Nếu các tài khoản trong các Domain khác nhau không có quan hệ tin cậy hai chiều với Domain mà IAS là thành viên, ta phải cấu hình một RADIUS uỷ quền giữa hai Domain không tin cậy nhau Cấu hình IAS với Client RADIUS Ta phải cấu hình máy chủ IAS chính với máy chủ mạng riêng ảo như Client RADIUS. Cấu hình này sẽ cho phép cả máy chủ IAS chính và phụ truy cập các dịch vụ RADIUS để xác thực người dùng. Cấu hình chính sách truy cập từ xa Chính sách truy cập từ xa sẽ cho phép đưa thêm các yêu cầu an toàn cho những người dùng truy cập đến mạng từ mạng bên ngoài. Nó sẽ định nghĩa những ai được phép truy cập hệ thống và cách họ được cho phép để truy cập nó. Chẳng hạn, nếu bạn muốn những người dùng từ xa truy cập máy chủ mạng riêng ảo chi nếu họ đang sử dụng L2TP/IPSec như một giao thức đường hầm hoặc chỉ nếu họ sử dụng EAP-TLS như một giao thức xác thực, chính sách truy cập từ xa định nghĩa các tham số mà chúng được cho phép sử dụng để kết nối 6.2.1.5. Triển khai máy chủ mạng riêng ảo Để cho người dùng có thể truy cập, chúng ta cần thiết lập các máy chủ mạng riêng ảo. Triển khai các máy chủ mạng riêng ảo cho các kết nối mạng riêng ảo truy cập từ xa bao gồm - Cấu hình mỗi kết nối của máy chủ mạng riêng ảo tới Intranet - Thiết lập bộ định tuyến mạng riêng ảo 6.2.1.6. Triển khai cơ sở hạ tầng Intranet Bây giờ máy chủ đã thiết lập TCP/IP cơ sở và tất cả các quyết định về giao thức và kết nối AAA đã được thực hiện, ta cần đảm bảo rằng các tài nguyên trong mạng Intranet là có khả năng truy cập được với máy chủ mạng riêng ảo và như vậy nó có thể xử lý các liên lạc tới các Client truy cập từ xa. Triển khai cơ sở hạ tầng mạng Intranet cho các kết nối mạng riêng ảo truy cập từ xa bao gồm các công việc sau: - Cấu hình bộ định tuyến trên máy chủ mạng riêng ảo - Kiểm tra trình phân giải tên và khả năng kết nối tới Intranet từ máy chủ mạng riêng ảo - Cấu hình bộ định tuyến cho vùng địa chỉ subnet - Cấu hình các tài nguyên cách ly Cấu hình bộ định tuyến trên máy chủ mạng riêng ảo Với các máy chủ mạng riêng ảo để chuyển tiếp luồng lưu lượng tới các vị trí trong Intranet, ta phải cấu hình chúng với hoặc các đường định tuyến tĩnh mà tổng kết tất cả các địa chỉ có khả năng đã dùng trên Intranet hoặc với các giao thức định tuyến và như vậy máy chủ mạng riêng ảo có thể hoạt động như một bộ định tuyến động và tự động bổ sung các đường định tuyến cho các mạng con Intranet vào bảng định tuyến của nó. Thực tế tốt nhất là ta nên sử dụng sự tổng kết đường định tuyến để đi đến phần còn lại của mạng trong. Đó là cách mà người quản trị máy chủ mạng riêng ảo dễ thực thiện và ta không phải lo lắng về việc hỗ trợ định tuyến động trên máy chủ mạng riêng ảo. Nếu tổng kết đường định tuyến không có khả năng, sử dụng định tuyến động để đảm bảo rằng máy chủ mạng riêng ảo biết tất cả những thay đổi topo mạng Kiểm tra trình phân giải tên và khả năng kết nối tới Intranet từ máy chủ mạng riêng ảo Từ mỗi máy chủ mạng riêng ảo, kiểm tra xem máy chủ có thể phân giải các tên và liên lạc thành công với các tài nguyên Intranet hay không. Ta thực hiện công việc này bằng lệnh Ping, truy cập trang Web với trình duyệt, và kiểm tra kết nối máy in tới máy chủ trong Intranet. Công việc này đảm bảo để sử dụng DNS dựa trên mạng Intranet và việc cấu hình trên các giao diện Intranet của máy chủ mạng riêng ảo là đúng đắn. Nếu Client được thiết lập DNS dựa vào bên ngoài, sẽ không có khả năng kết nối tới các máy chủ bên ngoài(nếu đường hầm bị disable) hoặc các máy chủ bên ngoài sẽ không có khả năng xử lý các tên cho tài nguyên Intranet(nếu đường hầm được enable). Cấu hình định tuyến cho phạm vi địa chỉ mạng con Nếu ta đã cấu hình các máy chủ mạng riêng ảo với vùng địa chỉ một cách thủ công và các phạm vi trong vùng là một phạm vi mạng con, ta phải đảm bảo rằng đường định tuyến hoặc các đường định tuyến mô tả vùng địa chỉ mạng con hay các vùng được mô tả trong cơ sở hạ tầng định tuyến Intranet của ta. Ta có thể đảm bảo điều này bằng việc hoặc bổ sung các đường định tuyến tính mô tả phạm vi địa chỉ mạng con như các đường định tuyến tĩnh tới các Router kề cạnh của máy chủ mạng riêng ảo, và sau đó sử dụng giao thức định tuyến của Intranet chúng ta để phổ biến đường định tuyến tới các bộ định tuyến khác. Khi sử dụng các phương thức này, phải đảm bảo cho phép phân phối lại các đường định tuyến tĩnh trên bộ định tuyến kế tiếp để phổ biến các đường định tuyến tĩnh cho các giao thức định tuyến động. Ngoài ra, nếu ta đang sử dụng giao thức thông tin định tuyến(RIP) hoặc Open Shortest Path First (OSPF), ta có thể cấu hình máy chủ mạng riêng ảo sử dụng các vùng địa chỉ mạng con như các bộ định tuyến RIP hoặc OSPF. Với OSPF, ta phải cấu hình máy chủ mạng riêng ảo như một bộ định tuyến biên hệ thống tự trị(ASBR). Cấu hình này cho phép bộ định tuyến OSPF(máy chủ mạng riêng ảo) công khai các đường định tuyến tĩnh trong hệ thống tự trị OSPF Cấu hình các tài nguyên cách ly Nếu ta đang dùng kiểm soát cách ly truy cập mạng, ta nên cách ly dịch vụ với người dùng bằng việc chỉ rõ một máy chủ DNS, máy chủ File, máy chủ Web với các trang web chưa chính sách mạng theo đúng các chỉ lện và thành phần trong một mạng con độc lập 6.2.1.6. Triển khai các Client VPN Bây giờ ta đã có các máy chủ xác thực. Máy chủ mạng riêng ảo được thiết lập với các chính sách tuy cập của chúng và có khả năng thực hiện các kết nối từ người dùng từ xa, truy cập tài nguyên của tổ chức và liên lạc trên bộ định tuyến mạng của tổ chức. Bước tiếp theo ta làm cho các Client có khả năng truy cập máy chủ mạng riêng ảo. Tổng kết Để triển khai một giải pháp truy cập từ xa dựa trên PPTP, thực hiện các bước như sau + Nếu đang sử dụng xác thực EAP-TLS, tạo một cơ sở hạ tầng chứng chỉ số để phát hành các chứng chỉ người dùng tới các Client VPN và máy chủ xác thực + Kết nối máy chủ mạng riêng ảo với Internet + Triển khai cơ sở hạ tầng AAA(gồm cả máy chủ RADIUS) + Triển khai các Client VPN Để triển khai một giải pháp truy cập từ xa dựa trên L2TP/IPSec, ta thực hiện các bước sau: + Tạo một cơ sở hạ tầng cung cấp chứng chỉ để phát hành chứng chỉ cho Client VPN và máy chủ mạng riêng ảo + Kết nối máy chủ mạng riêng ảo với Internet + Triển khai cơ sở hạ tầng AAA(gồm cả máy chủ RADIUS) + Sửa đổi cơ sở hạ tầng Intranet để phân phối đường định tuyến và vùng cách ly + Triển khai các Client VPN Câu hỏi ôn tập Chương VII Xây dựng mạng riêng ảo Site – to – Site 7.1. Các thành phần của mạng riêng ảo Site – to – Site Trong chương VI ta đã xem xét các thành phần của mạng riêng ảo truy cập từ xa – đó là, mạng riêng ảo có nhiều người dùng từ xa kết nối tới một cổng kết nối mạng riêng ảo để truy cập các tài nguyên bên trong. Kiểu kết nối mạng riêng ảo khác là dạng từ nhánh mạng - tới – nhánh mạng (Site – to – Site), trong đó, hai Router tạo một đường hầm qua Internet và hoạt động như một liên kết mạng WAN giữa hai nhánh mạng. Người dùng bên cả hai phía của liên kết không cần biết về kết nối mạg riêng ảo vì liên kết hoàn toàn trong suốt với họ. Mạng riêng ảo Site – to – Site cho phép các công ty sử dụng Internet để kết nối các văn phòng của họ lại với nhau bằng việc sử dụng đường hầm mạng riêng ảo và công nghệ mã hoá, và như vậy, tiết kiệm được chi phí trên các liên kết mạng WAN riêng đắt đỏ. Để quyết định triển khai kết nối mạng riêng ảo Site – to – Site (được xem như là Router - tới – Router) ta phải hiểu tất cả các thành phần liên quan. Để hiểu tất cả các chức năng của mạng riêng ảo Site – to – Site, chúng ta cần bắt đầu với một mô tả tổng qua về công nghệ định tuyến theo yêu cầu quay số, nó cho phép các Router mạng riêng ảo có thể cho phép hoặc không cho phép các đường hầm mạng riêng ảo một cách tự động dựa trên luồng lưu lượng mà các Router đang xem xét 7.1.1. Định tuyến theo yêu cầu quay số Định tuyến theo yêu cầu quay số qua các kết nối quay số (chẳng hạn như đường điện thoại hoặc mạng tích hợp dịch vụ số - ISDN), các kết nối mạng riêng ảo , và giao thức PPP qua các kết nối Ethernet (PPPoE). Định tuyến theo yêu cầu quay số cho phép chuyển tiếp các gói dữ liệu qua một liên kết PPP. Liên kết PPP được mô tả trên Router như là một giao diện theo yêu cầu quay số, nó có thể được dùng để tạo các kết nối khi được yêu cầu qua đường quay số, không thường xuyên hay truyền thông liên tục. Các kết nối theo yêu cầu quay số cho phép ta sử dụng các đường điện thoại quay số thay thế các đường leased line những tình huống luồng lưu lượng thấp và thúc đẩy kết nối của Internet để kết nối các văn phòng chi nhánh với các kết nối mạng riêng ảo. Khi các liên kết luôn luôn « sẵn sàng« , nó được xem như là một kết nối thường trực. Nếu liên kết chỉ « sẵn sàng« lúc cần thiết . mạng riêng ảo Site – to – Site (được xem như là Router - tới – Router) ta phải hiểu tất cả các thành phần liên quan. Để hiểu tất cả các chức năng của mạng riêng ảo Site – to – Site, chúng ta. Client VPN Câu hỏi ôn tập Chương VII Xây dựng mạng riêng ảo Site – to – Site 7.1. Các thành phần của mạng riêng ảo Site – to – Site Trong chương VI ta đã xem xét các thành phần của mạng riêng. các tài nguyên bên trong. Kiểu kết nối mạng riêng ảo khác là dạng từ nhánh mạng - tới – nhánh mạng (Site – to – Site), trong đó, hai Router tạo một đường hầm qua Internet và hoạt động như một