CHƯƠNG 1: MẠNG RIÊNG ẢO VPN 1.1 VPN là gì VPN Virtual Private Network – Mạng riêng ảo là phương pháp làm cho 1 mạng công cộng (ví dụ mạng internet) hoạt động giống như 1 mạng cục bộ, có cùng các đặc tính như bảo mật và tính ưu tiên mà người dùng từng ưu thích. VPN cho phép thành lập các kết nối riêng với những người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty đang sử dụng chung 1 mạng công cộng. Mạng diện rộng WAN truyền thống yêu cầu công ty phải trả chi phí và duy trì nhiều loại đường dây riêng… Trong khi đó VPN không bị những rào cản về chi phí như các mạng WAN do được thực hiện qua một mạng công cộng. Mạng riêng ảo là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa trên mạng điện thoại. Phương thức này vừa tốn kém vừa không an toàn. VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu. Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet)để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Giải pháp VPN được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian. 1.2 Phân loại VPN Có hai loại phổ biến hiện nay là VPN truy cập từ xa (RemoteAccess) và VPN điểmnốiđiểm (sitetosite) 1.2.1 VPN truy cập từ xa (Remote Access) VPN truy cập từ xa còn được gọi là mạng Dialup riêng ảo (Virtual Private Dialup Network VPDN), là một kết nối người dùng đến LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa. Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanh nghiệp (Enterprises Service Provider ESP). ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng từ xa một phần mềm máy khách cho máy tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có mật mã. Nói cách khác, đây là dạng kết nối áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa. Điển hình, mỗi công ty có thể hy vọng rằng cài đặt một mạng kiểu RemoteAccess diện rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP. ESP cài đặt một công nghệ Network Access Server (NAS) và cung cấp cho các user ở xa với phần mềm client trên mỗi máy của họ. Các nhân viên từ xa này sau đó có thể quay một số từ 1 800 để kết nối được theo chuẩn NAS và sử dụng các phần mềm VPN client để truy cập mạng công ty của họ. Các công ty khi sử dụng loại kết nối này là những hãng lớn với hàng trăm nhân viên thương mại. Remoteaccess VPN đảm bảo các kết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một nhà cung cấp dịch vụ thứ ba (thirdparty). Ví dụ trong hình 1.1.1 thì kết nối giữa Văn phòng chính và Văn phòng tại gia hoặc nhân viên di động là loại VPN truy cập từ xa. 1.2.2 VPN sitetosite VPN điểmnốiđiểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc Extranet. • Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN Intranet (VPN nội bộ) để nối LAN với LAN. • Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng...), họ có thể xây dựng một VPN Extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung. Ví dụ trong hình 1.1.1 thì kết nối giữa Văn phòng chính và Văn phòng từ xa là loại VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh là VPN Extranet.
TRƯỜNG ĐẠI HỌC KHOA CÔNG NGHỆ THÔNG TIN -*** - AN NINH MẠNG ĐỀ TÀI: TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER Giảng viên hướng dẫn Sinh viên thực Nhóm 08 Lớp Mạng Máy Tính K58 Hà Nội – 2017 Mục Lục TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER MỤC LỤC HÌNH ẢNH NHÓM 08 MẠNG MÁY TÍNH 58 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER CHƯƠNG 1: MẠNG RIÊNG ẢO VPN 1.1 VPN VPN -Virtual Private Network – Mạng riêng ảo phương pháp làm cho mạng công cộng (ví dụ mạng internet) hoạt động giống mạng cục bộ, có đặc tính bảo mật tính ưu tiên mà người dùng ưu thích VPN cho phép thành lập kết nối riêng với người dùng xa, văn phòng chi nhánh công ty đối tác công ty sử dụng chung mạng công cộng Mạng diện rộng WAN truyền thống yêu cầu công ty phải trả chi phí trì nhiều loại đường dây riêng… Trong VPN không bị rào cản chi phí mạng WAN thực qua mạng công cộng Mạng riêng ảo công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa tiết kiệm chi phí Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa mạng điện thoại Phương thức vừa tốn vừa không an toàn VPN cho phép máy tính truyền thông với thông qua môi trường chia sẻ mạng Internet đảm bảo tính riêng tư bảo mật liệu Về bản, VPN mạng riêng sử dụng hệ thống mạng công cộng (thường Internet)để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa Giải pháp VPN thiết kế cho tổ chức có xu hướng tăng cường thông tin từ xa địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tài nguyên trung tâm kết nối đến từ nhiều nguồn nên tiết kiệm được chi phí thời gian NHÓM 08 MẠNG MÁY TÍNH 58 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER Hình 1.1 Mô hình chung mạng VPN 1.2 Phân loại VPN Có hai loại phổ biến VPN truy cập từ xa (Remote-Access) VPN điểm-nối-điểm (site-to-site) 1.2.1 VPN truy cập từ xa (Remote Access) VPN truy cập từ xa gọi mạng Dial-up riêng ảo (Virtual Private Dial-up Network - VPDN), kết nối người dùng đến LAN, thường nhu cầu tổ chức có nhiều nhân viên cần liên hệ với mạng riêng từ nhiều địa điểm xa Ví dụ công ty muốn thiết lập VPN lớn phải cần đến nhà cung cấp dịch vụ doanh nghiệp (Enterprises Service Provider - ESP) ESP tạo máy chủ truy cập mạng (NAS) cung cấp cho người sử dụng từ xa phần mềm máy khách cho máy tính họ Sau đó, người sử dụng gọi số miễn phí để liên hệ với NAS dùng phần mềm VPN máy khách để truy cập vào mạng riêng công ty Loại VPN cho phép kết nối an toàn, có mật mã Nói cách khác, dạng kết nối áp dụng cho công ty mà nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ địa điểm từ xa Điển hình, công ty hy vọng cài đặt mạng kiểu Remote-Access diện rộng theo tài nguyên từ nhà cung cấp dịch vụ ESP ESP cài đặt công nghệ Network Access Server (NAS) cung cấp cho user xa với phần mềm client máy họ Các nhân viên từ xa sau quay số từ 1- 800 để kết nối theo chuẩn NAS sử dụng phần mềm VPN client để truy cập mạng công ty họ Các công ty sử dụng loại kết nối hãng lớn với hàng trăm nhân viên thương mại Remote-access VPN đảm bảo kết nối bảo mật, mã hoá mạng riêng rẽ công ty với nhân viên từ xa qua nhà cung cấp dịch vụ thứ ba (third-party) Ví dụ hình 1.1.1 kết nối Văn phòng Văn phòng gia nhân viên di động loại VPN truy cập từ xa NHÓM 08 MẠNG MÁY TÍNH 58 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER 1.2.2 VPN site-to-site VPN điểm-nối-điểm việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với thông qua mạng công cộng Internet Loại dựa Intranet Extranet • Loại dựa Intranet: Nếu công ty có vài địa điểm từ xa muốn tham gia vào mạng riêng nhất, họ tạo VPN Intranet (VPN nội bộ) để nối LAN với LAN • Loại dựa Extranet: Khi công ty có mối quan hệ mật thiết với công ty khác (ví dụ đối tác cung