Ưu điểm và nhợc điểm của VPN

Một phần của tài liệu Cài đặt, cấu hình và triển khai một số dịch vụ của mạng máy tính cho doanh nghiệp nhỏ (Trang 94)

6. Cài đặt và cấu hình VPN client to site

6.5Ưu điểm và nhợc điểm của VPN

6.5.1 Ưu điểm

VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thông và những mạng leased-line. Những lợi ích đầu tiên bao gồm:

- Đơn giản hóa những gánh nặng

- Những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng: Sử dụng một giao thức Internet backbone loại trừ những PVC tĩnh hợp với kết nối hớng những giao thức nh là Frame Rely và ATM.

- Tăng tính bảo mật: Các dữ liệu quan trong sẽ đợc che giấu đối với những ngời không có quyền truy cập và cho phép truy cậ đối với những ngời dùng có quyền truy cập.

- Hỗ trợ các giao thức mạng thông dụng nhất hiện nay nh TCP/IP

- Bảo mật địa chỉ IP: Bởi vì thông tin đợc gửi đi trên VPN đã đợc mã hóa do đó các địa chỉ bên trong mạng riêng đợc che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet

6.5.2 Nhợc điểm

- Yêu cầu về chuẩn: cả hai đầu đờng hầm yêu cầu phải dùng cùng một thiết bị để đảm bảo liên vận hành.

- Khó thiết lập và quản trị.

- Mọi thông tin dữ liệu qua VPN đều đợc mã hóa bất chấp có cần mã hóa hay không. Việc này có chiều hớng gây nên hiện tợng tắc nghẽn cổ chai.

- Không cung cấp bảo vệ ở trong mạng. VPN kết thúc ở đầu mạng. - Khi nhân viên đã vào đợc trong mạng thì dữ liệu không còn đợc mã hóa nữa.

6.6 Cài đặt và cấu hình VPN

Ta join máy làm VPN vào miền thaibinh.com Máy sử dụng hai card mạng:

+ Card LAN: kết nối với mạng nội bộ IP Address: 172.16.0.254

6.6.1 VPN dùng giao thức PPTP

Vào Start -> Programs -> Administrave Tools -> Routing and Remote Access

Chuột phải lên máy VPN chọn Configure and Enable Routing and Remote Access

Cửa sổ hiện ra chọn VPN, click Next

Trên cửa sổ hiện ra click vào WAN và bỏ dấu chọn “Enable security on the selected interface ….”, click Next. Nếu ta không bỏ dấu chọn thì chế độ bảo mật sẽ đợc bật trên giao diện này và ngăn cản các kết nối khiến việc truy cập VPN không thành công

Trên cửa sổ Address Range Assignment chọn New, gõ địa chỉ bắt đầu và kết thúc của dãi địa chỉ -> OK -> click Next

Các địa chỉ IP trong dãi địa chỉ này là các địa chỉ tĩnh sẽ đợc cấp phát (gán) cho ngời khi họ remote access từ Internet vào mạng nội bộ của công ty thông qua VPN

Nó cũng xác định số lợng kết nối tại cùng một thời điểm tối đa là bao nhiêu để tránh truy cập đồng thời lớn làm nghẽn mạng nội bộ

Trên cửa sổ Mânging Multiple Remote Access Servers chọn “No, use …” click Next

Chuột phải lên My Network Places chọn properties

Trên cửa sổ Network Connections chọn Create a new connection.

Trên cửa sổ Network Connection Type chọn Connect to the network at myworkplace -> click Next

Trên cửa sổ Network Connection chọn Virtual Private Network Connection -> click Next

Trên cửa sổ VPN Server Selection gõ địa chỉ interface WAN của máy VPN -> click Next

Nhấn Finish để kết thúc quá trình tạo nối kết

Để kết nối tới mạng nội bộ gõ tên và mật khẩu của tài khoản có quyền Allow access -> click Connect

Một kết nối đợc tạo ra. Click đúp vào kết nối, chọn thẻ Details để biết các thông số của kết nối

Vào Start -> Run -> gõ cmd -> Trên màn hình Dos gõ ipconfig /all ta thấy rằng máy có thêm một card mạng và có địa chỉ IP là 172.16.0.191 thể hiện sự kết nối với mạng nội bộ.

Trên cửa sổ Routing and Remote Access -> click Remote Access Policies -> click đúp lên các policy ở cửa sổ bên phải và chọn nh trong hình để cho phép quyền remote access

Trên cửa sổ Routing and Remote Access, chuột phải lên máy VPN chọn Properties

Cửa sổ hiện ra -> chọn thẻ Security -> đánh dấu chọn vào check box Allow custom IPSec policy for L2PT connection -> Nhập Pre-shared Key -> Apply -> OK

Ta thấy Pre-shared Key vừa nhập vào đã đợc mã hoá nh hình dới

Trên cửa sổ Routing and Remote Access chuột phải lên Port -> chọn Properties

Cửa sổ Port Properties hiện ra - > click vào WAN Miniport (PPTP) -> click Configure…

Bỏ dấu chọn ở cả hai check box nh hình dới -> OK để loại bỏ các kết nối PPTP

Điền số cổng tối đa là 10 để hạn chế sự kết nối quá nhiều cùng một thời điểm -> OK

Trên máy VPN Client, tại cửa sổ Connect -> click Properties

Trên cửa sổ hiện ra chọn thẻ Security -> chọn Advanced (custom settings) -> Click IPSec Settings

Từ máy Client ngoài mạng

Vào Start -> Run -> gõ \\172.16.0.1 là địa chỉ của máy nội bộ

7. Cài đặt và cấu hình dịch vụ NAT (Network Address Translation) 7.1 Định nghĩa NAT

NAT hay còn gọi là Network Address Translation là một kỉ thuật đợc phát minh dùng để giải quyết vấn đề IP shortage. Khi có hai máy tính ở trên cùng một lớp mạng (cùng subnet), các máy tính này kết nối trực tiếp với nhau, điều này có nghĩa là chúng có thể gởi và nhận dữ liệu trực tiếp với nhau. Nếu những máy tính này không trên cùng một lớp mạng và không có kết nối trực tiếp thì dữ liệu sẽ đợc chuyển tiếp qua lại giữa những lớp mạng này và nh thế phải cần một router (có thể là phần mềm hoặc phần cứng) #ây là trờng hợp khi một máy tính nào đó muốn kết nối tới một máy khác trên internet.

7.2 Nguyên tắc hoạt động của NAT

NAT làm việc nh một router, công việc của nó là chuyển tiếp các gói tin (packets) giữa những lớp mạng khác nhau trên một mạng lớn. Bạn cũng có thể nghĩ rằng Internet là một mạng đơn nhng có vô số subnet. Routers có đủ khả năng để hiểu đợc các lớp mạng khác nhau xung quanh nó và có thể chuyển tiếp những gói tin đến đúng nơi cần đến.

NAT sử dụng IP của chính nó làm IP công cộng cho mỗi máy con (client) với IP riêng. Khi một máy con thực hiện kết nối hoặc gởi dữ liệu tới một máy tính nào đó trên internet, dữ liệu sẽ đợc gởi tới NAT, sau đó NAT sẽ thay thế địa chỉ IP gốc của máy con đó rồi gửi gói dữ liệu đi với địa chỉ IP của NAT. Máy tính từ xa hoặc máy tính nào đó trên internet khi nhận đợc tín hiệu sẽ gởi gói tin trở về cho NAT computer bởi vì chúng nghĩ rằng NAT computer là máy đã

- Dữ liệu khi nhận đợc từ máy tính từ xa sẽ đợc chuyển tới cho các máycon.

7.4 Giao thức và ứng dụng mà NAT hoạt động

Giao thức sử dụng đa kết nối hoặc đa phơng tiện và nhiều kiểu dữ liệu (nh là FTP hoặc RealAudio). Với FTP, khi bạn bắt đầu công việc truyền file, bạn thực hiện một kết nối tới FTP server bởi FTP client, máy client kết nối vào và yêu cầu đợc truyền file hoặc th mục, với một vài FTP client bạn sẽ thấy một hiện tợng gì đó nh lệnh port, những gì mà dòng lệnh này đang thực hiện là thiết lập kết nối dữ liệu để gởi tập tin hoặc th mục về lại cho FTP client. Cách thực hiện công việc nh vậy có nghĩa là máy client "nói" với server rằng "hãy kết nối với tôi trên địa chỉ IP này và trên cổng này để truyền dữ liệu".

Vấn đề ở đây là máy client chỉ cho server biết để kết nối ngợc lại trên địa chỉ IP nội bộ bên trong mạng LAN của chính nó, còn đích đến của gói tin do client yêu cầu lại là một địa chỉ nằm ngoài Internet và nh vậy server sẽ không tìm đ- ợc địa chỉ IP này và thất bại nếu server cố gắng tìm kiếm và kết nối với địa chỉ này, đây là lúc phải cần tới NAT.

Hầu hết các giải pháp NAT đều có sự hỗ trợ đặc biệt đối với giao thức FTP và yêu cầu đối với máy tính đợc cấu hình NAT là máy tính đó phải có địa chỉ IP tĩnh (static IP). Bởi vì các máy tính trong mạng nội bộ sẽ dùng địa chỉ LAN của máy NAT server làm cổng mặc định (Default gateway) để gửi và nhận dữ liệu khi giao tiếp với mạng ngoài.

7.5 Cài đặt và cấu hình NAT Server

Máy NAT Server sử dụng hai cạc mạng:

+ Card LAN: dùng để kết nối tới mạng nội bộ IP Adress: 172.16.0.254

Subnet Mask : 255.255.0.0 Default Gateway : để trống

Cửa sổ Routing and Remote Access hiện ra -> chuột phải lên máy NAT server chọn Configure and Enable Routing and Remote Access.

Cửa sổ hiện ra -> chọn Custom Configuration -> click Next

Click Finish để kết thúc quá trình cài đặt

Click Yes để khởi động dịch vụ

Click WAN -> OK

Cửa sổ hiện ra -> đánh dấu chọn vào “Public interface connected to the Internet” và “Enable NAT on this interface” -> click Next

Click IP Routing -> chuột phải lên NAT/Basic Firewall -> New Interface

Chọn “Private interface connected to private network” -> OK

Chuột phải lên NAT server -> All Tasks -> click Restart

Đăng nhập vào một máy trong mạng nội bộ vào màn hình Dos đánh lệnh Ping ra máy ở ngoài mạng -> kết nối thông.

Bây giờ ta sẽ cấu hình để máy ở mạng ngoài có thể truy cập vào website của công ty

Chuột phải lên WAN -> Properties

Cửa sổ WAN properties hiện ra -> chọn thẻ Services and Ports. Vì ở đây ta chỉ muốn cho các users Internet truy cập đợc website của công ty, do đó ta chỉ cho phép dịch vụ Web Server (HTTP), port 80

Click Apply -> OK

Sau khi cấu hình xong ta đăng nhập vào một máy mạng WAN, mở trình duyệt IE và gõ địa chỉ 192.168.1.2 là địa chỉ WAN của máy NAT server -> Enter

Nhng ngời dùng Internet sẽ không biết địa chỉ IP này để vào website của công ty, do vậy ta phải ánh xạ bằng một tên miền thì ngời dùng mới có thể nhớ đợc. Ta làm nh sau:

Trên máy NAT server ta sẽ cài đặt DNS để phân giải cho địa chỉ 192.168.1.2 thành địa chỉ dạng www.thaibinh.com

Vào Start -> Settings -> Control Panel -> Add or Remove programs -> Add or Remove Windows Components -> Networking Services -> DNS.

Sau khi cài đặt xong ta cấu hình cho DNS Chuột phải lên Forward Lookup Zone -> New Zone

Chọn Primary zone -> click Next

Chuột phải lên zone thaibinh.com vừa tạo chọn New Host (A)

Gõ www và địa chỉ IP là địa chỉ WAN của máy NAT server (192.168.1.2) -> click Add Host

8. Cài đặt và cấu hình Mail Server

Cho đĩa CD cài đặt microsoft exchange server 2003 vào CD ROM và chạy file setup.exe.

Chạy file setup.exe xuất hiện cửa sổ sau: chọn Exchange Deployment Tools để bắt đầu quá trình cài đặt. Trong cửa sổ này bạn hoàn toàn có thể xem

Chọn deploy the first exchange 2003 server. Chọn options install

exchange 2003 on additions server khi muốn cài một máy chủ exchange khác

có vai trò tơng tự nh máy chủ đầu tiên. cái này vai trò tơng tự nh additions của máy chủ domain controller. Trong phần này chọn options đầu tiên cài đặt máy chủ exchange đầu tiên để bắt đầu cài đặt.

Controler Diagnostics) tiện ích chuẩn đoán Domain Controler. NetDiag (Network Connectivity Tester) tiện ích kiểm tra kết nối mạng mạng.

- Chạy tiện ích NetDiag (Network Connectivity Tester) để kiểm tra kết nối mạng mạng và hệ thống phân giải tên miền DNS.

- Tơng tự nh bớc 4.

- forestprep mở rộng active directory để hỗ trợ exchange server 2003. - Chọn Brower và chọn đến file setup.exe rồi nhấn run forestprep now. Exchange2003 ForestPrep để mở rộng giản đồ Active Directory bao gồm các lớp và thuộc tính đặc biệt của Exchange. ForestPrep cũng tạo ra đối tợng chứa Exchange organization trong Active Directory.Sự mở rộng giản đồ cung cấp cho Exchange2003.

Tài khoản dùng để chạy ForestPrep phải là một thành viên của Enterprise Administrator và nhóm Schma Administrator.

hình.

- Tìm hiểu các tính năng và các hỗ trợ của hệ điều hành Microsoft Windows Server 2003 khi triển khai một mạng Domain.

- Quá trình thực thi các dịch vụ mạng cơ bản trên nền Microsoft Windows Server 2003

- Làm việc với các dịch vụ cơ bản, hiểu sâu sắc hơn về nguyên tắc cũng nh cơ chế hoạt động của các dịch vụ. Qua đó triển khai các dịch vụ đó trên môi trờng thực tế.

Về mặt ứng dụng, đồ án đã xây dựng đợc một mô hình mạng với các dịch vụ đ- ợc cài đặt và cấu hình trên nền Microsoft Windows Server 2003 nh sau:

- Cài đặt và cấu hình máy chạy Microsoft Windows Server 2003 lên thành máy chủ quản trị miền

- Cài đặt và cấu hình các dịch vụ DNS, DHCP - Làm việc với tài khoản ngời dùng miền

- Cài đặt và cấu hình Web Server và FTP Server để public và chia sẻ dữ liệu

- Triển khai các dịch vụ NAT và VPN hỗ trợ truy cập từ xa - Triển khai Mail Server (Exchange) để trao đổi thông tin nội bộ

2. Hạn chế, thiếu sót

- Do tầm kiến thức còn hạn chế nên việc triển khai các dịch vụ còn hạn hẹp và khó tránh khỏi các sai sót.

- Thời gian tìm hiểu ngắn và thiếu thiết bị thực hành nên việc triển khai trên thực tế là cha thiết thực

Chính vì vậy hớng phát triển của đồ án là phải xây dựng các dịch vụ mạng tốt hơn, mở rộng quy mô, tìm hiểu thêm các dịch vụ hỗ trợ, các hình thức bảo mật và cách khắc phục khi mạng xảy ra sự cố, đáp ứng các yêu cầu mới.

4. Giáo trình mạng ACNA của APTECH 5. Internet

Một phần của tài liệu Cài đặt, cấu hình và triển khai một số dịch vụ của mạng máy tính cho doanh nghiệp nhỏ (Trang 94)

(134 trang)