NGHIÊN CỨU VÀ TRIỂN KHAI VPN VÀ ASA BẰNG GNS3

I. GNS3 GNS3 là một trình giả lập mạng có giao diện đồ hoạ (graphical network simulator) cho phép bạn dễ dàng thiết kế các mô hình mạng và sau đó chạy giả lập trên chúng. Tại thời điểm hiện tại GNS3 hỗ trợ các IOS của Router, ATMFrame RelayEthernet, switch và hub. Bạn thậm chí có thể mở rộng mạng của mình bằng cách kết nối nó vào mạng ảo này. Để làm được điều này, GNS3 đã dựa trên Dynamips và một phần của Dynagen, nó được phát triển bằng Python và thông thông qua PyQt và phần giao diện đồ hoạ thì sử dụng thư viện Qt, rất nổi tiếng về tính hữu dụng của nó trong dự án KDE. GNS3 cũng sử dụng kỹ thuật SVG (Scalable Vector Graphics) để cung cấp các biểu tượng chất lượng cao cho việc thiết kế mô hình mạng. II. VPN 1. Mạng riêng ảo VPN VPN là mạng riêng ảo, Virtual Private Network, là một công nghệ mạng giúp tạo kết nối mạng an toàn khi tham gia vào mạng công cộng như Internet hoặc mạng riêng do một nhà cung cấp dịch vụ sở hữu. Các tập đoàn lớn, các cơ sở giáo dục và cơ quan chính phủ sử dụng công nghệ VPN để cho phép người dùng từ xa kết nối an toàn đến mạng riêng của cơ quan mình. Một hệ thống VPN có thể kết nối được nhiều site khác nhau, dựa trên khu vực, diện tích địa lý... tượng tự như chuẩn Wide Area Network (WAN). Bên cạnh đó, VPN còn được dùng để khuếch tán, mở rộng các mô hình Intranet nhằm truyền tải thông tin, dữ liệu tốt hơn. Ví dụ, các trường học vẫn phải dùng VPN để nối giữa các khuôn viên của trường (hoặc giữa các chi nhánh với trụ sở chính) lại với nhau. Nếu muốn kết nối vào hệ thống VPN, thì mỗi 1 tài khoản đều phải được xác thực (phải có Username và Password). Những thông tin xác thực tài khoản này được dùng để cấp quyền truy cập thông qua 1 dữ liệu Personal Identification Number (PIN), các mã PIN này thường chỉ có tác dụng trong 1 khoảng thời gian nhất định (30s hoặc 1 phút). Khi kết nối máy tính hoặc một thiết bị khác chẳng hạn như điện thoại, máy tính bảng với một VPN, máy tính hoạt động giống như nó nằm trên cùng mạng nội bộ với VPN. Tất cả traffic trên mạng được gửi qua kết nối an toàn đến VPN. Nhờ đó, có thể truy cập an toàn đến các tài nguyên mạng nội bộ ngay cả khi đang ở rất xa. Có thể sử dụng Internet giống như đang ở vị trí của của VPN, điều này mang lại một số lợi ích khi sử dụng WiFi public hoặc truy cập trang web bị chặn, giới hạn địa lý. Khi duyệt web với VPN, máy tính sẽ liên hệ với trang web thông qua kết nối VPN được mã hóa. Mọi yêu cầu, thông tin, dữ liệu trao đổi giữa thiết bị và website sẽ được truyền đi trong một kết nối an toàn. Nếu sử dụng VPN tại Hoa Kỳ để truy cập vào Netflix, Netflix sẽ thấy kết nối của bạn đến từ Hoa Kỳ. Các ứng dụng của VPN:  Truy cập vào mạng doanh nghiệp khi ở xa: VPN thường được sử dụng bởi những người kinh doanh để truy cập vào mạng lưới kinh doanh của họ, bao gồm tất cả tài nguyên trên mạng cục bộ, trong khi đang đi trên đường, đi du lịch,... Các nguồn lực trong mạng nội bộ không cần phải tiếp xúc trực tiếp với Internet, nhờ đó làm tăng tính bảo mật.  Truy cập mạng gia đình, dù không ở nhà: Bạn có thể thiết lập VPN riêng để truy cập khi không ở nhà. Thao tác này sẽ cho phép truy cập Windows từ xa thông qua Internet, sử dụng tập tin được chia sẻ trong mạng nội bộ, chơi game trên máy tính qua Internet giống như đang ở trong cùng mạng LAN.  Duyệt web ẩn danh: Nếu đang sử dụng WiFi công cộng, duyệt web trên những trang web không phải https, thì tính an toàn của dữ liệu trao đổi trong mạng sẽ dễ bị lộ. Nếu muốn ẩn hoạt động duyệt web của mình để dữ liệu được bảo mật hơn thì bạn nên kết nối VPN. Mọi thông tin truyền qua mạng lúc này sẽ được mã hóa.  Truy cập đến những website bị chặn giới hạn địa lý, bỏ qua kiểm duyệt Internet, vượt tường lửa,...  Tải tập tin: Tải BitTorrent trên VPN sẽ giúp tăng tốc độ tải file. Điều này cũng có ích với các traffic mà ISP của bạn có thể gây trở ngại. 2. Các giao thức thường dùng trong VPN:  IP security (IPSec): Được dùng để bảo mật các giao tiếp, các luồng dữ liệu trong môi trường Internet (môi trường bên ngoài VPN). Đây là điểm mấu chốt, lượng traffic qua IPSec được dùng chủ yếu bởi các Transport mode, hoặc các tunnel (hay gọi là hầm khái niệm này hay dùng trong Proxy, SOCKS) để MÃ HÓA dữ liệu trong VPN. Transport mode chỉ có nhiệm vụ mã hóa dữ liệu bên trong các gói (data package hoặc còn biết dưới từ payload). Trong khi các Tunnel mã hóa toàn bộ các data package đó.

KHOA CÔNG NGHỆ THÔNG TIN

BÀI TẬP LỚN

ĐỀ TÀI: NGHIÊN CỨU VÀ TRIỂN KHAI VPN VÀ ASA BẰNG GNS3

Hà Nội -2017

Mục Lục

2 Các giao thức thường dùng trong VPN: 4

1 Giới thiệu Firewall ASA 7

3 Giới thiệu về các loại VPN trên ASA 11

3 Câu lệnh cấu hình tại các router 17

I GNS3

GNS3 là một trình giả lập mạng có giao diện đồ hoạ (graphical network simulator) cho phép bạn dễ dàng thiết kế các mô hình mạng và sau đó chạy giả lập trên chúng Tại thời điểm hiện tại GNS3 hỗ trợ các IOS của Router, ATM/Frame Relay/Ethernet, switch và hub Bạn thậm chí có thể mở rộng mạng của mình bằng cách kết nối nó vào mạng ảo này Để làm được điều này, GNS3 đã dựa trên

Dynamips và một phần của Dynagen, nó được phát triển bằng Python và thông thông qua PyQt và phần giao diện đồ hoạ thì sử dụng thư viện Qt, rất nổi tiếng về tính hữu dụng của nó trong dự án KDE GNS3 cũng sử dụng kỹ thuật SVG

(Scalable Vector Graphics) để cung cấp các biểu tượng chất lượng cao cho việc thiết kế mô hình mạng

II VPN

1 Mạng riêng ảo VPN

VPN là mạng riêng ảo, Virtual Private Network, là một công nghệ mạng giúp tạo kết nối mạng an toàn khi tham gia vào mạng công cộng như Internet hoặc mạng riêng do một nhà cung cấp dịch vụ sở hữu Các tập đoàn lớn, các cơ sở giáo dục và cơ quan chính phủ sử dụng công nghệ VPN để cho phép người dùng từ xa kết nối an toàn đến mạng riêng của cơ quan mình

Một hệ thống VPN có thể kết nối được nhiều site khác nhau, dựa trên khu vực, diện tích địa lý tượng tự như chuẩn Wide Area Network (WAN) Bên cạnh

đó, VPN còn được dùng để "khuếch tán", mở rộng các mô hình Intranet nhằm truyền tải thông tin, dữ liệu tốt hơn Ví dụ, các trường học vẫn phải dùng VPN để nối giữa các khuôn viên của trường (hoặc giữa các chi nhánh với trụ sở chính) lại với nhau

Nếu muốn kết nối vào hệ thống VPN, thì mỗi 1 tài khoản đều phải được xác thực (phải có Username và Password) Những thông tin xác thực tài khoản này được dùng để cấp quyền truy cập thông qua 1 dữ liệu - Personal Identification Number (PIN), các mã PIN này thường chỉ có tác dụng trong 1 khoảng thời gian nhất định (30s hoặc 1 phút)

Khi kết nối máy tính hoặc một thiết bị khác chẳng hạn như điện thoại, máy tính bảng với một VPN, máy tính hoạt động giống như nó nằm trên cùng mạng nội

bộ với VPN Tất cả traffic trên mạng được gửi qua kết nối an toàn đến VPN Nhờ

đó, có thể truy cập an toàn đến các tài nguyên mạng nội bộ ngay cả khi đang ở rất xa

Có thể sử dụng Internet giống như đang ở vị trí của của VPN, điều này mang lại một số lợi ích khi sử dụng WiFi public hoặc truy cập trang web bị chặn, giới hạn địa lý

Khi duyệt web với VPN, máy tính sẽ liên hệ với trang web thông qua kết nối VPN được mã hóa Mọi yêu cầu, thông tin, dữ liệu trao đổi giữa thiết bị và website sẽ được truyền đi trong một kết nối an toàn Nếu sử dụng VPN tại Hoa Kỳ

để truy cập vào Netflix, Netflix sẽ thấy kết nối của bạn đến từ Hoa Kỳ

Các ứng dụng của VPN:

 Truy cập vào mạng doanh nghiệp khi ở xa: VPN thường được sử dụng bởi

những người kinh doanh để truy cập vào mạng lưới kinh doanh của họ, bao gồm tất cả tài nguyên trên mạng cục bộ, trong khi đang đi trên đường, đi du lịch, Các nguồn lực trong mạng nội bộ không cần phải tiếp xúc trực tiếp với Internet, nhờ đó làm tăng tính bảo mật

 Truy cập mạng gia đình, dù không ở nhà: Bạn có thể thiết lập VPN riêng để

truy cập khi không ở nhà Thao tác này sẽ cho phép truy cập Windows từ

xa thông qua Internet, sử dụng tập tin được chia sẻ trong mạng nội bộ, chơi game trên máy tính qua Internet giống như đang ở trong cùng mạng LAN

 Duyệt web ẩn danh: Nếu đang sử dụng WiFi công cộng, duyệt web trên

những trang web không phải https, thì tính an toàn của dữ liệu trao đổi trong mạng sẽ dễ bị lộ Nếu muốn ẩn hoạt động duyệt web của mình để dữ liệu được bảo mật hơn thì bạn nên kết nối VPN Mọi thông tin truyền qua mạng lúc này sẽ được mã hóa

 Truy cập đến những website bị chặn giới hạn địa lý, bỏ qua kiểm duyệt

Internet, vượt tường lửa,

 Tải tập tin: Tải BitTorrent trên VPN sẽ giúp tăng tốc độ tải file Điều này

cũng có ích với các traffic mà ISP của bạn có thể gây trở ngại

2 Các giao thức thường dùng trong VPN:

 IP security (IPSec):

Được dùng để bảo mật các giao tiếp, các luồng dữ liệu trong môi trường Internet (môi trường bên ngoài VPN) Đây là điểm mấu chốt, lượng traffic qua IPSec được dùng chủ yếu bởi các Transport mode, hoặc các tunnel (hay gọi là hầm

- khái niệm này hay dùng trong Proxy, SOCKS) để MÃ HÓA dữ liệu trong VPN

Transport mode chỉ có nhiệm vụ mã hóa dữ liệu bên trong các gói (data

package - hoặc còn biết dưới từ payload) Trong khi các Tunnel mã hóa toàn bộ các data package đó

Do vậy, IPSec thường được coi là Security Overlay, bởi vì IPSec dùng các lớp bảo mật so với các Protocol khác

 Secure Sockets Layer (SSL) và Transport Layer Security (TLS):

Có 1 phần tương tự như IPSec, 2 giao thức trên cũng dùng mật khẩu để đảm bảo an toàn giữa các kết nối trong môi trường Internet

Bên cạnh đó, 2 giao thức trên còn sử dụng chế độ Handshake - có liên quan đến quá trình xác thực tài khoản giữa client và server Để 1 kết nối được coi là thành công, quá trình xác thực này sẽ dùng đến các Certificate - chính là các khóa xác thực tài khoản được lưu trữ trên cả server và client

 Point-To-Point Tunneling Protocol (PPTP):

Là giao thức được dùng để truyền dữ liệu qua các hầm - Tunnel giữa 2 tầng traffic trong Internet L2TP cũng thường được dùng song song với IPSec (đóng vai trò là Security Layer - đã đề cập đến ở phía trên) để đảm bảo quá trình truyền dữ liệu của L2TP qua môi trường Internet được thông suốt Không giống như PPTP, VPN sẽ "kế thừa" toàn bộ lớp L2TP/IPSec có các key xác thực tài khoản được chia sẻ hoặc là các Certificate

III ASA

1 Giới thiệu Firewall ASA

Cisco ASA viết tắt của từ: Cisco Adaptive Security Appliance ASA là một giải pháp bảo mật đầu cuối chính của Cisco Hiện tại ASA là sản phẩm bảo mật dẫn đầu trên thị trường về hiệu năng và cung cấp các mô hình phù hợp doanh nghiệp, tích hợp giải pháp bảo mật mạng

Dòng sản phẩm ASA giúp tiết kiệm chi phí, dễ dàng triển khai Nó bao gồm các thuộc tính sau:

+ Bảo mật thời gian thực, hệ điều hành độc quyền của Cisco + Công nghệ Stateful firewall sử dụng thuật toán SA của Cisco + Sử dụng SNR để bảo mật kết nối TCP

+ Sử dụng Cut through proxy để chứng thực telnet, http, ftp + Chính sách bảo mật mặc định gia tăng bảo vệ mức tối đa và cũng có khả năng tùy chỉnh những chính sách này và xây dựng lên chính sách của riêng bạn

+ VPN: IPSec, SSL và L2TP + Tích hợp hệ thống ngăn ngừa và phát hiện xâm nhập IDS/IPS + NAT động, NAT tĩnh, NAT port

+ Ảo hóa các chính sách sử dụng Context

3 Các model Firewall ASA

Có tất cả 6 model khác nhau Dòng sản phẩm này phân loại khác nhau từ tổ chức nhớ đến mô hình doanh nghiệp vừa hay cho nhà cung cấp dịch vụ ISP Mô

hình càng cao thì thông lượng, số port, chi phí càng cao Sản phẩm bao gồm : ASA

5505, 5510, 5520, 5540, 5550, 5580-20, 5580-40

a ASA 5505

ASA 5505

ASA 5505 là model nhỏ nhất trong các dòng sản phẩm của ASA, cả về kích thước vật lý cũng như hiệu suất Nó được thiết kết dành cho các văn phòng nhỏ và văn phòng gia đình Đối với các doanh nghiệp lớn hơn, ASA 5505 thường được sử dụng để hỗ trợ cho các nhân viên làm việc từ xa

Có 8 cổng FastEthernet trên ASA 5505, tất cả kết nối đến một switch nội

bộ 2 trong số các cổng có khả năng cung cấp Power over Ethernet (PoE) với các thiết bị kèm theo (ASA chính nó không thể hỗ trợ bởi PoE) The mặc định, tất cả

8 cổng được kết nối đến các VLAN giống nhau trong switch, cho phép kết nối các thiết bị để giao tiếp ở lớp 2.Các cổng của switch có thể chia thành nhiều VLAN để

hỗ trợ các khu vực hoặc chức năng khác nhau trong một văn phòng nhỏ ASA kết nối với mỗi VLAN qua các interface các nhân luận lý Bất kỳ luồng dữ liệu nào qua giữa các VLAN đều qua ASA và các chính sách bảo mật của nó

ASA 5505 có một khe Security Services Card (SSC) có thể chấp nhận một tùy chọn AIPSSC-5 IPS module Với module được cài đặt, ASA có thể tăng cường các đặc tính bảo mật của nó với các chức năng mạng IPS

b ASA 5510, 5520 và 5540

ASA 5510

Các model ASA 5510, 5520 và 5540 sử dụng một khuôn chung như hình trên và có các chỉ số ở mặt trước và các phần cứng kết nối giống nhau Các model khác nhau trong xếp hạng hiệu suất an ninh của chúng Tuy nhiên, ASA 5510 được thiết kết cho các doanh nghiệp nhỏ và vừa (SMB) và các văn phòng từ xa của doanh nghiệp lớn ASA 5520 thích hợp cho các doanh nghiệp vừa trong khi ASA 5540 dành cho các doanh nghiệp vừa và lớn và các nhà cung cấp dịch vụ mạng

ASA 5520 và 5540 có 4 cổng 10/100/100 có thể sử dụng để kết nối vào cơ

sở hạ tầng mạng 4 cổng là các interface firewall chuyên dụng và không kết nối với nhau ASA 5510 có thể sử dụng 4 cổng 10/100 là mặc định Nếu thêm một giấy phép bảo mật được mua và kích hoạt 2 port làm việc ở 10/100/1000 và 2 port FastEthernet Một interface thứ 5 dùng để quản lý cũng có sẵn

Các ASA 5510, 5520 và 5540 có một khe cắm SSM có thể gắn card vào :

• Four-port Gigabit Ethernet SSM: module này thêm vào 4 interface firewall vật

lý, hoặc 10/100/100 RJ45 hoặc small form-factor pluggable (SFP)- cổng cơ bản

• Advanced Inspection and Prevention (AIP) SSM: module này thêm các khả năng của mạng nội tuyến IPS để phù hợp với bảo mật của ASA

• Content Security and Control (CSC) SSM: module này các dịch vụ kiểm soát nội dung và chống virus toàn diện cho phù hợp với bảo mật của ASA

c ASA 5550

ASA 5550 được thiết kế để hỗ trợ doanh nghiệp lớn và các nhà cung cấp dịch vụ mạng Hình trên cho thấy mặt trước và sau Chú ý rằng ASA 5550 trong giống ASA 5510, 5520 và 5540 Sự khác biệt đáng chú ý nhất là ASA 5550 có 4 cổng Gigabit Ethernet (4GE-SSM) cố định trong khe cắm SSM, không thể tháo bỏ

và thay đổi

Đặc điểm kiến trúc ASA 5550 có 2 nhóm của các interface vật lý kết nối đến 2 bus nội được chia ra Các nhóm interface được gọi là khe cắm 0 và 1 tương ứng với bus 0 và 1 Khe cắm 0 gồm 4 cổng Gigabit Ethernet bằng đồng khe cắm 1 gồm 4 cổng SFP Gigablit Ethernet bằng đồng, mặc dù chỉ có 4 trong 8 cổng có thể được sử dụng bất cứ lúc nào

ASA 5550 cung cấp hiệu suất cao cho các môi trường được đòi hỏi Để tối

đa hóa thông lượng firewall, phần lớn lưu lượng nên đi từ các switch port trên bus

0 đến switch port trên bus 1 ASA có thể chuyển tiếp lưu lượng hiệu quả hơn rất nhiều từ bus này đến bus kia nếu lưu lượng nằm trong một bus đơn

d ASA 5580

ASA 5580 là một model có hiệu suất cao trong họ và được thiết kế cho các doanh nghiệp lớn, trung tâm dữ liệu, các nhà cung cấp dịch vụ lớn Nó có thể hỗ trợ lên đến 24 Gigabit Ethernet interfaces hoặc 12 10Gigabit Ethernet interfaces Đây là một trong hai model khung lớn hơn một đơn vị rack tiêu chuẩn (RU)

ASA 5580 có 2 model: ASA 5580-20 (5Gbps) và ASA 5580-40 (10Gbps)

Bộ khung bao gồm 2 port 10/100/1000 được sử dụng cho quản lý lưu lượng out-ofband Hệ thống cũng sử dụng nguồn cung cấp điện dự phòng kép

ASA 5580

ASA 5580 khung tổng cộng

PCI Express

mở rộng khe cắm 1 được dành riêng cho module

mã hóa gia tốc để

các phiên làm việc VPN hiệu suất cao Khe 2-9 dành cho việc sử dụng trong tương lai, để lại 6 khe cắm có sẵn cho các card interface mạng sau đây:

• 4-port 10/100/1000BASE-T copper Gigabit Ethernet interfaces

• 4-port 1000BASE-SX fiber-optic Gigabit Ethernet interfaces

• 2-port 10GBASE-SR 10Gigabit Ethernet fiber-optic interfaces

4 Giới thiệu về các loại VPN trên ASA

a Site to Site (IPSec)

Site-to-site VPN là một giải pháp cho phép kết nối những máy tính bên trong mạng private thuộc nhiều văn phòng ở xa với nhau, các kết nối này sẽ thông qua mạng internet

Do phải đi qua hạ tầng internet chung nên để bảo bảo mật VPN Site to Site

sẽ có một số đặc điểm sau:

 Confidentiality: Dùng mã hóa để chuyển clear text thành cipher text

nhằm đảm bảo tính tin cậy

 Data integrity: Dùng hashing hoặc Hashed Message Authentication

Code (HMAC) để kiểm tra dữ liệu không bị thay đổi trên đường truyền

 Authentication: Chứng thực VPN peer lúc khởi đầu VPN session

bằng pre-shared key (PSK) hoặc chữ ký số Chứng thực cũng có thể được thực hiện liên tục bằng cách dùng HMAC, vì chỉ có 2 đầu của VPN session mới biết secret key

 Antireplay support: Khi VPN được thiết lập thì các VPN peer sẽ

thực hiện đánh số cho các gói tin, và nếu một gói tin được truyền lại (có thể do attacker) thì gói tin sẽ bị drop vì thiết bị VPN tin rằng nó

đã xử lý gói tin Một trong những cách để hiện thực Site-to-Site VPN là sử dụng IPSec Site-to-site IPsec VPN bao gồm các thiết bị hay hay phần mềm để thực hiện tạo

IPsec tunnel giữa hai VPN peer (còn được gọi là VPN gateway) Dựa trên thông tin ip address của các gói tin khi đến VPN gateway thì VPN gateway sẽ mã hóa và gửi vào IPsec tunnel đã được thiệt lập để gói tin có thể đến được đích đến cần thiết, sau khi VPN gateway đầu bên kia nhận được gói tin nó sẽ tiến hành giải mã dựa trên các thông số security association (SA) đã được thiết lập từ trước và forward đến đích đến cần thiết

e IPSec Remote Access using VPN clients

Đáp ứng nhu cầu truy cập dữ liệu và ứng dụng cho người dùng ở xa, bên ngoài công ty thông qua Internet Ví dụ khi người dùng muốn truy cập vào cơ sở

dữ liệu hay các file server, gửi nhận email từ các mail server nội bộ của công ty

IPSec VPN (Internet Protocol Security) là giao thức mạng về bảo mật (security) và thường được liên kết với VPN (tất nhiên bạn hoàn toàn có thể dùng IPSec ở trong mạng cục bộ LAN) IPSec VPN cho phép việc truyền tải dữ liệu được mã hóa an toàn ở lớp mạng (Network Layer) theo mô hình OSI thông qua các router mạng công cộng Internet được cung cấp phổ biến hiện nay như: ADSL router, FTTH router.v.v VPN (ở lớp mạng-Network) đề cập đến những thách thức trong việc sử dụng Internet như là một môi trường truyền và đưa các dữ liệu đa giao thức và nhạy cảm

f EZY VPN

EZY cho phép người dùng dễ dàng thiết tạo một mạng riêng ảo - VPN, được bảo mật an toàn dữ liệu gần như tuyệt đối

g Anyconnect (SSL Based VPN)

 Anaconnect VPN là giải pháp tương tự như IPSEC VPN Remote-access

 Mặc dù là giải pháp tương tự IPSEC VPN nhưng nó không quá phức tạp với người dùng Nó vẫn giữ lại các ưu diểm của Web VPN là: Dễ dàng sử dụng và hỗ trợ hầu hết các ứng dụng

 Đảm bao khả năng linh hoạt và mở rộng trong việc truy cập tài nguyên từ bên ngoài nhưng vẫn đảm bảo tính bảo mật cao với SSL

h Clientless or WebVPN

SSL VPN, hay còn gọi là Web VPN cung cấp một sự hỗ trợ về phần mềm cisco cho việc truy cập từ xa tới mạng công ty từ bất cứ nơi đâu trên internet Truy cập từ xa được cung cấp thông qua SSL (Secure Socket Layer) được enable trên VPN Gateway.Cho phép user thiết lập kết nối thông qua trình duyệt web do đó những user từ bất cứ hệ điều hành nào như Unix, Window, MAC hay tới những user từ quán Internet cũng có thể truy cập đến công ty mà không phải cài bất cứ soft nào như Cisco-vpn-client chẳng hạn Ứng dụng sẽ được cài thẳng vào router, khi người dùng dù ở bất kì nơi đâu miễn có một đường truyền Internet thì khi người dùng truy cập vào địa chỉ bên ngoài của Gateway VPN [outside interface], router này sẽ đổ soft VPN-client xuống cho người dùng cài đặt Hầu hết cống việc của người dùng chỉ nhấn yes, hay ok