1. Trang chủ
  2. » Công Nghệ Thông Tin

TRIỂN KHAI VPN CLIENT TO SITE CHỨNG THỰC RADIUS TRÊN WINDOWS SERVER 2012

38 2,4K 3

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 38
Dung lượng 3,69 MB

Nội dung

Virtual Private Network là mạng riêng ảo hay còn được biết đến với từ viết tắt VPN, đây không phải là một khái niệm mới trong công nghệ mạng. VPN có thể được định nghĩa như là một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng. VPN được dùng để kết nối các văn phòng chi nhánh, người dùng lưu động từ xa kết nối về văn phòng chính.

Trang 1

MỤC LỤC

CHƯƠNG 1: TỔNG QUAN VỀ VPN 3

1.1 Tổng quan VPN (Virtual Private Network) 3

1.2 Mô hình hoạt động và các chuẩn hoạt động của VPN 5

1.2.1 Remote Access VPN 6

1.2.2 Intranet VPN 6

1.2.3 Extranet VPN 7

1.3 Kiến trúc dịch vụ VPN và các giao thức bảo mật 8

1.3.1 Kiến trúc dịch vụ VPN 8

1.3.1.1 Đường hầm (Tunnelling) 8

1.3.1.2 Bảo mật và các giao thức bảo mật 9

1.3.2 Các giao thức bảo mật 9

1.3.2.1 Point-To-Point Tunneling Protocol (PPTP) 9

1.3.2.2 Layer 2 Tunneling Protocol (L2TP) 9

1.3.2.3 IP Security (IPSec) 10

1.4 Ưu điểm và khuyết điểm của VPN 10

1.4.1 Ưu điểm 10

1.4.2 Nhược điểm 11

CHƯƠNG 2: TỔNG QUAN VỀ RADIUS 12

2.1 Tổng quan RADIUS (Remote Authentication Dial in User Service) 12

2.2 Tính chất của RADIUS 13

2.3 Xác thực - cấp phép và kiểm toán 14

CHƯƠNG 3: TRIỂN KHAI CÀI ĐẶT 16

3.1 Mô hình triển khai 16

3.2 Thực hiện cài đặt 16

3.2.1Chuẩn bị 16

3.2.2Tạo Group và User 17

3.2.3 Cấu hình RADIUS Server trên Domain Controller 21

3.2.4 Cấu hình VPN Client to Gateway và Radius Client trên máy VPN Server 29

Trang 2

38

Trang 3

CHƯƠNG 1: TỔNG QUAN VỀ VPN 1.1 Tổng quan VPN (Virtual Private Network)

Mạng máy tính ban đầu được triễn khai với 2 kĩ thuật chính: đường thuê riêng (Leased-Line) cho các kết nối cố định và đường quay số (Dial-up) cho các kết nối không thường xuyên Các mạng này có tính bảo mật cao, nhưng khi lưu lượng thay đổi và đòi hỏi tốc độ cao nên đã thúc đẩy hình thành một kiểu mạng dữ liệu mới, mạng riêng ảo Mạng riêng ảo được xây dựng trên các kênh logic có tỉnh “ảo”

Xu hướng hội tụ của các mạng trên nền NGN tạo điều kiện cho sự xuất hiện nhiều dịch vụ mới, trong đó có dịch vụ mạng riêng ảo

Mạng riêng ảo là một mạng máy tính, trong đó có các điểm của khách hàng được kết nối với nhau trên một cơ sở hạ tầng chia sẽ với cùng một chính sách truy nhập và bảo mật như trong mạng riêng Có 2 dạng chính của mạng riêng ảo VPN là: Remote Accsess VPN, Site – to - Site VPN (Intranet VPN và Extranet VPN)

Remote Access VPN (Client – to - LAN VPN) cho phép thực hiện các kết nối truy nhập từ xa đối với người sử dụng di động (máy tính cá nhân hoặc các Personal Digital Assistant) với mạng chính (LAN hoặc WAN) qua đường quay số, ISDN, đường thuê bao số ADSL

Site-to-Site VPN dùng để kết nối các mạng tại các vị trí khác nhau thông qua kết nối VPN Có thể chia loại này ra 2 loại khác nhau: Intranet VPN và Extranet VPN Intranet VPN kết nối các văn phòng ở xa với trụ sở chính thường là các mạng LAN với nhau Extranet VPN là khi Intranet VPN của một khách hàng mở rộng kết nối với một Intranet VPN khác

Bảo mật là một yếu tố quan trọng đảm bảo cho VPN hoạt động an toàn và hiệu quả Kết hợp với các thủ tục xác thực người dùng, dữ liệu được bảo mật thông qua các kết nối đường hầm (Tunnel) được tạo ra trước khi truyền dữ liệu Tunnel là kết nối ảo điểm-điểm (point-to-point) và làm cho mạng VPN hoạt động như một mạng riêng Dữ liệu truyền trên VPN có thể được mã hóa theo nhiều thuật toán khác nhau với các độ bảo mật khác nhau Người quản trị mạng có thể lựa chọn tùy theo yêu cầu bảo mật và tốc độ truyền dẫn Giải pháp VPN được thiết kế phù hợp

Trang 4

cho những tổ chức có xu hướng tăng khả năng thông tin từ xa, các hoạt động phân

bố trên phạm vi địa lý rộng và có các cơ sở dữ liệu, kho dữ liệu, hệ thống thông tin dùng riêng với yêu cầu đảm bảo an ninh cao

Hình 1.1: Mô hình VPN tổng quan

Chất lượng dịch vụ QoS, các thỏa thuận (Service Level Agreement - SLA) với các ISP liên quan đến độ trễ trung bình của gói trên mạng, hoặc kèm theo chỉ định về giới hạn dưới của băng thông Bảo đảm cho QoS là một việc cần được thống nhất về phương diện quản lý đối với các ISP Tất cả các giao thức sử dụng trong mạng VPN, các gói dữ liệu IP được mã hóa (RSA RC-4 trong PPTP hoặc mã hóa công khai khác trong L2TP, IPSEC) và sau đó đóng gói (ESP), thêm tiêu đề IP mới để tạo đường hầm trên mạng IP công cộng Như vậy, khi gói tin MTU bị thất lạc trên mạng IP công cộng thì thông tin trong đó đã được mã hóa nên kẻ phá hoại khó có thể dò tìm thông tin thực sự chứa trong bản tin Trong các giao thức PPTP

và L2TP, mã hóa gói tin đã được thực hiện từ người dùng cho đến máy chủ của VPN Việc mất mát gói tin dẫn đến việc phải truyền lại toàn bộ gói tin, điều này gây nên độ trễ chung đối với VPN và ảnh hướng đến QoS của mạng VPN

Trang 5

1.2 Mô hình hoạt động và các chuẩn hoạt động của VPN

 Mô hình hoạt động của VPN

Hình 1.2: Mô hình hoạt động của VPN

 Các chuẩn trong mô hình hoạt động của VPN

Phân loại kỹ thuật VPN dựa trên 3 yêu cầu cơ bản:

 Người sử dụng ở xa hoặc di động có thể truy cập vào tài nguyên mạng đoànthể bất kỳ thời gian nào

 Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau

 Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cungcấp hay các thực thể ngoài khác là điều quan trọng đối với tổ chức hay cơ quan.Dựa trên tiêu chí đó có thể phân loại VPN thành 3 nhóm chính:

 Remote Access VPN

 Intranet VPN

 Extranet VPN

Trang 6

1.2.1 Remote Access VPN

VPN Remote Access cung cấp khả năng truy nhập từ xa.Tại mọi thời điểm, các nhân viên chi nhánh văn phòng di động có khả năng trao đổi, truy nhập vào mạng của công ty

Intranet VPN thường được sử dụng để kết nối các văn phòng chi nhánh của

tổ chức với mạng intranet trung tâm

Trang 7

Hình 1.4: Mô hình Intranet VPN

1.2.3 Extranet VPN

Không giống như giải pháp của intranet VPN và remote access VPN, extranet VPN không tách riêng với thế giới ngoài Extranet VPN cho phép điều khiển sự truy xuất các tài nguyên mạng cho các thực thể ngoài tổ chức như các các đối tác, khách hàng hay nhà cung cấp những người đóng vai trò quan trọng trong hoạt động thương mại của tổ chức

Hình 1.5: Mô hình Extranet VPN

Trang 8

1.3 Kiến trúc dịch vụ VPN và các giao thức bảo mật

1.3.1 Kiến trúc dịch vụ VPN

Hai thành phần cơ bản của Internet tạo nên mạng riêng ảo VPN, đó là:

 Đường hầm (Tunnelling) cho phép làm “ảo” một mạng riêng

 Các dịch vụ bảo mật đa dạng cho phép dữ liệu mang tính riêng tư

Ảo – “Vitual” cũng mang ý nghĩa rằng cấu trúc logic của mạng được hình thành chỉ cho những thiết bị mạng tương ứng của mạng đó, bất chấp cấu trúc vật lý của mạng cơ sở (trong trường hợp này là internet) Các thiết bị như bộ định tuyến (Router), chuyển mạch (Switch) hay những thành phần mạng của các ISP được giấu

đi khỏi những thiết bị và người dùng của mạng ảo Do đó, những kết nối tạo nên mạng riêng ảo – VPN không có cùng tính chất vật lý với những kết nối cố định (hard-wired) được dùng trong mạng LAN Việc che giấu cơ sở hạ tầng của ISP và internet được thực hiện bởi một khái niệm được gọi là tạo đường hầm-Tunnelling

Hình 1.6: Cấu trúc của một đường hầm

Trang 9

1.3.1.2 Bảo mật và các giao thức bảo mật

Quan trọng ngang với việc sử dụng một mạng riêng ảo VPN, thậm chí không muốn nói là quan trọng hơn, là việc đưa ra tính riêng tư hay bảo mật Trong hầu hết các sử dụng cơ bản của nó, tính “riêng tư” trong VPN mang ý nghĩa là một đường hầm giữa hai người trên một mạng VPN xuất hiện như là một liên kết riêng (private link), thậm chí điều này có thể chạy trên môi trường dùng chung (shared media) Nhưng đối với việc sử dụng của các nhà kinh doanh, đặc biệt cho kết nối LAN-nối-LAN, “riêng” phải mang ý nghĩa hơn điều đó, nó phải có nghĩa là bảo mật, đó là thoát khỏi những con mắt tò mò và sự can thiệp

Mạng VPN cần cung cấp 4 chức năng giới hạn để đảm bảo độ bảo mật cho

dữ liệu Bốn chức năng đó là:

 Xác thực (Authentication): Đảm bảo dữ liệu đến từ một nguồn yêu cầu.

 Điều khiển truy cập (Access Control): Hạn chế việc đạt được quyền cho phép vào mạng của những người dùng bất hợp pháp.

 Sự tin cậy (Confidentiality): Ngăn không cho một ai đó đọc hay copy dữ liệu khi dữ liệu được truyền qua mạng Internet.

 Tính toàn vẹn của dữ liệu (Data integrity): Đảm bảo không một ai làm

thay đổi dữ liệu khi nó truyền đi trên mạng Internet

1.3.2 Các giao thức bảo mật

1.3.2.1 Point-To-Point Tunneling Protocol (PPTP)

Được phát triển bởi Microsoft, 3COM và Ascend Communications Nó được

đề xuất để thay thế cho IPSec PPTP thi hành ở phân lớp 2 (Data Link) trong mô hình OSI và thường được sử dụng trong truyền thông tin hệ điều hành Windows

1.3.2.2 Layer 2 Tunneling Protocol (L2TP)

Được phát triển bởi hệ thống Cisco nhằm thay thế IPSec Tiền thân của nó là Layer 2 Forwarding (L2F), được phát triển để truyền thông tin an toàn trên mạng Internet nhưng bị thay thế bởi L2TP vì LT2P có khả năng mã hóa dữ liệu tốt hơn và

có khả năng giao tiếp với Window L2TP là sự phối hợp của L2F và PPTP Thường được sử dụng để mã hóa các khung Point-to-Point Protocol (PPP) để gửi trên các mạng X.25, FR, và ATM

Trang 10

 Giảm chi phí thiết lập

VPN có giá thành thấp hơn rất nhiều so với các giải pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN Lý do là VPN đã loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằng các kết nối nội bộ và mạng truyền tải như ISP

 Giảm chi phí vận hành quản lý

Bằng cách giảm chi phí viễn thông khoảng cách xa, VPN cũng giảm chi phí vận hành mạng WAN một cách đáng kể Ngoài ra các tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN dử dụng trong VPN được quản

lý bởi ISP Một nguyên nhân nữa giúp làm giảm chi phí vận hành là nhân sự, tố chức không mất chi phí để đào tạo và trả cho nhiều người người quản lý mạng

 Khả năng mở rộng

Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng(Internet),bất

cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN.Mà Internet có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN rất linh động Một cơ quan ở xa có thể kết nối một cách dể dàng đến mạng của công ty bằng cách sử dụng đường dây điện thoại hay DSL,mạng VPN dể dàng gở bỏ khi có nhu cầu

Khả năng mở rộng băng thông là khi một văn phòng,chi nhánh yêu cầu băng thông lớn hơn thì nó có thể được nâng cấp dể dàng

Trang 11

 Nâng cao kết nối (Enhanced connectivity)

VPN sử dụng mạng Internet cho kết nối nội bộ giữa các phần xa nhau của Intranet Do Internet có thể được truy cập toàn cầu, do đó ở bất cứ các chi nhánh ở

xa nào thì người sử dụng cũng có thể kết nối dễ dàng với mạng intranet chính

 Bảo mật

Bởi vì VPN sử dụng kĩ thuật đường hầm để truyền dữ liệu thông qua mạng công cộng cho nên tính bảo mật cũng được cải thiện Thêm vào đó, VPN sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và ủy quyền Do

đó VPN được đánh giá cao bảo mật trong truyền tin

Hiệu suất băng thông: Sự lãng phí băng thông khi không có kết nối Internet nào được kích hoạt Trong kĩ thuật VPN thì các “đường hầm” chỉ được hình thành khi có yêu cầu truyền tải thông tin Băng thông mạng chỉ được sử dụng khi có kích hoạt kết nối Internet Do đó hạn chế rất nhiều sự lãng phí băng thông

Có thể nâng cấp dễ dàng: Bởi vì VPN dựa trên cơ sở Internet nên các nó cho phép các các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối thiểu Điều này làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triển trong tương lai mà không cần đầu tư lại nhiều cho cơ sở hạ tầng

1.4.2 Nhược điểm

Phụ thuộc nhiều vào chất lượng mạng Internet Sự quá tải hay tắt nghẽn mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPN

Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay dựa hoàn toàn trên cơ sở

kĩ thuật IP Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày Kết quả là VPN không phù hợp được với các thiết bị và giao thức này Vấn đề này có thể được giải quyết một cách chừng mực bởi các “tunneling mechanisms” Nhưng các gói tin SNA và các lưu lượng non-IP bên cạnh các gói tin IP có thể sẽ làm chậm hiệu suất làm việc của cả mạng

Trang 12

CHƯƠNG 2: TỔNG QUAN VỀ RADIUS 2.1 Tổng quan RADIUS (Remote Authentication Dial in User Service)

Giao thức Remote Authentication Dial In User Service (RADIUS) với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập (Authentication, Authorization, và Access Control – AAA) cho các phiên làm việc với SLIP và PPP Dial-up – như việc cung cấp xác thực của các nhà cung cấp dịch vụ Internet (ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cập Internet Nó cần thiết trong tất cả các Network Access Server (NAS) để làm việc với danh sách các username và password cho việc cấp phép, RADIUS Access-Request sẽ chuyển các thông tin tới một Authentication Server, thông thường nó là một AAA Server (AAA – Authentication, Authoriztion, và Accounting) Trong kiến trúc của hệ thống nó tạo ra khả năng tập trung các dữ thông tin của người dùng, các điều kiện truy cập trên một điểm duy nhất (single point), trong khi có khả năng cung cấp cho một hệ thống lớn, cung cấp giải pháp NAS

Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Access - Request tới máy chủ AAA Server, chuyển các thông tin như username và password, thông qua một port xác định, NAS identify, và một message Authenticator

Sau khi nhận được các thông tin máy chủ AAA sử dụng các gói tin được cung cấp như, NAS identify, và Authenticator thẩm định lại việc NAS đó có được phép gửi các yêu cầu đó không Nếu có khả năng, máy chủ AAA sẽ tìm kiểm tra thông tin username và password mà người dùng yêu cầu truy cập trong cơ sở dữ lệu Nếu quá trình kiểm tra là đúng thì nó sẽ mang một thông tin trong Access - Request quyết định quá trình truy cập của user đó là được chấp nhận

Khi quá trình xác thực bắt đầu được sử dụng, máy chủ AAA có thể sẽ trả về một RADIUS Access - Challenge mang một số ngẫu nhiên NAS sẽ chuyển thông tin đến người dùng từ xa (với ví dụ này sử dụng CHAP) Khi đó người dùng sẽ phải trả lời đúng các yêu cầu xác nhận (trong ví dụ này, đưa ra lời đề nghị mã hoá password), sau đó NAS sẽ chuyển tới máy chủ AAA một message RADIUS Access-Request

Trang 13

Nếu máy chủ AAA sau khi kiểm tra các thông tin của người dùng hoàn toàn thoả mãn sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access - Accept Nếu không thoả mãn máy chủ AAA sẽ trả về một tin RADIUS Access-Reject và NAS sẽ ngắt kết nối với user.

Khi một gói tin Access-Accept được nhận và RADIUS Accounting đã được thiết lập, NAS sẽ gửi mộtgói tin RADIUS Accounting - Request (Start) tới máy chủ AAA Máy chủ sẽ thêm các thông tin vào file Log của nó, với việc NAS sẽ cho phép phiên làm việc với user bắt đầu khi nào, và kết thúc khi nào, RADIUS Accouting làm nhiệm vụ ghi lại quá trình xác thực của user vào hệ thống, khi kết thúc phiên làm việc NAS sẽ gửi một thông tin RADIUS Accounting - Request (stop)

RADIUS là một giao thức sử dụng rộng rãi cho phép xác thực tập trung, ủy quyền và kiểm toán truy cập cho mạng

Có 2 loại giao thức RADIUS:

Giao thức RADIUS 1: Xác nhận quyền (authentication), phân quyền (authorization), thông tin cấu hình giữa máy chủ quản lý truy cập (NAS-Network Access Server) mà có các yêu cầu cần xác nhận và máy chủ xác nhận quyền dùng chung (Shared Authentication Server)

Giao thức RADIUS 2: thông tin về tài khoản giữa NAS và máy chủ quản lý tài khoản dùng chung

Các đòi hỏi về thời gian của RADIUS rất khác biệt so với TCP Một mặt, RADIUS không yêu cầu “câu trả lời” (responsive) về việc dò tìm dữ liệu bị mất User sẵn sàng chờ trong nhiều giây để cho việc xác nhận quyền được hoàn thành

Trang 14

Việc truyền lại thường xảy ra đối với các TCP dựa trên thời gian truyền nhận trung bình không cần thiết nữa, kể cả thời gian hao tổn cho việc nhận biết phản hồi về Mặt khác, user không thể chờ đợi quá lâu trong nhiều phút cho việc xác nhận quyền Việc phải chờ đợi quá lâu là không hữu ích Việc sử dụng luân phiên nhanh chóng các server sẽ cho phép user truy cập được vào mạng trước khi họ bỏ cuộc.

Trạng thái rất tự do của RADIUS đã đơn giản hóa việc sử dụng UDP Các client và server có thể đăng ký vào hoặc ra khỏi mạng Hệ thống bị khởi động lại vì một lý do nào đó, như: Nguồn điện bị mất…Các sự kiện bất thường này nói chung

sẽ không gây nguy hiểm nếu như có những timeout tốt và xác định được các cầu nối TCP đã bị đứt Tuy nhiên UDP hoàn toàn bỏ qua các sự cố đặt biệt này; Các client

và server có thể chuyển dữ liệu UDP ngay lập tức và để nó tự nhiên truyền trên mạng với các sự kiện

UDP đơn giản hóa việc thực hiện server Ở những phiên bản trước, server được thực hiện đơn luồng (single thread), có nghĩa là mỗi lúc chỉ có một yêu cầu được nhận, xử lí và trả về Điều này không thể quản lý được trong môi trường kỹ thuật an toàn quay vòng (back - end security mechanism) dùng thời gian thực (real - time) Hàng đợi yêu cầu của server sẽ bị đầy, và trong một môi trường có hàng trăm người được yêu cầu xác nhận quyền trong mỗi phút, thời gian quay vòng của yêu cầu sẽ lớn hơn rất nhiều so với thời gian mà user chờ đợi Do vậy, giải pháp được chọn là thực hiện server chế độ đa luồng (multu - thread) với UDP Quá trình xử lý độc lập sẽ được sinh ra trên server tương ứng với mỗi yêu cầu và những quá trình này sẽ trả lời trực tiếp với các NAS khách hàng bằng gói UDP tới lớp truyền dẫn chính của client

2.3 Xác thực - cấp phép và kiểm toán

Giao thức RADIUS được định nghĩa trong RFC 2865 như sau: Với khả năng cung cấp xác thực tập trung, cấp phép và điều khiển truy cập (Authentication, Authorization và Accouting - AAA) cho các phiên làm việc với SLIP và PPP Dial -

Up Như việc cung cấp dịch vụ internet (ISP) đều dựa trên giao thức này để xác thực người dùng khi họ truy cập internet

Trang 15

Nó cần thiết trong các NAS để làm việc với danh sách các username và password cho việc cấp phép, RADIUS Access - request sẽ chuyển thông tin tới một Authentication Server, thông thường nó là một AAA Server Trong kiến trúc của hệ thống nó tạo ra khả năng tập trung các dữ liệu, thông tin của người dùng, các điều khiển truy cập trên một điểm duy nhất (single point), trong khi có khả năng cung cấp cho một hệ thống lớn, cung cấp giải pháp NASs

Khi một user kết nối, NAS sẽ gửi một message dạng RADIUS Access - request tới máy chủ AAA Server, chuyển các thông tin như Username, Password , UDP port, NAS indentifier và một Authentication message

Sau khi nhận các thông tin AAA sử dụng gói tin được cung cấp như NAS Indentify, và Authentication thẩm định lại việc NAS đó có được phép gửi các yêu cầu đó không? Nếu có khả năng, AAA server sẽ kiểm tra thông tin username và password mà người dùng yêu cầu truy cập trong database Nếu quá trình kiểm tra là đúng thì nó sẽ mang một thông tin trong Access-request quyết định quá trình truy cập của user đó là được chấp nhận

Khi quá trình chứng thực bắt đầu được sử dụng, AAA server có thể trả về một RADIUS Access - Challenge mang một số ngẫu nhiên NAS sẽ chuyển thông tin đến người dùng từ xa Khi đó người dùng sẽ phải trả lời đúng yêu cầu xác nhận, sau đó NAS sẽ chuyển đến AAA server một RADIUS Access – Request

AAA server sau khi kiểm tra các thông tin của người dùng hoàn toàn thỏa mãn sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access - accept Nếu không thỏa mãn AAA server sẽ trả về một tin RADIUS Access - reject

Trang 16

CHƯƠNG 3: TRIỂN KHAI CÀI ĐẶT3.1 Mô hình triển khai

Trang 17

 Bảng IP

Interface Domain Controller VPN Server Client

CROSS IP SubnetMask 172.16.10.10255.255.255.0 172.16.10.20255.255.255.0 Không có

3.2.2 Tạo Group và User

Bước 1: Kích chuột phải vào Users  New  Group

Trang 18

Bước 2: Tại Group name gõ: group 9, sau đó nhấn OK.

Bước 3: Kích chuột phải vào Users  New  User

Trang 19

Bước 4: Tại First name gõ: user1

Tại User logon name gõ: user1

Sau đó nhấn Next

Bước 5: Tại Password gõ: abc^123

Confirm password gõ: abc^123

Ngày đăng: 07/04/2016, 14:05

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w