Báo cáo thực tập athena

Báo Cáo Thực Tập GVHD : Trần Bá Nhiệm
Nguyễn Hồng Phúc Thực tập viên Athena 1
LỜI CẢM ƠN
Trong suốt quá trình xây dựng báo cáo thực tập, em đã nhận được rất nhiều sự
giúp đỡ từ các thầy cô cùng bạn bè. Em xin gởi lời cảm ơn chân thành và sâu sắc đối
với thầy Võ Đỗ Thắng, trung tâm an ninh và quản trị mạng quốc tế Athena đã tạo điều
kiện cho em thực tập ở trung tâm để có thể hoàn thành tốt báo cáo. Và em cũng xin
cảm ơn thầy Trần Bá Nhiệm đã nhiệt tình hướng dẫn em hoàn thành tốt khóa thực tập.
Trong quá trình thực tập, cũng như là trong quá trình làm bài báo cáo, thời gian
chỉ có một tháng rưỡi, lượng kiến thức của em cũng còn hạn chế nên khó tránh khỏi
sai sót. Rất mong các thầy , cô bỏ qua. Đồng thời do trình độ lý luận cũng như kinh
nghiệm thực tiễn còn nhiều hạn chế nên bài báo cáo không thể tránh khỏi những thiếu
sót, em rất mong nhận được ý kiến đóng góp của thầy , cô để em học hỏi thêm được
nhiều kinh nghiệm và hoàn thành tốt hơn cho bài báo cáo này.
Em xin chân thành cảm ơn !!!

LỜI CẢM ƠN……………………………………………………………………1
LỜI MỞ ĐẦU……………………………………………………………………5
CHƢƠNG I : CÔNG VIỆC THỰC TẬP
1.GIỚI THIỆU DOANH NGHIỆP THỰC TẬP – TRUNG TÂM ĐÀO TẠO
QUẢN TRỊ MẠNG VÀ AN NINH MẠNG QUỐC TẾ ATHENA…...............7
1.1 Trụ sở và các chi nhánh …………………………………………………8
1.1.1 Trụ sở chính………………………………………………………...8
1.1.2 Cơ sở 2 tại TP. Hồ Chí Minh ………………………………………8
1.2 Quá trình hình thành và phát triển của trung tâm…………………….8
1.3 Cơ cấu tổ chức …………………………………………………………..11
1.4 Các sản phẩm, giải pháp………………………………………………..11
1.4.1 Các khóa học dài hạn………………………………………………11
1.4.2 Các khóa học ngắn hạn…………………………………………….11
1.4.2.1 Khóa quản trị mạng……………………………………...11
1.4.2.2 Các sản phẩm khác ……………………………………...12
1.4.3 Cơ sở hạ tầng………………………………………………………12
1.4.4 Các dịch vụ hỗ trợ…………………………………………………12
1.4.5 Khách hàng………………………………………………………...13
1.4.6 Đối tác……………………………………………………………...13
2.CÁC NHIỆM VỤ VÀ DỊCH VỤ CỦA BỘ PHẬN THỰC TẬP…………...13
3.CÔNG VIỆC VÀ NHIỆM VỤ ĐƢỢC PHÂN CÔNG………………………13
4.THỜI GIAN THỰC TẬP……………………………………………………..14
CHƢƠNG II : NGHIÊN CỨU VÀ TRIỂN KHAI VPN
1.TỔNG QUAN………………………………………………………………….15
1.1 Định nghĩa………………………………………………………….15
1.2 Lịch sử phát triển của VPN……………………………………….16

1.3 Phân loại VPN……………………………………………………..17
1.4 Ƣu điểm và nhƣợc điểm của VPN………………………………..20
1.5 Các dạng kết nối mạng riêng ảo …………………………………21
1.5.1 Remote Access VPN….........................................................22
1.5.2 Mạng VPN cục bộ …………………………………………23
1.5.3 Mạng VPN mở rộng………………………………………..25
1.6 An toàn bảo mật của VPN trên Internet………………………...27
1.6.1 Bảo mật trong VPN………………………………………...27
1.6.2 Sự an toàn và tin cậy ………………………………………28
1.6.3 Hình thức an toàn ………………………………………….29
1.7 Các yếu tố cơ bản đối với một giải pháp VPN………………….30
1.7.1 Tính tương thích……………………………………...........30
1.7.2 Tính bảo mật……………………………………………….30
1.7.3 Tính khả dụng……………………………………………...31
1.7.4 Khả năng hoạt động tương tác…………………………….31
2.CÁC GIAO THỨC KẾT NỐI TUNNEL TRONG VPN…………………..31
2.1 Giao thức IPSEC…………………………………………………31
2.2 Giao thức Point to Point Tunneling Protocol…………………...33
2.2.1 Khái quát về PPTP…………………………………............33
2.2.2 Bảo mật trong PPTP………………………………………..34
2.2.3 Ưu điểm và nhược điểm của PPTP…………………………36
2.3 Giao thức L2TP…………………………………………………..36
2.3.1 Khái niệm………………………………………………….36
2.3.2 Ưu , nhược điểm điểm của L2TP………………………….37
2.3.3 Thiết lập kết nối tunnel…………………………………….38

3.TRIỂN KHAI MÔ HÌNH VPN……………………………………………..40
3.1 Triển khai mô hình VPN site – to – site trên local ……………..40
3.2 Vai trò và chức năng của các thiết bị trong mô hình …………..40
3.3 Tổng quan các bƣớc thực hiện …………………………………..40
3.4 Tiến hành………………………………………………………….41
4.TRIỂN KHAI MÔ HÌNH VPN CLIENT – TO – SITE TRÊN MÔI TRƢỜNG
INTERNET ( VPS )………………………………………………………….....78
4.1 Mô hình tổng quát………………………………………………...78
4.2 Tổng quan các bƣớc thực hiện …..................................................78
4.3 Tiến hành…………………………………………………………..78
CHƢƠNG III : TRIỂN KHAI DỊCH VỤ MAIL SERVER
1.GIỚI THIỆU VỀ MAIL SERVER…..............................................................93
1.1 Mail server………………………………………………………….93
2.TRIỂN KHAI MAIL SERVER TRÊN MÔI TRƢỜNG INTERNET VPS
………………………………………………………………………………........95
CHƢƠNG IV : TẠO WEB JOOMLA
1.GIỚI THIỆU VỀ JOOMLA…………………………………………………112
2.ỨNG DỤNG CỦA JOOMLA…………………………………………..........113
3.TẠO WEB BẰNG JOOMLA 2.5……………………………………………113
4.UPLOAD WEB JOOMLA LÊN HOST…………………………………….154
CHƢƠNG V : KẾT LUẬN…………………………………………………….159
TÀI LIỆU THAM KHẢO……………………………………………………...160

LỜI MỞ ĐẦU
Hiện nay,Internet đang phát triển mạnh mẽ cả về mặt mô hình lẫn tổ
chức, đáp ứng khá đầy đủ các nhu cầu của người sử dựng. Internet đã được thiết
kế để kết nối nhiều mạng với nhau và cho phép thông tin chuyển đến người sử
dụng một cách tự do và nhanh chóng.Để làm được điều này người ta sử dụng
một hệ thống các thiết bị định tuyến để kết nối các LAN và WAN với nhau.Các
máy tính được kết nối vào Internet thông qua các nhà cung cấp dịch vụ ISP. Với
Internet, những dịch vụ như đào tạo từ xa, mua hàng trực tuyến, tư vấn các lĩnh
vực và rất nhiều điều khác đã trở thành hiện thực. Tuy nhiên do Internet có
phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất
khó khăn trong việc bảo mật và an toàn dữ liệu, cũng như việc quản lý dịch vụ.
Các doanh nghiệp có chuỗi chi nhánh, cửa hàng ngày càng trở nên phố
biến. Không những vậy , nhiều doanh nghiệp còn triển khai đội ngũ bán hàng
đến tận người dùng. Do đó, để kiểm soát, quản lý, tận dụng tốt nguồn tài
nguyên, nhiều doanh nghiệp đã triển khai giải pháp phần mềm quản lý nguồn
tài nguyên có khả năng hỗ trợ truy cập, truy xuất thông tin từ xa. Tuy nhiên,
việc truy xuất cơ sỡ dữ liệu từ xa luôn đòi hỏi cao về vấn đề an toàn , bảo mật
Bên cạnh đó các hình thức phá hoại mạng, cũng trở nên tinh vi và phức
tạp hơn. Do đó đối với mỗi hệ thống, nhiêm vụ bảo mật được dặt ra cho người
quản trị là hết sức quan trọng và cần thiết. xuất phát từ những thực tế đó, đã có
rất nhiều công nghệ liên quan đến bảo mật hệ thống mạng máy tính xuất hiện,
việc nắm bắt các công nghệ này là rất cần thiết.
Tuy nhiên do Internet có phảm vi toàn cầu và không một tổ chức, chính
phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu
trong việc quản lý các dịch vụ. Từ đó người ta đã đưa ra một mô hình mạng
mới nhằm thỏa mãn những yêu cầu trên mà vẫn có thể tận dụng cơ sở hạ tầng
hiện có của Internet, đó chính là mô hình mạng riêng ảo VPN. Với mô hình
này, người ta không phải đầu tư thêm nhiều vào cơ sở hạ tầng mà các tính năng
bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được sự hoạt
động của mạng này. VPN cho phép người sử dụng làm việc tại nhà , trên đường
đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức

mình bằng cơ sở hạ tầng được cung cấp bởi mạng cộng đồng. Nó có thể đảm
bảo an toàn thông tin giữa các đại lý, người cung cấp, và các đối tác kinh doanh
với nhân. Trong nhiều trường hợp VPN cũng giống như WAN, tuy nhiên đặc
tính quyết định VPN là chúng có thể dùng mạng cộng đồng như Internet mà vẫn
đảm bảo tính riêng tư và tiết kiệm chi phí đầu tư.
Cùng với sự bùng nổ và phát triển của công nghệ thông tin thì việc trao
đổi thông tin đã trở nên dễ dàng hơn. Một trong những cách để trao đổi thông
tin trên Internet không thể không nhắc tới vì lợi ích mà nó mang lại đó dịch vụ
mail server. Nó có những lợi ích đang kể so với cách viết thư truyền thống giấy
và mực. Một thông điệp, một tin nhắn, lới chúc mừng, hay văn bản,…. Có thể
được gửi tại bất kì thời điểm nào , bất kì nơi nào một cách dễ dàng và nhanh
chóng gần như là ngay lập tức. Đối với các doanh nghiệp, Mail server lại càng
trở nên quan trọng hơn trong những mẫu tin quảng cao gửi tới nhiều khách
hàng, các bản hợp đồng gửi tới những đối tác trong nước hay ngoài nước , hay
các thông báo cho các nhân viên trong công ty …, với khả năng chuyển giao
nhanh chóng , chi phí rẻ thì đó là một sự lựa chọn không thể thiếu cho các
doanh nghiệp.
Nhận thấy được tầm quan trọng của dịch vụ VPN và Mail server nên
trong đồ án báo cáo thực tập này em đã chọn : “ tìm hiểu và triển khai dịch vụ
VPN và triển khai dịch vụ mail server “.Về Sau còn bổ sung thêm phần Tạo
Web trên joomla. Virtual Private Network ,Mail Server hay Web Joomla là
những vấn đề rộng rãi, mặc dù là sinh viên ngành quản trị mạng nhưng kinh
nghiệm làm việc và kỹ thuật còn hạn chế, nội dung của tài liệu còn có phần sai
sót nên mong thầy , cô, cùng các bạn đóng góp nhiều ý kiến bổ sung thêm để tôi
có thể hoàn thành đồ án này một cách chính xác.
Trong quá trình xây dựng đồ án thực tập, tôi đã nhận được nhiều sự giúp
đỡ, góp ý từ các giảng viên của trung tâm Athena, trường đại học Gia Định. Tôi
xin chân thành cảm ơn sự hướng dẫn của thầy Võ Đỗ Thắng và thầy Trần Bá
Nhiệm là những người thầy trực tiếp hướng dẫn báo cáo thực tập, giúp tôi có
thể hoàn thành tốt kỳ thực tập này. Em xin chân thành cảm ơn !!!

CHƢƠNG I: CÔNG VIỆC THỰC TẬP
1.GIỚI THIỆU DOANH NGHIỆP THỰC TẬP – TRUNG TÂM ĐÀO TẠO
QUẢN TRỊ MẠNG VÀ AN NINH MẠNG QUỐC TẾ ATHENA
Trung Tâm Đào Tạo Quản Trị Mạng và An Ninh Mạng Quốc Tế ATHENA , tiền
thân là Công ty TNHH Tư vấn và Đào tạo quản trị mạng Việt Năng, (tên thương hiệu
viết tắt là TRUNG TÂM ĐÀO TẠO ATHENA), được chính thức thành lập theo
giấy phép kinh doanh số 4104006757 của Sở Kế Hoạch Đầu Tư Tp Hồ Chí Minh cấp
ngày 04 tháng 11 năm 2008.
Tên công ty viết bằng tiếng nước ngoài: ATHENA ADVICE TRAINING
NETWORK SECURITY COMPANY LIMITED.
ATHENA là một tổ chức quy tụ nhiều trí thức trẻ Việt Nam đầy năng động, nhiệt
huyết và kinh nghiệm trong lĩnh vực công nghệ thông tin. Với quyết tâm góp phần vào
công cuộc thúc đẩy tiến trình tin học hóa của nước nhà. ATHENA đã và đang tập
trung chủ yếu vào các họat động sau:
 Đào tạo chuyên sâu quản trị mạng, an ninh mạng, thương mại điện tử theo các
tiêu chuẩn quốc tế của các hãng nổi tiếng như Microsoft, Cisco, Oracle, Linux LPI ,
CEH,... Song song đó, trung tâm ATHENA còn có những chương trình đào tạo cao
cấp dành riêng theo đơn đặt hàng của các đơn vị như Bộ Quốc Phòng, Bộ Công An ,
ngân hàng, doanh nghiệp, các cơ quan chính phủ, tổ chức tài chính..Qua đó cung cấp
nguồn nhân lực trong lĩnh vực công nghệ thông tin, đặc biệt là chuyên gia về mạng
máy tính và bảo mật mạng đạt trình độ quốc tế cho các tổ chức, doanh nghiệp có nhu
cầu.
 Tư vấn và hổ trợ cho doanh nghiệp ứng dụng hiệu quả tin học vào hoạt động
sản xuất kinh doanh.
 Tiến hành các hoạt động nghiên cứu nâng cao kiến thức tin học và phát triển cơ
sở dữ liệu thông tin về các ứng dụng và sự cố mạng.
 Tiến hành các dịch vụ ứng cứu khẩn cấp cho doanh nghiệp trong trường hợp
xảy ra sự cố máy tính.

Sau gần 10 năm hoạt động,nhiều học viên tốt nghiệp trung tâm ATHENA đã là
chuyên gia đảm nhận công tác quản lý hệ thống mạng, an ninh mạng cho nhiều bộ
ngành như Cục Công Nghệ Thông Tin - Bộ Quốc Phòng , Bộ Công An, Sở Thông Tin
Truyền Thông các tỉnh, bưu điện các tỉnh,…
Ngoài ra, Trung tâm ATHENA còn có nhiều chương trình hợp tác và trao đổi
công nghệ với nhiều đại học lớn như đại học Bách Khoa Thành Phố Hồ Chí Minh,
HọcViệnAn Ninh Nhân Dân( Thủ Đức), Học Viện Bưu Chính Viễn Thông, Hiệp hội
an toàn thông tin (VNISA), Viện Kỹ Thuật Quân Sự...
1.1 Trụ sở và các chi nhánh:
1.1.1 Trụ sở chính:
Trung Tâm Đào Tạo Quản Trị Mạng và An Ninh Mạng Quốc Tế ATHENA.
Số 2 Bis Đinh Tiên Hoàng, Phường Đa Kao, Tp Hồ Chí Minh, Việt Nam.
Điện thoại: ( 84-8 ) 3824 4041
Hotline: 0943 23 00 99
1.1.2 Cơ sở 2 tại TP Hồ Chí Minh:
Trung Tâm Đào Tạo Quản Trị Mạng và An Ninh Mạng Quốc Tế ATHENA
92 Nguyễn Đình Chiểu ,Phường Đa Kao,Quận 1, Tp Hồ Chí Minh, Việt Nam.
Website: www.Athena.Edu.Vn
Điện thoại: ( 84-8 ) 2210 3801
Hotline: 0943 20 00 88
1.2 Quá trình hình thành và phát triển của trung tâm:
 Một nhóm các thành viên là những doanh nhân tài năng và thành công trong
lĩnh vực công nghệ thông tin đã nhận ra tiềm năng phát triển của việc đào tạo nền
công nghệ thông tin nước nhà. Họ là những cá nhân có trình độ chuyên môn cao và có
đầu óc lãnh đạo cùng với tầm nhìn xa về tương lai của ngành công nghệ thông tin
trong tương lai, họ đã quy tụ được một lực lượng lớn đội ngũ công nghệ thông tin

trước hết là làm nhiệm vụ ứng cứu máy tính cho các doanh nghiệp, cá nhân có nhu
cầu. Bước phát triển tiếp theo là vươn tầm đào đạo đội ngũ cán bộ công nghệ thông tin
cho đất nước và xã hội.
 Các thành viên sáng lập trung tâm gồm:
o Ông Nguyễn Thế Đông: Cựu giám đốc trung tâm ứng cứu máy tính
Athena, hiện tại là giám đốc dự án của công ty Siemen Telecom.
o Ông Hứa Văn Thế Phúc: Phó Giám đốc Phát triển Thương mại Công ty
EIS, Phó Tổng công ty FPT.
o Ông Nghiêm Sỹ Thắng: Phó Tổng giám đốc Ngân hàng Liên Việt, chịu
trách nhiệm công nghệ thông tin của Ngân hàng.
o Ông Võ Đỗ Thắng: Hiện đang là giám đốc Trung tâm đào tạo quản trị và
an ninh mạng Athena.
 Đến năm 2003, bốn thành viên sáng lập cùng với với đội ngũ ứng cứu máy
tính gần 100 thành viên hoạt động như là một nhóm, một tổ chức ứng cứu máy tính
miền Nam.
 Từ năm 2004- 2006: Trung tâm có nhiều bước phát triển và chuyển mình.
Trung tâm trở thành một trong những địa chỉ tin cậy của nhiều doanh nghiệp nhằm cài
đặt hệ thống an ninh mạng và đào tạo cho đội ngũ nhân viên của các doanh nghiệp về
các chương trình quản lý dự án MS Project 2003, kỹ năng thương mại điện tử, bảo
mật web… và là địa chỉ tin cậy của nhiều học sinh_sinh viên đến đăng kí học. Đòi hỏi
cấp thiết trong thời gian này của Trung tâm là nâng cao hơn nữa đội ngũ giảng viên
cũng như cơ sở để đáp ứng nhu cầu ngày càng cao về công nghệ thông tin của đất
nước nói chung, các doanh nghiệp, cá nhân nói riêng.Năm 2004, công ty mở rộng hoạt
động cung cấp giải pháp, dịch vụ cho khu vực miền Trung thông qua việc thành lập
văn phòng đại diện tại Đà Nẵng.

 Đến năm 2006: Trung tâm đào tạo quản trị và an ninh mạng Athena mở ra
thêm một chi nhánh tại Cư xá Nguyễn Văn Trỗi. Đồng thời tiếp tục tuyển dụng đội
ngũ giảng viên là những chuyên gia an ninh mạng tốt nghiệp các trường đại học và
học viện công nghệ thông tin uy tín trên toàn quốc, đồng thời trong thời gian này
Athena có nhiều chính sách ưu đãi nhằm thu hút đội ngũ nhân lực công nghệ thông tin
lành nghề từ các doanh nghiệp, tổ chức, làm giàu thêm đội ngũ giảng viên của trung
tâm.
 Đến năm 2008: Hàng loạt các trung tâm đào tạo quản trị và an ninh mạng mọc
lên, cùng với khủng hoảng kinh tế tài chính toàn cầu đã làm cho Trung tâm rơi vào
nhiều khó khăn. Ông Nguyễn Thế Đông cùng Ông Hứa Văn Thế Phúc rút vốn khỏi
công ty gây nên sự hoang man cho toàn bộ hệ thống trung tâm. Cộng thêm chi nhánh
tại Cư xã Nguyễn Văn Trỗi hoạt động không còn hiệu quả phải đóng cửa làm cho
trung tâm rơi từ khó khăn này đến khó khăn khác. Lúc này, với quyết tâm khôi phục
lại công ty cũng như tiếp tục sứ mạng góp phần vào tiến trình tin học hóa của đất
nước. Ông Võ Đỗ Thắng mua lại cổ phần của hai nhà đầu tư lên làm giám đốc và xây
dựng lại trung tâm. Đây là một bước chuyển mình có ý nghĩa chiến lược của trung
tâm. Mở ra một làn gió mới và một giai đoạn mới, cùng với quyết tâm mạnh mẽ và
một tinh thần thép đãgiúp ông Thắng vượt qua nhiều khó khăn ban đầu, giúp trung
tâm đứng vững trong thời kì khủng hoảng.
 Từ năm 2009 – nay: Cùng với sự lãnh đạo tài tình và đầu óc chiến lược. Trung
tâm đào tạo quản trị và an ninh mạng dần được phục hồi và trở lại quỹ đạo hoạt động
của mình. Đến nay, Trung tâm đã trở thành một trong những trung tâm đào tạo quản
trị mạng hàng đầu Việt Nam. Cùng với sự liên kết của rất nhiều công ty, tổ chức
doanh nghiệp, trung tâm trở thành nơi đào tạo và cung cấp nguồn nhân lực công nghệ
thông tin cho xã hội. Từng bước thực hiện mục tiêu góp phần vào tiến trình tin học
hóa nước nhà.

1.3 Cơ cấu tổ chức:
Sơ đồ tổ chức công ty
1.4 Các sản phẩm, giải pháp:
1.4.1 Các khóa học dài hạn:
- Chương trình đào tạo chuyên gia an ninh mạng. ( AN2S) Athena network
security specialist.
- Chương trình Quản trị viên an ninh mạng (ANST) Athena netuwork security
Technician.
- Chuyên viên quản trị mạng nâng cao (ANMA) Athena network manager
Administrator.
1.4.2 Các khóa học ngắn hạn:
1.4.2.1 Khóa Quản trị mạng :
- Quản trị mạng Microsoft căn bản ACBN
- Phần cứng máy tính, laptop, server
- Quản trị hệ thống mạng Microsoft MCSA Security.
- Quản trị mạng Microsoft nâng cao MCSE

- Quản trị window Vista
- Quản trị hệ thống Window Server 2008, 2012
- Lớp Master Exchange Mail Server
- Quản trị mạng quốc tế Cissco CCNA
- Quản trị hệ thống mạng Linux 1 và Linux 2.
Khóa thiết kế web và bảo mật mạng
- Xây dựng, quản trị web thương mại điện tử với Joomla và VirtuMart
- Lập trình web với Php và MySQL
- Bảo mật mạng quốc tế ACNS
- Hacker mũ trắng
- Athena Mastering Firewall Security
- Bảo mật website.
1.4.2.2 Các sản phẩm khác
- Chuyên đề thực hành sao lưu và phục hồi dữ liệu
- Chuyên đề thực hành bảo mật mạng Wi_Fi
- Chuyên đề Ghost qua mạng
- Chuyên đề xây dựng và quản trị diễn đàn
- Chuyên đề bảo mật dữ liệu phòng chống nội gián
- Chuyên đề quản lý tài sản công nghệ thông tin
- Chuyên đề kỹ năng thương mại điện tử.
1.4.3 Cơ sở hạ tầng
- Thiết bị đầy đủ và hiện đại.
- Chương trình cập nhật liên tục, bảo đảm học viên luôn tiếp cận với những công
nghệ mới nhất.
- Phòng máy rộng rãi, thoáng mát.
1.4.4 Các dịch vụ hỗ trợ:
- Đảm bảo việc làm cho học viên tốt nghiệp khoá dài hạn

- Giới thiệu việc làm cho mọi học viên
- Thực tập có lương cho học viên khá giỏi
- Ngoài giờ học chính thức, học viên được thực hành thêm miễn phí, không giới
hạn thời gian
- Hỗ trợ kỹ thuật không thời hạn trong tất cả các lĩnh vực liên quan đến máy tính,
mạng máy tính, bảo mật mạng
- Hỗ trợ thi Chứng chỉ Quốc tế
1.4.5 Khách hàng :
- Mọi đối tượng chuyên hoặc không chuyên về CNTT.
- Khách hàng chủ yếu của ATHENA là các bạn học sinh, sinh viên và các cán bộ
công nhân viên chức yêu thích lĩnh vực công nghệ thông tin.
1.4.6 Đối tác:
Trung tâm đào tạo an ninh mạng ATHENA là đối tác đào tạo & cung cấp nhân
sự CNTT, quản trị mạng , an ninh mạng chất lượng cao theo đơn đặt hàng cho các đơn
vị như ngân hàng, doanh nghiệp, các cơ quan chính phủ, tổ chức tài chính...
2. CÁC NHIỆM VỤ VÀ DỊCH VỤ CỦA BỘ PHẬN THỰC TẬP
Bộ phận thực tập : Bộ phận triển khai kỹ thuật.
Nhiệm vụ và dịch vụ:
 Triển khai lắp đặt hệ thống mạng.
 Bảo trì hệ thống mạng.
 Tư vấn hỗ trợ quản trị hệ thống mạng.
3. CÔNG VIỆC VÀ NHIỆM VỤ ĐƢỢC PHÂN CÔNG
 Nghiên cứu các dịch vụ mạng trên Windows Server 2008.
 Triển khai các dịch vụ mạng trên Windows Server 2008.
 Yêu cầu nhiệm vụ: Có kiến thức tốt về Network, System, Security.

4. THỜI GIAN THỰC TẬP
Từ ngày 24/02/2014 đến ngày 04/04/2014

CHƢƠNG II : NGHIÊN CỨU VÀ TRIỂN KHAI VPN
1. Tổng quan
1.1 Định nghĩa
VPN - Virtual Private Network – Mạng riêng ảo là phương pháp làm cho 1
mạng công cộng hoạt động giống như 1 mạng cục bộ, có cùng các đặc tính như bảo
mật và tính ưu tiên mà người dùng từng ưu thích. VPN cho phép thành lập các kết nối
riêng với những người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của
công ty đang sử dụng chung 1 mạng công cộng.Mạng diện rộng WAN truyền thống
yêu cầu công ty phải trả chi phí và duy trì nhiều loại đường dây riêng… Trong khi đó
VPN không bị những rào cản về chi phí như các mạng WAN do được thực hiện qua
một mạng công cộng.
Mạng riêng ảo là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng
nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây, để truy cập
từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access
quay số dựa trên mạng điện thoại. Phương thức này vừa tốn kém vừa không an toàn.
VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia

sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu.
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng
(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng
LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê
bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của
một tổ chức với địa điểm hoặc người sử dụng ở xa.
Giải pháp VPN được thiết kế cho những tổ chức có xu hướng tăng cường
thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên
ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và
thời gian.
1.2 Lịch sử phát triển của VPN
Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN) bắt đầu từ
yêu cầu của khách hàng (client), mông muốn có thể kết nối một cách có hiểu quả với
các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng (WAN). Trước
kia, hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) trước kia sử dụng các
đường thuê riêng cho việc tổ chức mạng chuyên dùng để thực hiện việc thông tin với
nhau.
Các mốc đánh dấu sự phát triển của VPN:
- Năm 1975, Francho Telecom đưa ra dịch vụ Colisee có thể cung cấp phương
thức gọi số chuyên dùng cho khách hàng. Dịch vụ này căn cứ vào lượng dịch vụ mà
đưa ra cước phí và nhiều tính năng quản lý khác.
- Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên riêng là mạng
được định nghĩa bằng phần mềm SDN.
- Năm 1986, Sprint đưa ra Vnet, Telefornica Tây Ban Nha đưa ra Ibercom.
- Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một số doanh
nghiệp vừa và nhỏ có thể sử dụng dịch vụ VPN và đã tiết kiệm được 30% chi phí.
Điều này đã kích thích sự phát triển nhanh chóng dịch vụ này tại Mỹ.
- Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.

- Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN; Telestra của Ô-
xtray-li-a đưa ra dịch vụ VPN trong nước đầu tiên ở khu vực châu Á-Thái Bình
Dương.
- Năm 1992, Viễn thông Hà Lan và Telia Thủy Điển thành lập công ty hợp tác
đầu tư Unisoure, cung cấp dịch vụ VPN.
- Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập liên minh
toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, trong đó có dịch vụ VPN.
- Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert, cung cấp dịch
vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…
- Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu
(GVPNS).
- Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), viễn thông Pháp
(Prench Telecom) kết thành liên minh Global One.
- Năm 1997, có thể coi là một năm rực rỡ với công ghệ VPN, công nghệ VPN có
mặt trên khắp các tạp chí công nghệ, các cuộc hội thảo….Các mạng VPN xây dựng
trên cơ sở hạ tầng mạng Internet công cộng đã mang lại một khả năng mới, một cái
nhìn mới cho VPN. Công nghệ VPN là giải pháp thông tin tối ưu cho các công ty tổ
chức có nhiều văn phòng, chi nhánh lựa chọn.
Ngày nay, với sự phát triển của công nghệ, cơ sở hạ tầng mạng IP (Internet) ngày
một hoàn thiện đã làm cho khả năng của VPN ngày một hoàn thiện. Hiện nay, VPN
không chỉ dùng cho các dịch vụ thoại mà còn dùng cho các dịch vụ dữ liệu, hình ảnh
và các dịch vụ đa phương tiện.
1.3 Phân loại VPN
Có hai loại VPN phổ biến hiện nay là VPN truy cập từ xa (Remote Access) và
VPN điểm nối điểm (site-to-site).
- VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (Virtual private
Dial-up Network - VPDN ), là một thiết kế nối người dùng đến LAN, thường là nhu
cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất
nhiều địa điểm ở xa. Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến một
nhà cung cấp dịch vụ doanh nghiệp (ESP). ESP này tạo ra một máy chủ truy cập mạng

(NAS) và cung cấp cho những người dùng từ xa một phần mềm máy khách cho máy
tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và
dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN
này cho phép các kết nối an toàn, có mật mã.
- VPN điểm nối điểm là việc sử dụng mật mã dành cho nhiều người để kết nối
nhiều điểm cố định với nhau thông qua một mạng công cộng như mạng Internet. Loại
này có thể dựa trên Intranet và Extranet. Loại dựa trên Intranet: Nếu một công ty có
vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một
VPN Intranet (VPN nội bộ) để nối LAN với LAN. Loại dựa trên Extranet : Khi một
công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp,
khách hàng,… ), họ có thể xây dựng một VPN Extranet (VPN mở rộng) kết nối LAN
với LAN để nhiều tổ chức khác nhau có thể làm việc trên cùng một môi trường chung.
Mô hình VPN Site-to-site
Lợi ích của VPN :
Lợi ích cho công ty:
+ Mở rộng kết nối ra nhiều khu vực và cả thế giới
+ Tăng cường an ninh mạng

+ Giảm chi phí so với việc thiết lập mạng WAN truyền thống
+ Giúp nhân viên làm việc từ xa, do đó giảm chi phí giao thông và tăng khả
năng tương tác.
+ Đơn giản hóa mô hình kiến trúc mạng
+ Hỗ trợ làm việc từ xa.
+ Cung cấp khả năng tương thích với mạng lưới mạng băng thông rộng.
+ Quản lý dễ dàng.
+ Khả năng lựa chọn tốc độ tối đa từ tốc độ 9,6 Kbit/s tới T1/E1 hoặc sử dụng
công nghệ DSL.
+ Khả năng cung cấp dịch vụ một cách nhanh chóng: VPN được cung cấp trên
mạng IP tích hợp được một số ưu điểm của mạng này đó là khả năng liên kết lớn,
mạng lưới sẵn có vì vậy giảm thiểu thời gian cung cấp dịch vụ.
 Đối với nhà cung cấp dịch vụ:
+ Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia
tăng giá trị khác kèm theo.
+ Tăng hiệu quả sự dụng mạng Internet hiện tại.
+ Kéo theo khả năng tư vấn thiết kế mạng cho khách hàng, đây là một yếu tố
quan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hàng
đặc biệt là các khách hàng lớn.
+ Đầu tư không lớn đem lại hiệu quả cao.
+ Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ. Thiết bị sử
dụng cho mạng VPN.
Chức năng của VPN:
VPN cung cấp 4 chức năng chính đó là: tính xác thực (Authentication), tính toàn
vẹn (Integrity), và tính bảo mật (Confidentiality), điều khiển truy cập ( access control )
 Tính xác thực: Để thiết lập một kết nối VPN thì trước hết cả 2 phía phải xác
thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong
muốn chứ không phải là một người khác.

 Tính toàn vẹn: Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất
kỳ sự xáo trộn nào trong quá trình truyền dẫn.
 Tính bảo mật: Người gửi có thể mã hóa các gói dữ liệu trước khi truyền qua
mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy, không
một ai có thể truy nhập thông tin mà không được phép. Thậm chí nếu có lấy được thì
cũng không đọc được.
 Điều khiển truy cập : hạn chế được việc đạt được quyền truy cập vào mạng của
những người dùng bất hợp pháp.
1.4 Ƣu điểm và nhƣợc điểm của VPN.
Ưu điểm:
Mạng riêng ảo mang lại lợi ích thực sự và tức thời cho các công ty, tổ chức, giúp
đơn giản hóa việc trao đổi thông tin giữa các nhân viên làm việc ở xa, người dùng lưu
động, mở rộng Intranet đến từng văn phòng ….
 Tiết kiệm chi phí: việc sử dụng VPN sẽ giúp các công ty giảm được chi phí
đầu tư và chi phí thường xuyên. nhiều số liệu cho thấy, giá thành cho việc kết nối
LAN-to-WAN giảm từ 20 tới 30% so với việc sử dụng đương thuê riêng truyền thống,
còn đối với việc truy cập từ xa giảm từ 60 tới 80%.
 Tính linh hoạt: tính linh hoạt ở đây không chỉ thể hiện trong quá trình vận
hành và khai thác mà nó còn thực hiện mềm dẻo đối với yêu cầu sử dụng. khách hàng
có thể sử dụng.
 Khả năng mở rộng: Do VPN được xây dụng dựa trên có sở hạ tầng mạng
công cộng nên bất cứ ở nơi nào có mạng công cộng (như Internet ) điều có thể triển
khai VPN. Dễ dàng mở rộng băng thông hay gỡ bỏ VPN khi không có nhu cầu.
 Giảm thiểu các hỗ trợ kỹ thuật: việc chuẩn hóa trên một kiểu kết nối đối
tượng di động đến một POP của ISP và việc chuẩn hóa các yêu cầu về bảo mật đã làm
giảm thiểu nhu cầu về nguồn hỗ trợ kỹ thuật cho mạng VPN.
 Giảm thiểu các yêu cầu về thiết bị: bằng việc cung cấp một giải pháp truy
nhập cho các doanh nghiệp qua đường Internet, việc yêu cầu về thiết bị ít hơn và đơn
giản hơn nhiều so với việc bảo trì các modem riêng biệt, các card tương thích cho thiết
bị đầu cuối và các máy chủ truy nhập từ xa.

 Đáp ứng nhu cầu thương mại: Đối với các thiết bị và công nghệ viễn thông
mới thì những vấn đề cần quan tâm là chuẩn hóa, các khả năng quản trị, mở rộng và
tích hợp mạng, tính kế thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng
thương mại của sản phẩm.
Nhược điểm:
 Phụ thuộc nhiều vào chất lượng của mạng Internet: Sự quả tải hay tắc nghẽn
mạng làm ảnh hưởng đến chất lượng truyền thông tin.
 Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay dựa hoàn toàn trên cơ sở kỹ
thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainfames) và các
thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPNs không phù
hợp được với các thiết bị và giao thức) .
 Vấn đề an ninh: Một mạng riêng ảo thường rẻ và hiệu quả hơn so với các giải
pháp sử dụng kênh thuê riêng. Tuy nhiên, nó cũng tiềm ẩn nhiều rủi ro an ning khó
lường trước và do đó sự an toàn sẽ không là tuyệt đối.
 Độ tin cậy và thực thi: VPN sử dụng phương pháp mã hóa để bảo mật dữ liệu,
và các hàm mật mã phức tạp có thể dẫn đến lưu lượng tải trên các máy chủ là khá
nặng.
1.5 Các dạng kết nối mạng riêng ảo
 Phân loại kỹ thuật VPN dựa trên 3 yêu cầu cơ bản.
- Người sử dụng ở xa có thể truy cập vào tài nguyên mạng đoàn thể bất kỳ thời
gian nào.
- Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau
- Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung
cấp hay các thực thể ngoài khác là đều quan trọng đối với tổ chức hay cơ quan.
 Dựa vào những yêu cầu cơ bản trên VPN được chia thành:
- Mạng VPN truy cập từ xa (Remote Access VPN)
- Mạng VPN cục bộ (Intranet VPN)
- Mạng VPN mở rộng (Extranet VPN)

1.5.1 Remote Access VPN
Giống như gợi ý của tên gọi, Remote Access VPNs cho phép truy cập bất cứ lúc
nào bằng Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết
nối đến tài nguyên mạng của tổ chức. Đặc biệt là những người dùng thường xuyên di
chuyển hoặc các chi nhánh văn phòng nhỏ mà không có kết nối thường xuyên đến
mạng Intranet hợp tác.
Một số thành phần chính:
Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác nhận và
chứng nhận các yêu cầu gửi tới.
Quay số kết nói đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu
ở khá xa so với trung tâm.
Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ
truy cập từ xa bởi người dung.
Bằng việc triển khai Remote Access VPN, những người dùng từ xa hoặc các chi
nhánh văn phòng chỉ cần cài đặt một số kết nối cục bộ đến nhà cung cấp dịch vụ ISP
hoặc các ISP’s POP và kết nối đến tài nguyên thông qua Internet. Thông tin Remote
Access Setup được mô tả bởi hình vẽ sau:

Minh họa một Remote Access
Ưu và nhược điểm của Remote Access VPN
o Ưu điểm:
- Mạng VPN truy cập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá
trình kết nối từ xa được các ISP thực hiện.
- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khảng
cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet.
- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc
độ cao hơn các truy nhập khoảng cách xa.
- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng
hỗ trợ mức thấp nhất của dịch vụ kết nối.
o Nhược điểm :
- Remote Access VPNs cũng không đảm bảo được chất lượng phục vụ.
- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói tin dữ liệu
có thể đi ra ngoài và bị thất thoát.
- Do độ phức tạp của thuật toán mã hóa , protocol overheal tăng đáng kể, điều
này gây khó khăn cho quá trình xác nhận. thêm vào đó, việc nén dữ liệu IP và PPP-
based diễn ra vô cùng chậm chạp và tồi tệ.
- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các gói dữ liệu lớn
như các gỡi dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm.
- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo chất lượng dich
vụ. Bởi vì thuật toán mã hóa phức tạp, nên tiêu đề giao thức tăng một cách đáng kể.
Thêm vào đó việc nén dữ liệu IP xẩy ra chậm.
- Do qua trình truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn
thì sẽ rất chậm.
1.5.2 Mạng VPN cục bộ (Intranet VPN)
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác
nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên

một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hóa bảo mật. Điều này cho
phép tất cả các địa điểm có thể truy cập an toàn các nguồn dữ liệu được phép trong
toàn bộ mạng của công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng
mở rộng, tính tin cậy và hỗ trợ cho nhiều giao thức khác nhau với chi phí thấp nhưng
vẫn bảo đảm được tính mềm giẻo. Kiểu VPN này thường được cấu hình như một VPN
Site-to Site.
Intranet VPN thường được sử dụng để kết nối các văn phòng chi nhánh của tổ
chức mạng với mạng intranet trung tâm. Trong hệ thống intranet không sử dụng kỹ
thuật VPN thì ở mỗi site ở xa khi kết nối intranet trung tâm phải sử dụng campus
router
Mô hình Intranet
Hệ thống có chi phí cao bởi có ít nhất là 2 router cần thiết để kết nối. Sự vận
hành, bảo trì và quản lý intranet yêu cầu chi phí phụ thuộc vào lưu lượng truyền tải tin
của mạng và diện tích địa lý của mạng intranet.
Với sự bổ sung giải pháp VPN thì chi phí đắt đỏ của WAN backbone được thay
thế bằng chi phí thấp của kết nối internet, qua đó tổng chi phí cho mạng intranet sẽ
giảm xuống.

