BÀI 4: MẠNG INTERNET DÙNG CHUNG VÀ VPN

Tháng Một 31, 2026
 |  Không có bình luận

4.1. Lý thuyết cơ bản liên quan:

Sự cần thiết và tầm quan trọng của Hạ tầng Internet doanh nghiệp và Công nghệ kết nối từ xa

  • Duy trì sự sống cho doanh nghiệp: Internet hiện nay không chỉ là công cụ giải trí mà là môi trường làm việc chính (Email, Cloud, VoIP). Hiểu về mạng dùng chung giúp kỹ thuật viên đảm bảo kết nối luôn thông suốt 24/7.
  • Thích ứng với xu hướng làm việc linh hoạt (Remote Work): VPN đã trở thành tiêu chuẩn vàng cho các doanh nghiệp hiện đại. Kỹ thuật viên không biết bảo trì VPN sẽ không thể hỗ trợ nhân sự làm việc từ xa, dẫn đến giảm hiệu quả vận hành của công ty.
  • Tối ưu hóa chi phí: Việc nắm vững kỹ thuật NAT và quản lý băng thông giúp doanh nghiệp tận dụng tối đa đường truyền Internet sẵn có, tránh lãng phí ngân sách vào việc nâng cấp gói cước không cần thiết.

4.1.1. Nguyên lý mạng Internet dùng chung trong doanh nghiệp

  • Kỹ thuật NAT (Network Address Translation): Đây là “linh hồn” của việc dùng chung Internet. Vì địa chỉ IPv4 công cộng (Public IP) rất khan hiếm và đắt đỏ, kỹ thuật NAT trên Router cho phép hàng trăm thiết bị trong mạng LAN (sử dụng IP tư nhân – Private IP) truy cập Internet đồng thời chỉ thông qua một địa chỉ IP công cộng duy nhất do nhà mạng cấp.
  • Cơ chế định tuyến (Routing): Router đóng vai trò là “cảnh sát giao thông”, điều phối các gói tin từ mạng nội bộ ra thế giới bên ngoài và ngược lại dựa trên bảng định tuyến (Routing Table).
  • Băng thông chia sẻ: Khi dùng chung một đường truyền FTTH, băng thông sẽ được phân bổ cho các thiết bị. Nếu không có cơ chế quản lý (như QoS), một thiết bị tải dữ liệu nặng có thể làm tê liệt kết nối của toàn bộ các máy khác trong hệ thống.

4.1.2. Bản chất và cơ chế của VPN (Virtual Private Network)

  • Khái niệm “Đường hầm” (Tunneling): VPN không tạo ra một đường dây vật lý mới mà tạo ra một kết nối ảo logic chạy trên nền Internet. Dữ liệu khi đi vào “đường hầm” này sẽ được bao bọc bởi một giao thức bảo mật (như L2TP, IPsec, OpenVPN hoặc WireGuard).
  • Cơ chế mã hóa (Encryption): Toàn bộ dữ liệu truyền đi giữa máy tính người dùng và mạng công ty được mã hóa thành các chuỗi ký tự không thể đọc được. Ngay cả khi hacker đánh cắp được gói tin trên môi trường Internet công cộng, chúng cũng không thể xem được nội dung bên trong.
  • Xác thực (Authentication): Trước khi thiết lập kết nối, hệ thống VPN yêu cầu người dùng cung cấp thông tin định danh (Username/Password, Chứng chỉ số hoặc mã OTP) để đảm bảo chỉ những người được phép mới có thể truy cập vào tài nguyên nội bộ.

4.1.3. Vai trò của VPN trong bảo trì và vận hành mạng

  • Truy cập tài nguyên nội bộ: Cho phép nhân viên làm việc từ xa truy cập vào Máy chủ tệp (File Server), phần mềm kế toán, hay máy in nội bộ như đang cắm dây mạng tại văn phòng.
  • An toàn trên môi trường công cộng: Khi kỹ thuật viên đi công tác và sử dụng Wi-Fi quán cafe hoặc khách sạn, VPN giúp bảo vệ các thông tin quản trị nhạy cảm không bị đánh cắp.
  • Kết nối các chi nhánh (Site-to-Site): Giúp kết nối các văn phòng ở các tỉnh thành khác nhau thành một mạng nội bộ duy nhất, giúp việc quản lý dữ liệu tập trung trở nên dễ dàng và bảo mật.

4.1.3. Vai trò của VPN trong bảo trì và vận hành mạng

  • Truy cập tài nguyên nội bộ: Cho phép nhân viên làm việc từ xa truy cập vào Máy chủ tệp (File Server), phần mềm kế toán, hay máy in nội bộ như đang cắm dây mạng tại văn phòng.
  • An toàn trên môi trường công cộng: Khi kỹ thuật viên đi công tác và sử dụng Wi-Fi quán cafe hoặc khách sạn, VPN giúp bảo vệ các thông tin quản trị nhạy cảm không bị đánh cắp.
  • Kết nối các chi nhánh (Site-to-Site): Giúp kết nối các văn phòng ở các tỉnh thành khác nhau thành một mạng nội bộ duy nhất, giúp việc quản lý dữ liệu tập trung trở nên dễ dàng và bảo mật.

4.2. Các nguyên tắc của nhà cung cấp dịch vụ Internet (ISP) và thiết bị đầu cuối

  • Nguyên lý kết nối: ISP cấp cho doanh nghiệp một tài khoản (PPPoE) và địa chỉ IP (Tĩnh hoặc Động) để định danh trên mạng toàn cầu.
  • Thiết bị: Modem quang (ONT) nhận tín hiệu ánh sáng và chuyển đổi thành tín hiệu điện cho Router.
  • Nội dung bảo trì: Kiểm tra định kỳ công suất thu phát quang, đảm bảo thiết bị không bị quá nhiệt và firmware luôn được cập nhật để tránh các lỗ hổng bảo mật.

4.3. Sự cố trong dùng chung kết nối Internet (FTTH và Băng thông rộng)

  • Nguyên nhân sự cố: Do đứt cáp quang ngoài môi trường, lỗi cấu hình tài khoản PPPoE trên Router, hoặc thiết bị Router bị treo do xử lý quá tải nhiều phiên kết nối (Sessions).
  • Biểu hiện: Đèn tín hiệu trên Modem báo lỗi, máy tính báo “Connected, no internet”, hoặc tốc độ truy cập rất chậm dù đường truyền vắng người dùng.
  • Nhận biết thiết bị: * Nhìn vào đèn PON/AUTH trên Modem: Nếu tắt hoặc đỏ là lỗi xác thực.
    • Nhìn vào đèn Internet/Globe: Nếu tắt hoặc cam là chưa có kết nối lớp 3 đến ISP.
  • Quy trình xử lý:
    1. Bước 1: Kiểm tra đèn tín hiệu vật lý trên Modem và Router.
    2. Bước 2: Truy cập giao diện quản trị Router, kiểm tra trạng thái kết nối WAN và nhật ký (Log) để xem lỗi xác thực tài khoản.
    3. Bước 3: Thực hiện khởi động lại thiết bị theo quy trình: Tắt Modem -> Đợi 30s -> Bật Modem -> Đợi ổn định -> Bật Router.
    4. Bước 4: Kiểm tra DNS trên máy trạm, đổi sang DNS công cộng (8.8.8.8 hoặc 1.1.1.1) nếu cần thiết.

4.4. Cấu hình và bảo trì kết nối từ xa (VPN)

  • Nguyên nhân sự cố: Sai lệch chứng thực (Username/Password), địa chỉ IP WAN của công ty bị thay đổi, hoặc tường lửa (Firewall) chặn cổng giao thức VPN (như Port 1723, 443).
  • Biểu hiện: Người dùng từ xa báo lỗi “Connection failed”, “Timeout” hoặc kết nối được nhưng không nhìn thấy các máy chủ nội bộ.
  • Nhận biết thiết bị: Kiểm tra bảng trạng thái (VPN Status) trong phần mềm VPN Client hoặc trên thiết bị Firewall/Router tại trụ sở chính.
  • Quy trình xử lý:
    1. Bước 1: Xác nhận máy tính của người dùng có kết nối Internet ổn định.
    2. Bước 2: Kiểm tra trạng thái dịch vụ VPN trên Server/Firewall tại công ty, đảm bảo dịch vụ đang “Running”.
    3. Bước 3: Kiểm tra lại cấu hình NAT/Port Forwarding trên Router biên để đảm bảo lưu lượng VPN được phép đi qua.
    4. Bước 4: Kiểm tra quyền hạn truy cập của tài khoản người dùng trong Active Directory hoặc cơ sở dữ liệu xác thực cục bộ.

BÀI TẬP

Bài tập 4.1: Chẩn đoán lỗi Internet trên Router doanh nghiệp.

Giả lập tình huống sai thông tin PPPoE, học sinh truy cập giao diện Router để cấu hình lại và kiểm tra trạng thái kết nối.

Hướng dẫn thực hiện:

1. Tình huống giả lập

Máy tính trong mạng LAN không thể truy cập Internet. Kỹ thuật viên kiểm tra thiết bị đầu cuối và phát hiện Router biên đang báo lỗi xác thực với nhà cung cấp dịch vụ (ISP). Nguyên nhân giả định: Thông tin tài khoản (Username) hoặc mật khẩu (Password) PPPoE bị nhập sai sau khi nâng cấp thiết bị.

2. Các bước thực hiện

Bước 1: Nhận biết lỗi thông qua quan sát thiết bị (Nhìn)

  • Quan sát đèn tín hiệu: Nhìn vào đèn Internet hoặc đèn WAN trên mặt trước của Router.

  • Dấu hiệu: Đèn Internet tắt hoàn toàn hoặc chuyển sang màu Cam/Đỏ (tùy dòng Router). Đèn PON/AUTH trên Modem quang vẫn xanh (tín hiệu vật lý tốt), nhưng mạng vẫn không có.

Bước 2: Truy cập giao diện quản trị Router

  • Sử dụng một máy tính kết nối dây LAN vào cổng LAN của Router.

  • Mở trình duyệt web (Chrome/Edge), gõ địa chỉ IP Gateway của Router (ví dụ: 192.168.1.1 hoặc 192.168.0.1).

  • Đăng nhập với tài khoản quản trị (mặc định thường là admin/admin hoặc theo thông tin dán dưới đáy thiết bị).

Bước 3: Kiểm tra trạng thái kết nối (Chẩn đoán)

  • Vào mục Status hoặc Device Info, tìm đến phần WAN Interface.

  • Biểu hiện lỗi: Tại dòng PPPoE Status, hệ thống hiển thị thông báo: Connecting..., Authentication Failed hoặc LCP down. Địa chỉ IP WAN hiển thị 0.0.0.0.

  • Kết luận: Router không thể thiết lập “bắt tay” với ISP do sai thông tin xác thực.

Bước 4: Cấu hình lại thông tin PPPoE (Xử lý)

  • Vào mục Network -> WAN (hoặc Internet Setup).

  • Connection Type: Đảm bảo đang chọn là PPPoE.

  • Nhập lại thông tin: * Username: Nhập chính xác tên tài khoản do ISP cấp (Ví dụ: t008_gpon_abc). Lưu ý các ký tự viết hoa/thường.

    • Password: Nhập lại mật khẩu. Hãy nhấp vào biểu tượng “mắt” (nếu có) để kiểm tra tránh gõ sai.

  • Nhấn Save hoặc Apply.

Bước 5: Kiểm tra và xác nhận kết quả

  • Quay lại mục Status (Trạng thái). Đợi khoảng 30-60 giây.

  • Kết quả thành công: Dòng Connection Status chuyển sang Connected. Router nhận được địa chỉ IP WAN công cộng (ví dụ: 14.225.x.x), Subnet MaskDNS Server.

  • Đèn tín hiệu Internet trên Router chuyển sang màu Xanh.

Bước 6: Kiểm tra thực tế trên máy trạm

  • Mở Command Prompt (Cmd) trên máy tính, gõ lệnh ping 8.8.8.8 để kiểm tra kết nối mạng.

  • Mở trình duyệt và truy cập một trang web bất kỳ để đảm bảo dịch vụ DNS hoạt động tốt.

3. Lưu ý quan trọng cho học sinh

  1. Phân biệt lỗi: Nếu đèn LOS nháy đỏ, đây là lỗi đứt cáp (Bài 3), không phải lỗi PPPoE. Không cần vào Router cấu hình vì lúc này tín hiệu ánh sáng không tới được thiết bị.

  2. Bảo mật: Sau khi cấu hình xong, nên đổi mật khẩu truy cập Router để tránh người lạ can thiệp vào thông tin tài khoản Internet của doanh nghiệp.

  3. Backup: Sau khi Internet đã hoạt động ổn định, hãy vào mục System Tools -> Backup & Restore để lưu lại file cấu hình chuẩn.

Bài tập 4.2: Thiết lập kết nối VPN Client-to-Site.

Sử dụng một máy tính đóng vai trò người dùng từ xa, thực hiện cài đặt phần mềm VPN và kết nối vào hệ thống mạng nội bộ đã cấu hình sẵn.

Hướng dẫn: Cài đặt phần mềm

Để thực hiện bài tập này, bạn cần chuẩn bị một máy chủ (hoặc Router/Firewall ảo hóa như pfSense) đã cấu hình OpenVPN Server. Sau đó thực hiện các bước sau:

Bước 1: Cài đặt phần mềm

  • Học sinh tải và cài đặt OpenVPN Connect V3 (phiên bản mới nhất cho Windows).

  • Quá trình cài đặt đơn giản, chỉ cần nhấn “Next” cho đến khi hoàn tất.

Bước 2: Nạp cấu hình (Import Profile)

  • Giáo viên gửi tệp cấu hình mẫu (Ví dụ: ThucHanhVPN.ovpn) qua mạng nội bộ hoặc USB.

  • Học sinh mở phần mềm, chọn thẻ File, kéo và thả tệp .ovpn vào cửa sổ phần mềm.

Bước 3: Kết nối và Xác thực

  • Nhấn vào nút gạt (Toggle) để bắt đầu kết nối.

  • Nhập UsernamePassword (Giáo viên đã cấp sẵn trong Active Directory hoặc Database nội bộ).

  • Dấu hiệu nhận biết: Khi nút gạt chuyển sang màu Xanh lá cây và biểu đồ bắt đầu chạy, nghĩa là “đường hầm” VPN đã thiết lập thành công.

Bước 4: Kiểm tra kết quả (Troubleshooting)

  • Học sinh mở Command Prompt, gõ lệnh ipconfig /all.

  • Yêu cầu: Tìm thấy card mạng ảo có tên OpenVPN TUN, có địa chỉ IP nằm trong dải VPN (ví dụ: 10.8.0.x).

  • Thực hiện ping thử địa chỉ IP của máy chủ nội bộ để xác nhận thông suốt.

Hướng dẫn: thực hiện bài 4.2

1. Tình huống giả lập

Một nhân viên kinh doanh đang đi công tác và sử dụng mạng Wi-Fi công cộng tại khách sạn. Để gửi báo cáo vào máy chủ nội bộ của công ty một cách an toàn, nhân viên này cần sử dụng phần mềm VPN Client để tạo một “đường hầm” mã hóa kết nối về thiết bị Firewall/Router tại trụ sở chính.

2. Các bước thực hiện

Bước 1: Nhận diện thông tin kết nối (Lý thuyết nhắc lại)

Trước khi cài đặt, học sinh cần có các thông số sau từ quản trị viên hệ thống:

  • Địa chỉ VPN Server: IP tĩnh công cộng hoặc tên miền (ví dụ: vpn.nhathacomputer.com).

  • Giao thức kết nối: L2TP/IPsec, OpenVPN hoặc SSL VPN (trong bài tập này ta sử dụng L2TP/IPsec phổ biến trên Windows).

  • Thông tin xác thực: Username, Password và Shared Key (Khóa bí mật chung).

Bước 2: Cấu hình VPN Client trên Windows

  • Vào Start -> gõ VPN Settings và mở nó lên.

  • Chọn Add a VPN connection.

  • VPN Provider: Chọn Windows (built-in).

  • Connection name: Đặt tên gợi nhớ (ví dụ: VPN Cong Ty).

  • Server name or address: Nhập địa chỉ IP hoặc tên miền của Server.

  • VPN type: Chọn L2TP/IPsec with pre-shared key.

  • Pre-shared key: Nhập mã khóa bí mật đã được cấp.

  • Type of sign-in info: User name and password.

  • Nhập User namePassword -> Nhấn Save.

Bước 3: Điều chỉnh thông số bảo mật (Xử lý lỗi kết nối)

Thông thường, Windows cần một bước cấu hình nhỏ để cho phép các giao thức bảo mật cũ hoặc đặc thù hoạt động.

  • Vào Control Panel -> Network and Sharing Center -> Change adapter settings.

  • Chuột phải vào kết nối VPN vừa tạo -> chọn Properties.

  • Thẻ Security:

    • Tại mục Data encryption, chọn Require encryption.

    • Tại mục Authentication, chọn Allow these protocols và tích vào MS-CHAP v2.

Bước 4: Thực hiện kết nối và kiểm tra (Nhận biết)

  • Nhấp vào biểu tượng mạng dưới thanh Taskbar, chọn kết nối VPN và nhấn Connect.

  • Dấu hiệu thành công: Trạng thái chuyển sang Connected.

  • Kiểm tra địa chỉ IP: Mở Command Prompt (Cmd), gõ ipconfig. Bạn sẽ thấy một Card mạng ảo mới xuất hiện với dải IP nội bộ của công ty (ví dụ: 172.16.1.x).

Bước 5: Kiểm tra truy cập tài nguyên nội bộ

  • Thực hiện lệnh ping tới địa chỉ IP của máy chủ tệp (File Server) trong công ty (ví dụ: 192.168.1.10).

  • Mở File Explorer, gõ \\192.168.1.10 để kiểm tra xem có thấy các thư mục dùng chung hay không.

3. Nguyên nhân và biểu hiện sự cố thường gặp

Sự cốNguyên nhânQuy trình xử lý
Lỗi “The connection was prevented…”Sai Shared Key hoặc Firewall tại công ty chặn PortKiểm tra lại Khóa bí mật hoặc kiểm tra Port 1701, 500, 4500 trên Router
Lỗi “Authentication Failed”Sai Username/Password hoặc tài khoản bị khóa trong ADReset mật khẩu người dùng trong Active Directory
Kết nối thành công nhưng không thấy ServerSai thông số Default Gateway hoặc lỗi định tuyếnVào Properties VPN -> Networking -> IPv4 -> Advanced -> Tích chọn “Use default gateway on remote network”

Bài tập 4.3: Quản lý băng thông (QoS).

Thực hiện giới hạn băng thông download/upload cho một nhóm máy tính cụ thể để tránh tình trạng chiếm dụng đường truyền.

Hướng dẫn thực hiện bài 4.3

1. Tình huống giả lập

Trong một công ty, bộ phận kinh doanh thường xuyên phải thực hiện các cuộc gọi video (Zoom, Google Meet) với khách hàng, trong khi bộ phận giải trí/nghỉ ngơi lại sử dụng mạng để xem video chất lượng cao hoặc tải tệp lớn. Điều này gây ra hiện tượng lag, giật trong các cuộc họp quan trọng. Kỹ thuật viên cần thực hiện giới hạn băng thông cho nhóm máy tính giải trí để ưu tiên đường truyền cho nhóm kinh doanh.

2. Lý thuyết cơ bản liên quan

  • QoS (Quality of Service): Là kỹ thuật quản trị lưu lượng mạng nhằm ưu tiên cho các ứng dụng quan trọng hoặc giới hạn những ứng dụng chiếm dụng nhiều băng thông.

  • Bandwidth Control: Khả năng giới hạn tốc độ tải xuống (Download) và tải lên (Upload) tối đa của một IP hoặc dải IP cụ thể.

  • Băng thông (Bandwidth): Dung lượng truyền tải dữ liệu qua mạng trong một giây (đơn vị: Mbps hoặc Kbps).

3. Các bước thực hiện

Bước 1: Xác định nhóm mục tiêu (Nhận biết)

  • Học sinh liệt kê danh sách địa chỉ IP hoặc địa chỉ MAC của nhóm máy tính cần giới hạn.

  • Ví dụ: Nhóm máy tính giải trí có dải IP từ 192.168.1.50 đến 192.168.1.60.

Bước 2: Truy cập cấu hình QoS trên Router

  • Đăng nhập vào giao diện quản trị Router (như đã hướng dẫn ở Bài 4.1).

  • Tìm đến mục Advanced -> QoS hoặc Bandwidth Control.

Bước 3: Thiết lập băng thông tổng (Egress/Ingress Bandwidth)

  • Trước khi giới hạn từng máy, phải khai báo tốc độ gói cước Internet thực tế mà nhà mạng cung cấp.

  • Thao tác: Nhập tốc độ vào mục Total Bandwidth (ví dụ: 100Mbps Download / 100Mbps Upload).

Bước 4: Thiết lập quy tắc giới hạn (Xử lý)

  • Chọn Add New hoặc Add Rule.

  • IP Range: Nhập dải IP 192.168.1.50 - 192.168.1.60.

  • Egress Bandwidth (Upload): Giới hạn tối đa (Max) là 2000 Kbps (2Mbps).

  • Ingress Bandwidth (Download): Giới hạn tối đa (Max) là 5000 Kbps (5Mbps).

  • Nhấn Save hoặc Apply.

Bước 5: Kiểm tra kết quả (Chẩn đoán)

  • Sử dụng một máy tính trong dải IP đã giới hạn (ví dụ 192.168.1.55).

  • Truy cập trang web kiểm tra tốc độ (ví dụ: Speedtest.net hoặc Fast.com).

  • Dấu hiệu thành công: Kết quả đo được không bao giờ vượt quá 5Mbps Download và 2Mbps Upload, dù đường truyền tổng của công ty cao hơn rất nhiều.

4. Nguyên nhân và biểu hiện sự cố thường gặp khi cấu hình QoS

Sự cốNguyên nhânQuy trình xử lý
Đã giới hạn nhưng tốc độ vẫn caoSai địa chỉ IP hoặc Router cấp IP khác qua DHCPThực hiện IP-MAC Binding (Gán IP tĩnh theo địa chỉ MAC) cho máy đó trước
Toàn bộ mạng bị chậm đột ngộtNhập sai đơn vị Mbps sang Kbps (quá thấp)Kiểm tra lại đơn vị đo (1 Mbps = 1024 Kbps) và điều chỉnh lại con số
Thiết bị bị treo khi bật QoSRouter đời cũ có phần cứng yếu, không xử lý nổi thuật toán QoSTắt tính năng QoS hoặc nâng cấp Router có CPU mạnh hơn

Câu hỏi ôn tập

  1. Sự khác biệt giữa địa chỉ IP tĩnh và IP động khi cấu hình đường truyền Internet cho doanh nghiệp là gì?
  2. Tại sao VPN lại được coi là giải pháp bảo mật hơn so với việc mở cổng trực tiếp (Port Forwarding) để truy cập dữ liệu từ xa?
  1. Khi người dùng báo kết nối VPN thành công nhưng không “Ping” được máy chủ, bạn sẽ kiểm tra những yếu tố nào?
  1. Vai trò của kỹ thuật NAT trong việc dùng chung kết nối Internet là gì?