1. Trang chủ
  2. » Công Nghệ Thông Tin

MultiBooks - Tổng hợp IT - PC part 294 ppt

6 67 0

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 6
Dung lượng 200,63 KB

Nội dung

đường định tuyến tĩnh cho giao diện, cung cấp các thông tin liên quan đến tài khoản người dùng cho việc xác thực kết nối về sau 7.2.3. Triển khai cơ sở hạ tầng AAA Việc triển khai cơ sở hạ tầng AAA cho các kết nối mạng riêng ảo Site – to – Site bao gồm các bước sau: - Cấu hình dịch vụ thư mục cho các tài khoản người dùng và các nhóm - Cấu hình máy chủ xác thực Internet IAS 7.2.3.1. Cấu hình dịch vụ thư mục cho các tài khoản người dùng và các nhóm Dịch vụ thư mục là tài nguyên trung tâm cho việc duy trì và kiểm soát tất cả các truy cập mạng, bao gồm cả các kết nối mạng riêng ảo Site – to – Site. Để cấu hình dịch vụ thư mục. - Đảm bảo rằng tất cả các Router gọi đang tạo kết nối Site – to – Site có một tài khoản tương ứng - Thiết lập các mức cho phép cho tài khoản người dùng trên mỗi Router gọi để cho phép hoặc từ chối truy cập để quản lý các truy cập từ xa của người dùng hoặc nhóm, thiết lập mức cho phép trên các tài khoản người dùng để kiểm soát truy cập qua chính sách truy cập từ xa. - Tổ chức tài khoản người dùng trên Router gọi thành các nhóm thích hợp để thuận tiện trong việc áp dụng các chính sách truy cập từ xa. 7.2.3.2. Cấu hình máy chủ dịch vụ xác thực Internet(IAS) Máy chủ dịch vụ xác thực Internet phải có khả năng truy cập đến các thông tin về thuộc tính của tài khoản. Nếu IAS được cài đặt riêng mà không phải trên máy chủ điều khiển miền, ta phải cấu hình để máy chủ IAS có thể đọc được các tài khoản của người dùng trong Domain Nếu máy chủ IAS xác thực và cấp quyền cho các kết nối mạng riêng ảo với các tài khoản người dùng trong các Domain khác nhau, phải kiểm tra xem các Domain đó có một quan hệ tin cậy hai chiều với Domain mà máy chủ IAS là một thành viên hay không. Nếu có các tài khoản trong các Domain khác và các Domain không có quan hệ tin cậy hai chiều với Domain mà máy chủ IAS là thành viên, ta phải cấu hình một RADIUS uỷ quyền giữa các Domain không có quan hệ tin cậy 7.2.4. Triển khai cơ sở hạ tầng mạng chi nhánh Đến thời điểm này, chúng ta có các máy chủ VPN thiết lập và kết nối tới Internet, và chúng có khả năng xác thực mỗi tài khoản người dùng của các Server khác. Bây giờ chúng ta cần cấu hình các Router để chuyển tiếp luồng lưu lượng tới các mạng khác. Triển khai cơ sở hạ tầng mạng của một nhánh mạng với các kết nối mạng riêng ảo Site – to – Site bao gồm các bước sau - Cấu hình định tuyến trên các Router VPN - Kiểm tra khả năng nối tới được các Router VPN - Cấu hình định tuyến cho các vùng địa chỉ thuộc mạng con ngoại lệ 7.2.4.1. Cấu hình định tuyến trên các Router VPN Với các Router VPN để chuyển tiếp được luồng lưu lượng tới các vị trí trong nhánh mạng mà chúng được đặt vào, ta phải cấu hình chún với các đường định tuyến tĩnh khác nhau, những đường định tuyến tĩnh này tổng kết tất cả những địa chỉ có thể được dùng trên các nhánh mạng khác hoặc với các giao thức định tuyến và như vậy Router VPN có thể hoạt động như một Router động và tự động thêm các đường định tuyến cho các nhánh mạng con vào bảng định tuyến của nó 7.2.4.2. Kiểm tra khả năng kết nối tới được mỗi Router VPN Từ mỗi Router VPN, kiểm tra xem Router VPN có khả năng phân giải tên và liên lạc thành công với các tài nguyền trong nhánh mạng của Router VPN hay không 7.2.4.3. Cấu hình định tuyến cho vùng địa chỉ IP ngoại lệ Nếu đã cấu hình các Router VPN với một vùng địa chỉ tĩnh và vùng này thuộc vùng mạng con ngoại lệ, ta phải đảm bảo rằng đường định tuyến hoặc các vùng địa chỉ thuộc mạng con ngoại lệ mô tả các đường định tuyến được mô tả trong cơ sở hạ tầng định tuyến nhánh mạng của ta. Điều này được yêu cầu để kết nối tới được các giao diện ảo của các Router gọi. Ta có thể đảm bảo điều này bằng việc bổ sung các đường định tuyến tĩnh hoặc các vùng địa chỉ thuộc vùng mạng con ngoại lệ mô tả các đường định tuyến như các đường định tuyến tĩnh tới các Router kế cận của các Router VPN và sau đó sử dụng giao thức định tuyến của nhánh mạng chúng ta để phân phôi đường định tuyến tới các Router khác. Khi ta bổ sung các đường định tuyến tĩnh, ta phải xác định cổng kết nối là giao diện nhánh mạng của Router VPN. 7.2.5. Triển khai cơ sở hạ tầng mạng ngoài chi nhánh Mỗi Router cần biết về các đường định tuyến trong các nhánh mạng của các Router VPN khác và như vậy nó có thể chuyển tiếp đúng luồng lưu lượng tới các phía khác của kết nối mạng riêng ảo. Việc triển khai cơ sở hạ tầng ngoài chi nhánh bao gồm việc cấu hình mỗi Router VPN với tập các đường định tuyến cho các mạng con sẵn dùng trong các nhánh mạng khác. Điều này có thể thực hiện được theo các cách sau đây : - Cấu hình thủ công các đường định tuyến trên mỗi Router VPN - Thực hiện việc cập nhật tự động trên mỗi Router VPN - Cấu hình giao thức định tuyến để hoạt động qua kết nối mạng riêng ảo 7.3. Xây dựng mạng riêng ảo chi nhánh 7.3.1. Mạng riêng ảo với các văn phòng chi nhánh không kết nối thường xuyên 7.3.1.1. Giới thiệu chung Trong các chương trước, chúng ta đã thực hiện thiết lập các truy cập từ xa giữa các máy chủ mạng riêng ảo và các Client mạng riêng ảo. Chương này chúng ta xem xét các kết nối giữa các văn phòng chi nhánh ở xa Giả sử có hai nhánh văn phòng ở xa X và Y của một Tổng công ty A được kết nối tới văn phòng trung tâm của Tổng công ty. Mỗi một nhánh văn phòng có một số nhân viên thỉnh thoảng cần kết nối với văn phòng trung tâm (Với ít hơn 10 người dùng tại một nhánh mạng, người dùng nên sử dụng hình thức truy cập từ xa. Điều này cho phép tổng công ty không phải hỗ trợ các dịch vụ dựa trên máy chủ từ xa tại văn phòng chi nhánh. Với nhiều hơn 10 người, kết nối dạng site – to – site với một máy chủ chuyên dụng là mô hình được ưa thích). Bộ định tuyến trong các chi nhánh X và Y được yêu cầu với một card mạng tích hợp dịch vụ số (ISDN) để quay số tới một ISP để giành quyền truy cập tới Internet. Khi truy cập đã giành được, một kết nối mạng riêng ảo được tạo qua Internet. Nhánh văn phòng X sử dụng địa chỉ mạng 192.168.28.0 với một mặt nạ mạng 255.255.255.0 (192.168.28.0/24). Nhánh văn phòng Y sử dụng địa chỉ mạng 192.168.4.0 với một mặt nạ mạng 255.255.255.0 (192.168.4.0/24) Để đơn giản hoá việc cấu hình, các kết nối mạng riêng ảo là một kết nối được khởi tạo một chiều, đó là luôn được khởi tạo bởi Router tại nhánh văn phòng. Điều này thích hợp hơn kết nối được khởi tạo 2 chiều vì nhánh văn phòng không phải sử dụng một kết nối Internet liên tục và vì vậy tiết kiệm được chi phí (Trong nhiều trường hợp ngày nay. một nhánh văn phòng có thể sử dụng ADSL hoặc Modem cho kết nối và như vậy duy trì trạng thái kết nối liên tục, như vậy xem những tuỳ chọn nào là sẵn có cho kịch bản của ta và các kết nối văn phòng chi nhánh). Sơ đồ kịch bản kết nối được mô tả như trong hình 7.1 7.3.1.2. Các công việc cài đặt X Y A 7.3.1.2.1. Cấu hình cho máy chủ mạng riêng ảo Để triển khai máy chủ mạng riêng ảo tại mạng trung tâm của Tổng công ty, ta cần thực hiện các công việc sau: - Cấu hình mạng - Cấu hình Domain - Cấu hình bảo mật 1. Cấu hình mạng Việc cấu hình mạng xác định tất cả thông tin liên lạc cốt yếu, chẳng hạn mạng và địa chỉ Node, định tuyến, mạng con và thông tin mạng WAN khác. Những phần cốt yếu của cấu hình mạng là: - Intranet của tổng công ty sử dụng địa chỉ mạng riêng 172.16.0.0 với một subnetmask 255.254.0.0 (172.16.0.0/12) - Máy chủ mạng riêng ảo kết nối trực tiếp với Internet sử dụng một liên kết WAN chuyên dụng T3. Tại mạng chính, VPN Router phải phân phối tất các các kết nối hiện tại. - Cấu hình địa chỉ IP của card mạng WAN trên Internet, chẳng hạn là 207.209.68.1 Địa chỉ này được cấp phát bởi ISP, địa chỉ IP của card mạng WAN được tham chiếu trên Internet bằng một tên miền(Chẳng hạn vpn.coA.com) - Máy chủ mạng riêng ảo kết nối trực tiếp tới mạng Intranet chứa một bộ định tuyến kết nối phần còn lại của mạng Intranet. Cấu hình phân mạng Intranet có định danh mạng là 172.31.0.0 với subnetmask 255.255.0.0 (172.31.0.0/16) - Máy chủ mạng riêng ảo được cấu hình với một vùng địa chỉ IP tĩnh để cấp phát tới các bộ định tuyến là một tập con của phân mạng Intranet Bước đầu tiên trong việc triển khai máy chủ mạng riêng ảo là cài đặt cấu hình vật lý và lôgic cho máy chủ mạng riêng ảo. Dựa trên cấu hình mạng Intranet của tổng công ty, máy chủ này được cấu hình như sau: Cài đặt phần cứng trên máy chủ mạng riêng ảo . kết nối mạng riêng ảo Site – to – Site. Để cấu hình dịch vụ thư mục. - Đảm bảo rằng tất cả các Router gọi đang tạo kết nối Site – to – Site có một tài khoản tương ứng - Thiết lập các mức cho. với các kết nối mạng riêng ảo Site – to – Site bao gồm các bước sau - Cấu hình định tuyến trên các Router VPN - Kiểm tra khả năng nối tới được các Router VPN - Cấu hình định tuyến cho các vùng. hạ tầng AAA cho các kết nối mạng riêng ảo Site – to – Site bao gồm các bước sau: - Cấu hình dịch vụ thư mục cho các tài khoản người dùng và các nhóm - Cấu hình máy chủ xác thực Internet IAS

Ngày đăng: 08/07/2014, 09:20

Xem thêm

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN