Hướng dẫn thiết lập mạng không dây

-Kết nối mạng không dây đang dần trở thành một xu thế hiện đại, thời thượng bên
cạnh các loại hình kết nối mạng truyền thống dùng dây cáp. Chất lượng tin cậy, hoạt
động ổn định, thủ tục cài đặt đơn giản, giá cả phải chăng là những yếu tố đặc trưng
chứng tỏ kết nối không dây đã sẵn sàng đáp ứng mọi nhu cầu trao đổi thông tin khác
nhau từ sản xuất, kinh doanh đến nhu cầu giải trí... Bài viết này sẽ cung cấp cho bạn
thông tin cần thiết để xây dựng một mạng máy tính không dây. (hình 1)

-Chuẩn công nghệ không dây

Công nghệ mạng không dây do tổ chức IEEE xây dựng và được tổ chức Wi-Fi Alliance
chính thức đưa vào sử dụng thống nhất trên toàn thế giới. Có 3 tiêu chuẩn: Chuẩn
802.11a, tốc độ truyền dẫn tối đa 54Mbps; Chuẩn 802.11b, tốc độ truyền dẫn tối đa
11Mbps; Chuẩn 802.11g, tốc độ truyền dẫn tối đa 54Mbps (xem thêm bảng chỉ tiêu
kỹ thuật kèm theo). Đặc tính chung của từng công nghệ như sau:

1.Chuẩn 802.11b có tốc độ truyền dẫn thấp nhất (11Mbps) nhưng lại được dùng
phổ biến trong các môi trường sản xuất, kinh doanh, dịch vụ do chi phí mua sắm
thiết bị thấp, tốc độ truyền dẫn đủ đáp ứng các nhu cầu trao đổi thông tin trên
internet như duyệt web, e-mail, chat, nhắn tin...

2.Chuẩn 802.11g có tốc độ truyền dẫn cao (54Mpbs), thích hợp cho hệ thống mạng
có lưu lượng trao đổi dữ liệu cao, dữ liệu luân chuyển trong hệ thống là những tập tin
đồ họa, âm thanh, phim ảnh có dung lượng lớn. Tần số phát sóng vô tuyến của
chuẩn 802.11g cùng tần số với chuẩn 802.11b (2,4GHz) nên hệ thống mạng chuẩn
802.11g giao tiếp tốt với các mạng máy tính đang sử dụng chuẩn 802.11b. Tuy nhiên
theo thời giá hiện nay, chi phí trang bị một hệ thống kết nối không dây theo chuẩn
802.11g cao hơn 30% so với chi phí cho một hệ không dây theo chuẩn 802.11b.

3.Chuẩn 802.11a tuy có cùng tốc độ truyền dẫn như chuẩn 802.11g nhưng tần số
hoạt động cao nhất, 5GHz, băng thông lớn nên chứa được nhiều kênh thông tin hơn
so với hai chuẩn trên. Và cũng do có tần số hoạt động cao hơn tần số hoạt động của
các thiết bị viễn thông dân dụng như điện thoại 'mẹ bồng con', Bluetooth... nên hệ
thống mạng không dây sử dụng chuẩn 802.11a ít bị ảnh hưởng do nhiễu sóng.
Nhưng đây cũng chính là nguyên nhân làm cho hệ thống dùng chuẩn này không
tương thích với các hệ thống sử dụng 2 chuẩn không dây còn lại.(hình2)

-Cách chọn mua thiết bị không dây

Thiết bị cho mạng không dây gồm 2 loại: card mạng không dây và bộ tiếp sóng/điểm
truy cập (Access Point - AP). Card mạng không dây có 2 loại: loại lắp ngoài (USB) và
loại lắp trong (PCI). Chọn mua loại nào tuỳ thuộc vào cấu hình phần cứng (khe cắm,
cổng giao tiếp) của PC. Loại lắp trong giao tiếp với máy tính qua khe cắm PCI trên bo
mạch chủ nên thủ tục lắp ráp, cài đặt phần mềm cũng tương tự như khi chúng ta lắp
card âm thanh, card mạng, card điều khiển đĩa cứng... Loại lắp ngoài nối với máy
tính thông qua cổng USB nên tháo ráp rất thuận tiện, thích hợp với nhiều loại máy
tính khác nhau từ máy tính để bàn đến máy xách tay, lại tránh được hiện tượng
nhiễu điện từ do các thiết bị lắp trong máy tính gây ra. Cần lưu ý nếu PC dùng cổng
USB 1.0 (tốc độ truyền dữ liệu 12Mbps) thì chỉ thích hợp với chuẩn 802.11b, nếu
dùng với 2 chuẩn còn lại thì sẽ làm chậm tốc độ truyền dữ liệu.

Thủ tục để xây dựng một mạng ngang hàng (peer-to-peer) không dây rất đơn giản.
 Chỉ cần trang bị cho mỗi máy tính một card mạng không dây, bổ sung phần mềm
điều khiển của thiết bị là các máy tính trong mạng đã có thể trao đổi dữ liệu với
nhau. Nhưng nếu muốn truy xuất được vào hệ thống mạng LAN/WAN sẵn có hay truy
xuất internet thì phải trang bị thêm thiết bị tiếp sóng Access Point. Chức năng chính
của thiết bị này gồm tiếp nhận, trung chuyển tín hiệu giữa các card mạng trong vùng
phủ sóng và là thiết bị chuyển tiếp trung gian giúp card mạng không dây giao tiếp
với hệ thống mạng LAN/WAN (cũng có khi là modem) và internet. Tuy nhiên tùy theo
quan điểm của nhà sản xuất, yêu cầu sử dụng và tạo thuận tiện cho người quản trị
mạng, một số thiết bị Access Point có thêm một vài chức năng mạng khác như: cổng
truy nhập (gateway), bộ dẫn đường... TGVT A số tháng 4/2003, 5/2003, 8/2003 và
11/2003, có bài viết giới thiệu một số loại Access Point cùng các tính năng của thiết.

-Xây dựng mạng không dây

Thiết lập một mạng không dây không tốn kém thời gian, công sức và phức tạp như
các hệ thống mạng truyền thống khác, đôi khi không quá một giờ đồng hồ lao động
là có thể hình thành một hệ thống mạng không dây. Thực tế cho thấy, đa số các sự
cố, trục trặc xảy ra trong hệ thống mạng không dây là do phần mềm điều khiển thiết
bị có lỗi nên cần ưu tiên sử dụng các trình điều khiển thiết bị mới nhất do nhà sản
xuất thiết bị cung cấp, cập nhật hay tải về từ internet. Nếu hệ thống đang sử dụng
hệ điều hành Windows XP thì cũng nên cài đặt bản Service Pack mới nhất do
Microsoft phát hành.

Khi lắp đặt thiết bị, nên bố trí các bộ tiếp sóng (AP) ở những vị trí trên cao, tránh bị
che khuất bởi các vật cản càng nhiều càng tốt. Các loại vật liệu xây dựng, trang trí
nội thất như: giấy dán tường phủ kim loại, hệ thống dây dẫn điện chiếu sáng, cây
cảnh... cũng có thể làm suy giảm tín hiệu của AP. Nhớ dựng các cần anten của AP
thẳng góc 900. Nếu sử dụng chuẩn không dây 802.11b và 802.11g thì cần chú ý bố
trí các AP nằm xa các thiết bị phát sóng điện từ có khoảng tần số trùng với tần số
của AP (2,4GHz) như lò vi ba, điện thoại 'mẹ bồng con', đầu thu phát Bluetooth... Khi
thi công mạng nên di chuyển, bố trí AP tại nhiều vị trí lắp đặt khác nhau nhằm tìm ra
vị trí lắp đặt thiết bị sẽ cho chất lượng tín hiệu tốt nhất.

Khoảng cách giữa card mạng không dây với AP cũng ảnh hưởng rất nhiều đến tốc độ
truyền dẫn, càng xa AP thì tốc độ truyền dẫn càng giảm dần. Ví dụ đối với các mạng
không dây chuẩn 802.11b thì tốc độ suy giảm dần từng mức, mức sau bằng ½ so với
mức trước (11Mbps xuống 5,5Mbps xuống 2Mbps...). Đa số các phần mềm tiện ích đi
kèm card mạng không dây và AP có chức năng hiển thị tốc độ truyền dẫn của mạng.

Nếu không gian làm việc vượt quá bán kính phủ sóng của AP hiện có thì chúng ta
phải mua thêm bộ khuyếch đại (repeater) để nâng công suất phát sóng cũng như
bán kính vùng phủ sóng của AP (hinh3)

[b]Sau đó tiến hành thủ tục cấu hình phần mềm cho hệ thống mạng, cụ thể là:

Sử dụng địa chỉ IP cố định hay tự động: Nếu hệ thống mạng không dây đang xây
dựng có truy cập internet thì cần liên hệ với nhà cung cấp kết nối internet (ISP) để
được cung cấp địa chỉ IP và hướng dẫn cách cài đặt cho card mạng không dây.

Sử dụng dịch vụ DHCP: Cũng như với mạng máy tính thông thường, nên sử dụng
dịch vụ DHCP để hệ thống tự động cung cấp địa chỉ IP cho tất cả các thiết bị mạng
tham gia trong mạng. Làm như vậy sẽ tiết kiệm rất nhiều công sức cho người quản
trị mạng.
SSID: Tương tự như khái niệm tên miền trong internet, SSID (Service Set Identifier)
là chuỗi ký tự đại diện cho một hệ thống mạng không dây. Tất cả các thiết bị mạng
(Access Point, card mạng không dây...) của một hệ thống mạng không dây phải được
khai báo chung một số SSID thì mới làm việc được với nhau. Thường thì người quản
trị mạng sẽ khai báo cho toàn bộ hệ thống một tên mạng, nhưng chính chuỗi SSID
này là kẽ hở giúp các hacker phán đoán loại thiết bị mạng đang sử dụng trong hệ
thống để tìm cách truy cập vào đó bất hợp pháp.(hình4)

Kênh thông tin[: Băng thông của chuẩn 802.11b và 802.11g cho phép xây dựng 14
kênh khác nhau để truyền dẫn thông tin nhưng hiện nay người ta thường dùng một
trong các kênh đánh số từ 1 đến 11, và tránh dùng lẫn lộn các kênh 1, 6 và 11 để
nâng chất lượng sóng tín hiệu.