cấp, khách hàng ), họ xây dựng VPN Extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác làm việc môi trường chung Ví dụ hình 1.1.1 kết nối Văn phòng Văn phòng từ xa loại VPN Intranet, kết nối Văn phòng với Đối tác kinh doanh VPN Extranet 1.3 Ưu điểm VPN • Giảm chi phí thiết lập:VPN có giá thành thấp nhiều so với giải pháp truyền tin truyền thống Frame Relay, ATM, hay ISDN Lý VPN loại bỏ kết nối khoảng cách xa cách thay chúng kết nối nội mạng truyền tải ISP, hay ISP's Point of Presence (POP) • Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông khoảng cách xa, VPN giảm chi phí vận hành mạng WAN cách đáng kể Ngoài tổ chức giảm tổng chi phí thêm thiết bị mạng WAN sử dụng VPN quản lý ISP Một nguyên nhân giúp làm giảm chi phí vận hành nhân sự, tổ chức không chi phí để đào tạo trả cho nhiều người người quản lý mạng • Nâng cao kết nối (Enhanced Connectivity): VPN sử dụng mạng Internet cho kết nối nội phần xa Intranet Do Internet truy cập toàn cầu, chi nhánh xa người sử dụng kết nối dễ dàng với mạng Intranet • Bảo mật: Bởi VPN sử dụng kĩ thuật tunneling để truyền liệu thông qua mạng công cộng tính bảo mật cải thiện Thêm vào đó, VPN sử dụng thêm phương pháp tăng cường bảo mật mã hóa, xác nhận ủy quyền Do VPN đánh giá cao bảo mật truyền tin • Hiệu suất băng thông: Sự lãng phí băng thông kết nối Internet kích hoạt Trong kĩ thuật VPN “đường hầm” hình thành có yêu cầu truyền tải thông tin Băng thông mạng sử dụng có kích hoạt kết nối Internet Do hạn chế nhiều lãng phí băng thông NHÓM 08 MẠNG MÁY TÍNH 58 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER • Có thể nâng cấp dễ dàng: Bởi VPN dựa sở Internet nên cho phép mạng Intranet tổ chức phát triển mà hoạt động kinh doanh phát triển hơn, mà yêu cầu nâng cấp, thành phần bổ sung thêm vào tối thiểu Điều làm mạng Intranet có khả nâng cấp dễ dàng theo phát triển tương lai mà không cần đầu tư lại nhiều cho sở hạ tầng 1.4 Nhược điểm VPN • Phụ thuộc nhiều vào chất lượng mạng Internet: Sự tải hay tắc nghẽn mạng làm ảnh hưởng xấu đến chất lượng truyền tin máy mạng VPN • Thiếu giao thức kế thừa hỗ trợ: VPN chưa hoàn toàn sở kĩ thuật IP Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (Mainframes) thiết bị giao thức kế thừa cho việc truyền tin ngày Kết VPN không phù hợp với thiết bị giao thức Vấn đề giải cách chừng mực “Tunneling Mechanisms” Nhưng gói tin SNA lưu lượng non-IP bên cạnh gói tin IP làm chậm hiệu suất làm việc mạng • Nhược điểm thiết bị VPN : Khi có gói tin gửi thông qua mạng Internet mạng Intranet, gói tin gửi đến đường hầm mạng Điều khiến cho lưu lượng thông tin trao đổi gia tăng cách đáng kể Khi cấu hình mạng thay đổi, nhà quản trị mạng phải cập nhật, cấu hình thiết bị VPN theo phương pháp thủ công, chưa có công cụ tự động cập nhật lại tình trạng mạng Khi cấu hình Intranet phức tạp, bao gồm nhiều mạng con, nhiều mạng bên trong, thông tin Intranet bên không lưu trữ cách trọn vẹn đầy đủ Thiết bị VPN không hỗ trợ đường hầm thiết lập với chế mã hóa có khóa thay đổi theo thời gian Phương pháp mã hóa liệu đường ống định trước, phương pháp mã hóa, khóa mã liệu Khi muốn thay đổi khóa mã hóa, nhà quản trị mạng phải thực việc thay đổi khóa cách thủ công tất thiết bị VPN VPN CHƯƠNG 2: CÁC GIAO THỨC TRONG VPN 2.1 Giao thức Layer Tunneling Protocol (L2TP) Giao thức đường hầm lớp (Layer Tunneling Protocol - L2TP) giao thức tiêu chuẩn IETF (Internet Engineering Task Force) công nhận Nó kết hợp đặc điểm tối ưu giao thức có trước giao thức chuyển tiếp lớp (Layer Forwarding - L2F) Cisco giao thức đường hầm điểmđiểm (Point to Point Tunneling Protocol - PPTP) Microsoft NHÓM 08 MẠNG MÁY TÍNH 58 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER Các phương pháp truy cập truyền thống trước cho phép máy có địa IP hoạt động, điều gây hạn chế nhiều ứng dụng thực qua VPN L2TP hỗ trợ giải pháp đa giao thức, địa IP chưa đăng ký địa IP cá nhân thông qua mạng Internet Do cho phép phương tiện truy nhập tồn Internet, Modem, máy chủ truy nhập, thiết bị cuối ISDN (TAs) sử dụng Hơn nữa, cho phép khách hàng công ty truy cập nhận số liệu cách truy cập từ xa, điều làm giảm đáng kể chi phí phần cứng cho phép công ty xử lý cách tập trung việc truy cập liệu khách hàng L2TP có tất đặc điểm ưu việt L2F, có thêm đặc điểm khác Một máy có cài đặt L2TP hoạt động với máy chủ cài đặt L2F máy chủ nâng cấp lên chạy L2TP LNS không yêu cầu thiết lập lại cấu hình LAC nâng cấp từ L2F lên L2TP 2.1.1 Thành phần thiết lập đường hầm L2TP Quá trình giao dịch L2TP đảm nhiệm thành phần bản: Network Access Server (NAS), L2TP Access Concentrator (LAC), L2TP Network Server (LNS) Network Access Server (NAS) L2TP NASs thiết bị truy cập điểm-điểm cung cấp dựa yêu cầu kết nối Internet đến người dùng từ xa, người quay số (thông qua PSTN ISDN) sử dụng kết nối PPP NASs phản hồi lại xác nhận người dùng từ xa nhà cung cấp ISP cuối xác định có yêu cầu kết nối ảo Giống PPTP NASs, L2TP NASs đặt ISP site hành động client qui trình thiết lập L2TP tunnel NASs hồi đáp hổ trợ nhiều yêu cầu kết nối đồng thời hổ trợ phạm vi rộng client (như sản phẩm mạng Microsoft, Unix, Linux, VAX-VMS,…) Bộ tập kết truy cập L2TP (LAC) Vai trò LACs công nghệ tạo hầm L2TP thiết lập tunnel thông qua mạng công cộng (như PSTN, ISDN, Internet) đến LNS điểm cuối mạng chủ LACs phục vụ điểm kết thúc môi trường vật lý client LNS mạng chủ Điều cần nhớ LACs thường đặt ISP site Tuy nhiên,, người dùng từ xa hoạt động LAC trường hợp tạo hầm L2TP tự nguyện L2TP Network Server (LNS) LNSs đặt mạng cuối chủ Do đó, chúng dùng để kết thúc kết nối L2TP mạng cuối chủ theo cách kết thúc tunnel từ client LACs Khi LNS nhận yêu cầu cho kết nối ảo từ LAC, thiết lập tunnel xác nhận người dùng, người khởi tạo yêu cầu kết nối Nếu LNS chấp nhận yêu cầu kết nối, tạo giao diện ảo NHÓM 08 MẠNG MÁY TÍNH 58 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER L2TP hỗ trợ loại đường hầm - đường hẫm bắt buộc (compulsory tunnel, có tên khác đường hầm tĩnh - static tunnel ) đường hầm tự nguyện (voluntary tunnel, có tên khác đường hầm động - dynamic tunnel) Những đường hầm đóng vai trò quan trọng việc truyền liệu an toàn từ nút tới nút 2.1.2 Đường hầm bắt buộc L2TP (L2TP Compulsory Tunnel Mode) Một đường hầm bắt buộc L2TP thiết lập đầu LAC ISP với đầu khác LNS mạng LAN người dùng Để hỗ trợ VPN ISP, việc thiết lập đường hầm bắt buộc cần thiết Như vậy, trường hợp ISP đóng vai trò quan trọng việc thiết lập đường hầm L2TP phiên làm việc thực hay không phần ISP định Hình 2.1.2 Đường hầm bắt buộc L2TP Trong trường hợp đường hầm bắt buộc L2TP, người dùng từ xa thường thực thể thụ động Ngoài việc yêu cầu kết nối, người dùng không đóng vai trò trình thiết lập đường hầm Do đó, không cần có thay đổi phía người dùng Nghiên cứu đường hầm L2TP đặc biệt quan trọng xem xét bảo mật người dùng từ xa dùng kết nối PPP để dial-up đến ISP Kết là, người dùng truy cập Internet trừ qua gateway tổ chức họ, điều cho phép nhà quản trị mạng thực thi chế nghiêm ngặt bảo mật, điều khiển truy cập tính toán Các bước để thiết lập đường hầm bắt buộc L2TP mô tả sau: • Người dùng từ xa yêu cầu kết nối PPP từ máy chủ truy cập NAS đặt ISP • NAS xác thực người dùng Quá trình xác thực giúp cho NAS biết danh tính người dùng yêu cầu kết nối Nếu định danh người dùng phù hợp với sở liệu ISP, dịch vụ tương ứng với user cung cấp Đồng thời NAS xác định điểm cuối đường hầm LNS • Nếu NAS rỗi để nhận yêu cầu kết nối, kết nối PPP thiết lập ISP với người dùng từ xa • LAC thiết lập đường hầm với LNS NHÓM 08 MẠNG MÁY TÍNH 58 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER • Nếu kết nối LNS chấp nhận, khung PPP đưa qua đường hầm L2TP Những khung đóng gói L2TP sau gửi đến LNS thông qua đường hầm • Cuối cùng, LNS xác thực người dùng chấp nhận gói liệu Nếu việc xác thực tốt đẹp, địa IP thích hợp đóng vào khung để sau khung gửi đến nút đích nằm mạng Intranet Hình 2.1.2 Thiết lập đường hầm bắt buộc L2TP 2.1.3 Đường hầm tự nguyện L2TP (L2TP Voluntary Tunnel Mode) Một đường hầm tự nguyện L2TP thiết lập người dùng từ xa với LNS, LNS đặt LAN Trong trường hợp này, người dùng tư xa hoạt động giống LAC Bởi ISP gần vai trò việc thiết lập đường hầm tự nguyện L2TP sở vật chất ISP suốt người dùng đầu cuối Điều giống với đường hầm tạo giao thức PPTP Hình 2.1.3 Đường hầm tự nguyện L2TP Ưu điểm lớn đường hầm tự nguyện L2TP cho phép người dùng từ xa truy cập Internet thiết lập nhiều phiên làm việc VPN NHÓM 08 MẠNG MÁY TÍNH 58 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER lúc Tuy nhiên, để sử dụng lợi ích này, người dùng từ xa phải cấp nhiều địa IP Một số địa IP sử dụng để tạo kết nối PPP đến ISP địa khác dùng cho đường hầm L2TP Mặt khác, nhược điểm người dùng từ xa, tiếp LAN bị thâm nhập hacker Thiết lập đường hầm tự nguyện L2TP dễ thiết lập đường hầm bắt buộc L2TP người dùng từ xa tạo nên kết nối PPP đến ISP Các bước để thiết lập đường hầm tự nguyện L2TP sau: • LAC (trong trường hợp người dùng từ xa), gửi yêu cầu thiết lập đường hầm tự nguyện đến LNS • Nếu yêu cầu thiết lập đường hầm chấp nhận LNS, LAC đưa vào đường hầm tương ứng L2TP khung PPP truyền chúng • LNS nhận khung liệu, tách bỏ thông tin đường hầm xử lý chúng • Cuối cùng, LNS xác thực định danh người dùng người dùng hợp lệ truyền liệu đến nút đích mạng LAN Hình mô tả trình thiết lập đường hầm tự nguyện L2TP: Hình 2.1.3 Thiết lập đường hầm tự nguyện L2TP 2.1.4 Nguyên lý hoạt động Khi người dùng từ xa thiết lập đường hầm L2TP thông qua Internet mạng công cộng khác, trình tự làm việc sau: • Người dùng từ xa gửi yêu cầu kết nối đến NAS gần ISP thiết lập kết nối PPP với ISP • NAS chấp nhận yêu cầu kết nối sau xác thực người dùng NAS sử dụng phương pháp xác thực giống PPP, chẳng hạn PAP, CHAP, SPAP, EAP để xác thực • NAS sau kích hoạt LAC, LAC chứa thông tin LNS mạng đích NHÓM 08 MẠNG MÁY TÍNH 58 10 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER Trên cửa sổ IP address Assignment tick chọn From a specified range of address Next Ở cửa sổ Address Range Assignment click vào New NHÓM 08 MẠNG MÁY TÍNH 58 40 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER Gán giải địa IP cấp cho VPN Client Sau chọn Next NHÓM 08 MẠNG MÁY TÍNH 58 41 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER Click Finish Cửa sổ Demand-Dial Interface Wizard xuất chọn Next NHÓM 08 MẠNG MÁY TÍNH 58 42 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER Đặt tên hn Interface cửa sổ Inerface Name (lưu ý: tên trùng với user tạo máy VPN HCM) Next Chọn Connect using virtual private networking (VPN) Next Tick chọn giao thức L2TP cửa sổ Type VPN Next NHÓM 08 MẠNG MÁY TÍNH 58 43 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER Gán địa VPN Server remote, ta gán địa card tức card Ext máy VPN HN vào Next Tick chọn Route IP pakets on this interface Add a user account so a remote router can dial in, sau chọn Next NHÓM 08 MẠNG MÁY TÍNH 58 44 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER Gán giải địa IP local mạng HN cách click Add, sau chọn OK Next Chú ý điền metric ta chọn Click Next để tiếp tục NHÓM 08 MẠNG MÁY TÍNH 58 45 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER Xác nhận password user VPN HCM Next Nhập username password tạo VPN HN, user phép login vào HCM VPN sau Next NHÓM 08 MẠNG MÁY TÍNH 58 46 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER Click Finish sau click YES để start dịch vụ RRAS Sau vào Network Interfaces, click chuột phải vào Interface hn vừa tạo chọn Properties NHÓM 08 MẠNG MÁY TÍNH 58 47 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER Vào tab Networking, click IPsec Setting -> Tick chọn Use preshared key for authentication, gán key admin1 Sau click chuột phải vào HCM(local) chọn Properties NHÓM 08 MẠNG MÁY TÍNH 58 48 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER Vào tab Security tick chọn Allow custom IPsec policy for L2TP connection, gán key admin1 Click OK NHÓM 08 MẠNG MÁY TÍNH 58 49 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER Khởi động lại Routing and Remote Access Quay lại Interface HN tạo click Connect NHÓM 08 MẠNG MÁY TÍNH 58 50 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER Kết nối thành công Trên máy VPN HN, interface tự động kết nối VPN NHÓM 08 MẠNG MÁY TÍNH 58 51 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER Giao thức sử dụng để kết nối VPN hai site L2TP Tạo Static route cho Interface đến mạng HCM NHÓM 08 MẠNG MÁY TÍNH 58 52 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER Tương tự tạo máy HCM Kiểm tra kết nối mạng VPN site-to-site NHÓM 08 MẠNG MÁY TÍNH 58 53 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER Đăng nhập vào máy PC1 (thuộc site HN) ping vào máy PC2 (thuộc site HCM) thấy ping thành công Tương tự, ping từ PC2 vào máy PC1 thành công NHÓM 08 MẠNG MÁY TÍNH 58 54 ... 58 16 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER NHÓM 08 MẠNG MÁY TÍNH 58 17 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER NHÓM 08 MẠNG MÁY TÍNH 58 18 TÌM HIỂU VÀ TRIỂN KHAI. ..TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER MỤC LỤC HÌNH ẢNH NHÓM 08 MẠNG MÁY TÍNH 58 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER CHƯƠNG 1: MẠNG RIÊNG... HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER Gán địa VPN Server remote, ta gán địa card tức card Ext máy VPN HCM vào Next NHÓM 08 MẠNG MÁY TÍNH 58 30 TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS