Card mạng dùng để kết nối tới phân mạng Intranet và card mạng kết nối tới Internet được cài đặt đúng. Ta giả định sử dụng T3 để kết nối máy chủ mạng riêng ảo với Internet. Chúng ta sẽ xem nó như một card mạng WAN Cấu hình TCP/IP trên card mạng LAN và WAN Xác định địa chỉ IP cho card mạng LAN, chẳng hạn sử dụng địa chỉ IP là 172.31.0.1 với một subnetmask là 255.255.0.0. Xác định địa chỉ IP cho card mạng WAN, chẳng hạn là 207.209.68.1 với mặt nạ mạng là 255.255.255.255 DNS cũng được cấu hình và nên hướng vào dịch vụ DNS bên trong của Công ty. Trình phân giải địa chỉ bên ngoài nên được chuyển tiếp bởi máy chủ DNS bên trong tới một người có thẩm quyền bên ngoài Cấu hình dịch vụ định tuyến Để cấu hình dịch vụ định tuyến trên máy chủ mạng riêng ảo sử dụng các thiết lập sau: - Kết nối mạng riêng ảo, xem xét đến kết nối tương ứng với giao diện được kết nối tới Internet - Gán địa chỉ IP, thông thường xác định một phạm vi địa chỉ, chẳng hạn từ 172.31.255.1 tới 172.31.255.254, nghĩa là tạo ra một vùng địa chỉ tĩnh cho 254 Client VPN, hoặc sử dụng giao thức cấu hình Host động(DHCP) để phân phối địa chỉ IP cho các Client Cấu hình đường định tuyến tĩnh trên máy chủ để kết nối liên lạc giữa Intranet và Internet Không có các đường định tuyến tĩnh, chỉ mạng con cục bộ sẽ được coi như các Client VPN. Máy chủ VPN cần biết về tất cả các mạng con mà Client có thể cần kết nối đến và vì vậy đòi hỏi phải có các đường định tuyến tĩnh. Để kết nối được tới các vị trí trong Intranet, một đường định tuyến tĩnh được tạo với các thiết lập cho: - Giao diện mạng: Card mạng LAN kết nối với Intranet - Địa chỉ dích: Chẳng hạn, 172.16.0.0 - Mặt nạ mạng: Chẳng hạn, 255.240.0.0 - Gateway: Chẳng hạn, 172.31.0.2 Đường định tuyến tĩnh làm đơn giản hoá việc định tuyến bằng cách tổng kết tất cả các đích trên mạng Intranet của tổng công ty. Kỹ thuật này được biết như là bộ tổng hợp định tuyến. Đường định tuyến tĩnh này được sử dụng mà máy chủ mạng riêng ảo không cần được cấu hình với một giao thức định tuyến. Để kết nối tới được các vị trí trên Internet, một đường định tuyến được tạo với các thiết lập cho: - Giao diện mạng trên Card mạng WAN kết nối tới Internet - Địa chỉ đích - Mặt nạ mạng - Gateway Đường định tuyến này tổng hợp tất cả các đích trên Internet và sẽ cho máy chủ mạng riêng ảo gửi bất kỳ đích nào “chư biết” được yêu cầu ra Internet cho trình phân giải tên. Đường định tuyến này cho phép máy chủ mạng riêng ao phản hồi một Client từ xa hoặc một Router yêu cầu quay số từ bất kỳ nơi nào trên Internet. Việc sử dụng các đường định tuyến tĩnh thay cho Default Gateway thiết lập trên các giao diện, nên có thể bỏ trống. Các đường định tuyến tĩnh sẽ không bị đè bởi bất kỳ cấu hình tự động nào Cấu hình một đường định tuyến tĩnh trên Router Intranet để kết nối được với các văn phòng chi nhánh. Để kết nối được với các văn phòng chi nhánh từ Router Intranet, một đường định tuyến tĩnh được tạo theo các thiết lập theo các thông số cần thiết: - Giao diện mạng LAN kết nối tới Intranet - Địa chỉ đích, chẳng hạn 192.168.0.0 - Mặt nạ mạng, chẳng hạn 172.31.0.1 Đường định tuyến tĩnh này làm đơn giản hoá việc định tuyến bằng cách tổng hợp tất cả các đích tại văn phòng chi nhánh của Tổng công ty. Router Intranet phân phối đường định tuyến tĩnh này tới các Router lân cận của nó, và như vậy một đường định tuyến tới các văn phòng chi nhánh tồn tại trên mỗi Router của Intranet. Đây là cách tất cả các tài nguyên bên trong sẽ biết cách tìm các nhánh văn phòng ở xa. Bằng cách phân phối đường định tuyến này, máy chủ mạng riêng ảo có thế kiểm soát tất cả luồng lưu lượng tới các văn phòng ở xa. 2. Cấu hình Domain Để thuận tiện cho việc áp dụng các thiết lập kết nối khác nhau với các kiểu kết nổi mạng riêng ảo khác nhau, với kết nối mạng riêng ảo tới văn phòng A, trên máy chủ Domain ta thực hiện - Tạo tài khoản người dùng, chẳng hạn VPN_A - Với các thuộc tính quay số trên tài khoản VPN_A, mức cho phép truy cập từ xa được thiết lập và đường định tuyến tĩnh 192.168.28.0 