Để triển khai một kết nối mạng riêng ảo khởi tạo một chiều dựa trên L2TP/IPSec tới văn phòng trung tâm dựa trên cấu hình thiết lập máy chủ mạng riêng ảo như phần 7.2.1, ta thực hiện cấu hình trên nhánh văn phòng A như sau: 1. Cấu hình chứng chỉ Bộ định tuyến trên nhánh văn phòng Y được cấu hình bởi người quản trị mạng của tổng công ty trong khi nó được kết nối vật lý với Intranet của tổng công ty. Sau đó nó được vận chuyển tới nhánh mạng văn phòng Y. Trong khi bộ định tuyến tại nhánh văn phòng Y được kết nối tới Intranet của tổng công ty, một chứng chỉ số được cài đặt. Đây là điểm quan trọng cần nhớ, đặc biệt nếu ta đang thực hiện các kết nối khởi tạo hai chiều trên mỗi phần cấu hình bộ định tuyến từ xa, trong khi nó vẫn còn kết nối tới Intranet trung tâm, đồng bộ hoá toàn bộ người dùng trên mỗi Domain, sau đó vận chuyển máy chủ mạng riêng ảo tới nhánh mạng từ xa. 2. Cấu hình giao diện cho kết nối tới ISP Để kết nối bộ định tuyến trên nhánh văn phòng Y tới Internet qua một ISP cục bộ, người quản trị phải thiết lập giao diện mạng thích hợp với các tham số: - Tên giao diện, thường lấy tên của ISP - Kiểu kết nối, dùng một Modem, Card ISDN hay thiết bị vật lý khác - Lựa chọn một thiết bị thích hợp, chẳng hạn thiết bị ISDN - Số điện thoại, số điện thoại của ISP cho nhánh văn phòng Y - Các giao thức và tính năng an toàn - Các đường định tuyến tĩnh cho các mạng từ xa: Để tạo kết nối cho nhánh văn phòng Y tới ISP lúc kết nối mạng riêng ảo cần được tạo, ta phải tạo ra các đường định tuyến tĩnh tới mạng trung tâm với các tham số cần quan tâm như: + Mạng đích: chính là mạng trung tâm ở tổng công ty, chẳng hạn trong ví dụ trên là 207.209.68.1 + Mặt nạ mạng, chẳng hạn 255.255.255.255 tuỳ thuộc vào địa chỉ của mạng đích - Các giấy uỷ quyền quay số ra ngoài, liên quan đến tài khoản ngưòi dùng do ISP cung cấp 3. Cấu hình giao diện cho kết nối mạng riêng ảo Để kết nối bộ định tuyến tại nhánh văn phòng Y tới máy chủ mạng riêng ảo dùng kết nối mạng riêng ảo qua Internet, người quản trị phải tạo một giao diện kết nối thích hợp với các tham số cơ bản như sau: - Tên giao diện: Có thể lấy thêm của tổng công ty, để phân biệt và tránh nhầm lẫn khi dùng - Kiểu kết nối: chọn kiểu VPN - Kiểu mạng riêng ảo: Đây đang là kết nối mạng riêng ảo dựa trên L2TP nên ta chọn là L2TP - Địa chỉ đích: là địa chỉ giao diện mạng kết nối với Internet của máy chủ mạng riêng ảo, chẳng hạn 207.209.68.1 - Các đường định tuyến tĩnh cho mạng từ xa: + Để làm cho tất cả các vị trí trên mạng Intranet của Tổng công ty có thể kết nối tới được, ta phải tạo ra các đường định tuyến tĩnh thích hợp với các tham số cần được quan tâm như sau: * Địa chỉ mạng đích, đây chính là định danh mạng Intranet tại tổng công ty, trong mô hình kết nối của ta thì đó là 172.16.0.0 * Mặt nạ mạng tương ứng của mạng đích, chẳng hạn 255.240.0.0 + Để làm cho tất cả các vị trính trên nhánh văn phòng Y có thể kết nối tới được, ta phải tạo đường định tuyến tĩnh đến chúng, Cụ thể: * Mạng đích, là mạng Intranet của nhánh văn phòng Y, trong ví dụ trên là 192.168.0.0 * Mặt nạ mạng: chẳng hạn là 255.255.0.0 - Giấy uỷ quyền quay số ra ngoài, với các thông tin liên quan đến người dùng của nhánh văn phòng Y 7.3.2. Các văn phòng chi nhánh kết nối thường xuyên Các văn phòng chi nhánh X và Y của tổng công ty A được kết nối với văn phòng trung tâm bằng các kết nối mạng riêng ảo thường xuyên, 24/24 mỗi ngày. Các bộ định tuyến trên các nhánh văn phòng X và Y tương đương với các Card mạng WAN T1 kết nối thường trực tới một ISP cục bộ để truy cập tới Internet. Trong thị trường liên lạc ngày nay, nhiều công ty sử dụng ADSL hoặc hoặc Modem điện thoại cho những chức năng này vì 2 lý do: chi phí rẻ hơn nhiều bởi vì chi phí của kết nối Internet với ADSL và Modem điện thoại rẻ hơn so với đường thuê riêng T1, và chúng cung cấp lượng băng thông tối thiểu tương đối tốt, tương đương băng thông một kênh kép ISDN 128-kb/s. Nhánh văn phòng X sử dụng địa chỉ IP có định danh mạng là 192.168.9.0 với một mặt nạ mạng là 255.255.255.0(192.168.9.0/24). Router tại nhánh văn phòng này sử dụng địa chỉ IP công cộng là 131.107.0.1 cho giao diện kết nối Internet của nó. Nhánh văn phòng Y sử dụng một địa chỉ IP có phầm mạng là 192.168.14.0 với một mặt nạ mạng 255.255.255.0 (192.168.14.0/24). Router tại nhánh văn phòng Y sử dụng địa chỉ IP công cộng là 157.60.0.1 cho giao diện kết nối tới Internet Kết nối mạng riêng ảo là một kết nối được khởi tạo 2 chiều, được khởi tạo hoặc từ các nhánh văn phòng hoặc từ máy chủ mạng riêng ảo. Các kết nối được khởi tạo 2 chiều yêu cầu tạo các giao diện mạng, chính sách truy cập từ xa và vùng địa chỉ IP tĩnh trên các Router ở cả 2 phía của kết nối 7.3.2.1. Cấu hình máy chủ mạng riêng ảo Để triển khai các kết nối mạng riêng ảo đối tác để kết nối Công ty X, Y với mạng mở rộng của Tổng công ty A với kết nối cố định, máy chủ mạng riêng ảo được thiết lập theo cấu hình cơ bản như trong mục 7.3.1.2.1 của chương VII. Ngoài ra cần phải cấu hình thêm như sau: 1. Cấu hình Domain Tạo 3 tài khoản người dùng trên máy chủ mạng riêng ảo và đưa vào cùng một nhóm. Cụ thể: Với kết nối mạng riêng ảo của nhánh văn phòng X được khởi tạo bởi Router của nó, tài khoản người dùng được tạo với các thiết lập về: mật khẩu; mức cho phép truy cập được thiết lập để kiểm soat truy cập qua chính sách truy cập từ xa; tài khoản này được thêm vào nhóm thích hợp Với kết nối mạng riêng ảo của nhánh văn phòng Y được khởi tạo bởi Router của nó, ta cũng tạo tài khoản người dùng với các thiết lập về: mật khẩu, mức cho phép truy cập từ xa được thiết lập để kiểm soát truy cập qua chính sách truy cập từ xa; tài khoản này cũng được thêm vào nhóm thích hợp Với kết nối mạng riêng ảo tới nhánh văn phòng X và Y được khởi tạo bởi Server VPN, ta cũng tạo tà khoản với các thiết lập về: mật khẩu, mức cho phép truy cập từ xa để kiểm soát truy cập qua chính sách truy cập từ xa; tài khoản này cũng được thêm vào nhóm thích hợp 2. Cấu hình chính sách truy cập từ xa Vì có các kết nối 2 chiều, các chính sách truy cập từ xa phải được cấu hình tại máy chủ VPN, Router trên nhánh văn phòng X và Y, các chính sách này có tên giống nhau Cấu hình chính sách truy cập từ xa trên máy chủ VPN: Việc cấu hình này giống với trong các nhánh văn phòng kết nối không thường xuyên Cấu hình chính sách truy cập từ xa trên Router của nhánh văn phòng X và Y: Để định nghĩa các thiết lập mã hoá và xác thực cho các kết nối mạng riêng ảo, chính sách truy cập từ xa được tạo trên các nhánh văn phòng với các tham số cần lưu ý như sau: - Tên chính sách - Phương pháp truy cập - Người dùng hoặc nhóm được truy cập: ta chọn nhóm mà 3 tài khoản đã tạo ở trên là thành viên - Các phương pháp xác thực - Mức mã hoá: Thường chọn mã hoá mạnh hoặc mạnh nhất 3. Cấu hình vùng địa chỉ IP Các vùng địa chỉ IP phải được cấu hình tại máy chủ VPN, Router trên nhánh văn phòng X và Y như sau: Cấu hình vùng địa chỉ IP tại máy chủ VPN: Việc cấu hình vùng địa chỉ IP cho máy chủ VPN hoàn toàn giống như trong phần 7.3.1.2.1 Cấu hình vùng địa chỉ IP trên Router của nhánh văn phòng X: Một vùng địa chi IP tĩnh, chẳng hạn từ 192.168.9.248 đến 192.168.9.253 được cấu hình Cấu hình vùng địa chỉ IP trên Router của nhánh văn phòng Y: Một vùng địa chi IP tĩnh, chẳng hạn từ 192.168.14.248 đến 192.168.14.253 được cấu hình 7.3.2.2. Cấu hình kết nối dựa trên PPTP Nhánh văn phòng X là một nhánh văn phòng dựa trên PPTP sử dụng một Router VPN để tạo một kết nối mạng riêng ảo cố định với máy chủ mạng riêng ảo ở văn phòng trung tâm Để triển khai một kết nối mạng riêng ảo PPTP được khởi tạo một chiều ta cấu hình trên máy chủ mạng riêng ảo và trên Router tại nhánh X như sau: 7.3.2.2.1. Cấu hình máy chủ mạng riêng ảo Máy chủ mạng riêng ảo được cấu hình với một giao diện, các đường định tuyến tính và các bộ lọc gói PPTP Cấu hình giao diện cho kết nối mạng riêng ảo: . diện mạng thích hợp với các tham số: - Tên giao diện, thường lấy tên của ISP - Kiểu kết nối, dùng một Modem, Card ISDN hay thiết bị vật lý khác - Lựa chọn một thiết bị thích hợp, chẳng hạn. kết nối thích hợp với các tham số cơ bản như sau: - Tên giao diện: Có thể lấy thêm của tổng công ty, để phân biệt và tránh nhầm lẫn khi dùng - Kiểu kết nối: chọn kiểu VPN - Kiểu mạng riêng. ý như sau: - Tên chính sách - Phương pháp truy cập - Người dùng hoặc nhóm được truy cập: ta chọn nhóm mà 3 tài khoản đã tạo ở trên là thành viên - Các phương pháp xác thực - Mức mã hoá: