạn muốn chạy Tor trên VPN.
+ Máy chủ P2P, được tối ưu hóa cho việc ghi torrent, không giới hạn băng
thông.
- Giao diện người dùng:
Giao diện người dùng của NordVPN thân thiện và trực quan. Bạn có thể dễ
dàng chọn máy chủ, kích hoạt kết nối an toàn và điều chỉnh cài đặt theo nhu cầu.
- Các tính năng:
+ VPN đôi (đa bước): Thay vì mã hóa và đào đường hầm dữ liệu một lần,
Double VPN làm như vậy hai lần, chuyển yêu cầu của bạn qua hai máy chủ và mã

64
hóa nó bằng các khóa khác nhau ở mỗi máy chủ. Bởi vì thông tin được truyền qua hai
máy chủ do bạn lựa chọn, việc truy tìm thông tin về nguồn là gần như không thể.
+ Kết nối đồng thời - Bảo vệ đa nền tảng: Một người dùng có thể liên kết tối
đa 6 tài khoản dưới một thuê bao NordVPN. Ngoài ra, chương trình VPN có thể truy
cập được trên nhiều nền tảng, bao gồm Mac và các thiết bị khác của Apple, Windows
và Android.
+ CyberSec (tính năng bảo mật của trình duyệt): NordVPN CyberSec là một
giải pháp công nghệ tiên tiến giúp tăng cường bảo mật và quyền riêng tư của bạn. Nó
bảo vệ bạn khỏi các rủi ro trực tuyến bằng cách chặn các trang web được biết là chứa
phần mềm độc hại hoặc âm mưu lừa đảo.
+ Kill Switch: Tự động tắt tất cả hoạt động trực tuyến trên thiết bị của bạn nếu
kết nối VPN bị rớt dù chỉ một giây, đảm bảo rằng không có thông tin cá nhân nào của
bạn bị lộ trực tuyến.
+ Máy chủ Obfuscated (máy chủ xáo trộn): NordVPN sử dụng máy chủ bị xáo
trộn để tránh bị cấm và lọc VPN. Kết nối VPN được ngụy trang dưới dạng lưu lượng
truy cập internet thông thường, sự xáo trộn máy chủ cho phép nó vượt qua bất kỳ
kiểm duyệt hoặc hạn chế nào cố gắng ngăn chặn nó.
+ Tàng hình trên mạng LAN: NordVPN có một thiết lập để làm người dùng ẩn
trên mạng LAN (Mạng cục bộ). Thao tác này sẽ thay đổi cài đặt mạng của người
dùng để những người dùng khác khi sử dụng mạng không thể phát hiện ra thiết bị của
bạn. Điều này đặc biệt hữu ích trong không gian công cộng.
+ Nordlocker: là một nền tảng lưu trữ đám mây được mã hóa cung cấp tính
năng bảo vệ khỏi mối đe dọa cho các tệp và tài liệu.
- Chính sách ghi nhật ký:
NordVPN đảm bảo chính sách không ghi nhật ký nghiêm ngặt đối với các dịch
vụ NordVPN, có nghĩa là các hoạt động của bạn sử dụng dịch vụ NordVPN được
cung cấp bởi quy trình kỹ thuật tự động, không bị giám sát, ghi lại, ghi nhật ký, lưu
trữ hoặc chuyển cho bất kỳ bên thứ ba nào.
- Hỗ trợ đa nền tảng:
NordVPN hỗ trợ nhiều loại thiết bị, có các ứng dụng dành cho Windows,
macOS, iOS, Android, Linux, Amazon Fire TV và Android TV, cùng với các tiện ích
mở rộng cho Chrome và Firefox.
- Đánh giá chung:

65
 Ưu điểm:
+ Sự riêng tư và an toàn hàng đầu
+ Bộ ngắt ngăn ngừa việc xâm phạm quyền riêng tư: Không rò rỉ DNS
+ Hai lớp bảo vệ với VPN kép
+ Kết nối 6 thiết bị trên nhiều loại platform
+ Tốc độ nhanh
+ Hơn 4.000 server tại 62 quốc gia
+ NordVPN có mức giá ưu đãi tuyệt vời!
+ Chấp nhận thanh toán bằng tiền mã hóa và tiền mặt
+ Hỗ trợ Netflix được cập nhật liên tục
Nhược điểm:
+ Chỉ hỗ trợ chạy torrent trên một số server
+ Tốc độ thảm hại tại Malaysia
+ Kết nối server và ứng dụng chậm
+ Cấu hình OpenVPN không thân thiện với người dùng
3. Surfshark VPN

Surfshark là một VPN nhanh, an toàn và đáng tin cậy. Nó cung cấp chính sách
kết nối không giới hạn thiết bị, cho phép kết nối nhiều thiết bị (PC, Mac, Android,
iOS, SmartTV, máy chơi game) tùy thích. Các tính năng bảo mật bao gồm giả mạo
GPS, tách đường hầm và đa bước, kết hợp với các chính sách bảo mật minh bạch và
máy chủ chỉ có RAM chống hack.

- Thông tin chung:

Tên dịch vụ SurfsharkVPN
Địa điểm công ty Quần đảo Virgin thuộc Anh
Website surfshark.com
66
Sever có tại 100 Quốc gia
Số lượng server 3200 server
Thiết bị sử dụng đồng thời Không giới hạn
Mã hóa AES-256 bit
Giao thức sử dụng WireGuard, OpenVPN, IKEv2
Chính sách ghi nhật ký Thu thập tối thiểu dữ liệu
Giá Từ 2,30$/tháng
Bản dùng thử miễn phí Miễn phí 7 ngày dành cho iOS, MacOS
và Android

Bảng 2. 3: Bảng thông tin của Surfshark

- Mã hóa và Bảo mật:

Surfshark sử dụng mã hóa AES-256 cấp quân sự, cùng với một số giao thức an
toàn WireGuard, OpenVPN, IKEv2. Bên cạnh đó, Surfshark cũng sử dụng một DNS
riêng trên tất cả các máy chủ của nó, cho phép người dùng kích hoạt thêm một lớp
bảo vệ khi duyệt web, ngăn chặn hiệu quả các bên thứ 3 không mong muốn.
Surfshark có trình ngăn chặn phần mềm độc hại (CleanWeb), phân tách đường
hầm (Whitelister), multi-hop và “giao thức ẩn” (Camouflage và NoBorders).
Surfshark VPN cũng cung cấp tính năng bảo vệ ID (HackLock), giả mạo GPS và tìm
kiếm ẩn danh (BlindSearch).
- Tốc độ kết nối:
Surfshark sẽ tự động kết nối bạn với máy chủ Surfshark hiện có nhanh nhất
ngay khi phát hiện thấy kết nối Wi-Fi hoặc ethernet. Đây là một tính năng tiết kiệm
thời gian giúp bạn không phải mở Surfshark và nhấp vào một loạt các nút để bắt đầu.
Tốc độ VPN phụ thuộc nhiều vào khoảng cách đến máy chủ. Surfshark duy trì
một mạng lưới máy chủ rộng khắp, tất cả đều có ít nhất một cổng 1 Gigabit và nhiều
cổng trong số đó có tốc độ lên tới 10 Gigabit/s, hầu như đảm bảo quyền truy cập vào
máy chủ.
Kết quả kiểm tra tốc độ của Surfshark bằng cách sử dụng speedtest.net:
+ Với “Máy chủ nhanh nhất” được chọn tự động thông qua giao thức IKEv2,
kết quả tốc độ tải xuống là 21.82 Mbps, tải lên là 6.92 Mbps.

67
 + Với giao thức WireGuard cho tốc độ tải xuống là 14.12 Mbps, tốc độ tải lên
là 18.25 Mbps.
- Máy chủ:
Surfshark có hơn 3.200 server tại hơn 100 quốc gia trên thế giới. So với các
VPN hàng đầu khác như CyberGhost (có 9.653 máy chủ ở 91 quốc gia) hoặc Private
Internet Access (có 29.650 máy chủ ở 84 quốc gia), thì đây không phải là mạng lớn
nhất. Tuy nhiên, độ phủ toàn cầu của Surfshark là lớn nhất, có ở nhiều quốc gia hơn
hầu hết các VPN khác.
Hầu hết máy chủ của Surfshark đều được đặt tại Mỹ, trải rộng trên 24 vị trí.
Điều này làm cho nó trở thành một lựa chọn tuyệt vời để bỏ chặn nội dung phát trực
tuyến tại Mỹ và vượt qua các chặn kết nối theo khu vực để xem các sự kiện thể thao.
Surfshark cũng có sự hiện diện máy chủ lớn ở Châu Âu (đặc biệt là Vương quốc Anh,
Pháp, Đức và Tây Ban Nha), Canada, Ấn Độ và Úc.
Ngoài ra còn có các vị trí máy chủ ảo ở Chile, Argentina và Costa Rica, nơi
việc vận hành các dịch vụ VPN đã trở nên khó khăn do bất ổn chính trị. Khi kết nối
với một trong những vị trí này, sẽ được kết nối với một máy chủ vật lý nằm bên ngoài
khu vực đó. Nó cung cấp nhiều tùy chọn kết nối hơn và có tốc độ nhanh hơn nếu sống
ở những quốc gia này.
Bên cạnh đó, Surfshark cũng có một số server cung cấp cho người dùng một
địa chỉ IP cố định. Dù số lượng có hạn, nhưng tính năng có thể hữu ích vì hầu hết nhà
cung cấp dịch vụ Internet chỉ cung cấp địa chỉ IP động cho người dùng thường xuyên
và sẽ tính thêm phí cho các địa chỉ IP cố định.
Máy chủ VPN MultiHop, đây là các tuyến cố định, thông qua đó Surfshark
chạy kết nối VPN qua các cặp server bảo mật, giúp tăng kết nối bảo mật cho người
dùng.
- Giao diện người dùng:
Surfshark có giao diện người dùng sạch sẽ và gọn gàng, với các phần khác
nhau của ứng dụng được trình bày thông qua các biểu tượng dễ hiểu và dễ sử dụng
- Các tính năng nổi bật:
+ Camouflage Mode (Chế độ Ngụy trang): đảm bảo rằng ngay cả nhà cung cấp
dịch vụ internet cũng không thể biết người dùng đang sử dụng VPN.
+ NoBorders Mode (Chế độ Không biên giới): Cho phép sử dụng VPN ở mọi
nơi, kể cả các nơi bị hạn chế.

68
 + Kill Switch (ngắt kết nối tự động): Nếu Surfshark ngắt kết nối đột ngột. Tính
năng ngắt kết nối sẽ tạm thời vô hiệu hóa kết nối internet của bạn và sau đó tự động
tái kích hoạt khi bạn kết nối lại nên không có lưu lượng nào của bạn bị rò rỉ trong khi
VPN kết nối lại.
+ Máy chủ MultiHop: Surfshark cho bạn tùy chọn để tăng gấp đôi kết nối VPN
bằng cách gửi lưu lượng truy cập của bạn qua 2 máy chủ thay vì 1 (còn được gọi là
Double VPN).
+ 2FA (Xác thực 2 yếu tố): Tính năng này bổ sung thêm một lớp bảo mật cho
chính tài khoản Surfshark của bạn.
+ CleanWeb (Web sạch): Đây là trình chặn quảng cáo và phần mềm độc hại
được tích hợp sẵn của Surfshark.
+ GPS Spoofing (Giả mạo GPS) trên Android: Một số website và ứng dụng sử
dụng GPS của bạn để định vị bạn thay vì địa chỉ IP của bạn. Với tính năng GPS
Spoofing nó khiến người dùng trông có vẻ như thực tế đang ở cùng một nơi với máy
chủ VPN mà bạn kết nối đến. Cả IP lẫn GPS của bạn đều được che giấu, nên không
có ứng dụng lén lút nào có thể theo dõi nơi ở của bạn cho việc tiếp thị hoặc các mục
đích khác.
- Chính sách ghi nhật ký:
Surfshark có chính sách không ghi nhật ký, có nghĩa là nó sẽ không thu thập
bất kỳ dữ liệu người dùng nào mà qua đó có thể nhận dạng được, ví dụ: lịch sử duyệt
web hoặc địa chỉ IP. Điều đó là nhờ vào Máy chủ của Surfshark chỉ có RAM, có
nghĩa là mạng máy chủ VPN của nó hoàn toàn không có ổ đĩa.
- Hỗ trợ đa nền tảng:
Surfshark đã đưa dịch vụ của họ lên một số nền tảng để bạn có thể sử dụng
VPN trên hầu hết mọi thiết bị đang có trên thị trường. Ứng dụng cơ bản của họ có
mặt trên các nền tảng thịnh hành như Windows và iOS, Android.
Ngoài ra, bạn có thể cài đặt VPN trên thiết bị chơi game hoặc các thiết bị
thông minh như TV thông minh.
- Đánh giá chung:
Ưu điểm:
+ Kết nối an toàn & bảo mật
+ Có sẵn kết nối đa bước (multi-hop)
+ Có sẵn trên nhiều nền tảng

69
 + Tốc độ tốt
+ Server phân bố hợp lý trên toàn cầu
+ Truyền tốt nội dung bị chặn theo địa lý
+ Giá phải chăng
+ Trải nghiệm dễ chịu cho người dùng
+ Bổ sung nhiều tính năng thuận tiện
Nhược điểm:
+ Không thể sử dụng bản dùng thử miễn phí nếu không chia sẻ thông tin thanh
toán.
+ Trình chặn quảng cáo của VPN chậm.
+ Một số tính năng của ứng dụng Surfshark VPN chỉ khả dụng trên các thiết bị
Android.
2. Tiêu chí đánh giá VPN:
2.1. Thiếu cam kết rõ ràng với người dùng:
- Bị theo dõi và bán dữ liệu cá nhân.
- Thiếu quy định rõ ràng, thiếu cam kết (đặc biệt là các phần mềm miễn phí,
nhà sản xuất không có trách nhiệm gì với bạn).
- Địa chỉ IP cá nhân có thể trở thành một điểm cuối của mạng.
- Quảng cáo nhận truy cập.
- Rò rỉ địa chỉ IP.
Vì sử dụng VPN để đáp ứng nhu cầu cao hơn việc sử dụng Internet thông
thường, đó là được an toàn thông tin trên không gian mạng và ẩn danh, do vậy đừng
để thông tin, dư liệu cá nhân vào vùng nguy hiểm.
2.2. Có nhiều VPN server ở các quốc gia:
- Truy cập đa vùng địa lý: Điều này giúp bạn có thể trở thành cơ dân tạm thời
trên không gian mạng của quốc gia đó. Ban sẽ không bị chặn các dịch vụ mà hạn chế
theo vùng.
VPN có nhiều máy chủ ở nhiều quốc gia khác nhau giúp bạn truy cập nội dung
trực tuyến từ các vùng địa lý khác nhau. Điều này hữu ích khi bạn muốn xem nội
dung có giới hạn địa lý hoặc khi bạn muốn truy cập dịch vụ không có ở quốc gia cá
nhân.

70
 - Tối ưu hóa tốc độ: Một số lượng lớn máy chủ có thể giúp bạn tìm được máy
chủ với tốc độ tốt nhất tại thời điểm đó. Điều này có thể cải thiện trải nghiệm truy cập
internet và streaming video.
- Phân phối tải: Nếu một máy chủ bị quá tải, VPN có nhiều máy chủ khác sẽ
giúp phân phối lưu lượng truy cập, tránh tình trạng quá tải và giảm thiểu gián đoạn.
- An ninh: Có nhiều máy chủ giúp phân tán nguy cơ tấn công mục tiêu đối với
một máy chủ cụ thể. Điều này làm cho tấn công DDoS và các mối đe dọa khác khó
khăn hơn.
- Phòng tránh ngăn chặn: Nếu một máy chủ VPN bị chặn hoặc kiểm duyệt, bạn
vẫn có thể truy cập thông qua các máy chủ khác.
- Phục hồi dự phòng: Nếu một máy chủ gặp sự cố hoặc cần bảo trì, bạn vẫn có
thể kết nối thông qua máy chủ khác mà không bị gián đoạn.
Tóm lại, một số lượng lớn máy chủ trong mạng VPN giúp tăng cường tính linh
hoạt, an toàn và tốc độ khi sử dụng dịch vụ VPN.

Hình 40: So sánh giữa các ứng dụng VPN

2.3. Hỗ trợ nhiều thiết bị đồng thời và nhiều nền tảng khác nhau:
Ngày nay thường một người trưởng thành sẽ sở hữu vài thiết bị như: laptop,
máy tính cá nhân hay điện thoại thông minh và thuộc nhiều hệ điều hành khác nhau.
Do vậy dịch vụ VPN phải hỗ trợ vài thiết bị đồng thời, thường là từ 4 thiết bị và nhiều
hệ điều hành khác nhau, như IOS, Windows, Linux…
2.4. Giải thuật mã hóa 256 bit trở lên:

71
 Để bảo vệ dữ liệu trao đổi giữa thiết bị cá nhân và VPN server, dữ liệu sẽ được
mã hóa. Số bit sẽ cho biết độ dài của khóa dùng để mã hóa dữ liệu.
Ví dụ: mã hóa 2 bit ta sẽ có 2^2 khả năng (00, 01, 10, 11).
Mã hóa 256 bit, có nghĩa là sẽ có tới 2^256 khả năng tạo nên khóa, vì vậy khả
năng crack với số lượng mẫu dữ liệu khủng khiếp này thì các siêu máy tính cũng gặp
gặp khó khăn.
2.5. Không ghi log thông tin:
VPN server có đủ thông tin của ta gồm: địa chỉ IP, cấu hình, website đã truy
cập… Để ẩn danh thực sự, nơi cung cấp dịch vụ VPN phải cam kết không được lưu
lại các thông tin vào log.
2.6. Không hạn chế tốc độ và băng thông:
Mọi dữ liêu đều được đi qua VPN server. Nếu bị hạn chế băng thông, việc truy
cập Internet bị thất bại nếu đạt ngưỡng hoặc nếu bị hạn chế tốc độ ta cũng không thể
có trải nghiệm như mong muốn.
2.7. Giao diện thân thiện dễ sử dung:
Cấu trúc của hệ thống VPN vốn rất phức tạp. Tuy nhiên, để người dùng cuối ai
cũng có thể sử dụng thì các thiết lập, giao diện phải tối giản và hợp lý nhất có thể.
2.8. Phí dịch vụ:
Đánh giá mức giá và gói dịch vụ của VPN, bao gồm cả các tính năng bổ sung
như đường truyền tốc độ cao, bảo mật tăng cường và hỗ trợ khách hàng.
2.9. Khả năng vượt tường lửa và truy cập censored:
Xem xét khả năng của VPN vượt qua các rào cản trên internet, giúp bạn truy cập
nội dung bị kiểm duyệt hoặc bị chặn.
2.10. Tích hợp tính năng bảo mật khác:
Một số VPN có tích hợp thêm các tính năng bảo mật như chống malware, chặn
quảng cáo, hay chống theo dõi.
2.11. Độ sẵn sàng và khả năng sử dụng:
Đánh giá mức độ dễ dàng sử dụng và cài đặt của VPN.

72
CHƯƠNG 3: HƯỚNG DẪN TRIỂN KHAI MẠNG RIÊNG ẢO VPN CLIENT - TO -
SITE

1. Mô tả thực nghiệm:
Nhóm sẽ triển khai mạng VPN theo mô hình Client to Site (hay còn gọi là Remote
Acces) phục vụ cho người dùng truy cập từ xa tới mạng nội bộ trên nền tảng Windows
server 2012 R2. Trong mô hình này sử dụng giao thức xác thực và mã hóa PPTP.
Sử dụng 01 máy Window Server 2012 R2 làm máy chủ VPN Server, 01 máy Window
Server 2012 R2 làm máy chủ dữ liệu Data, 01 máy Windows 7 làm máy Client kết nối với
máy Data thông qua VPN Server. Sau đó sử dụng Wireshark cài đặt trên máy chủ VPN
Server để chặn bắt dữ liệu trên đường truyền và kiểm tra dữ liệu đã được mã hóa hay chưa.
2. Công cụ sử dụng
Máy ảo Vmware gồm: 02 máy ảo chạy hệ điều hành Window Server 2012 R2, 01
máy ảo chạy hệ điều hành Windows 7.
3. Mô hình triển khai

Hình 41: Máy ảo VPN Server phải có 02 card mạng, mỗi card mạng kết nối với Data và
Windows 7
4. Mô tả các bước cần thực hiện
- Thực hiện trên máy Data:
+ Chọn Vmnet cấu hình địa chỉ IP cho máy Data
+ Tạo thư mục chia sẻ dữ liệu: Datashare
- Thực hiện trên máy VPN Server
+ Thêm card mạng mới chọn Vmnet

73
 + Thay đổi SID và tên máy chủ hiện tại
+ Cấu hình địa chỉ IP
+ Cài đặt dịch vụ Remote Access
+ Cấu hình dịch vụ Routing and Remote Access
+ Tạo người dùng VPN
- Thực hiện trên máy Windows 7:
+ Tạo kết nối VPN
+ Kiểm tra kết nối VPN
5. Hướng dẫn các bước thực hiện
5.1. Thực hiện trên máy chủ Data
Cấu hình địa chỉ IP như sau:

Hình 42: Đặt địa chỉ IP cho máy thử nghiệm

Tạo thư mục và chia sẻ thư mục:

74
 Hình 43: Tạo thư mục và chia sẻ thư mục
5.2. Thực hiện trên máy chủ VPN Server
Bước 1: Thêm card mạng và chọn Vmnet
Trong giao diện trang quản trị Virtual Machine Setting, chọn Add. Cửa sổ mới xuất
hiện chọn Network Adapter.

Hình 44: Kết thúc cài đặt

Chọn Finish để kết thúc.
Chọn Vmnet 2 cho Network Adapter và Vmnet 3 cho Network Adapter 2:

75
 Kết quả khi chọn Vmnet cho 2 giao diện mạng như sau:

Hình 45: Thông số Vmnet 2

Bước 2: Thay đổi SID và tên máy chủ hiện tại
Khi sử dụng cùng một máy ảo để giải nén thành nhiều máy ảo khác thì giá trị SID và
tên máy ảo bị trùng nhau. Vì vậy cần phải thay đổi giá trị này để các máy chủ có thể xác
thực được với nhau trong quá trình kết nối, đặc biệt trong VPN.
Truy cập vào thư mục với đường dẫn sau:

Chuột phải vào tệp sysprep chon Run as adminnistrator.

Hình 46: Giao diện System Preparation Tool

76
 Tích vào ô Generalize. Và chọn OK.
Hệ thống sẽ tự động thay đổi tên máy chủ theo mặc định và giá trị SID.
Khi máy chủ khởi động lại sẽ có một số xác nhận và thực hiện theo mặc định.
Đăng nhập vào máy và chạy ứng dụng Server Manager. Truy cập vào chức năng quản
lý Local Server, giao diện bên phải thấy Computer Name, kích vào tên máy chọn Change và
thực hiện thay đổi lại tên theo chức năng của máy.

Hình 47: Kết thúc

Chọn OK để kết thúc, khởi động lại máy.
Bước 3: Cấu hình địa chỉ IP cho 2 card mạng:

Với card mạng Lan thuộc Vmnet 2 nằm trong dải mạng LAN, card mạng Internet
thuộc Vmnet 3 là IP Public kết nối Internet.
Cấu hình địa chỉ IP cho card mạng Lan như sau:

Hình 48: Cấu hình địa chỉ cho card mạng thứ nhất

77
Cấu hình địa chỉ IP cho card mạng Internet như sau:

Hình 49: Cấu hình cho card mạng thứ hai

Kết thúc, Ping tới các máy Data và Win 7 để kiểm tra kết nối:

Hình 48: Kiểm tra kết nối

Bước 4: Cài đặt dịch vụ Remote Access
Mở Server Manager chon (1) Dashboard chọn (2) Add roles and features.
Giao diện cài đặt dịch vụ xuất hiện, nhấn Next đến giao diện lựa chọn dịch vụ:

78
 Hình 49: Giao diện cài đặt dịch vụ
Tích vào dịch vụ Remote Access để cài đặt. Nhấn Next, các giao diện tiếp theo để
mặc định và chọn Next để tiếp tục cài đặt.

Hình 50: Tùy chọn services

Lựa chọn 2 dịch vụ sử dụng là DirecAccess and VPN (RAS) và Routing.
Các giao diện tiếp theo để mặc định và chọn Install để cài đặt.
Bước 5: Cấu hình dịch vụ Routing and Remote Access
Sau khi cài đặt xong dịch vụ Remote Access, trong giao diện Server Manager, các
chức năng trên góc phải chọn Tools ---> Routing and Remote Access.
Giao diện cấu hình xuất hiện.

79
 Kích chuột phải vào máy chủ VPNSERVER và chọn Configue and Enable Routing
and Remote Access. Nhấn Next để tiếp tục.
Giao diện cấu hình.

Hình 51: Tùy chọn Routing and remote access server setup wizard
Chọn Custom configuration. Nhấn Next để tiếp tục.

Tích chọn 2 chức năng VPN access và LAN routing. Nhấn Next ---> Finish ---> Start
service để tiếp tục.
Tiếp theo tiến hành cấu hình địa chỉ IP sử dụng cho đường hầm. Kích chuột phải vào
VPNSERVER chọn Properties ---> Ipv4 ---> Static address pool ---> Add.

Tại đây tiến hành nhập dải địa chỉ IP sử dụng cho đường hầm.

80
 Nhấn OK để kết thúc.
Bước 6: Tạo người dùng VPN
Tiếp theo cần phải tạo tài khoản người dùng VPN, tài khoản này sử dụng để xác thực
người dùng truy cập từ xa.
Từ Server Manager ---> Tools ---> Computer Management ---> Local User and
Group ---> Users. Chuột phải chọn New User.
Đặt tên tài khoản và mật khẩu.
Chọn Create để tạo người dùng. Sau khi tài khoản được tạo xong, chuột phải và tên
tài khoản chọn Properties. Trong tab Dial-in chọn Allow access.

Nhấn Apply và OK để kết thúc.

81
5.3. Thực hiện trên máy Windows 7
Bước 1: Cấu hình địa chỉ IP

Bước 2: Tạo kết nối VPN

Mở cửa số trang quản trị Network.
Kích chọn Set up a new connection or network.
Cửa sổ tiếp theo chọn Connect to a network. Chọn Next.
Giao diện tiếp theo chọn Use my Internet Connection (VPN).
Giao diện tiếp theo chọn I’ll set up an Internet connection later.
Giao diện tiếp theo nhập địa chỉ IP card mạng Internet của máy chủ VPN.

82
 Nhấn Next để tiếp tục.
Giao diện tiếp theo nhập tên tài khoản và mật khẩu đã tạo trên máy chủ VPN server.
Chọn Create để tạo.
Tiếp theo thực hiện kết nối vào mạng bên trong sử dụng mạng VPN.
Truy cập vào giao diện trang quản trị Network.

Chúng ta sẽ thấy biểu tượng kết nối mạng VPN Connection.

Kích đúp vào biểu tượng kết nối VPN Connection. Giao diện đăng nhập xuất hiện,
nhập mật khẩu cho tài khoản VPN sau đó nhấn Connect.
Bước 3: Kiểm tra kết nối
- Ping tới máy chủ Data.
Kết quả thành công.

83
 - Kiểm tra địa chỉ IP:

Máy đã được cấp phát địa chỉ IP PPP adapter VPN Connection là: 10.1.1.11.
Lúc này máy Client Windows 7 có thể truy cập tới tài nguyên trên máy chủ nội bộ
Data.
- Truy cập tới tài nguyên chia sẻ:
Vào Run gõ \\172.16.1.2

Kết quả thành công.

- Kiểm tra kết quả chặn bắt dữ liệu trên đường truyền để kiểm tra dữ liệu đã được mã
hóa hay chưa:
Cài đặt công cụ WireShark trên máy chủ VPN Server, và lắng nghe trên giao diện
mạng Internet.

84
 Gói tin trên đường truyền đã được đóng gói và mã hóa với GRE và PPP, VPN đang
sử dụng giao thức PPTP để tạo đường hầm.
Như vậy, Nhóm đã hoàn thành việc hướng dẫn triển khai mạng VPN Client to Site sử
dụng giao thức xác thực và mã hóa PPTP phục vụ cho người dùng truy cập từ xa tới mạng
nội bộ trên nền tảng Windows server 2012 R2.

85
 KẾT LUẬN

Công nghệ mạng riêng ảo VPN (Virtual Private Network) là một công nghệ đang được
ứng dụng rộng rãi và ngày một phát triển, việc nghiên cứu và triển khai các loại mạng VPN
đòi hỏi nhiều thời gian và công sức. Do thời gian và kiến thức còn có hạn, kinh nghiệm thực
tế chưa có nhiều nên bản báo cáo còn nhiều sai sót. Chúng em rất mong được sự đóng góp
của các thầy cô, để bản báo cáo được hoàn thiện hơn.
Trong quá trình làm chuyên đề, chúng em đã vận dụng những kiến thức cũng như
những kinh nghiệm đã học và tìm hiểu thêm được nhiều kiến thức mới. Chúng em mong
rằng bài báo cáo này sẽ đóng góp được một phần nhỏ cho công việc giảng dạy của các thầy
cô trong Khoa Công Nghệ Thông Tin.
Một lần nữa, xin cho chúng em gửi lời cảm ơn chân thành, đến toàn thể quý thầy cô
Khoa Công Nghệ Thông Tin Trường Đại học kỹ thuật - Hậu cần CAND, thầy Nguyễn Mạnh
Thắng đã hỗ trợ giúp đỡ chúng em hoàn thành báo cáo chuyên đề này.

86
 TÀI LIỆU THAM KHẢO
[1]
Các phần mềm sử dụng
[1] Adobe Photoshop CC 2018

87