BÀI 4: MẠNG INTERNET DÙNG CHUNG VÀ VPN

Tháng Một 31, 2026
 |  Không có bình luận

4.1. Lý thuyết cơ bản liên quan:

Sự cần thiết và tầm quan trọng của Hạ tầng Internet doanh nghiệp và Công nghệ kết nối từ xa

  • Duy trì sự sống cho doanh nghiệp: Internet hiện nay không chỉ là công cụ giải trí mà là môi trường làm việc chính (Email, Cloud, VoIP). Hiểu về mạng dùng chung giúp kỹ thuật viên đảm bảo kết nối luôn thông suốt 24/7.
  • Thích ứng với xu hướng làm việc linh hoạt (Remote Work): VPN đã trở thành tiêu chuẩn vàng cho các doanh nghiệp hiện đại. Kỹ thuật viên không biết bảo trì VPN sẽ không thể hỗ trợ nhân sự làm việc từ xa, dẫn đến giảm hiệu quả vận hành của công ty.
  • Tối ưu hóa chi phí: Việc nắm vững kỹ thuật NAT và quản lý băng thông giúp doanh nghiệp tận dụng tối đa đường truyền Internet sẵn có, tránh lãng phí ngân sách vào việc nâng cấp gói cước không cần thiết.

4.1.1. Nguyên lý mạng Internet dùng chung trong doanh nghiệp

  • Kỹ thuật NAT (Network Address Translation): Đây là “linh hồn” của việc dùng chung Internet. Vì địa chỉ IPv4 công cộng (Public IP) rất khan hiếm và đắt đỏ, kỹ thuật NAT trên Router cho phép hàng trăm thiết bị trong mạng LAN (sử dụng IP tư nhân – Private IP) truy cập Internet đồng thời chỉ thông qua một địa chỉ IP công cộng duy nhất do nhà mạng cấp.
  • Cơ chế định tuyến (Routing): Router đóng vai trò là “cảnh sát giao thông”, điều phối các gói tin từ mạng nội bộ ra thế giới bên ngoài và ngược lại dựa trên bảng định tuyến (Routing Table).
  • Băng thông chia sẻ: Khi dùng chung một đường truyền FTTH, băng thông sẽ được phân bổ cho các thiết bị. Nếu không có cơ chế quản lý (như QoS), một thiết bị tải dữ liệu nặng có thể làm tê liệt kết nối của toàn bộ các máy khác trong hệ thống.

4.1.2. Bản chất và cơ chế của VPN (Virtual Private Network)

  • Khái niệm “Đường hầm” (Tunneling): VPN không tạo ra một đường dây vật lý mới mà tạo ra một kết nối ảo logic chạy trên nền Internet. Dữ liệu khi đi vào “đường hầm” này sẽ được bao bọc bởi một giao thức bảo mật (như L2TP, IPsec, OpenVPN hoặc WireGuard).
  • Cơ chế mã hóa (Encryption): Toàn bộ dữ liệu truyền đi giữa máy tính người dùng và mạng công ty được mã hóa thành các chuỗi ký tự không thể đọc được. Ngay cả khi hacker đánh cắp được gói tin trên môi trường Internet công cộng, chúng cũng không thể xem được nội dung bên trong.
  • Xác thực (Authentication): Trước khi thiết lập kết nối, hệ thống VPN yêu cầu người dùng cung cấp thông tin định danh (Username/Password, Chứng chỉ số hoặc mã OTP) để đảm bảo chỉ những người được phép mới có thể truy cập vào tài nguyên nội bộ.

4.1.3. Vai trò của VPN trong bảo trì và vận hành mạng

  • Truy cập tài nguyên nội bộ: Cho phép nhân viên làm việc từ xa truy cập vào Máy chủ tệp (File Server), phần mềm kế toán, hay máy in nội bộ như đang cắm dây mạng tại văn phòng.
  • An toàn trên môi trường công cộng: Khi kỹ thuật viên đi công tác và sử dụng Wi-Fi quán cafe hoặc khách sạn, VPN giúp bảo vệ các thông tin quản trị nhạy cảm không bị đánh cắp.
  • Kết nối các chi nhánh (Site-to-Site): Giúp kết nối các văn phòng ở các tỉnh thành khác nhau thành một mạng nội bộ duy nhất, giúp việc quản lý dữ liệu tập trung trở nên dễ dàng và bảo mật.

4.1.3. Vai trò của VPN trong bảo trì và vận hành mạng

  • Truy cập tài nguyên nội bộ: Cho phép nhân viên làm việc từ xa truy cập vào Máy chủ tệp (File Server), phần mềm kế toán, hay máy in nội bộ như đang cắm dây mạng tại văn phòng.
  • An toàn trên môi trường công cộng: Khi kỹ thuật viên đi công tác và sử dụng Wi-Fi quán cafe hoặc khách sạn, VPN giúp bảo vệ các thông tin quản trị nhạy cảm không bị đánh cắp.
  • Kết nối các chi nhánh (Site-to-Site): Giúp kết nối các văn phòng ở các tỉnh thành khác nhau thành một mạng nội bộ duy nhất, giúp việc quản lý dữ liệu tập trung trở nên dễ dàng và bảo mật.

4.2. Các nguyên tắc của nhà cung cấp dịch vụ Internet (ISP) và thiết bị đầu cuối

  • Nguyên lý kết nối: ISP cấp cho doanh nghiệp một tài khoản (PPPoE) và địa chỉ IP (Tĩnh hoặc Động) để định danh trên mạng toàn cầu.
  • Thiết bị: Modem quang (ONT) nhận tín hiệu ánh sáng và chuyển đổi thành tín hiệu điện cho Router.
  • Nội dung bảo trì: Kiểm tra định kỳ công suất thu phát quang, đảm bảo thiết bị không bị quá nhiệt và firmware luôn được cập nhật để tránh các lỗ hổng bảo mật.

4.3. Sự cố trong dùng chung kết nối Internet (FTTH và Băng thông rộng)

  • Nguyên nhân sự cố: Do đứt cáp quang ngoài môi trường, lỗi cấu hình tài khoản PPPoE trên Router, hoặc thiết bị Router bị treo do xử lý quá tải nhiều phiên kết nối (Sessions).
  • Biểu hiện: Đèn tín hiệu trên Modem báo lỗi, máy tính báo “Connected, no internet”, hoặc tốc độ truy cập rất chậm dù đường truyền vắng người dùng.
  • Nhận biết thiết bị: * Nhìn vào đèn PON/AUTH trên Modem: Nếu tắt hoặc đỏ là lỗi xác thực.
    • Nhìn vào đèn Internet/Globe: Nếu tắt hoặc cam là chưa có kết nối lớp 3 đến ISP.
  • Quy trình xử lý:
    1. Bước 1: Kiểm tra đèn tín hiệu vật lý trên Modem và Router.
    2. Bước 2: Truy cập giao diện quản trị Router, kiểm tra trạng thái kết nối WAN và nhật ký (Log) để xem lỗi xác thực tài khoản.
    3. Bước 3: Thực hiện khởi động lại thiết bị theo quy trình: Tắt Modem -> Đợi 30s -> Bật Modem -> Đợi ổn định -> Bật Router.
    4. Bước 4: Kiểm tra DNS trên máy trạm, đổi sang DNS công cộng (8.8.8.8 hoặc 1.1.1.1) nếu cần thiết.

4.4. Cấu hình và bảo trì kết nối từ xa (VPN)

  • Nguyên nhân sự cố: Sai lệch chứng thực (Username/Password), địa chỉ IP WAN của công ty bị thay đổi, hoặc tường lửa (Firewall) chặn cổng giao thức VPN (như Port 1723, 443).
  • Biểu hiện: Người dùng từ xa báo lỗi “Connection failed”, “Timeout” hoặc kết nối được nhưng không nhìn thấy các máy chủ nội bộ.
  • Nhận biết thiết bị: Kiểm tra bảng trạng thái (VPN Status) trong phần mềm VPN Client hoặc trên thiết bị Firewall/Router tại trụ sở chính.
  • Quy trình xử lý:
    1. Bước 1: Xác nhận máy tính của người dùng có kết nối Internet ổn định.
    2. Bước 2: Kiểm tra trạng thái dịch vụ VPN trên Server/Firewall tại công ty, đảm bảo dịch vụ đang “Running”.
    3. Bước 3: Kiểm tra lại cấu hình NAT/Port Forwarding trên Router biên để đảm bảo lưu lượng VPN được phép đi qua.
    4. Bước 4: Kiểm tra quyền hạn truy cập của tài khoản người dùng trong Active Directory hoặc cơ sở dữ liệu xác thực cục bộ.

BÀI TẬP

Bài tập 4.1: Chẩn đoán lỗi Internet trên Router doanh nghiệp.

Giả lập tình huống sai thông tin PPPoE, học sinh truy cập giao diện Router để cấu hình lại và kiểm tra trạng thái kết nối.

Bài tập 4.2: Thiết lập kết nối VPN Client-to-Site.

Sử dụng một máy tính đóng vai trò người dùng từ xa, thực hiện cài đặt phần mềm VPN và kết nối vào hệ thống mạng nội bộ đã cấu hình sẵn.

Bài tập 4.3: Quản lý băng thông (QoS).

Thực hiện giới hạn băng thông download/upload cho một nhóm máy tính cụ thể để tránh tình trạng chiếm dụng đường truyền.

Câu hỏi ôn tập

  1. Sự khác biệt giữa địa chỉ IP tĩnh và IP động khi cấu hình đường truyền Internet cho doanh nghiệp là gì?
  2. Tại sao VPN lại được coi là giải pháp bảo mật hơn so với việc mở cổng trực tiếp (Port Forwarding) để truy cập dữ liệu từ xa?
  1. Khi người dùng báo kết nối VPN thành công nhưng không “Ping” được máy chủ, bạn sẽ kiểm tra những yếu tố nào?
  1. Vai trò của kỹ thuật NAT trong việc dùng chung kết nối Internet là gì?