Có thể sử dụng theo dõi Oakley để xem chi tiết về quá trình thiết lập SA. Các theo dõi Oakley được kích hoạt trong registry. Nó không phải là kích hoạt mặc định. Để cho phép theo dõi Oakley, thiết lập các HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ PolicyAgent \ Oakley \ EnableLogging đăng ký thiết lập đến 1. Các phím Oakley không tồn tại theo mặc định và phải được tạo ra.
Sau khi nó được kích hoạt, tập tin theo dõi Oakley, được lưu trữ trong thư mục SystemRoot \ Debug, ghi lại tất cả các thương lượng IPSec SA. Một tập tin Oakley.log mới được tạo ra mỗi khi IPSec Policy Agent được bắt đầu và phiên bản trước của tập tin
Oakley.log được lưu dưới tên Oakley.log.sav
Để kích hoạt các thiết lập registry EnableLogging mới sau khi thay đổi giá trị của nó, dừng lại và bắt đầu các IPSec Policy Agent và dịch vụ IPSec liên quan bằng cách chạy chuỗi lệnh sau:
1. Ngừng dịch vụ Routing (định tuyến)và Remote Access(truy cập từ xa) bằng cách sử dụng lệnh net stop RemoteAccess
2. Ngừng các dịch vụ IPSec bằng cách sử dụng lệnh net stop policyagent . 3. Bắt đầu các dịch vụ IPSec bằng cách sử dụng lệnh net start policyagent .
4. Bắt đầu dịch vụ Routing(định tuyến) và Remote Access(truy cập từ xa) bằng cách sử dụng lệnh net start RemoteAccess.
VIII. GIÁM SÁT MẠNG:
Khi dùng bộ giám sát mạng, một công cụ phân tích và bắt gói được cung cấp cho Windows Server 2003 để bắt và xem lưu lượng gửi giữa máy chủ VPN và máy trạm VPN trong quá trình kết nối và truyền dữ liệu. Người dùng không thể can thiệp phần mã hóa của lưu lượng VPN bằng Bộ giám sát mạng. Bộ giám sát mạng được cài đặt như là một thành phần mạng tùy chọn.
Việc can thiệp thực sự của các truy cập từ xa và lưu lượng truy cập VPN của bộ giám sát mạng yêu cầu một sự hiểu biết sâu sắc về PPP, PPTP, IPSec, và các giao thức khác. Network Monitor có thể lưu dưới các file và gửi tới trung tâm hỗ trợ Microsoft để phân tích.
D.TỰ THIẾT LẬP MẠNG RIÊNG ẢO VPN SỬ DỤNG MÁY ẢO VMWARE
I. MÔ HÌNH:
II. PHƯƠNG PHÁP:
Tạo kết nối VPN Client to Site (hay còn gọi là Remote Access): được dùng khi một người ở xa muốn truy cập đến trụ sở của công ty của mình .
Để mô hình hóa cho kiểu kết nối này ta sử dụng phần mềm tạo máy ảo Vnware 7.1
Bước 1 : Cấu Hình cho VMware
1. Ta dùng hai máy ảo với các tên lần lượt như sau :VPN Server, Client 1, Client 2. Ở đây máy Client 2 (cá nhân người dùng, cài windowns XP) sẽ kết nối với Client 1 (máy tính công ty, cài windowns XP) thông qua máy VPN server (cài Windows Server 2003 Standard ).
Trang 45
2. Máy Client 1: tạo một card mạng, kiểu host-only (cấu hình IP tĩnh cho các máy dùng chung một mạng).
3. VPN Server : tạo hai card mạng gồm 1 Wan + 1 Lan (tượng trưng cho Public ở IP thực tế) kiểu host-only.
4. Client 2: tạo một card mạng , kiểu host-only.
5. VMware được tắt DHCP và NAT để tránh trường hợp nhầm mạng bên ngoài VMware.
Trang 47 Bước 2 : Cấu hình địa chỉ IP ở Client 1 và Client 2 .
1. Vì thử nghiệm trên môi trường máy ảo nên địa chỉ IP của Client 2 phải cùng Subnet mask với VPN Server thì mới thông nhau được. Còn trên thực tế thì máy Client 2 chỉ cần kết nối tới VPN Server thông qua Internet .
2. Máy Client 2 không được đặt Default Gateway.
Bước 3 : Cấu hình máy VPN Server
Trang 49
Next > click Custom Configuration > next
Tại Custom Configuration đánh dấu chọn VPN Access > next > Finish
Máy yêu cầu Start Service chọn Yes
Sau khi ok ,tại mục Adapter chọn Lan ( dùng để kết nối tới Client 1)> ok
Kiểm tra và đặt địa chỉ IP cho Local Area Connection 2 ( WAN )
Bước 4 : Kết nối Client 2 với Client 1 thông qua VPN .
Tại Client 2 :
Next : Network Connection type > click Connect to the network at my wordplace.
Next : Network Connection > click Vitual Private Netword Connection
Next : đặt company name “nhóm 7”
Next : VPN server selection . Đặt host name or IP .address “203.162.48.1”
Trang 53
Connect
Bước 5 : Kiểm tra
Kiểm tra lại các thông số kết nối :
Từ Client 2 ta làm như sau:
Windows + Run > cmd > ipconfig /all
Kiểm tra kết nối từ 2 Client đến VPN Server :
Client 1 :
E. PHỤ LỤC
I. DANH SÁCH CÁC TỪ VIẾT TẮT:
- VPN : Virtual Private Network - WAN : Wide Area Network
- PPTP : Point - to - Point Tunneling Protocol
- L2TP/IPSec : Layer Two Tunneling Protocol/Internet Protocol Security - IAS : Internet Authentication Service
- LAN : Local Area Network
- UNC : Universal Naming Convention
- TCP/IP : Transmision Control Protocol/Internet Protocol
- EAP - TLS : Extensible Authentication Protocol–Transport Layer Security - MS – CHAP : Microsoft Challenge – Handshake Authentication Protocol - SPAP : Shiva Password Authentication Protocol
- PAP : Password Authentication Protocol - MPPE : Microsoft Point – to – Point Encryption - DHCP : Dynamic Host Configuration Protocol - DNS : Domain Name System
- WINS : Window Internet Name Service - PPP : Point – to – Point Protocol - NAS : Network Access Server
- IETF – RFC : Internet Engineering Task Force – Request For Comment - GRE : Generic Routing Encapsulation
- ATM : Automatic Teller Machine - L2F : Layer Two Forwarding - UDP : User Datagram Protocol - ESP : Encapsulating Security Payload - ISP : Internet Service Provider - RIP : Routing Information Protocol - OSPF : Open Short Path First
- ICMP : Internet Control Message Protocol - FTP : File Transfer Protocol
Trang 55
- NAT : Network Address Translation - POP : Point Of Presence
- CMAK : Connection Manager Administration Kit - CPS : Connection Point Service
- IPCP : Internet Protocol Control Protocol
- RADIUS : Remote Authentication Dial – In User Service - SQL : Structured Query Language
- DC : Domain Controller - FEP : Front End Processor
- LAC ( L2TP AC ) : Layer Two Tunneling Protocol Access Concentrator - ISDN : Integrated Service Digital Network
- NDIS : Network Driver Interface Specification - LCP : Link Control Protocol
- OSI : Open System Interconnection - AH : Authentication Header
- SNMP : Simple Network Management Protocol - MIB : Management Information Base
- MD : Message Digest - CA : Certification Authorities
- PIN : Personal Identification Number - CIDR : Classless Interdomain Routing - SPF : Shortest Path First
- ABR : Area Border Router - NBMA : Non Broadcast Multiple - AS : Autonomous System
- ASBR : Autonomous System Boundary Router - DMZ : Demilitarized Zone
- DES : Data Encryption Standard - IKE : Internet Key Exchange
- NAT – T : Network Address Translation Traversal