Những ưu điểm của mạng VPN cục bộ:
- Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô hình Wan
backbone
- Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu,
các trạm ở một số Remote site khác nhau.
- Bởi vì internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp
những kết nối mới ngang hàng.
- Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dich vụ,
loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho
việc thực hiện Intranet.
Các nhược điểm của mạng VPN cục bộ
- Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẻ trên mạng công cộng
Internet và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ ( denial-of-
server) vẫn còn là một mối đe dọa an toàn thông tin.
- Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng vẫn rất cao.
- Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tin
milltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do đươc truyền thông qua Internet.
- Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên,
và QoS cũng không được bảo đảm.
1.5.3 Mạng VPN mở rộng ( Extrnet VPN )
Không giống như Intranet và Remote Access-based, Extranet không hoàn toàn
cách ly từ bên ngoài (outer-world), Extranet cho phép truy cập những tài nguyên mạng
cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác
những người giữ vai trò quan trọng trong tổ chức.
Mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết
hợp lại với nhau để tạo ra một Extranet. Điều này làm cho khó triển khai và quản lý
do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc bảo trì và quản
trị. Thêm nữa là mạng Extranet sẽ dễ mở rộng do điều này sẽ làm rối tung toàn bộ
mạng Intranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng. Sẽ có những vấn
đề về bạn gặp bất thình lình khi kết nối một Intranet vào một mạng Extranet. Triển

khai và thiết kế một mạng Extranet có thể là một cơn ác mộng của các nhà thiết kết và
quản trị mạng.
Mô hình Extranet VPN khắc phục những nhược điểm đó của mô hình Extranet
truyền thống. Sự bùng nổ của VPN giúp cho nhiệm vụ cài đặt của mạng ngoài trở nên
dễ dàng hơn và giảm chi phí. Thiết kế Extranet VPN được mô tả như dưới.
Extranet xây dựng trên VPN
Một số thuận lợi của Extranet
- Do hoạt động trên môi trường Intranet, bạn có thể lựa chọn nhà phân phối khi
lựa chọn và đưa ra phương pháp giải quyết tùy theo nhu cầu của tổ chức.
- Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp của tổ
chức.
- Dễ dàng triển khai, quản lý và sửa chữa thông tin.
Một số bất lợi của Extranet
- Sự đe dọa về tính an toàn, như bị tấn công bằng tù chối dịch vụ vẫn còn tồn tại.
- Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
- Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi
diễn ra chậm chạp.

- Do dựa trên internet, QoS cũng không được đảm bảo thường xuyên.
1.6 An toàn bảo mật của VPN trên Internet
1.6.1 Bảo mật trong VPN
Tường lửa (firewall)
Là rào chẵn vững chắc giữa mạng riêng và Internet. Bạn có thể thiết lập các
tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua.
Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nâng cấp để gộp
những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích
hợp. Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN.
Mật mã truy cập
Là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có
máy đó mới giải mã được. Có hai loại là mật mã riêng và mật mã chung.
Mật mã riêng (Symmetric-Key Encryption)
Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy
tính khác trong mạng. Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những
máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã
được.
Mật mã chung (Public-Key Encryption)
Kết hợp mã riêng và một mã công cộng. Mã riêng này chỉ có máy của bạn nhận
biết, còn mã chung thì do máy bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an
toàn) với nó. Để giải mã một message, máy tính phải dùng mã chung được máy tính
nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này
được dùng phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất
cứ thứ gì.
Giao thức bảo mật giao thức Internet (IPSec)
Cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn,
quá trình thẩm định quyền đăng nhập toàn diện hơn.
IPSec có hai cơ chế mã hóa là Tunnel và Transport
Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ
mã hóa kích thước. Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được
gia thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã nguồn khóa chung và

các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec có thể
mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, firewall với router,
Pc với router, Pc với máy chủ.
 Máy chủ AAA
AAA là viết tắt của ba chữ Authentication ( thẩm định quyền truy cập)
Authorization (cho phép) và Accounting ( kiểm soát ). Các server này được dùng để
đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập mộ kết nối được gửi tới từ máy
khác, nó sẽ phải qua máy chủ AAA để kiểm tra. Các thông tin về những hoạt động của
người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn.
1.6.2 Sự an toàn và tin cậy:
Sự an toàn của một hệ thống máy tính là một bộ phận của khả năng bảo trì một hệ
thống đáng tin cậy được. Thuộc tính này của một hệ thống được viện dẫn như sự đáng
tin cậy.
Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:
- Tính sẵn sàng: khả năng sẵn sàng phục vụ, đáp ứng yêu cầu trong khoảng thời
gian. Tính sẵn sàng thường được thực hiện qua những hệ thống phần cứng dự phòng.
- Sự tin cậy: Nó định nghĩa xác xuất của hệ thống thực hiện các chức năng của
nó trong một chu kỳ thời gian. Sự tin cậy khác với tĩnh sẵn sàng, nó được đo trong cả
một chu kỳ của thời gian, nó tương ứng tới tính liên tục của một dịch vụ.
- Sự an toàn: Nó chỉ báo hiệu một hệ thống thực hiện những chức năng của nó
chính xác hoặc thực hiện trong trường hợp thất bại một ứng xử không thiệt hại nào
xuất hiện.
- Sự an ninh: Trong trường hợp này sự an ninh có nghĩa như một sự bảo vệ tất
cả các tài nguyên của hệ thống .
Một hệ thống máy tính đáng tin cậy ở mức cao nhất là luôn bảo đảm an toàn ở
bất kỳ thời gian nào. Nó bảo đảm không một sự va chạm nào mà không cảnh báo
thông tin có cảm giác, lưu tâm đến dữ liệu có cảm giác có 2 khía cạnh để xem xét:
- Tính bí mật.
- Tính toàn vẹn.

Thuật ngữ tính bảo mật như được xác định có nghĩa rằng dữ liệu không thay đổi
trong một ứng xử không hơp pháp trong thời gian tồn tại của nó. Tính sẵn sàng, sự an
toàn và an ninh là những thành phần phụ thuộc lẫn nhau. Sự an ninh bảo vệ hệ thống
khỏi những mối đe dọa và sự tấn công. Nó đảm bảo một hệ thống an toàn luôn sẵn
sàng và đáng tin cậy.
1.6.3 Hình thức an toàn
Sự an toàn của hệ thống máy tính phụ thuộc vào tất cả những thành phần của nó.
Có 3 kiểu khác nhau của sự an toàn:
Sự an toàn phần cứng
Sự an toàn thông tin
Sự an toàn quản trị
An toàn phần cứng: Những đe dọa và tấn công có liên quan tới phần cứng của hệ
thống, nó có thể được phân ra vào 2 phạm trù:
Sự an toàn vật lý
An toàn bắt nguồn
Sự an toàn vật lý bảo vệ phần cứng trong hệ thống khỏi những mối đe dọa vật lý
bên ngoài như sự can thiệp, mất cắp thông tin, động đất và ngập lụt. Tất cả những
thông tin nhạy cảm trong những tài nguyên phần cứng của hệ thống cần sự bảo vệ
chống lại tất cả những sự bảo vệ này.
An toàn thông tin: Liên quan đến tính dễ bị tổn thương trong phần mềm, phần
cứng và sự kết hợp của phần cứng và phần mềm. Nó có thể được chia vào sự an toàn
và truyền thông máy tính. Sự an toàn máy tính bao trùm việc bảo vệ của các đối tượng
chống lại sự phơi bày và sự dễ bị tổn thương của hệ thống, bao gồm các cơ chế điều
khiển truy nhập, các cơ chế điều khiển bắt buộc chính sách an toàn, cơ chế phần cứng,
kỷ thuật, mã hóa… Sự an toàn truyền thông bảo vệ đối tượng truyền.
An toàn quản trị: An toàn quản trị liên quan đến tất cả các mối đe dọa mà con
người lợi dụng tới một hệ thống máy tính. Những mối đe dọa này có thể là hoạt động
nhân sự. Sự an toàn nhân sự bao trùm việc bảo vệ của những đối tượng chống lại sự
tấn công tù những người dùng ủy quyền.

Mỗi người dùng của hệ thống của những đặc quyền để truy nhập những tài
nguyên nhất định. Sự an toàn nhân sự chứa đựng những cơ chế bảo vệ chống lại
những người dùng cố tình tìm kiếm được những đặc quyền cao hơn hoặc lạm dụng
những đặc quyền của họ, cho nên sự giáo dục nhận thức rất quan trọng để nó thực sự
là một cơ chế bảo vệ sự an toàn hệ thống. Thống kê cho thấy những người dùng ủy
quyền có tỷ lệ đe dọa cao hơn cho một hệ thống máy tính so với từ bên ngoài tấn
công. Những thông tin được thống kê cho thấy chỉ có 10% của tất cả các nguy hại
máy tính được thực hiện từ bên ngoài hệ thống, trong khi có đến 40% là bởi những
người dùng trong cuộc và khoảng 50% là bởi người làm thuê.
1.7 Các yếu tố cơ bản đối với một giải pháp VPN
Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo.
1.7.1 Tính tƣơng thích (Compatibility):
Mỗi công ty, mỗi doanh nghiệp điều được xây dựng các hệ thống mạng nội bộ và
diện rộng của riêng mình dựa trên các thủ tục khác nhau và không tuân thủ theo một
chuẩn nhất định của nhà cung cấp dịch vụ. Rất nhiều các hệ thống mạng không sử
dụng các chuẩn TCP/IP vì vậy không thể kết nối trực tiếp với Internet. Để có thể sử
dụng được IP VPN tất cả các hệ thống mạng riêng điều phải được chuyển sang một hệ
thống địa chỉ theo chuẩn sử dụng trong Internet cũng như bổ sung các tính năng về tạo
kênh kết nối ảo, cài đặt cổng kết nối Internet có chức năng trong việc chuyển đổi các
thử tục khác nhau sang chuẩn IP .77% số lượng khách hàng được hỏi yêu cầu khi
chọn một nhà cung cấp dịch vụ IP VPN phải tương thích với các thiết bị hiện có của
họ.
1.7.2 Tính bảo mật (Security)
Tính bảo mật cho khách hàng là một yếu tố quan trọng nhất đối với giải pháp
VPN. Người sử dụng cần được bảo đảm các dữ liệu thông qua mạng VPN đạt được
mức độ an toàn giống như trong một hệ thống mạng dùng riêng do họ xây dựng và
quản lý. Việc cung cấp tính năng bảo đảm an toàn cần đảm bảo hai mục tiêu sau:
- Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người
sử dụng trong mạng và mã hóa dữ liệu truyền.
- Đơn giản trong việc duy trì quản lý, sử dụng. Đòi hỏi thuận tiện và đơn giản
cho người sử dụng cũng như nhà quản trị mạng trong việc cài đặt cung như quản trị hệ
thống.

1.7.3 Tính khả dụng (Availability)
Một giải pháp VPN cần thiết phải cung cấp được tính bảo đảm về chất lượng,
hiệu suất sử dụng dịch vụ cũng như dung lượng truyền. Tiêu chuẩn về chất lượng dịch
vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới có khả năng đảm bảo chất lượng
dịch vụ cung cấp đầu cuối đến đầu cuối. QoS liên quan đến khả năng đảm bảo độ trễ
dich vụ trong một phạm vi nhất định hoặc liên quan đến cả hai vấn đề trên.
1.7.4 Khả năng hoạt động tƣơng tác
Mặc dù VPN đã xuất hiện trên thị trường khoảng 2 năm trở lại đây nhưng các
tiêu chuẩn liên quan đến dịch vụ này vẫn chưa được tiêu chuẩn hóa một cách toàn
diện, các nhà sản xuất thiết kế vẫn phát triển các tiêu chuẩn kỷ thuật tiêng của mình.
Vì vậy cần chú ý lựa chọn thiết bị nào trong khi phát triển mạng riêng ảo, cũng
như đảm bảo tính đồng bộ của thiết bị sử dụng. Trên thế giới hiện có tới 60 giả pháp
khác nhau liên quan đến.
2. CÁC GIAO THỨC KẾT NỐI TUNNEL TRONG VPN
Trong VPN có 3 giao thức chính để xây dựng một mạng riêng ảo hoàn chỉnh đó
là:
- IPSEC (IP Security)
- PPTP (Point to Point Tuneling Protocol)
- L2TP (Layer 2 Tunneling Protocol)
Tùy vào từng ứng dụng và mục đích cụ thể mà mỗi giao thức có thể có những ưu
nhược điểm khác nhau khi triển khai vào mạng VPN.
Trong đồ án này sẽ thực hiện triển khai mô hình VPN trên máy ảo sử dụng giao
thức PPTP nên chúng ta sẽ chỉ đi sâu nghiên cứu giao thức PPTP.
2.1 Giao thức IPSEC
IPSEC là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ
liệu, đảm bảo tính toàn vẹn dữ liệu, và chứng thực dữ liệu giữa các thiết bị tham gia
VPN. Các thiết bị này có thể là các host hoặc các Sercurity Gateway (Router,
Firewalls, VPN concentralor,…) hoặc là giữa một host và một Gateway như trong
trường hợp Remote Access VPN. IPSEC bảo vệ đa luồng dữ liệu giữa các Peers, và 1
Gateway có thể hỗ trợ đồng thời nhiều nguồn dữ liệu.

IPSEC hoạt động ở lớp mạng và sử dụng giao thức Internet Key Exchange (IKE)
để thỏa thuận các giao thức giữa các bên tham gia và IPSEC sẽ phát khóa mã hóa và
xác thực để dùng.
Vị trí của IPSEC trong mô hình OSI
Ƣu , nhƣợc điểm của IPSEC
o Ưu điểm:
- Khi IPSEC được triển khai trên bức tường lửa hoặc bộ định tuyến của một
mạng riêng, thì tính năng an toàn của IPSEC có thể áp dụng cho toàn bộ vào ra mạng
riêng đó mà các thành phần khác không cần phải sử lý thêm các công việc liên quan
đến bảo mật.
- IPSEC được thực hiện bên dưới lớp TCP và UDP, đồng thời nó hoạt động trong
suốt đối với các lớp này. Do vậy không cần phải thay đổi phần mềm hay cấu hình lại
các dịch vụ khi IPSEC được triển khai.
- IPSEC có thể được cấu hình để hoạt động một cách trong suốt đối với các ứng
dụng đầu cuối, điều này giúp che giấu những chi tiết cấu hình phứt tạp mà người dùng
phải thực hiện khi kết nối đến mạng nội bộ từ xa thông qua mạng Internet.
o Nhược điểm:
- Tất cả các gói được xử lý theo IPSEC sẽ bị tăng kích thước do phải thêm vào
các tiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm
xuống. Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa,
song các kỹ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa.

- IPSEC được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các
dạng lưu lượng khác.
- Việc tính toán nhiều giải thuật phức tạp trong IPSEC vẫn còn là một vấn đề khó
đối với các trạm làm việc và máy PC năng lực yếu.
- Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với
chính phủ một số quốc gia.
2.2 Giao thức Point-to-Point Tunneling Protocol (PPTP)
2.2.1 Khái quát về PPTP
PPTP là một giải pháp độc quyền cung cấp khả năng bảo mật giữa Remote Client
và Enterprise Server bằng việc tạo ra một VPN thông qua một IP trên cơ sở mạng
trung gian. Được phát triển bởi PPTP Consortium (Microsoft Corporation, Ascend
Communications, 3COM, US Robotics, và ECI Telematics) , PPTP được đưa ra dựa
trên yêu cầu VPNs thông qua mạng trung gian không an toàn. PPTP không những tạo
ra điều kiện dễ dàng cho việc bảo mật các giao dịch thông qua TCP/IP trong môi
trường mạng chung, mà còn qua mạng riêng intranet.
PPTP là một trong số nhiều kỹ thuật được sử dụng để thiết lập đường hầm cho
những kết nối từ xa. Giao thức PPTP là một sự mở rộng của giao thức PPP cơ bản cho
nên giao thức PPTP không hỗ trợ những kết nối nhiều điểm liên tục mà có nó chỉ hỗ
trợ kết nối từ điểm tới điểm.

Mô hình VPN sử dụng giao thức PPTP
PPTP chỉ hỗ trợ IP, IPX, Net BEUI, PPTP không làm thay đổi PPP mà nó chỉ là
giải pháp mới, một cách tạo đường hầm trong việc chuyên chở giao thông PPP.
Minh họa một gói tin PPTP
2.2.2 Bảo mật trong PPTP
PPTP đưa ra một số dịch vụ khác nhau cho PPTP client và server. Những dịch vụ
này bao gồm các dịch vụ sau:
Mã hóa và nén dữ liệu.
Thẩm định quyền ( Authentication).
Điều khiển truy cập ( Accsee control).
Trích học Packet.
Ngoài các cơ chế bảo mật cơ bản nói trên, PPTP có thể được sử dụng kết hợp với
firewall va router.
 Mã hóa và nén dữ liệu PPTP
PPTP không cung cấp cơ chế mã hóa bảo mật dữ liệu. Thay vì nó dùng dịch vụ
mã hóa được đưa ra bởi PPP. PPP lần lượt dùng Microsoft Point-to-Point Encryption
(MPPE), đây là phương pháp mã hóa shared secret.
Phương pháp shared secret thường dùng trong mục đích mã hóa trong trường hợp
PPP là ID của người dùng và nó tương ứng với mật khẩu. 40-bit session key thường
dùng để mã hóa user. Thuật toán băm được dùng để cấp khóa là thuật toán RSA RC4.
Khóa này được dùng để mã hóa tất cả dữ liệu được trao đổi qua tunnel. Tuy nhiên, 40-
bit key thì quá ngắn và quá yếu kém đói với các kĩ thuật hack ngày nay. Vì thế, phiên
IP
Header
PPP
Header
PPP Payload
(IP datagram, IPX datagram, NetBEUI frame)
GRE
Header
Encrypted
PPP Frame

bản 128-bit key ra đời. Nhằm làm giảm rủi ro, Microsoft đòi hỏi khóa phải được làm
tươi sau 256 gói packet.
 PPTP Data Authentication
- MS-CHAP ( Microsoft Challenge Handshake Authentication Protocol). MS-
CHAP là một phiên bản tùy biến của Microsoft của CHAP và được dùng làm phương
pháp xác nhận cơ bản cho PPP. Bởi vì nó tương đối mạnh như CHAP, chức năng của
MS-CHAP thì hoàn toàn tương tự CHAP. Hai điểm khác nhau chính giữa hai cơ chế
này là CHAP dựa trên thuật toán hàm băm RSA MD5, MS-CHAP thì dựa trên RSA
RC4 và DES. Vì lý do thực tế MS-CHAP đã phát triển đơn độc cho các sản phẩm của
Microsoft ( Windows 9x và một số phiên bản Windows NT), nó không được hổ trợ
bởi các nền tảng khác.
- PAP ( Pasword Authentication Protocol). PAP là phương pháp đơn giản và
thương được triển khai nhiều nhất trong giao thức xác nhận quay số. Nó cũng dùng để
các nhận các kết nối PPP. Tuy nhiên, nó gửi user ID và mật khẩu trong một định dạng
chưa mã hóa thông qua kết nối. Một kẻ hở khác của PAP là chie xác nhận 1 lần điêmt
thông tin cuối ở giai đoạn thiết lập kết nối. Vì lý do đó, nếu một hacker xâm nhập vào
kết nối được một lần, anh ta sẽ không phải lo lắng gì hơn nữa về xác nhận. Chính vì lý
do đó, PAP được xem là một giao thức xác nhận kém nhất và vì thế nó không được ưu
thích trong cơ chế xác nhận của VPN.
 Điều kiện truy cập PPTP.
Sau khi PPTP Client từ xa được xác nhận thành công, nó sẽ truy csspj vào tài
nguyên mạng đã bị giới hạn bới lý do bảo mật, Để đạt được mục tiêu này, có thể triển
khai một số cơ chế điều khiển truy cập sau:
Access rights
Permissions
Workgroups
 Trích lọc các gói dữ liệu PPTP
Việc trích lọc các gói dữ liệu PPTP cho phép một PPTP server trên một mạng
riêng chấp nhận và định tuyến các gói dữ liệu từ những PPP client đã được xá nhận
thành công. Kết quả, chỉ có những PPP Client đã được xác nhận mới được cấp quyền
truy cập vào mạng từ xa riêng biệt. Bằng cách này, PPTP không chỉ cung cấp các cơ
chế xác nhận, điều khiển truy cập và mã hóa mà còn tăng độ bảo mật trong mạng.

2.2.3 Ƣu điểm và nhƣợc điểm của PPTP.
 Ưu điểm chính của PPTP:
PPTP là một giải pháp được xây dựng trên nền các sản phẩm của Microsoft (
các sản phẩm được sử dụng rất rộng rãi)
PPTP có thể hỗ trợ các giao thức non- IP.
PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux và
Apple’sMacintosh. Các nền không hổ trợ PPTP có thể các dịch vụ của PPTP bằng
cách sử dụng bộ định tuyến được cài đặt sắn khả năng của máy khách PPTP.
 Nhược điểm của PPTP:
PPTP bảo mật yếu hơn so với kỷ thuật L2TP và IPSec.
PPTP phụ thuộc nền.
PPTP yêu cầu máy chủ và máy khách phải có cấu hình mạnh.
Mặc dù PPTP được cài đặt riêng cho VPN nhưng các bộ định tuyến cũng như
máy chủ truy cập từ xa cũng phải cấu hình trong trường hợp sử dụng các giải pháp
định tuyến bằng đường quay số.
Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do sử dụng mã hóa
với mã khóa phát sinh từ password của user. Điều náy càng nguy hiểm hơn khi
password được gửi trong môi trường không an toàn để chứng thực. Giao thức đường
hầm Layer 2 Forwarding (L2F) được phát triển để tăng cường khả năng bảo mật.
2.3 Giao thức L2TP
2.3.1 Khái niệm:
L2TP là một kỹ thuật này sinh để cung cấp một kết nối từ xa tới một Intranet của
một tập đoàn hay tổ chức. L2TP là giao thức được phát triển hòa trộn giữa hai giao
thức L2F và PPTP.

Cấu trúc L2TP
L2TP cung cấp một kỹ thuật để xây dựng cho một kết nối đường hầm qua giao
thức điểm nối điểm PPP. Đường hầm có thể bắt đầu được tạo ra giữa người dùng từ xa
tới người cung cấp dịch vụ.
Giao thức L2TP không những cung cấp các kết nối từ xa của người dùng trong
một mạng riêng ảo VPN mà còn có thể hỗ trợ các giao thông đa thủ tục, đó là tất cả
các giao thức lớp mạng hỗ trợ bởi giao thức PPP đáng tin cậy. Hơn nữa, L2TP cung
cấp sự hỗ trợ cho bất kỳ sự định vị cho bất kỳ lớp mạng nào lên sơ đồ kết nối thông
qua Internet.
2.3.2. Ƣu , nhƣợc điểm của L2TP
 Ưu điểm:
- L2TP là một giải pháp chung, không phụ thuộc nền và hỗ trợ nhiều kỹ thuật mạng.
Hơn nữa L2TP có thể hỗ trợ giao tác thông qua liên kết Non-IP của mạng WAN mà
không cần IP.
- Đường hầm L2TP chỉ đơn thuần là user từ xa hoặc ISP. Do đó nó không yêu cầu
bổ sung cấu hình của user từ xa và ISP.
- L2TP cho phép tổ chức kiểm soát chứng thực User.
- L2TP hỗ trợ kiểm soát luồng và các gói dữ liệu bị loại bỏ khi đường hầm quá tải.
Do đó giao tác trên L2TP nhanh hơn giao tác trên L2F.
- L2TP cho phép user với địa chỉ IP chưa được đăng ký có thể truy nhập mạng từ xa
thông qua mạng công cộng.
- L2TP tăng cường bảo mật bằng cách mã hóa dữ liệu dựa trên đường hầm IPSEC
trong suốt và khả năng chứng thực gói của IPSEC.
 Khuyết điểm:
IP
Header
UDP
Header
L2TP
Header
PPP Payload
(IP Datagram, IPX Datagram)
PPP
Header
PPP Frame
L2TP Frame
UDP Frame

- L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSEC để chứng thực từng gói nhận
được.
- Mặc dù PPTP được cài đặt riêng cho giải pháp VPN nhưng vẫn phải cấu hình thêm
bộ định tuyến và máy phục vụ truy cập từ xa.
2.3.2 Thiết lập kết nối tunnel
Các loại giao thức
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng
trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp
tiêu đề chứa các thông tin đinh tuyến có thể truyền qua hệ thống mạng trung gian theo
những đường ống riêng.
Khi gói tin được truyền đến đích, chúng được tách lớp tiêu đề và chuyển đến các
máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy
chủ
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết.
Hai điểm đầu cuối này được gọi là giao diện Tunnel ( Tunnen Interface), nơi gói tin đi
vào và đi ra trong mạng.
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau
Giao thức truyền tải ( Carrier Protocol) là giao thức được sử dụng bởi mạng
có thông tin đi qua.
Giao thức mã hóa dữ liệu ( Encapsulating Protocol) là giao thức ( như GRE,
IPSec, L2F, PPTP, L2TP) được bao quanh gói dữ liệu gốc.
Giao thức gói tin (Pass enger Protocol ) là giao thức của dữ liệu được
truyền đi ( như IPX, NetBeui, IP).
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên
Internet bên trong một gói IP và gửi nó an toàn qua mạng Internet. Hoặc, họ có thể
đặt một gói tin dùng địa chỉ IP riêng ( không định tuyến) bên trong một gói khác dùng
địa chỉ IP chung ( định tuyến) để mở rộng một mạng riêng trên Internet.
Kỹ thuật tunneling trong mạng VPN truy cập từ xa
Tunneling là một phần quan trọng trong việc xây dựng một mạng VPN, nó
thường dùng giao thức điểm nối điểm PPP (Point to Point Protocol). Là một phần của

TCP/IP, PPP đóng vai trò truyền tải các giao thức IP khác khi liên hệ trên mạng giữa
máy chủ và máy truy cập từ xa. Các chuẩn tryền thông sử dụng để quản lý các Tunnel
và đóng gói dữ liệu của VPN . Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy
cập từ xa phụ thuộc vào PPP.
Mô hình Tunneling truy cập từ xa
Kỹ thuật Tunneling trong mạng điểm nối điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing
Encapsulation) cung cấp cơ cấu“ đóng gói” giao thức gói tin ( Pasenger Protocol ) để
truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về loại gói
tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách. Nhưng
IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm nối điểm. Tất
nhiên, nó phải được hỗ trợ ở cả 2 giao diện Tunnel

3. TRIỂN KHAI MÔ HÌNH VPN
3.1 Triển khai mô hình VPN site – to – site trên local :
 Mô hình tổng quát:
Mô hình VPN site –to – site
3.2
- 2 Máy windows Server 2008 làm máy chủ VPN
- 2 Máy chủ VPN có hai card mạng: một card đặt tên là LAN, là card Internal.
Một card đặt tên là WAN là card External.
+ Card LAN : Server Hà Nội là 10.10.10.1/24 và Server Sài Gòn là
20.20.20.1/24
+ Card WAN : Server Hà Nội là 192.168.1.1/24 và Server Sài Gòn là
192168.1.2/24
- Sử dụng một 2 máy cài Windows XP làm máy client. Địa chỉ máy client Hà Nội
là 10.10.10.2/24 và Client Sài Gòn là 20.20.20.2/24
3.3 Tổng quan các bƣớc thực hiện
Bước 1: Đặt địa chỉ IP cho các máy
Bước 2: Cài DCPROMO

Bước 3: Cấu hình dịch vụ DNS
Bước 4: Cài đặt network policy và access services
Bước 5: Cấu hình VPN , tiến hành kiểm tra và share file
3.4 Tiến hành :
- Gắn địa chỉ IP
+ client Hà Nội : cả 2 client này IP phải cùng miền với card WAN trên máy
VPN Server

+ client Sài Gòn
+ Server Hà Nội

+ Server Sài Gòn
- Cài DCPROMO nâng cấp Domain Controller : ta làm trên cả 2 máy chỉ thay đổi
tên miền theo từng máy

+ tại hộp thoại Active Directory Domain Services

+ click “ create a new domain in a new forest” để tạo tên miền mới
+ ta nhập tên miền vào : Trên Server Hà Nội thì ta nhập Athena.edu.vn, trên
Server Sài Gòn là Athena.com.vn

+ chọn Windows Server 2008
+ Chọn cài DNS Server

Để nguyên các thư viện, click NEXT
+ Thiết lập khôi phục mật khẩu cho admin

+ click NEXT và đợi cho Domain Controller và DNS cài xong trên 2 Server

+ sau khi khởi động lại ta kiểm tra domain trên từng máy Server
Server Hà Nội
Server Sài Gòn

- Cấu hình DNS Server
+ ta click vào Start >> Administrative Tools >> DNS >> Server Hà Nội >>
Forward Lookup Zones >>> Athena.edu.vn >>> New Host
+ tại ô name ta gõ www , tại ô địa chỉ IP Address ta gõ địa chỉ IP của Server

+ tạo phân giải ngược cho domain : click phải vào Reverse Lookup Zones >>
New Zones

+ Network ID : Nhập 3 số đầu của địa chỉ mạng nội bộ

+ click phải vào 10.10.10.in-addr.arpa >> New Pointer ( PRT)

+ Host name ta browser tìm tới file host ta tạo trên Zones Athena.edu.vn
+ click Allow

+ ta thử phân giải domain trong cmd
Server Hà Nội
Server Sài Gòn

- Cài đặt Network Policy and Access Services :
+ Server Manager >> Roles >> AddRoles >> Nerwork Policy and Access Services

+ quá trình cài đặt thành công

- Cấu hình VPN , kiểm tra và tiến hành share file
+ tạo User cấp quyền truy cập từ xa : Start >> Administrative Tools >> Active
Directory User and Computers
+ cả 2 VPN Server ta đều tạo User tương tự nhau

+ cấp quyền truy cập VPN cho User vừa tạo : click phải User vừa tạo >>
properties >> Dial- In >> click chọn Allow access >> Apply >> ok

+ Cấu hình Routing and Remote Access
Kích chuột phải chọn Configure and Enable Routing and Remote Access:
+ click Next

+ chọn custom configuration
+ chọn tất cả trừ Dial – Up Access ra

+ kích hoạt thành công

+ click phải vào Server >>> properties
+ chọn tab IPv4 >> click Static Address Pool >> điền vào dãy IP mà bạn
muốn cho Server sử dụng và cấp phát cho máy trạm khi kết nối VPN

+ click phải vào Network Interfaces >> New Demand – Dial Interface…
+ click Next

+ nhập User đã tạo của máy VPN Server cần kết nối tới
+ chọn kiểu kết nối VPN

+ chọn giao thức PPTP
+ nhập vào IP card WAN của máy cần kết nối tới

+ click vào Route IP packet on this interface
+ tại Demand – Dial Interface Wizard >> Add >> ta điền vào địa chỉ mạng
LAN của mạng cần kết nối tới

+ nhập vào User , domain và password của máy hiện hành
+ click Finish để kết thúc phần cài đặt

+ tạo kết nối VPN trên 2 Server để thông qua 2 Server này thì 2 client có thể
thấy nhau , vào Network and Sharing Center
+ click vào Set up a connection or network , chọn Connect to a workplace

+ chọn Use my Internet Connection ( VPN)
+ chọn I’ll set up an Internet connection later

+ nhập IP của server cần kết nối tới
+ nhập User và password của Server cần kết nối tới

+ kết nối đã tạo xong
+ đăng nhập để kết nối VPN giữa 2 Server
+ vào Manage network connections

+ click phải vào biểu tượng kết nối VPN vừa tạo >> connect . nhập User và
password của VPN Server cần kết nối tới
+ đợi quá trình xác thực hoàn tất

+ tiến hành ping để kiểm tra giữa 2 client sau khi kết nối được VPN
Ping từ client Hà Nội
Ping từ client Sài Gòn

+ tiến hành chia sẻ dữ liệu giữa 2 máy client
Truy nhập vào client Sài Gòn
Nhập user và password của client Sài Gòn
+ đã kết nối thành công, và thấy được dữ liệu ở trên client Hà Nội

4. TRIỂN KHAI MÔ HÌNH VPN CLIENT TO SITE TRÊN MÔI TRƢỜNG
INTERNET ( VPS )
4.1 Mô hình tổng quát:
- 1 VPS chạy Windows Server 2003
- 2 Máy client ra được Internet
4.2 Tổng quan các bƣớc thực hiện :
- Đăng ký Domain
- Cấu hình dịch vụ VPN trên VPS và 2 máy client
- Kiểm tra kết nối và tiến hành chia sẻ dữ liệu
4.3 Tiến hành
- Đăng ký Domain
+ ta truy cập vào dot.tk để đăng ký Domain miễn phí

+ sau khi chọn tên Domain ta click GO, click vào Sử Dụng DNS, chọn tab Dịch Vụ
DNS của Dot.tk, nhập IP của VPS vào 2 phần địa chỉ IP của máy chủ
+ lựa chọn tài khoản để quản lý tên miền

+ sau khi đăng nhập vào my.dot.tk. ta click vào Domain Panel để vào danh sách các
domain đã đăng ký , lựa chọn domain cần sử dụng sau đó click Modify
Cấu hình dịch vụ VPN Client to Site trên VPS và Client
+ trên VPS ta không cần nâng cấp Domain Controller hay DNS gì nữa, chỉ cần sử
dụng dịch vụ của nhà cung cấp. Nếu ta làm vậy thì VPS sẽ bị mất kết nối
+ trên VPS ta mở dịch vụ Routing and Remote Access

+ click phải vào NEW- LIFE chọn “ Configure and Enable Routing and Remote
Access ”
+ click NEXT

+ chọn Custom Configuration
+ click VPN Access và LAN – Routing

+ click Finish >>> hiện ra hộp thoại yêu cầu cài đặt chọn YES
+ click phải vào NEW-LIFE >> chọn Properties >> Tab IP>> Static Address
Pool >> điền dãy IP mà bạn muốn VPN Server cấp cho các client khi kết nối vào

+ vào Computer Management tạo 2 User hongphuc và phuckon rùi cấp quyền
truy cập từ xa cho 2 User này

+ trên windows 7 ta vào Network and Sharing Center >> Set up a connection a
network

+ tại Internet Address : nhập domain hoặc ip của VPN server ( VPS)
+ nhập User đã tạo trên VPN Server

+ Đã kết nối thành công

+ trên máy windows XP : ta vào Network Connection >> Creat a new connection
+ click Next, chọn connect to the network at my workplace

+ nhập vào tên miền hoặc IP của VPN Server
+ click NEXT, và nhập User đã tạo trên VPN Server
+ kết nối thành công

+ trên win 7 ta tiến hành truy cập thư mục share của win xp
+ Tiến hành Lấy dữ liệu giữa hai máy client

+ trên win xp ta cũng làm ngược lại
+ chia sẽ dữ liệu thành công

CHƢƠNG III : TRIỂN KHAI DỊCH VỤ MAIL SERVER
1. GIỚI THIỆU VỀ MAIL SERVER
1.1 Mail Server :
 Mail server hay còn gọi là máy chủ thư điện tử là máy chủ dùng để gửi
và nhận thư điện tử, là một giải pháp dành cho các doanh nghiệp để quản lý và truyefn
thông nội bộ, thực hiện các giao dịch thương mại yêu cầu sự ổn định, tính liên tục và
với tốc độ nhanh, đồng thời đảm bảo tính an toàm của dữ liệu, khả năng bạkup cao….
 Các tính năng của Mail server
o Nhận và gửi mail nội bộ.
o Email server sẽ quản lý toàn bộ các tài khoản email trong hệ thống
nội bộ..
o Nhận mail từ server của Sender và phân phối mail cho các tài khoản
trong hệ thống.
o Email server cho phép user có thể sử dụng webmail để nhận mail
hoặc sử dụng Outlook hoặc cả hai, phụ thuộc vào việc cài đặt mail
server.
 Các đặc tính của Mail server
o Có thể xử lý số lượng lớn thư điện tử hàng ngày
o Có server riêng biệt
o Tính năng bảo mật và an toàn dữ liệu
o Có hệ thống quản trị ( control panel ) để quản lý và tạo các tài
khoản email cho nhân viên
o Có thể cài đặt dung lượng tối đa cho từng email
o Nhân viên có thể tự đổi mật khẩu riêng với email server
o Kiểm tra và quản lý nội dụng email của nhân viên công ty
o Có khả năng chống virut và spam mail hiệu quả cực cao
o Hỗ trợ Forwarder Email để cài đặt Email Offline

o Có thể check mail trên cả webmail và Outlook Express
Để tạo một Mail server có rất nhiều phần mềm, ở đây tôi sẽ giới thiệu với các bạn
về Mdaemon, một phần mềm chạy Mail server nổi tiếng.
MDeamon là một phần mềm quản lý thư điện tử trên Server. Hiện nay trên thị
trường có rất nhiều phần mềm cho phép cài đặt và quản trị hệ thống thư điện tử và nói
chung chúng đều có tính năng cơ bản là tương tự như nhau. MDaemon là một phần
mềm có giao diện thân thiện với người dùng (sử dụng giao diện đồ họa), chạy trên các
hệ điều hành của Microsoft mà hiện nay hầu hết các máy tính tại Việt Nam đều sử
dụng Microsoft.
Có khả năng quản lý nhiều tên miền và hàng trăm người dùng ( phụ thuộc và
nhiều yếu tố như dung lượng đường truyền, phần cứng của Server).
Cung cấp nhiều công cụ hữu ích cho việc quản trị hệ thống cũng như đảm bảo an
toàn cho hệ thống thư điện tử như :
 Contant filter: Cho phép chống Spam và không cho phép gửi và nhận
thư đến hoặc từ một địa chỉ xác định.
 MDaemon Virus Scan: Quét các thư đi qua để tìm và diệt virus email.
 Ldap: MDaemon có hỗ trợ sử dụng thủ tục Ldap cho phép các máy chủ
sử dụng chung cơ sở dữ liệu Account.
 Domain Gateway: Hỗ trợ cho phép quản lý thư như một Gateway sau đó
chuyển về cho các tên miền tương ứng.
 Mailing list: Tạo các nhóm người dung.
 Public / Shared folder: Tạo thư mục cho phép mọi người được quyền sử
dụng chung dữ liệu ở trong thư mục.
 Domain POP: Sử dụng POP để lấy thư.
 World Client: Cho phép người dùng có thể quản lý hộp thư của mình sử
dụng WebBrower.
MDconf và Web Admin: Cho phép quản trị hệ thống thư điện tử từ xa
và Web Admin cho phép quản trị trên Web Brower vv...

MDaemon Mail Server: Là một trong những hệ thống Mail Server toàn diện nhất
hiện được áp dụng cho các công ty, xí nghiệp với quy mô vừa và nhỏ. MDaemon
Server hiện có 3 phiên bản: Standard, Pro và Free.
2. TRIỂN KHAI MAIL SERVER TRÊN MÔI TRƢỜNG INTERNET ( VPS )
Trên Dot.tk , trong phần Domain ta tiến hành add thêm 2 record là
Mail.nguyenhongphuc.tk và MX record
Trong phần cài đặt để làm báo thực tập, chúng em cài đặt MDaemon Mail Server
phiên bản v10.

Kích double click lên File Setup, xuất hiện hộp thoại Wellcom To MDaemon,
chọn Next.
Trong hộp thoại License Agreement”, chọn IAgree

Chọn Browse… chỉ đường dẫn lưu trữ Database của chương trình, mặc định sẽ
là ổ C hệ thống (ổ đĩa có cài hệ điều hành Microsoft Windows)
Trong hộp thoại Registration Information, tại đây ta sẽ nhập tên đăng ký là:
mailserver, nhập tên công ty athena và tại ô Registration key ta nhập số key mà nhà
sản xuất đã tạo ra và đóng gói kèm với từng phiên bản, bỏ chọn ở ô Install the limited,
Free version of MDaemon, Chọn Next tiếp tục cài đặt.

Quá trình cài đặt diễn ra trong thời gian vài phút.
Xuất hiện hộp thoại What Is Your Domain Name: Tại hộp thoại này chương
trình yêu cầu ta nhập tên miền Domain đã được tạo trong bước nâng cấp Windows
Server 2008 lên Domain Controller.ta điền vào Domain name tên Domain mà ta đã
đăng ký trên dot.tk lúc trước.
Bước tiếp theo Phần mềm yêu cầu ta nhập thông tin một tài khoản đầu tiên
trong Mdaemon
Tại ô Full name: admin
Mailbox: admin

Password: Phuc123 (vì ở phần này ta chưa bỏ password phức được nên thường
mặc định phần mềm yêu cầu ta nhập mật khẩu từ 6 – 12 ký tự).
Điền địa chỉ DNS chính (Primary) và dự phòng (Backup):tại đây ta điền
14.0.21.51 cho cả hai ô. Ở đây ta nhập địa chỉ của VPS, chính là địa chỉ DNS của nhà
cung cấp dịch vụ

Báo cáo thực tập athena

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Báo cáo thực tập athena

Similar to Báo cáo thực tập athena (20)

Recently uploaded

Recently uploaded (20)

Báo cáo thực tập athena