Chương 2 Giao thức mạng riêng ảo tại tẩng 2
7.2. Triển khai mạng riêng ảo Site –to – Site
Trong phần này trước chúng ta đã mô tả các phần tử cần thiết cho mạng riêng ảo theo mơ hình kết nối Site – to – Site. Trong phần này chúng ta xem xét các bước để triển khai giải pháp mạng riêng ảo Site – to – Site dựa trên PPTP hoặc L2TP với IPSec. Việc triển khai giải pháp này bao gồm các bước cơ bản như sau:
- Triển khai cơ sở hạ tầng cung cấp chứng chỉ: Cho phép ta triển khai các dịch vụ cung cấp chứng chỉ cho cả hai phía của liên kết
- Triển khai cơ sở hạ tầng Internet: Cho phép ta kết nối tới Internet từ cả hai phía của liên kết
- Triển khai Router trả lời: Triển khai máy chủ mạng riêng ảo sẽ nhận các yêu cầu kết nối mạng riêng ảo
- Triển khai Router gọi: Triển khai máy chủ mạng riêng ảo sẽ khởi tạo các yêu cầu kết nối mạng riêng ảo
- Triển khai cơ sở hạ tầng AAA: Cho phép xác thực, cấp quyền và kiểm tốn các kết nối cho cả hai phía của liên kết
- Triển khai cơ sở hạ tầng của nhánh mạng bên trong: Cho phép chuyển tiếp các gói dữ liệu tới các nhánh mạng qua kết nối mạng riêng ảo Site – to – Site
7.2.1. Triển khai cơ sở hạ tầng cung cấp chứng chỉ
Ta sẽ sử dụng các chứng chỉ số cho xác thực bất cứ khi nào có thể. Với các kết nối L2TP/IPSec, các chứng chỉ số như là một yêu cầu. Với các kết nối mạng riêng ảo dựa trên PPTP, một cơ sở hạ tầng chứng chỉ số chỉ cần thiết lúc ta sử dụng xác thực EAP-TLS. Nếu chỉ đang sử dụng một giao thức xác thực dựa trên mật khẩu như MS-CHAPv2, thì cơ sở hạ tâng chứng chỉ là khơng cần thiết.
Hầu hết những người quản trị sử dụng PPTP để tránh các vấn đề về các yêu cầu chứng chỉ số hay thích hợp hơn qua các NAT với một giao thức không IPSec. Tuy nhiên, trong kịch bản Site – to – Site, sử dụng một phương thức xác thực dựa trên chứng chỉ số sẽ đạt được mức an toàn tốt nhất.
Để sử dụng xác thực EAP-TLS cho các kết nối mạng riêng ảo Site – to – Site, ta phải thực hiện các bước sau:
- Cài đặt dịch vụ cung cấp chứng chỉ cho người dụng trên mỗi Router gọi - Cấu hình EAP-TLS trên Router gọi
- Cài đặt dịch vụ xác thức trên máy chủ xác thực(trên Router trả lời hoặc máy chủ RADIUS)
- Cấu hình EAP-TLS trên máy chủ xác thực và với chính sách bảo mật cho các kết nối site – to – site
7.2.2. Triển khai cơ sở hạ tầng Internet
Ý tưởng của các kết nối mạng riêng ảo Site – to – Site là sử dụng Internet như mạng trung gian cho các liên lạc mạng diện rộng của tổ chức, và như vậy loại trừ được đường thuê riêng chi phí đắt. Cơ sở hạ tầng Internet là phần mạng được kết nối trực tiếp tới mạng công cộng mà mạng riêng ảo sẽ được triển khai qua đó. Trong phần này, chúng ta sẽ xem xét tất cả các bước cho việc triển khai các Router VPN trên Internet. Triển khai cơ sở hạ tầng Internet cho các kết nối mạng riêng ảo bao gồm các bước sau:
- Đặt các Router VPN trong mạng vành đai hoặc trên Internet - Cấu hình các giao diện Internet cho Router VPN
Bước đầu tiên trong việc triển khai các Router VPN là xác định vị trí đặt của chúng trong mối tương quan với Firewall Internet. Trong cấu hình thơng dụng nhất, các Router VPN được đặt sau Firewall trên mạng vành đai giữa nhánh mạng của ta và Internet, ta cần phải cấu hình bộ lọc gói trên firewall để cho phép luồng lưu lượng mạng riêng ảo đến và đi từ địa chỉ IP của các giao diện mạng vành đai của Router VPN. Trên cả hai Server gọi và trả lời, ta đều phải thiết lập kết nối Internet. Với Card mạng kết nối tới Internet hay mạng vành đai, cấu hình giao thức TCP/IP với một địa chỉ IP công cộng, một subnet mask và một cổng kết nối ngầm định của hoặc firewall hoặc một Router của ISP
7.2.2.1. Triển khai các Router trả lời
Chúng ta cần thiết lập Router trả lời với các cấu hình thích hợp cho một kết nối mạng riêng ảo Site – to – Site. Thủ tục bao gồm:
Cấu hình kết nối Router trả lời tới nhánh mạng và cài đặt dịch vụ định tuyến: Trên giao diện thứ 2 của Router trả lời, cấu hình card mạng kết nối tới
nhánh mạng bằng cách cấu hình TCP/IP, bao gồm một địa chỉ IP, subnet mask, máy chủ DNS. Chú ý rằng, chúng ta khơng phải cấu hình cổng kết nối ngầm định trên các giao diện kết nối tới nhánh mạng. Nếu cấu hình một đường định tuyến ngầm định trên các giao diện kết nối tới nhánh mạng, nó sẽ tạo một đường định tuyến ngầm định đối lập với trong bản định tuyến và việc định tuyến tới Internet có thể khơng thực hiện đúng
Cấu hình giao diện kết nối :
Bây giờ chúng ta đã có những cơ sở về các dịch vụ định tuyến và các thiết lập TCP/IP trên Server. Chúng ta cần cấu hình đúng đắn giao diện mạng sẽ kiểm sốt sự kích hoạt của kết nối mạng riêng ảo Site – to – Site.
7.2.2.2. Triển khai các Router gọi
Bây giờ chúng ta phải cấu hình cho Router gọi. Việc triển khai Router gọi cho một kết nối mạng riêng ảo Site – to – Site bao gồm các bước sau:
- Cấu hình kết nối của Router gọi tới nhánh mạng và cài đặt dịch vụ định tuyến: Cấu hình kết nối được kết nối tới nhánh mạng bằng việc cấu hình
TCP/IP bao gồm một địa chi IP, một mặt nạ mạng con, các máy chủ DNS. Nếu ta cấu hình một đường định tuyến ngầm định trên kết nối nhánh mạng, nó sẽ tạo một đường định tuyến mặc định xung đột trong bảng định tuyến và việc định tuyến tới Internet có thể khơng thực hiện đúng
- Cấu hình giao diện: Dựa vào dịch vụ định tuyến, xác định tên cho giao
diện, kiểu kết nối, giao thức đường hầm sẽ sử dụng, xác định địa chỉ đích là địa chỉ của Router trả lời, tạo các đường định tuyến tĩnh cho các mạng từ xa và gán các đường định tuyến tĩnh cho giao diện, cung cấp các thông tin liên quan đến tài khoản người dùng cho việc xác thực kết nối về sau
7.2.3. Triển khai cơ sở hạ tầng AAA
Việc triển khai cơ sở hạ tầng AAA cho các kết nối mạng riêng ảo Site – to – Site bao gồm các bước sau:
- Cấu hình dịch vụ thư mục cho các tài khoản người dùng và các nhóm - Cấu hình máy chủ xác thực Internet IAS
7.2.3.1. Cấu hình dịch vụ thư mục cho các tài khoản người dùng và các nhóm nhóm
Dịch vụ thư mục là tài nguyên trung tâm cho việc duy trì và kiểm sốt tất cả các truy cập mạng, bao gồm cả các kết nối mạng riêng ảo Site – to – Site. Để cấu hình dịch vụ thư mục.
- Đảm bảo rằng tất cả các Router gọi đang tạo kết nối Site – to – Site có một tài khoản tương ứng
- Thiết lập các mức cho phép cho tài khoản người dùng trên mỗi Router gọi để cho phép hoặc từ chối truy cập để quản lý các truy cập từ xa của người dùng hoặc nhóm, thiết lập mức cho phép trên các tài khoản người dùng để kiểm sốt truy cập qua chính sách truy cập từ xa.
- Tổ chức tài khoản người dùng trên Router gọi thành các nhóm thích hợp để thuận tiện trong việc áp dụng các chính sách truy cập từ xa.
7.2.3.2. Cấu hình máy chủ dịch vụ xác thực Internet(IAS)
Máy chủ dịch vụ xác thực Internet phải có khả năng truy cập đến các thông tin về thuộc tính của tài khoản. Nếu IAS được cài đặt riêng mà không phải trên máy chủ điều khiển miền, ta phải cấu hình để máy chủ IAS có thể đọc được các tài khoản của người dùng trong Domain
Nếu máy chủ IAS xác thực và cấp quyền cho các kết nối mạng riêng ảo với các tài khoản người dùng trong các Domain khác nhau, phải kiểm tra xem các Domain đó có một quan hệ tin cậy hai chiều với Domain mà máy chủ IAS là một thành viên hay khơng.
Nếu có các tài khoản trong các Domain khác và các Domain khơng có quan hệ tin cậy hai chiều với Domain mà máy chủ IAS là thành viên, ta phải cấu hình một RADIUS uỷ quyền giữa các Domain khơng có quan hệ tin cậy
7.2.4. Triển khai cơ sở hạ tầng mạng chi nhánh
Đến thời điểm này, chúng ta có các máy chủ VPN thiết lập và kết nối tới Internet, và chúng có khả năng xác thực mỗi tài khoản người dùng của các Server khác. Bây giờ chúng ta cần cấu hình các Router để chuyển tiếp luồng lưu lượng tới các mạng khác. Triển khai cơ sở hạ tầng mạng của một nhánh mạng với các kết nối mạng riêng ảo Site – to – Site bao gồm các bước sau
- Kiểm tra khả năng nối tới được các Router VPN
- Cấu hình định tuyến cho các vùng địa chỉ thuộc mạng con ngoại lệ
7.2.4.1. Cấu hình định tuyến trên các Router VPN
Với các Router VPN để chuyển tiếp được luồng lưu lượng tới các vị trí trong nhánh mạng mà chúng được đặt vào, ta phải cấu hình chún với các đường định tuyến tĩnh khác nhau, những đường định tuyến tĩnh này tổng kết tất cả những địa chỉ có thể được dùng trên các nhánh mạng khác hoặc với các giao thức định tuyến và như vậy Router VPN có thể hoạt động như một Router động và tự động thêm các đường định tuyến cho các nhánh mạng con vào bảng định tuyến của nó
7.2.4.2. Kiểm tra khả năng kết nối tới được mỗi Router VPN
Từ mỗi Router VPN, kiểm tra xem Router VPN có khả năng phân giải tên và liên lạc thành công với các tài nguyền trong nhánh mạng của Router VPN hay khơng
7.2.4.3. Cấu hình định tuyến cho vùng địa chỉ IP ngoại lệ
Nếu đã cấu hình các Router VPN với một vùng địa chỉ tĩnh và vùng này thuộc vùng mạng con ngoại lệ, ta phải đảm bảo rằng đường định tuyến hoặc các vùng địa chỉ thuộc mạng con ngoại lệ mô tả các đường định tuyến được mô tả trong cơ sở hạ tầng định tuyến nhánh mạng của ta. Điều này được yêu cầu để kết nối tới được các giao diện ảo của các Router gọi. Ta có thể đảm bảo điều này bằng việc bổ sung các đường định tuyến tĩnh hoặc các vùng địa chỉ thuộc vùng mạng con ngoại lệ mô tả các đường định tuyến như các đường định tuyến tĩnh tới các Router kế cận của các Router VPN và sau đó sử dụng giao thức định tuyến của nhánh mạng chúng ta để phân phôi đường định tuyến tới các Router khác. Khi ta bổ sung các đường định tuyến tĩnh, ta phải xác định cổng kết nối là giao diện nhánh mạng của Router VPN.
7.2.5. Triển khai cơ sở hạ tầng mạng ngoài chi nhánh
Mỗi Router cần biết về các đường định tuyến trong các nhánh mạng của các Router VPN khác và như vậy nó có thể chuyển tiếp đúng luồng lưu lượng tới các phía khác của kết nối mạng riêng ảo. Việc triển khai cơ sở hạ tầng ngoài chi nhánh bao gồm việc cấu hình mỗi Router VPN với tập các đường định tuyến
cho các mạng con sẵn dùng trong các nhánh mạng khác. Điều này có thể thực hiện được theo các cách sau đây :
- Cấu hình thủ cơng các đường định tuyến trên mỗi Router VPN - Thực hiện việc cập nhật tự động trên mỗi Router VPN
- Cấu hình giao thức định tuyến để hoạt động qua kết nối mạng riêng ảo