Tiếp đến tiến hành cài đặt và cấu hình phần mềm điều khiển card mạng
không dây.
Có 2 chế độ cài đặt: Chế độ Infrastructure nếu dùng thiết bị tiếp sóng (Access Point),
bộ dẫn đường (router), nhớ khai báo SSID và kênh thông tin; Chế độ Ad hoc dành
cho chế độ mạng ngang hàng. Sau khi bổ sung phần mềm điều khiển, nếu máy tính
chạy hệ điều hành Windows XP thì chức năng quản trị mạng không dây có tên
Wireless Zero Configuration (WZC) sẽ được kích hoạt, thông qua chức năng này (biểu
tượng nằm trong khay hệ thống) chúng ta sẽ biết được danh sách các mạng không
dây đang hiện diện xung quanh máy tính (có card mạng không dây). Nhấn kép chọn
vào một mạng không dây trong danh sách để thực hiện thủ tục kết nối vào mạng đó.

Theo quy định chung, danh sách các mạng không dây hiện diện xung quanh máy
tính sẽ được phân thành 2 loại: Available networks chứa danh sách tất cả các mạng
không dây máy tính có thể kết nối được; Preferred networks là danh sách tất cả các
mạng không dây mà WZC của Windows XP, xếp thứ tự ưu tiên từ cao xuống thấp, sẽ
tự động thực hiện thủ tục kết nối mạng. Hai danh sách này nằm trong cửa sổ
Properties của tiện ích cấu hình card mạng không dây, thủ tục khởi động cửa sổ này
như sau: Nhấn chuột phải vào biểu tượng có nhãn My Network Places, chọn menu
Properties rồi menu Wireless Networks

Bảo mật hệ thống: ngăn ngừa sự tò mò không cần thiết

Để hệ thống hoạt động an toàn và bảo mật thông tin trong hệ thống nội bộ, bạn nên
tuân thủ một số quy định sau:

1.Sử dụng mật khẩu: Không nên dùng mật khẩu truy cập hệ thống chỉ là khoảng
trắng hay do phần mềm thiết bị tự động tạo ra.

2.Không cung cấp số định danh SSID: Theo mặc định, AP tự động cung cấp thông
tin số định danh SSID của hệ thống mạng cho tất cả các thiết bị nằm trong bán kính
phủ sóng của nó khi có yêu cầu. Điều này giúp cho người sử dụng máy tính có đầy
đủ thông tin để tham gia vào mạng, nhưng lại là nhược điểm bị các hacker lợi dụng
để thâm nhập bất hợp pháp, vì vậy đối với các mạng cục bộ cần vô hiệu hóa chức
năng này để mạng hoạt động an toàn hơn.

3.Chỉ cho phép các thiết bị có địa chỉ MAC nhất định được tham gia vào hệ thống: Tất
cả các thiết bị nối mạng đều có một chuỗi 12 ký tự duy nhất dùng làm số định danh
cho từng thiết bị, từ chuyên môn gọi là địa chỉ MAC (Media Access Control). Để hệ
thống hoạt động an toàn hơn, chỉ những thiết bị nối mạng có số đăng ký MAC nhất
 định mới được quyền truy cập vào hệ thống. Danh sách địa chỉ MAC các thiết bị nối
mạng không dây sử dụng trong hệ thống mạng được khai báo thông qua phần mềm
quản trị Access Point. Trong Windows XP hay 2000, thủ tục xác định địa chỉ MAC của
thiết bị mạng như sau: Nhấn chuột vào Start->Run, nhập vào dòng lệnh cmd rồi
nhấn phím OK. Trong cửa sổ DOS của tiện ích cmd, nhập vào dòng lệnh ipconfig /all
(lưu ý giữa ipconfig và /all có khoảng trống phân cách) rối nhấn phím Enter. Sau dấu
':' của dòng thông báo Physical Address chính là địa chỉ MAC của thiết bị mạng. Với
Windows 98/Me chỉ cần nhập câu lệnh winipconfig vào trong cửa sổ của lệnh Run, địa
chỉ MAC sẽ nằm trên dòng thông báo có nhãn 'Adapter Address' (hình 5)

Áp dụng tiêu chuẩn bảo mật WPA hoặc WEP cho hệ thống: WEP (Wireless
Encryption Protocol) và WPA (Wi-Fi Protected Access) là các công nghệ bảo mật hệ
thống mạng không dây. Tuy nhiên hiện nay các hacker đã tìm ra cách thức vô hiệu
hóa chế độ bảo mật WEP nên cần ưu tiên sử dụng chuẩn WPA để bảo mật cho hệ
thống. Nếu hệ thống của bạn hiện đang áp dụng chuẩn WEP thì nên liên hệ với nhà
sản xuất để được hướng dẫn chuyển sang sử dụng chuẩn WPA.

Tắt chế độ dùng chung tập tin của Windows: Khởi động phần mềm Windows
Explorer. Nhấn chuột phải vào từng biểu tượng đại diện cho các ổ đĩa trong máy tính
của bạn rồi chọn menu có nhãn Sharing and Security (Windows XP) hoặc Sharing
(các phiên bản Windows 9x, NT). Bỏ đánh dấu chọn tại mục có nhãn 'Sharing this

Internet không dây

folder on the network'.

dựa trên kỹ thuật dịch vụ phân

phối đa điểm theo vùng LMDS
LDMS hiện đang là công nghệ hết sức mới trong lĩnh vực thông tin không dây băng
tần không đổi. Cấu trúc dạng cell, tốc độ truyền số liệu cao, và đặc biệt là tính linh
hoạt của nó, công nghệ này hoàn toàn đáp ứng được các yêu đối với truyền dẫn đa
dịch vụ, truyền hình số và các dịch vụ tương tác.

Hiện nay có rất nhiều các nghiên cứu về kiểu truyền tín hiệu đa dịch vụ băng rộng.
Gần đây, xuất hiện một số các đề xuất về việc thực hiện UDP/TCP/IP và các dịch vụ
số liệu khác dựa trên cơ sở nền tảng LMDS. Trong bài báo này sẽ xem xét việc thực
hiện chuẩn giao thức truyền số liệu TCP/IP trên nền LMDS hai lớp. Lưu ý là có một số
bài báo chỉ nhấn mạnh và giới hạn khả năng của công nghệ LMDS đối với truyền tín
hiệu đa dịch vụ và ATM. Điều này là không đúng bởi hiện nay ứng dụng thu hút được
nhiều sự quan tâm đối với công nghệ LMDS đó là việc truyền các dịch vụ số liệu,
Internet và tín hiệu Multimedia. Bài báo này sẽ giới thiệu một cấu trúc điển hình của
công nghệ LMDS-IP hai lớp đã được triển khai thử nghiệmt vả tặn1996 đến nay.

1. Giới thiệu

Dịch vụ phân phối đa điểm theo vùng LMDS (Local Multipoint Distribution Service) là
một giải pháp cho mạng truy nhập không dây băng rộng BWA (Broadband Wireless
Access). Đây là một kỹ thuật truy nhập theo kiểu tế bào (cell) dùng cho các ứng
dụng truyền số liệu tốc độ cao. Trong nhiều trường hợp, khi áp dụng phương pháp
truy nhập này đã giải quyết được bài toán về cả mặt kỹ thuật cũng như kinh tế [1].
Băng tần sử dụng ở đây là mili mét, điển hình là các băng tần 28, 38 và 40GHz. Tuy
nhiên, trên thực tế các băng tần khác cũng có thể được sử dụng. Vì thế tốc độ truyền
số liệu hữu ích của người sử dụng có thể lên đến 38Mb/s. Ngoài ra, với việc sử dụng
băng thông rộng, công nghệ này còn cho phép truyền các loại tín hiệu của nhiều dịch
vụ khác nhau như truyền hình số, Internet và số liệu tốc độ cao, truyền hình tương
tác, nghe nhạc và loại hình đa dịch vụ Multimedia. Công nghệ LMDS hoàn toàn có thể
thay thế cho các giải pháp dùng cáp hữu tuyến như đường dây thuê bao số (xDSL)
cho hộ gia đình và các doanh nghiệp nhỏ. Đây là mô hình đạt được hiệu quả rất cao
về kinh tế, đặc biệt trong trường hợp cần yêu cầu triển khai nhanh ở những vùng
trong thành phố hay các vùng dân cư thưa.

LMDS có hai mô hình chính là: mô hình một lớp và mô hình hai lớp. Nhược điểm của
mô hình một lớp trước đây đó là việc sử dụng tần số truyền dẫn ở dải mili mét trong
tầm nhìn thẳng LOS (Line Of Sight), nên mô hình này chỉ phù hợp đối với các toà nhà
cao tầng hay các vùng ngoại ô. Trong những môi trường truyền dẫn khắc nghiệt thì
yêu cầu phải có thêm các bộ lặp và các gương phản xạ tín hiệu. Trong khi đó, mô
hình của cấu trúc hai lớp tỏ ra linh hoạt hơn, trong khi đó vẫn đảm bảo được các yêu
cầu về lưu lượng và dung lượng đối với các dịch vụ Internet. Hai cấu trúc này đã
được kiểm tra và so sánh trong bài báo [2]. Hiện nay, hệ thống LMDS một lớp đã
được thực hiện ở dải băng tần 28GHz tại Bắc Mỹ và 40GHz tại Châu Âu. Phần lớn trên
thế giới đã thừa nhận hai dải tần số này và coi như là chuẩn cho các ứng dụng trong
công nghệ LMDS. Tuy nhiên, xu thế hiện nay đang tập trung vào nghiên cứu và triển
khai hệ thống LMDS hai lớp. Trong khuôn khổ bài báo này cũng sẽ chỉ đề cập đến các
vấn đề trong công nghệ LMDS hai lớp.

2. Cấu trúc hệ thống

Cấu trúc điển hình của LMDS hai lớp được biểu diễn trên hình 1 (Tham khảo tại Tạp
chí Bưu chính Viễn thông kỳ II - Infoworld tháng 1/2005). Các Macrocell làm việc tại
băng tần 28/40GHz, với bán kính cell thay đổi trong khoảng từ 1-5Km. Các Macrocell
này sẽ tạo nên mạng lõi của hệ thống MLDS, và được biết đến như là thành phần
MLDS truyền thống trước đây. Các Macrocell lại được chia nhỏ ra thành các Microcell,
làm việc ở băng tần thấp hơn, thường là 5 hoặc 17GHz. Ta nên lưu ý rằng, về nguyên
tắc, các tần số khác (khi đã đăng ký) hoàn toàn có thể sử dụng được trong các
Macrocell và Microcell. Trên thực tế, băng tần 3,5GHz đã được sử dụng ở một số
thương phẩm. Bán kính của Microcell có thể dao động trong khoảng từ 50-500m. Có
rất nhiều ưu điểm khi phân chia người sử dụng ra theo các Microcell. Ví dụ như, với
tần số thấp thì sẽ không cần quan tâm đến vấn đề truyền sóng trong tầm nhìn thẳng
LOS. Thêm nữa, giá thành thiết bị của người sử dụng cũng sẽ giảm nếu làm việc ở
dải tần số thấp, và đặc biệt là không cần phải sử dụng các anten đĩa siêu cao tần để
thu nhận tín hiệu.

Băng tần làm việc của hệ thống được cố định đối với Macrocell là từ 40,5-42,5GHz và
đối với Microcell là từ 5,725GHz-5,875GHz[12]. Các trạm phát gốc ở các Macrocell sử
dụng các anten phát đã được Sector hoá với góc phân hướng là 900, kết hợp với
phương pháp đa truy nhập phân kênh theo thời gian và tần số (FDMA/TDMA). Còn
đối với các Microcell sử dụng kiểu truyền dẫn TDMA trên cơ sở đa truy nhập phân
chia theo mã (DS-CDMA), tương tự như trong mạng cục bộ không dây (WLAN).

Trên thực tế, các nghiên cứu đã chỉ ra rằng công nghệ CDMA hoàn toàn không hiệu
quả về dung lượng cũng như tính kinh tế nếu sử dụng trong Macrocell (vì nếu sử
dụng thì yêu cầu về băng thông trải phổ rất rộng, đồng thời những tính năng ưu việt
của DS-CDMA sẽ bị giới hạn bởi thông tin tầm nhìn thẳng ở tần số làm việc 40GHz).
Có hai phương pháp chính để người sử dụng có thể thực hiện việc truy nhập mạng:
 truy nhập vô tuyến trực tiếp tới các Macrocell ở băng tần 40GHz, hoặc là thông qua
các Microcell ở dải tần thấp hơn.

3. Tuyến truyền hướng xuống

Với một tuyến truyền xuống xác định, theo cách phân chia của CEPT thì sẽ có 50
kênh với độ rộng băng tần của mỗi kênh là 39MHz. Việc chọn lựa này dựa trên cơ sở
sóng mang đơn tại tần số 40GHz của hệ thống truyền hình số quảng bá qua vệ tinh
(DVB-S)[2,3]. Khi đó, người sử dụng nếu không nằm trong khu vực phủ sóng của
Microcell có thể dùng các bộ thu vệ tinh giá rẻ để kết nối vào mạng LMDS ở tần số
40GHz. Ngoài ra, nếu chọn lựa theo chuẩn DVB, đồng nghĩa với việc chọn lựa kiểu
điều chế QPSK hoặc là OFDM, khi đó thuận lợi là có thể sử dụng toàn bộ các công
nghệ đã có sẵn, đặc biệt là các chip đã được thiết kế cho truyền hình số. Trong thực
tế, mỗi một kênh 39MHz có thể cho phép truyền với tốc độ bit 38Mb/s. Tuy nhiên,
phần lớn người sử dụng không dùng đến tốc độ truyền số liệu cao như vậy, vì thế
dòng số liệu của nhiều người sử dụng khác nhau sẽ được ghép lại trên một kênh
truyền. Thông thường, mỗi kênh sẽ ghép khoảng từ 1-20 người sử dụng, với tốc độ
dòng số liệu theo hướng xuống thay đổi từ 1,9 đến 38Mb/s. Kết hợp với việc sector
hoá hệ thống anten theo góc 900, khi đó tốc độ bit tổng trong mỗi Macrocell có thể
lên đến 7,6Gb/s. Vì thế, đôi khi còn gọi LMDS là hệ thống truy nhập vô tuyến
Gigabit. Để đơn giản, hệ thống đề cập ở đây sử dụng kiểu điều chế QPSK, tuy nhiên
trong các thí nghiệm và mô phỏng các kiểu điều chế QPSK hoặc là 16-QAM kết hợp
với OFDM có thể được sử dụng để nâng cao dung lượng dòng bit. Bằng cách này, cho
phép tăng tốc độ truyền dẫn lên mà không làm ảnh hưởng đến chất lượng hay bán
kính của cell.

Do sự khắc nghiệt về môi trường trong truyền dẫn vô tuyến, nên việc chia thành các
Microcell đồng thời kết hợp với các bộ điều chế OFDM băng thông 8MHz ở các trạm
phát gốc là hết sức cần thiết, đặc biệt là đối với các ứng dụng di động. Tín hiệu
OFDM được truyền ở tần số 28/40GHz đến các bộ lặp vùng LR (Local Repeater). Tại
đây, tín hiệu được chuyển đổi sang dải tần 5,8GHz và được truyền đi bằng các đường
vô tuyến DS-CDMA. Như vậy, đối với tuyến truyền xuống, bộ lặp vùng làm việc như
một Transponder của dòng bit thông tin. Việc sử dụng kỹ thuật điều chế OFDM, thậm
chí không cần dùng kỹ thuật DS-CDMA là hết sức hợp lý bởi tính đơn giản (dễ cân
bằng), độ ổn định và khả năng cung cấp dung lượng lớn.

4.Tuyến truyền hướng lên

Các hệ thống truyền số liệu trên nền LMDS thường mang tính chất bất đối xứng, mặc
dù hoàn toàn có thể thiết lập được các hệ thống đối xứng. Tuyến truyền hướng lên
kết hợp với tuyến truyền hướng xuống tạo ra một mạng truyền số liệu dựa trên cơ sở
công nghệ LMDS. Trong hệ thống thử nghiệm sử dụng tần số 100MHz cho tuyến
truyền lên[12]. Tuy nhiên, tần số này có thể được tăng lên và việc điều chỉnh này có
thể là động. Đây là một vấn đề hết sức quan trọng trong thiết kế mạng. Các Microcell
sử dụng phương pháp truy nhập vô tuyến theo mã CDMA, còn các Macrocell sử dụng
kiểu điều chế QPSK vi sai kết hợp với mã xoắn tỷ lệ 3/4. Tổng dung lượng tuyến
truyền lên của hệ thống thử nghiệm là 6,14Mb/s. Hệ thống TDMA của tuyến truyền
lên có tính chất động, nghĩa là người sử dụng có thể yêu cầu hơn một khe thời gian.
Các phân tích từ kết quả thống kê cho thấy thông thường người sử dụng chỉ làm việc
với tốc độ số liệu đầu vào là từ 64-512kb/s. Thực tế, tốc độ này đối với người sử
dụng hộ gia đình là đủ. Tuy nhiên, đối với các người sử dụng cho dịch vụ thương mại
thì các tham số của mô hình hệ thống thử nghiệm cần phải được thiết lập lại.
 5. Lớp giao thức

Phần lớn các hệ thống LMDS được bán trên thị trường cung cấp các dịch vụ IPv4 cho
người sử dụng bằng công nghệ IP trên nền ATM. Việc sử dụng mạng cơ sở ATM cho
phép thực hiện việc kết nối thuận tiện giữa các hệ thống vô tuyến và mạng lõi ATM.
Tuy nhiên, việc sử dụng mạng cơ sở ATM làm nảy sinh ra rất nhiều vấn đề về giao
thức khi thông tin được truyền trên các gói IP. Để thực hiện việc truyền dẫn tối ưu
trên cơ sở kết nối IP, các gói IP có thể được truyền trực tiếp, bỏ qua lớp ATM. Thêm
nữa, các giao thức thực hiện quá trình điều khiển liên kết số liệu vô tuyến (DLC-Data
Link Control) và điều khiển truy nhập dịch vụ (MAC-Medium Access Control) sẽ được
tối ưu hoá theo chuẩn IPv4/IPv6 (độ dài gói, đặc tính lưu lượng…). Ngoài ra, mạng lõi
IPv6 sẽ đảm bảo việc thực hiện liên kết mạng. Thêm nữa, ta có thể thực hiện việc
vận hành liên kết ở mức tế bào ATM bởi trạm phát gốc có khả năng thực hiện các kết
nối ATM. Có thể hiểu đây là quá trình truyền dẫn giữa các đầu cuối ATM, tuy nhiên bị
gián đoạn tại trạm gốc.

6. Thiết bị đầu cuối

Hai thiết bị chính đó là trạm phát gốc và thiết bị đầu cuối của người sử dụng. Sơ đồ
khối cấu trúc của mạng được biểu diễn như trên hình 2 (Tham khảo tại Tạp chí Bưu
chính Viễn thông kỳ II - Infoworld tháng 1/2005). Trạm phát gốc gồm một kết cuối
mạng cố định (là một máy tính) nhằm thực hiện việc kết nối với các mạng dùng công
nghệ khác nhau như IP, ATM hay chuyển tiếp khung (Fram Relay). Ngoài ra, trạm
phát gốc còn bao gồm cả phân hệ xử lý băng tần cơ sở và một phân hệ RF với cấu
hình có thể thay đổi (tần số được thay đổi bởi các Card mở rộng RF). Người sử dụng
có thể truy nhập theo hai cách khác nhau. Về nguyên tắc, nếu chúng ta sử dụng duy
nhất một kết nối trực tiếp với Macrocell thì ta cần phải có một bộ thu phát làm việc ở
dải tần 40GHz có tích hợp anten kích thước nhỏ (kích thước đĩa anten khoảng 10cm)
và một bộ thu phát truyền hình số vệ tinh theo chuẩn DVB-S. Trong khi đó, người sử
dụng trong vùng của Microcell thì chỉ cần một bộ thu phát DS-CDMA làm việc ở dải
tần 5/17GHz. Trong thực tế, giả sử nếu có một khu tập thể có cáp dẫn đến từng
phòng thì ta có thể sử dụng một khối thu trung tâm làm việc ở dải tần 40GHz. Các
đường kết nối đến các phòng được thực hiện thông qua các hệ thống cáp có sẵn. Tuy
nhiên, ta có thể sử dụng đầu thu vệ tinh DVB-S đã điều chỉnh để làm việc như một
điểm truy. Vì vậy, hộ gia đình có thể sử dụng công nghệ IP trên cơ sở LMDS, truyền
hình trên cơ sở LMDS, điểm truy nhập mạng gia đình và đầu thu vệ tinh chỉ với một
thiết bị duy nhất.

Một đầu thu vệ tinh có khả năng lập trình có thể đóng vai trò của một điểm truy
nhập. Tuyến truyền hướng xuống đến người sử dụng tương thích với chuẩn DVB-S/T
về cả mặt giao diện vật lý lẫn cấu trúc khung. Thực nghiệm đã thực hiện việc ghép
các khung có độ dài là 188byte thành các dòng truyền tải tại trạm thu phát gốc. Nếu
ta muốn truyền dòng tín hiệu Video nén theo chuẩn MPEG-2 thì ta phải gắn giá trị ID
lưu lượng tương ứng vào phần tiêu đề. Tại thiết bị đầu cuối của người sử dụng, dòng
truyền tải MPEG2-TS sẽ được xử lý ở giao diện mạng, thông thường giao diện này
được thiết kế ở ngay trong đầu thu. Giá trị ID ở phần tiêu đề sẽ được đọc và tính
toán để thực hiện việc điều khiển chuyển mạch gói.

Nếu giá trị ID biểu thị lưu lượng IP, gói thông tin sẽ được chuyển đến ngăn xếp IP.
Thông thường gói IP sẽ được chuyển từ bộ thu set-top-box đến một cổng đầu ra (ví
dụ như cổng Ethernet), cổng này được nối với mạng nội bộ gia đình hay nối với máy
tính.
Nếu giá trị ID biểu thị lưu lượng Video MPEG2, gói này sẽ được chuyển thẳng đến bộ
giải mã MPEG-2 và sau đó đưa đến mạch đầu vào của TV.

Ta có thể ghép nhiều kết nối trong một dòng truyền tải MPEG2-TS đơn, nói cách
khác, một người sử dụng có thể cùng một lúc vừa nhận tín hiệu Video MPEG2 đồng
thời thực hiện việc kết nối Internet. Vấn đề này đã được kiểm nghiệm trong quá trình
thử nghiệm. Đây thực sự là một tính năng nổi bật bởi xác suất dùng đồng thời cả
dịch vụ TV và truy cập Internet của người sử dụng là rất lớn.

7. TCP trên cơ sở LMDS

Có rất nhiều các nghiên cứu và tìm hiểu về vấn đề thực hiện TCP trên các kênh vô
tuyến có độ tin cậy cao[5-9]. Hiện nay việc thực hiện TCP vô tuyến được triển khai
trực tiếp ngay ở các hệ thống di động kiểu tế bào cellular. Ta cần lưu ý một số khác
biệt giữa TCP vô tuyến và TCP trên cơ sở LMDS. Không giống như các hệ thống vô
tuyến cellular khác, trong LMDS sẽ không có chuyển giao. Điều này sẽ hoàn toàn loại
bỏ vấn đề trễ chuyển giao xảy ra ở TCP. Di động IP và DHCP là hai giải pháp rất tốt
cho LMDS. LMDS hai lớp đã mở ra một tiềm năng cung cấp các dịch vụ mới đối với
các nhà cung cấp dịch vụ Internet (ISP).

Một vấn đề đã được biết rất rõ là các hệ thống vô tuyến thường có tỷ lệ lỗi cao và độ
trễ lớn so với các hệ thống hữu tuyến. Tuy nhiên, trong trường hợp của LMDS ta có
thể dùng các mã đường truyền, vì vậy sẽ tạo ra được một khoảng băng tần dự phòng
nhằm hạn chế vấn đề trên. Ví dụ như đối với tuyến truyền hướng xuống, ta sử dụng
kỹ thuật ghép xen, mã xoắn và mã Reed-Solomon RS(204,188). Trong thực tế, ta có
thể giảm tỷ lệ lỗi bit của tuyến truyền (BER) xuống nhỏ hơn 10-7 trong điều kiện
truyền bình thường. Với tỷ lệ lỗi bit như trên thì chất lượng hệ thống là hoàn toàn đạt
yêu cầu. Phương pháp này ta dùng cơ chế yêu cầu truyền lại tự động ARQ và cơ chế
TCP. Vì vậy, việc thiết kế thực hiện kết nối TCP trên cơ sở LMDS gần tương tự như các
vấn đề gặp phải trong mạng cục bộ không dây (WLAN), cùng với một số vấn đề của
mạng tế bào cellular.

Trong thực tế, giao thức Snoop Berkeley[10] có thể được thực hiện một cách dễ dàng
ở trạm thu phát gốc của LMDS, bởi trạm thu phát gốc có công suất khá lớn và
thường dùng các tuyến truyền có tính ổn định cao để kết nối đến các nhà cung cấp
dịch vụ. Thêm nữa, trạm thu phát gốc còn có một khối lượng bộ nhớ đệm rất lớn
dành cho giao thức Snoop.

TCP chuẩn được sử dụng hiện tại hết sức nhạy cảm với sự mất gói và các trễ không
gây tắc nghẽn. Với tỷ lệ mất gói IP là 2%, TCP truyền qua bị rớt khoảng từ 20-50%,
điều này đồng nghĩa với việc gần như không sử dụng được TCP[5]. Kết quả thực
nghiệm đã chỉ ra rằng khả năng truyền qua TCP như là một hàm của tỷ lệ mất gói
đối với tuyến truyền hướng lên LMDS ở kênh không lỗi với tốc độ truyền dẫn của
người sử dụng là 650kb/s (tốc độ bit của kênh là 1Mb/s)[2]. Việc sửa sai trước (FEC)
ở lớp vật lý là vấn đề không nhìn thấy nhưng đóng vai trò hết sức quan trọng trong
TCP/IP. Các kết quả thực nghiệm cho thấy nếu băng thông đủ lớn, thì ta nên cố gắng
che giấu lỗi ở lớp vật lý hơn là sử dụng phương pháp ARQ giống như Snoop.

Trong phần lớn các trường hợp nếu hệ thống làm việc ở dải tần 40GHz kết hợp với
việc sử dụng các mã FEC, ARQ và điều khiển lỗi trong TCP thì giá trị của QoS trên
toàn hệ thống là rất tốt. Các ứng dụng Internet thông thường sẽ không thấy được sự
khác biệt giữa LMDS truyền vô tuyến và hữu tuyến (đối với một tuyến truyền cố định
ở xa). Tuy nhiên, trong một số điều kiện về thời tiết, đặc biệt là khi có mưa hay có
 tuyết sẽ làm suy giảm đáng kể khả năng truyền dẫn. Để khắc phục đối với hiện
tượng này, cần sử dụng việc điều khiển qua kênh vô tuyến. Khối điều khiển lỗi lớp
vật lý, đặc biệt là bộ mã hoá Reed-Solomon sẽ được thiết kế làm việc ở chế độ động,
cho phép thay đổi mã một cách linh hoạt nhằm đạt được giá trị lỗi BER định trước.
Khoảng động thời gian của thuật toán là không lớn. ở đây ta không quan tâm nhiều
đến việc thực hiện điều chỉnh đối với sự thay đổi pha đinh nhanh.

Trong đường truyền vô tuyến ta đã không sử dụng các cơ chế giám sát QoS Internet
như là giao thức phục vụ tài nguyên (RSVP)/dịch vụ phân biệt (DiffServ). Tuy nhiên,
cấu trúc của LMDS thử nghiệm vẫn có thể đảm bảo QoS đối với các dòng thoại và
video bằng cách đặt các dòng và các khe thời gian dành riêng ở chế độ kết nối thời
gian thực. Trong thiết bị đầu cuối, phần tiêu đề của gói (gói LLC, không phải tiêu đề
của IP) sẽ chỉ thị cho người sử dụng biết được là dòng truyền tải là dành cho các
mạch xử lý thời gian thực hay ngăn xếp TCP/IP. Đây là một cơ chế giám sát QoS hết
sức đơn giản, tuy nhiên, chất lượng không cao.

8.Sự phân mảnh TCP và kích thước khung

Một vấn đề nữa cũng cần hết sức quan tâm trong việc thực hiện TCP vô tuyến trên cơ
sở LMDS là sự phân mảnh của gói. Kích thước các gói trong IPv4 và IPv6 là quá dài
đối với thông tin vô tuyến, ngay cả đối với tuyến truyền dẫn băng rộng cố định.

Trước đây, chuẩn DAVIC nghiêng theo hướng sử dụng các tế bào ATM. Thực ra, lý do
chính là có quá nhiều sự quan tâm đến công nghệ ATM và một số lượng lớn các
nghiên cứu dành cho lĩnh vực ATM không dây (WATM). Tuy nhiên, kích thước tế bào
ATM là chưa tối ưu đối với LMDS, thậm chí ngay cả đối với tuyến truyền lên tốc độ
chậm. Mặc dù ta đã có cơ chế đặt trước cho ATM, tuy nhiên kích thước tế bào ATM
cần được thay đổi cho phù hợp với các hệ thống vô tuyến làm việc trong điều kiện
môi trường truyền dẫn xấu. Trong trường hợp LMDS, thành phần tiêu đề và trễ
truyền dẫn quá lớn khi tính đến giá thành.

Trong thực tế, nếu ta không quan tâm nhiều đến việc tối ưu hoá gói truyền qua trong
điều kiện bình thường ở các tuyến truyền trên LMDS thì ta có thể sử dụng các khung
dài hơn nữa. Chọn khung có chiều dài 204/188byte vì kích thước này bằng với kích
thước của khung MPEG2-TS. Khi đó hệ thống là hoàn toàn tương thích với các chuẩn
đa dịch vụ (Multimedia). Đây thực sự là vấn đề rất cần được quan tấm nếu muốn
giảm giá thành sản phẩm. Thêm nữa, như đã đề cập ở phần trên, điều kiện truyền
sóng nhiều khi là thay đổi rất lớn, vì vậy tốt hơn hết là ta duy trì ở trạng thái tối ưu.

Cuối cùng, việc chọn lựa chiều dài khung MPEG2-TS làm đơn vị truyền tải cơ sở hết
sức hữu ích cho việc tối ưu hoá tuyến truyền xuống. Như đã nói ở trên, ta có thể gửi
cả dịch vụ gói IP cũng như tín hiệu Video MPEG-2 trên cùng một hệ thống truyền
dẫn. Khoảng tối ưu đối với tín hiệu truyền qua là từ 2-5 gói truyền tải MPEG-2 trên
một khe thời gian. Trong hệ thống thử nghiệm của CABSINET, đây là tham số có thể
cấu hình lại được tuỳ thuộc vào người vận hành. Tất nhiên là ngưỡng ACK đối với
TCP/IP cần phải lựa chọn phù hợp. Vấn đề này có thể được thực hiện một cách linh
hoạt, và các trạm thu phát gốc thậm chí có thể điều khiển được cả thiết bị ở phía
người sử dụng thông qua kênh báo hiệu.

