voductuanqb.tk-Mạng riêng ảo VPN

Mạng riêng ảo VPN (Phần 1)
Giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ chức
có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên
toàn quốc hay toàn cầu).
Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được
được chi phí và thời gian.
Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng
chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như
'Văn phòng' tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ
bên ngoài.
Khái niệm
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường
là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng
LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây
thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng
riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.
Các loại VPN
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN
điểm-nối-điểm (site-to-site)
VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là một kết
nối người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân
viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa. Ví dụ như
công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ
doanh nghiệp (ESP). ESP này tạo ra một máy chủ truy cập mạng (NAS) và
cung cấp cho những người sử dụng từ xa một phần mềm máy khách cho máy
tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với
NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công
ty. Loại VPN này cho phép các kết nối an toàn, có mật mã.
Hình minh họa cho thấy kết nối giữa Văn phòng chính và "Văn phòng" tại gia
hoặc nhân viên di động là loại VPN truy cập từ xa).
VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối
nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại
này có thể dựa trên Intranet hoặc Extranet. Loại dựa trên Intranet: Nếu một
công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ
có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN. Loại dựa
trên Extranet: Khi một công ty có mối quan hệ mật thiết với một công ty khác
(ví dụ như đối tác cung cấp, khách hàng...), họ có thể xây dựng một VPN
extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có
thể làm việc trên một môi trường chung.
Trong hình minh họa trên, kết nối giữa Văn phòng chính và Văn phòng từ xa là
loại VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh là
VPN Extranet.
Bảo mật trong VPN
Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet. Bạn có
thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao
thức được chuyển qua. Một số sản phẩm dùng cho VPN như router 1700 của
Cisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ
điều hành Internet Cisco IOS thích hợp. Tốt nhất là hãy cài tường lửa thật tốt
trước khi thiết lập VPN.
Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính
khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật
mã chung.
Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí
mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng
yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài
mã lên đó, để máy tính của người nhận có thể giải mã được.
Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công

cộng. Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy
của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để
giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung
cấp, đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này được
dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như
bất cứ thứ gì.
Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh
cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng
nhập toàn diện hơn.
IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề

(header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước.
Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này.
Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa
trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã
hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, firewall với
router, PC với router, PC với máy chủ.
Máy chủ AAA
AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập),
Authorization (cho phép) và Accounting (kiểm soát). Các server này được
dùng để đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một kết nối được
gửi tới từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra. Các thông tin
về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục
đích an toàn.
Sản phẩm công nghệ dành cho VPN
Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn sẽ cần phải cài đặt
những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo. Đó có thể là:
- Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa.
- Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX.
- Server VPN cao cấp dành cho dịch vụ Dial-up.
- NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người sử
dụng từ xa.
- Mạng VPN và trung tâm quản lý.
Bộ xử lý trung tâm VPN
Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm của
Cisco tỏ ra vượt trội ở một số tính năng. Tích hợp các kỹ thuật mã hóa và thẩm
định quyền truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kế
chuyên biệt cho loại mạng này. Chúng chứa các module xử lý mã hóa SEP, cho
phép người sử dụng dễ dàng tăng dung lượng và số lượng gói tin truyền tải.
Dòng sản phẩm có các model thích hợp cho các mô hình doanh nghiệp từ nhỏ
đến lớn (từ100 cho đến 10.000 điểm kết nối từ xa truy cập cùng lúc).
Bộ xử lý trung tâm VPN số hiệu 3000 của hãng Cisco. ( Ảnh:

quadrantcommunications)
Router dùng cho VPN
Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật. Dựa trên hệ điều hành
Internet IOS của mình, hãng Cisco phát triển loại router thích hợp cho mọi
trường hợp, từ truy cập nhà-tới-văn phòng cho đến nhu cầu của các doanh
nghiệp quy mô lớn.
Tường lửa PIX của Cisco
Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ
chế dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng
VPN và chặn truy cập bất hợp pháp.
Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay
sở được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào IP.
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một
mạng riêng trên nền Internet.
Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu
đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo
những "đường ống" riêng (tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến
các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy
khách và máy chủ phải sử dụng chung một giao thức (tunnel protocol).
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết.
Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói
tin đi vào và đi ra trong mạng.
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có
thông tin đang đi qua.
- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE,
IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được
truyền đi (như IPX, NetBeui, IP).
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên
Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet.
Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên
trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng
riêng trên Internet.
Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing
Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger
Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm
thông tin về loại gói tin mà bạn đnag mã hóa và thông tin về kết nối giữa máy
chủ với máy khách. Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi
khi lại đóng vai trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại
mạng VPN truy cập từ xa và điểm- nối-điểm. Tất nhiên, nó phải được hỗ trợ ở
cả hai giao diện Tunnel.
Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính
qua máy chủ truy cập, tới router (tại đây giao thức mã hóa GRE diễn ra), qua
Tunnel để tới máy tính của văn phòng từ xa.
Kỹ thuật Tunneling trong mạng VPN truy cập từ xa
Với loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP
(Point-to-Point Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền tải
cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập
từ xa. Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc
vào PPP.
Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và
dùng trong mạng VPN truy cập từ xa.
L2F (Layer 2 Forwarding) được Cisco phát triển. L2 F dùng bất kỳ cơ chế thẩm
định quyền truy cập nào được PPP hỗ trợ.
PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP Forum phát
triển. Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế thẩm
định quyền truy cập nào được PPP hỗ trợ.
L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa các thành
viên PPTP Forum, Cisco và IETF. Kết hợp các tính năng của cả PPTP và L2F,
L2TP cũng hỗ trợ đầy đủ IPSec. L2TP có thể được sử dụng làm giao thức
Tunneling cho mạng VPN điểm-nối-điểm và VPN truy cập từ xa. Trên thực tế,
L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS và router, router
và router. So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn.

Phần này sẽ giới thiệu cách cài đặt mạng VPN loại truy cập từ xa theo giao
thức Tunneling điểm-nối-điểm (PPTP). Mô hình thực nghiệm này dùng hệ
điều hành Windows XP cho máy truy cập từ xa và Windows Server 2003
cho các máy chủ.
VPN ở đây được đơn giản hóa với 5 máy tính cần thiết đóng các vai trò khác
nhau trong một mạng riêng ảo. Máy tính chạy Windows Server 2003, phiên
bản Enterprise Edition, đặt tên là DC1, hoạt động như một trung tâm điều khiển
domain (domain controller), một máy chủ DNS (Domain Name System), một
máy chủ DHCP (Dynamic Host Configuration Protocol) và một trung tâm
chứng thực CA (certification authority).
Mô hình VPN truy cập từ xa đơn giản hóa với 5 máy tính
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên VPN1,
hoạt động như một máy chủ VPN. VPN1 được lắp đặt 2 adapter mạng.
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IAS1,
hoạt động như một máy chủ quản lý người sử dụng truy cập từ xa RADIUS
(Remote Authentication Dial-in User Service).
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IIS1,
hoạt động như một máy chủ về web và file.
- Một máy tính chạy Windows XP Professional, mang tên CLIENT1, hoạt động
như một máy khách truy cập từ xa.
Ở đây có các phân đoạn mạng Intranet dành cho mạng LAN của công ty và
phân đoạn mạng Internet. Tất cả các máy tính ở Intranet được kết nối với một
HUB (máy chủ truy cập) hoặc switch Layer 2. Tất cả các máy tính trên mạng
Internet được kết nối với một HUB hoặc switch Layer 2. Ta sử dụng các địa chỉ
172.16.0.0/24 cho Intranet; địa chỉ 10.0.0.0/24 cho Internet. IIS1 chứa cấu hình
địa chỉ IP, sử dụng giao thức DHCP. CLIENT1 cũng dùng giao thức DHCP
cho cấu hình địa chỉ IP nhưng cũng được xác định bằng một cấu hình IP khác
để có thể đặt trên mạng Intranet hoặc Internet.
Dưới đây là cách cài đặt cho riêng từng máy.
Kỳ 1: Cách lắp đặt cho DC1
Để định cấu hình DC1 cho các dịch vụ mà nó kiêm nhiệm, bạn làm theo các
bước sau đây:
1. Cài đặt Windows Server 2003, bản Enterprise Edition, để làm một server
riêng.
2. Xác định giao thức TCP/IP với địa chỉ IP là 172.16.0.1 và địa chỉ cho mạng
cấp dưới là 255.255.255.0.
3. Chạy Active Directory Installation Wizard (tập tin dcpromo.exe) cho một
domain mới example.com. Cài đặt dịch vụ DNS khi được yêu cầu.
4. Sử dụng trình quản lý Active Directory Users and Computers, nhấn chuột
phải vào domain example.com rồi nhấn vào Raise Domain Functional Level.
5. Kích chuột vào dòng Windows Server 2003 và chọn Raise.
6. Cài đặt giao thức DHCP để làm một thành phần của Networking Services
bằng cách dùng Control Panel => Add or Remove Programs.
7. Mở trình quản lý DHCP từ thư mục Administrative Tools.
8. Nhấn vào mục Action => Authorize để cho phép sử dụng dịch vụ DHCP.
9. Trong cây thư mục, nhấn chuột phải vào dc1.example.com rồi nhấn New
Scope.
10. Trên trang Welcome của New Scope Wizard, nhấn Next.
11. Ở trang Scope Name, nhập một cái tên như Mang Cong ty.
12. Nhấn vào Next. Trên trang địa chỉ IP, nhập 172.16.0.10 ở ô Start IP
address, 172.16.0.100 ở ô End IP address và 24 ở mục Length.
Khai báo địa chỉ IP.
13. Nhấn Next. Trên trang Add Exclusions, nhấn Next.

14. Trên trang Lease Duration, nhấn Next.
15. Trên trang Configure DHCP Options, nhấn Yes, I want to configure DHCP
options now.
16. Nhấn Next. Trên trang Router (Default Gateway), nhấn Next.
17. Trên trang Domain Name and DNS Servers, nhập vào dòng example.com
trong mục Parent domain. Nhập 172.16.0.1 trong ô địa chỉ IP rồi nhấn Add.
18. Nhấn Next. Trên trang WINS Servers, nhấn Next.
19. Trên trang Activate Scope, nhấn Yes, I want to activate the scope now.
20. Nhấn Next. Trên trang Completing the New Scope Wizard, nhấn Finish.
21. Cài đặt Certificate Services làm một CA gốc với tên Example CA bằng
cách dùng Control Panel => Add or Remove Programs.
22. Mở Active Directory Users and Computers.
23. Trong cây thư mục, chọn example.com.
24. Nhấn chuột phải vào Users, chọn Computer.
25. Trong hộp thoại New Object Computer, nhập IAS1 trong mục Computer
name.
26. Nhấn Next. Trong hộp thoại Managed, nhấn Next. Trong hộp thoại New
Object Computer, nhấn Finish.
27. Dùng các bước từ 24 đến 26 để tạo thêm tài khoản máy tính với các tên
IIS1, VPN1 và CLIENT1.
28. Trong cây thư mục, nhấn chuột phải vào Users, chọn User.
29. Trong hộp thoại New Object User, nhập VPNUser trong mục First name và
VPNUser trong User logon name.
30. Nhấn Next.
31. Trong hộp thoại New Object User, nhập một password tùy chọn vào mục
Password and Confirm password. Bỏ dấu ở ô User must change password at
next logon và đánh dấu ở ô Password never expires.
32. Trong hộp thoại New Object User, chọn Finish.
33. Trong cây thư mục, nhấn chuột phải vào Users, chọn Group.
34. Trong hộp thoại New Object Group, nhập vào dòng VPNUsers ở mục
Group name rồi nhấn OK.
35. Kích đúp vào VPNUsers.
36. Nhấn vào thẻ Members và nhấn Add.
37. Trong hộp thoại Select Users, Contacts, Users hoặc Groups, nhập vpnuser
trong mục Enter the object names to select.
38. Nhấn OK. Trong hộp thoại Multiple Names Found, nhấn OK. Account của
người sử dụng VPNUser được đưa vào sanh sách nhóm VPNUsers.
39. Nhấn OK để lưu các thay đổi đối với nhóm VPNUsers.
Phần này giới thiệu cách cài đặt mạng VPN loại truy cập từ xa theo giao
thức Tunneling điểm-nối-điểm (PPTP). Mô hình thực nghiệm này dùng hệ
điều hành Windows XP cho máy khách truy cập từ xa và Windows Server
2003 cho các máy chủ.
Kỳ 2: Cách cài đặt cho máy IAS1, IIS1, VPN1 và CLIENT1
IAS1
IAS1 là máy tính chạy Windows Server 2003, bản Standard Edition, cung cấp
cơ chế thẩm định quyền truy cập RADIUS, cho phép truy cập và theo dõi quá
trình truy cập. Để định cấu hình IAS1 làm máy chủ RADIUS, bạn làm theo
những bước sau:
1. Cài đặt Windows Server 2003, Standard Edition cho máy với tư cách là
server thành viên mang tên IAS1 trong domain example.com.
2. Đối với kết nối cụ bộ Intranet, định cấu hình giao thức TCP/IP với địa chỉ IP
là 172.16.0.2, mạng cấp dưới (subnet mask) là 255.255.255.0 và địa chỉ IP của
máy chủ DNS là 172.16.0.1.
3. Cài đặt dịch vụ Internet Authentication Service trong Networking Services ở

mục Control Panel-Add or Remove Programs.
4. Mở trình Internet Authentication Service từ thư mục Administrative Tools.
5. Nhấn chuột phải vào thẻ Internet Authentication Service rồi chọn Register
Server in Active Directory. Khi hộp thoại Register Internet Authentication
Service in Active Directory xuất hiện, nhấn OK.
6. Trong cây chương trình, nhấn chuột phải vào Clients rồi chọn New RADIUS
Client.
7. Trên trang Name and Address của mục New RADIUS Client, ở ô Friendly
name, gõ VPN1 và lại nhập tiếp VPN1 lần nữa vào ô Confirm shared secret.
8. Nhấn Next. Trên trang Additional Information của mục New RADIUS
Client, ở ô Shared secret, gõ một mã bí mật chia sẻ cho VPN1 và gõ tiếp lần
nữa ở ô Confirm shared secret.
9. Nhấn Finish.
10. Ở cây chương trình, nhấn chuột phải vào Remote Access Policies và chọn
New Remote Access Policy.
11. Trên trang Welcome to the New Remote Access Policy Wizard, nhấn Next.
12. Trên trang Policy Configuration Method, nhập VPN remote access to
intranet vào ô Policy name.
13. Nhấn Next. Trên trang Access Method, chọn VPN.
14. Nhấn Next. Trên trang User or Group Access, chọn Group.
15. Nhấn nút Add. Trong hộp thoại Select Groups, gõ VPNUsers trong ô Enter
the object names to select.
16. Nhấn OK. Nhóm VPNUsers trong domain example.com được thêm vào
danh sách nhóm trên trang Users or Groups.
17. Nhấn Next. Trên trang Authentication Methods, giao thức thẩm định quyền
truy cập MS-CHAP v2 được chọn mặc định.
18. Nhấn Next. Trên trang Policy Encryption Level, bỏ đánh dấu trong các ô
Basic encryption và Strong encryption.
19. Nhấn Next. Trên trang Completing the New Remote Access Policy, nhấn
Finish.
IIS1
IIS1 chạy Windows Server 2003, Standard Edition và dịch vụ Internet

Information Services (IIS). Để định cấu hình cho IIS1 làm máy chủ về tập tin
và web, bạn thực hiện các bước sau:
server thành viên mang tên IIS1 trong domain example.com.
2. Cài đặt IIS làm tiểu mục thuộc Application Server của Windows
Components Wizard trong Control Panel-Add or Remove Programs.
3. Trên IIS1, dùng Windows Explorer để tạo một cơ chế chia sẻ mới cho thư
mục gốc của ổ C:, dùng tên ROOT với các cho phép mặc định.
4. Để xác định máy chủ web có hoạt động chính xác không, hãy chạy trình
duyệt Internet Explorer trên IAS1. Nếu Internet Connection Wizard nhắc bạn
thì hãy định cấu hình kết nối Internet cho một kết nối LAN. Trong Internet
Explorer, mục Address, gõ http://IIS1.example.com/winxp.gif. Bạn sẽ nhìn
thấy biểu tượng Windows XP.
5. Để xác định tập tin có hoạt động chính xác không, trên IAS, nhấn Start >
Run, gõ IIS1ROOT rồi nhấn OK. Nếu đúng, bạn sẽ thấy nội dung của thư mục
gốc của ổ C: trên IIS1.
VPN1
VPN1 là máy tính chạy Windows Server 2003, Standard Edition cung cấp các
dịch vụ máy chủ VPN cho các máy khách VPN. Để định cấu hình cho VPN1
làm máy chủ VPN, bạn thực hiện các bước sau:
server thành viên mang tên VPN1 trong domain example.com.
2. Mở thư mục Network Connections.
3. Đối với kết nối nội bộ Intranet, đặt lại tên kết nối thành "Mang Cong ty".
Đối với kết nối nội bộ Internet, đặt lại tên kết nối thành "Internet".
4. Định cấu hình giao thức TCP/IP cho kết nối Mang Cong ty với địa chỉ IP là
172.16.0.4, mạng cấp dưới (subnet mask) là 255.255.255.0 và địa chỉ IP cho
máy chủ DNS là 172.16.0.1.
5. Định cấu hình giao thức TCP/IP cho kết nối Internet với địa chỉ IP là
10.0.0.2 và mạng cấp dưới là 255.255.255.0.
6. Chạy trình Routing và Remote Access từ thư mục Administrative Tools.
7. Trong cây chương trình, nhấn chuột phải vào VPN1 và chọn Configure and
Enable Routing and Remote Access.
8. Trên trang Welcome to the Routing and Remote Access Server Setup
Wizard, nhấn Next.
9. Trên trang Configuration, Remote access (dial-up or VPN) được lựa chọn
mặc định.
10. Nhấn Next. Trên trang Remote Access, chọn VPN.
11. Nhấn Next. Trên trang VPN Connection, nhấn vào giao dienẹ Internet trong
Network interfaces.
12. Nhấn Next. Trên trang IP Address Assignment , chế độ Automatically được
chọn mặc định.
13. Nhấn Next. Trên trang Managing Multiple Remote Access Servers, nhấn
vào Yes, set up this server to work with a RADIUS server.
14. Nhấn Next. Trên trang RADIUS Server Selection, gõ 172.16.0.2 trong ô
Primary RADIUS server và mã bí mật chung trong ô Shared secret.
15. Nhấn Next. Trên trang Completing the Routing and Remote Access Server
Setup Wizard, nhấn Finish.
16. Bạn sẽ nhận được message nhắc phải định cấu hình DHCP Relay Agent.
17. Nhấn OK.
18. Trong cây chương trình, mở VPN1 (local), sau đó là IP Routing và kế tiếp
là DHCP Relay Agent. Nhấn chuột phải vào DHCP Relay Agent rồi chọn
Properties.
19. Trong hộp thoại DHCP Relay Agent Properties, gõ 172.16.0.1 trong ô
Server address.
20. Nhấn Add rồi OK.
CLIENT1
CLIENT1 là máy tính chạy Windows XP Professional, hoạt động như một máy
khách VPN và truy cập từ xa đến các tài nguyên trong Intranet thông qua mạng
Internet. Để định cấu hình cho CLIENT1 làm máy khách, bạn thực hiện các
bước sau:
1. Kết nối CLIENT1 với phân đoạn mạng Intranet.
2. Trên máy CLIENT1, cài đặt Windows XP Professional như là một máy tính
thành viên có tên CLIENT1 thuộc domain example.com.
3. Thêm tài khoản VPNUser trong domain example.com vào nhóm

Administrators.
4. Rời hệ thống (log off) rồi vào lại (log on), sử dụng tài khoản VPNUser trong
domain example.com.
5. Từ Control Panel-Network Connections, đặt các đặc điểm trên kết nối Local
Area Network, sau đó đặt các đặc điểm trên giao thức TCP/IP.
6. Nhấn vào thẻ Alternate Configuration rồi chọn User configured.
7. Trong ô địa chỉ IP, gõ 10.0.0.1. Tại ô Subnet mask, gõ 255.255.255.0.
8. Nhấn OK để lưu các thay đổi đối với giao thức TCP/IP. Nhấn OK để lưu các
thay đổi đối với kết nối Local Area Network.
9. Tắt máy CLIENT1.
10. Ngắt CLIENT1 khỏi mạng Intranet và kết nối nó với phân đoạn mạng
Internet.
11. Khởi động lại máy CLIENT1 và log on bằng tài khoản VPNUser.
12. Trên máy CLIENT1, mở thư mục Network Connections từ Control Panel.
13. Trong Network Tasks, chọn Create a new connection.
14. Trên trang Welcome to the New Connection Wizard của New Connection
Wizard, nhấn Next.
15. Trên trang Network Connection Type, nhấn Connect to the network at my
workplace.
16. Nhấn Next. Trên trang Network Connection, nhấn Virtual Private Network
connection.
17. Nhấn Next. Trên trang Connection Name, gõ PPTPtoCorpnet trong ô

Company Name.
18. Nhấn Next. Trên trang VPN Server Selection , gõ 10.0.0.2 tại ô Host name
or IP address.
19. Nhấn Next. Trên trang Connection Availability, nhấn Next.
20. Trên trang Completing the New Connection Wizard, nhấn Finish. Hộp
thoại Connect PPTPtoMangCongty hiện ra.
21. Nhấn vào mục Properties rồi nhấn vào thẻ Networking.
22. Trên thẻ Networking, ở Type of VPN, nhấn PPTP VPN.

23. Nhấn OK để lưu các thay đổi đối với kết nối PPTPtoMangcongy. Hộp thoại
PPTPtoMangcongy hiện ra.
24. Trong ô User name, gõ example/VPNUser. Tại ô Password, gõ mật khẩu

của bạn cho tài khoản VPNUser.
25. Nhấn Connect.
26. Khi kết nối hoàn tất, chạy Internet Explorer.
27. Nếu Internet Connection Wizard nhắc, định cấu hình nó cho kết nối LAN.
Ở ô Address, gõ http://IIS1.example.com/winxp.gif. Bạn sẽ nhìn thấy hình ảnh
của Windows XP.
28. Nhấn Start > Run, gõ IIS1ROOT rồi nhấn OK. Bạn sẽ thấy các nội dung
của ổ C: trên máy IIS1.
29. Nhấn chuột phải vào kết nối PPTPtoMangcongty rồi nhấn vào Disconnect.
Phần này sẽ giới thiệu kết nối VPN truy cập từ xa theo giao thức
L2TP/IPsec. Cơ chế này cần các chứng nhận bảo mật (certificate) trên cả
máy khách và máy chủ VPN và được áp dụng khi người sử dụng cần cấu
trúc mã khóa chung (public key infrastructure) ở mức độ cao hơn PPTP.
Trong mô hình thực nghiệm này, bạn cần:
- Máy tính chạy Windows Server 2003, phiên bản Enterprise Edition, đặt tên là
DC1, hoạt động như một trung tâm điều khiển domain (domain controller), một
máy chủ DNS (Domain Name System), một máy chủ DHCP (Dynamic Host
Configuration Protocol) và một trung tâm chứng thực CA (certification
authority).
Mô hình thực nghiệm kết nối VPN truy cập từ xa. Ảnh: Microsoft
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên VPN1,
hoạt động như một máy chủ VPN. VPN1 được lắp đặt 2 adapter mạng.
- Một máy tính chạy Windows XP Professional, mang tên CLIENT1, hoạt động
như một máy khách truy cập từ xa.
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IAS1,
hoạt động như một máy chủ quản lý người sử dụng truy cập từ xa RADIUS
(Remote Authentication Dial-in User Service).
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IIS1,
hoạt động như một máy chủ về web và file.
Về các chú ý căn bản cho mô hình thực nghiệm, mời bạn xem lại bài Tìm hiểu
mạng riêng ảo VPN (Phần 3). Trong đó, chú ý phân đoạn mạng Internet chỉ là
mô phỏng. Khi kết nối ra mạng Internet ngoài, bạn cần đặt địa chỉ IP thực, có
domain thực thay cho example.com. Cách cài đặt cho IAS1 và IIS1 giống như
trong phần 3. Thực ra, bạn cũng có thể thực hiện mô hình rút gọn với 3 máy
CD1, VPN1 và CLIENT1.
DC1
Dưới đây là cách định cấu hình cho DC1 để tự động nạp các chứng nhận cho
máy tính:
1. Mở Active Directory Users và mục Computers
2. Trong cây chương trình, nhấn đúp chuột vào Active Directory Users and
Computers, nhấn chuột phải vào example.com, chọn Properties.
3. Mở thẻ Group Policy, nhấn vào Default Domain Policy, chọn Edit.
4. Trong cây chương trình, mở mục Computer Configuration > Windows
Settings > Security Settings > Public Key Policies > Automatic Certificate
Request Settings.
5. Nhấn chuột phải vào Automatic Certificate Request Settings, chọn New rồi
nhấn Automatic Certificate Request.
6. Trên trang Welcome to the Automatic Certificate Request Setup Wizard,

nhấn Next.
7. Trên trang Certificate Template, nhấn Computer.
8. Nhấn Next. Trên trang Automatic Certificate Request Setup Wizard, nhấn
Finish. Lúc này, kiểu chứng nhận sẽ xuất hiện trong ô hiển thị chi tiết của
Group Policy Object Editor.
9. Gõ gpupdate ở dấu nhắc để cập nhật Group Policy trên DC1.
Cập nhật Group Policy trên VPN1: gõ lệnh gpupdate tại dấu nhắc lệnh.
Sau khi cập nhật các chứng nhận mới, bạn cần phải ngừng và khởi động lại các
dịch vụ IPsec Policy Agent và Remote Access:
1. Nhấn Start > Administrative Tools > Services
2. Trong ô hiển thị chi tiết, trỏ vào IPSEC Services > Action, sau đó nhấn
Restart.
3. Trong ô hiển thị chi tiết, trỏ vào Routing and Remote Access > Action rồi
nhấn Restart.
Để nạp các chứng nhận trên máy này và định cấu hình cho một kết nối VPN
truy cập từ xa theo giao thức L2TP/IPsec, bạn thực hiện các bước như sau:
2. Ngắt kết nối CLIENT1 khỏi phân đoạn mạng Internet mô phỏng và kết nối
máy này vào phân đoạn mạng Intranet.
3. Khởi động lại CLIENT1 và đăng nhập vào máy với tài khoản VPNUser.
Máy tính và Group Policy được cập nhật tự động.
5. Ngắt kết nối CLIENT1 khỏi phân đoạn mạng Intranet và kết nối máy với
phân đoạn Internet mô phỏng.
6. Khởi động lại CLIENT1 và đăng nhập vào với tài khoản VPNUser.
7. Trên CLIENT1, trong Control Panel, mở thư mục Network Connections.
8. Trong Network Tasks, nhấn vào Create a new connection.
9. Trên trang Welcome to the New Connection Wizard, nhấn Next.
10. Trên trang Network Connection Type, nhấn Connect to the network at my
workplace.
11. Nhấn Next. Trên trang Network Connection, nhấn vào Private Network
connection.
12. Nhấn Next. Trên trang Connection Name, gõ L2TPtoMangcongty.
13. Nhấn Next. Trên trang Public Network, nhấn Do not dial the initial
connection.
14. Nhấn Next. Trên trang VPN Server Selection, gõ 10.0.0.2 trong ô Host
name or IP address.
15. Nhấn Next. Trên trang Connection Availability, nhấn Next.
16. Trên trang Completing the New Connection Wizard, nhấn Finish. Hộp
thoại L2TPtoMangcongty xuất hiện.
17. Nhấn vào mục Properties rồi nhấn vào thẻ Networking.
18. Trên thẻ Networking, trong mục Type of VPN, nhấn vào L2TP/IPSec VPN.
19. Nhấn OK để lưu các thay đổi đối với kết nối L2TPtoMangcongty. Hộp
thoại Connect L2TPtoMangcongty xuất hiện.
20. Trong ô User name, gõ exampleVPNUser. Trong ô Password, gõ mật khẩu

tùy ý cho tài khoản VPNUser.
21. Nhấn Connect.
22. Khi kết nối được thiết lập, chạy trình duyệt web.
23. Trong ô Address, gõ http://IIS1.example.com/iisstart.htm. Bạn sẽ thấy một

thông báo là trang web đang trong quá trình thiết kế. Trên thực tế, bạn phải có
một tên miền thực, thay cho example.com.
24. Nhấn Start > Run > gõ IIS1ROOT > OK. Bạn sẽ thấy các nội dung của ổ
nội bộ (ổ C) trên IIS1.
25. Nhấn chuột phải vào kết nối L2TPtoMangcongty rồi chọn Disconnect.
Các chú ý:
Nếu muốn thiết lập một cái "ống ảo" bí mật trên mạng Internet theo cơ chế truy
cập từ xa, bạn chỉ có thể sử dụng giao thức IPSec trực tiếp khi máy khách có
địa chỉ IP thực.
Do L2TP với cơ chế mã hóa IPSec yêu cầu cấu trúc mã khóa chung (Public
Key Infrastructure) nên khó khai thác và tốn kém so với PPTP. L2TP/IPSec là
giao thức L2TP chạy trên nền IPSec, còn cơ chế truyền tin IPSec Tunel Mode
lại là một giao thức khác.
Do có cơ chế thẩm định quyền truy cập nên L2TP/IPSec hay IPSec Tunnel
Mode chỉ có thể truyền qua một thiết bị dịch địa chỉ mạng NAT (network
address translation) bằng cách đi qua nhiều cái "ống ảo" hơn. Nếu dùng một
NAT giữa điểm hiện diện POP (Point of Present) và Internet, bạn sẽ gặp khó
khăn. Còn trong PPTP, một gói tin IP đã được mã hóa đặt trong một gói tin IP
không được mã hóa nên nó có thể đi qua một NAT.
PPTP và L2TP có thể hoạt động với các hệ thống thẩm định quyền truy cập
dựa trên mật khẩu và chúng hỗ trợ quyền này ở mức cao cấp bằng những loại
thẻ thông minh, công nghệ sinh trắc học và các thiết bị có chức năng tương tự.
Lời khuyên:
PPTP là giải pháp tối ưu khi khách hàng muốn có cơ chế bảo mật không tốn
kém và phức tạp. Giao thức này cũng tỏ ra hữu hiệu khi các luồng dữ liệu phải
truyền qua NAT. Khách hàng nếu muốn có NAT và độ bảo mật cao hơn có thể
định cấu hình cho các quy tắc IPSec trên Windows 2000.
L2TP là giải pháp tốt nhất khi khách hàng coi bảo mật là vấn đề quan trọng
hàng đầu và cam kết khai thác cấu trúc mã khóa chung PKI. Nếu bạn cần một
thiết bị NAT trong đường truyền VPN thì giải pháp này có thể không phát huy
hiệu quả.
IPSec Tunnel Mode lại tỏ ra hữu hiệu hơn với VPN điểm-nối-điểm (site to
site). Mặc dù giao thức này hiện nay cũng được áp dụng cho VPN truy cập từ
xa nhưng các hoạt động của nó không "liên thông" với nhau. IPSec Tunnel
Mode sẽ được đề cập kỹ hơn trong phần VPN điểm-nối-điểm kỳ sau.
Như đề cập ở phần trước, bảo mật của VPN còn được hỗ trợ bằng công
nghệ thẻ thông minh và sinh trắc học. Micrsoft đã tích hợp một giao thức
khác gọi là EAP-TLS trong Windows, chuyên trách công việc này cho
VPN truy cập từ xa.
EAP-TLS là chữ viết tắt của Extensible Authentication Protocol - Transport
Layer Security (giao thức thẩm định quyền truy cập có thể mở rộng - bảo mật
lớp truyền dẫn). Kết nối dựa trên giao thức này đòi hỏi có một chứng nhận
người sử dụng (user certificate) trên cả máy khách và máy chủ IAS của mạng
VPN. Đây là cơ chế có mức độ an toàn nhất ở cấp độ người sử dụng.
Mặc dù công nghệ thẻ thông minh hay sinh trắc học vẫn còn là khái niệm mới
mẻ ở Việt Nam, chúng tôi xin giới thiệu cách cài đặt để độc giả có thể hình
dung những gì Windows hỗ trợ.
Mô hình thực nghiệm VPN truy cập từ xa. Ảnh: Microsoft
Mô hình thực nghiệm vẫn là 5 máy tính với các chức năng khác nhau (xem lại
phần 3, 4 hoặc 5 để biết thêm chi tiết). Khi bắt tay vào cài đặt, bạn bật tất cả
các máy (5 máy tính này đã kết nối trước với nhau như hình vẽ).
Máy DC1
Bạn sẽ định cấu hình để DC1 làm nhiệm vụ tiếp nhận tự động các chứng nhận
về người sử dụng.
1. Nhấn menu Start > Run > gõ mmc ở dấu nhắc > OK.
2. Trên menu File, nhấn Add/Remove Snap-in > Add.
3. Dưới mục Snap-in, kích đúp vào Certificate Templates > Close > OK.
4. Trong cây chương trình, nhấn Certificate Templates. Tất cả mô hình chứng
nhận sẽ được trình bày trong ô hiển thị chi tiết.
5. Trong ô hiển thị chi tiết, nhấn vào mẫu User.
6. Trên menu Action, nhấn vào Duplicate Template.
7. Trong hộp Template display name, gõ VPNUser.

8. Đánh dấu chọn trong ô Publish Certificate in Active Directory.
9. Nhấn vào thẻ Security.
10. Trong danh sách Group or user names, nhấn vào Domain Users.
11. Trong danh sách Permissions for Domain Users, đánh dấu chọn ở các ô
Read, Enroll và Autoenroll để cho phép các chức năng này.
12. Nhấn vào thẻ Subject Name.
13. Bỏ dấu chọn trong các ô Include E-mail name in subject name và E-mail
name. Do bạn đã không định cấu hình một tên e-mail nào cho tài khoản
VPNUser nên bạn phải bỏ dấu này để "phát hành" được chứng nhận người sử
dụng.
14. Nhấn OK.
15. Mở trình quản lý Certification Authority từ thư mục Administrative Tools.
16. Trong cây chương trình, mở Certification Authority > mở Example CA >
Certificate Templates.
17. Trên menu Action, trỏ vào New rồi nhấn Certificate Template to Issue.
18. Nhấn VPNUser.
19. Nhấn OK.
20. Mở trình quản lý Active Directory Users and Computers.
21. Trong cây chương trình, nhấn đúp vào Active Directory Users and
Computers, nhấn chuột phải vào example.com > chọn Properties.
22. Trên thẻ Group Policy, chọn Default Domain Policy > Edit.
23. Trong cây chương trình, mở User Configuration > Windows Settings >
Security Settings > Public Key Policies.
24. Trong ô hiển thị chi tiết, nhấn đúp vào Autoenrollment Settings.
25. Nhấn Enroll certificates automatically. Đánh dấu chọn trong ô Renew
expired certificates, update pending certificates, and remove revoked
certificates và ô Certificates that use certificate templates.
26. Nhấn OK.

Một sản phẩm thẻ thông minh dùng "trạm xử lý" GlobalAdmin của hãng
Realtime dùng cho VPN truy cập từ xa. Ảnh: Realtime
Máy chủ IAS1
Bạn sẽ định cấu hình cho IAS1 với một chứng nhận máy tính cho thẩm định
quyền truy cập EAP-TLS.
1. Khởi động lại IAS1 để đảm bảo máy này đã tự động nạp một chứng nhận
máy tính.
2. Mở trình quản lý Internet Authentication Service.
3. Trong cây chương trình, nhấn Remote Access Policies.
4. Trong ô hiển thị chi tiết, nhấn đúp vào VPN remote access to Intranet. Hộp
thoại VPN remote access to intranet Properties xuất hiện.
5. Nhấn vào Edit Profile, chọn thẻ Authentication.
6. Trên thẻ Authentication, chọn EAP Methods. Hộp thoại Select EAP
Providers hiện ra.
7. Nhấn Add. Hộp thoại Add EAP xuất hiện.
8. Nhấn vào Smart Card or other certificate > OK.

9. Nhấn Edit. Hộp thoại Smart Card or other Certificate Properties xuất hiện.
10. Các thuộc tính của chứng nhận máy tính cho IAS1 được hiển thị. Bước này
xác định rằng IAS1 có một chứng nhận máy tính được cài đặt để thực hiện
quyền thẩm định truy cập theo giao thức EAP-TLS. Nhấn OK.
11. Nhấn OK để lưu lại các thay đổi đối với nhà cung cấp EAP. Nhấn OK để
lưu các thay đổi về cài đặt cấu hình.
12. Khi được hỏi xem các mục trợ giúp, nhấn No. Nhấn OK để lưu các thay đổi
để lưu các thay đổi đối với quy định truy cập từ xa.
Các thay đổi cấu hình này sẽ cho phép truy cập từ xa trong VPN hay truy cập
từ xa trong Intranet thẩm định các kết nối VPN dùng phương pháp xác định
quyền truy cập theo giao thức EAP-TLS.
Máy CLIENT1
Bạn cũng nạp một chứng nhận trên máy này rồi định cấu hình cho kết nối VPN
truy cập từ xa dựa trên giao thức EAP-TLS.
2. Ngắt kết nối khỏi phân đoạn mạng Internet mô phỏng và kết nối vào phân
đoạn mạng Intranet.
3. Khởi động lại máy CLIENT1 và đăng nhập bằng tài khoản VPNUser. Lúc
này, máy tính và Group Policy được cập nhật tự động.
5. Ngắt CLIENT1 khỏi phana đoạn mạng Intranet và kết nối nó vào phân đoạn
mạng Internet mô phỏng.
6. Khởi động lại CLIENT1 và đăng nhập vào bằng tài khoản VPNUser.
7. Trên CLIENT1, trong Control Panel, mở thư mục Network Connections.
8. Trong mục Network Tasks, chọn Create a new connection.
9. Trên trang Welcome to the New Connection Wizard page của New
Connection Wizard, nhấn Next.
10, Trên trang Network Connection Type, chọn Connect to the network at my
workplace.
11. Nhấn Next. Trên trang Network Connection, chọn kết nối Virtual Private
Network.
12. Nhấn Next. Trên trang Connection Name, gõ EAPTLStoMangcongty trong

ô Company Name.
13. Nhấn Next. Trên trang Public Network, nhấn Do not dial the initial
connection.
14. Nhấn Next. Trên trang VPN Server Selection, gõ 10.0.0.2 trong ô địa chỉ
Host name or IP address.
15. Nhấn Next. Trên trang Connection Availability , nhấn Next.
16. Trên trang Completing the New Connection Wizard , nhấn Finish. Hộp
thoại Connect EAPTLStoMangcongty xuất hiện.
17. Nhấn vào Properties > thẻ Security.
18. Trên thẻ Security, nhấn Advanced > Settings. Hộp thoại Advanced Security
Settings xuất hiện.
19. Trong hộp thoại Advanced Security Settings, nhấn vào Use Extensible
Authentication Protocol (EAP).
20. Nhấn vào Properties. Trong hộp thoại Smart Card or other Certificate
Properties, nhấn Use a certificate on this computer.
21. Nhấn OK để lưu các thay đổi trong hộp thoại. Nhấn OK để lưu các thay đổi
trong Advanced Security Settings. Nhấn OK để lưu các thay đổi trong thẻ
Security. Kết nối ngay lập tức được khởi tạo và dùng đến chứng nhận người sử
dụng vừa cài đặt. Lần đầu tiên bạn thử kết nối, máy có thể mất vài lần mới hoạt
động thành công.
22. Khi kết nối thành công, bạn hãy chạy trình duyệt web.
23. Trong ô Address, gõ http://IIS1.example.com/iisstart.htm. Bạn sẽ nhìn thấy

thông báo trang web đang trong quá trình xây dựng. Trên thực tế, đây phải là
một tên miền thật.
24. Nhấn Start > Run, gõ IIS1ROOT > OK. Bạn sẽ thấy nội dung của ổ nội bộ
(ổ C) trên IIS1.
25. Nhấn chuột phải vào kết nối EAPTLStoMangcongty rồi nhấn Disconnect.
Các máy còn lại được cài đặt như trong phần 4.
Các lưu ý khi sử dụng quyền chứng nhận CA (Certificate Authority) của các
bên phát triển thứ 3 cho cơ chế thẩm định quyền truy cập theo giao thức EAP-
TLS:
Chứng nhận trên máy chủ thẩm định phải:
- Được cài đặt trong kho chứng nhận của máy tính nội bộ.
- Có một key riêng tương ứng.
- Có nhà cung cấp dịch vụ mật mã để hỗ trợ. Nếu không, chứng nhận không thể
được dùng và không thể chọn được từ trình Smart Card or Other Certificate
trên thẻ Authentication.
- Có mục đích chứng nhận thẩm định quyền truy cập máy chủ, còn được gọi là
EKU (Enhanced Key Usage).
- Phải chứa tên miền được thẩm định đầy đủ, gọi là FQDN, của tài khoản máy
tính trong Subject Alternative Name của chứng nhận.
Hơn nữa, các chứng nhận CA gốc của các CA phải được cài đặt trong kho
chứng nhận Trusted Root Certification Authorities của các máy chủ thẩm định.
Chứng nhận trên các máy khách VPN phải:
- Có một key riêng tương ứng.
- Phải chứa EKU thẩm định quyền truy cập cho máy khách.
- Phải được cài đặt trong kho chứng nhận của Current User.
- Chứa tên UPN (universal principal name) của tài khoản người sử dụng trong
Subject Alternative Name của chứng nhận.
Ngoài ra, các chứng nhận CA gốc của các CA (đã phát hành các chứng nhận
máy tính trên máy chủ IAS) phải được cài đặt trong kho Trusted Root
Certification Authorities của máy khách VPN.
Nếu muốn cho máy tính ở một mạng LAN truy cập vào máy ở mạng LAN
khác, người sử dụng có thể dùng loại VPN điểm-nối-điểm.
Phần này sẽ giới thiệu cách cài đặt theo giao thức PPTP. Mô hình thích hợp với
các tổ chức, công ty có nhiều văn phòng ở cách xa nhau.
Những thiết bị cần dùng

Mô hình một VPN điểm-nối điểm. Ảnh: Microsoft
Chúng ta sẽ dùng mô hình thực nghiệm với 5 máy tính đóng các vai trò khác
nhau. Đây là con số tối thiểu để chạy được VPN điểm-nối-điểm. Trên thực tế,
quy mô của từng mạng LAN và máy chủ của VPN sẽ lớn hơn nhiều, như thẩm
định quyền truy cập, kiểm soát domain, IAS... Giả sử mạng này là của công ty
XYZ với hai LAN ở Hà Nội và TP HCM. Máy khách ở đầu TP HCM đang cần
gọi tới văn phòng Hà Nội.
Ngoài ra, mạng cần đến 4 hub (hoặc switch Layer 2)
- Một hub nối văn phòng Hà Nội (máy CLIENT1) với router trả lời
(ROUTER1).
- Một hub nối văn phòng ở TP HCM (CLIENT2) với router gọi đi (ROUTER2).
- Một hub nối router gọi (ROUTER1) với router Internet (INTERNET).
- Một hub nối router gọi (ROUTER2) với router Internet (INTERNET).
Chú ý:
- Do ở mô hình thực nghiệm chỉ có 2 máy ở mỗi mạng nhỏ nên các hub có thể
được thay thế bằng cáp chéo Ethernet.
- Trong mô hình thực nghiệm, Windows Firewall đã được cài đặt và bật tự
động trên các máy khách. Bạn sẽ định cấu hình một Windows Firewall ngoại lệ
trên CLIENT1, cho phép hai máy khách liên hệ được với nhau. Trên 3 máy còn
lại, Windows Firewall đã được cài đặt nhưng không mặc định bật tự động.
Ngoài ra, dịch vụ Windows Firewall/Internet Connection Sharing (ICS) cần
được tắt đi trong các máy.
Mô hình thực nghiệm. Ảnh: Microsoft
- Thiết lập địa chỉ IP cho các máy, giả định như sau:
Địa chỉ IP cho mạng con ở văn phòng Hà Nội
Máy tính/Giao diện Địa chỉ IP
CLIENT1 172.16.4.3
ROUTER1 (tới Intranet của Hà Nội) 172.16.4.1
Địa chỉ IP cho các mạng con Internet
ROUTER1 (tới Internet) 10.1.0.2
INTERNET (tới ROUTER1) 10.1.0.1
ROUTER2 (tới Internet) 10.2.0.2
INTERNET (tới ROUTER2) 10.2.0.1
Địa chỉ IP cho mạng con ở văn phòng TP HCM
ROUTER2 (tới mạng Intranet của TP HCM) 172.16.56.1

CLIENT2 172.16.56.3
Định cấu hình cho các máy khách
CLIENT1
- Các thuộc tính TCP/IP
1. Mở Network Connections trong Control Pannel, nhấn chuột phải vào đó rồi
chọn Properties.
2. Trên thẻ General, chọn Internet Protocol (TCP/IP), nhấn vào Properties.
3. Nhấn vào Use the following IP address, gõ 172.16.4.3 cho mục IP address,
gõ 255.255.255.0 cho mục Subnet mask và 172.16.4.1 cho Default gateway.
- Thiết lập cổng riêng trên Windows Firewall để các máy khách nhận nhau.
1. Mở Control Pannel, nhấn vào mục Security Center.

2. Nhấn vào Windows Firewall, trong hộp thoại của chương trình, nhấn vào thẻ
Advanced.
3. Nhấn vào Settings, chọn tiếp ICMP, nhấn vào Allow incoming echo request.
4. Nhấn OK hai lần để đóng Windows Firewall.
CLIENT2
chọn Properties.
3. Nhấn vào Use the following IP address, gõ 172.16.56.3 cho mục IP address,
gõ 255.255.255.0 cho mục Subnet mask và 172.16.56.1 cho Default gateway.
- Do CLIENT2 ở văn phòng TP HCM đang đóng vai trò là máy gọi đến nên
không cần định cổng đặc biệt cho Windows Firewall. Người dùng cứ để mặc
định sẵn như phần chú ý trên. Chỉ khi nào CLIENT2 trở thành máy trả lời thì
mới cần cài đặt như với CLIENT1.
Định cấu hình cho các router gọi và trả lời.
ROUTER1
chọn Properties.
3. a. Trên giao diện To the Internet, gõ 10.1.0.2 ở mục IP address, 255.255.0.0
ở Subnet mask và 10.1.0.1 ở mục Default gateway.
3. b. Trên giao diện To Hanoi intranet, gõ 172.16.4.1 ở ô IP address,
255.255.255.0 ở Subnet mask và ô Default gateway bỏ trống.
- Windows Firewall và Routing and Remote Access không thể chạy đồng thời
trên một máy chủ VPN nên nếu Windows Firewall được bật lên, bạn phải tắt
đi. Nếu dịch vụ Windows Firewall/Internet Connection Sharing (ICS) đã thiết
lập tự động trước khi định cấu hình Routing and Remote Access, bạn cũng phải
tắt đi.
1. Nhấn vào Administrative Tools > Services.

2. Trong bảng hiển thị chi tiết của Services, nhấn chuột phải vào Windows
Firewall/Internet Connection Sharing (ICS), chọn Properties.
3. Nếu Startup Type là Automatic hay Manual, chọn lại là Disabled.
4. Nhấn OK hai lần để lưu thay đổi.
ROUTER2
chọn Properties.
3. a. Trên giao diện To the Internet, gõ 10.2.0.2 ở mục IP address, 255.255.0.0
ở Subnet mask và 10.2.0.1 ở mục Default gateway.
3. b. Trên giao diện To Hanoi intranet, gõ 172.16.56.1 ở ô IP address,
255.255.255.0 ở Subnet mask và ô Default gateway bỏ trống.
- Tắt Windows Firewall như với ROUTER1.
Định cấu hình cho router Internet
chọn Properties.
3.a. Trên giao diện To Router1, gõ 10.1.0.1 ở mục IP address, 255.255.0.0 ở
mục Subnet mask.
3.b. Trên giao diện To Router2, gõ 10.2.0.1 ở mục IP address, 255.255.0.0 ở
mục Subnet mask.
4. Vào Administrative Tools, chọn Routing and Remote Access và mở trình
Routing and Remote Access Microsoft Management Console (MMC).
5. Nhấn chuột phải vào INTERNET (local) trong cây chương trình rồi nhấn
vào Configure and Enable Routing and Remote Access.
6. Nhấn Next trên trang Routing and Remote Access Server Setup Wizard.
7. Trên trang Configuration, chọn Custom configuration.
8. Nhấn Next. Trên trang Custom Configuration, chọn LAN routing.
Setup, nhấn Finish > Yes để khởi động dịch vụ.
Tắt Windows Firewall như với ROUTER1.
Kiểm tra
- Trên ROUTER1, ping địa chỉ IP 10.2.0.2. Việc này thành công.
- Trên CLIENT2, ping địa chỉ IP 172.16.4.3. Việc này không thành công vì
CLIENT1 không liên lạc được với CLIENT2 bằng phân đoạn mạng Internet
mô phỏng, cho tới khi kết nối VPN điểm-nối-điểm hoàn thành.
Thiết lập VPN điểm-nối-điểm theo giao thức PPTP
- Định cấu hình VPN cho router trả lời
1. Trên ROUTER1, nhấn vào Administrative Tools, chọn Routing and Remote
Access.
2. Nhấn chuột phải vào ROUTER1 (local) trong cây chương trình, chọn
Configure and Enable Routing and Remote Access.
3. Nhấn Next trên trang Routing and Remote Access Server Setup Wizard.
4. Trên trang Configuration, chọn Remote access (dial-up or VPN).
5. Nhấn Next. Trên trang Remote Access, chọn VPN.
6. Nhấn Next. Trên trang VPN Connection, chọn To the Internet, đánh dấu vào
ô Enable security on the selected interface by setting up static packet filters.
7. Nhấn Next. Trên trang IP Address Assignment, chọn From a specified range
of addresses.
8. Nhấn Next. Trên trang Address Range Assignment, nhấn New.
9. Trong hộp thoại New Address Range, làm các việc sau:
a. Gõ 172.16.100.1 ở ô Start IP address
b. Gõ 172.16.100.2 ở ô End IP address
c. Chấp nhận giá trị 2 ở hộp Number of Addresses
10. Nhấn OK. Trên trang Address Range Assignment, nhấn Next.
11. Trên trang Managing Multiple Remote Access Servers, chọn No, use
Routing and Remote Access to authenticate connection requests.
Setup, nhấn Finish.
13. Nhấn OK để đóng hộp thoại yêu cầu định cấu hình DHCP Relay Agent.
Trường hợp này DHCP Relay Agent sẽ không được định cấu hình.
- Định cấu hình giao diện quay số yêu cầu trên router trả lời
1. Trên trình Routing and Remote Access, chọn ROUTER1, nhấn chuột phải
vào Network Interfaces.
2. Chọn New Demand-dial Interface để mở Demand-Dial Interface Wizard,
nhấn Next.
3. Trên trang Interface Name, gõ VPN_TPHCM. Chú ý: tên trên giao diện phải
đúng như tên tài khoản người sử dụng trên router gọi.
4. Nhấn Next. Trên trang Connection Type, chọn Connect using virtual private
networking (VPN).
5. Nhấn Next. Trên trang VPN Type, chọn Point-to-Point Tunneling Protocol
(PPTP).
6. Nhấn Next. Trên trang Destination Address, gõ 10.2.0.2 ở ô Host name or IP
address.
7. Nhấn Next. Trên trang Protocols and Security, làm những việc sau:
a. Chọn Route IP packets on this interface.
b. Chọn Add a user account so a remote router can dial in.
8. Nhấn Next. Trên trang Static Routes for Remote Networks, nhấn Add.
9. Trong hộp thoại Static Route, làm những công việc sau:
a. Gõ 172.16.56.0 ở ô Destination.
b. Gõ 255.255.255.0 ở ô Network Mask.
c. Chấp nhận giá trị 1 trong ô Metric.
10. Nhấn OK. Trên trang Address Range Assignment , nhấn Next.
11. Trên trang Dial In Credentials, gõ mật khẩu cho tài khoản VPN_TPHCM.
12. Nhấn Next. Trên trang Dial Out Credentials, làm những việc sau:
a. Gõ VPN_Hanoi trong ô User name.
b. Gõ ROUTER2 trong ô Domain.
c. Gõ mật khẩu VPN_Hanoi trong ô Password.
d. Gõ lại mật khẩu này trong ô Confirm password.
13. Nhấn Next. Trên trang Demand-Dial Interface Wizard, nhấn Finish.
- Định cấu hình VPN trên router gọi
1. Trên ROUTER2, chọn Administrative Tools, nhấn vào Routing and Remote
Access.
2. Nhấn chuột phải vào ROUTER2 (local) trong cây chương trình rồi nhấn vào
Configure and Enable Routing and Remote Access.
3. Nhấn Next trên trang Remote Access Server Setup Wizard.
4. Trên trang Configuration, chọn Remote access (dial-up or VPN), nhấn Next.
5. Trên trang Remote Access, chọn VPN > Next.
6. Trên trang VPN Connection, chọn To the Internet, đánh dấu vào ô Enable
security on the selected interface by setting up static packet filters > nhấn Next.
7. Trên trang IP Address Assignment, chọn From a specified range of
addresses, nhấn Next, trên trang Address Range Assignment, chọn New.
8. Trong hộp thoại New Address Range, làm những việc sau:
a. Gõ 172.56.200.1 trong ô Start IP address.
b. Gõ 172.56.200.2 trong ô End IP address.
c. Chấp nhận giá trị 2 ở hộp Number of Addresses > nhấn OK.
9. Trên trang Address Range Assignment, nhấn Next.
10. Trên trang Managing Multiple Remote Access Servers, chọn No, use
Routing and Remote Access to authenticate connection requests > Next.
11. Trên trang Completing the Routing and Remote Access Server Setup, nhấn
Finish.
- Định cấu hình trên giao diện quay số yêu cầu trên router gọi
1. Trên trình Routing and Remote Access, chọn ROUTER2, nhấn chuột phải
vào Network Interfaces.
2. Chọn New Demand-dial Interface để mở Demand-Dial Interface Wizard,
nhấn Next.
3. Trên trang Interface Name, gõ VPN_TPHCM. Chú ý: tên trên giao diện phải
đúng như tên tài khoản người sử dụng trên router gọi.
4. Nhấn Next. Trên trang Connection Type, chọn Connect using virtual private
networking (VPN).
5. Nhấn Next. Trên trang VPN Type, chọn Point-to-Point Tunneling Protocol
(PPTP).
6. Nhấn Next. Trên trang Destination Address, gõ 10.1.0.2 ở ô Host name or IP
address.
7. Nhấn Next. Trên trang Protocols and Security, làm những việc sau:
a. Chọn Route IP packets on this interface.
b. Chọn Add a user account so a remote router can dial in.
8. Nhấn Next. Trên trang Static Routes for Remote Networks, nhấn Add.
9. Trong hộp thoại Static Route, làm những công việc sau:
a. Gõ 172.16.4.0 ở ô Destination.
b. Gõ 255.255.255.0 ở ô Network Mask.
c. Chấp nhận giá trị 1 trong ô Metric.
10. Trên trang Static Routes for Remote Networks, nhấn Next.
11. Trên trang Dial In Credentials, gõ mật khẩu cho tài khoản VPN_Hanoi và
gõ mật khẩu VPN_Hanoi trong ô Password.
12. Trên trang Dial Out Credentials, làm những việc sau:
a. Gõ VPN_TPHCM trong User name
b. Gõ ROUTER1 trong ô Domain.
c. Gõ mật khẩu tài khoản người dùng VPN_TPHCM đã tạo ra trên ROUTER1.
d. Xác nhận lại mật khẩu trong Confirm password.
13. Trên trang cuối cùng của Demand-Dial Interface Wizard, nhấn Finish.
- Xác nhận chính sách truy cập từ xa trên các router gọi và trả lời
1. Trên ROUTER2, trong mục Routing and Remote Access, nhấn vào Remote
Access Policies.
2. Trong bảng hiển thị chi tiết, nhấn chuột phải vào Connections to Microsoft
Routing and Remote Access server, chọn Properties.
3. Trên thẻ Settings, chọn Grant remote access permission rồi nhấn OK để lưu
các thay đổi.
4. Lặp lại 3 bước trên với ROUTER1.
- Tạo kết nối VPN
1. Trên ROUTER2, trong cây chương trình của Routing and Remote Access,
chọn Network Interfaces.
2. Trong ô hiển thị chi tiết, nhấn chuột phải vào VPN_Hanoi > Connect.
3. Kiểm tra tình trạng kết nối của VPN_Hanoi.
- Kiểm tra kết nối
1. Trên CLIENT2, tại dấu nhắc lệnh, gõ ping 172.16.4.3. Đây là địa chỉ IP của
CLIENT1. Việc "ping" địa chỉ IP này sẽ kiểm tra được máy có truy cập được
vào mạng con ở Hà Nội hay không.
2. Để kiểm tra các gói tin được truyền qua kết nối VPN, tại dấu nhắc lệnh, gõ
tracert 172.16.4.3. Chú ý rằng cần phải dùng địa chỉ IP của CLIENT1 chứ
không phải tên máy tính vì máy chủ DNS không được định cấu hình trong mô
hình thực nghiệm này. Còn trên thực tế, khi có một máy chủ quản lý tên miền,
người dùng có thể nhập tên của máy tính, ví dụ như xyzhanoi_quangminh, để
truy cập.
Kết quả tương tự như sau đây sẽ cho biết kết nối thành công:
Tracing route to 172.16.4.3 over a maximum of 30 hops:
1 <1 ms <1 ms <1 ms [172.16.56.1]
2 1 ms <1 ms <1 ms [172.56.200.2]
3 1 ms 1 ms 1 ms [172.16.4.3]
Trace complete.
Ý nghĩa của thông báo trên:

172.16.56.1 là địa chỉ IP của ROUTER2 kết nối tới Intranet của TP HCM.
172.56.200.2 là địa chỉ IP mà ROUTER2 gán cho ROUTER1; địa chỉ IP này
xuất hiện nghĩa là các gói tin đang được truyền qua kết nối VPN điểm-nối-
điểm. 172.16.4.3 là địa chỉ IP của CLIENT1.
Phần này sẽ giới thiệu cách cài đặt VPN kiểu LAN nối LAN theo giao thức
L2TP/IPSec. Đây là giao thức có mức độ bảo mật cao nhất dành cho mạng
riêng ảo vì cả người sử dụng và máy tính đều phải qua giai đoạn kiểm định
quyền truy cập.
Các công cụ kiểm định là Microsoft Challenge Handshake Authentication
Protocol (MS-CHAP) Version 2 hoặc Extensible Authentication Protocol
(EAP).
Một mô hình VPN điểm-nối-điểm. Ảnh: Microsoft.
Cơ chế này có mức độ bảo mật cao hơn PPTP hay IPSec Tunnel Mode vì
chúng không có phần thẩm định quyền truy cập đối với người sử dụng.
Bạn có thể chọn một trong 2 phương pháp thẩm định đối với máy tính là chứng
nhận (certificate) hoặc mật khẩu chung, trong đó phương pháp chứng nhận an
toàn hơn. Tuy nhiên, dùng mật khẩu chung là lựa chọn hợp lý nếu bạn không
thể cung cấp các chứng nhận cho gateway của VPN. Trước khi quyết định
dùng cách này, cần chú ý những điểm sau:
- Tất cả các máy khách và gateway phải dùng một mã chia sẻ duy nhất.
- Nếu mật khẩu này được thay đổi để đảm bảo bí mật (thường thì các mật khẩu
nên thay thường xuyên), bạn phải đổi bằng tay trên mỗi máy tính sử dụng nó để
kết nối tới gateway VPN.
- Mật khẩu chung này hiển thị trong giao diện cấu hình của máy chủ ISA và
trong registry, giúp xác định ai đã truy cập vào ISA. Nhưng nếu một chứng
nhận được cài đặt lên máy này, nó không được cấu hình truy xuất thông tin; do
đó, kẻ đột nhập chỉ có thể dùng chứng nhận khi kiểm soát được cả máy tính.
- Dải mã Unicode của mật khẩu được chuyển đổi sang mã nhị phân ASCII và
mã này được dùng đến nếu kết nối thành công. Khi mật khẩu dùng mã ASCII
không thể gửi được đi, quá trình sẽ thay thế bằng dải mã Unicode. Tuy nhiên,
các thiết bị không theo chuẩn Unicode có thể từ chối, khiến cho kết nối không
thực hiện được.
Tình huống thực nghiệm

Ví dụ: Công ty XYZ có văn phòng chính ở Hà Nội và chi nhánh tại TP HCM,
muốn liên kết với nhau bằng mạng riêng ảo theo giao thức L2TP, dùng mật
khẩu chung. Giao thức L2TP cũng yêu cầu đầy đủ các máy tính như khi kết nối
VPN điểm-nối-điểm PPTP, nhưng các công đoạn có sự khác biệt.
Mô hình thực nghiệm có 2 tường lửa (firewall), một ở văn phòng chính, một ở
chi nhánh; một máy kiểm soát DC chạy Exchange 2003; một máy khách nằm
sau tường lửa ISA của chi nhánh. Tường lửa này chạy Windows Server 2003
SP1 và bản ISA Firewall 2006.
Quy trình tạo lập mạng VPN bao gồm 7 bước như sau:
- Tạo mạng LAN kết nối ở xa (TP HCM) tại văn phòng chính (Hà Nội).
- Tạo tài khoản gọi ở Gateway VPN tại văn phòng Hà Nội.
- Tạo mạng LAN kết nối ở xa tại văn phòng TP HCM.
- Tạo Network Rule ở văn phòng TP HCM.
- Tạo Access Rules ở văn phòng TP HCM.
- Tạo tài khoản gọi ở Gateway VPN tại văn phòng TP HCM.
- Kích hoạt kết nối giữa các LAN.
Kỳ 1: Tạo mạng LAN TP HCM tại ISA Firewall ở văn phòng Hà Nội
1. Trên ISA Firewall tại văn phòng Hà Nội, mở cây chương trình Microsoft
Internet Security and Acceleration Server 2006 và mở đến tên máy chủ. Chọn
biểu tượng Virtual Private Networks.
2. Nhấn vào thẻ Remote Sites trong ô Details > chọn thẻ Tasks trong ô Task >
nhấn vào Add Remote Site Network.
3. Trên trang Welcome to the Create VPN Site to Site Connection Wizard, gõ
tên của mạng khách trong ô Site to site network name. Ở ví dụ này, gõ
VPN_TPHCM. Nhấn Next.
4. Trên trang VPN Protocol, bạn có 3 lựa chọn về giao thức, chọn Layer Two
Tunneling Protocol (L2TP) over IPSec. Nhấn Next.
5. Một hộp thoại xuất hiện, thông báo rằng bạn cần phải tạo một tài khoản
người sử dụng trên firewall của ISA tại văn phòng Hà Nội. Tài khoản này sẽ
được firewall của ISA tại TP HCM sử dụng để thẩm định quyền truy cập cho
firewall của trụ sở.
Tài khoản này phải trùng tên với mạng khách đã tạo ra trong bước 3 ở trên. Vì
vậy, bạn cũng nhập tên VPN_TPHCM. Nhấn OK.
6. Trên trang Connection Owner, chọn máy trong danh sách làm định danh kết
nối. Lựa chọn này chỉ có thể thấy trong bản ISA Enterprise Edition chứ không
có trong Standard Edition. Nếu có cân bằng tải (NLB) trên dãy máy, bạn không
cần tự chỉ định máy kết nối vì quá trình NLB sẽ tự động chọn.
Trong ví dụ này chúng ta không dùng NLB vì chỉ có một máy trong dãy. Vì
vậy, hãy dùng cổng mặc định là tên firewall ở văn phòng chính VPN_Hanoi.
Nhấn Next.
7. Trên trang Remote Site Gateway, gõ địa chỉ IP hoặc tên miền đầy đủ cho
máy chủ VPN mạng khách. Chú ý đây là tính năng mới trong ISA firewall
2006; ở bản cũ bạn chỉ có thể nhập địa chỉ IP. Tính năng này tỏ ra hữu ích khi
nhiều văn phòng chi nhánh phải dùng IP động; do đó, cách duy nhất để kết nối
chắc chắn nhất là thông qua dịch vụ tên miền. Ví dụ, trong trường hợp này là
tphcm.xyz.com.vn Nhấn Next.
8. Trên trang Remote Authentication, đánh dấu vào ô Local site can initiate
connections to remote site using these credentials. Gõ tên tài khoản mà bạn sẽ
tạo trên firewall ở văn phòng TP HCM để cho phép văn phòng Hà Nội truy
cập. Trong ví dụ này, nhập tên VPN_Hanoi vào ô User name.
Domain là tên của firewall ISA Server 2006 tại chi nhánh TP HCM, trong ví dụ
này là ISA2006VPN_TPHCM. Nếu firewall này cũng là máy chủ quản lý
domain (domain controller), bạn sẽ dùng tên miền thay cho tên máy. Gõ mật
khẩu và xác nhận lại trong hai ô tiếp theo. Nhấn Next.
9. Trên trang L2TP/IPSec Outgoing Authentication, chọn phương pháp bạn

muốn dùng để thẩm định quyền truy cập đối với firewall ở văn phòng TP
HCM. Trong thực nghiệm này, chúng ta chọn Pre-shared key authentication
(mật khẩu chung) rồi gõ mật khẩu vào ô tương ứng. Nhấn Next.
10. Nhấn vào mục Add Range trên trang Network Address. Trong hộp thoại IP
Address Range Properties, gõ địa chỉ 10.0.1.0 vào ô Starting address. Gõ
10.0.1.255 vào ô Ending address. Nhấn OK.
11. Nhấn Next trên trang Network Addresses.
12. Trên trang Remote NLB, kiểm tra NLB có được dùng ở firewall này không.
Nếu có, đánh dấu vào ô The remote site is enabled for Network Load
Balancing. Sau đó, thêm địa chỉ IP vào dãy NLB của chi nhánh TP HCM bằng
cách nhấn vào nút Add Range.
Thực nghiệm này không dùng NLB nên bạn bỏ dấu trong ô The remote site is
enabled for Network Load Balancing. Nhấn Next.
13. Trên trang Site to Site Network Rule, bạn có thể cấu hình một Network
Rule để kết nối văn phòng chính với chi nhánh. Chú ý rằng firewall ISA luôn
yêu cầu bạn có Network Rule để kết nối các mạng với nhau. Ngay cả khi đã tạo
ra các mạng và Access Rules, kết nối vẫn không thành công cho đến khi bạn
tạo Network Rule.
Firewall ISA mới đã giải quyết được trục trặc mà nhiều người gặp phải khi
dùng bản cũ, như ISA 2004, là họ thường quên hoặc không biết tới vai trò của
Network Rule. Bản 2006 sẽ yêu cầu bạn làm việc này ngay trong wizard.
Chọn Create a Network Rule specifying a route relationship để chấp nhận tên
mặc định. (Chú ý: bạn có thể chọn I'll create a Network Rule later nếu muốn tự
tạo một Network Rule. Chú ý rằng lựa chọn mặc định dùng để kết nối mạng
của văn phòng chính và chi nhánh). Nhấn OK.
14. Một tính năng nổi bật nữa trong bản 2006 là trang Site to Site Network
Access Rule. Tại đây, bạn có thể cấu hình một Access Rule để cho phép các kết
nối từ trụ sở đến chi nhánh.
Khi chọn Create an allow Access Rule. This rule will allow traffic cetween the
Internal Network and the new site to site Network for all users, bạn có 3 lựa
chọn từ menu xổ xuống Apply the rule to these protocols.
- All outbound traffic: dùng khi bạn muốn cho phép tất cả các truy cập từ văn
phòng chính đến chi nhánh.
- Selected protocols: Mục này được dùng khi bạn muốn kiểm soát các truy cập
từ trụ sở tới chi nhánh. Nếu muốn hạn chế kết nối trong một số giao thức, chọn
mục này rồi nhấn vào nút Add cho tất cả các giao thức. Chú ý: lúc này bạn
không thể khóa việc sử dụng giao thức ở phía người sử dụng. Bạn phải đợi cho
đến khi wizard này kết thúc rồi tới mục Firewall Policy để thay đổi sau.
- All outbound traffic except selected: Lựa chọn này giúp bạn cho phép tất cả
các truy cập nhưng giới hạn giao thức. Nhấn nút Add để thiết lập các giao thức
bạn muốn khóa.
Ở thực nghiệm này, chúng ta chọn All outbound traffic. Nhấn Next.
15. Nhấn Finish trên trang Completing the New Site to Site Network Wizard.
16. Hộp thoại Remaining VPN Site to Site Tasks hiện ra báo bạn cần phải tạo
một tài khoản với cái tên VPN_TPHCM. Nhấn OK.
17. Chọn Remote Site Network và nhấn vào đường liên kết Edit Selected
Network trong cửa sổ Task.
18. Trong hộp thoại VPN_TPHCM Properties, thẻ General cung cấp thông tin
về Remote Site Network. Bạn có thể tắt hoặc bật kết nối VPN điểm-nối-điểm
từ thẻ này.
19. Trên thẻ Server, người dùng có thể thay đổi máy định danh kết nối cho kiểu
VPN điểm-nối-điểm. Bạn chỉ có thể chỉ định một máy duy nhất khi NLB
không được bật trên giao diện mở rộng của tường lửa ISA.
Nếu NLB được bật trên giao diện này, nó sẽ tự động chỉ định máy kết nối cho
bạn. Chú ý rằng bạn có thể tạo ra các dãy gateway VPN mà không cần bật
NLB. Tuy nhiên, trong hầu hết các trường hợp, bạn nên dùng đến cân bằng tải.
20. Trên thẻ Address, bạn có thể thay đổi hay thêm địa chỉ mạng khách.
21. Trên thẻ Remote NLB, bạn xác định các địa chỉ IP được chỉ định trên
gateway VPN ở mạng khách. Bạn chỉ cần cấu hình các địa chỉ IP nếu gateway
VPN ở mạng khách có sử dụng NLB.
Ở thực nghiệm này, chúng ta không thêm các địa chỉ mới vì NLB không được
bật lên ở tường lửa ISA tại mạng văn phòng TP HCM.
22. Trên thẻ Authentication, chọn giao thức thẩm định quyền truy cập mà bạn
muốn trên tường lửa ISA để dùng khi làm việc với gateway ở mạng chi nhánh.
Mặc định ở đây là Microsoft CHAP Version 2.
Lựa chọn an toàn nhất là EAP nhưng phương pháp này yêu cầu bạn chỉ định
chứng nhận (certificate) của người dùng cho các tài khoản.
23. Trên thẻ Protocol, cấu hình giao thức VPN mà bạn muốn để tạo ra tunnel
truyền dẫn cho mạng riêng ảo. Người dùng có thể thay đổi mật mã chung ở
đây.
24. Trên thẻ Connection, bạn có thể thay đổi các thuộc tính cho gateway VPN
của mạng khách. Người dùng sẽ thay đổi được thời gian duy trì kết nối VPN
trong khi không làm việc với máy (trạng thái idle). Mặc định là Never drop the
connection. Đóng hộp thoại VPN_TPHCM Properties.
25. Nhấn phải chuột vào Remote Site Network > Site to Site Summary
command. Trong hộp thoại, bạn sẽ thấy các thông tin cài đặt trên mạng chính
và Required site to site settings for the other end of this tunnel (yêu cầu cài đặt
đối với mạng khách).
26. Hoàn thành công đoạn cấu hình bằng cách nhấn vào Apply để lưu các thay
đổi. Nhấn OK trong hộp thoại Apply New Configuration.

voductuanqb.tk-Mạng riêng ảo VPN

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

voductuanqb.tk-Mạng riêng ảo VPN

Uploaded by

Copyright:

Available Formats

Mạng riêng ảo VPN (Phần 1)

Các loại VPN

Bảo mật trong VPN

Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công

IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề

Máy chủ AAA

Sản phẩm công nghệ dành cho VPN

- Server VPN cao cấp dành cho dịch vụ Dial-up.

Bộ xử lý trung tâm VPN

Bộ xử lý trung tâm VPN số hiệu 3000 của hãng Cisco. ( Ảnh:

Router dùng cho VPN

Tường lửa PIX của Cisco

Mạng riêng ảo VPN (Phần 2)

Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:

Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm

Kỹ thuật Tunneling trong mạng VPN truy cập từ xa

Mạng riêng ảo VPN (Phần 3)

Kỳ 1: Cách lắp đặt cho DC1

Khai báo địa chỉ IP.

13. Nhấn Next. Trên trang Add Exclusions, nhấn Next.

Mạng riêng ảo VPN (Phần 4)

3. Cài đặt dịch vụ Internet Authentication Service trong Networking Services ở

4. Mở trình Internet Authentication Service từ thư mục Administrative Tools.

13. Nhấn Next. Trên trang Access Method, chọn VPN.

IIS1 chạy Windows Server 2003, Standard Edition và dịch vụ Internet

2. Mở thư mục Network Connections.

6. Chạy trình Routing và Remote Access từ thư mục Administrative Tools.

10. Nhấn Next. Trên trang Remote Access, chọn VPN.

17. Nhấn OK.

20. Nhấn Add rồi OK.

1. Kết nối CLIENT1 với phân đoạn mạng Intranet.

3. Thêm tài khoản VPNUser trong domain example.com vào nhóm

6. Nhấn vào thẻ Alternate Configuration rồi chọn User configured.

7. Trong ô địa chỉ IP, gõ 10.0.0.1. Tại ô Subnet mask, gõ 255.255.255.0.

9. Tắt máy CLIENT1.

13. Trong Network Tasks, chọn Create a new connection.

17. Nhấn Next. Trên trang Connection Name, gõ PPTPtoCorpnet trong ô

19. Nhấn Next. Trên trang Connection Availability, nhấn Next.

22. Trên thẻ Networking, ở Type of VPN, nhấn PPTP VPN.

24. Trong ô User name, gõ example/VPNUser. Tại ô Password, gõ mật khẩu

25. Nhấn Connect.

26. Khi kết nối hoàn tất, chạy Internet Explorer.

Mạng riêng ảo VPN (Phần 5)

Trong mô hình thực nghiệm này, bạn cần:

1. Mở Active Directory Users và mục Computers

6. Trên trang Welcome to the Automatic Certificate Request Setup Wizard,

7. Trên trang Certificate Template, nhấn Computer.

9. Gõ gpupdate ở dấu nhắc để cập nhật Group Policy trên DC1.

1. Nhấn Start > Administrative Tools > Services

1. Tắt máy CLIENT1.

4. Tắt máy CLIENT1.

7. Trên CLIENT1, trong Control Panel, mở thư mục Network Connections.

8. Trong Network Tasks, nhấn vào Create a new connection.

9. Trên trang Welcome to the New Connection Wizard, nhấn Next.

12. Nhấn Next. Trên trang Connection Name, gõ L2TPtoMangcongty.

15. Nhấn Next. Trên trang Connection Availability, nhấn Next.

20. Trong ô User name, gõ exampleVPNUser. Trong ô Password, gõ mật khẩu

21. Nhấn Connect.

23. Trong ô Address, gõ http://IIS1.example.com/iisstart.htm. Bạn sẽ thấy một

Mạng riêng ảo VPN (Phần 6)

Mô hình thực nghiệm VPN truy cập từ xa. Ảnh: Microsoft

2. Trên menu File, nhấn Add/Remove Snap-in > Add.

5. Trong ô hiển thị chi tiết, nhấn vào mẫu User.

6. Trên menu Action, nhấn vào Duplicate Template.