7.4.1. Giới thiệu chung
Chúng ta đã có tất cả người dùng của công ty được kết nối và đang làm việc còn các nhánh văn phòng ở xa đang liên lạc với nhau, Tổng công ty phải giao dịch thương mại với phần còn lại của thế giới. Quản trị mạng của Tổng công ty tạo một mạng riêng mở rộng để có thể kết nối với các đối tác thương mại qua các kết nối mạng riêng ảo. Mạng tổng công ty mở rộng là mạng kết nối với máy chủ mạng riêng ảo của Tổng công ty và chứa File Server, WebServer. Truy cập tới các tài nguyên bên trong từ các tiện ích này có thể được hoàn tất qua Web Proxy và các dịch vụ đầu cuối, và như vậy việc bảo vệ đượccác tài nguyên tổng công ty trước những liên lạc trực tiếp bởi các Client ngoài công ty. Các chính sách IPSec có thể được dùng giữa các tài nguyên mở rộng và các tài nguyên cục bộ để đảm bảo các tài nguyên không bị tổn thương. Các công ty X, Y là các đối tác thương mại của Tổng công ty. Họ kết nối tới mạng mở rộng của Tổng công ty bằng cách sử dụng các kết nối mạng riêng ảo mở rộng. Ngoài ra, chính sách truy cập từ xa được sử dụng để đảm bảo rằng các đối tác thương mại chỉ có thể truy cập File Server và WebServer.
File Server trên mạng Tổng công ty được cấu hình với một địa chỉ IP là 172.31.0.10 và Web Server được cấu hình với một địa chỉ IP là 172.31.0.11, Công ty X sử dụng một các địa chỉ có phần định danh mạng công cộng là 131.107.254.0 với một mặt nạ mạng là 255.255.255.0 (131.107.254.0/24), Công ty X sử dụng các địa chỉ có phần định danh mạng công cộng là 131.107.250.0 với một mặt nạ mạng là 255.255.255.0 (131.107.250.0/24). Để đảm bảo rằng Webserver và File Server có thể kết nối tới được các đối tác thương mại, các đường định tuyến tĩnh được cấu hình trên File server và Webserver cho cho mỗi mạng của đối tác thương mại sử dụng Gateway có địa chỉ là 172.31.0.1
Để đơn giản hoá việc cấu hình, kết nối mạng riêng ảo là một kết nối khởi tạo 2 chiều. Router của các đối tác thương mại luôn luôn khởi tạo kết nối. Sơ đồ kết nối cho kịch bản mạng riêng ảo mở rộng được minh hoạ như trong hình 8.1
An toàn Mạng riêng ảo
7.4.2. Các công việc cài đặt
7.4.2.1. Cấu hình máy chủ mạng riêng ảo7.4.2.1.1. Cấu hình chung 7.4.2.1.1. Cấu hình chung
Để triển khai các kết nối mạng riêng ảo đối tác để kết nối Công ty X, Y với mạng mở rộng của Tổng công ty A, máy chủ mạng riêng ảo được thiết lập theo cấu hình cơ bản như trong mục 7.3.1.2.1 của chương VII. Ngoài ra cần phải cấu hình thêm như sau:
7.4.2.1.2. Cấu hình Domain
Với kết nối mạng riêng ảo tới Công ty X, tài khoản người dùng cho X phải được tạo trên máy chủ Domain của Tổng công ty, các tham số của tài khoản cần quan tâm như:
- Mật khẩu
- Thiết lập mức cho phép với tài khoản này đề kiểm soát truy cập qua chính sách truy cập từ xa và thêm vào đường định tuyến tĩnh 121.107.254.0 với mặt nạ mạng là 255.255.255.0.
- Tài khoản này nên đưa vào một nhóm để dễ quản lý, chẳng hạn là nhóm VPN_Partner
Với kết nới mạng riêng ảo tới đối tác Y ta cũng tạo một tài khoản như trên cùng với đường định tuyến được thêm vào là 131.107.250.0 mặt nạ mạng là 255.255.255.0 7.4.2.1.3. Cấu hình chính sách truy cập từ xa Y X A A
Để xác định các thiết lập mã hoá và xác thực cho các kết nối mạng riêng ảo với các đối tác thương mại, cần phải tạo ra chính sách truy cập từ xa, với các tham số cơ bản cần phải lưu ý như:
- Tên chính sách, chẳng hạn là VPN Partners
- Phương thức truy cập, tham số này ta chọn là VPN - Người dùng hoặc nhóm truy cập
- Các phương pháp xác thực: chẳng hạn như EAP, MS-CHAPv2 - Mức mã hoá: thường nên chọn mã hoá mạnh và mạnh nhất
Sau khi chính sách truy cập từ xa được tạo, cấu hình của nó có thể phải được sửa đổi để cho phù hợp theo các tham số:
- Cấu hình các bộ lọc gói TCP/IP, trong đó + Bộ lọc vào:
• Filter 1: Địa chỉ IP mạng đích là 172.31.0.10 và mặt nạ mạng là 255.255.255.255
• Filter 2: Địa chỉ IP mạng đích là 172.31.0.11 và mặt nạ mạng là 255.255.255.255
• Filter Action: Chỉ cho phép các gói được liệt kê + Bộ lọc ra:
• Filter 1: Địa chỉ IP mạng nguồn là 172.31.0.10 và mặt nạ mạng là 255.255.255.255
• Filter 2: Địa chỉ IP mạng nguồn là 172.31.0.11 và mặt nạ mạng là 255.255.255.255
• Filter Action: Chỉ cho phép các gói được liệt kê
Những phần sau mô tả một mạng mở rộng dựa trên PPTP cho đối tác Y và một mạng mở rộng dựa trên L2TP/IPSec cho đối tác Y