Tổng độ trễ tổng TCP bao gồm quá trình xử lý, trễ truyền dẫn hướng lên… Vì vậy, nó
sẽ không tỉ lệ một cách tuyến tính với độ trễ của tuyến truyền hướng lên. Độ trễ
hướng truyền lên cao hơn sẽ gây ra các vấn đề về định thời, bộ nhớ đệm…Từ các kết
quả thực nghiệm và chương trình mô phỏng ta có thể thấy rằng, LMDS có thể đảm
nhiệm vai trò một Gateway TCP/IP đối với người sử dụng. Sự thay đổi nhằm đảm bảo
độ tin cậy được thực hiện ở lớp vật lý và các lớp truyền dẫn bằng các modul thích
ứng. Trong thực tế, đây là một yêu cầu rất quan trọng trong quá trình thiết kế bởi
bất cứ một sự thay đổi nhỏ nào trong đường truyền từ đầu cuối đến đầu cuối ở
TCP/IP cũng dẫn đến ảnh hưởng đặc tính chung của cả hệ thống.

Vấn đề cuối cùng ta cần quan tâm ở đây là độ trượt và độ tin cậy trong hệ thống thử
nghiệm thực tế. Các phép đo đối với hệ thống và mạng thử nghiệm đã chỉ ra rằng,
mặc dù không thực hiện việc điều khiển lỗi độ tin cậy của đường truyền là vẫn đảm
bảo. Trong thực tế, tuyến truyền dẫn gần như hoàn toàn xác định và độ trượt là rất
thấp. Điều này chứng tỏ sự đúng đắn trong việc sử dụng kỹ thuật điều chế OFDM
trong cả Macrcell lẫn Microcell. Tuy nhiên, trong một số đường truyền thấy xuất hiện
các đỉnh trễ lớn (500ms so với độ trễ thông thường 100ms), điều này có thể giải
thích là do các gói bị mất và thời gian yêu cầu để khôi phục lại gói.

9. Ứng dụng

Một vài năm trước đây người ta nghĩ rằng dịch vụ truyền hình theo yêu cầu (VoD) sẽ
“giết chết” LMDS. Ngược lại, hiện nay truy nhập Internet vô tuyến tốc độ cao và
truyền hình tương tác kỹ thuật số gần như thay thế hoàn toàn VoD. Truyền hình
quảng bá băng rộng dùng kỹ thuật số và thoại trên cơ sở LMDS được xem là một lĩnh
vực đột phá đầy tiềm năng. Các dịch vụ giá trị gia tăng của cấu trúc LMDS được triển
khai hết sức dễ dàng mặc dù sử dụng cùng một cơ sở hạ tầng.

LMDS có tính linh hoạt cao và có khả năng đáp ứng số lượng yêu cầu lớn. Các yêu
cầu về dịch vụ và dung lượng có thể được triển khai dễ dàng bằng cách thay đổi kích
thước cell và cấu trúc hệ thống anten khác. Điều này đã làm cho LMDS thực sự phù
hợp với người sử dụng hộ gia đình và các doanh nghiệp nhỏ. Các ứng dụng khác mới
được nói đến là kết nối mạng xa và giám sát hình ảnh vô tuyến. Thêm nữa, vẫn có
thể sử dụng dịch vụ điện thoại (bằng VoIP và SIP). Do dung lượng lớn và mức độ sử
dụng rất thấp vào ban đêm, vì vậy LMDS có thể còn được sử dụng như là hệ thống
truyền số liệu có trễ. Người sử dụng có thể yêu cầu Video hay thực hiện việc nâng
cấp phần mềm thông qua mạng LMDS trong khoảng thời gian có ít người sử dụng với
giá cước thấp. Các mô phỏng cho thấy rằng, bằng cách này giá thành giảm đáng kể
và tạo ra tính cân bằng trong mạng hết sức hiệu quả.

LMDS hết sức phù hợp trong các trường hợp người vận hành yêu cầu thiết lập nhanh
việc trao đổi số liệu ở vùng đông dân cư hay là khi không thể truy nhập vào cơ sở hạ
tầng cáp đồng. Một khả năng nữa của mạng LMDS là triển khai dịch vụ ở các vùng
mật độ dân cư thấp, nơi mà cơ sở hạ tầng cáp đồng hoặc cáp quang là quá đắt hay
không thể triển khai được.

10. Kết luận

Như vậy, LMDS là hoàn toàn phù hợp với các yêu cầu của dịch vụ vô tuyến băng
rộng. Các thử nghiệm thực tế cho thấy mạng được triển khai trên cơ sở LMDS không
bị hạn chế chỉ ứng dụng ở các hệ thống truyền hình tương tác hay quảng bá, mà ta
còn có thể thực hiện triển khai TCP/IP trên cơ sở LMDS. Điều này đã được thực hiện
bằng cách xây dựng các bộ tăng cường giao thức TCP trên nền MPEG. Các mô phỏng
và thử nghiệm đã chỉ ra rằng việc thực hiện IP trên LMDS có thể triển khai ngay trên
các hệ thống vô tuyến tiêu chuẩn. Tuy nhiên, nhà khai thác cũng không nên đánh giá
thấp sự cần thiết sự điều chỉnh trong vấn đề thu vô tuyến, trong mạng, và các tham
số TCP/IP sao cho việc sử dụng phổ là hiệu quả nhất với giá trị QoS có thể chấp nhận
 được.

LMDS có thể được sử dụng như là mạng đường trục băng rộng bằng cách thay thế
Microcell chuyên dụng bởi một số công nghệ thông dụng hơn (như HiperLan/2,
IEE802.11a). Trong thực nghiệm đã chỉ ra rằng LMDS làm việc không tốt với chức
năng lặp vùng vô tuyến tĩnh hay riêng rẽ. Hệ thống sẽ làm việc tốt hơn với cấu trúc
mạng xen phủ, ở đó các mạng tần số thấp sử dụng LMDS như là một mạng trung kế
hay mạng lõi tốc độ cao.

Các kết quả đưa ra ở đây là thực hiện trên cấu trúc mạng LMDS hai lớp, TDMA/FDMA
tốc độ cao, TCP vô tuyến cố định trên nền LMDS, đặc biệt là TCP dựa trên lớp liên kết
giao thức MPEG-2, cơ chế sử dụng băng thông rộng động và có thể cấu hình lại được
cho các mạng số liệu LMDS.

Tài liệu tham khảo

[1] T. Kwok, “Residential Broadband Internet Services and Application

Requirements”, IEEE Commun. Mag., June 1997, p.76.
[2] P. Mahonen et al., “40GHz LMDS–System Architecture Development”, ICT 1998
vol. 1, 1998, p.422.
[3] ETS 300 748, 1996, “Digital Broadcasting Systems for Television, Sound and
Data Services; Framing Structure, Channel Coding and Modulation for
MultipointVideo Distribution Systems (MVDS) at 10GHz and Above”; ETS 300 744,
“Digital Broadcasting Systems for Television, Sound and Data Services; Framing
Structure, Channel Coding and Modulation for Digital Terrestrial Broadcasting”, May
1996.
[4] DAVIC 1.4 Spec., Pt. 8, “Lower Layer Protocols and Physical Interfaces”, 1998,
Geneva, Switzerland.
[5] G.Xylomenos and G.C. Polyzos, “TCP and UDP Performance over a Wireless LAN”,
IEEE INFOCOM ’99, 1999, p.439.
[6] H. Balakrishnan et al., “A Comparison of Mechanisms for Improving TCP
Performance Over Wireless Links”, ACM SIGCOMM ’96, p.256.
[7] K. Brown and S.Singh, “M-UDP: UDP for Mobile Networks”, Comp. Commun. Rev.,
vol. 26, no.5, Oct. 1997, pp.19-43.
[8] R.Kalden, I.Meirick and M.Meyer, “Wireless Internet Access Based on GPRS”, IEEE
Pers. Commun., Apr. 2000, pp. 8-18.
[9] R. Ludwig and B. Rathonyi, “Link Layer Enhancements for TCP/IP over GSM”,
IEEE INFOCOM 1999.
[10] H. Balakrishnan, S. Seshan, R.H. Katz, “Improving Reliable Transport and
Handoff Performance in Cellular Wireless Networks”, ACM Wireless Networks, vol.1,
no. 4, Dec. 1995.
[11] P. Mahonen et al., “Medium Access and Reconfigurability for Two-Layer LMDS”,
Proc. WAS Wksp., San Francisco,CA, 2001.
[12] Petri Mahonen, Tmmi Saarinen, And Zach Shelby, “Wireless Internet over LMDS:

5
Architeture and Experiment Implementation”, IEEE May. 2001. pp. 126-132

bước để kiểm soát chặt chẽ

mạng và người sử dụng
Với các mối đe dọa đến an ninh mạng ngày càng gia tăng, chẳng có gì đáng
 ngạc nhiên khi các công ty đang xem xét lại các chiến lược bảo vệ để kiểm
soát người sử dụng và bảo vệ các mạng nội bộ và các dữ liệu quan trọng của
mình.

Các chuyên gia an ninh mạng đang ở vào một tình thế rất khó xử, bị kẹt giữa sự cần
thiết phải hỗ trợ quá trình sản suất của người sử dụng và sự linh hoạt trong một tổ
chức, trong khi vẫn phải đảm bảo an ninh cho những truy nhập vào các dữ liệu quan
trọng. Vì ranh giới phân cách đã bị loại bỏ, họ đang phải đối mặt với những đợt tấn
công không ngừng. Điều này làm gia tăng sự phức tạp và chí phí, cũng như làm gia
tăng áp lực về mặt quy định. Rõ ràng rằng chỉ sử dụng những chiến lược vành đai
truyền thống không còn hiệu quả nữa đối với các doanh nghiệp được kết nối qua lại ở
mức độ cao như hiện nay.

Các tổ chức đang cố gắng hết sức để giải quyết vấn đề bằng các công cụ hiện có
trong tay, triển khai các lớp an ninh vành đai trên các mạng nội bộ để giám sát người
sử dụng và kiểm soát truy nhập. Trong khi biện pháp này đã làm giảm một phần
nguy cơ thì chi phí lại rất cao vì những công nghệ này chưa từng được thiết kế để
bảo vệ các mạng nội bộ doanh nghiệp không đồng nhất và phức tạp hơn.

Lợi thế lớn nhất so với các tin tặc

Việc bảo vệ mạng nội bộ của bạn được dựa trên việc xác thực một lần, các mật khẩu
và/hoặc các thẻ, giống như xuất trình giấy chứng minh thư của bạn tại cửa ra vào,
nhưng sau đó là đi đến bất cứ nơi nào bạn muốn trong một tòa nhà đã được "bảo
vệ".

Trong môi trường được quy định một cách chặt chẽ như hiện nay, việc xác thực một
lần là chưa đủ để bảo vệ hệ thống của bạn khỏi những kẻ xâm nhập từ bên ngoài,
bạn cũng phải kiểm soát và giám sát cả người dùng ở bên trong và có thể kiểm tra
được họ là ai và họ đang làm gì. Trong thực tế, an ninh mạng phải phản ánh tình
hình an ninh vật lý bằng cách gắn một "biển hiệu" tại cửa ra vào với sự bảo đảm về
an ninh tại các khu vực chỉ định. Cuối cùng, việc biết được ai nên ở trên mạng của
bạn là một lợi thế lớn nhất của bạn so với các tin tặc và những tên trộm nhân dạng.

Đối với hầu hết các tổ chức doanh nghiệp, việc bảo vệ bên trong bao gồm cả việc
triển khai một phương pháp đa lớp. Phương pháp này bao gồm một sự kết hợp của
các bức tường lửa, các hệ thống phát hiện xâm nhập, kiểm tra gói sâu, kiểm soát
truy nhập, phần mềm chống vi rút và quy trình vá lỗ hổng nghiêm ngặt. Nhưng vì
các nguy cơ và áp lực về những quy định ngày càng gia tăng, các chi phí và mức độ
phức tạp của việc duy trì những lớp này cũng tăng theo.

Chúng ta bắt đầu được thấy những phương pháp dựa trên nhân dạng, mang tính đổi
mới được xây dựng để nhằm mục đích xử lý nhu cầu an ninh mạng nội bộ. Những
nhu cầu này có thể được mở rộng mà không cần thêm các yêu cầu về quản lý hay chí
phí phụ trội. Các chuyên gia an ninh phải sẵn sàng đánh giá hiệu quả của chiến lược
an ninh doanh nghiệp nội bộ hiện tại của họ và các giải pháp sáng tạo kết hợp để đối
mặt với những thách thức của một mạng và vành đai phân cách luôn luôn thay đổi.

5 bước để giành quyền kiểm soát

Những gợi ý mang tính tiên phong thực hiện dưới đây sẽ giúp bạn giành được quyền
kiểm soát người sử dụng của bạn cũng như cải thiện tình hình an ninh xung quanh
những dữ liệu quan trọng của cơ quan bạn.
 Hãy nhớ rằng an ninh nội bộ rất khác so với an ninh vành đai

Mô hình mối đe dọa đối với an ninh nội bộ khác so với mô hình của an ninh vành đai.
An ninh vành đai bảo vệ mạng của bạn khỏi những kẻ tấn công trên Internet được
trang bị với những công cụ khai thác của các dịch vụ Internet phổ biến như HTTP và
SMTP. Mô hình an ninh nội bộ phải đối phó với chính những kẻ xấu ở trong công ty.
Các mạng nội bộ bây giờ nhanh hơn, phức tạp và biến động hơn. Thêm vào đó, lối
truy nhập vào mạng nội bộ của bạn của một người ở bên trong mạng, đơn giản chỉ
bằng cách cắm vào một giắc Ethernet, còn nguy hiểm hơn nhiều lối truy nhập bằng
các script của một tin tặc tinh vi.

Bạn không còn có thể giả định rằng những người bên trong mạng nội bộ là "tin cậy"
bởi vì nhóm người này thường bao gồm nhiều thành phần từ các đối tác kinh doanh,
các nhà đầu tư, các nhà tư vấn đến các khách hàng. Cho dù bạn tin tưởng mọi người
trên mạng nội bộ của mình, nguy cơ vẫn còn vì hầu hết các lỗ hổng xuất phát từ sự
bất cẩn hơn là sự sử dụng sai có chủ định. Do vậy, chúng ta phải đối mặt với nhiều
thách thức xung quanh việc kiểm soát sự truy nhập của người dùng và bảo vệ các dữ
liệu mạng nội bộ.

Bảo vệ các tài nguyên quan trọng

Các báo cáo như Báo cáo về nguy cơ an ninh Internet định kỳ nửa năm 1 lần của
công ty Symantec khẳng định rằng các công ty có giao dịch tài chính trực tuyến,
chẳng hạn như các ngân hàng và các dịch vụ thanh toán, là những mục tiêu chính
của các vụ tấn công trên mạng. Báo cáo hàng năm của SANS về 20 lỗ hổng an ninh
Internet hàng đầu cũng cho thấy một nguy cơ cao liên quan đến các máy chủ Web và
các hệ điều hành phổ biến. Những thông tin này cần phải được các doanh nghiệp sử
dụng để ưu tiên một cách hợp lý các dự án cho các tài nguyên an ninh và công nghệ
thông tin.

Vậy bạn đã xếp hạng các hệ thống nội bộ của bạn theo mức độ quan trọng đối với
công ty hay chưa? Bạn nghĩ tới các máy chủ hay ứng dụng nào mà dữ liệu trên đó chỉ
cần cho một bộ phận nhỏ nhân viên? Có một tài sản nào (ứng dụng hay cơ sở dữ liệu
hay máy chủ) ở "bên trong" quan trọng đến nỗi mà bạn nghĩ rằng sẽ gắn thêm yêu
cầu xác nhận khi truy nhập vào đó. Hoặc là bạn đã xem xét đến việc sử dụng các
tường lửa hoặc IDS để bao quanh nó chưa? Dành ưu tiên, nhưng bạn hãy nhớ rằng
những thiết bị này hoạt động với các địa chỉ IP vốn có thể bị giả mạo, chiếm đoạt
hoặc ăn cắp.

Trên một mạng với 30.000 người sử dụng, sẽ là không thực tế khi hy vọng mọi máy
chủ có thể luôn được khóa và vá khi có lỗ hổng. Xếp loại nguy cơ an ninh của bạn và
thực hiện một phân tích chi phí-lợi nhuận cùng với nhiều phương án giải quyết. Phân
loại những tài sản mới dựa trên giá trị đối với doanh nghiệp và ảnh hưởng về mặt tài
chính của thời gian bị ngừng hoạt động. Có thể sẽ mất một tháng để tìm, ghi thành
danh mục, phân loại và đánh giá các lỗ hổng cho mỗi máy chủ web trên mạng,
nhưng thời gian đầu tư vào đó là đúng đắn và thiết thực.

Bây giờ bạn có một danh sách các máy chủ web, được xếp hạng ưu tiên theo nguy cơ
và giá trị tài sản, đánh giá xem những máy chủ nào là được bảo vệ ít nhất và xử lý
những máy chủ đó trước. Ví dụ, các máy chủ web ở DMZ cần được quan tâm ngay
lập tức hơn là những máy chủ ít truy nhập được vào hơn bởi vì chúng nằm sâu hơn
bên trong mạng của bạn và được bảo vệ bởi nhiều lớp an ninh hơn. Sau cùng, xác
định bất cứ máy chủ web nào có một giá trị tài sản cao nhưng không thể được vá bởi
vì tính tương thích hay vì các vấn đề khác. Những máy chủ này phải được di chuyển
tới một khu vực tin cậy của mạng nội bộ của bạn với những rào cản cao cấp giữa
chúng và phần còn lại của thế giới (những vành đai ảo).

Tắt các dịch vụ mạng không sử dụng

Điều này dường như là hiển nhiên, mặc dù nó vẫn tiếp tục là một lỗ hổng để tin tặc
khai thác. Hầu hết các hệ thống và phần mềm có rất nhiều dịch vụ và cổng mở để
làm cho quá trình triển khai và sử dụng trở nên dễ dàng hơn. Các dịch vụ truy nhập
từ xa thường được bật lên theo ngầm định cho cả hai hệ thống Windows và Unix.
Việc chia sẻ tập tin và gọi thủ tục từ xa (RPC) không được bảo vệ chỉ là hai ví dụ
trong số các dịch vụ có nhiều khả năng bị tấn công.

Kiểm tra các máy chủ và máy tính trung tâm hiện có của bạn một cách thường xuyên
để rà soát các dịch vụ này và khóa chúng lại khi chúng không chạy. Hầu hết các công
ty đều có một chuẩn riêng cho các hệ thống người dùng. Bạn hãy chắc chắn rằng
chuẩn của bạn loại trừ tất cả các dịch vụ truy nhập từ xa phổ biến đối với hệ điều
hành đang sử dụng. Hãy nhớ rằng việc chặn các dịch vụ phổ biến này ở bức tường
lửa chỉ bảo vệ chúng khỏi những truy nhập từ bên ngoài. Bạn vẫn phải quan tâm đến
những máy tính xách tay lưu động và các cuộc tấn công từ bên trong.

Tạo ra các vành đai ảo

Như bạn đã biết, vành đai phân cách đã bị loại bỏ. Vậy bạn nên làm gì? Hãy bắt đầu
bằng việc đánh giá xem mạng của bạn được sử dụng như thế nào và xây dựng các
vành đai ảo xung quanh các đơn vị kinh doanh. Các máy chủ sẽ vẫn dễ bị tấn công
chừng nào con người còn vận hành chúng. Thay vì tạo ra những mục tiêu không thực
tế như "không có máy chủ nào bị làm hại", một mục tiêu khả thi hơn là không có một
máy chủ nào có thể cho phép một kẻ xâm nhập truy nhập hoàn toàn vào mạng nếu
nó bị làm hại.

Nếu một máy tính của nhân viên marketing bị làm hại, kẻ tấn công phải không truy
nhập được vào bộ phận nghiên cứu & phát triển (R&D) của công ty. Vì vậy bạn hãy
thực hiện việc kiểm soát truy nhập giữa bộ phận R&D và marketing. Chúng ta đã biết
cách xây dựng các vành đai giữa Internet và mạng nội bộ. Đã đến lúc cần phải thiết
lập các vành đai giữa những nhóm người sử dụng khác nhau trong mạng doanh
nghiệp .

