Quy hoạch lại hệ thống mạng Đại học quốc gia Hà nội

Một phần của tài liệu Bảo mật dịch vụ hệ thống mạng máy tính (Trang 104)

GIA HÀ NỘI

4.3.1. MỤC TIấU QUY HOẠCH.

Việc quy hoạch lại hệ thống phải đỏp ứng đƣợc việc truyền thụng đa phƣơng tiện băng rộng để đỏp ứng đƣợc hệ thống thụng tin hiện đại với hệ thống mạng cú cỏc mỏy chủ, cơ sở dữ liệu và cỏc ứng dụng chung thống nhất toàn Đại học Quốc gia.

Xõy dựng hệ thống đỏp ứng đƣợc truyền thụng đa phƣơng tiện băng rộng để đỏp ứng đƣợc nhu cầu về đào tạo trờn mạng, lớp học từ xa, hội nghị từ xa (tựy theo đặc thự của từng trƣờng thành viờn).

Mục đớch quy hoạch là xõy dựng một mạng truyền thụng số băng rộng đa phƣơng tiện thế hệ mới phục vụ cho việc đào tạo và quản lý.

Tận dụng đƣờng truyền thụng để cú thể tận dụng vào việc sử dụng đƣờng truyền thoại nội bộ, khụng phải quay số ra ngoài mà sử dụng chớnh đƣờng truyền dựng làm đƣờng thoại nội bộ sẽ tiết kiệm rất nhiều kinh phớ.

4.3.2. KẾ HOẠCH THỰC HIỆN QUY HOẠCH LẠI HỆ THỐNG

MẠNG MÁY TÍNH CỦA ĐHQG HN.

Từ 9/2003 đến 3/2002: là giai đoạn cần thực hiện cỏc cụng thống kờ cỏc thiết bị mạng (Switch, Router, Mỏy chủ, Mỏy trạm và cỏc thiết bị khỏc). Quy hoạch lại kiến trỳc mạng LAN trong cỏc trƣờng thành viờn. Phỏt triển hệ thống hạ tầng truyền thụng.

Từ 3/2002 đến 9/2004: là giai đoạn chuẩn bị chuẩn húa hệ thống nền (hệ điều hành) bảo trỡ một số dịch vụ đó triển khai nhƣ: Email, DNS, WWW, FTP.

Từ 9/2004 đến 12/2005 cấu hỡnh lại toàn bộ hệ thống ĐHQG và triển khai thử nghiệm một số ứng dụng phục vụ đào tạo và quản lý.

4.3.3. KẾT QUẢ THỰC HIỆN.

Để thực hiện cỏc cụng việc nờu trờn trƣớc khi làm thực tế tụi đó làm thớ nghiệm tại phũng Thực hành Hệ thống Viễn thụng, bộ mụn Điện tử – Viễn thụng trƣờng Đại học Cụng nghệ Đại học Quốc gia Hà Nội.

Sơ đồ tổng thể hệ thống mạng Viễn thụng tại phũng thực hành Hệ thống Viễn thụng nhƣ hỡnh trang bờn:

Mụ tả kết nối:

 Hệ thống sử dụng một số tổng đài số thế hệ mới của Hóng Siemens cung cấp cỏc dịch vụ trờn mạng PSTN và ISDN, kết nối trung kế qua CO, BRI (2B+D) hoặc PRI (30B+D) với bỏo hiệu QSIG và CORNET.

 Kết nối ra mạng thoại cụng cộng PSTN/ISDN qua cỏc kờnh cơ sở.

 Từ tổng đài cấp luồng PRI kết nối đến bộ định tuyến Cisco2650 và cỏc luồng BRI đến cỏc thiết bị đầu cuối ngƣời dựng, xõy dựng mụ hỡnh mạng truyền số liệu tập trung cú kết hợp dịch vụ thoại đồng thời.

 Kết nối giữa bộ định tuyến Cisco2650 và Cisco805 sử dụng đƣờng dõy thuờ bao số tốc độ từ 64Kbps – 512Kbps với cặp 1 modem DSL.

Hệ thống DSLAM cấp cỏc cổng ADSL kết nối đến cỏc mạng LAN ở xa, tớch hợp bộ tỏch kờnh cho phộp sử dụng đồng thời 2 dịch vụ thoại và số liệu.

-

Mụ tả kết nối:

 Sử dụng cỏc 2 bộ Firewall/VPN gateway và 2 bộ định tuyến cho phần này.

 Cisco2650 và FW/VPN1 kết nối vào LAN Switch trung tõm.  Cisco805 và FW/VPN2 kết nối vào HUB của mạng LAN cũn lại.  Kết nối giữa Cisco2650 và Cisco805 dựng luồng DSL 256Kbps  Tổng đài Siemens Hicom Pro cấp 2 kờnh thoại analog làm dự phũng. Thiết lập và cấu hỡnh hệ thống.

Để thực hiện việc cấu hỡnh hệ thống trƣớc hết tụi sẽ trỡnh bày việc thiết lập cấu hỡnh kết nối VPN một mỏy trạm trờn nền Window 2000Server, thiết lập VPN từ mỏy trạm sử dụng WinXP và việc thiết lập cấu hỡnh Window 2000 VPN Server.

A. Thiết lập kết nối với VPN từ một mỏy trạm trờn nền Window 2000 Server.

Bƣớc 1: Nhỏy đỳp chuột vào biểu tƣợng “My Network Places” trờn màn hỡnh desktop.

Bƣớc 2: Click chuột vào “Network and Dial-up connections”.

Bƣớc 3: nhỏy đỳp chuột vào “Make New Connection”

Bƣớc 5: Click con trỏ chuột vào “Connect to a private network through the Internet”

Bƣớc 6: Nhập địa chỉ IP của mỏy chủ hay mỏy trạm kết nối. Click “Next”

Bƣớc 8: Bạn đặt tờn muốn sử dụng kết nối này, vớ dụ nhƣ “Hosting VPN” sau đú click “Fnish”.

Bƣớc 9: Click “Properties”

Bƣớc 11: Chọn “Options”

Tớch chuột chọn: “Display progess while connecting” “Prompt for name and password certificate etc” Bỏ chọn “Include Window logon domain”

Bƣớc 13:

Bƣớc 14:

Bƣớc 16:

B. Thiết lập VPN từ mỏy trạm sử dụng WinXP.

Để thiết lập một cấu hỡnh một kết nối VPN từ một mỏy trạm sử dụng hệ điều hành Window XP ta làm nhƣ sau:

Bƣớc 1: Click “Start” chọn “Control Panel”. Trong “Control Panel”, click đỳp vào “Network Connection”

Bƣớc 2: Click “Create a new connection” trong “Network Tasks”

Bƣớc 4: Click “Connect to the network at my workplace”, click “Next”

Bƣớc 5: Click “Virtual Private Network Connection”, clcik “Next”

Bƣớc 6: Ta cú thể lựa chọn sử dụng một kết nối Dial-up hay cú thể kết nối tới mạng Internet qua cỏp, DSL, T1, Satellite (vệ tinh)…

Bƣớc 7: Nhập địa chỉ HostName hoặc địa chỉ IP mà ta muốn kết nối. Click “Next”

Bƣớc 8: Nhập tờn mỏy tớnh hoặc địa chỉ mỏy đớch mà ta muốn kết nối. Ta cú thể đƣợc hỏi cú sử dụng thẻ thụng minh “Smart Card” hay khụng.

Bƣớc 10: Trong cửa sổ kết nối mạng, ta click chuột phải để lựa chọn cỏc thuộc tớnh, ta cú thể định hỡnh một kết nối đầu tiờn cú nghĩa là ta phải kết nối tới mạng cụng cộng Internet trƣớc khi ta cú thể mó húa và gửi dữ liệu qua đú.

Bƣớc 12: Bảng “Options” cho ta những tựy chọn:

Nếu tựy chọn theo miền thỡ khỏch hàng của VPN cần phải nhập thụng tin miền đăng nhập Window trƣớc khi bắt đầu phỏt triển một kết nối VPN.

Bƣớc 13: Trong bảng “Sercurity” là bảng cho phộp bạn định hỡnh sự an toàn cơ bản cho khỏch hàng VPN, Đõy là nơi bạn đặt cấu hỡnh IPSec, giao thức mó húa an toàn và chứng thực.

Bƣớc 14: Trong bảng “Networking” là nơi bạn cú thể lựa chọn loại sử dụng kết nối VPN này.

Bƣớc 15: Bảng “Advanced” ta cú thể tựy chọn cấu hỡnh một Firewall và chia sẻ tài nguyờn

Bƣớc 16: Bõy giờ ta cú thể thiết lập một kết nối từ xa tới mỏy chủ đƣợc thiết lập tại văn phũng, tập đoàn bằng mỏy trạm sử dụng Windows XP.

C. Thiết lập cấu hỡnh Window 2000 VPN Server.

Trƣớc khi Client cú thể gọi vào hoặc cú thể truy nhập vào mạng của bạn, bạn cần phải cài đặt VPN Server. Trong phần này tụi sẽ trỡnh bày cỏch cài đặt VPN Server nhƣ thế nào và cũng sẽ trỡnh bày một vài vấn đề quan trọng trong hệ thống hạ tầng của giải phỏp mạng ảo VPN.

Bƣớc đầu tiờn là “Enable” “Routing and Remote Access Service (RRAS)”. Phần này chỳng ta cũng khụng cần cài đặt vỡ nú đó đƣợc cài sẵn khi bạn cài hệ điều hành, nhƣng khi cài đặt sẵn nhƣng nú chƣa đƣợc “Enable”. Để “Enable” “RRAS” ta làm theo cỏc bƣớc sau:

Chọn Start\Programs\Administrative Tools\Routing and Remote Access (RRAS). Trong mục RRAS console, bạn click chuột phải lờn tờn Server của bạn và chọn “Enable Routing and Remote Access”. Sau khoảng vài giõy kớch hoạt và chạy hệ thống và RRAS Wizard sẽ khởi động. Trong phần này bạn nờn chọn mục “Manually configured server” rồi tiếp tục click “Next” cho tới khi hoàn tất cỏc thủ tục thỡ click “Finish”.

Sau khi hoàn tất “Enable RRAS” thỡ bạn cần Restart Service, bạn chỉ cần chọn “Yes”. Khi RRAS bắt đầu làm việc thỡ bạn sẽ thấy hỡnh dƣới đõy.

Click chuột phải vào Server Name của bạn và chọn “Properties” theo hỡnh dƣới đõy:

Trong phần “Properties” bạn chọn mục “Router” vỡ mỏy tớnh này sẽ chịu trỏch nhiệm chuyển tải những yờu cầu từ VPN Clients với lại mạng nội bộ. Phần làm việc của router này là router traffic giữa mạng LAN và những mỏy truy cập và thụng qua kết nối theo dạng gateway-to-gateway VPN, bạn nờn chọn mục Router và luụn cả mục LAN and demand-dial routing. Bạn nhớ chọn thờm cả mục “Remote Acces Server”. Nếu bạn khụng chọn mục này thỡ VPN client khụng thể gọi vào đƣợc.

Trong phần mục IP bạn chọn “Enable IP Routing”, mục này cho phộp client cú quyền truy cập vào mạng nội bộ của bạn, nếu bạn khụng chọn mục này thỡ cỏc clients chỉ cú thể truy nhập vào VPN Server mà thụi.

Mục “Allow IP based remote access and demand-dial connections” phải đƣợc enable để cỏc clients cú thể cấp phỏt địa chỉ IP khi client truy cập. Khi bạn chọn mục này cú nghĩa là bạn chọn giao thức điều khiển IP (IPCP), giao thức này đƣợc sử dụng để thiết lập kết nối theo dạng PPP.

Bƣớc kế tiếp là bạn phải quyết định số IP cấp phỏt cho VPN client nhƣ thế nào. Bạn cú hai cỏch cấp phỏt IP:

 IP tĩnh (Static Address Pool).

Theo kinh nghiệm thỡ nờn chọn DHCP vỡ ta khụng cần mất thời gian chia và cấp phỏt thế nào cho clients. Khi DHCP server đƣợc configure với một scope địa chỉ IP cho card LAN của VPN Server, thụng thƣờng by default RRAS/VPN server cú khoảng 10 ports để cho phộp tạo kết nối vỡ thế nú sẽ lấy khoảng 10 IP address của DHCP Server và nú sẽ sử dụng một cho chớnh nú. Nếu tất cả IP address đều đƣợc sử dụng hết bởi cỏc kết nối VPN và nếu VPN Server của bạn nhiều hơn 10 port thỡ nú sẽ lấy thờm 10 IP address nữa từ DHCP Server để dự phũng cho cỏc mỏy truy cập sau.

Cỏch dễ nhất để giải quyết cho địa chỉ IP cho client là đặt DHCP trong cựng một Subnet với VPN Server Interface.

Nếu bạn sử dụng địa chỉ IP tĩnh để cho phộp client tạo kết nối thỡ bạn phải đảm bảo rằng nú cựng Subnet với mạng nội bộ của VPN server hay là Internet Interface của VPN Server.

Ở phần cuối của hỡnh dƣới bạn chọn vào mục “User the following adapter to obtain DHCP, DNS, and WINS adresses for dial-up clients”, ở đõy bạn nờn chọn phần NIC Card cũn lại của VPN Server, vỡ Client khi kết nối với mạng VPN của bạn, nú phải nằm trong cựng mạng LAN cho nờn bạn phải chọn NIC Card của RRAS Server vỡ NIC Card này sẽ chịu trỏch nhiệm cung cấp cỏc thụng tin về DHCP, DNS và WINS cho Client.

Sau khi bạn chọn xong thỡ click “OK” để tiếp tục cấu hỡnh cỏc Port nhƣ hỡnh dƣới đõy. Trong phần RRAS console, bạn click chuột phải vào Port rồi chọn Properties.

Trong phần “Port Properties” chọn VPN Interface mà bạn muốn “Enable”, vớ dụ nhƣ bạn muốn enable giao thức “PPTP” để client cú thể tạo kết nối với mạng

VPN, giao thức PPTP tƣơng đối là đơn giản nhất, cho nờn bạn nờn bắt đầu bằng giao thức này bằng cỏch chọn WAN MiniPort (PPTP) sau đú nhấn vào Configurate nhƣ hỡnh dƣới.

Trong phần Configure WAN MiniPort (PPTP), bạn nờn chọn mục “Remote access connections: (inbound only)” để client cú thể tạo kết nối với VPN Server.

Mục “Demand-dial routing connections: (inbound and outbound)” cho phộp RRAS Server đƣợc phộp khởi tạo hoặc chấp nhận kết nối đến từ demand-dial routers. Nếu bạn muốn thực hiện giải phỏp gateway-to-gateway VPN solution, thỡ bạn nờn chọn mục này, nhƣng nếu bạn chỉ muốn cho phộp nhận kết nối từ client thụi thỡ bạn cú thể disable thƣ mục này.

Hộp “Phone number for this device”, nhập vào địa chỉ IP của VPN server Interface nhƣ hỡnh dƣới ở mục “Maximum” port box, bạn cú thể nhập vào bao nhiờu ports cũng đƣợc tuỳ theo nhu cầu của bạn, cú khoảng 16384 port, cho nờn nếu bạn cú nhu cầu nhiều hơn số lƣợng đú thỡ bạn phải cần thờm một VPN Server.

Click “OK” nếu bạn chọn ớt hơn số port mặc định thỡ bạn sẽ gặp lời cảnh bỏo nhƣ hỡnh dƣới đõy, nhƣng khụng sao bạn cứ chọn “Yes”, sau đú click “Apply” trong phần Port Properties.

Bƣớc cuối cựng là cho phộp truy cập qua Remote Access Policy. Chọn vào thƣ mục “Remote Access Policy”, bờn tay phải bạn click chuột phải vào mục “Allow access ỡ dial-in permision is enable” chọn “Properties” nhƣ hỡnh dƣới.

Trong phần “Allow access if dial-in permission is enable Properties”, chọn vào mục “Grant remote access permission”, mục này cho phộp user truy nhập bất cứ lỳc nào miễn là khớp với điều kiờn đặt ra của “Policy”, Change the “If a user matches the conditions” stting to “Grant Remote Access Permission” sau đú click “Apply” rồi “OK”.

Thử nghiệm tại phũng thực hành hệ thống Viễn thụng:

Trong phần này tụi xin trỡnh bày phần thử nghiệm tại phũng thực hành hệ thống Viễn thụng, bộ mụn Điện tử Viễn thụng trƣờng Đại học Cụng nghệ. Để thiết lập kết nối ảo VPN giữa hai mỏy tớnh ở hai mạng LAN2 và LAN3, trờn cỏc mỏy trạm cú trang bị một Planet S0 Card. Trỡnh tự kết nối giữa hai mỏy tớnh trạm ở hai mạng LAN2 và LAN3 sẽ là:

Trƣớc hết tạo kết nối 1 từ mỏy trạm trong mạng LAN2 tới Router 2650 sau đú ta lại tạo kết nối 2 từ mỏy trạm trong mạng LAN3 tới Router 2650 sau đú ta cú thể tạo kết nối ảo VPN giữa hai mỏy tớnh trạm thuộc hai mạng LAN2 và LAN3 thụng qua Router 2650. Để thiết lập kết nối từ mỏy trạm trong mạng LAN2 tới Router

Sau đú sẽ hiện ra cửa sổ sau

Ta click “Next”

Vỡ trờn mỗi mỏy trạm cú gắn một Planet S0 Card chụ nờn trờn hỡnh trờn ta thấy mỗi một Planet S0 Card cú thể tạo ra hai kờnh ISDN trờn hai đƣờng line. Ta chọn cả hai kờnh ISDN để cú thể cú đƣợc tốc độ kết nối cao.

Vỡ Router 2650 kết nối với tổng đài HiCom 150E Office theo số 5000 nờn ta sẽ phải điền số “5000” vào ụ “Phone Number” rồi click “Next”.

Ta cú thể chọn một trong hai chế độ kết nối:  For all users: Cho mọi ngƣời sử dụng.  Only for myself: Cho mỡnh ta sử dụng.

Chọn “Save Password” sau đú chọn “Dial”.

Nhƣ vậy ta đó thực hiện thành cụng việc kết nối mỏy trạm từ mạng LAN2 tới Router 2650. Ta là tƣơng tự nhƣ vậy cho việc kết nối mỏy trạm ở mạng LAN3 tới Router 2650.

Sau khi thiết lập thành cụng kết nối từ hai mỏy trạm ở hai mạng LAN2 và LAN3 ta bắt đầu thiết lập một trong hai mỏy tớnh đú làm VPN Server theo trỡnh tự nhƣ sau:

Click “Next”

Click “Next”

Click “Next”

Click “Fnish” để hoàn thành cụng việc thiết lập.

Bƣớc tiếp theo là ta tạo kết nối từ mỏy trạm Client tới VPN Server

Chọn “Make New Connections”

Ta chọn “Connect to private network through the Internet”, click “Next”

Chọn “Automatically dial this initial connection” để Dial-up Connection, click “Next”

Tiếp theo ta điền tờn mỏy tớnh hoặc địa chỉ IP mỏy tớnh muốn kết nối, ở đõy ta điền địa chỉ IP của VPN Server cú địa chỉ là 10.10.4.11

Cửa sổ “Network Connection Wizard” cho ta hai lựa chọn sau:  For all users: cho phộp mọi ngƣời dựng sử dụng kết nối này.  Only for myself: Cho phộp mỡnh ta sử dụng

Click “Finish”

Click “Yes”

Nhập User name = “ketnoi2” Password = “ketnoi2”

Click “Accept”

Nhập User name = “ketnoi2” Password = “ketnoi2”

Nhƣ vậy ta thiết lập thành cụng kết nối ảo VPN. Kết quả ta thu đƣợc nhƣ sau: Ta sử dụng tiện ớch NetMeeting là ứng dụng cho phộp ta cú thể truyền File, Chat, Voice … trong mụi trƣờng Windows

Sau khi thử nghiệm tại phũng thực hành hệ thống Viễn thụng, bộ mụn Điện tử Viễn thụng Đại học Cụng nghệ, chỳng tụi đó tiến hành triển khai trờn hệ thống mạng trƣờng Đại học Quốc gia Hà nội với mụ hỡnh nhƣ sau.

ĐHKH XH & NV Proxy Server Web Server Mail Server FTP Server Catalyst 5000 + RSM Internet ĐH Ngoại ngữ Khoa Công nghệ Luật + Kinh tế + TT. CNSH

Một phần của tài liệu Bảo mật dịch vụ hệ thống mạng máy tính (Trang 104)

Tải bản đầy đủ (PDF)

(151 trang)