TRƯỜNG ĐẠI HỌC MỎ ĐỊA CHẤT
Khoa Công Nghệ Thông Tin

BÀI TẬP LỚN
AN NINH MẠNG
ĐỀ TÀI

Nghiên cứu tìm hiểu và cấu hình
L2TP/IPSEC trong Windows server 2016
Sinh Viên thực hiện

Giáo viên hướng dẫn: Đỗ Như Hải

Mục Lục
1
An Ninh Mạng


I,Khái Niệm................................................................................................................................................4
1. Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol).................................................4
1.1. Định nghĩa...................................................................................................................................4
1.2. Cấu trúc gói L2TP.......................................................................................................................4
2. Giao thức bảo mật IP - IPSec (Internet Protocol Security)............................................................5
2.1. Định nghĩa...................................................................................................................................5
2.2. Khung giao thức IPSEC..............................................................................................................6
II,Thực Hành.............................................................................................................................................8
Cài đặt Windows Server 2016 Standard..............................................................................................8
Bước 1-Log in using RDP................................................................................................................8
Bước 2- Update Windows.................................................................................................................8
Bước 3 - Cài đặt...............................................................................................................................11
Bước 4 – Routing and Remote Access..........................................................................................26

Bước 5 – Configure Routing and Remote Access.......................................................................31
Bước 6 – Configure NAT................................................................................................................35
Bước 7 – Restart Routing and Remote Access............................................................................41
Bước 8 – Windows Firewall...........................................................................................................42
Bước 9 – Configure User(s)...........................................................................................................49
Bước 10 – Remote Access Management.....................................................................................53
Bước 11 – Reboot the server.........................................................................................................54
Bước 11 – Reboot the server.........................................................................................................55
Cài đặt Win 10.....................................................................................................................................56
Bước 1 – Log in to Windows 10.....................................................................................................56
Bước 2 – Configure VPN................................................................................................................59
Bước 3 – Connect to VPN server..................................................................................................68
Bài viết được tham khảo tại:...........................................................................................................70

2
An Ninh Mạng


LỜI NÓI ĐẦU
Mạng riêng ảo (VPN) mở rộng mạng riêng qua mạng công cộng để bạn có thể truy cập dữ
liệu của mình từ xa thông qua mạng công cộng một cách an toàn. Chúng ta cũng có thể sử
dụng VPN để bảo mật hoạt động internet của mình bằng cách sử dụng máy chủ VPN làm
máy chủ proxy.
Bài viết này chúng ta sẽ cùng thiết lập VPN L2TP / IPsec trên Tiêu chuẩn Windows Server
2016 với các ảnh chụp màn hình từng bước.
Chúng ta sẽ cấu hình VPN với tính năng tích hợp (RRAS định tuyến và truy cập từ xa) mà
Microsoft đang cung cấp trong Windows Server 2016. Tính năng này có thể được bật trong
thuật sĩ Thêm vai trò và tính năng.
Bài viết nếu còn thiếu xót mong thầy cô và các bạn góp ý để chúng em có thêm kiến thức
cùng kinh nghiệm làm bài

Chúng em xin chân thành cảm ơn !

3
An Ninh Mạng


I,Khái Niệm
1. Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol)
1.1. Định nghĩa
Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP và L2F- chuyển
tiếp lớp 2. PPTP do Microsoft đưa ra còn L2F do Cisco khởi xướng. Hai công ty này đã hợp
tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn hoá tại IETF. Giống như PPTP, L2TP là
giao thức đường hầm, nó sử dụng tiêu đề đóng gói riêng cho việc truyền các gói ở lớp 2.
Một điểm khác biệt chính giữa L2F và PPTP là L2F không phụ thuộc vào IP và GRE, cho
phép nó có thể làm việc ở môi trường vật lý khác. Bởi vì GRE không sử dụng như giao thức
đóng gói, nên L2F định nghĩa riêng cách thức các gói được điều khiển trong môi trường
khác. Nhưng nó cũng hỗ trợ TACACS+ và RADIUS cho việc xác thực.
Có hai mức xác thực người dùng: Đầu tiên ở ISP trước khi thiết lập đường hầm, Sau đó là
ở cổng nối của mạng riêng sau khi kết nối được thiết lập. L2TP mang dặc tính của PPTP và
L2F. Tuy nhiên, L2TP định nghĩa riêng một giao thức đường hầm dựa trên hoạt động của
L2F. Nó cho phép L2TP truyền thông qua nhiều môi trường gói khác nhau như X.25,
Frame Relay, ATM.
Mặc dù nhiều công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng có thể
thiết lập một hệ thống L2TP mà không cần phải sử dụng IP làm giao thức đường hầm. Một
mạng ATM hay frame Relay có thể áp dụng cho đường hầm L2TP. Do L2TP là giao thức ở
lớp 2 nên nó cho phép người dùng sử dụng các giao thức điều khiển một cách mềm dẻo
không chỉ là IP mà có thể là IPX hoặc NETBEUI. Cũng giống như PPTP, L2TP cũng có cơ
chế xác thực PAP, CHAP hay RADIUS.
1.2. Cấu trúc gói L2TP


Cấu trúc gói L2TP
+ Đóng gói L2TP: Phần tải PPP ban đầu được đóng gói với một PPP header và một L2TP
header.
+ Đóng gói UDP: Gói L2TP sau đó được đóng gói với một UDP header, các địa chỉ nguồn
và đích được đặt bằng 1701.
+ Đóng gói IPSec: Tuỳ thuộc vào chính sách IPSec, gói UDP được mật mã và đóng gói với
ESP IPSec header và ESP IPSec Trailer, IPSec Authentication Trailer.
4
An Ninh Mạng


+ Đóng gói IP: Gói IPSec được đóng gói với IP header chứa địa chỉ IP ngưồn và đích của
VPN client và VPN server.
+ Đóng gói lớp liên kết dữ liệu: Do đường hầm L2TP hoạt động ở lớp 2 của mô hình OSIlớp liên kết dữ liệu nên các IP datagram cuối cùng sẽ được đóng gói với phần header và
trailer tương ứng với kỹ thuật ở lớp đường truyền dữ liệu của giao diện vật lý đầu ra.
Ví dụ, khi các IP datagram được gửi vào một giao diện Ethernet thì IPdatagram này sẽ
được đóng gói với Ethernet header và Ethernet Trailer. Khi các IP datagram được gửi trên
đường truyền WAN điểm-tới-điểm (chẳng hạn đường dây điện thoại hay ISDN, ) thì
IPdatagram được đóng gói với PPP header và PPP trailer
2. Giao thức bảo mật IP - IPSec (Internet Protocol Security)
2.1. Định nghĩa
Để thiết lập tính bảo mật trong IP ở cấp độ gói, IETF đã đưa ra họ giao thức IPSec. Họ
giao thức IPSec đầu tiên đựoc dung cho xác thực, mã hoá các gói dữ liệu IP, được chuẩn
hoá thành các RFC từ 1825 đến 1829 vào năm 1995. Họ giao thức này mô tả kiến trúc cơ
bản của IPSec bao gồm hai loại tiêu đề được sử dụng trong gói IP, gói IP là đơn vị dữ kiệu
cơ sở trong mạng IP.
IPSec định nghĩa 2 loại tiêu đề cho các gói IP để điều khiển quá trình xác thực và mã hoá:
một là xác thực tiêu đề IP – AH (IP Authentication Header) điều khiển việc xác thực và hai
là đóng gói tải tin an toàn ESP (Encapsulation Security Payload) cho mục đích mã hoá.
IPSec không phải là một giao thức. Nó là một khung của các tập giao thức chuẩn mở cho

phép những nhà quản trị mạng lựa chọn thuật toán, các khoá và phương pháp nhận thực
để cung cấp sự xác thực dữ liệu, tính toàn vẹn dữ liệu, và sự tin cậy dữ liệu.
IPSec là sự lựa chọn cho bảo mật tổng thể các VPN, là phương án tối ưu cho mạng của
công ty. Nó đảm bảo truyền thông tin cậy trên mạng IP công cộng đối với các ứng dụng.
IPsec tạo những đường hầm bảo mật xuyên qua mạng Internet để truyền những luồng dữ
liệu. Mỗi đường hầm bảo mật là một cặp những kết hợp an ninh để bảo vệ luồng dữ liệu
giữa hai Host.
IPSec được phát triển nhắm vào họ giao thức IP kế tiếp là IPv6, nhưng do việc triển khai
IPv6 còn chậm và sự cần thiết phải bảo mật các gói IP nên IPSec đã được thay đổi cho phù
hợp với IPv4. Việc hỗ trợ cho IPSec chỉ là tuỳ chọn của IPv4 nhưng đối với IPv6 thì có sẵn
IPSec.

5
An Ninh Mạng


2.2. Khung giao thức IPSEC

Khung giao thức IPSEC
Một số giao thức chính được khuyến khích sử dụng khi làm việc với IPSec.
- Giao thức bảo mật IP (IPSec)
+ AH (Authentication Header)
+ ESP (Encapsulation Security Payload)
- Mã hoá bản tin
+ DES (Data Encryption Standard)
+ 3 DES (Triple DES)
- Các chức năng toàn vẹn bản tin
+ HMAC (Hash – ased Message Authentication Code)
+ MD5 (Message Digest 5)
+ SHA-1 (Secure Hash Algorithm -1)

- Nhận thực đối tác (peer Authentication)
+ Rivest, Shamir, and Adelman (RSA) Digital Signatures
+ RSA Encrypted Nonces
- Quản lý khoá
+ DH (Diffie- Hellman)
+ CA (Certificate Authority)
- Kết hợp an ninh
6
An Ninh Mạng


+ IKE (Internet Key Exchange)
+ ISAKMP (Internet Security Association and Key Management Protocol)

7
An Ninh Mạng


II,Thực Hành

Cài đặt Windows Server 2016 Standard
Bước 1-Log in using RDP
Chúng ta phải đăng nhập qua RDP với tư cách quản trị viên hoặc người dùng có quyền
quản trị viên
Bước 2- Update Windows

Chúng ta nên update windows để khắc phục những lỗi trước khi bắt đầu
Mở Windows Start và chọn Settings

Chọn Update & Security


8
An Ninh Mạng


Tiếp theo chọm Check for updates

9
An Ninh Mạng


Tải về và cài đặt tất cả các bản cập nhật

10
An Ninh Mạng


Bước 3 - Cài đặt
chọn Windows Start => chọn Server Manager

chọn Manage -> Add Roles and Features

11
An Ninh Mạng


Next

12
An Ninh Mạng



chọn Role-based or feature-based installation => Next

13
An Ninh Mạng


chọn Select a server from the server pool => next

14
An Ninh Mạng


chọn Remote Access nhấn Next

15
An Ninh Mạng


Next

16
An Ninh Mạng


Next

17
An Ninh Mạng



chọn DirectAccess and VPN (RAS) and Routing. chọn Add Features

18
An Ninh Mạng


Next

19
An Ninh Mạng


Next

20
An Ninh Mạng


Next

21
An Ninh Mạng


chọn Restart the destination server automatically if required

yes


22
An Ninh Mạng


Install

23
An Ninh Mạng


Đợi cài

24
An Ninh Mạng


close

25
An Ninh Mạng