Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính

BAØI 3 : VPN (VIRTUAL PRIVATE NETWORK)

I. Lý thuyết chung cho VPN
• VPN cung cấp kết nối mạng với khoảng cách dài. Về một khía cạnh nào đó có thể hiểu
VPN như là WAN. Tuy nhiên đặc điểm quan trọng của VPN là khả năng sử dụng mạng
có sẵn như là Internet thay vì là các đường truyền thuê riêng. Kỹ thuật VPN thực hiện
mạng truy nhập hạn chế nhưng vẫn sử dụng cáp và router của mạng công cộng điều này
được xem như bảo mật cơ bản.
• VPN có thể hổ trợ sử dụng 3 mô hình khác nhau:
- Kết nối client truy xuất từ xa: VPN có thể được thiết kế với hỗ trợ truy xuất có bảo vệ
từ xa tới mạng công ty qua Internet. Sử dụng mô hình client/server như sau:
o Máy client muốn truy cập vào mạng công ty thì trước tiên phải kết nối đến bất
kỳ ISP nào cung cấp dịch vụ Internet.
o Tiếp theo Client phải khởi tạo kết nối đến server VPN của công ty. Kết nối này
được thực hiện bằng phần mềm VPN client được cài đặt trên máy host ở xa.
o Ngay khi kết nối được thiết lập máy client có thể lên lạc với hệ thống trong
công ty (các máy khác trong công ty) qua Internet như là máy trong nôi bộ
công ty.

- LAN to LAN Internetworking (site to site): Ngoài khả năng truy xuất từ xa, VPN có
thể làm cầu nối cho 2 mạng LAN với nhau để hình thành một Intranet mở rộng. Giải
pháp này cần kết nối VPN server với VPN server.

Trang 49
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
- Controlled access within Intranet: Mạng Intrenet cũng có thể sử dụng kỹ thuật VPN để
thực hiện việc truy xuất có điều khiển đến các lớp mạng con riêng. Ở chế độ này VPN
server đóng vai trò như gateway của mạng. Phương pháp này đặc biệt thích hợp để bảo
mật cho các WIFI của mạng.
ƒ Ưu điểm nổi bật của VPN là giá cả và khả năng bảo mật nếu dùng trong các mạng có kết
nối WIFI.
ƒ Nhược điểm:
- VPN yêu cầu hiểu biết về khả năng bảo mật để cài đặt và cấu hình bảo vệ đối với
mạng công cộng hay Internet.
- Chất lượng và độ tin cậy không chæ phụ thuộc vào sự điều khiển của công ty mà còn bị
ảnh hưởng bởi các ISP.
- Không tương thích giữa các nhà sản xuất cung cấp thiết bị. Như vậy giá cả cũng là
một vấn đề.
II. Các giao thức của VPN:
- Kỹ thuật VPN dựa vào ý tưởng đường hầm (tunneling). Kỹ thuật VPN tunneling đề
cập đến việc thiết lập, duy trì kết nối mạng logic (có thể có các chặng trung gian). Với kết nối
này các gói được xây dựng dựa vào định dạng của các giao thức VPN và được đóng gói vào
các giao thức khác (chẳng hạn như gói TCP/IP) sau đó đuợc truyền đi đến client hay server và
được khôi phục từ đầu thu. Có rất nhiều giao thức VPN để đóng gói vào gói IP. Các giao thức
của VPN cũng hỗ trợ việc nhận dạng và mã hóa để bảo mật đường hầm.
- Các dạng đường hầm của VPN: VPN hổ trợ hai dạng đường hầm là “tự nguyện” và
“bắt buộc”.
ƒ Đối với đường hầm tự nguyện: VPN client quản lý việc thiết lập kết nối. Trước
tiên client thực hiện việc kết nối đến ISP, sau đó VPN ứng dụng tạo ra đường hầm
đến VPN server qua đường hầm kết nối trực tiếp này.
ƒ Đối với đường hầm bắt buộc nhà cung cấp mạng (ISP) quản lý việc thiết lập kết
nối VPN. Trước tiên VPN client kết nối đến ISP và ISP thực hiện kết nối giữa
client và VPN server. Nếu đứng ở VPN client thì việc kết nối chỉ thực hiện 1 bước
(so với 2 bước nếu sử dụng tunneling tự nguyện). VPN tunneling bắt buộc sẽ nhận
dạng client và kết hợp chúng với VPN server chỉ định bằng các kết nối logic được
xây dựng sẵn trong các thiết bị kết nối gọi là VPN FEP (Front End Processor), hay
NAS, POS.
- Các giao thức của VPN Tunneling:
Có rất nhiều giao thức mạng máy tính được sử dụng cho VPN tunneling. Tuy nhiên, 3
giao thức dưới đây là phổ biến nhất và chúng không tương thích lẫn nhau.
• PPTP (Point-to-Point Tunneling Protocol) là nghi thức biến thể của Point to Point
Protocol dùng truyền qua mạng dial up. PPTP thích hợp cho ứng dụng truy cập từ xa
của VPN nhưng cũng hỗ trợ trong LAN Internetworking. PPTP hoạt động ở lớp 2 của
mô hình OSI.
Sử dụng PPTP: PPTP đóng gói dữ liệu trong gói PPP và sau đó tích hợp trong gói
IP và truyền qua đường hầm VPN. PPTP hỗ trợ việc mã hóa dữ liệu và nén các gói
dữ liệu này. PPTP cũng sử dụng dạng GRE (Generic Routing Encapsulation) để
lấy dữ liệu và đưa đến đích cuối cùng. Trong PPTP thì VPN tunnel được tạo ra qua
2 quá trình: - PPTP client kết nối đến ISP qua đường dial up hoặc ISDN.