Biết được người sử dụng của bạn là ai bằng cách thực thi việc kiểm tra nhân dạng

Bước tiếp theo là xác định người sử dụng của bạn là ai, những tài nguyên nào họ
được phép truy nhập và sau đó thực thi những chính sách kiểm soát truy nhập đó
cho các ứng dụng và máy chủ nội bộ. Thế mạnh chủ yếu của bạn để bảo vệ mạng
nội bộ của bạn ở mức này là bạn biết là ai nên ở đó và vị trí của họ. ở lớp bảo vệ này,
nhận dạng bằng một địa chỉ IP là phương án có thể chấp nhận được. Giải pháp này
phải hỗ trợ việc xác định nhân dạng đó để lớp bảo vệ nội bộ cuối cùng có thể cấp cho
người dùng đã biết lối truy nhập với mức độ chi tiết phù hợp.

Việc xác thực là rất tốt và cần thiết, nhưng bạn hãy luôn nhớ rằng việc này chỉ có
hiệu lực một lần, vào lúc đăng nhập. Bạn cũng cần phải nhớ rằng các bức tường lửa
nội bộ và IDS không thể kiểm soát nhân dạng và hoạt động trên các địa chỉ IP là
những thứ thường xuyên thay đổi và rất dễ bị giả mạo bởi tin tặc. Bằng việc gắn một
"dấu hiệu nhận dạng" khi truy nhập vào một mạng, các tổ chức có thể giám sát một
cách hiệu quả hạn chế truy nhập và cấm truy nhập đối với những người không được
phép.

Thế hệ thứ hai của Quản lý nhân dạng sẽ giúp chúng ta đi theo hướng này. Ban đầu,
Quản lý nhân dạng tập trung vào tích hợp việc xác thực, kiểm soát truy nhập và
quản lý mật khẩu. Nhưng khi các tổ chức triển khai Quản lý nhân dạng, họ bắt đầu
nhận ra rằng có một khe hở giữa ứng dụng và lớp mạng và chỉ bằng cách tổ chức
tính toán xung quanh nhân dạng và quản lý nó bằng nhân dạng thì vấn đề truy nhập
mới có thể được giải quyết.Nối hai máy tính bằng cáp USB để chia
sẽ dử liệu

Công nghệ mới nhất trên thế giới vừa được ra đời hay sao? Xin thưa là không
phải, chiêu này đã có từ thời mấy cái PC còn chạy trên nền DOS nữa kìa.
Nhưng dù sao thì nó cũng còn rất hữu dụng trong thế giới PC “sống có đôi,
có cặp”.

Để nối hai máy tính theo cách này, bạn chỉ cần mỗi máy tính (dĩ nhiên rồi) có cổng
LPT (paralell) hay cổng COM (serial), USB (Universal Serial Bus) còn hoạt động và
một sợi dây cáp đặc biệt gọi là dây Link có đầu cắm để kết nối qua các cổng trên
(mỗi loại cổng có loại cáp link riêng). Sau đó, bạn chỉ việc theo mấy bước sau đây.
Cũng lưu ý rằng kiểu kết nối này chỉ thích hợp với mô hình gia đình vì nó chỉ nối được
hai máy tính với nhau mà thôi.

Trên Windows XP

Kiểu kết nối này có thể dùng cho cả “họ” Windows từ 9x cho tới Windows Server
2003 luôn. Bài viết sẽ hướng dẫn bạn thực hành cụ thể trên Windows XP.
Vào menu Start > All Programs > Accessories > Communications > New Connection
Wizard > Next > chọn Set up an advanced connection, nhấn Next > chọn Connect
directly to another computer, nhấn Next. Nếu muốn máy tính đang cấu hình này là
nơi chứa thông tin để máy tính thứ hai kết nối vào truy xuất dữ liệu thì chọn Host
(chủ); còn ngược lại, nếu muốn dùng máy tính đang cấu hình truy xuất vào máy kia
để lấy dữ liệu thì chọn Guest (khách). Nhấn Next. Bạn sẽ được hỏi cổng kết nối, chọn
Direct Parallel (LPT1). Nhấn Next.

Lưu ý: Khi chọn chế độ Host, nếu máy tính chưa tạo thư mục ở chế độ share (chia sẻ
thông tin) thì sẽ bị “nhắc nhở”, bạn cứ chọn OK cho xong chuyện, sau này tạo share
sau cũng được. Khi cấu hình thư mục chia sẻ thông tin, bạn cũng được hỏi về một số
quyền về cho phép người sử dụng toàn quyền (Full Control) hay chỉ được xem (Read
Only).

Bây giờ đến bước tạo cấp quyền truy xuất thông tin trên PC (nếu đã chọn kiểu Host),
vì dùng trong gia đình nên bạn chọn Guest cho đơn giản sự đời, còn nếu muốn “bảo
mật” thì có thể nhấn nút Add hay Properties để cấu hình thêm cho vui > Next kết
thúc quá trình cấu hình trên máy thứ nhất.

Tiếp theo là cấu hình PC thứ hai, nếu máy thứ nhất là Host thì máy thứ hai sẽ được
thiết đặt với các thông số là Guest, và ngược lại. Sau khi hai máy tính “bắt tay” xong,
bạn có thể chia sẽ dữ liệu qua lại với nhau như một mạng chia sẻ file bình thường.
Trên Windows 9x

Cài Direct Cable Connection! bằng cách vào Control Panel > Add/Remove Programs >
Windows Setup > Commutications > đánh dấu Direct Cable Connection.
Cài giao thức (protocol): vào Control Panel > Network > Configuration, nhấn nút Add
> Protocol > chọn Microsoft trong Manufacturers > chọn giao thức bên phần Network
Protocol để cài các giao thức IPX/SPX, TCP/IP và NetBEUI (nếu chưa co) > khởi động
lại máy.

Với máy chủ: chạy Direct Cable Connection > chọn Host (This computer has the
resources you want to access, máy tính này có các tài nguyên mà bạn muốn truy
xuất), nhấn Next > chọn cổng mà chúng ta định nối, nhấn Next > nhấn Finish. Với
máy khách: ta cũng làm tương tự như thế nhưng thay vì chọn Host thì chọn Guest
(This computer will be used to access resources on the host computer, máy tính này
sẽ được dùng để truy xuất các tài nguyên trên máy tính chủ).

Trên Windows 2000 Professional

Cài giao thức cho cả hai máy: vào Control Panel > Network and Dial Up Connections
> nhấp chuột phải vào Local Area Connection > Properties > chọn Install > Protocol
để cài thêm IPX/SPX. Kích hoạt tính năng chia sẽ tập tin, nếu trong phần
Components chưa có thì chọn Install > Service để cài “File and Printer for Microsoft
Networks”! > khởi động lại máy > tắt máy và tiến hành nối cáp cho hai máy.

-Đối với máy chủ: thường thì phần Network And Dial Up Connections có sẵn biểu
tượng hai máy tính nối trực tiếp với nhau (Direct Connection), nếu không có cũng
không sao cả! Ta tiến hành nối kết bằng cách vào Make New Connection, chọn Next
> chọn Connect Directly to another computer, nhấn Next > chọn Host > chọn cổng
kết nối như ở Win9x > bổ sung người dùng vào (mặc định là Administrator và Guest)
> điền tên đăng nhập, mật mã (nếu muốn) cho một hoặc nhiều tài khoản > OK>
nhấn Finish.

-Đối với máy khách: cũng làm tương tự chỉ khác là chọn Guest thay vì Host. Ở
phần Connection Availability thì chọn For All User (cho tất cả mọi người) nếu chúng
ta muốn đăng nhập với các tài khoản khác nhau và Only For Myself (chỉ cho mình ên
tôi) nếu không muốn cho các tài khoản khác.

Kết nối bằng Norton Commander (DOS)

Để kết nối hai máy tính trong môi trường DOS, bạn có thể dùng chương trình
Interlink của DOS, nhưng tốt nhất là sử dụng phần mềm Norton Commander 5.0
(NC) để dễ điều khiển.
Chạy NC trên cả hai máy, mở menu Left/ Right, chọn lệnh Link. Trong hộp thoại
Commander Link, bạn chọn cổng COM hay LPT dùng để kết nối. Sau đó chọn Master
trên máy chủ và chọn Slave trên máy khách.

* Kết nối bằng Total Commander (Windows)

Trong Windows 9x/NT/2000/XP, nếu không muốn sử dụng chương trình Direct Cable
Connection với các khai báo rắc rối, bạn nên sử dụng phần mềm Total Commander
6.0 để kết nối hai máy tính qua cổng LPT cho đơn giản và nhanh.
Trong Windows, chạy Total Commander trên cả hai máy tính, mở menu Net chọn lịnh
PORT connection to other PC. Chọn Server cho máy chủ và Client cho máy khách.
Chú ý: Bạn chỉ làm việc trên máy khách, máy chủ sẽ bị “tê liệt” trong khi kết nối.

* Cách đấu dây cáp Link (kết nối 2 máy tính)

Nối bằng cổng LPT (parallel)

Đầu 1 Đầu 2

chân 2 chân 15
3 13
4 12
5 10
6 11
15 2
13 3
12 4
10 5
11 6
25 25 (ground)

* Nối bằng cổng USB (Universal Serial Bus)

Bạn mua loại cáp USB Data Link có chiều dài khoảng 2m và đấu nối vào hai máy tính
qua cổng USB. Cài đặt phần mềm và driver (Gene Link File Transfer Driver) được
cung cấp kèm theo cáp dữ liệu, sau đó truyền dữ liệu giửa hai máy bằng phần mềm
này. Bạn sao chép, di chuyển các tập tin từ máy này sang máy khác tương tự cách
sử dụng phần mềm Norton Commander (NC). Sẽ có hai cửa sổ mở ra dành cho máy
chủ (local desktop) và máy khách (remote desktop)

Biến chiếc PC thành Server bất cứ nơi nào

có internet là bạn cũng có thể kết nối tới
máy của bạn để lấy dữ cả.

Dụng cụ:
1. Một máy PC cấu hình tương đối
-P3 1Ghz Ram 256MB HDD: 20GB
2. Thiết bị kết nối
-Một line ADSL
-Một Modem ADSL

Cách cài đặt:

Trước tiên bạn cài đặt và cấu hình Win2000 server ( ở đây tôi cài Win2000 Advanced
server) add thêm một số dịch vụ DHCP, DNS, WINS.....

Bước kế là bạn truy cập vào trang web của modem ADSL bạn mở port 1723 theo
hình dưới

kế tiếp:
Cách cài đặt VPN Server

Trước khi client có thể gọi vào hoặc có thể truy cập được vào mạng của bạn, bạn cần
phải cài đặt VPN server. Trong bài này chúng ta sẽ cùng nhau tìm hiểu cách cài đặt
một VPN Server như thế nào cũng như sẽ điểm qua một vài vấn đề quan trọng trong
hệ thống hạ tầng của giải pháp mạng ảo VPN.

Bước đầu tiên là enable Routing and Remote Access Service (RRAS). Bước này thì
bạn không cần phải cài đặt vì nó đã được cài đặt sẳn khi bạn cài đặt hệ điều hành
Windows. Tuy nhiên mặc dù đã được cài đặt theo windows nhưng nó chưa được
enable, cho nên để có thể enable RRAS thì bạn có thể làm theo các bước sau đây:

Chọn start, chọn Programs, chọn Administrative Tools, chọn Routing and Remote
Access (RRAS).

Trong Routing and Remote Access console, right click

tên server của bạn, và chọn Enable Routing and
Remote Access. Sau khi chọn như ở trên nó cần khoảng vài giây để activate.

Sau đó RRAS Wizard sẽ khơi động. Trong phần này bạn nên chọn mục Manually
configured server và click Next theo hình dưới đây.

Bạn cứ tiếp tục làm theo sự chỉ dẫn trên wizard cho tới khi bạn hoàn tất phần wizard,
và cuối cùng là chọn Finish để hoàn tất phần enable RRAS.

Sau khi hoàn tất phần enable RRAS bạn cần phải restart service, bạn chỉ chọn Yes.

Lưu ý: Chúng ta không sử dụng mục Virtual private network (VPN) server vì có một
trở ngại là khi chọn mục này, nó sẽ bảo vệ cái interface mà bạn chọn bằng cách cài
bộ lọc mà chỉ cho phép hai giao thức căn bản là L2TP và PPTP được quyền truyền tải
dử liệu, RRAS sẽ không truyền tải nếu nó không phải là giao thức trên, đó là lý do
nên sử dụng mục Manually configured server.

Khi RRAS bắt đầu làm việc thì bạn sẽ thấy như tấm hình dưới đây.

Phần General Tab

Right click vào server name của bạn và chọn Properties theo hình dưới đây.

Trong phần Properties trên bạn có thể chọn vào mục Router vì computer của bạn sẽ
chịu trách nhiệm chuyển tải những yêu cầu từ VPN clients với lại mạng nội bộ LAN,
đó là lý do bạn cần phải chọn vào mục router. Phần làm việc của mục router này là
route traffic trực tiếp giữa mạng LAN và những máy truy cập thông qua kết nối theo
dạng demand-dial. Nếu bạn muốn VPN theo dạng gateway-to-gateway VPN, bạn nên
chọn mục Router và luôn cả mục LAN and demand-dial routing.

Bạn nhớ chọn thêm mục Remote access server. Nếu bạn không chọn mục này thì
VPN client không thể gọi vào được.

The Server "IP" Tab

Chọn vào mục IP tab như hình dưới đây.

Chọn vào mục Enable IP routing, mục này cho phép clients được quyền truy cập vào
mạng nội bộ của bạn, nếu bạn không chọn mục này thì các clients chỉ có thể truy cập
vào VPN server mà thôi.

Mục Allow IP-based remote access and demand-dial

connections phải được enable để các clients có thể cấp phát địa chỉ IP khi client truy
cập. Khi bạn chọn mục này có nghĩa là bạn cho phép giao thức điều khiển IP (IPCP),
giao thức này được sử dụng để thiết lập kết nối theo dạng PPP.

Bước kế tiếp là bạn cần phải quyết định số IP cấp phát cho VPN clients như thế nào.
Bạn có hai cách cấp phát IP
Dynamic Host Configuration Protocol (DHCP)

IP động.
Static Address Pool IP Tĩnh

Theo kinh nghiệm thì nên chọn DHCP vì không cần phải mệt óc chia và cấp phát thế
nào cho clients. Khi DHCP server được configure với một scope địa chỉ IP cho card
LAN của VPN server, thông thường by default RRAS/VPN server có khoảng 10 ports
để cho phép tạo kết nối, vì vậy nó sẽ chôm khoảng 10 IP address của DHCP server
và nó sẽ sử dụng một cho chính nó. Nếu tất cả IP address đều được sử dụng hết bởi
các kết nối VPN và nếu VPN server của bạn có nhiều hơn 10 ports thì nó sẽ lấy thêm
10 IP addresses nữa từ DHCP server để sơ cua cho các truy cập sau.

Cách dễ nhất để giải quyết địa chỉ IP cho client là đặt DHCP server trong cùng một
subnet với VPN server interface. Bạn có thể thiết lập DHCP Relay Agent, tuy nhiên
phần này sẽ đề cập ở mục khác.

Nếu như bạn sử dụng IP tĩnh để cho phép client tạo kết nối thì phải bảo đảm rằng nó
phải cùng subnet với mạng nội bộ của VPN server hay là internet interface của VPN
server. Còn không thì hơi phiền phức.

Ở phần cuối của hình dưới bạn chọn vào mục Use the following
adapter to obtain DHCP, DNS, and WINS addresses for dial-up
clients, ở đây bạn nên chọn NIC card còn lại của VPN server, vì là client khi kết nối
với mạng VPN của bạn, nó cần phải nằm trong cùng mạng LAN, cho nên bạn phải
chọn NIC card của RRAS server vì NIC card này sẽ chịu trách nhiệm cung cấp các
thông tin về DHCP, DNS và WINS cho client.

Sau khi bạn chọn xong thì click OK để tiếp tục phần configure ports như hình dưới
đây.

Configuring the VPN Ports

Trong phần RRAS Console, bạn right click vào Ports, chọn Properties như hình dưới
đây.

Configuring the VPN Ports

Trong phần Ports Properties như hình dưới đây. Chọn VPN interface mà bạn muốn
enable, ví dụ như bạn muốn enable giao thức PPTP để client có thể tạo kết nối với
mạng VPN, giao thức PPTP tương đối là đơn giản nhất, cho nên bạn nên bắt đầu bằng
giao thức này bằng cách chọn WAN Miniport (PPTP) sau đó nhấn vào mục Configure
như hình dưới đây.

Trong phần configure WAN Miniport (PPTP) như hình dưới, bạn nên chọn mục Remote
access connections (inbound only) để clients có thể tạo kết nối với VPN server.

Mục Demand-dial routing connections (inbound and outbound) cho phép RRAS server
được phép khởi tạo hoặc là chấp nhận kết nối đến và từ demand-dial routers. Nếu
bạn muốn thực hiện giải pháp gateway-to-gateway VPN solution, thì bạn nên chọn
mục này, nhưng nếu bạn chỉ muốn cho phép nhận kết nối từ clients thôi thí bạn có
thể disable thư mục này.

Trong hộp Phone number for this device, nhập vào địa chỉ IP của VPN server
interface như hình dưới.

Ở mục Maximum ports box, bạn có thể nhập vào bao nhiêu ports cũng được tùy theo
nhu cầu của bạn, ports thì có tổng cộng khoảng 16384 ports, cho nên nếu bạn có
nhu cầu nhiều hơn số lượng ports đó thì bạn phải cần thêm một VPN server.

Click OK. Nếu bạn chọn ít hơn số port mặc định thì bạn sẽ gặp lời cảnh cáo như hình
dưới đây, nhưng không sao bạn cứ việc click Yes. Sau đó click Apply trong phần Port
Properties.

Bước cuối cùng là cho phép truy cập qua Remote Access Policy. Chọn vào thư mục
Remote Access Policy, bên tay phải bạn right click vào mục Allow access if dial-in
permission is enable chọn properties như hình dưới.
Trong phần Allow access if dial-in permission is enable Properties, chọn vào mục
Grant remote access permission. Mục này cho phép users truy cập bất cứ lúc nào
miễn là khớp với điều kiện đặt ra của Policy Change the If a user matches the
conditions setting to
Grant remote access permission như hình dưới sau đó.

Click Apply and then click OK.

Kết luận

Trong bài viết này chúng ta đã cùng nhau lướt qua cách thiết lập một VPN server.
Thật ra cách thiết lập một VPN server như chúng ta vừa làm thuộc dạng đơn giản đủ
để cho phép clients tạo các kết nối với VPN server. Tuy nhiên một khi bạn đã có thể
bảo đảm rằng VPN server của bạn đã làm việc một cách tốt đẹp bằng cách bạn tạo
một kết nối thử nghiệm từ ngoài vào, nếu thành công thì bạn hãy bước một bước kế
tiếp kỉ thuật hơn cũng như gia tăng bảo mật.

Windows 2000 RRAS Server rất mạnh và cũng là một chương trình phần mềm chẳng
đơn giản chút nào. Có rất nhiều options trong cái RRAS console này, nếu bạn biết
cách phát huy hay sử dụng nó đúng thì sẽ tạo cho bạn rất nhiều thích thú. Tốt nhất
khi thiết lập bất cứ server loại nào, điều bạn nên nhớ đầu tiên là cố gắng đơn giản
việc thiết lập để chắc chắn rằng những cái chúng ta vừa thiết lập đã hoạt động căn
bản rồi, từ đây chúng ta sẽ đi xâu.

Bắt đầu cấu hình cho Client khi ở bất cứ chổ nào mình muốn connect tới Server.

Click phải vào My Network ngoài Desktop chọn Properties

Chọn Creat new connection -> Next và làm giống như hình dưới

Next -> Nhập vào tên kết nối rồi nhấp Next tên gì cũng được

Nhập Ip Wan của bạn vào thì lúc này sẽ tạo ra một biểu tượng kết nối giống như kết
nốt quay số Dialup vậy, sau đó bạn chỉ cần nhập User và Pass của Win2000ser cung
cấp cho bận, vậy là các bạn có thể kết nốt với máy chủ đó rôi, việc kế tiế bạn chỉ cần
vào Start--> Run gõ \\tên máy của Server.