với một mặt nạ mạng 255.255.255.0 được thêm vào. - Các tài khoản nên được tạo theo nhóm 3. Cấu hình bảo mật Để cho phép các kết nối L2TP/IPSec, Domain tổng công ty được cấu hình đê tự động nạp các chứng chỉ tới tất cả các thành viên của Domain 4. Cấu hình chính sách truy cập từ xa Để định nghĩa các thiết lập mã hoá và xác thực cho các Router mạng riêng ảo, ta tạo chính sách truy cập từ xa với các thông tin cần quan tâm: - Tên chính sách - Phương pháp truy cập, chẳng hạn VPN - Người dùng hoặc nhóm truy cập - Phương pháp xác thực - Mức mã hoá chính sách, thường chọn mức mã hoá mạnh hoặc mạnh nhất Những mô hình ở phần trên, ta mô tả một kết nối văn phòng chi nhánh dựa trên PPTP cho nhánh văn phòng X và một kết nối văn phòng chi nhánh dựa trên L2TP/IPSec cho văn phòng Y. Qua mô tả kịch bản này, chúng ta có thể bao trùm tất cả cơ sở cho việc triển khai. Muốn an toàn nhất, L2TP/IPSec với các chứng chỉ số là giải pháp được khuyến cáo. Nhiều nhà cung cấp đề xuất chế độ đường hầm IPSec cho hoạt động này nhưng nó bị từ chối vì lý do an toàn bởi IETF 7.3.1.2.2. Kết nối văn phòng chi nhánh dựa trên PPTP Nhánh văn phòng X là một nhánh văn phòng dựa trên PPTP, kết nối tới máy chủ mạng riêng ảo tại tổng công ty. Để triển khai một PPTP, khởi tạo một chiều, tại Router trên nhánh văn phòng A ta thực hiện cấu hình: 1. Cấu hình giao diện cho kết nối tới ISP Để kết nối Router tại văn phòng A tới Internet qua một ISP cục bộ, một giao được thiết lập như sau: - Tên giao diện: chẳng hạn ISP - Kiểu kết nối: Sử dụng Modem, ISDN hoặc thiết bị vật lý khác - Lựa chọn một thiết bị: Chọn một thiết bị ISDN thích hợp - Số điện thoại: Số điện thoại của ISP cho nhánh văn phòng A - Các đường định tuyến tĩnh cho mạng ở xa + Để tạo kết nối tới ISP của nhánh văn phòng A lúc kết nối mạng riêng ảo cần được thiết lập, ta tạo ra đường định tuyến tĩnh tại Router văn phòng A - Giấy uỷ nhiệm quay số ra ngoài, bao gồm các thông tin + Username: là tên tài khoản mà ISP cấp cho nhánh văn phòng A + Password: Mật khẩu tương ứng + Xác minh lại mật khẩu tương ứng 2. Cấu hình giao diện cho kết nối mạng riêng ảo Để kết nối Router nhánh văn phòng A tới máy chủ mạng riêng ảo tại trung tâm sử dụng kết nối mạng riêng ảo qua Internet, người quản trị mạng trung tâm phải tạo một giao diện quay số với các tham số thông thường như: - Tên giao diện - Kiểu kết nối: Kết nối sử dụng VPN - Kiểu mạng riêng ảo, do đây là kết nối dựa trên PPTP nên chọn giao thức phải là PPTP - Địa chỉ đích, là giao diện mạng thứ 2 kết nối với Internet tại máy chủ VPN trên trung tâm - Xác định giao thức và tính an toàn được dùng - Các đường định tuyến tĩnh cho các mạng từ xa Để làm cho tất cả các vị trí trên Intranet tổng công ty có thể kết nối tới được, ta tạo ra đường định tuyến tĩnh. Trong đó có các tham số cần quan tâm như: + Địa chỉ đích phải là định danh mạng của tổng công ty, chẳng hạn 172.16.0.0 + Mặt nạ mạng, chẳng hạn là 255.240.0.0 Để là cho tất cả các vị trí trên các nhánh văn phòng có thể kết nối tới được, ta cũng tạo ra đường định tuyến tĩnh, với địa chỉ đích phải là địa chỉ mạng của các nhánh văn phòng, chẳng hạn 192.168.0.0; mặt nạ mạng là 255.255.0.0 - Giấy uỷ quyền quay số ra ngoài, sử dụng cho tài khoản trên Domain của tổng công ty 7.3.1.2.3. Kết nối chi nhánh văn phòng dựa trên L2TP/IPSec Nhánh văn phòng Y là một kết nối dựa trên L2TP/IPSec, kết nối mạng riêng ảo với mãy chủ mạng riêng ảo tại tổng công ty. . được tạo với các thiết lập cho: - Giao diện mạng trên Card mạng WAN kết nối tới Internet - Địa chỉ đích - Mặt nạ mạng - Gateway Đường định tuyến này tổng hợp tất cả các đích trên Internet. từ xa với các thông tin cần quan tâm: - Tên chính sách - Phương pháp truy cập, chẳng hạn VPN - Người dùng hoặc nhóm truy cập - Phương pháp xác thực - Mức mã hoá chính sách, thường chọn mức. thiết lập như sau: - Tên giao diện: chẳng hạn ISP - Kiểu kết nối: Sử dụng Modem, ISDN hoặc thiết bị vật lý khác - Lựa chọn một thiết bị: Chọn một thiết bị ISDN thích hợp - Số điện thoại: Số