Trang 50
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
- Qua thiết bị kết nối PPTP tạo ra kết nối điều khiển TCP giữa VPN client và VPN
server để thiết lập tunnel. PPTP sử dụng TCP port 1723 cho các kết nối này.
- PPTP cũng hỗ trợ kết nối VPN qua LAN. Các kết nối ISP là không cần thiết trong
trường hợp này vì thế đường hầm có thể tạo trực tiếp.
Ngay khi đường hầm VPN được thiết lập PPTP hỗ trợ hai loại thông tin như sau:
- Các thông điệp điều khiển để quản lý và đánh giá kết nối VPN. Thông điệp điều khiển
có thể truyền trực tiếp giữa VPN client và Server.
- Các gói dữ liệu đi qua đường hầm đến VPN client hoặc từ VPN client đi
Kết nối điều khiển PPTP: ngay khi kết nối TCP được thiết lập PPTP sử dụng chuỗi các
thông điệp điều khiển để duy trì kết nối VPN. Các thông điệp có trong bảng dưới đây.
PPTP bảo mật: PPTP cũng hỗ trợ nhận dạng, mã hóa và lọc gói dữ liệu. Nhận dạng của
PPTP cũng sử dụng EAP (Extensible Authentication Protocol), CHAP (Challenge
Hanhdshake Authentication), PAP (Password Authentication Protocol). PPTP cũng
hỗ trợ lọc gói dữ liệu trên VPN server.
• Layer 2 Forwarding (L2F).
Layer 2 Forwarding (L2F) là giao thức được phát triển bởi Cisco System cùng
lúc với sự phát triển PPTP của Microsoft. Đây là một giao thức cho phép các
remote host có thể truy xuất đến mạng Intranet của một tổ chức thông qua cơ sở hạ
tầng mạng công cộng với tính bảo mật và khả năng quản lý chặt chẽ.
Cũng như với PPTP, L2F cho phép bảo mật mạng truy xuất cá nhân thông qua
hạ tầng mạng công cộng bằng việc xây dựng một tunnel thông qua mạng công cộng
giữa client và host. Bởi vì là một giao thức lớp 2, L2F có thể được dùng cho các
giao thức khác ngoài IP như IPX, NetBEUI.
• Layer 2 Tunneling Protocol (L2TP)
L2TP là sự kết hợp của PPTP và L2F. Giao thức này so với PPTP có nhiều đặc
tính và an toàn hơn. L2TP sử dụng UDP như là một phương thức đóng gói cho cả
sự duy trì tunnel cũng như dữ liệu người dùng. Trong khi PPTP dùng MPPE
(Microsoft Point-to-Point Encryption) cho việc mã hóa, L2TP lại dựa vào một giải
pháp bảo mật hơn, đó là các gói L2TP được bảo vệ bởi IPsec’s ESP sử dụng
transport mode. L2TP có thể được đặt vào trong một gói IPsec, đây là việc kết hợp
các ưu điểm bảo mật của IPsec và các lợi ích của sự chứng thực user, việc gán địa
chỉ tunnel và cấu hình, hỗ trợ đa giao thức với PPP. L2TP cung cấp sự linh hoạt,
mềm dẻo, và giải pháp kinh tế của remote access cũng như dự kết nối nhanh chóng
point-to-point của PPTP.
• IP security (IPsec)
Cấu trúc IPsec cung cấp một framework cho việc bảo mật tại lớp IP cho cả IPv4
và IPv6. Bằng việc cung cấp sự bảo mật tại lớp này, các giao thức thuộc các lớp
cao hơn như transport, application có thể sử dụng sự bảo mật IPsec mà không cần
thêm bất cứ sự thay đổi nào. Trong quá trình mã hóa và chứng thực dữ liệu, IPsec
sử dụng một trong hai hoặc cả hai giao thức sau để bạo mật thông tin:
- Authentication header (AH): header của gói tin được mã hóa và bảo vệ phòng
chống các trường hợp IP spoofing (sự giả mạo IP) hay “man in the midle

Trang 51
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính

attack”. Tuy nhiên, trong trường hợp này chỉ có phần header của gói tin đuợc
bảo vệ còn phần nội dung thông tin chính thì không.
- Encapsulation Security Payload (ESP): nội dung thông tin sẽ được mã hóa,
ngăn chặn các hacker đặt chương trình nghe lén và chặn bắt dữ liệu.
Thông thường, khi muốn bảo vệ thông tin truyền trong mạng công cộng, người ta
phải kết hợp cả hai giao thức AH và ESP.
III. Bảo mật trong VPN
Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet. Bạn có
thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức
được chuyển qua. Một số sản phẩm dùng cho VPN như router 1700 của Cisco có
thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành
Internet Cisco IOS thích hợp. Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết
lập VPN.
Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính
khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật mã
chung.
Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí
mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng yêu
cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên
đó, để máy tính của người nhận có thể giải mã được.
Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng.
Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp
cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một
message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời
cần đến mã riêng của nó nữa. Có một ứng dụng loại này được dùng rất phổ biến là
Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì.
Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh
cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập
toàn diện hơn.
IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề
(header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước. Chỉ
những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này. Ngoài
ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ
thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa
nhiều thiết bị khác nhau như router với router, firewall với router, PC với router,
PC với máy chủ.
Máy chủ AAA
AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập),
Authorization (cho phép) và Accounting (kiểm soát). Các server này được dùng để
đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một kết nối được gửi tới từ
máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra. Các thông tin về những hoạt
động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn.

Trang 52
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính

IV. Thiết lập VPN client remote access

Xét mô hình dưới đây: Gồm 5 máy đóng vai trò khác nhau trong mạng riêng ảo

- Máy tính chạy Windows Server 2003, phiên bản Enterprise Edition, đặt tên là DC1, hoạt
động như một trung tâm điều khiển domain (domain controller), một máy chủ DNS
(Domain Name System), một máy chủ DHCP (Dynamic Host Configuration Protocol)
và một trung tâm chứng thực CA (certification authority).
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên VPN1, hoạt động
như một máy chủ VPN. VPN1 được lắp đặt 2 adapter mạng.
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IAS1, hoạt động
như một máy chủ quản lý người sử dụng truy cập từ xa RADIUS (Remote
Authentication Dial-in User Service).
- Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IIS1, hoạt động
như một máy chủ về web và file.
- Một máy tính chạy Windows XP Professional, mang tên CLIENT1, hoạt động như một
máy khách truy cập từ xa.
Tuy nhiên để tiết kiệm ta kết hợp máy DC1,IAS1 và IIS1 sử dụng chung server. Riêng
máy chủ VPN có 2 card mạng được cài đặt như sau:
SIM01 là máy tính chạy Windows Server 2003, Standard Edition cung cấp các dịch vụ máy
chủ VPN cho các máy client VPN. Để định cấu hình cho SIM01 làm máy chủ VPN, thực hiện
các bước sau:
1. Cài đặt Windows Server 2003, Standard Edition cho máy với tư cách là server thành
viên mang tên SIM01 trong domain DET1.
2. Mở thư mục Network Connections.
3. Đối với kết nối nội bộ Intranet, đặt lại tên kết nối thành "Mang Cong ty". Đối với kết
nối nội bộ Internet, đặt lại tên kết nối thành "Internet".
4. Định cấu hình giao thức TCP/IP cho kết nối Mang Cong ty với địa chỉ IP là
192.167.6.2, mạng cấp dưới (subnet mask) là 255.255.255.0 và địa chỉ IP cho máy chủ
DNS là 192.167.6.1.
5. Định cấu hình giao thức TCP/IP cho kết nối Internet với địa chỉ IP là 192.167.5.2 và
mạng cấp dưới là 255.255.255.0.
6. Chạy trình Routing và Remote Access từ thư mục Administrative Tools.
Trang 53
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
7. Trong cây chương trình, nhấn chuột phải vào SIM01 và chọn Configure and Enable
Routing and Remote Access.
8. Trên trang Welcome to the Routing and Remote Access Server Setup Wizard, nhấn
Next.
9. Trên trang Configuration, Remote access (dial-up or VPN) được lựa chọn mặc định.
10. Nhấn Next. Trên trang Remote Access, chọn VPN.
11. Nhấn Next. Trên trang VPN Connection, nhấn vào giao diện Internet trong Network
interfaces.
12. Nhấn Next. Trên trang IP Address Assignment , chế độ Automatically được chọn mặc
định.
13. Nhấn Next. Trên trang Managing Multiple Remote Access Servers, nhấn vào Yes, set
up this server to work with a RADIUS server.
14. Nhấn Next. Trên trang RADIUS Server Selection, gõ 192.167.6.1 trong ô Primary
RADIUS server và mã bí mật chung trong ô Shared secret.
15. Nhấn Next. Trên trang Completing the Routing and Remote Access Server Setup
Wizard, nhấn Finish.
16. Bạn sẽ nhận được message nhắc phải định cấu hình DHCP Relay Agent.
17. Nhấn OK.
18. Trong cây chương trình, mở SIM01 (local), sau đó là IP Routing và kế tiếp là DHCP
Relay Agent. Nhấn chuột phải vào DHCP Relay Agent rồi chọn Properties.
19. Trong hộp thoại DHCP Relay Agent Properties, gõ 192.167.6.1 trong ô Server
address.
20. Nhấn Add rồi OK.
Cài đặt cho Client
CLIENT1 là máy tính chạy Windows XP Professional, hoạt động như một máy khách VPN
và truy cập từ xa đến các tài nguyên trong Intranet thông qua mạng Internet. Để định cấu hình
cho CLIENT1 làm máy khách, bạn thực hiện các bước sau:
1. Trên máy CLIENT1, cài đặt Windows XP Professional dùng account administrator để
thay đổi địa chỉ IP của máy thành 192.167.5. x+50 (x là số thứ tự của máy chẳng hạn
máy 22 thì IP là 192.167.5.72)
2. Tại ô Subnet mask, gõ 255.255.255.0.
3. Nhấn OK để lưu các thay đổi đối với giao thức TCP/IP. Nhấn OK để lưu các thay đổi
đối với kết nối Local Area Network.
4. Khởi động lại máy CLIENT1 và log on bằng tài khoản student.
5. Trên máy CLIENT1, mở thư mục Network Connections từ Control Panel.
6. Trong Network Tasks, chọn Create a new connection.
7. Trên trang Welcome to the New Connection Wizard của New Connection Wizard,
nhấn Next.
8. Trên trang Network Connection Type, Chọn Connect to the network at my
workplace.

Trang 54
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính

9. Nhấn Next. Trên trang Network Connection, chọn Virtual Private Network
connection.
10. Nhấn Next. Trên trang Connection Name, gõ VPN Client trong ô Company Name.

11. Nhấn Next. Trên trang VPN Server Selection , gõ 192.167.6.2 tại ô Host name or IP
address.

Trang 55
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính

12. Nhấn Next. Trên trang Completing the New Connection Wizard, nhấn Finish. Hộp
thoại Connect VPN Client hiện ra.

13. Nhấn vào mục Properties rồi nhấn vào thẻ Networking.
14. Trên thẻ Networking, ở Type of VPN, nhấn PPTP VPN.

Trang 56
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính

15. Nhấn OK để lưu các thay đổi đối với kết nối VPN Client. Hộp thoại VPN Client hiện
ra.
16. Trong ô User name, gõ DET1/vpnuser. Tại ô Password, gõ mật khẩu của bạn cho tài
khoản vpnuser.
17. Nhấn Connect.
18. Khi kết nối hoàn tất, chạy Internet Explorer.
19. Dùng ipconfig /all xác định địa chỉ IP của kết nối VPN Client có nằm trong khoảng
địa chỉ đã xác định không?
20. Dùng lệnh ping kiểm tra kết quả.
21. Dùng lệnh tracert 192.167.5.1 kiểm tra kết quả
22. Trong cửa sổ RUN gõ lệnh //192.167.5.1/ROOT xem các thư mục được share
23. Nhấn chuột phải vào kết nối VPN client rồi nhấn vào Disconnect.
V. Thiết lập site to site
Trong phần này chúng ta sử dụng hai mô hình mạng LAN kết nối với nhau dùng VPN
điểm nối điểm (PPTP). Tuy nhiên trên thực tế để tăng tính bảo mật thì nên dùng L2TP
over IPSec hoặc IPSec. Mô hình bao gồm 5 máy tính đóng các vai trò khác nhau nhưng
cũng có thể giảm bớt một số máy như trong bài dưới đây ta sử dụng 3 hoặc 4 máy.
Giả sử trong mô hình một công ty có văn phòng đặt tại Hà Nội và chi nhánh đặt tại
TpHCM. Như vậy cần có hai máy đóng vai trò client tại hai mạng LAN. Hai máy trong
đó mỗi máy có hai card mạng đóng vai trò ROUTER1 và ROUTER2 và một máy đóng
vai trò ROUTER trong Internet (Có thể lược bỏ máy này bằng cách chỉ định IP trực tiếp
và ROUTER1,2 có cùng lớp mạng)

Trang 57
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
Xem hình:

Ở đây người ta sử dụng đến 4 hub tuy nhiên để tiết kiệm ta dùng 2 hub nhưng hai mạng
LAN xài chung 1 hub được định địa chi IP khác nhau.
CLIENT1: có IP 192.167.6.5 subnet mask: 255.255.255.0 là mạng LAN ở Hà Nội
ROUTER1: Có hai card mạng
o Card Internal: Có IP 192.167.6.4 và subnet mask 255.255.255.0
o Card External: Có IP 20.0.0.1 và subnet mask 255.0.0.0
ROUTER2: Có hai card mạng
o Card Internal: Có IP 192.167.5.2 và subnet mask 255.255.255.0
o Card External: Có IP 20.0.0.2 và subnet mask 255.0.0.0
CLIENT2: Thức chất lại là Server đóng vai trò Domain Controller, Web server, File
Server, DNS… có IP: 192.167.5.1 và subnetmask: 255.255.25.0
Thực hiện: CLIENT1 ping CLIENT2 (192.167.5.1). Giải thích
Cấu hình cho ROUTER2:
1. Trên ROUTER1 (Máy có tên SIM01) nhấn vào Administrative Tools chọn
Routing and Remote Access
2. Nhấn chuột phải vào SIM01(Local) trong cây chương trình và chọn Configure and
Enable Routing and Remote Access
3. Nhấn Next trên trang Routing and Remote Access Server Setup Wizard
4. Trên trang Configuration chọn Remote Access (Dial-up or VPN)

Trang 58
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
5. Nhấn Next. Trên trang Remote Access chọn VPN và nhấn Next

6. Trên Trang VPN Connection chọn card nối ra Internet (LAN External) và check
vào Enable Security…

7. Nhấn Next. Trên trang IP Address Assignment chọn From a specified range of
addresses. Nhấn Next

Trang 59
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
8. Trên trang Address Range Assignment chọn New. Gõ vào địa chỉ đầu và địa chỉ
cuối

Đây là dãy địa chỉ mà VPN server sẽ gán khi có kết nối mới (Network Interface trong
Routing and Remote Access)
9. Nhấn OK. Trên trang Address Range Assignment nhấn Next

10. Trên trang Managing Multiple Remote Access Servers chọn No, use Routing and
Remote Access to authenticate connection requests

Trang 60
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
11. Trên trang Completing the Routing and Remote Access Server Setup nhấn Finish

Tiếp theo ta cấu hình giao diện quay số yêu cầu

1. Trên Routing and Remote Access chọn SIM01 và nhấn chuột phải vào network
Interface

2. Chọn New Demand-dial Interface để mở Demand-Dial Interface Wizard và nhấn

Next
3. Trên trang Interface name gõ vào vpn_hanoi (Lưu ý tên phải trùng với user đã
được khai báo trước). Nhấn Next

Trang 61
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính

4. Trên trang Connection type chọn Connect using virtual private networking (VPN).

5. Nhấn Next. Trên trang VPN Type chọn Point-to-Point Tunneling Protocol (PPTP).
Nhấn Next

Trang 62
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
6. Trên trang Destination Address gõ vào 20.0.0.1 (Địa chỉ của Router1 hay là VPN
server ở Hà Nội) ở ô Host name or IP address

7. Nhấn Next. Trên trang Protocols and Security thực hiện check cả hai mục như
hình

8. Nhấn Next. Trên trang Static Routes for Remote Networks nhấn Add
9. Trong hộp thoại gõ vào địa chỉ mạng LAN ở Hà Nội và subnet mask

10. Nhấn OK. Trên trang Address Range Assignment nhấn Next

Trang 63
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính

11. Trên trang Dial In Credentials gõ vào mật khẩu Mophong618 hai lần

12. Nhấn Next. Trên trang Dial Out Credentials gõ vào ô user name vpn_hcm là
account mà dùng để quay số vào LAN của Hà nội. Do LAN Hà nội không dùng
domain active nên bỏ trống mục Domain

13. Nhấn Next. Trên trang Completing the Demand-Dial Interface Wizard chọn Finish

Trang 64
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính

Nếu có thông báo user đã tồn tại thì nhấn Yes

Cấu hình cho ROUTER1 (SIM02):

Tương tự như cấu hình cho router2. Chỉ có vài thay đổi cần chú ý:

Thay bằng địa chỉ của mạng Hà Nội (192.167.6.100 đến 110)

Trang 65
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
Thay bằng vpn_hanoi bằng vpn_hcm trong ô Interface name

Thay bằng địa chỉ 20.0.0.2 (Địa chỉ Internet của mạng HCM)

Thay bằng địa chỉ của LAN HCM 192.167.5.0 và subnetmask vẫn là 255.255.255.0
Mật khẩu của vpn_hcm vẫn là Mophong618

Thay vpn_hcm bằng vpn_hanoi mật khẩu không thay đổi

Trang 66
Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính
Cấu hình chính sách truy cập từ xa
Trên cả ROUTER1 và 2 trong Routing and Remote Access nhấn vào Remote Access Policies
nhấn chuột phải vào Connections to Microsoft Routing and Remote Access server chọn
Properties. Trên thẻ Setting chọn Grant remote access permission. Xong nhấn OK

Thực hiện kết nối và kiểm tra:

Click chuột phải vào kết nối vừa tạo trong Network Interface và chọn Connect

Sau khi kết nối thực hiện:

- Lênh Ipconfig /all. Xác định IP của các Interface

- Lệnh Ping từ Client1 đến Client 2

- Lệnh tracert 192.167.6.5. Giải thích ý nghĩa thông tin nhận được

Trang 67