VPN VÀ NAT:

Một phần của tài liệu công nghệ mạng riêng ảo vpn (Trang 42 - 61)

NAT hay còn gọi là Network Address Translation là một kĩ thuật ban đầu được phát minh để giải quyết vấn đề IP shortage.

Bộ chuyển đổi địa chỉ mạng là một loại thiết bị thường được cung cấp để sử dụng truy cập chia sẻ cho các mạng riêng (cá nhân) với mạng công cộng như Internet. Bởi vì NAT không làm việc với giao thức mà sử dụng mã hóa, một giải pháp VPN bao gồm một NAT có thể thêm vào một lớp phức tạp để triển khai VPN.

1. NAT vi kết ni PPTP

Nếu một khách hàng VPN sử dụng một kết nối PPTP l sau tường lửa NAT, NAT phải bao gồm một trình biên tập NAT có thể biên dịch lưu lượng PPTP. Trình biên tập NAT là cần thiết bởi vì đường hầm dữ liệu PPTP có đầu vào GRE hơn là đầu vào TCP hoặc đầu vào một UDP.Người sử dụng trình biên tập NAT gọi ID trong phần đầu GRE để xác định các luồng dữ liệu PPTP và biên dịch địa chỉ IP và gọi ID cho các gói dữ liệu PPTP được chuyển đến mạng riêng và Internet.

Trình biên tp NAT PPTP

Các thành phần giao thức định tuyến NAT/Basic Firewall của dịch vụ định tuyến và truy cập từ xa và các tính năng chia sẻ kết nối Internet của mạng kết nối bao gồm một trình biên tập NAT và lưu lượng PPTP.

2. NAT vi kết ni L2TP

Để sử dụng L2TP-Basic VPN dựa trên các kết nối phía sau một NAT, IPSec NAT Traversal (NAT-T) phải được thực hiện cả hai đầu của kết nối VPN.

a. IPSec NAT-T

IPSec NAT-T chỉ ra khó khăn trong việc sử dụngVPN nền IPSec qua NAT. Windows Server 2003 cho phép một kết nối L2TP/IPSec đi qua một NAT. Khả năng này được dựa trên các tiêu chuẩn mới nhất IETF.

IPSec NAT-T cho phép IPSec thỏa thuận ngang hàng và giao tiếp khi chúng được đặt sau NAT. Để sử dụng IPSec NAT-T, cả máy trạm truy cập từ xa VPN và máy chủ VPN truy cập từ xa phải hỗ trợ IPSec NAT-T. IPSec NAT-T được hỗ trợ bởi máy trạm VPN L2TP/IPSec chạy Microsoft Windows Server 2003 và L2TP/IPSec NAT-T cập nhật cho Windows XP và

L2TP/IPSec NAT-T Cập nhật cho Windows 2000. Trong suốt quá trình thương lượng IPSec , IPSec NAT-T ngang hàng có khả năng tự động xác định xem cả IPSec peer ban đầu (thường là một máy khách) và IPSec peer phản hồi (thường là một máy chủ) có thể thực hiện IPSec NAT-T. Ngoài ra, các peer IPSec NAT-T có khả năng tự động xác định bất kỳ NAT trong đường dẫn giữa chúng nếu có. Nếu cả hai điều kiện là đúng, các peer dùng IPSec NAT-T một cách tự động để gửi lưu lượng IPSec đã được bảo vệ.

b. Giao thc d liu người dùng – Đóng gói gói d liu bo mt UDP- ESP (User Datagram Protocol – Encapsuling Security Payload)

IPSec NAT-T cung cấp đóng gói UDP cho các gói tin IPSec để cho phép lưu lượng IKE và ESP đã được bảo vệ đi qua NAT. IKE tự động phát hiện sự hiện diện của NAT và sử dụng đóng gói UDP-ESP để cho phép lưu lượng IPSec bảo vệ bởi ESP đi qua NAT.

C.HIU CHNH VÀ CÔNG C THIT LP VPN

I. CÔNG C X LÝ S C TCP/IP:

Các công cụ Ping,Tracert, và Pathping sử dụng thông điệp ICMP Echo và Echo Reply để xác nhận kết nối, hiển thị đường dẫn đến một đích đến,và kiểm tra tính nguyên vẹn của tuyến đường đó. Lệnh “route print” có thể được sử dụng để hiển thị bảng định tuyến IP. Lần lượt, trên máy chủ VPN có thể sử dụng lệnh “netsh routing ip show rtmroutes” hoặc Routing và Remote Access snap-in. Công cụ Nslookup có thể sử dụng để khắc phục sự cố DNS và các vấn đề về độ chính xác tên.

II. CHNG THC VÀ ĐĂNG NHP TÀI KHON:

Một máy chủ VPN chạy trên Windows Server 2003 hỗ trợ việc theo dõi xác thực và thông tin tài khoản cho các kết nối VPN truy cập từ xa trong các tập tin theo dõi địa phương khi Windows xác thực và Windows tài khoản được kích hoạt. Quá trình theo dõi phân ra từ các sự kiện được ghi trên bảng theo dõi sự kiện hệ thống. Có thể sử dụng thông tin được ghi lại để theo dõi việc sử dụng truy cập từ xa và cố gắng xác thực.Việc theo dõi xác thực và tài khoản đặc biệt hữu ích để xử lý sự cố về vấn đề truy cập từ xa. Đối với mỗi cố gắng xác thực, tên của chính sách truy cập dù cố gắng kết nối có chấp nhận hay từ chối đều được ghi lại.

Kích hoạt tính năng theo dõi xác thực và tài khoản từ thẻ Settings trên các thuộc tính của đối tượng Local File trong của thư mục Remote Access Logging thuộc Routing and Remote Access snap-in (nếu các dịch vụ định tuyến và truy cập được cấu hình để xác thực và tài khoản Windows) hay Internet Authentication Service snap-in (nếu Routing và Remote Access được cấu hình cho xác thực và tài khoản RADIUS và máy chủ RADIUS là một máy chủ IAS).

Các thông tin xác thực và thông tin tài khoản được lưu trữ trong một file ghi có thể cấu hình hoặc các tập tin được lưu trong thư mục SystemRoot\System32\Logfile. Các file ghi được lưu trong IAS (Internet Authentication Server) hoặc định dạng cơ sở dữ liệu thích hợp, tức là bất cứ chương trình cơ sở dữ liệu nào cũng có thể đọc file ghi trực tiếp để phân tích.

Nếu máy chủ VPN được cấu hình để xác thực và tài khoản RADIUS và máy chủ RADIUS là máy tính đang chạy Windows 2003 và IAS. Các lưu trữ về xác thực và tài khoản được lưu trong thư mực SystemRoot\System32\LogFikes trên máy tính của máy chủ IAS.

ISA cho Windows Server 2003 cũng có thể gửi thông tin xác thực và thông tin tài khoản tới cơ sở dữ liệu SQL (Structured Query Language).

III. THEO DÕI S KIN:

Trên thẻ Logging trong phần thuộc tính của máy chủ VPN trong Routing và Remote Access snap-in, có bốn cấp theo dõi. Chọn Log all event và sau đó thử kết nối lại. Nếu kết nối thất bại, kiểm tra các bản ghi sự kiện hệ thống cho các sự kiện được ghi trong quá trình kết nối. Sau khi xem xong các sự kiện truy cập từ xa, chọn tùy chọn Log Errors and

warnings trên thẻ Logging để duy trì tài nguyên hệ thống. IV. THEO DÕI S KIN ISA:

Nếu máy chủ VPN của bạn được cấu hình để xác thực RADIUS và máy chủ RADIUS của bạn là máy tính chạy Windows server 2003 và IAS, kiểm tra theo dõi sự kiện hệ thống cho các sự kiện IAS để từ chối hoặc cho phép cố gắng kết nối. Các ghi chép về sự kiện hệ thống IAS chứa nhiều thông tin về cố gắng kết nối bao gồm cả tên của các điều khoản truy nhập từ xa cho phép hoặc từ chối cố gắng kết nối. Việc này được bật lên mặc định và được cấu hình từ thẻ Service trong các thuộc tính của máy trong Internet Authentication Service snap-in.

Trang 43

V. THEO DÕI PPP:

Theo dõi PPP ghi lại chuỗi chức năng lập trình và thông điệp điều khiển PPP trong quá trình kết nối PPP và là một nguồn thông tin có giá trị khi người dung giải quyết sự cố kết nối PPP thất bại. Để bật chế độ theo dõi PPP, chọn tùy chọn Log additional Routing and

Remote Access information trong thẻ Logging thuộc tính năng của máy chủ truy nhập từ

xa.

Theo mặc định,ghi chép theo dõi PPP được lưu giữ trong các tập tin Ppp.log thuộc thư mục

SystemRoot\Tracing.

VI. THEO VT:

Dịch vụ Routing and Remote Access của Windows Server 2003 có khả năng truy tìm bao quát mà người dùnh có thể sử dụng để khắc phục sự cố về những vấn đề mạng phức tạp. Người dùng có thể cho phép các thành phần trong Windows Server 2003 ghi chép thông tin truy tìm thành các file bằng cách dùng lệnh Netsh hoặc qua registry.

VII. THEO DÕI OAKLEY:

Có thể sử dụng theo dõi Oakley để xem chi tiết về quá trình thiết lập SA. Các theo dõi Oakley được kích hoạt trong registry. Nó không phải là kích hoạt mặc định. Để cho phép theo dõi Oakley, thiết lập các HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ PolicyAgent \ Oakley \ EnableLogging đăng ký thiết lập đến 1. Các phím Oakley không tồn tại theo mặc định và phải được tạo ra.

Sau khi nó được kích hoạt, tập tin theo dõi Oakley, được lưu trữ trong thư mục SystemRoot \ Debug, ghi lại tất cả các thương lượng IPSec SA. Một tập tin Oakley.log mới được tạo ra mỗi khi IPSec Policy Agent được bắt đầu và phiên bản trước của tập tin

Oakley.log được lưu dưới tên Oakley.log.sav

Để kích hoạt các thiết lập registry EnableLogging mới sau khi thay đổi giá trị của nó, dừng lại và bắt đầu các IPSec Policy Agent và dịch vụ IPSec liên quan bằng cách chạy chuỗi lệnh sau:

1. Ngừng dịch vụ Routing (định tuyến)và Remote Access(truy cập từ xa) bằng cách sử dụng lệnh net stop RemoteAccess

2. Ngừng các dịch vụ IPSec bằng cách sử dụng lệnh net stop policyagent . 3. Bắt đầu các dịch vụ IPSec bằng cách sử dụng lệnh net start policyagent .

4. Bắt đầu dịch vụ Routing(định tuyến) và Remote Access(truy cập từ xa) bằng cách sử dụng lệnh net start RemoteAccess.

VIII. GIÁM SÁT MNG:

Khi dùng bộ giám sát mạng, một công cụ phân tích và bắt gói được cung cấp cho Windows Server 2003 để bắt và xem lưu lượng gửi giữa máy chủ VPN và máy trạm VPN trong quá trình kết nối và truyền dữ liệu. Người dùng không thể can thiệp phần mã hóa của lưu lượng VPN bằng Bộ giám sát mạng. Bộ giám sát mạng được cài đặt như là một thành phần mạng tùy chọn.

Việc can thiệp thực sự của các truy cập từ xa và lưu lượng truy cập VPN của bộ giám sát mạng yêu cầu một sự hiểu biết sâu sắc về PPP, PPTP, IPSec, và các giao thức khác. Network Monitor có thể lưu dưới các file và gửi tới trung tâm hỗ trợ Microsoft để phân tích.

D.T THIT LP MNG RIÊNG O VPN S DNG MÁY O VMWARE

I. MÔ HÌNH:

II. PHƯƠNG PHÁP:

Tạo kết nối VPN Client to Site (hay còn gọi là Remote Access): được dùng khi một người ở xa muốn truy cập đến trụ sở của công ty của mình .

Để mô hình hóa cho kiểu kết nối này ta sử dụng phần mềm tạo máy ảo Vnware 7.1

Bước 1 : Cấu Hình cho VMware

1. Ta dùng hai máy ảo với các tên lần lượt như sau :VPN Server, Client 1, Client 2. Ở đây máy Client 2 (cá nhân người dùng, cài windowns XP) sẽ kết nối với Client 1 (máy tính công ty, cài windowns XP) thông qua máy VPN server (cài Windows Server 2003 Standard ).

Trang 45

2. Máy Client 1: tạo một card mạng, kiểu host-only (cấu hình IP tĩnh cho các máy dùng chung một mạng).

3. VPN Server : tạo hai card mạng gồm 1 Wan + 1 Lan (tượng trưng cho Public ở IP thực tế) kiểu host-only.

4. Client 2: tạo một card mạng , kiểu host-only.

5. VMware được tắt DHCP và NAT để tránh trường hợp nhầm mạng bên ngoài VMware.

Trang 47 Bước 2 : Cấu hình địa chỉ IP ở Client 1 và Client 2 .

1. Vì thử nghiệm trên môi trường máy ảo nên địa chỉ IP của Client 2 phải cùng Subnet mask với VPN Server thì mới thông nhau được. Còn trên thực tế thì máy Client 2 chỉ cần kết nối tới VPN Server thông qua Internet .

2. Máy Client 2 không được đặt Default Gateway.

Bước 3 : Cấu hình máy VPN Server

Trang 49

Next > click Custom Configuration > next

Tại Custom Configuration đánh dấu chọn VPN Access > next > Finish

Máy yêu cầu Start Service chọn Yes

Sau khi ok ,tại mục Adapter chọn Lan ( dùng để kết nối tới Client 1)> ok

Kiểm tra và đặt địa chỉ IP cho Local Area Connection 2 ( WAN )

Bước 4 : Kết nối Client 2 với Client 1 thông qua VPN .

Tại Client 2 :

Next : Network Connection type > click Connect to the network at my wordplace.

Next : Network Connection > click Vitual Private Netword Connection

Next : đặt company name “nhóm 7”

Next : VPN server selection . Đặt host name or IP .address “203.162.48.1”

Trang 53

Connect

Bước 5 : Kiểm tra

Kiểm tra lại các thông số kết nối :

Từ Client 2 ta làm như sau:

Windows + Run > cmd > ipconfig /all

Kiểm tra kết nối từ 2 Client đến VPN Server :

Client 1 :

E. PHỤ LỤC

I. DANH SÁCH CÁC TỪ VIẾT TẮT:

- VPN : Virtual Private Network - WAN : Wide Area Network

- PPTP : Point - to - Point Tunneling Protocol

- L2TP/IPSec : Layer Two Tunneling Protocol/Internet Protocol Security - IAS : Internet Authentication Service

- LAN : Local Area Network

- UNC : Universal Naming Convention

- TCP/IP : Transmision Control Protocol/Internet Protocol

- EAP - TLS : Extensible Authentication Protocol–Transport Layer Security - MS – CHAP : Microsoft Challenge – Handshake Authentication Protocol - SPAP : Shiva Password Authentication Protocol

- PAP : Password Authentication Protocol - MPPE : Microsoft Point – to – Point Encryption - DHCP : Dynamic Host Configuration Protocol - DNS : Domain Name System

- WINS : Window Internet Name Service - PPP : Point – to – Point Protocol - NAS : Network Access Server

- IETF – RFC : Internet Engineering Task Force – Request For Comment - GRE : Generic Routing Encapsulation

- ATM : Automatic Teller Machine - L2F : Layer Two Forwarding - UDP : User Datagram Protocol - ESP : Encapsulating Security Payload - ISP : Internet Service Provider - RIP : Routing Information Protocol - OSPF : Open Short Path First

- ICMP : Internet Control Message Protocol - FTP : File Transfer Protocol

Trang 55

- NAT : Network Address Translation - POP : Point Of Presence

- CMAK : Connection Manager Administration Kit - CPS : Connection Point Service

- IPCP : Internet Protocol Control Protocol

- RADIUS : Remote Authentication Dial – In User Service - SQL : Structured Query Language

- DC : Domain Controller - FEP : Front End Processor

- LAC ( L2TP AC ) : Layer Two Tunneling Protocol Access Concentrator - ISDN : Integrated Service Digital Network

- NDIS : Network Driver Interface Specification - LCP : Link Control Protocol

- OSI : Open System Interconnection - AH : Authentication Header

- SNMP : Simple Network Management Protocol - MIB : Management Information Base

- MD : Message Digest - CA : Certification Authorities

- PIN : Personal Identification Number - CIDR : Classless Interdomain Routing - SPF : Shortest Path First

- ABR : Area Border Router - NBMA : Non Broadcast Multiple - AS : Autonomous System

- ASBR : Autonomous System Boundary Router - DMZ : Demilitarized Zone

- DES : Data Encryption Standard - IKE : Internet Key Exchange

- NAT – T : Network Address Translation Traversal

II. TÀI LIỆU THAM KHẢO:

- VPN Technical Reference – Microsoft.

http://technet.microsoft.com/en-us/library/cc780737(WS.10).aspx

- Hướng dẫn cấu hình VPN trong Windows server 2003.

- Một số Website hướngdẫn thiết lập và cấu hình Mạng riêng ảo VPN khác.

F. BẢNG PHÂN CÔNG, ĐÁNH GIÁ

STT HMSSV và Tên Ni dung công vic được giao Nhn xét ca nhóm trưởng Cho Đánh giá

đim

1 Nguyễn Hoài Đức 0710374

Tìm tài liệu tiếng Anh, tham gia dịch thô và chỉnh sửa lại

nội dung bài dịch

Tài liệu chuẩn của Microsoft Nội dung dịch rõ ràng, sát với ý nghĩa của tài liệu gốc

(Nhóm trưởng) 2 Trương Quang Tuấn

0712471

Tham gia dịch thô toàn bộ nội dung

Nội dung dịch rõ ràng, sát

với ý nghĩa của tài liệu gốc 9 3 Nguyễn Đình Chính

0710369

Tham gia dịch thô toàn bộ nội dung

Nội dung dịch rõ ràng, sát

với ý nghĩa của tài liệu gốc 8 4 Nguyễn Anh Hào Kiệt

0712442

Tham gia dịch thô toàn bộ nội dung

Nội dung dịch rõ ràng, sát

với ý nghĩa của tài liệu gốc 9 5 Trương Thị Tố Uyên

0713869

Tham gia dịch thô phần “Tường lửa” và “Hiệu chỉnh,

công cụ thiết lập VPN”

Nội dung dịch rõ ràng, sát

với ý nghĩa của tài liệu gốc 9 6 Nguyễn Hữu Việt Tiến

0710393

Thiết lập, cấu hình VPN dùng máy ảo VMware

Hướng dẫn cụ thể, rõ ràng,

dễ hiểu 9

7 Nguyễn Thị Dạ Trâm 0712464

Thiết lập, cấu hình VPN dùng máy ảo VMware

Một phần của tài liệu công nghệ mạng riêng ảo vpn (Trang 42 - 61)

Tải bản đầy đủ (PDF)

(61 trang)