Giao thức L2TP

Một phần của tài liệu tìm hiểu và triển khai dịch vụ vpn và triển khai dịch vụ mail server (Trang 36)

2.3.1 Khái niệm:

L2TP là một kỹ thuật này sinh để cung cấp một kết nối từ xa tới một Intranet của một tập đoàn hay tổ chức. L2TP là giao thức được phát triển hòa trộn giữa hai giao thức L2F và PPTP. Cấu trúc L2TP IP Header UDP Header L2TP Header PPP Payload

(IP Datagram, IPX Datagram) PPP

Header

PPP Frame L2TP Frame UDP Frame

L2TP cung cấp một kỹ thuật để xây dựng cho một kết nối đường hầm qua giao thức điểm nối điểm PPP. Đường hầm có thể bắt đầu được tạo ra giữa người dùng từ xa tới người cung cấp dịch vụ.

Giao thức L2TP không những cung cấp các kết nối từ xa của người dùng trong một mạng riêng ảo VPN mà còn có thể hỗ trợ các giao thông đa thủ tục, đó là tất cả các giao thức lớp mạng hỗ trợ bởi giao thức PPP đáng tin cậy. Hơn nữa, L2TP cung cấp sự hỗ trợ cho bất kỳ sự định vị cho bất kỳ lớp mạng nào lên sơ đồ kết nối thông qua Internet.

2.3.2. Ưu , nhược điểm của L2TP

 Ưu điểm:

- L2TP là một giải pháp chung, không phụ thuộc nền và hỗ trợ nhiều kỹ thuật mạng. Hơn nữa L2TP có thể hỗ trợ giao tác thông qua liên kết Non-IP của mạng WAN mà không cần IP.

- Đường hầm L2TP chỉ đơn thuần là user từ xa hoặc ISP. Do đó nó không yêu cầu bổ sung cấu hình của user từ xa và ISP.

- L2TP cho phép tổ chức kiểm soát chứng thực User.

- L2TP hỗ trợ kiểm soát luồng và các gói dữ liệu bị loại bỏ khi đường hầm quá tải. Do đó giao tác trên L2TP nhanh hơn giao tác trên L2F.

- L2TP cho phép user với địa chỉ IP chưa được đăng ký có thể truy nhập mạng từ xa thông qua mạng công cộng.

- L2TP tăng cường bảo mật bằng cách mã hóa dữ liệu dựa trên đường hầm IPSEC trong suốt và khả năng chứng thực gói của IPSEC.

 Khuyết điểm:

- L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSEC để chứng thực từng gói nhận được.

- Mặc dù PPTP được cài đặt riêng cho giải pháp VPN nhưng vẫn phải cấu hình thêm bộ định tuyến và máy phục vụ truy cập từ xa.

2.3.2 Thiết lập kết nối tunnel Các loại giao thức

Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp tiêu đề chứa các thông tin đinh tuyến có thể truyền qua hệ thống mạng trung gian theo những đường ống riêng.

Khi gói tin được truyền đến đích, chúng được tách lớp tiêu đề và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ

Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai điểm đầu cuối này được gọi là giao diện Tunnel ( Tunnen Interface), nơi gói tin đi vào và đi ra trong mạng.

Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau

•Giao thức truyền tải ( Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đi qua.

•Giao thức mã hóa dữ liệu ( Encapsulating Protocol) là giao thức ( như GRE, IPSec, L2F, PPTP, L2TP) được bao quanh gói dữ liệu gốc.

•Giao thức gói tin (Pass enger Protocol ) là giao thức của dữ liệu được truyền đi ( như IPX, NetBeui, IP).

Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet bên trong một gói IP và gửi nó an toàn qua mạng Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng ( không định tuyến) bên trong một gói khác dùng địa chỉ IP chung ( định tuyến) để mở rộng một mạng riêng trên Internet.

Kỹ thuật tunneling trong mạng VPN truy cập từ xa

Tunneling là một phần quan trọng trong việc xây dựng một mạng VPN, nó thường dùng giao thức điểm nối điểm PPP (Point to Point Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền tải các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Các chuẩn tryền thông sử dụng để quản lý các Tunnel và đóng gói dữ liệu của VPN . Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP.

Mô hình Tunneling truy cập từ xa Kỹ thuật Tunneling trong mạng điểm nối điểm

Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu“ đóng gói” giao thức gói tin ( Pasenger Protocol ) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách. Nhưng IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm nối điểm. Tất nhiên, nó phải được hỗ trợ ở cả 2 giao diện Tunnel

3. TRIỂN KHAI MÔ HÌNH VPN

3.1 Triển khai mô hình VPN site – to – site trên local :

Mô hình VPN site –to – site

3.2 Vai trò và chức năng của các thiết bị trong mô hình

- 2 Máy windows Server 2008 làm máy chủ VPN

- 2 Máy chủ VPN có hai card mạng: một card đặt tên là LAN, là card Internal. Một card đặt tên là WAN là card External.

+ Card LAN : Server Hà Nội là 10.10.10.1/24 và Server Sài Gòn là 20.20.20.1/24

+ Card WAN : Server Hà Nội là 192.168.1.1/24 và Server Sài Gòn là 192168.1.2/24

- Sử dụng một 2 máy cài Windows XP làm máy client. Địa chỉ máy client Hà Nội là 10.10.10.2/24 và Client Sài Gòn là 20.20.20.2/24

3.3 Tổng quan các bước thực hiện

Bước 1: Đặt địa chỉ IP cho các máy Bước 2: Cài DCPROMO

Bước 3: Cấu hình dịch vụ DNS

Bước 4: Cài đặt network policy và access services

3.4 Tiến hành :

- Gắn địa chỉ IP

+ client Hà Nội : cả 2 client này IP phải cùng miền với card WAN trên máy VPN Server

+ client Sài Gòn

+ Server Sài Gòn

- Cài DCPROMO nâng cấp Domain Controller : ta làm trên cả 2 máy chỉ thay đổi tên miền theo từng máy

+ click “ create a new domain in a new forest” để tạo tên miền mới

+ ta nhập tên miền vào : Trên Server Hà Nội thì ta nhập Athena.edu.vn, trên Server Sài Gòn là Athena.com.vn

+ chọn Windows Server 2008

Để nguyên các thư viện, click NEXT

+ Thiết lập khôi phục mật khẩu cho admin

+ sau khi khởi động lại ta kiểm tra domain trên từng máy Server Server Hà Nội

Server Sài Gòn

- Cấu hình DNS Server

+ ta click vào Start >> Administrative Tools >> DNS >> Server Hà Nội >> Forward Lookup Zones >>> Athena.edu.vn >>> New Host

+ tại ô name ta gõ www , tại ô địa chỉ IP Address ta gõ địa chỉ IP của Server

+ tạo phân giải ngược cho domain : click phải vào Reverse Lookup Zones >> New Zones

+ click phải vào 10.10.10.in-addr.arpa >> New Pointer ( PRT)

+ click Allow

+ ta thử phân giải domain trong cmd

Server Sài Gòn

- Cài đặt Network Policy and Access Services :

- Cấu hình VPN , kiểm tra và tiến hành share file

+ tạo User cấp quyền truy cập từ xa : Start >> Administrative Tools >> Active Directory User and Computers

+ cấp quyền truy cập VPN cho User vừa tạo : click phải User vừa tạo >> properties >> Dial- In >> click chọn Allow access >> Apply >> ok

+ Cấu hình Routing and Remote Access

+ click Next

+ chọn tất cả trừ Dial – Up Access ra

+ click phải vào Server >>> properties

+ chọn tab IPv4 >> click Static Address Pool >> điền vào dãy IP mà bạn muốn cho Server sử dụng và cấp phát cho máy trạm khi kết nối VPN

+ click phải vào Network Interfaces >> New Demand – Dial Interface…

+ nhập User đã tạo của máy VPN Server cần kết nối tới

+ chọn kiểu kết nối VPN

+ nhập vào IP card WAN của máy cần kết nối tới

+ tại Demand – Dial Interface Wizard >> Add >> ta điền vào địa chỉ mạng LAN của mạng cần kết nối tới

+ click Finish để kết thúc phần cài đặt

+ tạo kết nối VPN trên 2 Server để thông qua 2 Server này thì 2 client có thể thấy nhau , vào Network and Sharing Center

+ click vào Set up a connection or network , chọn Connect to a workplace

+ chọn I’ll set up an Internet connection later

+ nhập User và password của Server cần kết nối tới

+ đăng nhập để kết nối VPN giữa 2 Server + vào Manage network connections

+ click phải vào biểu tượng kết nối VPN vừa tạo >> connect . nhập User và password của VPN Server cần kết nối tới

+ đợi quá trình xác thực hoàn tất

+ tiến hành ping để kiểm tra giữa 2 client sau khi kết nối được VPN Ping từ client Hà Nội

Ping từ client Sài Gòn

+ tiến hành chia sẻ dữ liệu giữa 2 máy client Truy nhập vào client Sài Gòn

Nhập user và password của client Sài Gòn

+ đã kết nối thành công, và thấy được dữ liệu ở trên client Hà Nội

4. TRIỂN KHAI MÔ HÌNH VPN CLIENT TO SITE TRÊN MÔI TRƯỜNG INTERNET ( VPS )

4.1 Mô hình tổng quát:

- 1 VPS chạy Windows Server 2003 - 2 Máy client ra được Internet

4.2 Tổng quan các bước thực hiện :

- Đăng ký Domain

- Kiểm tra kết nối và tiến hành chia sẻ dữ liệu

4.3 Tiến hành- Đăng ký Domain - Đăng ký Domain

+ ta truy cập vào dot.tk để đăng ký Domain miễn phí

+ sau khi chọn tên Domain ta click GO, click vào Sử Dụng DNS, chọn tab Dịch Vụ DNS của Dot.tk, nhập IP của VPS vào 2 phần địa chỉ IP của máy chủ

+ lựa chọn tài khoản để quản lý tên miền

+ sau khi đăng nhập vào my.dot.tk. ta click vào Domain Panel để vào danh sách các domain đã đăng ký , lựa chọn domain cần sử dụng sau đó click Modify

Cấu hình dịch vụ VPN Client to Site trên VPS và Client

+ trên VPS ta không cần nâng cấp Domain Controller hay DNS gì nữa, chỉ cần sử dụng dịch vụ của nhà cung cấp. Nếu ta làm vậy thì VPS sẽ bị mất kết nối

+ trên VPS ta mở dịch vụ Routing and Remote Access

+ click phải vào NEW- LIFE chọn “ Configure and Enable Routing and Remote Access ”

+ click NEXT

+ click VPN Access và LAN – Routing

+ click phải vào NEW-LIFE >> chọn Properties >> Tab IP>> Static Address Pool >> điền dãy IP mà bạn muốn VPN Server cấp cho các client khi kết nối vào

+ vào Computer Management tạo 2 User hongphuc và phuckon rùi cấp quyền truy cập từ xa cho 2 User này

+ trên windows 7 ta vào Network and Sharing Center >> Set up a connection a network

+ nhập User đã tạo trên VPN Server

+ trên máy windows XP : ta vào Network Connection >> Creat a new connection

+ nhập vào tên miền hoặc IP của VPN Server

+ kết nối thành công

+ trên win 7 ta tiến hành truy cập thư mục share của win xp

+ trên win xp ta cũng làm ngược lại

CHƯƠNG III : TRIỂN KHAI DỊCH VỤ MAIL SERVER 1. GIỚI THIỆU VỀ MAIL SERVER

1.1 Mail Server :

 Mail server hay còn gọi là máy chủ thư điện tử là máy chủ dùng để gửi và nhận thư điện tử, là một giải pháp dành cho các doanh nghiệp để quản lý và truyefn thông nội bộ, thực hiện các giao dịch thương mại yêu cầu sự ổn định, tính liên tục và với tốc độ nhanh, đồng thời đảm bảo tính an toàm của dữ liệu, khả năng bạkup cao….

 Các tính năng của Mail server o Nhận và gửi mail nội bộ.

o Email server sẽ quản lý toàn bộ các tài khoản email trong hệ thống nội bộ..

o Nhận mail từ server của Sender và phân phối mail cho các tài khoản trong hệ thống.

o Email server cho phép user có thể sử dụng webmail để nhận mail hoặc sử dụng Outlook hoặc cả hai, phụ thuộc vào việc cài đặt mail server.

 Các đặc tính của Mail server

o Có thể xử lý số lượng lớn thư điện tử hàng ngày o Có server riêng biệt

o Tính năng bảo mật và an toàn dữ liệu

o Có hệ thống quản trị ( control panel ) để quản lý và tạo các tài khoản email cho nhân viên

o Có thể cài đặt dung lượng tối đa cho từng email

o Nhân viên có thể tự đổi mật khẩu riêng với email server o Kiểm tra và quản lý nội dụng email của nhân viên công ty o Có khả năng chống virut và spam mail hiệu quả cực cao o Hỗ trợ Forwarder Email để cài đặt Email Offline

o Có thể check mail trên cả webmail và Outlook Express

Để tạo một Mail server có rất nhiều phần mềm, ở đây tôi sẽ giới thiệu với các bạn về Mdaemon, một phần mềm chạy Mail server nổi tiếng.

MDeamon là một phần mềm quản lý thư điện tử trên Server. Hiện nay trên thị trường có rất nhiều phần mềm cho phép cài đặt và quản trị hệ thống thư điện tử và nói chung chúng đều có tính năng cơ bản là tương tự như nhau. MDaemon là một phần mềm có giao diện thân thiện với người dùng (sử dụng giao diện đồ họa), chạy trên các hệ điều hành của Microsoft mà hiện nay hầu hết các máy tính tại Việt Nam đều sử dụng Microsoft.

Có khả năng quản lý nhiều tên miền và hàng trăm người dùng ( phụ thuộc và nhiều yếu tố như dung lượng đường truyền, phần cứng của Server).

Cung cấp nhiều công cụ hữu ích cho việc quản trị hệ thống cũng như đảm bảo an toàn cho hệ thống thư điện tử như :

Contant filter: Cho phép chống Spam và không cho phép gửi và nhận thư đến hoặc từ một địa chỉ xác định.

MDaemon Virus Scan: Quét các thư đi qua để tìm và diệt virus email.  Ldap: MDaemon có hỗ trợ sử dụng thủ tục Ldap cho phép các máy chủ

sử dụng chung cơ sở dữ liệu Account.

Mailing list: Tạo các nhóm người dung.

Public / Shared folder: Tạo thư mục cho phép mọi người được quyền sử dụng chung dữ liệu ở trong thư mục.

Domain POP: Sử dụng POP để lấy thư.

World Client: Cho phép người dùng có thể quản lý hộp thư của mình sử dụng WebBrower.

MDconf và Web Admin: Cho phép quản trị hệ thống thư điện tử từ xa và Web Admin cho phép quản trị trên Web Brower vv...

MDaemon Mail Server: Là một trong những hệ thống Mail Server toàn diện nhất

hiện được áp dụng cho các công ty, xí nghiệp với quy mô vừa và nhỏ. MDaemon Server hiện có 3 phiên bản: Standard, Pro và Free.

2. TRIỂN KHAI MAIL SERVER TRÊN MÔI TRƯỜNG INTERNET ( VPS )

Trên Dot.tk , trong phần Domain ta tiến hành add thêm 2 record là

Một phần của tài liệu tìm hiểu và triển khai dịch vụ vpn và triển khai dịch vụ mail server (Trang 36)

(159 trang)