Ph ần 5 : VPN VPN Virtual Private Network là giải pháp hữu hiệu để kết nối các hệ thống mạng của doanh nghiệp có nhiều chi nhánh và vị trí địa lý xa nhau, hoặc doanh nghiệp của bạn có nh
Trang 1Ph ần 5 : VPN VPN (Virtual Private Network) là giải pháp hữu hiệu để kết nối các hệ thống mạng
của doanh nghiệp có nhiều chi nhánh và vị trí địa lý xa nhau, hoặc doanh nghiệp của bạn có nhiều nhân viên phải thường xuyên đi công tác xa và họ cos nhu cầu truy cập vào tài nguyên
Clients ho ặc VPN Server khi quay VPN vào ISA Server sẽ được cấp một địa chỉ IP
Private sử dụng trong VPN Tunnel ISA và Clients sẽ sử dụng địa chỉ IP này cho phần
Routing trên VPN Private IP đựơc cấp phát có thể lấy từ DHCP Server hoặc lấy từ dịch vụ Routing and Remote Access trên Windows 2003
ISA Server thực ra sử dụng dịch vụ Routing and Remote Access của Windows 2003 làm
VPN và Routing, ngòai ra ISA Server có thêm những phần Filtering và Application Filter Trên ISA Server, IP Address Pool được quy định là một khỏang địa chỉ IP Địa chỉ IP đầu tiên được ISA Server sử dụng cho chính mình khi bật tính năng VPN trên ISA Server lên
Những địa chỉ IP tiếp theo sẽ cấp phát cho Clients hoặc VPN Server khi quay VPN vào ISA
Server
Trang 2Khỏang địa chỉ IP cấp phát này không được trùng Network ID với bất kỳ lớp mạng nào
của ISA Server hoặc trong tòan hệ thống Routing Nếu trùng Network giữa các lớp mạng, ISA Server và Router không thể Routing được vì bị Overlap Destination Điều này cũng sẽ
áp dụng cho 2 ISA Server quay VPN với nhau theo mô hình Site to Site
Mô hình minh họa VPN Clients to site và Site to Site :
Để cấu hình cấp phát IP cho VPN Clients, vào ISA Server Management Console Chọn
mục Virtual Private Network
Chọn mục Verify VPN Properties and Remote Access Còniguration, chọn Tab Address
Assignment
Trang 3Ở đây ta không sử dụng DHCP để cấp Ip cho clients Chọn Use Static Address Pool, nhấn
Add để thêm khỏang IP vào Pool
Khỏang IP bắt đầu từ 172.30.1.1 đến 172.30.1.50 hỗ trợ cho 49 Clients kết nối vào ISA
Server bằng VPN Nhấn Ok và kiểm tra khỏang IP
Tiếp theo ta chọn Tab Authentication Check mục Microsoft Encrypted authentication (
MS-CHAP )
Trang 4Mở Computer Managemet, chọn mục Local Users and Groups Mục User, chọn New
User T ạo User có tên là VPN1/123abc!!!
Chuột phải vào user VPN1 chọn Properties Chọn Tab Dial-in Mục Remote Access
Permission ch ọn Allow Access
Trang 5Phải chụột vào Groups chọn New Group
Group Name gõ VPN Clients Nhấn Add để thêm Member vào Group này
Trang 6Tại ISA Server Management Console, Chọn mục Virtual Private Network Chọn mục
Specify Window Users or Select a Radius Server
Trang 7Giao diện VPN Clients Properties, tại Tab Groups nhấn Add Nhập vào nhóm đã tạo.
Chuyển qua tab General Check vào Enable VPN Client Access Số lượng Clients là 40
Nhấn Apply và Ok
Trang 8Vào mục Network Rules trên ISA Management Console
Chọn Tab Network Rules và chú ý Rule VPN Clients to Internal Network có mối quan hệ
là kiểu Route
VPN Clients và External s ẽ sử dụng NAT để giao tiếp với nhau
Trang 9Chú ý : ta cần phải tạo thêm 1 Access Rule tại mục Firewall Policy để cho phép VPN Client được phép truy cập vào mạng Internal
Tiếp theo ta cấu hình cho máy internet kết nối VPN, vào Network Connections và chọn
Create New Connection
Trang 10Giao diện Welcome nhấn Next
Chọn mục Connect to a Network at my workplace
Mục Network Connection, chọn Virtual Private Network Connection
Trang 11Mục Company Name nhập tên : athena
Nhấn Next Mục VPN Server Selection nhập Ip ứng card WAN của máy ISA
Trang 12Kiểm tra lại và nhấn Finish
Phải chuột vào Connection mới tạo chọn Connect
Trang 13Giao diện Connection, nhập Username/Password là vpn1/123abc!!!
Kiểm ta kết nối
Trang 14Bạn có thể tham khảo video demo theo link sau :
http://www.mediafire.com/?zd1c7a4bjl59m
Chúng ta sẽ xây dựng kết nối VPN Client to Site sử dụng L2TP, RADIUS ở tập 2
Trang 152 C ấu hình VPN Site to Site :
Ta có mô hình gợi ý sau :
Mô hình trên đã được thiết lập sẵn và được mô tả lại như sau :
• Mô hình trên sử dụng 4 máy ảo VMWare gồm có : Client 1, Client 2, ISA1, ISA2
• Máy ISA 1 : đã được cài bản ISA standard, máy có 2 card mạng, 1 card thiết lập ở
chế độ bridge (net 192.168.0.0/24), 1 card thiết lập là host only ( Vmnet2 )
• Máy Client 1 : s ử dụng 1 card và nối với máy ISA1 thông qua ( Vmnet2 )
• Máy ISA 2 : cài b ản ISA enterprise, máy có 2 card mạng, 1 card là chế độ bridge (net 192.168.0.0/24), 1 card là host only ( Vmnet3 )
• Máy Client 2 : máy có 1 card và n ối với máy ISA2 qua (Vmnet3 )
Tiếp theo ta sẽ cấu hình theo các bước sau :
Trên máy ISA 1 : tạo user : vpn2 cấp quyền allow dial-in
ISA 1 ISA2 Client 2 Client 1
Net 10.10.10.0/24 Net 172.16.1.0/24 Net 192.168.0.0/24
VPN 1 Properties
Trang 16Tại ISA Management Console , mục Virtual Private Network, chuyển qua tab Remote
Site, ta t ạo 1 connection tên : VPN2, rồi nhấn Next
Mục VPN Protocol, chọn PPTP
Trang 17Tiếp theo, nếu ta chưa thiết lập sẵn dãy IP để cấp cho Client khi quay VPN vào, thì sẽ xuất
hiện giao diện Local Network VPN Setting, ta gán dãy : 192.168.100.1 - 192.168.100.254
Nhấn Ok, rồi Next Giao diện Remote Site Gateway, ta nhập địa chỉ máy của máy ISA2
Trang 18Giao diện Remote Authentication, điền user VPN2 và pass, user này được tạo bên máy
ISA2
Giao diện Network Address, ta nhập dãy IP internal của bên phía máy ISA2 quản lý
(VMNet3)
Trang 19Giao diện Site to Site Network Rule, yêu cầu ta tạo 1 Network rule name và sẽ route với đường mạng Internal Đây chính là điểm khác so với phiên bản ISA 2004
Giao diện Site to Site Network Access Rule, yêu cầu ta tạo 1 access rule cho phép traffic
VPN giao ti ếp với mạng Internal Ta để tên mặc định và chọn All outbound Traffic
Trang 20Nhấn Next, kiểm tra lại các thông số rồi nhấn Finish để kết thúc Sẽ có thông báo hiện ra để nhắc
nhở ta phải kiểm tra lại : User có cấp quyền dial-in hay chưa ?, Network rule đã định nghĩa chưa?,
Access rule đã tạo chưa ? Tiếp theo ta bật VPN client access
Chọn mục Select Access network, check thêm kết nối VPN 2 đã tạo
Trang 21Chọn mục Networks, tab networks ta xem lại đường mạng internal của máy ISA1 quản lý
Qua tab Network rules, ki ểm tra lại mối quan hệ giữa traffic VPN2 và mạn Internal
Trang 22Mục Firewall Policy, kiểm tra lại xem có Access rules cho phép traffic VPN2 giao tiếp với
mạng Internal bên ISA1 không ?
Tại máy ISA 2 : tương tự tạo user : vpn1 ( allow dial-in )
Trang 23Tạo connection tên : VPN1
VPN Protocol ta ch ọn loại PPTP
Trang 24Mục Local Network VPN Setting, nhập dãy IP cấp cho traffic phía bên ISA 1 kết nối vào :
192.168.200.1 - 192.168.200.254
Mục Remote authentication, nhập user VPN2 đã tạo bên máy ISA1
Trang 25Giao diện Network Address, ta add Range internal bên nhóm máy ISA 1
Giao diện remote NLB, không sử dụng Network balancing, nhấn Next
Trang 26Giao diện Site to Site Network Rule, kiểm tra lại và nhấn Next
Giao diện Site to Site Access Rule , chọn All Outbound Protocol, nhấn Next tiếp tục
Trang 27Bật VPN client access
Add thêm mạng vpn 1 mới tạo
Trang 28Kiểm tra lại Network rule
Tab Network
Trang 29Kiểm tra lại Access rule
Tại máy ISA 1 : vào RRAS kiểm tra, thấy có kết nối
Trang 30Tại máy Client1: thực hiện lệnh ping đến máy Client 2
Tại máy ISA 2 : vào RRAS kiểm tra, thấy có kết nối
Trang 31Tại máy Client 2 : thực hiện lệnh ping đến máy Client 1
* Như vậy, với những bước cấu hình như trên thì chúng ta có thể cấu hình các kết nối
2004 thì sau khi tạo kết nối VPN thì ta phải định nghĩa tiếp 2 đối tượng này
thường đối với các mạng sử dụng Private IP để giao tiếp với nhau thì ta nên xét là Route
Trang 32• Còn khi m ối quan hệ là Public Ip và Private Ip thì ta xét là NAT Chẳng hạn như VPN Clients với Internal sẽ sử dụng kiểu đi là Route vì cùng lọai IP Private
Internet
đi tạo thêm 1 Access Rule cho traffic VPN từ ngoài truy cập vào mạng Internal
Trang 33Bạn có thể tham kham khảo Video demo theo link sau :
Trang 34Ph ần 6 : CACHING Trước khi đi vào phần này, chúng ta sẽ tìm hiểu về Proxy và Proxy Server
Proxy là một Internet server làm nhiệm vụ chuyển tiếp thông tin và kiểm soát tạo sự an toàn cho việc truy cập Internet của các máy khách, còn gọi là Clients sử dụng dịch vụ internet Trạm cài đặt proxy gọi là proxy server Proxy hay trạm cài đặt proxy có địa chỉ IP
và một cổng truy cập cố định Ví dụ: 123.234.111.222:80.Địa chỉ IP của proxy trong ví dụ là 123.234.111.222 và cổng truy cập là 80
Một số chức năng của proxy :
• Giúp nhiều máy tính truy cập Internet thông qua một máy tính với tài khoản truy cập
tộc hay địa phương đó
Với sản phẩm ISA Server thì có một tính năng độc đáo mà ít có lọai Firewall phần cứng nào có thể sánh kịp, đó là cung cấp tính năng truy cập Internet vượt trội (Internet Acceleration) ISA Server có thể được cấu hình thành một Proxy Server để chứa nội dung
Trang 35trang web mà các Clients truy cập, đồng thời Proxy Server cũng được sử dụng để làm Firewall ở dạng HTTP hoặc FTP
Trong phần này này chúng ta sẽ cấu hình các đối tượng:
• Proxy
• Caching Rule
• Scheduler Download Content
Cơ chế Cache giúp ISA Server tăng tốc Internet khi User truy cập Mọi trang web đi bằng
HTTP hoặc file đi bằng FTP được ISA Server Cache lại (RAM hoặc HDD) Khi có một
Clients thứ 2 truy cập, ISA Server sẽ sử dụng Cache sẵn có để cung cấp cho Clients
ISA Server Cache trong RAM và sau đó chuyển xuống bộ nhớ Mặc định ISA Server sử
dụng 10% RAM cho việc Cache Chúng ta có thể cấu hình lại số phần trăm RAM sử dụng
này sau khi cài ISA Server
Trong lần sử dụng sau, nếu có Clients nào truy cập vào đúng trang web đã nằm trong
Cache, ISA Server s ẽ lấy nội dung từ trong Cache ra
Trang 36ISA Server hỗ trợ Forward Caching cho Clients trong LAN truy cập Internet và
Reversed Caching cho Internet User truy cập vào Server trong LAN
Mặc định ISA Server đã là một Proxy Server lắng nghe trên Port 8080 nhưng không
Cache c ố định lại nội dung của web trên ổ cứng mà Cache vào RAM Do đó, sau khi Server
khởi động lại, những Cache này sẽ mất Để cấu hình ISA Server thành proxy, ta có thể định
lại số Port mà Proxy Server đang sử dụng (có thể đổi thành 3128 hoặc 6667…) và thiết lập
lưu trữ Cache trên ổ cứng
Để định lại Port của Proxy Server ISA, ta vào ISA Server Management Console, chọn
mục Configuration, tab Network, phải chuột vào Network Internal và chọn Properties
Chọn tiếp tab Web Proxy, kiểm tra dấu check Enable HTTP Proxy Server, lắng nghe trên Port 8080 Ta có thể đổi lại port này
Trang 37Chọn mục Authentication để cấu hình các kiểu chứng thực đối với các User sử dụng
Internet qua Proxy
Trang 38Các Option trong mục này thực ra không cần thiết, vì ISA Server đã có cơ chế chứng thực
bằng Access Rule Nếu ta check Option Require all users to authenticate có thể gây lỗi cho
những session không thể cung cấp Username/Password được như Windows Update
Microsoft không khuyến cáo người dùng chọn Option này Khi quyết định sử dụng Option này, thì admin phải chắc rằng tất cả các traffic khi ra ngòai Internet qua Proxy phải có
Username/Password Ki ểu chứng thực là Integrated sử dụng Username/Password của
Windows để chứng thực
Thi ết lập trên Client sử dụng ISA làm Proxy Server :
• Muốn sử dụng tính năng Proxy thì các Clients (trình duyệt Web) phải hỗ trợ tính năng Cache Đối với IE thì có thể sử dụng Policy để cấu hình và tắt tính năng cấu hình
Proxy trên IE để người sử dụng không thể thay đổi thông số tùy tiện, đã được giới thiệu ở phần đầu Còn Mozilla Firefox thì điều này là không thể và chỉ có thể cấu
hình Manual trên từng Clients
• Để cấu hình Proxy trên IE, ta vào Menu chọn Tools \ Internet Options \ Tab
Connection \ ch ọn nút LAN Settings
• Chọn Use a Proxy Server for your LAN, nhập địa chỉ IP của ISA Server với Port
8080
• Chọn Bypass proxy Server for local address cho phép Clients không sử dụng Proxy
Server khi truy cập các Web Server nằm trong mạng LAN
Trang 39• Đối với Mozilla Firefox, ta vào Menu chọn Tools \ Internet Option \ Chọn Tab
Advanced, trong c ửa sổ Advanced tiếp tục chọn Network và chọn Settings
• Tương tự nhập thông số của Proxy Server là địa chỉ IP của ISA Server với Port 8080
Trang 402 Thiết lập dung lượng lưu trữ cache trên ổ cứng
Vào ISA Server chọn mục Configuration, chọn mục Cache và chú ý mục Cache đang ở
trạng thái Disable
Trong cửa sổ Task Pane chọn Define Cache Drive
Trang 41Chọn ổ cứng G: để chứa Cache, điền dung lượng chứa vào mục Maximum cache size, rồi
nhấn Set
Chọn OK , chú ý phần Cache đã trở thành Enabled Rồi nhấn Apply và Ok
Trang 42M ột số lưu ý về Cahe :
• Nơi chứa cache phải là ổ đĩa cục bộ (local drive)
• Đĩa chứa cache phải được định dạng NTFS
• Nên lưu cache trên một đĩa vật lý khác với đĩa hệ thống
• Sau khi xác lập dung lượng cache, trên ổ đĩa D:\ đã chỉ định sẽ tồn tại thư mục urlcache chứa tập tin dir1.cdat có dung lượng bẳng dung lượng chỉ định Đây chính là
tập tin chứa nội dung cache Tập tin chứa nội dung cache chỉ có thể có dung lượng tối
đa là 64 GB Nếu muốn có dung lượng cache lớn hơn, ta có thể chỉ định đồng thời nhiều ổ đĩa luận lý
• Mặc định ISA không hỗ trợ khã năng quan sát và điều chỉnh nội dung cache Tuy
nhiên, Microsoft cung cấp thêm công cụ "Cache Directory Tool for Internet Security and Acceleration ISA Server" Bạn có thể tải theo link sau :
add9a8ea45db&displaylang=en
Phải chuột vào mục Cache trên ISA Server và chọn Properties
Trang 43Chọn Tab Advanced, nhấn vào phần trăm RAM sử dụng, mặc định đang là 10%, ta nhập là
60% Mỗi đối tượng khi lưu trên RAM của ISA Server có dụng lượng không quá 12,8KB Dung lượng này càng nhỏ thì tốc độ truy cập càng nhanh vì RAM xử lý sẽ tốt hơn
Trang 44Mặc định có Default Cache Rule cho phép Cache lại tòan bộ các nội dung đi bằng
HTTP và FTP qua ISA Server Cho dù Clients có sử dụng Proxy hay không nhưng nội dung HTTP và FTP vẫn được lưu lại trên ISA Server nhờ vào Application Protocol Web Proxy
Trang 45Phải chuột vào Cache chọn Create a Caching Rule bên cửa sổ Task Pane
Mục Name nhập : Cache all Microsoft Content
Nhấn Next, mục Cache rule Destination xác định đối tượng nào sẽ tác dụng Rule này
Destination có th ể là một Network, hoặc có thể là một trang Web, Server IP …nhấn Add để thêm Destination
Trang 46Tiếp theo ta tạo một Component URL Set với nội dung là trang web của Microsoft.com
Chọn Menu New và chọn URL Set
Mục Name tên hiển thị là Microsoft Web Site và nhấn Add, nhập URL http://microsoft.com
Trang 47Nhấn OK và bung URL Sets vào Microsoft Web Site trong phần Component
Trang 48Nhấn Close , kiểm tra Destination vừa thêm Nhấn Next
Mục Content Retrieval quy định thời gian lấy Cache từ Internet (Cache Retrieval) Để bảo
đảm thông tin luôn luôn mới
• Only if a valid version of the object exists in cache If no valid version exists,
route the request: chỉ cung cấp nội dung lưu trữ còn hợp lệ cho client Nếu nội dung quá hạn thì ISA sẽ truy cập web server để tải về Cấu hình này bảo đảm cho client có được nội dung mới nhất (trong một thời hạn nhất định.)
• If any version of the object exists in cache If none exists, route the request: cung
cấp nội dung lưu trữ cho client bất kể thời hiệu Chỉ khi không có lưu trữ thì mới tải
về Cấu hình này bảo đảm cho client luôn luôn có được nội dung cần thiết, bất kể tính
cập nhật
• If any version of the object exists in cache If none exists, drop the request: cung
cấp nội dung lưu trữ cho client bất kể thời hiệu Nếu không có lưu trữ thì bỏ qua yêu
cầu của client Nói một cách khác, cấu hình này chỉ cung cấp nội dung lưu trữ sẵn cho client, ISA không bao giờ truy cập web server theo yêu cầu của client