Cấu hình kết nối dựa trên L2TP/IPSec

Một phần của tài liệu an toàn mạng riêng ảo (Trang 192 - 198)

7.3.2.3.1. Cấu hình máy chủ mạng riêng ảo

7.3.2.3.2. Cấu hình thiết bị định tuyến trên nhánh văn phòng Y 7.3.3. Tổng kết thực hành

7.4. Xây dựng mạng riêng ảo đối tác7.4.1. Giới thiệu chung 7.4.1. Giới thiệu chung

Chúng ta đã có tất cả người dùng của công ty được kết nối và đang làm việc còn các nhánh văn phòng ở xa đang liên lạc với nhau, Tổng công ty phải giao dịch thương mại với phần còn lại của thế giới. Quản trị mạng của Tổng công ty tạo một mạng riêng mở rộng để có thể kết nối với các đối tác thương mại qua các kết nối mạng riêng ảo. Mạng tổng công ty mở rộng là mạng kết nối với máy chủ mạng riêng ảo của Tổng công ty và chứa File Server, WebServer. Truy cập tới các tài nguyên bên trong từ các tiện ích này có thể được hoàn tất qua Web Proxy và các dịch vụ đầu cuối, và như vậy việc bảo vệ đượccác tài nguyên tổng công ty trước những liên lạc trực tiếp bởi các Client ngoài công ty. Các chính sách IPSec có thể được dùng giữa các tài nguyên mở rộng và các tài nguyên cục bộ để đảm bảo các tài nguyên không bị tổn thương. Các công ty X, Y là các đối tác thương mại của Tổng công ty. Họ kết nối tới mạng mở rộng của Tổng công ty bằng cách sử dụng các kết nối mạng riêng ảo mở rộng. Ngoài ra, chính sách truy cập từ xa được sử dụng để đảm bảo rằng các đối tác thương mại chỉ có thể truy cập File Server và WebServer.

File Server trên mạng Tổng công ty được cấu hình với một địa chỉ IP là 172.31.0.10 và Web Server được cấu hình với một địa chỉ IP là 172.31.0.11, Công ty X sử dụng một các địa chỉ có phần định danh mạng công cộng là 131.107.254.0 với một mặt nạ mạng là 255.255.255.0 (131.107.254.0/24), Công ty X sử dụng các địa chỉ có phần định danh mạng công cộng là 131.107.250.0 với một mặt nạ mạng là 255.255.255.0 (131.107.250.0/24). Để đảm bảo rằng Webserver và File Server có thể kết nối tới được các đối tác thương mại, các đường định tuyến tĩnh được cấu hình trên File server và Webserver cho cho mỗi mạng của đối tác thương mại sử dụng Gateway có địa chỉ là 172.31.0.1

Để đơn giản hoá việc cấu hình, kết nối mạng riêng ảo là một kết nối khởi tạo 2 chiều. Router của các đối tác thương mại luôn luôn khởi tạo kết nối. Sơ đồ kết nối cho kịch bản mạng riêng ảo mở rộng được minh hoạ như trong hình 8.1

An toàn Mạng riêng ảo

7.4.2. Các công việc cài đặt

7.4.2.1. Cấu hình máy chủ mạng riêng ảo7.4.2.1.1. Cấu hình chung 7.4.2.1.1. Cấu hình chung

Để triển khai các kết nối mạng riêng ảo đối tác để kết nối Công ty X, Y với mạng mở rộng của Tổng công ty A, máy chủ mạng riêng ảo được thiết lập theo cấu hình cơ bản như trong mục 7.3.1.2.1 của chương VII. Ngoài ra cần phải cấu hình thêm như sau:

7.4.2.1.2. Cấu hình Domain

Với kết nối mạng riêng ảo tới Công ty X, tài khoản người dùng cho X phải được tạo trên máy chủ Domain của Tổng công ty, các tham số của tài khoản cần quan tâm như:

- Mật khẩu

- Thiết lập mức cho phép với tài khoản này đề kiểm soát truy cập qua chính sách truy cập từ xa và thêm vào đường định tuyến tĩnh 121.107.254.0 với mặt nạ mạng là 255.255.255.0.

- Tài khoản này nên đưa vào một nhóm để dễ quản lý, chẳng hạn là nhóm VPN_Partner

Với kết nới mạng riêng ảo tới đối tác Y ta cũng tạo một tài khoản như trên cùng với đường định tuyến được thêm vào là 131.107.250.0 mặt nạ mạng là 255.255.255.0 7.4.2.1.3. Cấu hình chính sách truy cập từ xa Y X A A

Để xác định các thiết lập mã hoá và xác thực cho các kết nối mạng riêng ảo với các đối tác thương mại, cần phải tạo ra chính sách truy cập từ xa, với các tham số cơ bản cần phải lưu ý như:

- Tên chính sách, chẳng hạn là VPN Partners

- Phương thức truy cập, tham số này ta chọn là VPN - Người dùng hoặc nhóm truy cập

- Các phương pháp xác thực: chẳng hạn như EAP, MS-CHAPv2 - Mức mã hoá: thường nên chọn mã hoá mạnh và mạnh nhất

Sau khi chính sách truy cập từ xa được tạo, cấu hình của nó có thể phải được sửa đổi để cho phù hợp theo các tham số:

- Cấu hình các bộ lọc gói TCP/IP, trong đó + Bộ lọc vào:

• Filter 1: Địa chỉ IP mạng đích là 172.31.0.10 và mặt nạ mạng là 255.255.255.255

• Filter 2: Địa chỉ IP mạng đích là 172.31.0.11 và mặt nạ mạng là 255.255.255.255

• Filter Action: Chỉ cho phép các gói được liệt kê + Bộ lọc ra:

• Filter 1: Địa chỉ IP mạng nguồn là 172.31.0.10 và mặt nạ mạng là 255.255.255.255

• Filter 2: Địa chỉ IP mạng nguồn là 172.31.0.11 và mặt nạ mạng là 255.255.255.255

• Filter Action: Chỉ cho phép các gói được liệt kê

Những phần sau mô tả một mạng mở rộng dựa trên PPTP cho đối tác Y và một mạng mở rộng dựa trên L2TP/IPSec cho đối tác Y

7.4.2.2. Mạng riêng ảo dựa trên PPTP cho các đối tác thương mại

Công ty X là đối tác thương mại sử dụng một bộ định tuyến để tạo kết nối mạng riêng ảo dựa trên PPTP với máy chủ mạng riêng ảo của Tổng công ty A. Bộ định tuyến trên đối tác X được kết nối tới Internet với một kết nối WAN. (adsbygoogle = window.adsbygoogle || []).push({});

Để triển khai một kết nối mạng riêng ảo được khởi tạo 2 chiều và dựa trên PPTP tới văn phòng tổng công ty A, ta phải thực hiện cấu hình trên Router tại văn phòng của đối tác X

Cấu hình giao diện cho kết nối mạng riêng ảo

Để kết nối Router tại văn phòng của đối tác X tới máy chủ mạng riêng ảo của Tổng công ty A bằng kết nối mạng riêng ảo qua Internet, ta phải tạo một giao diện thích hợp với các tham số cần quan tâm như:

- Tên giao diện: Để cho dễ nhớ nên lấy tên có liên quan đến đối tác - Kiểu kết nối: sử dụng VPN

- Kiểu mạng riêng ảo: chọn là PPTP

- Các đường định tuyến ảo cho mạng từ xa:

+ Để làm cho tất các vị trí trên mạng của tổng công ty A có thể kết nối tới được, ta phải tạo ra đường định tuyến tĩnh thích hợp, các tham số cần quan tâm như:

• Mạng đích: chẳng hạn là 172.31.0.0

• Mặt nạ mạng: 255.255.0.0

- Giấy uỷ quyền quay số ra ngoài với các thông tin về tài khoản người dùng, Domain

7.4.2.3. Mạng riêng ảo mở rộng dựa trên L2TP/IPSec cho các đối tácthương mại thương mại

Đối tác Y là một đối tác thương mại sử dụng một Router để tạo kết nối mạng riêng ảo dựa trên L2TP/IPSec với máy chủ mạng riêng ảo của Tổng công ty A. Router tại mạng của đối tác Y được kết nối với Internet. Ngoài việc cấu hình máy chủ, ta cần phải cấu hình cho Router của đối tác Y

7.4.2.3.1. Cấu hình chứng chỉ

Router tại đối tác Y được cấu hình bởi người quản trị mạng của Tổng công ty A, trong khi nó được kết nối vật lý tới mạng Intranet của Tổng công ty A. Sau đó nó được chuyển đến cho người quản trị mạng của đối tác Y. Trong khi Router của đối tác này được kết nối tới mạng Intranet của Tổng công ty A, cần phải có một chứng chỉ số.

7.4.2.3.2. Cấu hình giao diện cho kết nối mạng riêng ảo

Để kết nối Router tới máy chủ mạng riêng ảo của Tổng công ty A bằng một kết nối mạng riêng ảo qua Internet, người quản trị mạng tạo một giao diện mạng thích hợp, với các tham số cần quan tâm như:

- Tên giao diện: Thông thường, kết nối đến đối tác nào thì lấy tên của đối tác đó để thuận tiện trong việc sử dụng sau này

- Kiểu kết nối: kết nối sử dụng mạng riêng ảo (VPN) - Kiểu mạng riêng ảo: L2TP

- Địa chỉ mạng đích: chẳng hạn là 207.109.68.1

- Các đường định tuyến tĩnh cho mạng từ xa: Để làm cho tất cả các vị trí trên mạng Intranet của Tổng công ty A có thể kết nối tới được, ta phải tạo ra đường định tuyến tĩnh, trong đó phải chỉ rõ

+ Mạng đích: chẳng hạn 172.31.0.0 + Mặt nạ mạng: 255.255.0.0

- Giấy uỷ quyền quay số ra ngoài với các thông tin về tài khoản người dùng, Domain

7.5. Tổng kết thực hànhCâu hỏi ôn tập Câu hỏi ôn tập

Một phần của tài liệu an toàn mạng riêng ảo (Trang 192 - 198)

(198 trang)