1. Trang chủ
  2. » Công Nghệ Thông Tin

MultiBooks - Tổng hợp IT - PC part 297 doc

9 93 0

Đang tải... (xem toàn văn)

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 9
Dung lượng 226,48 KB

Nội dung

Để kết nối máy chủ mạng riêng ảo tới Router trên X bằng kết nối mạng riêng ảo site – to – site qua Internet, người quản trị mạng tạo một giao diện với các thiết lập cần lưu ý như sau: - Tên giao diện: chẳng hạn đặt là VPN_X - Kiểu kết nối: chọn kiểu kết nối sử dụng VPN - Kiểu mạng riêng ảo: chọn kiểu PPTP - Địa chỉ đích: là một địa chỉ thuộc mạng trung tâm, chẳng hạn 137.107.0.1 - Đường định tuyến tĩnh cho các mạng từ xa Để làm cho tất cả các vị trí trên mạng X có thể kết nối tới được, đường định tuyến với các tham số như sau được tạo: + Địa chỉ đích: là phần mạng của nhánh văn phòng X (192.168.9.0) + Mặt nạ mạng: 255.255.255.0 - Chứng chỉ uỷ quyền quay số: Bao gồm các tham số + Tên người dùng: Tên người dùng được tạo trên máy chủ VPN + Domain + Mật khẩu 7.3.2.2.2. Cấu hình bộ định tuyến trên nhánh văn phòng X Giao diện cho kết nối mạng riêng ảo: Để két nối Router trên X tới máy chủ VPN sử dụng kết nối mạng riêng ảo Site – to – Site qua Internet, người quản trị mạng tạo một giao diện với các thiết lập như sau: - Tên giao diện: chẳng hạn VPN_A - Kiểu kết nối: Sử dụng kiểu kết nối mạng riêng ảo - Địa chỉ đích: phải là địa chỉ mà máy chủ VPN dùng để kết nối tới Internet - Các đường định tuyến tĩnh cho các mạng từ xa: Để làm cho tất cả các vị trí trên mạng trung tâm có thể kết nối tới được, đường định tuyến được tạo với các tham số: + Mạng đích: phần mạng của của nhánh mạng trung tâm (172.16.0.0) + Mặt nạ mạng: 255.240.0.0 Để làm cho tất cả các vị trí trên nhánh trung tâm có thể kết nối tới được, ta phải tạo đường định tuyến tĩnh với các tham số: + Mạng đích: là mạng của nhánh X (192.160.0.0) + Mặt nạ mạng: tương ứng là 255.255.0.0 - Giấy uỷ quyền: Bao gồm các thông tin + Tên người dùng: Tên tài khoản đã tạo trên nhánh X + Domain: là Domain của văn phòng trung tâm + Mật khẩu: là mật khẩu của người dùng tương ứng Cấu hình cho Router trên nhánh văn phòng X Router này được cấu hình với một giao diện và các đường định tuyến tĩnh - Cấu hình giao diện cho kết nối mạng riêng ảo Site – to – Site: Để kết nối Router trên nhánh văn phòng X tới máy chủ mạng riêng ảo bằng kết nối mạng riêng ảo Site – to – Site qua Internet, người quản trị mạng tạo một giao diện với các tham số cần lưu ý: + Tên giao diện + Kiểu kết nối: kiểu kết nối sử dụng là VPN + Địa chỉ đích: Chính là địa chỉ mà máy chủ VPN dùng để kết nối tới Internet + Các đường định tuyến tĩnh cho các mạng từ xa: Để làm cho tất cả các vị trí trên Intranet của văn phòng trung tâm đều có thể kết nối tới chúng được, đường định tuyến tĩnh được tạo ra với các tham số cần thiết như: * Mạng đích: Chính là phần mạng của Intranet văn phòng trung tâm (172.16.0.0) * Mặt nạ mạng: tương ứng là 255.240.0.0 + Các giấy uỷ quyền: Bao gồm các tham số * Tên người dùng: Là người dùng được tạo trên Router của nhánh mạng X * Domain: Là Domain của nhánh trung tâm * Mật khẩu: Của người dùng tương ứng 7.3.2.3. Cấu hình kết nối dựa trên L2TP/IPSec 7.3.2.3.1. Cấu hình máy chủ mạng riêng ảo 7.3.2.3.2. Cấu hình thiết bị định tuyến trên nhánh văn phòng Y 7.3.3. Tổng kết thực hành 7.4. Xây dựng mạng riêng ảo đối tác 7.4.1. Giới thiệu chung Chúng ta đã có tất cả người dùng của công ty được kết nối và đang làm việc còn các nhánh văn phòng ở xa đang liên lạc với nhau, Tổng công ty phải giao dịch thương mại với phần còn lại của thế giới. Quản trị mạng của Tổng công ty tạo một mạng riêng mở rộng để có thể kết nối với các đối tác thương mại qua các kết nối mạng riêng ảo. Mạng tổng công ty mở rộng là mạng kết nối với máy chủ mạng riêng ảo của Tổng công ty và chứa File Server, WebServer. Truy cập tới các tài nguyên bên trong từ các tiện ích này có thể được hoàn tất qua Web Proxy và các dịch vụ đầu cuối, và như vậy việc bảo vệ đượccác tài nguyên tổng công ty trước những liên lạc trực tiếp bởi các Client ngoài công ty. Các chính sách IPSec có thể được dùng giữa các tài nguyên mở rộng và các tài nguyên cục bộ để đảm bảo các tài nguyên không bị tổn thương. Các công ty X, Y là các đối tác thương mại của Tổng công ty. Họ kết nối tới mạng mở rộng của Tổng công ty bằng cách sử dụng các kết nối mạng riêng ảo mở rộng. Ngoài ra, chính sách truy cập từ xa được sử dụng để đảm bảo rằng các đối tác thương mại chỉ có thể truy cập File Server và WebServer. File Server trên mạng Tổng công ty được cấu hình với một địa chỉ IP là 172.31.0.10 và Web Server được cấu hình với một địa chỉ IP là 172.31.0.11, Công ty X sử dụng một các địa chỉ có phần định danh mạng công cộng là 131.107.254.0 với một mặt nạ mạng là 255.255.255.0 (131.107.254.0/24), Công ty X sử dụng các địa chỉ có phần định danh mạng công cộng là 131.107.250.0 với một mặt nạ mạng là 255.255.255.0 (131.107.250.0/24). Để đảm bảo rằng Webserver và File Server có thể kết nối tới được các đối tác thương mại, các đường định tuyến tĩnh được cấu hình trên File server và Webserver cho cho mỗi mạng của đối tác thương mại sử dụng Gateway có địa chỉ là 172.31.0.1 Để đơn giản hoá việc cấu hình, kết nối mạng riêng ảo là một kết nối khởi tạo 2 chiều. Router của các đối tác thương mại luôn luôn khởi tạo kết nối. Sơ đồ kết nối cho kịch bản mạng riêng ảo mở rộng được minh hoạ như trong hình 8.1 7.4.2. Các công việc cài đặt 7.4.2.1. Cấu hình máy chủ mạng riêng ảo 7.4.2.1.1. Cấu hình chung Để triển khai các kết nối mạng riêng ảo đối tác để kết nối Công ty X, Y với mạng mở rộng của Tổng công ty A, máy chủ mạng riêng ảo được thiết lập theo cấu hình cơ bản như trong mục 7.3.1.2.1 của chương VII. Ngoài ra cần phải cấu hình thêm như sau: 7.4.2.1.2. Cấu hình Domain Với kết nối mạng riêng ảo tới Công ty X, tài khoản người dùng cho X phải được tạo trên máy chủ Domain của Tổng công ty, các tham số của tài khoản cần quan tâm như: - Mật khẩu - Thiết lập mức cho phép với tài khoản này đề kiểm soát truy cập qua chính sách truy cập từ xa và thêm vào đường định tuyến tĩnh 121.107.254.0 với mặt nạ mạng là 255.255.255.0. - Tài khoản này nên đưa vào một nhóm để dễ quản lý, chẳng hạn là nhóm VPN_Partner Y X A A Y Với kết nới mạng riêng ảo tới đối tác Y ta cũng tạo một tài khoản như trên cùng với đường định tuyến được thêm vào là 131.107.250.0 mặt nạ mạng là 255.255.255.0 7.4.2.1.3. Cấu hình chính sách truy cập từ xa Để xác định các thiết lập mã hoá và xác thực cho các kết nối mạng riêng ảo với các đối tác thương mại, cần phải tạo ra chính sách truy cập từ xa, với các tham số cơ bản cần phải lưu ý như: - Tên chính sách, chẳng hạn là VPN Partners - Phương thức truy cập, tham số này ta chọn là VPN - Người dùng hoặc nhóm truy cập - Các phương pháp xác thực: chẳng hạn như EAP, MS-CHAPv2 - Mức mã hoá: thường nên chọn mã hoá mạnh và mạnh nhất Sau khi chính sách truy cập từ xa được tạo, cấu hình của nó có thể phải được sửa đổi để cho phù hợp theo các tham số: - Cấu hình các bộ lọc gói TCP/IP, trong đó + Bộ lọc vào:  Filter 1: Địa chỉ IP mạng đích là 172.31.0.10 và mặt nạ mạng là 255.255.255.255  Filter 2: Địa chỉ IP mạng đích là 172.31.0.11 và mặt nạ mạng là 255.255.255.255  Filter Action: Chỉ cho phép các gói được liệt kê + Bộ lọc ra:  Filter 1: Địa chỉ IP mạng nguồn là 172.31.0.10 và mặt nạ mạng là 255.255.255.255  Filter 2: Địa chỉ IP mạng nguồn là 172.31.0.11 và mặt nạ mạng là 255.255.255.255  Filter Action: Chỉ cho phép các gói được liệt kê Những phần sau mô tả một mạng mở rộng dựa trên PPTP cho đối tác Y và một mạng mở rộng dựa trên L2TP/IPSec cho đối tác Y 7.4.2.2. Mạng riêng ảo dựa trên PPTP cho các đối tác thương mại Công ty X là đối tác thương mại sử dụng một bộ định tuyến để tạo kết nối mạng riêng ảo dựa trên PPTP với máy chủ mạng riêng ảo của Tổng công ty A. Bộ định tuyến trên đối tác X được kết nối tới Internet với một kết nối WAN. Để triển khai một kết nối mạng riêng ảo được khởi tạo 2 chiều và dựa trên PPTP tới văn phòng tổng công ty A, ta phải thực hiện cấu hình trên Router tại văn phòng của đối tác X Cấu hình giao diện cho kết nối mạng riêng ảo Để kết nối Router tại văn phòng của đối tác X tới máy chủ mạng riêng ảo của Tổng công ty A bằng kết nối mạng riêng ảo qua Internet, ta phải tạo một giao diện thích hợp với các tham số cần quan tâm như: - Tên giao diện: Để cho dễ nhớ nên lấy tên có liên quan đến đối tác - Kiểu kết nối: sử dụng VPN - Kiểu mạng riêng ảo: chọn là PPTP - Các đường định tuyến ảo cho mạng từ xa: + Để làm cho tất các vị trí trên mạng của tổng công ty A có thể kết nối tới được, ta phải tạo ra đường định tuyến tĩnh thích hợp, các tham số cần quan tâm như:  Mạng đích: chẳng hạn là 172.31.0.0  Mặt nạ mạng: 255.255.0.0 - Giấy uỷ quyền quay số ra ngoài với các thông tin về tài khoản người dùng, Domain 7.4.2.3. Mạng riêng ảo mở rộng dựa trên L2TP/IPSec cho các đối tác thương mại Đối tác Y là một đối tác thương mại sử dụng một Router để tạo kết nối mạng riêng ảo dựa trên L2TP/IPSec với máy chủ mạng riêng ảo của Tổng công ty A. Router tại mạng của đối tác Y được kết nối với Internet. Ngoài việc cấu hình máy chủ, ta cần phải cấu hình cho Router của đối tác Y 7.4.2.3.1. Cấu hình chứng chỉ Router tại đối tác Y được cấu hình bởi người quản trị mạng của Tổng công ty A, trong khi nó được kết nối vật lý tới mạng Intranet của Tổng công ty A. Sau đó nó được chuyển đến cho người quản trị mạng của đối tác Y. Trong khi Router của đối tác này được kết nối tới mạng Intranet của Tổng công ty A, cần phải có một chứng chỉ số. 7.4.2.3.2. Cấu hình giao diện cho kết nối mạng riêng ảo Để kết nối Router tới máy chủ mạng riêng ảo của Tổng công ty A bằng một kết nối mạng riêng ảo qua Internet, người quản trị mạng tạo một giao diện mạng thích hợp, với các tham số cần quan tâm như: - Tên giao diện: Thông thường, kết nối đến đối tác nào thì lấy tên của đối tác đó để thuận tiện trong việc sử dụng sau này - Kiểu kết nối: kết nối sử dụng mạng riêng ảo (VPN) - Kiểu mạng riêng ảo: L2TP - Địa chỉ mạng đích: chẳng hạn là 207.109.68.1 - Các đường định tuyến tĩnh cho mạng từ xa: Để làm cho tất cả các vị trí trên mạng Intranet của Tổng công ty A có thể kết nối tới được, ta phải tạo ra đường định tuyến tĩnh, trong đó phải chỉ rõ + Mạng đích: chẳng hạn 172.31.0.0 + Mặt nạ mạng: 255.255.0.0 - Giấy uỷ quyền quay số ra ngoài với các thông tin về tài khoản người dùng, Domain 7.5. Tổng kết thực hành Câu hỏi ôn tập . - Tên chính sách, chẳng hạn là VPN Partners - Phương thức truy cập, tham số này ta chọn là VPN - Người dùng hoặc nhóm truy cập - Các phương pháp xác thực: chẳng hạn như EAP, MS-CHAPv2 -. tuyến tĩnh - Cấu hình giao diện cho kết nối mạng riêng ảo Site – to – Site: Để kết nối Router trên nhánh văn phòng X tới máy chủ mạng riêng ảo bằng kết nối mạng riêng ảo Site – to – Site qua Internet,. ảo Site – to – Site qua Internet, người quản trị mạng tạo một giao diện với các thiết lập như sau: - Tên giao diện: chẳng hạn VPN_A - Kiểu kết nối: Sử dụng kiểu kết nối mạng riêng ảo - Địa

Ngày đăng: 08/07/2014, 09:20

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN