1. Các thành phần trong mạng riêng ảo truy cập từ xa:

1.1. Giới thiệu chung:

Các thành phầm phải được cài đặt để tạo ra một hệ thống mạng riêng ảo hoạt động đúng đắn. Để đưa ra quyết định đúng lúc triển khai các kết nối mạng riêng ảo truy cập từ xa, ta phải hiểu tất cả các thành phần liên quan. Trong chương "Tổng quan về mạng riêng ảo" chúng ta đã thảo luận về kiểu kịch bản mạng riêng ảo truy cập từ xa, trong đó nhiều Client truy cập tới một cổng kết nối đơn vào các tài nguyên trong mạng Intranet. Trong phần này ta sẽ mô tả các thành phần của các kết nối mạng riêng ảo truy cập từ xa và các quan điểm thiết kế gắn với chúng.

Các thành phần chính là:

- Các Client VPN.

- Hạ tầng mạng Internet.

- Server VPN, và các thiết bị khác như Gateway.

- Hạ tầng mạng Intranet.

- Máy chủ AAA.

- Hạ tầng cấp phát chứng chỉ số.

1.2. Các thành phần:

1.2.1. Các Client VPN

Client VPN có thể là một máy tính hoặc thiết bị có khả năng tạo một kết nối PPTP hoặc L2TP.

Các Client VPN có nhiều loại, nhiều dạng và nhiều kích cỡ. Một số Client VPN điển hành được sử dụng rộng rãi ngày nay là:

- Người dùng Laptop kết nối tới Intranet của tổ chức đề truy cập email và các tài nguyên khác.

- Những người quản trị từ xa sử dụng Internet để kết nối tới mạng của tổ chức để cấu hình mạng hoặc các dịch vụ ứng dụng.

- Nhiều người dùng khác tận dụng ưu điểm về khả năng kỹ thuật của giải pháp truy cập từ xa, chẳng hạn như các giải pháp truy cập mạng không giây, các hệ thống kiểm soát từ xa, các mạng truyền thông.

Trong khuôn khổ của giáo trình này, sẽ tập trung vào các Client thông dụng nhất, chẳng hạn như Client sử dụng hệ điều hành WinXP và Windows 2000 Pro của Microsoft.

Các Client VPN có thể cấu hình các kết nối mạng riêng ảo một cách thủ công bằng việc tạo các kết nối trên hệ điều hành, hoặc người quản trị hệ thống có thể đơn giản hoá bằng các công cụ sẵn có trên hệ điều hành.

1.2.2. Hạ tầng mạng Internet

Trong các thảo luận của chúng ta về giải pháp truy cập từ xa với mạng riêng ảo, chúng ta sẽ làm việc với các kết nối qua Internet. Điều này có nghĩa là chúng ta dựa vào Internet, nó là mạng trung gian, cung cấp các dịch vụ và phương tiện truyền thông tới người dùng. Để tạo một kết nối mạng riêng ảo tới một máy chủ mạng riêng ảo qua Internet, ta cần kiểm chứng các mục sau trước khi bất kỳ kết nối nào được tạo.

- Tên máy chủ mạng riêng ảo phải có khả năng giải quyết: Đảm bảo rằng tên DNS của máy chủ mạng riêng ào khó khả năng xử lý từ Internet bằng việc đặt một bản ghi DNS thích hợp hoặc trên máy chủ DNS Internet hoặc trên máy chủ DNS của ISP. Kiểm thử khả năng xử lý bằng công cụ Ping để ping tới tên của mỗi máy chủ mạng riêng ảo.

- Máy chủ mạng riêng ảo phải có khả năng kết nối tới: Đảm bảo rằng các địa chỉ IP của máy chủ mạng riêng ảo có khả năng kết nối tới từ Internet.

- Luồng lưu lượng VPN phải được phép từ máy chủ mạng riêng ảo: Cấu hình bộ lọc gói cho luồng lưu lượng PPTP, L2TP hoặc cả hai kiểu trên các Firewall và giao diện máy chủ mạng riêng ảo thích hợp đang kết nối tới Internet và mạng vành đai.

1.2.3. Các giao thức xác thực

Để xác thực người dùng, các giao thức xác thực thường được sử dụng là:

- Giao thức xác thực mật khẩu (PAP)

- Giao thức xác có thăm dò trước (CHAP)

- Giao thức xác thực có thăm dò trước của Microsoft (MS-CHAP)

- Giao thức MS-CHAP phiên bản 2 (MS-CHAP v2)

- Giao thức xác thực – hàm băm thông điệp MD5 mở rộng (EAP-MD5)

- Giao thức xác thực - bảo mật tầng vận tải mở rộng (EAP-TLS)

Với các kết nối PPTP, có thể sử dụng MS-CHAP, MS-CHAP v2, hoặc EAP-TLS. Chỉ 3 giao thức này cung cấp một cơ chế để tạo khoá mã hoá giống nhau trên cả Client và Server. MPPE sử dụng khoá mã hoá này để mã hoá tất cả dữ liệu PPTP trên kết nối mạng riêng ảo. MS-CHAP and MS- CHAP v2 là các giao thức xác thực dựa vào mật khẩu.

Với các kết nối L2TP, bất kỳ giao thức xác thực nào cũng có thể được dùng vì việc xác thực xuất hiện sau khi Client VPN và Server VPN thiết lập một kênh liên lạc an toàn, chẳng hạn như ta đã biết đó là liên kết an toàn IPSec (SA). Tuy nhiên, nhưng giao thức có khả năng xác thực mạnh được khuyến cáo sử dụng.

1.2.4. Các giao thức định đường hầm mạng riêng ảo

Cùng với việc quyết định một giao thức xác thực, ta cần quyết định giao thức đường hầm nào sẽ dùng cho việc triển khai mạng riêng ảo. Hai giao thức định đường hầm mạng riêng ảo truy cập từ xa thông dụng là:

- Giao thức định đường hầm điểm - tới - điểm (PPTP)

- Giao thức định đường hầm tầng 2 với IPSec (L2TP/IPSec)

5. Máy chủ mạng riêng ảo

Máy chủ mạng riêng ảo là trung tâm của toàn bộ hoạt động mạng riêng ảo. Máy chủ mạng riêng ảo thực hiện các công việc sau:

- Lắng nghe kết nối PPTP và các thương lượng SA IPSec cho kết nối L2TP.

- Xác thực và cấp quyền cho các kết nối mạng riêng ảo trước khi cho phép dữ liệu lưu chuyển.

- Hoạt động như một Router chuyển tiếp dữ liệu giữa các Client VPN và các tài nguyên trên Intranet.

- Hoạt động như một điểm cuối của đường hầm mạng riêng ảo.

Máy chủ mạng riêng ảo thường có 2 hoặc nhiều hơn 2 cardmang để kết nối tới Internet và cả Intranet.

1.2.6. Hạ tầng mạng Intranet

Hạ tầng mạng của Intranet là một phần tử quan trọng của thiết kế mạng riêng ảo. Không có thiết kế thích đáng, các Client VPN không có khả năng thu được các địa chỉ IP và xử lý các tên trong mạng cục bộ, và các gói không thể được chuyển tiếp giữa các Client và các tài nguyên mạng Intranet, các Client sẽ không có khả năng truy cập tới bất kỳ tài nguyên nào trên mạng Intranet.

Giải quyết vấn đề đặt tên

Nếu ta sử dụng DSN để xử lý các tên máy chủ trong mạng Intranet, đảm bảo rằng máy chủ mạng riêng ảo được cấu hình với các địa chi IP của DNS bên trong thích hợp. Để đảm bảo việc xử lý tên với các tài nguyên bên ngoài mạng Intranet, cấu hình DNS bên trong để truy vấn các máy chủ ISP bên ngoài. Đây là điều quan trọng, nếu không thực hiện như vậy, các Client VPN sẽ không thực hiện chức năng một cách đúng đắn. Máy chủ VPN nên được cấu hình DNS một cách thủ công. Như một phần của quá trình thương lượng PPP, các Client VPN nhận địa chỉ IP của DNS. Theo ngầm định các Client VPN kết thừa các địa chỉ DNS đã cấu hình trên máy chủ mạng riêng ảo.

1.2.7. Cơ sở hạ tầng AAA

Cơ sở hạ tầng cho việc xác thực, cấp quyền và kiểm toán là một phần sống còn của cơ sở hạ tầng mạng riêng ảo vì nó là hệ thống giữ cho tính năng an toàn thực hiện trên giải pháp truy cập từ xa. AAA kiểm soát tất cả truy cập tới Gateway; xử lý tất cả các đăng nhập một lần và vấn đề truy cập tài nguyên. Cơ sở hạ tầng AAA tồn tại để:

- Xác thực giấy uỷ nhiệm của các Client VPN.

- Cấp quyền cho các kết nối mạng riêng ảo.

- Ghi lại việc tạo ra và kết thúc kết nối mạng riêng ảo cho chức năng kiểm toán.

Cơ sở hạ tầng AAA bao gồm:

- Máy chủ mạng riêng ảo

- Một máy chủ RADIUS

- Một máy điều khiển tên miền

Các chính sách truy cập từ xa

Các chính sách truy cập từ xa là một tập có thứ tự các luật định nghĩa những kết nối nào được chấp nhận hay từ chối. Với các kết nối được chấp nhận, các chính sách truy cập từ xa cũng có thể định nghĩa để các hạn chế kết nối. Với mỗi luật, có một hoạc nhiều hơn các điều kiện, một tập các thiết lập hồ sơ và một tập các thiết lập mức cho phép truy cập từ xa. Các nỗ lực kết nối được đánh giá dựa vào các chính sách truy cập từ xa, nó cố gắng xác định kết nối nào phù hợp tất cả các điều kiện của mỗi chính sách. Nếu nổ lực kết nối không phù hợp với tất cả các điều kiện của bất kỳ một chính sách nào, thì nó sẽ bị từ chối.

Nếu một kết nối phù hợp với tất cả các điều kiện của một chính sách truy cập từ xa và được cấp phát mức cho phép truy cập từ xa, hồ sơ chính sách truy cập từ xa xác định một tập các hạn chế kết nối. Các đặc tính quay số của tài khoản người dùng cũng cung cấp một tập các hạn chế. Chính sách truy câp từ xa bao gồm các phần tử sau:

- Các điều kiện:

Các điều kiện chính sách truy cập từ xa là một hoặc nhiều thuộc tính mà được so sánh với các thiết lập của nổ lực kết nối. Nếu có nhiều điều kiện, tất cả các điều kiện phải phù hợp với thiết lập của nổ lực kết nối để cho nó phù hợp với chính sách. Với các kết nối mạng riêng ảo, ta thường sử dụng các điều kiện sau:

+ Loại cổng NAS: Bằng việc thiết lập điều kiện này với mạng riêng ảo, ta có thể xác định tất cả các kết nối mạng riêng ảo.

+ Kiểu đường hầm: Với điều kiện này, ta có thể chỉ rõ các chính sách khác nhau với các kết nối PPTP và L2TP.

+ Nhóm: Với các nhóm, ta có thể cấp quyền hoặc từ chối truy cập theo nhóm thành viên.

- Mức cho phép: Ta có thể dùng các thiết lập mức cho phép để cấp quyền hoặc từ chối truy cập từ xa nếu mức cho phép truy cập từ xa của tài khoản người dùng được thiết lập để kiểm soát truy cập qua chính sách truy cập từ xa. Trường hợp khac, thiết lập mức cho phép trên tài khoản người dùng xác định mức cho phép truy cập từ xa.

- Các thiết lập hồ sơ: Một hồ sơ chính sách truy cập là một tập các thuộc tính được áp dụng với một kết nối lúc nó được xác thực. Với các kết nối mạng riêng ảo, ta có thể sử dụng các thiết lập hồ sơ như sau:

+ Các ràng buộc quay số có thể được dùng để định nghĩa bao lâu thì kết nối có thể tồn tại trước khi bị kết thúc bởi máy chủ mạng riêng ảo.

+ Mặc dù sử dụng các bộ lọc gói IP, việc thiết lập IP có thể định nghĩa các loại lưu lượng IP được cho phép với các kết nối mạng riêng ảo truy cập từ xa. Với hồ sơ các bộ lọc gói, ta có thể cấu hình lưu lượng IP được cho phép nhận từ các Client truy cập từ xa(Bộ lọc đầu vào) hoặc được gửi tới Client từ xa (Bộ lọc đầu ra).

+ Các thiết lập xác thực có thể định nghĩa giao thức Client VPN phải sử dụng để gửi giấy uỷ nhiệm của nó và cấu hình của các loại EAP, chẳng hạn EAP-TLS.

Việc ngăn chặn các luồng lưu lượng được định tuyến từ Client VPN

Một khi Client VPN thiết lập thành công một kết nối PPTP hoặc L2TP, theo ngầm định bất kỳ gói nào gửi qua kết đều nhận được bởi máy chủ mạng riêng ảo và chuyển tiếp chúng. Các gói gửi qua kết nối có thể bao gồm:

- Các gói có nguồn gốc từ máy tính Client truy cập từ xa.

- Các gói gửi tới máy Client truy cập từ xa bởi các máy khác.

Lúc máy Client truy cập từ xa tạo ra kết nối mạng riêng ảo, theo ngầm định nó tạo một đường định tuyến mặc định vì vậy tất cả luồng lưu lượng phù hợp với đường định tuyến mặc định được gửi qua kết nối mạng riêng ảo. Nếu các máy tính khác đang chuyển tiếp luồng lưu lượng tới Client VPN truy cập từ xa, xem các máy Client truy cập từ xa như một Router, mà luồng lưu lượng cũng được chuyển tiếp qua kết nối mạng riêng ảo. Đây là một vấn đề an toàn vì máy chủ mạng riêng ảo không xác thực các máy tính đang chuyển tiếp luồng lưu lượng tới Client VPN truy cập từ xa.

1.2.8. Cơ sở hạ tầng chứng chỉ số

Để thực hiện việc xác thực dựa trên chứng chỉ cho các kết nối L2TP hoặc xác thực người dùng dựa trên chứng chỉ cho các kết nối mạng riêng ảo sử dụng EAP-TLS, một cơ sở hạ tầng, được biết đến như cơ sở hạ tầng khoá công khai (PKI), dùng để phát hành các chứng chỉ để đệ trình trong quá trình xác thực và để xác nhận tính hợp lệ của chúng chỉ đang được đệ trình.

Như vậy ta thấy, các kết nối mạng riêng ảo truy cập từ xa gồm nhiều thành phần. Client VPN phải được cấu hình để tạo kết nối mạng riêng ảo tới máy chủ VPN. Cơ sở hạ tầng mạng phải hỗ trợ khả năng kết nối tới được giao diện máy chủ mạng riêng ảo trên mạng Intranet và hỗ trợ xử lý tên DNS của máy chủ mạng riêng ảo. Ta phải xác định giao thức xác thực và giao thức mạng riêng ảo để sử dụng. Cơ sở hạ tầng mạng Intranet phải hỗ trợ xử lý đặt tên của các tài nguyên trong Intranet, định tuyến tới các Client truy cập từ xa và các tài nguyên cách ly. Cơ sở hạ tầng AAA phải được cấu hình để cung cấp tính năng xác thực sử dụng Domain, xác thực sử dụng các chính sách truy cập từ xa, và kiểm toán các kết nối mạng riêng ảo truy cập từ xa. Với các kết nối L2TP/IPSec hoặc lúc sử dụng xác thực EAP-TLS, một cơ sở hạ tầng chứng chỉ phải được sử dụng để phát hành chứng chỉ người dùng và chứng chỉ máy tính.

 

Trong các bài trước ta đã xem xét các thành phần của mạng riêng ảo truy cập từ xa – đó là, mạng riêng ảo có nhiều người dùng từ xa kết nối tới một cổng kết nối mạng riêng ảo để truy cập các tài nguyên bên trong.

1. Các thành phần của mạng riêng ảo Site – to – Site:

Kiểu kết nối mạng riêng ảo khác là dạng từ nhánh mạng - tới – nhánh mạng (Site – to – Site), trong đó, hai Router tạo một đường hầm qua Internet và hoạt động như một liên kết mạng WAN giữa hai nhánh mạng. Người dùng bên cả hai phía của liên kết không cần biết về kết nối mạg riêng ảo vì liên kết hoàn toàn trong suốt với họ. Mạng riêng ảo Site – to – Site cho phép các công ty sử dụng Internet để kết nối các văn phòng của họ lại với nhau bằng việc sử dụng đường hầm mạng riêng ảo và công nghệ mã hoá, và như vậy, tiết kiệm được chi phí trên các liên kết mạng WAN riêng đắt đỏ. Để quyết định triển khai kết nối mạng riêng ảo Site – to – Site (được xem như là Router - tới – Router) ta phải hiểu tất cả các thành phần liên quan. Để hiểu tất cả các chức năng của mạng riêng ảo Site – to – Site, chúng ta cần bắt đầu với một mô tả tổng qua về công nghệ định tuyến theo yêu cầu quay số, nó cho phép các Router mạng riêng ảo có thể cho phép hoặc không cho phép các đường hầm mạng riêng ảo một cách tự động dựa trên luồng lưu lượng mà các Router đang xem xét.

1.1. Định tuyến theo yêu cầu quay số:

Định tuyến theo yêu cầu quay số qua các kết nối quay số (chẳng hạn như đường điện thoại hoặc mạng tích hợp dịch vụ số - ISDN), các kết nối mạng riêng ảo, và giao thức PPP qua các kết nối Ethernet (PPPoE). Định tuyến theo yêu cầu quay số cho phép chuyển tiếp các gói dữ liệu qua một liên kết PPP. Liên kết PPP được mô tả trên Router như là một giao diện theo yêu cầu quay số, nó có thể được dùng để tạo các kết nối khi được yêu cầu qua đường quay số, không thường xuyên hay truyền thông liên tục. Các kết nối theo yêu cầu quay số cho phép ta sử dụng các đường điện thoại quay số thay thế các đường leased line những tình huống luồng lưu lượng thấp và thúc đẩy kết nối của Internet để kết nối các văn phòng chi nhánh với các kết nối mạng riêng ảo. Khi các liên kết luôn luôn sẵn sàng, nó được xem như là một kết nối thường trực. Nếu liên kết chỉ sẵn sàng lúc cần thiết – đó là, một kết nối được thiết lập chỉ lúc quan tâm luồng lưu lượng hiện tại và kết nối đó được huỷ bỏ lúc truyền tin hoàn tất- Nó sẽ tối thiểu hoá các chi phíe điện thoại và các vấn đề về độ trễ cao trong định tuyến. Cấu hình này được xem như một kết nối khi có yêu cầu.

Định tuyến theo yêu cầu quay số không giống như truy cập từ xa. Trong khi truy cập từ xa kết nối một máy tính đơn vào mạng, định tuyến theo yêu cầu quay số kết nối toàn bộ các mạng. Tuy nhiên, cả hai đều sử dụng PPP như giao thức để thương lượng và các thực kết nối, đóng gói dữ liệu đã gửi qua nó. Một số tính năng và đặc điểm của các kết nối theo yêu cầu quay số :

- Các thuộc tính quay số cho các tài khoản người dùng.

- Tính năng an toàn(các giao thức xác thực và mã hoá).

- Các chính sách truy cập từ xa được sử dụng.

- Dịch vụ AAA.

- Địa chỉ IP được gán và cấu hình.

- Các tính năng PPP được dùng, như MMPC, BAP.

Trong khi khái niệm định tuyến theo yêu cầu quay số là khá đơn giản thì việc cấu hình nó lại khá phức tạp bởi các nhân tố sau:

- Đánh địa chỉ đầu cuối của kết nối : Kết nối phải được thực hiện qua các mạng dữ liệu công khai, như hệ thống thoại tương tự hay Internet. Một số điện thoại cho các kết nối theo yêu cầu quay số và tên máy chủ đầy đủ hay địa chỉ IP cho các kết nối mạng riêng ảo phải định danh được đầu cuối của kết nối.

- Xác thực và cấp quyền cho người gọi. Bất kỳ ai gọi tới Router phải được xác thực và cấp quyền. Xác thực dựa trên tập các giấy uỷ nhiệm của người gọi được gửi qua trong khi xử lý thiết lập kết nối, các giấy uỷ quyền gửi qua phải tương ứng với một tài khoản. Việc cấp quyền là gán quyền dựa trên các thuộc tính quay số của tài khoản và các chính sách truy cập từ xa.

- Cấu hình tại 2 đầu cuối của kết nối : Hai đầu cuối của kết nối phải được cấu hình, ngay cả khi chỉ một đầu cuối của kết nối đang khởi tạo một kết nối theo yêu cầu quay số. Việc cấu hình chỉ một phía của kết nối nghĩa là các gói dữ liệu được định tuyến thành công chỉ trong một hướng. Thông thường, việc liên lạc truyền thông yêu cầu thông tin được lưu chuyển theo cả hai hướng. Vì vậy, mỗi phía của kết nối cần có thông tinh định tuyến về phía kia để hiểu luồng lưu lượng nào được đi qua liên kết. Không có thông tin này, việc định tuyến không làm việc đúng.

- Cấu hình các đường định tuyến tĩnh : Ta không nên sử dụng các giao thức định tuyên động qua các kết nối theo yêu cầu quay số nhất thời. Lí do là vì nếu việc cập nhật định tuyến xẩy ra thường xuyên hoặc có một khối lượng lớn luồng lưu lượng hội tụ trên mỗi phía của liên kết. Vì vậy, các Router cho các định danh mạng sẵn sàng qua giao diện theo yêu cầu quay số phải được bổ sung như các tuyến đường tĩnh, vào bảng định tuyến của các Router. Bằng cách sử dụng các đường định tuyến tĩnh, các liên kết theo yêu cầu quay số sẽ không phải là phần của chức năng định tuyến động và sẽ không phải cập nhật luồng lưu lượng.

1.2. Giới thiệu các kết nối mạng riêng ảo Site – to – Site:

Một kết nối mạng riêng ảo site – to – site là một kết nối theo yêu cầu quay số sử dụng một giao thức đường hầm như PPTP hoặc L2TP/IPSec để két nối hai phần của một mạng riêng. Mỗi Router mạng riêng ảo cung cấp một kết nối định tuyến tới mạng nào mà Router đó được gắn vào. Trên một kết nối mạng riêng ảo site – to – site, các gói dữ liệu đã gửi từ Router khác qua kết nối mạng riêng ảo không bắt đầu tại các Router.

Router gọi (VPN Client) khởi tạo kết nối, Router trả lời (VPN Server) lắng nghe các nỗ lực kết nối, nhập nỗ lực kết nối từ Router gọi và trả lời yếu cầu để tạo một kết nối. Router gọi xác thực nó với Router trả lời. Khi sử dụng các giao thức xác thực như MS-CHAPv2 hoặc EAP-TLS, Router trả lời cũng xác thực nó với Router gọi.

Các Router mạng riêng ảo cũng có thể là bất kỳ máy tính nào có khả năng tạo một kết nối PPTP sử dụng MPPE hoặc một kết nối định tuyến L2TP sử dụng mã hoá IPSec.

1.2.1. Các kết nối theo yêu cầu và thường trực

Một kết nối mạng riêng ảo site – to – site có thể là một trong hai kiểu sau: theo yêu cầu hoặc thường trực. Sau đây là các chi tiết về 2 loại kết nối này :

- Một kết nối site – to – site là một kết nối được tạo khi luồng lưu lượng phải được chuyển tiếp qua kết nối. Khi luồng lưu lượng quan tâm được xem xét bởi Router, kết nối được tạo, luồng lưu lượng được chuyển tiếp, và kết nối được kết thúc sau một thời gian chỉ ở trạng thái rỗi. Luồng lưu lượng quan tâm được quyết định bằng việc sử dụng các thiết lập bộ lọc theo yêu cầu để định danh luồng lưu lượng xác định. Ta có thể cấu hình cho hành vi huỷ kết nối ở trạng thái rỗi với Router trả lời cũng như Router gọi.

- Một kết nối site – to – site thường trực luôn được kết nối. Nếu kết nối bị huỷ bỏ, ngay lập tức được thử lại. Dễ dàng cấu hình được cho loại kết nối này trên cả Router trả lời và Router gọi.

Nếu Router gọi đang kết nối tới Internet bằng cách sử dụng một liên kết quay số, chẳng hạn như một đường thoại tương tự hoặc ISDN, ta cần cấu hình kết nối mạng riêng ảo theo yêu cầu trên đường quay số bao gồm một giao diện đơn tại Router trả lời và hai giao diện tại Router gọi : một kết nối tới ISP và một cho kết nối mạng riêng ảo. Kết nối mạng riêng ảo theo yêu cầu quay số cũng yêu cầu một đường định tuyến bổ sung trong bảng định tuyến IP của Router gọi và như vậy Router mạng riêng ảo sẽ khởi tạo kết nối tới ISP lúc luồng lưu lượng cho nhánh mạng từ xa được nhận, Router mạng riêng ảo sẽ luôn nhận một thông báo lỗi «không kết nối được tới đích.

Với các kết nối mạng riêng ảo hoặc theo yêu cầu hoặc thường trực, Router trả lời thường xuyên được kết nối tới Internet vì vậy nó có thể luôn sẵn sàng chấp nhận các cuộc gọi. Khái niệm này khá quan trọng để hiểu vì sao ta không thể có cả hai phía của liên kết dùng đường quay số tới Internet. Nếu điều này được thực hiện, kết nối sẽ chỉ được thiết lập nếu thay đổi Router trả lời được kết nối tới Internet.

1.2.2. Hạn chế sự khởi tạo các kết nối theo yêu cầu

Trong hầu hết các trường hợp, ta không muốn để bất kỳ luồng lưu lượng nào cũng khởi chạy một kết nối mạng riêng ảo. Ta muốn chỉ luồng lưu lượng « có thực« kích hoạt kết nối. Để ngăn chặn Router gọi tạo ra các kết nối không cần thiết, ta nên hạn chế Router gọi tạo các kết nối theo yêu cầu bằng các cách sau đây :

- Lọc yêu cầu quay số: Ta có thể dùng bộ lọc yêu cầu quay số để cấu hình hoặc các loại luồng lưu lượng IP không tạo ra một kết nối theo yêu cầu hoặc các loại như vậy. Sau đó có thể thiết lập các bộ lọc sẽ định danh luồng lưu lượng "quan tâm" có thể khởi tạo hoặc ngăn chặn khởi tạo liên kết.

- Các giờ quay số ra: Ta có thể qui định giờ quay số ra để cấu hình các giờ mà một Router gọi hoặc được phép hoặc không được phép tạo một kết nối mạng riêng ảo. Thiết lập này có thể hữu ích nếu ta không muốn các hoạt động xẩy ra ngoài các giờ đã định rõ, Ví dụ, nếu muốn luồng lưu lượng Email kích hoạt một liên kết, và ta chỉ muốn luồng lưu lượng trong khi đang là khoảng thời gian off vào buổi tối, ta có thể sử dụng thiết lập giờ quay số ra ngoài để hạn chế sự kích hoạt đường hầm.

Tại cùng thời điểm, trên Router trả lời, ta có thể dùng chính sách truy cập từ xa để cấu hình thời gian khi các kết nối vào được cho phép nếu đó là những kết nối làm cho môi trường mạng riêng ảo của ta ý nghĩa hơn.

1.2.3. Các kết nối được khởi tạo một chiều và hai chiều

Nếu ta chỉ muốn nhánh mạng từ xa khởi tạo mạng riêng ảo khi cần, muốn sử dụng các thiết lập kết nối một chiều. Với các kết nối được khởi tại một chiều, một Router mạng riêng ảo luôn là Router gọi và một Router luôn là Router trả lời. Các kết nối được khởi tạo một chiều rất thích hợp với một kết nối thường trực có Topo mà trong đó Router tại văn phòng chi nhánh chỉ là Router khởi tạo kết nối. Cài đặt một chiều cho phép kiểm soát tập trung hơn, đặc biệt, khi nhánh mạng từ xa ở trong một múi giời khác mà sẽ làm việc quản lý thời gian khó khăn với văn phòng trung tâm. Sự khác nhau lớn giữa một chiều và hai chiều là Router gọi không cần có một liên kết luôn luôn sẵn sàng. Các kết nối được khởi tạo một chiều yêu cầu cấu hình chi tiết như sau:

- Router trả lời được cấu hình như một LAN và Router theo yêu cầu quay số.

- Một tài khoản người dùng được bổ sung vào Router trả lời để lưu các giấy uỷ quyền xác thực của Router gọi mà được truy cập và xác minh bởi Router trả lời.

- Một giao diện theo yêu cầu quay số được cấu hình tại Router trả lời với cùng tên như tài khoản người dùng đã được cấu hình bởi Router gọi. Giảo diện này không sử dụng để quay số ra ngoài, vì vậy nó không được cấu hình với host name hoặc địa chỉ IP của Router gọi hoặc với các giấy uỷ quyền người dùng hợp lệ.

Với các kết nối khởi tạo hai chiều, Router VPN có thể là Router gọi hoặc Router trả lời, tuỳ thuộc vào ai đang khởi tạo kết nối. Vì điều này, cả hai phía phải luôn sẵn sàng, nó làm tăng thêm chi phí cấu hính. Cả hai Router VPN phải được cấu hình để cả hai khởi tạo và chấp nhận một kết nối mạng riêng ảo. Ta có thể sử dụng các kết nối khởi tạo hai chiều lúc kết nối mạng riêng ảo không kích hoạt 24/24 và luồng lưu lượng từ Router khác được dùng để tạo một kết nối theo yêu cầu. Các kết nối mạng riêng ảo hai chiều yêu cầu như sau:

- Cả hai Router phải được kết nối tới Internet bằng một liên kết WAN thường trực.

- Cả hai Router phải được cấu hình như mạng LAN và Router theo yêu cầu quay số.

- Các tài khoản người dùng phải được bổ sung cho cả hai Router trên mỗi phía của liên kết sao cho các giấy uỷ quyền xác thực cho Router gọi được truy cập và xác minh bởi Router trả lời bất cứ lúc nào chiều gọi được khởi tạo.

- Các giao diện theo yêu cầu quay số, với tên giống nhau như tài khoản người dùng được dùng bởi Router gọi, phải được cấu hình đầy đủ tại cả hai Router, bao gồm các thiết lập cho host name hoặc địa chỉ IP của Router trả lời và các giấy uỷ quyền tài khoản người dùng.

Bảng 7.1 liệt kê một cấu hình ví dụ cho định tuyến được khởi tạo hai chiều giữa Router 1, một Router theo yêu cầu quay số trên nhánh mạng của thành phố A và Router 2, một Router theo yêu cầu quay số trên nhánh mạng tại thành phố B.

 

            Quyết định nơi đặt máy chủ liên quan đến Firewall Intranet của ta. Trong cấu hình thông dụng nhất, máy chủ mạng riêng ảo được đặt sau Firewall trên mạng vành đai giữa Intranet và Internet. Cấu hình này cho phép Firewall xử lý nhiều tác vụ bảo mật, chẳng hạn như xem xét các tấn công và lọc các luồng lưu lượng không mong muốn bên ngoài, cho phép máy chủ mạng riêng ảo xử lý luồng lưu lượng mạng riêng ảo truy cập từ xa.

 

2. Triển khai mạng riêng ảo truy cập từ xa:

2.1. Triển khai truy cập từ xa dựa trên PPTP hoặc L2TP/IPSec:

Nhiều thủ tục triển khai truy cập từ xa là giống nhau khi ta sử dụng PPTP hoặc L2TP/IPSec, nhưng ta cần xem xét một số điểm khác biệt nổi bật trong khi thiết lập, tuỳ thuộc vào cái nào được sử dụng. Không kể tập hợp giao thức mà ta sử dụng, việc triển khai các kết nối mạng riêng ảo truy cập từ xa bao gồm các bước sau:

- Triển khai một cơ sở hạ tầng chứng chỉ số.

- Triển khai một cơ sở hạ tầng Internet.

- Triển khai một cơ sở hạ tầng xác thực, cấp quyền và kiểm toán.

- Triển khai các máy chủ mạng riêng ảo.

- Triển khai một cơ sở hạ tầng Intranet.

- Triển khai các Client VPN.

Sau đây ta sẽ thảo luận chi tiết hơn về các phần.

2.1.1. Triển khai một cơ sở hạ tầng chứng chỉ số

Với các kết nối mạng riêng ảo dựa trên PPTP, một cơ sở hạ tầng chứng chỉ là cần thiết chỉ khi ta đang sử dụng các chứng chỉ người dùng được cài đặt cục bộ và xác thực EAP-TLS, mới L2TP/IPSec, cơ sở hạ tầng chứng chỉ số là điều bắt buộc. Nếu đang sử dụng chỉ một giao thức xác thực dựa trên mật khẩu như MS-CHAP v2), thì không đòi hỏi cơ sở hạ tầng chứng chỉ và cơ sở hạ tầng này cũng không được dùng cho việc tạo kết nối mạng riêng ảo. Ta có thể lựa chọn việc sử dụng mật khẩu, miễn là các chứng chỉ cho phép xác thực 2 nhân tố và sẽ cho phép ta sử dụng các công nghệ an toàn của IPSec.

Để sử dụng một cơ sở hạ tầng chứng chỉ cho các kết nối mạng riêng ảo dựa trên PPTP, ta phải cài đặt một chứng chỉ máy tính trên máy chủ xác thực (Máy chủ mạng riêng ảo hoặc máy chủ RADIUS) và phân phối tới Client VPN hoặc một chứng chỉ người dùng trên mỗi máy Client VPN.

2.1.2. Triển khai một cơ sở hạ tầng Internet

Bây giờ ta đã có tất cả các dịch vụ cấp chứng chỉ đã triển khai, hãy chuyển sang khai thác hệ thống mạng riêng ảo đã cấu hình và triển khai. Bước thứ nhất là triển khai cơ sở hạ tầng Internet cho các kết nối mạng riêng ảo truy cập từ xa sẽ xử lý tất cả các yêu cầu kết nối và truy cập đến tới và từ Internet. Triển khai cơ sở hạ tầng Internet bao gồm:

- Đặt máy chủ mạng riêng ảo trong một mạng vành đai hoặc trên Internet.

- Cấu hình giao diện Internet.

- Bổ sung địa chỉ vào máy chủ hệ thống tên miền Internet.

1. Đặt máy chủ mạng riêng ảo trong mạng vành đai hoặc trên Internet

Quyết định nơi đặt máy chủ liên quan đến Firewall Intranet của ta. Trong cấu hình thông dụng nhất, máy chủ mạng riêng ảo được đặt sau Firewall trên mạng vành đai giữa Intranet và Internet. Cấu hình này cho phép Firewall xử lý nhiều tác vụ bảo mật, chẳng hạn như xem xét các tấn công và lọc các luồng lưu lượng không mong muốn bên ngoài, cho phép máy chủ mạng riêng ảo xử lý luồng lưu lượng mạng riêng ảo truy cập từ xa. Nếu đang sử dụng một Firewall trước máy chủ mạng riêng ảo, cấu hình bộ lọc gói trên Firewall để cho phép luồng lưu lượng PPTP hoặc L2TP/IPSec khi được yêu cầu tới và từ địa chỉ IP của các giao diện mạng vành đai của máy chủ mạng riêng ảo.

2. Cấu hình giao diện Internet

Kết nối máy chủ mạng riêng ảo tới mạng vành đai với một card mạng và kết nối tới mạng Intranet với một card mạng khác. Cấu hình máy chủ mạng riêng ảo để chuyển tiếp các gói IP giữa Internet và Intranet, chẳng hạn nếu dùng hệ điều hành Windows thì dùng dịch vụ Routing anhd Remote Access Server.

Với các kết nối kết nối tới Internet hoặc mạng vành đai, cấu hình giao thức TCP/IP với một địa chỉ IP công cộng, một subnet mask và cổng kết nối mặc định của hoặc Firewall(nếu Firewal được đặt trong một mạng vành đai) hoặc một Router của ISP(nếu máy chủ mạng riêng ảo được kế nối trực tiếp tới Internet và không có Firewall giữa máy chủ mạng riêng ảo và Router của ISP).

3. Bổ sung địa chỉ vào máy chủ DNS internet

Với các thiết bị mạng riêng ảo để thực hiện chức năng, người dùng sẽ cần phải có khả năng tìm thấy máy chủ mạng riêng ảo từ bất kỳ nơi nào trên Internet, vì vậy, ta cần thông báo tên máy chủ một cách đúng đắn. Để đảm bảo rằng tên của máy chủ mạng riêng ảo(ví dụ, vpn.fis.com) có thể được xử lý với các địa chỉ IP thích hợp của nó theo một trong 2 thủ tục sau. Bạn có thể bổ sung địa chỉ DNS vào máy chủ DNS nếu đang cung cấp dịch vụ phân giải tên DNS cho người dùng Internet(Nếu là trường hợp này, đảm bảo rằng ISP của ta biết nó và rằng máy chủ DNS của ta có thể phản hồi yêu cầu bởi các máy chủ DNS của ISP). Như một sự lựa chọn, ta có thể bổ sung vào ISP của ta một bản ghi DNS tới máy chủ DNS nếu ISP đang cung cấp dịch vụ phân giải tên DNS cho người dùng Internet. Kiểm tra lại tên của máy chủ mạng riêng ảo có thể được xử lý với địa chỉ IP công cộng lúc kết nối tới Internet hay không.

2.1.3. Triển khai một cơ sở hạ tầng AAA

Một khi ta làm cho tên máy chủ mạng riêng ảo có thể xử lý trên Internet, ta muốn chắc chắn rằng chỉ những người dùng mà ta đồng ý cấp quyền truy cập tới các dịch vụ mạng riêng ảo. Bước kế tiếp là triển khai hệ thống định danh, được xem như là các dịch vụ AAA. Việc triển khai cơ sở hạ tầng AAA cho các kết nối mạng riêng ảo truy cập từ xa bao gồm:

- Cấu hình dịch vụ thư mục cho tài khoản người dùng và nhóm.

- Cấu hình máy chủ xác thực Internet IAS chính.

- Cấu hình IAS với các Client RADIUS.

- Cấu hình chính sách mạng riêng ảo truy cập từ xa.

Cấu hình dịch vụ thư mục cho tài khoản người dùng và nhóm

Dịch vụ thư mục là trung tâm bảo mật của mạng riêng ảo.

+ Phải đảm bảo rằng tất cả người dùng tạo kết nối truy cập từ xa có một tài khoản tương ứng.

+ Thiết lập mức cho phép truy cập từ xa trên tài khoả để cho phép truy cập hay từ chối truy cập để quản lý truy câp từ xa theo người dùng hoặc theo nhóm thông qua chính sách truy cập từ xa.

+ Tổ chức những người dùng từ xa thành nhóm thích hợp để thuận tiện trong việc áp dụng chính sách truy cập từ xa theo nhóm.

Cấu hình máy chủ IAS chính

Máy chủ IAS sẽ cho phép ta xử lý tất các các liên lạc liên quan tới xác thực và cấp quyền. Đây sẽ là nguồn tài nguyên máy chủ sống còn và việc mất các dịch vụ xác thực có thể làm dừng hoạt động của toàn mạng, Vì vậy cần thiết phải có IAS thứ 2 để dự phòng.

Máy chủ IAS chính phải có khả năng truy cập các thuộc tính tài khoản trong các Domain thích hợp. Nếu IAS đang được cài trên một máy điều khiển miền, không yêu cầu phải cấu hình cho IAS truy cập các thuộc tính tài khoản trong Domain mà nó thuộc. Nếu IAS không được cài trên một máy điều khiển miền, ta phải cấu hình máy chủ IAS chính để nó có thể đọc các thuộc tính của tài khoản người dùng trong Domain.

Nếu máy chủ IAS xác thực và cấp quyền cho các nổ lực kết nối mạng riêng ảo với các tài khoản người dùng trong các Domain khác, kiểm tra lại xem các Domain khac có quan hệ tin cậy hai chiều với Domain mà máy chủ IAS là thành viên hay không.

Nếu các tài khoản trong các Domain khác nhau không có quan hệ tin cậy hai chiều với Domain mà IAS là thành viên, ta phải cấu hình một RADIUS uỷ quền giữa hai Domain không tin cậy nhau.

Cấu hình IAS với Client RADIUS

Ta phải cấu hình máy chủ IAS chính với máy chủ mạng riêng ảo như Client RADIUS. Cấu hình này sẽ cho phép cả máy chủ IAS chính và phụ truy cập các dịch vụ RADIUS để xác thực người dùng.

Cấu hình chính sách truy cập từ xa

Chính sách truy cập từ xa sẽ cho phép đưa thêm các yêu cầu an toàn cho những người dùng truy cập đến mạng từ mạng bên ngoài. Nó sẽ định nghĩa những ai được phép truy cập hệ thống và cách họ được cho phép để truy cập nó. Chẳng hạn, nếu bạn muốn những người dùng từ xa truy cập máy chủ mạng riêng ảo chi nếu họ đang sử dụng L2TP/IPSec như một giao thức đường hầm hoặc chỉ nếu họ sử dụng EAP-TLS như một giao thức xác thực, chính sách truy cập từ xa định nghĩa các tham số mà chúng được cho phép sử dụng để kết nối.

2.1.4. Triển khai máy chủ mạng riêng ảo

Để cho người dùng có thể truy cập, chúng ta cần thiết lập các máy chủ mạng riêng ảo. Triển khai các máy chủ mạng riêng ảo cho các kết nối mạng riêng ảo truy cập từ xa bao gồm :

- Cấu hình mỗi kết nối của máy chủ mạng riêng ảo tới Intranet.

- Thiết lập bộ định tuyến mạng riêng ảo.

2.1.5. Triển khai cơ sở hạ tầng Intranet

Bây giờ máy chủ đã thiết lập TCP/IP cơ sở và tất cả các quyết định về giao thức và kết nối AAA đã được thực hiện, ta cần đảm bảo rằng các tài nguyên trong mạng Intranet là có khả năng truy cập được với máy chủ mạng riêng ảo và như vậy nó có thể xử lý các liên lạc tới các Client truy cập từ xa. Triển khai cơ sở hạ tầng mạng Intranet cho các kết nối mạng riêng ảo truy cập từ xa bao gồm các công việc sau:

- Cấu hình bộ định tuyến trên máy chủ mạng riêng ảo.

- Kiểm tra trình phân giải tên và khả năng kết nối tới Intranet từ máy chủ mạng riêng ảo.

- Cấu hình bộ định tuyến cho vùng địa chỉ subnet.

- Cấu hình các tài nguyên cách ly.

Cấu hình bộ định tuyến trên máy chủ mạng riêng ảo

Với các máy chủ mạng riêng ảo để chuyển tiếp luồng lưu lượng tới các vị trí trong Intranet, ta phải cấu hình chúng với hoặc các đường định tuyến tĩnh mà tổng kết tất cả các địa chỉ có khả năng đã dùng trên Intranet hoặc với các giao thức định tuyến và như vậy máy chủ mạng riêng ảo có thể hoạt động như một bộ định tuyến động và tự động bổ sung các đường định tuyến cho các mạng con Intranet vào bảng định tuyến của nó. Thực tế tốt nhất là ta nên sử dụng sự tổng kết đường định tuyến để đi đến phần còn lại của mạng trong. Đó là cách mà người quản trị máy chủ mạng riêng ảo dễ thực thiện và ta không phải lo lắng về việc hỗ trợ định tuyến động trên máy chủ mạng riêng ảo. Nếu tổng kết đường định tuyến không có khả năng, sử dụng định tuyến động để đảm bảo rằng máy chủ mạng riêng ảo biết tất cả những thay đổi topo mạng.

Kiểm tra trình phân giải tên và khả năng kết nối tới Intranet từ máy chủ mạng riêng ảo

Từ mỗi máy chủ mạng riêng ảo, kiểm tra xem máy chủ có thể phân giải các tên và liên lạc thành công với các tài nguyên Intranet hay không. Ta thực hiện công việc này bằng lệnh Ping, truy cập trang Web với trình duyệt, và kiểm tra kết nối máy in tới máy chủ trong Intranet. Công việc này đảm bảo để sử dụng DNS dựa trên mạng Intranet và việc cấu hình trên các giao diện Intranet của máy chủ mạng riêng ảo là đúng đắn. Nếu Client được thiết lập DNS dựa vào bên ngoài, sẽ không có khả năng kết nối tới các máy chủ bên ngoài(nếu đường hầm bị disable) hoặc các máy chủ bên ngoài sẽ không có khả năng xử lý các tên cho tài nguyên Intranet(nếu đường hầm được enable).

Cấu hình định tuyến cho phạm vi địa chỉ mạng con

Nếu ta đã cấu hình các máy chủ mạng riêng ảo với vùng địa chỉ một cách thủ công và các phạm vi trong vùng là một phạm vi mạng con, ta phải đảm bảo rằng đường định tuyến hoặc các đường định tuyến mô tả vùng địa chỉ mạng con hay các vùng được mô tả trong cơ sở hạ tầng định tuyến Intranet của ta. Ta có thể đảm bảo điều này bằng việc hoặc bổ sung các đường định tuyến tính mô tả phạm vi địa chỉ mạng con như các đường định tuyến tĩnh tới các Router kề cạnh của máy chủ mạng riêng ảo, và sau đó sử dụng giao thức định tuyến của Intranet chúng ta để phổ biến đường định tuyến tới các bộ định tuyến khác. Khi sử dụng các phương thức này, phải đảm bảo cho phép phân phối lại các đường định tuyến tĩnh trên bộ định tuyến kế tiếp để phổ biến các đường định tuyến tĩnh cho các giao thức định tuyến động.

Ngoài ra, nếu ta đang sử dụng giao thức thông tin định tuyến(RIP) hoặc Open Shortest Path First (OSPF), ta có thể cấu hình máy chủ mạng riêng ảo sử dụng các vùng địa chỉ mạng con như các bộ định tuyến RIP hoặc OSPF. Với OSPF, ta phải cấu hình máy chủ mạng riêng ảo như một bộ định tuyến biên hệ thống tự trị(ASBR). Cấu hình này cho phép bộ định tuyến OSPF(máy chủ mạng riêng ảo) công khai các đường định tuyến tĩnh trong hệ thống tự trị OSPF.

Cấu hình các tài nguyên cách ly

Nếu ta đang dùng kiểm soát cách ly truy cập mạng, ta nên cách ly dịch vụ với người dùng bằng việc chỉ rõ một máy chủ DNS, máy chủ File, máy chủ Web với các trang web chưa chính sách mạng theo đúng các chỉ lện và thành phần trong một mạng con độc lập.

2.1.6. Triển khai các Client VPN

Bây giờ ta đã có các máy chủ xác thực. Máy chủ mạng riêng ảo được thiết lập với các chính sách tuy cập của chúng và có khả năng thực hiện các kết nối từ người dùng từ xa, truy cập tài nguyên của tổ chức và liên lạc trên bộ định tuyến mạng của tổ chức. Bước tiếp theo ta làm cho các Client có khả năng truy cập máy chủ mạng riêng ảo.

Tổng kết

Để triển khai một giải pháp truy cập từ xa dựa trên PPTP, thực hiện các bước như sau :

+ Nếu đang sử dụng xác thực EAP-TLS, tạo một cơ sở hạ tầng chứng chỉ số để phát hành các chứng chỉ người dùng tới các Client VPN và máy chủ xác thực.

+ Kết nối máy chủ mạng riêng ảo với Internet.

+ Triển khai cơ sở hạ tầng AAA(gồm cả máy chủ RADIUS).

+ Triển khai các Client VPN.

Để triển khai một giải pháp truy cập từ xa dựa trên L2TP/IPSec, ta thực hiện các bước sau:

+ Tạo một cơ sở hạ tầng cung cấp chứng chỉ để phát hành chứng chỉ cho Client VPN và máy chủ mạng riêng ảo.

+ Kết nối máy chủ mạng riêng ảo với Internet.

+ Triển khai cơ sở hạ tầng AAA(gồm cả máy chủ RADIUS).

+ Sửa đổi cơ sở hạ tầng Intranet để phân phối đường định tuyến và vùng cách ly.

+ Triển khai các Client VPN.

Xây dựng mạng riêng ảo Site – to – Site – Phần 2

Để thực thi xác thực dựa trên chứng chỉ cho các kết nối L2TP và xác thực người dùng dựa trên chứng chỉ cho các kết nối mạng riêng ảo sử dụng EAP-TLS. Một cơ sở hạ tầng về chứng chỉ được bố trí để phát hành các chứng chỉ thích hợp cho quá trình xác thực và xác minh chức chỉ.

1.3. Các thành phần của mạng riêng ảo Site – to – Site:

Không giống với mạng riêng ảo truy cập từ xa, các liên kết Site – to – Site đòi hỏi cả hai phía của liên kết phải có một tập đầy đủ các tài nguyên để làm việc với nhau. Các thành phần của mạng riêng ảo Site – to – Site được minh hoạ như trong hình 7.1.


Hình 7.1 Các thành phần của mạng riêng ảo Site – to – Site.

Các thành phần chính là:

- Các Router VPN

- Cơ sở hạ tầng mạng Internet

- Cơ sở hạ tầng mạng chi nhánh

- Cơ sở hạ tầng AAA

- Cơ sở hạ tầng chứng chỉ

1.3.1. Các Router VPN

Các Router VPN là các Server kiểm soát tất cả các hoạt động kết nối từ xa của liên kết Site – to – Site. Chúng là trung tâm của hệ thống mạng riêng ảo Site – to – Site. Các Router VPN là các thực thể khởi tạo hoặc nhận các kết nối theo yêu cầu quay số dựa trên VPN và có các thành phần cơ bản sau được cài đặt trên đó:

- Dịch vụ định tuyến : Dịch vụ này được cài đặt trên cả Router gọi và Router trả lời

- Các Port : Một port là một kênh liên lạc vật lý hay lôgic có khả năng hỗ trợ một kết nối PPP đơnh. Các cổng vật lý dựa các thiết bị được cài đặt trên Router VPN, chẳng hạn như card mạng hay modem. Các cồng VPN là các cổng lôgic xử lý các thương lượng và tham số kết nối logic cho các kết nối.

- Các giao diện mạng : Một giao diện được cấu hình trên Router gọi mô tả lại kết nối PPP và chứa các thông tin cấu hình như kiểu của cổng để dùng(Ví dụ, PPTP hay L2TP/IPSec), địa chỉ sử dụng để tạo kết nối(đó là, một địa chỉ IP hoặc một tên Domain để kết nối tới Internet), các phương pháp xác thực, các yêu cầu mã hoá và các uỷ quyền xác thực.

- Tài khoản người dùng : Với mỗi Router gọi để được xác thực, các giấy uỷ nhiệm của nó phải được xác minh bởi các thuộc tính của một tài khoản người dùng tương ứng. Nếu Router trả lời được cấu hình với xác thực RADIUS, Server RADIUS phải truy cập tới tài khoản người dùng cho các giấy uỷ quyền xác thực của Router gọi Với một kết nối khởi tạo một chiều, ta có thể cấu hình các đường định tuyến IP tĩnh được thêm vào bảng định tuyến của Router trả lời khi kết nối được tạo. Việc làm này sẽ cho phép Router gọi biết được subnet nào đang sẵn sàng trên phía bên kia và xác định có thiết lập liên kết sử dụng các đường định tuyến tĩnh đó hay không.

- Các đường định tuyến: Để chuyển tiếp luồng lưu lượng qua một kết nối mạng riêng ảo, các đường định tuyến IP trong bảng định tuyến của Router VPN được cấu hình để sử dụng giao diện đúng.

Với các kết nối được khởi tạo một chiều, cấu hình Router gọi theo cách thông thường. Với Router trả lời, ta có thể cấu hành tài khoản người dùng đã chỉ rõ trong giấy uỷ quyền xác thực của Router gọi với các đường định tuyến IP tính.

- Chính sách truy cập từ xa: Trên Router trả lời hoặc trên máy chủ dịch vụ xác thực Internet đang hoạt động như một Server RADIUS với Router trả lời, để xác định các tham số kết nối đã xác định với các kết nối theo yêu cầu quay số, tạo một chính sách truy cập từ xa riêng cho những người dùng hay nhóm người dùng với Router gọi như các thành viên của chính sách. Một chính sách truy cập từ xa riêng cho các kết nối theo yêu cầu quay số không được đòi hỏi.

Một Router gọi ta làm như sau :

- Khởi tạo các kết nối VPN dựa trên hành động của người quản trị lúc một gói đang chuyển tiếp cho phù hợp với một đường định tuyến sử dụng một giao diện theo yêu cầu quay số dựa trên mạng riêng ảo.

- Chờ xác thực và cấp quyền trước khi chuyển tiếp các gói.

- Hoạt động như một Router chuyểntiếp các gó dữ liệu giữa các Node trong nhánh mạng của nó và Router trả lời.

- Hoạt động như một điểm cuối của kết nối mạng riêng ảo.

Router trả lời ta làm như sau :

- Lắng nghe các kết nối đang cố gắng thực hiện.

- Xác thực và cấp quyền cho các kết nối VPN trước khi cho phép dữ liệu luôn chuyển.

- Hoạt động như một Router chuyển tiếp các gói dữ liệu giữa các Node trong nhánh mạng của nó và Router gọi.

- Hoạt động như một điểm cuối của kết nối mạng riêng ảo.

Các Router VPN điển hình có hai card mạng được cài đặt, một để kết nối tới Internet, một để kết nối tới Intranet.

Với các kết nối mạng riêng ảo Site – to – Site, một Router khởi tạo một kết nối mạng riêng ảo tới Server VPN và các Client không cần tự khởi chạy một VPN - tất cả luồng lưu lượng sẽ được xử lý bởi các Router cuối. Tiếp theo, Server VPN có thể khởi tạo một kết nối mạng riêng ảo tới Router VPN khác.

Cài đặt một chứng chỉ trên Router VPN :

Nếu các Router VPN đang tạo các kết nối L2TP/IPSec hoặc sử dụng xác thực EAP-TLS, các chứng chỉ phải được cài đặt trên Router VPN. Với các kết nối L2TP/IPSec, một chứng chỉ phải được cài đặt trên cả Router gọi và trả lời để cung cấp xác thực cho việc khởi tạo một phiên IPSec. Với xác thực EAP-TLS, một chứng chỉ phải được cài đặt trên Server xác thực(hoặc Router trả lời hoặc một Server RADIUS) và chứng chỉ phải được cài đặt trên Router gọi.

1.3.2. Cơ sở hạ tầng Internet

Để tạo một kết nối mạng riêng ảo tới một Router trả lời qua Internet, ta cần đảm bảo rằng trình phân giải tên, IP và định tuyến, các dịch vụ được cấu hình và hoạt động đúng. Ta cần nhớ ba vấn đề chính cho việc thiết lập các kết nối thành công:

- Tên của Router trả lời phải có khả năng phân giải được.

- Có khả năng kết nối tới được Router trả lời.

- Luồng lưu lượng VPN phải được cho phép và từ Router trả lời.

1. Trình phân giải tên của Router trả lời

Trong khi nó có khả năng để cấu hình các giao diện với các tên của các Router trả lời với một kết nối nào được tạo, ta nên sử dụng địa chỉ các IP hơn là các tên. Sử dụng địa chỉ IP thay cho tên loại bỏ được một số sự phức tạp trong cài đặt và kiểm thử.

2. Khả năng kết nối tới được Router trả lời

Để có thể kết nối tới được, Router trả lời phải được gán một địa chỉ IP công cộng để những gói dữ liệu được chuyển tiếp bởi cơ sở hạ tầng định tuyến của Internet. Nếu ta đã gán một địa chỉ IP tĩnh công cộng từ một ISP hoặc một cơ quan đăng ký Internet, thì điều này không phải là một vấn đề. Trong một số cấu hình, Router trả lời được gán chính xác với một địa chỉ IP riêng và có một địa chỉ IP tĩnh được công bố trên Internet. Một thiết bị dịch chuyển địa chỉ mạng giữa Internet và Router trả lời để dịch chuyển địa chỉ IP hiện thời và đã công bố của Router trả lời trong các gói dữ liẹu tới và từ Router trả lời.

Trong khi cơ sở hạ tầng định tuyến có thể thay thế, Router trả lời có thể không kết nối tới được vì sự bố trí của các Firewall, các Router lọc gói, các bộ dịch chuyển địa chỉ mạng, các cổng nối bảo mật hay các loại thiết bị khác ngăn chặn các gói dữ liệu đang được gửi hoặc nhận từ Router trả lời. Và như vậy, nếu Router trả lời được bảo vệ bởi bất kỳ tuỳ chọn nào trong số trên, ta cần đảm bảo rằng việc cấu hình và kiểm thử thích hợp có thể được thực hiện để đảm bảo việc xử lý các gói thích hợp bởi các thiết bị mạng này.

3. Các Router VPN và cấu hình Firewall

Có 3 cách tiếp cận điển hình về việc sử dụng một Firewall với một Router VPN.

- Router VPN được gắn kết trực tiếp tới Internet, và Firewall là giữa Router VPN và nhánh mạng. Trong cấu hình này, Router VPN phải được cấu hình với các bộ lọc gói chỉ cho phép luồng lưu lượng VPN vào và ra của giao diện Internet của nó. Firewall có thể được cấu hình để cho phép các loại xác định của luồng lưu lượng thuộc nhánh mạng trong.

- Firewall và Server VPN là thực thể giống nhau, trong trường hợp này, Server sẽ xử lý cả hai chức năng.

Ngoài ra còn một số vấn đề về giao thức xác thực và các giao thức mạng riêng ảo.

1.3.3. Cơ sở hạ tầng mạng chi nhánh

Cơ sở hạ tầng của mạng chi nhánh là một phần tử quan trọng của thiết kế VPN. Các Router gọi không thể chuyển tiếp các gói mà không có cơ sở hạ tầng định tuyến thích hợp được đặt vào vị trí thích hợp.

1. Trình phân giải tên

Nếu Router gọi được cấu hình với các địa chỉ IP của DNS, các địa chỉ IP DNS không được yêu cầu bởi Router trả lời trong khi thương lượng kết nối PPP. Nếu Router gọi không được cấu hình với các địa chỉ IP của DNS, DNS được yêu cầu. Router gọi không bao giờ yêu cầu địa chỉ IP của DNS từ Router gọi. Theo ngầm định, Router gọi không đăng ký nó với DNS của Router trả lời.

2. Định tuyến

Mỗi Router mạng riêng ảo là một Router IP và như vậy phải được cấu hình đúng với tập các Router làm cho tất cả các vị trí đều có thể kết nối tới được. Đặc biệt, mỗi Router mạng riêng ảo cần như sau:

- Một đường định tuyến mặc định hướng tới một Firewall hay Router đã kết nối trực tiếp với Internet: Đường định tuyến này làm cho tất các các vị trí trên Internet đều có thể kết nối tới được. Không có một đường định tuyến mặc định, sẽ không có cách nào để định tuyến luồng lưu lượng tới Internet và tất các các gói có địa chỉ sẽ bị loại bỏ tại Router VPN.

- Một hoặc nhiều đường định tuyến tập hợp các địa chỉ sử dụng trong nhánh mạng của Router VPN hướng tới Router nhánh mạng kề cận: Các đường định tuyến này làm cho tất cả các vị trí trong nhánh mạng của Router VPN có thể kết nối tới được từ Router VPN. Không có các đường này, tất cả các host trong nhánh mạng không kết nối được tới cùng subnet khi Router VPN không có khả năng kết nối tới được. Không có cách nào cho các thực thể cuối biết được những subnet nào không nằm trong phạm vị subnet của Router VPN. Vì không có các cập nhật đường định tuyến động qua liên kết, thông tin này cần được cung cấp một cách thủ công. Nếu có các subnet mà nhánh mạng từ xa không nên truy cập, ách đơn giản là loại trừ các subnet này khỏi tập các đường định tuyến tĩnh và chúng sẽ không có khả năng kết nối tới được.

Để bổ sung một đường định tuyến mặc định hướng tới Internet, cấu hình giao diện Internet với một cổng kết nối ngầm định và sau đó cấu hình giao diện nhánh mạng không có cổng kết nối ngầm định.

Nếu nhánh mạng chỉ có một subnet đơn, không yêu cầu phải cấu hình thêm và giao thức định tuyến động cũng không cần thiết. Sử dụng giao thức định tuyến động chi trên các liên kết theo yêu cầu quay số lúc được gọi. Định tuyến tĩnh là giải pháp được khuyến cáo để tránh cho các kết nối khỏi bị phá vỡ.

Lúc một kết nối mạng riêng ảo được tạo, mỗi Router gửi luồng lưu lượng sử dụng một giao diện logic tương ứng với cổng PPTP hoặc L2TP của kết nối. Trong khi thương lượng PPP, các địa chỉ IP có thể được gán cho các giao diện lôgic này. Việc đảm bảo rằng các giao diện lôgic của Router VPN có thể kết nối tới được phụ thuộc cách mà ta cấu hình mỗi Router VPN để chứa các địa chỉ IP cho các Client truy cập từ xa.

1.3.4. Cơ sở hạ tầng AAA

Cơ sở hạ tầng AAA tồn tại để cung cấp xác thực các kết nối và ghi nhật ký hoạt động của các kết nối đó sao cho vấn đền an toàn của mạng có thể được giám sát. Một cơ sở hạ tầng AAA mạnh là điều kiện sống còn với sự an toàn của mật kỳ mạng truy cập từ xa hay mạng Site –to – Site nào. Cơ sở hạ tầng AAA thực hiện các nhiệm vụ sau:

- Xác thực các giấy uỷ quyền của các Router gọi.

- Cấp quyền cho kết nối mạng riêng ảo.

- Ghi lại các hoạt động của kết nối mạng riêng ảo phục vụ cho chức năng kiểm toán.

Cơ sở hạ tầng AAA thường bao gồm:

- Router trả lời

- Máy chủ RADIUS

- Các trình điều khiển miền

1.3.5. Cơ sở hạ tầng chứng chỉ số

Để thực thi xác thực dựa trên chứng chỉ cho các kết nối L2TP và xác thực người dùng dựa trên chứng chỉ cho các kết nối mạng riêng ảo sử dụng EAP-TLS. Một cơ sở hạ tầng về chứng chỉ được bố trí để phát hành các chứng chỉ thích hợp cho quá trình xác thực và xác minh chức chỉ.

Mỗi Router cần biết về các đường định tuyến trong các nhánh mạng của các Router VPN khác và như vậy nó có thể chuyển tiếp đúng luồng lưu lượng tới các phía khác của kết nối mạng riêng ảo. Việc triển khai cơ sở hạ tầng ngoài chi nhánh bao gồm việc cấu hình mỗi Router VPN với tập các đường định tuyến cho các mạng con sẵn dùng trong các nhánh mạng khác.

2. Triển khai mạng riêng ảo Site – to – Site:

Trong phần này trước chúng ta đã mô tả các phần tử cần thiết cho mạng riêng ảo theo mô hình kết nối Site – to – Site. Trong phần này chúng ta xem xét các bước để triển khai giải pháp mạng riêng ảo Site – to – Site dựa trên PPTP hoặc L2TP với IPSec. Việc triển khai giải pháp này bao gồm các bước cơ bản như sau:

- Triển khai cơ sở hạ tầng cung cấp chứng chỉ: Cho phép ta triển khai các dịch vụ cung cấp chứng chỉ cho cả hai phía của liên kết.

- Triển khai cơ sở hạ tầng Internet: Cho phép ta kết nối tới Internet từ cả hai phía của liên kết.

- Triển khai Router trả lời: Triển khai máy chủ mạng riêng ảo sẽ nhận các yêu cầu kết nối mạng riêng ảo.

- Triển khai Router gọi: Triển khai máy chủ mạng riêng ảo sẽ khởi tạo các yêu cầu kết nối mạng riêng ảo.

- Triển khai cơ sở hạ tầng AAA: Cho phép xác thực, cấp quyền và kiểm toán các kết nối cho cả hai phía của liên kết.

- Triển khai cơ sở hạ tầng của nhánh mạng bên trong: Cho phép chuyển tiếp các gói dữ liệu tới các nhánh mạng qua kết nối mạng riêng ảo Site – to – Site.

2.1. Triển khai cơ sở hạ tầng cung cấp chứng chỉ:

Ta sẽ sử dụng các chứng chỉ số cho xác thực bất cứ khi nào có thể. Với các kết nối L2TP/IPSec, các chứng chỉ số như là một yêu cầu. Với các kết nối mạng riêng ảo dựa trên PPTP, một cơ sở hạ tầng chứng chỉ số chỉ cần thiết lúc ta sử dụng xác thực EAP-TLS. Nếu chỉ đang sử dụng một giao thức xác thực dựa trên mật khẩu như MS-CHAPv2, thì cơ sở hạ tâng chứng chỉ là không cần thiết.

Hầu hết những người quản trị sử dụng PPTP để tránh các vấn đề về các yêu cầu chứng chỉ số hay thích hợp hơn qua các NAT với một giao thức không IPSec. Tuy nhiên, trong kịch bản Site – to – Site, sử dụng một phương thức xác thực dựa trên chứng chỉ số sẽ đạt được mức an toàn tốt nhất.

Để sử dụng xác thực EAP-TLS cho các kết nối mạng riêng ảo Site – to – Site, ta phải thực hiện các bước sau:

- Cài đặt dịch vụ cung cấp chứng chỉ cho người dụng trên mỗi Router gọi.

- Cấu hình EAP-TLS trên Router gọi.

- Cài đặt dịch vụ xác thức trên máy chủ xác thực(trên Router trả lời hoặc máy chủ RADIUS).

- Cấu hình EAP-TLS trên máy chủ xác thực và với chính sách bảo mật cho các kết nối site – to – site.

2.2. Triển khai cơ sở hạ tầng Internet:

Ý tưởng của các kết nối mạng riêng ảo Site – to – Site là sử dụng Internet như mạng trung gian cho các liên lạc mạng diện rộng của tổ chức, và như vậy loại trừ được đường thuê riêng chi phí đắt. Cơ sở hạ tầng Internet là phần mạng được kết nối trực tiếp tới mạng công cộng mà mạng riêng ảo sẽ được triển khai qua đó. Trong phần này, chúng ta sẽ xem xét tất cả các bước cho việc triển khai các Router VPN trên Internet. Triển khai cơ sở hạ tầng Internet cho các kết nối mạng riêng ảo bao gồm các bước sau:

- Đặt các Router VPN trong mạng vành đai hoặc trên Internet.

- Cấu hình các giao diện Internet cho Router VPN.

Bước đầu tiên trong việc triển khai các Router VPN là xác định vị trí đặt của chúng trong mối tương quan với Firewall Internet. Trong cấu hình thông dụng nhất, các Router VPN được đặt sau Firewall trên mạng vành đai giữa nhánh mạng của ta và Internet, ta cần phải cấu hình bộ lọc gói trên firewall để cho phép luồng lưu lượng mạng riêng ảo đến và đi từ địa chỉ IP của các giao diện mạng vành đai của Router VPN. Trên cả hai Server gọi và trả lời, ta đều phải thiết lập kết nối Internet. Với Card mạng kết nối tới Internet hay mạng vành đai, cấu hình giao thức TCP/IP với một địa chỉ IP công cộng, một subnet mask và một cổng kết nối ngầm định của hoặc firewall hoặc một Router của ISP.

2.2.1. Triển khai các Router trả lời

Chúng ta cần thiết lập Router trả lời với các cấu hình thích hợp cho một kết nối mạng riêng ảo Site – to – Site. Thủ tục bao gồm:

Cấu hình kết nối Router trả lời tới nhánh mạng và cài đặt dịch vụ định tuyến: Trên giao diện thứ 2 của Router trả lời, cấu hình card mạng kết nối tới nhánh mạng bằng cách cấu hình TCP/IP, bao gồm một địa chỉ IP, subnet mask, máy chủ DNS. Chú ý rằng, chúng ta không phải cấu hình cổng kết nối ngầm định trên các giao diện kết nối tới nhánh mạng. Nếu cấu hình một đường định tuyến ngầm định trên các giao diện kết nối tới nhánh mạng, nó sẽ tạo một đường định tuyến ngầm định đối lập với trong bản định tuyến và việc định tuyến tới Internet có thể không thực hiện đúng.

Cấu hình giao diện kết nối :

2.2.2. Triển khai các Router gọi

Bây giờ chúng ta phải cấu hình cho Router gọi. Việc triển khai Router gọi cho một kết nối mạng riêng ảo Site – to – Site bao gồm các bước sau:

- Cấu hình kết nối của Router gọi tới nhánh mạng và cài đặt dịch vụ định tuyến: Cấu hình kết nối được kết nối tới nhánh mạng bằng việc cấu hình TCP/IP bao gồm một địa chi IP, một mặt nạ mạng con, các máy chủ DNS. Nếu ta cấu hình một đường định tuyến ngầm định trên kết nối nhánh mạng, nó sẽ tạo một đường định tuyến mặc định xung đột trong bảng định tuyến và việc định tuyến tới Internet có thể không thực hiện đúng.

- Cấu hình giao diện: Dựa vào dịch vụ định tuyến, xác định tên cho giao diện, kiểu kết nối, giao thức đường hầm sẽ sử dụng, xác định địa chỉ đích là địa chỉ của Router trả lời, tạo các đường định tuyến tĩnh cho các mạng từ xa và gán các đường định tuyến tĩnh cho giao diện, cung cấp các thông tin liên quan đến tài khoản người dùng cho việc xác thực kết nối về sau.

2.3. Triển khai cơ sở hạ tầng AAA:

Việc triển khai cơ sở hạ tầng AAA cho các kết nối mạng riêng ảo Site – to – Site bao gồm các bước sau:

- Cấu hình dịch vụ thư mục cho các tài khoản người dùng và các nhóm.

- Cấu hình máy chủ xác thực Internet IAS.

2.3.1. Cấu hình dịch vụ thư mục cho các tài khoản người dùng và các nhóm

Dịch vụ thư mục là tài nguyên trung tâm cho việc duy trì và kiểm soát tất cả các truy cập mạng, bao gồm cả các kết nối mạng riêng ảo Site – to – Site. Để cấu hình dịch vụ thư mục.

- Đảm bảo rằng tất cả các Router gọi đang tạo kết nối Site – to – Site có một tài khoản tương ứng.

- Thiết lập các mức cho phép cho tài khoản người dùng trên mỗi Router gọi để cho phép hoặc từ chối truy cập để quản lý các truy cập từ xa của người dùng hoặc nhóm, thiết lập mức cho phép trên các tài khoản người dùng để kiểm soát truy cập qua chính sách truy cập từ xa.

- Tổ chức tài khoản người dùng trên Router gọi thành các nhóm thích hợp để thuận tiện trong việc áp dụng các chính sách truy cập từ xa.

2.3.2. Cấu hình máy chủ dịch vụ xác thực Internet(IAS)

Máy chủ dịch vụ xác thực Internet phải có khả năng truy cập đến các thông tin về thuộc tính của tài khoản. Nếu IAS được cài đặt riêng mà không phải trên máy chủ điều khiển miền, ta phải cấu hình để máy chủ IAS có thể đọc được các tài khoản của người dùng trong Domain.

Nếu máy chủ IAS xác thực và cấp quyền cho các kết nối mạng riêng ảo với các tài khoản người dùng trong các Domain khác nhau, phải kiểm tra xem các Domain đó có một quan hệ tin cậy hai chiều với Domain mà máy chủ IAS là một thành viên hay không.

Nếu có các tài khoản trong các Domain khác và các Domain không có quan hệ tin cậy hai chiều với Domain mà máy chủ IAS là thành viên, ta phải cấu hình một RADIUS uỷ quyền giữa các Domain không có quan hệ tin cậy.

2.4. Triển khai cơ sở hạ tầng mạng chi nhánh:

Đến thời điểm này, chúng ta có các máy chủ VPN thiết lập và kết nối tới Internet, và chúng có khả năng xác thực mỗi tài khoản người dùng của các Server khác. Bây giờ chúng ta cần cấu hình các Router để chuyển tiếp luồng lưu lượng tới các mạng khác. Triển khai cơ sở hạ tầng mạng của một nhánh mạng với các kết nối mạng riêng ảo Site – to – Site bao gồm các bước sau :

- Cấu hình định tuyến trên các Router VPN.

- Kiểm tra khả năng nối tới được các Router VPN.

- Cấu hình định tuyến cho các vùng địa chỉ thuộc mạng con ngoại lệ.

2.4.1. Cấu hình định tuyến trên các Router VPN

Với các Router VPN để chuyển tiếp được luồng lưu lượng tới các vị trí trong nhánh mạng mà chúng được đặt vào, ta phải cấu hình chún với các đường định tuyến tĩnh khác nhau, những đường định tuyến tĩnh này tổng kết tất cả những địa chỉ có thể được dùng trên các nhánh mạng khác hoặc với các giao thức định tuyến và như vậy Router VPN có thể hoạt động như một Router động và tự động thêm các đường định tuyến cho các nhánh mạng con vào bảng định tuyến của nó.

2.4.2. Kiểm tra khả năng kết nối tới được mỗi Router VPN

Từ mỗi Router VPN, kiểm tra xem Router VPN có khả năng phân giải tên và liên lạc thành công với các tài nguyền trong nhánh mạng của Router VPN hay không.

2.4.3. Cấu hình định tuyến cho vùng địa chỉ IP ngoại lệ

Nếu đã cấu hình các Router VPN với một vùng địa chỉ tĩnh và vùng này thuộc vùng mạng con ngoại lệ, ta phải đảm bảo rằng đường định tuyến hoặc các vùng địa chỉ thuộc mạng con ngoại lệ mô tả các đường định tuyến được mô tả trong cơ sở hạ tầng định tuyến nhánh mạng của ta. Điều này được yêu cầu để kết nối tới được các giao diện ảo của các Router gọi. Ta có thể đảm bảo điều này bằng việc bổ sung các đường định tuyến tĩnh hoặc các vùng địa chỉ thuộc vùng mạng con ngoại lệ mô tả các đường định tuyến như các đường định tuyến tĩnh tới các Router kế cận của các Router VPN và sau đó sử dụng giao thức định tuyến của nhánh mạng chúng ta để phân phôi đường định tuyến tới các Router khác. Khi ta bổ sung các đường định tuyến tĩnh, ta phải xác định cổng kết nối là giao diện nhánh mạng của Router VPN.

2.5. Triển khai cơ sở hạ tầng mạng ngoài chi nhánh:

Mỗi Router cần biết về các đường định tuyến trong các nhánh mạng của các Router VPN khác và như vậy nó có thể chuyển tiếp đúng luồng lưu lượng tới các phía khác của kết nối mạng riêng ảo. Việc triển khai cơ sở hạ tầng ngoài chi nhánh bao gồm việc cấu hình mỗi Router VPN với tập các đường định tuyến cho các mạng con sẵn dùng trong các nhánh mạng khác. Điều này có thể thực hiện được theo các cách sau đây :

- Cấu hình thủ công các đường định tuyến trên mỗi Router VPN.

- Thực hiện việc cập nhật tự động trên mỗi Router VPN.

- Cấu hình giao thức định tuyến để hoạt động qua kết nối mạng riêng ảo.

để là cho tất cả các vị trí trên các nhánh văn phòng có thể kết nối tới được, ta cũng tạo ra đường định tuyến tĩnh, với địa chỉ đích phải là địa chỉ mạng của các nhánh văn phòng, chẳng hạn 192.168.0.0; mặt nạ mạng là 255.255.0.0.

3. Xây dựng mạng riêng ảo chi nhánh:

3.1. Mạng riêng ảo với các văn phòng chi nhánh không kết nối thường xuyên:

3.1.1. Giới thiệu chung

Trong các chương trước, chúng ta đã thực hiện thiết lập các truy cập từ xa giữa các máy chủ mạng riêng ảo và các Client mạng riêng ảo. Chương này chúng ta xem xét các kết nối giữa các văn phòng chi nhánh ở xa.

Giả sử có hai nhánh văn phòng ở xa X và Y của một Tổng công ty A được kết nối tới văn phòng trung tâm của Tổng công ty. Mỗi một nhánh văn phòng có một số nhân viên thỉnh thoảng cần kết nối với văn phòng trung tâm (Với ít hơn 10 người dùng tại một nhánh mạng, người dùng nên sử dụng hình thức truy cập từ xa. Điều này cho phép tổng công ty không phải hỗ trợ các dịch vụ dựa trên máy chủ từ xa tại văn phòng chi nhánh. Với nhiều hơn 10 người, kết nối dạng site – to – site với một máy chủ chuyên dụng là mô hình được ưa thích). Bộ định tuyến trong các chi nhánh X và Y được yêu cầu với một card mạng tích hợp dịch vụ số (ISDN) để quay số tới một ISP để giành quyền truy cập tới Internet. Khi truy cập đã giành được, một kết nối mạng riêng ảo được tạo qua Internet.

Nhánh văn phòng X sử dụng địa chỉ mạng 192.168.28.0 với một mặt nạ mạng 255.255.255.0 (192.168.28.0/24). Nhánh văn phòng Y sử dụng địa chỉ mạng 192.168.4.0 với một mặt nạ mạng 255.255.255.0 (192.168.4.0/24).

Để đơn giản hoá việc cấu hình, các kết nối mạng riêng ảo là một kết nối được khởi tạo một chiều, đó là luôn được khởi tạo bởi Router tại nhánh văn phòng. Điều này thích hợp hơn kết nối được khởi tạo 2 chiều vì nhánh văn phòng không phải sử dụng một kết nối Internet liên tục và vì vậy tiết kiệm được chi phí (Trong nhiều trường hợp ngày nay. một nhánh văn phòng có thể sử dụng ADSL hoặc Modem cho kết nối và như vậy duy trì trạng thái kết nối liên tục, như vậy xem những tuỳ chọn nào là sẵn có cho kịch bản của ta và các kết nối văn phòng chi nhánh).

Sơ đồ kịch bản kết nối được mô tả như trong hình 7.1

 

3.1.2. Các công việc cài đặt

3.1.2.1. Cấu hình cho máy chủ mạng riêng ảo

Để triển khai máy chủ mạng riêng ảo tại mạng trung tâm của Tổng công ty, ta cần thực hiện các công việc sau:

- Cấu hình mạng

- Cấu hình Domain

- Cấu hình bảo mật

1. Cấu hình mạng

Việc cấu hình mạng xác định tất cả thông tin liên lạc cốt yếu, chẳng hạn mạng và địa chỉ Node, định tuyến, mạng con và thông tin mạng WAN khác. Những phần cốt yếu của cấu hình mạng là:

- Intranet của tổng công ty sử dụng địa chỉ mạng riêng 172.16.0.0 với một subnetmask 255.254.0.0 (172.16.0.0/12).

- Máy chủ mạng riêng ảo kết nối trực tiếp với Internet sử dụng một liên kết WAN chuyên dụng T3. Tại mạng chính, VPN Router phải phân phối tất các các kết nối hiện tại.

- Cấu hình địa chỉ IP của card mạng WAN trên Internet, chẳng hạn là 207.209.68.1 Địa chỉ này được cấp phát bởi ISP, địa chỉ IP của card mạng WAN được tham chiếu trên Internet bằng một tên miền (Chẳng hạn vpn.coA.com).

- Máy chủ mạng riêng ảo kết nối trực tiếp tới mạng Intranet chứa một bộ định tuyến kết nối phần còn lại của mạng Intranet. Cấu hình phân mạng Intranet có định danh mạng là 172.31.0.0 với subnetmask 255.255.0.0 (172.31.0.0/16).

- Máy chủ mạng riêng ảo được cấu hình với một vùng địa chỉ IP tĩnh để cấp phát tới các bộ định tuyến là một tập con của phân mạng Intranet.

Bước đầu tiên trong việc triển khai máy chủ mạng riêng ảo là cài đặt cấu hình vật lý và lôgic cho máy chủ mạng riêng ảo. Dựa trên cấu hình mạng Intranet của tổng công ty, máy chủ này được cấu hình như sau:

Cài đặt phần cứng trên máy chủ mạng riêng ảo

Card mạng dùng để kết nối tới phân mạng Intranet và card mạng kết nối tới Internet được cài đặt đúng. Ta giả định sử dụng T3 để kết nối máy chủ mạng riêng ảo với Internet. Chúng ta sẽ xem nó như một card mạng WAN.

Cấu hình TCP/IP trên card mạng LAN và WAN

Xác định địa chỉ IP cho card mạng LAN, chẳng hạn sử dụng địa chỉ IP là 172.31.0.1 với một subnetmask là 255.255.0.0.

Xác định địa chỉ IP cho card mạng WAN, chẳng hạn là 207.209.68.1 với mặt nạ mạng là 255.255.255.255

DNS cũng được cấu hình và nên hướng vào dịch vụ DNS bên trong của Công ty. Trình phân giải địa chỉ bên ngoài nên được chuyển tiếp bởi máy chủ DNS bên trong tới một người có thẩm quyền bên ngoài.

Cấu hình dịch vụ định tuyến

Để cấu hình dịch vụ định tuyến trên máy chủ mạng riêng ảo sử dụng các thiết lập sau:

- Kết nối mạng riêng ảo, xem xét đến kết nối tương ứng với giao diện được kết nối tới Internet.

- Gán địa chỉ IP, thông thường xác định một phạm vi địa chỉ, chẳng hạn từ 172.31.255.1 tới 172.31.255.254, nghĩa là tạo ra một vùng địa chỉ tĩnh cho 254 Client VPN, hoặc sử dụng giao thức cấu hình Host động(DHCP) để phân phối địa chỉ IP cho các Client.

Cấu hình đường định tuyến tĩnh trên máy chủ để kết nối liên lạc giữa Intranet và Internet

Không có các đường định tuyến tĩnh, chỉ mạng con cục bộ sẽ được coi như các Client VPN. Máy chủ VPN cần biết về tất cả các mạng con mà Client có thể cần kết nối đến và vì vậy đòi hỏi phải có các đường định tuyến tĩnh.

Để kết nối được tới các vị trí trong Intranet, một đường định tuyến tĩnh được tạo với các thiết lập cho:

- Giao diện mạng: Card mạng LAN kết nối với Intranet

- Địa chỉ dích: Chẳng hạn, 172.16.0.0

- Mặt nạ mạng: Chẳng hạn, 255.240.0.0

- Gateway: Chẳng hạn, 172.31.0.2

Đường định tuyến tĩnh làm đơn giản hoá việc định tuyến bằng cách tổng kết tất cả các đích trên mạng Intranet của tổng công ty. Kỹ thuật này được biết như là bộ tổng hợp định tuyến. Đường định tuyến tĩnh này được sử dụng mà máy chủ mạng riêng ảo không cần được cấu hình với một giao thức định tuyến.

Để kết nối tới được các vị trí trên Internet, một đường định tuyến được tạo với các thiết lập cho:

- Giao diện mạng trên Card mạng WAN kết nối tới Internet.

- Địa chỉ đích

- Mặt nạ mạng

- Gateway

Đường định tuyến này tổng hợp tất cả các đích trên Internet và sẽ cho máy chủ mạng riêng ảo gửi bất kỳ đích nào "chư biết" được yêu cầu ra Internet cho trình phân giải tên. Đường định tuyến này cho phép máy chủ mạng riêng ao phản hồi một Client từ xa hoặc một Router yêu cầu quay số từ bất kỳ nơi nào trên Internet. Việc sử dụng các đường định tuyến tĩnh thay cho Default Gateway thiết lập trên các giao diện, nên có thể bỏ trống. Các đường định tuyến tĩnh sẽ không bị đè bởi bất kỳ cấu hình tự động nào.

Cấu hình một đường định tuyến tĩnh trên Router Intranet để kết nối được với các văn phòng chi nhánh.

Để kết nối được với các văn phòng chi nhánh từ Router Intranet, một đường định tuyến tĩnh được tạo theo các thiết lập theo các thông số cần thiết:

- Giao diện mạng LAN kết nối tới Intranet

- Địa chỉ đích, chẳng hạn 192.168.0.0

- Mặt nạ mạng, chẳng hạn 172.31.0.1

Đường định tuyến tĩnh này làm đơn giản hoá việc định tuyến bằng cách tổng hợp tất cả các đích tại văn phòng chi nhánh của Tổng công ty. Router Intranet phân phối đường định tuyến tĩnh này tới các Router lân cận của nó, và như vậy một đường định tuyến tới các văn phòng chi nhánh tồn tại trên mỗi Router của Intranet. Đây là cách tất cả các tài nguyên bên trong sẽ biết cách tìm các nhánh văn phòng ở xa. Bằng cách phân phối đường định tuyến này, máy chủ mạng riêng ảo có thế kiểm soát tất cả luồng lưu lượng tới các văn phòng ở xa.

2. Cấu hình Domain

Để thuận tiện cho việc áp dụng các thiết lập kết nối khác nhau với các kiểu kết nổi mạng riêng ảo khác nhau, với kết nối mạng riêng ảo tới văn phòng A, trên máy chủ Domain ta thực hiện.

- Tạo tài khoản người dùng, chẳng hạn VPN_A.

- Với các thuộc tính quay số trên tài khoản VPN_A, mức cho phép truy cập từ xa được thiết lập và đường định tuyến tĩnh 192.168.28.0 với một mặt nạ mạng 255.255.255.0 được thêm vào.

- Các tài khoản nên được tạo theo nhóm.

3. Cấu hình bảo mật

Để cho phép các kết nối L2TP/IPSec, Domain tổng công ty được cấu hình đê tự động nạp các chứng chỉ tới tất cả các thành viên của Domain.

4. Cấu hình chính sách truy cập từ xa

Để định nghĩa các thiết lập mã hoá và xác thực cho các Router mạng riêng ảo, ta tạo chính sách truy cập từ xa với các thông tin cần quan tâm:

- Tên chính sách

- Phương pháp truy cập, chẳng hạn VPN

- Người dùng hoặc nhóm truy cập

- Phương pháp xác thực

- Mức mã hoá chính sách, thường chọn mức mã hoá mạnh hoặc mạnh nhất.

Những mô hình ở phần trên, ta mô tả một kết nối văn phòng chi nhánh dựa trên PPTP cho nhánh văn phòng X và một kết nối văn phòng chi nhánh dựa trên L2TP/IPSec cho văn phòng Y. Qua mô tả kịch bản này, chúng ta có thể bao trùm tất cả cơ sở cho việc triển khai. Muốn an toàn nhất, L2TP/IPSec với các chứng chỉ số là giải pháp được khuyến cáo. Nhiều nhà cung cấp đề xuất chế độ đường hầm IPSec cho hoạt động này nhưng nó bị từ chối vì lý do an toàn bởi IETF.

3.1.2.2. Kết nối văn phòng chi nhánh dựa trên PPTP

Nhánh văn phòng X là một nhánh văn phòng dựa trên PPTP, kết nối tới máy chủ mạng riêng ảo tại tổng công ty.

Để triển khai một PPTP, khởi tạo một chiều, tại Router trên nhánh văn phòng A ta thực hiện cấu hình:

1. Cấu hình giao diện cho kết nối tới ISP

Để kết nối Router tại văn phòng A tới Internet qua một ISP cục bộ, một giao được thiết lập như sau:

- Tên giao diện: chẳng hạn ISP.

- Kiểu kết nối: Sử dụng Modem, ISDN hoặc thiết bị vật lý khác.

- Lựa chọn một thiết bị: Chọn một thiết bị ISDN thích hợp.

- Số điện thoại: Số điện thoại của ISP cho nhánh văn phòng A.

- Các đường định tuyến tĩnh cho mạng ở xa.

+ Để tạo kết nối tới ISP của nhánh văn phòng A lúc kết nối mạng riêng ảo cần được thiết lập, ta tạo ra đường định tuyến tĩnh tại Router văn phòng A.

- Giấy uỷ nhiệm quay số ra ngoài, bao gồm các thông tin.

+ Username: là tên tài khoản mà ISP cấp cho nhánh văn phòng A.

+ Password: Mật khẩu tương ứng.

+ Xác minh lại mật khẩu tương ứng.

2. Cấu hình giao diện cho kết nối mạng riêng ảo

Để kết nối Router nhánh văn phòng A tới máy chủ mạng riêng ảo tại trung tâm sử dụng kết nối mạng riêng ảo qua Internet, người quản trị mạng trung tâm phải tạo một giao diện quay số với các tham số thông thường như:

- Tên giao diện.

- Kiểu kết nối: Kết nối sử dụng VPN.

- Kiểu mạng riêng ảo, do đây là kết nối dựa trên PPTP nên chọn giao thức phải là PPTP.

- Địa chỉ đích, là giao diện mạng thứ 2 kết nối với Internet tại máy chủ VPN trên trung tâm.

- Xác định giao thức và tính an toàn được dùng.

- Các đường định tuyến tĩnh cho các mạng từ xa.

Để làm cho tất cả các vị trí trên Intranet tổng công ty có thể kết nối tới được, ta tạo ra đường định tuyến tĩnh. Trong đó có các tham số cần quan tâm như:

+ Địa chỉ đích phải là định danh mạng của tổng công ty, chẳng hạn 172.16.0.0.

+ Mặt nạ mạng, chẳng hạn là 255.240.0.0.

Để là cho tất cả các vị trí trên các nhánh văn phòng có thể kết nối tới được, ta cũng tạo ra đường định tuyến tĩnh, với địa chỉ đích phải là địa chỉ mạng của các nhánh văn phòng, chẳng hạn 192.168.0.0; mặt nạ mạng là 255.255.0.0.

- Giấy uỷ quyền quay số ra ngoài, sử dụng cho tài khoản trên Domain của tổng công ty.

Các văn phòng chi nhánh X và Y của tổng công ty A được kết nối với văn phòng trung tâm bằng các kết nối mạng riêng ảo thường xuyên, 24/24 mỗi ngày. Các bộ định tuyến trên các nhánh văn phòng X và Y tương đương với các Card mạng WAN T1 kết nối thường trực tới một ISP cục bộ để truy cập tới Internet.

3.1.2.3. Kết nối chi nhánh văn phòng dựa trên L2TP/IPSec

Nhánh văn phòng Y là một kết nối dựa trên L2TP/IPSec, kết nối mạng riêng ảo với mãy chủ mạng riêng ảo tại tổng công ty.

Để triển khai một kết nối mạng riêng ảo khởi tạo một chiều dựa trên L2TP/IPSec tới văn phòng trung tâm dựa trên cấu hình thiết lập máy chủ mạng riêng ảo như phần 7.2.1, ta thực hiện cấu hình trên nhánh văn phòng A như sau:

1. Cấu hình chứng chỉ

Bộ định tuyến trên nhánh văn phòng Y được cấu hình bởi người quản trị mạng của tổng công ty trong khi nó được kết nối vật lý với Intranet của tổng công ty. Sau đó nó được vận chuyển tới nhánh mạng văn phòng Y. Trong khi bộ định tuyến tại nhánh văn phòng Y được kết nối tới Intranet của tổng công ty, một chứng chỉ số được cài đặt. Đây là điểm quan trọng cần nhớ, đặc biệt nếu ta đang thực hiện các kết nối khởi tạo hai chiều trên mỗi phần cấu hình bộ định tuyến từ xa, trong khi nó vẫn còn kết nối tới Intranet trung tâm, đồng bộ hoá toàn bộ người dùng trên mỗi Domain, sau đó vận chuyển máy chủ mạng riêng ảo tới nhánh mạng từ xa.

2. Cấu hình giao diện cho kết nối tới ISP

Để kết nối bộ định tuyến trên nhánh văn phòng Y tới Internet qua một ISP cục bộ, người quản trị phải thiết lập giao diện mạng thích hợp với các tham số:

- Tên giao diện, thường lấy tên của ISP.

- Kiểu kết nối, dùng một Modem, Card ISDN hay thiết bị vật lý khác.

- Lựa chọn một thiết bị thích hợp, chẳng hạn thiết bị ISDN.

- Số điện thoại, số điện thoại của ISP cho nhánh văn phòng Y.

- Các giao thức và tính năng an toàn.

- Các đường định tuyến tĩnh cho các mạng từ xa: Để tạo kết nối cho nhánh văn phòng Y tới ISP lúc kết nối mạng riêng ảo cần được tạo, ta phải tạo ra các đường định tuyến tĩnh tới mạng trung tâm với các tham số cần quan tâm như:

+ Mạng đích: chính là mạng trung tâm ở tổng công ty, chẳng hạn trong ví dụ trên là 207.209.68.1.

+ Mặt nạ mạng, chẳng hạn 255.255.255.255 tuỳ thuộc vào địa chỉ của mạng đích.

- Các giấy uỷ quyền quay số ra ngoài, liên quan đến tài khoản ngưòi dùng do ISP cung cấp.

3. Cấu hình giao diện cho kết nối mạng riêng ảo

Để kết nối bộ định tuyến tại nhánh văn phòng Y tới máy chủ mạng riêng ảo dùng kết nối mạng riêng ảo qua Internet, người quản trị phải tạo một giao diện kết nối thích hợp với các tham số cơ bản như sau:

- Tên giao diện: Có thể lấy thêm của tổng công ty, để phân biệt và tránh nhầm lẫn khi dùng.

- Kiểu kết nối: chọn kiểu VPN.

- Kiểu mạng riêng ảo: Đây đang là kết nối mạng riêng ảo dựa trên L2TP nên ta chọn là L2TP.

- Địa chỉ đích: là địa chỉ giao diện mạng kết nối với Internet của máy chủ mạng riêng ảo, chẳng hạn 207.209.68.1.

- Các đường định tuyến tĩnh cho mạng từ xa:

+ Để làm cho tất cả các vị trí trên mạng Intranet của Tổng công ty có thể kết nối tới được, ta phải tạo ra các đường định tuyến tĩnh thích hợp với các tham số cần được quan tâm như sau:

* Địa chỉ mạng đích, đây chính là định danh mạng Intranet tại tổng công ty, trong mô hình kết nối của ta thì đó là 172.16.0.0.

* Mặt nạ mạng tương ứng của mạng đích, chẳng hạn 255.240.0.0.

+ Để làm cho tất cả các vị trính trên nhánh văn phòng Y có thể kết nối tới được, ta phải tạo đường định tuyến tĩnh đến chúng, Cụ thể:

* Mạng đích, là mạng Intranet của nhánh văn phòng Y, trong ví dụ trên là 192.168.0.0.

* Mặt nạ mạng: chẳng hạn là 255.255.0.0.

- Giấy uỷ quyền quay số ra ngoài, với các thông tin liên quan đến người dùng của nhánh văn phòng Y.

3.2. Các văn phòng chi nhánh kết nối thường xuyên:

Các văn phòng chi nhánh X và Y của tổng công ty A được kết nối với văn phòng trung tâm bằng các kết nối mạng riêng ảo thường xuyên, 24/24 mỗi ngày. Các bộ định tuyến trên các nhánh văn phòng X và Y tương đương với các Card mạng WAN T1 kết nối thường trực tới một ISP cục bộ để truy cập tới Internet. Trong thị trường liên lạc ngày nay, nhiều công ty sử dụng ADSL hoặc hoặc Modem điện thoại cho những chức năng này vì 2 lý do: chi phí rẻ hơn nhiều bởi vì chi phí của kết nối Internet với ADSL và Modem điện thoại rẻ hơn so với đường thuê riêng T1, và chúng cung cấp lượng băng thông tối thiểu tương đối tốt, tương đương băng thông một kênh kép ISDN 128-kb/s.

Nhánh văn phòng X sử dụng địa chỉ IP có định danh mạng là 192.168.9.0 với một mặt nạ mạng là 255.255.255.0(192.168.9.0/24). Router tại nhánh văn phòng này sử dụng địa chỉ IP công cộng là 131.107.0.1 cho giao diện kết nối Internet của nó. Nhánh văn phòng Y sử dụng một địa chỉ IP có phầm mạng là 192.168.14.0 với một mặt nạ mạng 255.255.255.0 (192.168.14.0/24). Router tại nhánh văn phòng Y sử dụng địa chỉ IP công cộng là 157.60.0.1 cho giao diện kết nối tới Internet.

Kết nối mạng riêng ảo là một kết nối được khởi tạo 2 chiều, được khởi tạo hoặc từ các nhánh văn phòng hoặc từ máy chủ mạng riêng ảo. Các kết nối được khởi tạo 2 chiều yêu cầu tạo các giao diện mạng, chính sách truy cập từ xa và vùng địa chỉ IP tĩnh trên các Router ở cả 2 phía của kết nối.

3.2.1. Cấu hình máy chủ mạng riêng ảo

Để triển khai các kết nối mạng riêng ảo đối tác để kết nối Công ty X, Y với mạng mở rộng của Tổng công ty A với kết nối cố định, máy chủ mạng riêng ảo được thiết lập theo cấu hình cơ bản như trong mục 7.3.1.2.1 của chương VII. Ngoài ra cần phải cấu hình thêm như sau:

1. Cấu hình Domain

Tạo 3 tài khoản người dùng trên máy chủ mạng riêng ảo và đưa vào cùng một nhóm. Cụ thể:

Với kết nối mạng riêng ảo của nhánh văn phòng X được khởi tạo bởi Router của nó, tài khoản người dùng được tạo với các thiết lập về: mật khẩu; mức cho phép truy cập được thiết lập để kiểm soat truy cập qua chính sách truy cập từ xa; tài khoản này được thêm vào nhóm thích hợp.

Với kết nối mạng riêng ảo của nhánh văn phòng Y được khởi tạo bởi Router của nó, ta cũng tạo tài khoản người dùng với các thiết lập về: mật khẩu, mức cho phép truy cập từ xa được thiết lập để kiểm soát truy cập qua chính sách truy cập từ xa; tài khoản này cũng được thêm vào nhóm thích hợp.

Với kết nối mạng riêng ảo tới nhánh văn phòng X và Y được khởi tạo bởi Server VPN, ta cũng tạo tà khoản với các thiết lập về: mật khẩu, mức cho phép truy cập từ xa để kiểm soát truy cập qua chính sách truy cập từ xa; tài khoản này cũng được thêm vào nhóm thích hợp.

2. Cấu hình chính sách truy cập từ xa

Vì có các kết nối 2 chiều, các chính sách truy cập từ xa phải được cấu hình tại máy chủ VPN, Router trên nhánh văn phòng X và Y, các chính sách này có tên giống nhau.

Cấu hình chính sách truy cập từ xa trên máy chủ VPN:

Việc cấu hình này giống với trong các nhánh văn phòng kết nối không thường xuyên.

Cấu hình chính sách truy cập từ xa trên Router của nhánh văn phòng X và Y:

Để định nghĩa các thiết lập mã hoá và xác thực cho các kết nối mạng riêng ảo, chính sách truy cập từ xa được tạo trên các nhánh văn phòng với các tham số cần lưu ý như sau:

- Tên chính sách.

- Phương pháp truy cập.

- Người dùng hoặc nhóm được truy cập: ta chọn nhóm mà 3 tài khoản đã tạo ở trên là thành viên.

- Các phương pháp xác thực.

- Mức mã hoá: Thường chọn mã hoá mạnh hoặc mạnh nhất.

3. Cấu hình vùng địa chỉ IP

Các vùng địa chỉ IP phải được cấu hình tại máy chủ VPN, Router trên nhánh văn phòng X và Y như sau:

Cấu hình vùng địa chỉ IP tại máy chủ VPN:

Việc cấu hình vùng địa chỉ IP cho máy chủ VPN hoàn toàn giống như trong phần 7.3.1.2.1.

Cấu hình vùng địa chỉ IP trên Router của nhánh văn phòng X:

Một vùng địa chi IP tĩnh, chẳng hạn từ 192.168.9.248 đến 192.168.9.253 được cấu hình.

Cấu hình vùng địa chỉ IP trên Router của nhánh văn phòng Y:

Một vùng địa chi IP tĩnh, chẳng hạn từ 192.168.14.248 đến 192.168.14.253 được cấu hình.

3.2.2. Cấu hình kết nối dựa trên PPTP

Nhánh văn phòng X là một nhánh văn phòng dựa trên PPTP sử dụng một Router VPN để tạo một kết nối mạng riêng ảo cố định với máy chủ mạng riêng ảo ở văn phòng trung tâm.

Để triển khai một kết nối mạng riêng ảo PPTP được khởi tạo một chiều ta cấu hình trên máy chủ mạng riêng ảo và trên Router tại nhánh X như sau:

Chúng ta đã có tất cả người dùng của công ty được kết nối và đang làm việc còn các nhánh văn phòng ở xa đang liên lạc với nhau, Tổng công ty phải giao dịch thương mại với phần còn lại của thế giới. Quản trị mạng của Tổng công ty tạo một mạng riêng mở rộng để có thể kết nối với các đối tác thương mại qua các kết nối mạng riêng ảo.

3.2.2.1. Cấu hình máy chủ mạng riêng ảo

Máy chủ mạng riêng ảo được cấu hình với một giao diện, các đường định tuyến tính và các bộ lọc gói PPTP.

Cấu hình giao diện cho kết nối mạng riêng ảo:

Để kết nối máy chủ mạng riêng ảo tới Router trên X bằng kết nối mạng riêng ảo site – to – site qua Internet, người quản trị mạng tạo một giao diện với các thiết lập cần lưu ý như sau:

- Tên giao diện: chẳng hạn đặt là VPN_X.

- Kiểu kết nối: chọn kiểu kết nối sử dụng VPN.

- Kiểu mạng riêng ảo: chọn kiểu PPTP.

- Địa chỉ đích: là một địa chỉ thuộc mạng trung tâm, chẳng hạn 137.107.0.1.

- Đường định tuyến tĩnh cho các mạng từ xa.

Để làm cho tất cả các vị trí trên mạng X có thể kết nối tới được, đường định tuyến với các tham số như sau được tạo:

+ Địa chỉ đích: là phần mạng của nhánh văn phòng X (192.168.9.0)

+ Mặt nạ mạng: 255.255.255.0

- Chứng chỉ uỷ quyền quay số: Bao gồm các tham số:

+ Tên người dùng: Tên người dùng được tạo trên máy chủ VPN

+ Domain

+ Mật khẩu

3.2.2.2. Cấu hình bộ định tuyến trên nhánh văn phòng X

Giao diện cho kết nối mạng riêng ảo:

Để kết nối Router trên X tới máy chủ VPN sử dụng kết nối mạng riêng ảo Site – to – Site qua Internet, người quản trị mạng tạo một giao diện với các thiết lập như sau:

- Tên giao diện: chẳng hạn VPN_A.

- Kiểu kết nối: Sử dụng kiểu kết nối mạng riêng ảo.

- Địa chỉ đích: phải là địa chỉ mà máy chủ VPN dùng để kết nối tới Internet.

- Các đường định tuyến tĩnh cho các mạng từ xa: Để làm cho tất cả các vị trí trên mạng trung tâm có thể kết nối tới được, đường định tuyến được tạo với các tham số:

+ Mạng đích: phần mạng của của nhánh mạng trung tâm (172.16.0.0).

+ Mặt nạ mạng: 255.240.0.0

Để làm cho tất cả các vị trí trên nhánh trung tâm có thể kết nối tới được, ta phải tạo đường định tuyến tĩnh với các tham số:

+ Mạng đích: là mạng của nhánh X (192.160.0.0)

+ Mặt nạ mạng: tương ứng là 255.255.0.0

- Giấy uỷ quyền: Bao gồm các thông tin

+ Tên người dùng: Tên tài khoản đã tạo trên nhánh X

+ Domain: là Domain của văn phòng trung tâm

+ Mật khẩu: là mật khẩu của người dùng tương ứng

Cấu hình cho Router trên nhánh văn phòng X

Router này được cấu hình với một giao diện và các đường định tuyến tĩnh.

- Cấu hình giao diện cho kết nối mạng riêng ảo Site – to – Site: Để kết nối Router trên nhánh văn phòng X tới máy chủ mạng riêng ảo bằng kết nối mạng riêng ảo Site – to – Site qua Internet, người quản trị mạng tạo một giao diện với các tham số cần lưu ý:

+ Tên giao diện

+ Kiểu kết nối: kiểu kết nối sử dụng là VPN

+ Địa chỉ đích: Chính là địa chỉ mà máy chủ VPN dùng để kết nối tới Internet.

+ Các đường định tuyến tĩnh cho các mạng từ xa: Để làm cho tất cả các vị trí trên Intranet của văn phòng trung tâm đều có thể kết nối tới chúng được, đường định tuyến tĩnh được tạo ra với các tham số cần thiết như:

* Mạng đích: Chính là phần mạng của Intranet văn phòng trung tâm (172.16.0.0).

* Mặt nạ mạng: tương ứng là 255.240.0.0.

+ Các giấy uỷ quyền: Bao gồm các tham số.

* Tên người dùng: Là người dùng được tạo trên Router của nhánh mạng X.

* Domain: Là Domain của nhánh trung tâm.

* Mật khẩu: Của người dùng tương ứng.

3.2.3. Cấu hình kết nối dựa trên L2TP/IPSec

3.2.3.1. Cấu hình máy chủ mạng riêng ảo

3.2.3.2. Cấu hình thiết bị định tuyến trên nhánh văn phòng Y

3.3. Tổng kết thực hành:

 


4. Xây dựng mạng riêng ảo đối tác::

4.1. Giới thiệu chung:

Chúng ta đã có tất cả người dùng của công ty được kết nối và đang làm việc còn các nhánh văn phòng ở xa đang liên lạc với nhau, Tổng công ty phải giao dịch thương mại với phần còn lại của thế giới. Quản trị mạng của Tổng công ty tạo một mạng riêng mở rộng để có thể kết nối với các đối tác thương mại qua các kết nối mạng riêng ảo. Mạng tổng công ty mở rộng là mạng kết nối với máy chủ mạng riêng ảo của Tổng công ty và chứa File Server, WebServer. Truy cập tới các tài nguyên bên trong từ các tiện ích này có thể được hoàn tất qua Web Proxy và các dịch vụ đầu cuối, và như vậy việc bảo vệ đượccác tài nguyên tổng công ty trước những liên lạc trực tiếp bởi các Client ngoài công ty. Các chính sách IPSec có thể được dùng giữa các tài nguyên mở rộng và các tài nguyên cục bộ để đảm bảo các tài nguyên không bị tổn thương. Các công ty X, Y là các đối tác thương mại của Tổng công ty. Họ kết nối tới mạng mở rộng của Tổng công ty bằng cách sử dụng các kết nối mạng riêng ảo mở rộng. Ngoài ra, chính sách truy cập từ xa được sử dụng để đảm bảo rằng các đối tác thương mại chỉ có thể truy cập File Server và WebServer.

File Server trên mạng Tổng công ty được cấu hình với một địa chỉ IP là 172.31.0.10 và Web Server được cấu hình với một địa chỉ IP là 172.31.0.11, Công ty X sử dụng một các địa chỉ có phần định danh mạng công cộng là 131.107.254.0 với một mặt nạ mạng là 255.255.255.0 (131.107.254.0/24), Công ty X sử dụng các địa chỉ có phần định danh mạng công cộng là 131.107.250.0 với một mặt nạ mạng là 255.255.255.0 (131.107.250.0/24). Để đảm bảo rằng Webserver và File Server có thể kết nối tới được các đối tác thương mại, các đường định tuyến tĩnh được cấu hình trên File server và Webserver cho cho mỗi mạng của đối tác thương mại sử dụng Gateway có địa chỉ là 172.31.0.1.

Để đơn giản hoá việc cấu hình, kết nối mạng riêng ảo là một kết nối khởi tạo 2 chiều. Router của các đối tác thương mại luôn luôn khởi tạo kết nối. Sơ đồ kết nối cho kịch bản mạng riêng ảo mở rộng được minh hoạ như trong hình 8.1.

4.2. Các công việc cài đặt:

4.2.1. Cấu hình máy chủ mạng riêng ảo

4.2.1.1. Cấu hình chung

Để triển khai các kết nối mạng riêng ảo đối tác để kết nối Công ty X, Y với mạng mở rộng của Tổng công ty A, máy chủ mạng riêng ảo được thiết lập theo cấu hình cơ bản như trong mục 7.3.1.2.1 của chương VII. Ngoài ra cần phải cấu hình thêm như sau:

4.2.1.2. Cấu hình Domain

Với kết nối mạng riêng ảo tới Công ty X, tài khoản người dùng cho X phải được tạo trên máy chủ Domain của Tổng công ty, các tham số của tài khoản cần quan tâm như:

- Mật khẩu

- Thiết lập mức cho phép với tài khoản này đề kiểm soát truy cập qua chính sách truy cập từ xa và thêm vào đường định tuyến tĩnh 121.107.254.0 với mặt nạ mạng là 255.255.255.0.

- Tài khoản này nên đưa vào một nhóm để dễ quản lý, chẳng hạn là nhóm VPN_Partner.

Với kết nới mạng riêng ảo tới đối tác Y ta cũng tạo một tài khoản như trên cùng với đường định tuyến được thêm vào là 131.107.250.0 mặt nạ mạng là 255.255.255.0.

4.2.1.3. Cấu hình chính sách truy cập từ xa

Để xác định các thiết lập mã hoá và xác thực cho các kết nối mạng riêng ảo với các đối tác thương mại, cần phải tạo ra chính sách truy cập từ xa, với các tham số cơ bản cần phải lưu ý như:

- Tên chính sách, chẳng hạn là VPN Partners.

- Phương thức truy cập, tham số này ta chọn là VPN.

- Người dùng hoặc nhóm truy cập.

- Các phương pháp xác thực: chẳng hạn như EAP, MS-CHAPv2.

- Mức mã hoá: thường nên chọn mã hoá mạnh và mạnh nhất.

Sau khi chính sách truy cập từ xa được tạo, cấu hình của nó có thể phải được sửa đổi để cho phù hợp theo các tham số:

- Cấu hình các bộ lọc gói TCP/IP, trong đó :

+ Bộ lọc vào:

♦ Filter 1: Địa chỉ IP mạng đích là 172.31.0.10 và mặt nạ mạng là 255.255.255.255

♦ Filter 2: Địa chỉ IP mạng đích là 172.31.0.11 và mặt nạ mạng là 255.255.255.255

♦ Filter Action: Chỉ cho phép các gói được liệt kê.

+ Bộ lọc ra:

♦ Filter 1: Địa chỉ IP mạng nguồn là 172.31.0.10 và mặt nạ mạng là 255.255.255.255

♦ Filter 2: Địa chỉ IP mạng nguồn là 172.31.0.11 và mặt nạ mạng là 255.255.255.255

♦ Filter Action: Chỉ cho phép các gói được liệt kê.

Những phần sau mô tả một mạng mở rộng dựa trên PPTP cho đối tác Y và một mạng mở rộng dựa trên L2TP/IPSec cho đối tác Y.

4.2.2. Mạng riêng ảo dựa trên PPTP cho các đối tác thương mại

Công ty X là đối tác thương mại sử dụng một bộ định tuyến để tạo kết nối mạng riêng ảo dựa trên PPTP với máy chủ mạng riêng ảo của Tổng công ty A. Bộ định tuyến trên đối tác X được kết nối tới Internet với một kết nối WAN.

Để triển khai một kết nối mạng riêng ảo được khởi tạo 2 chiều và dựa trên PPTP tới văn phòng tổng công ty A, ta phải thực hiện cấu hình trên Router tại văn phòng của đối tác X.

Cấu hình giao diện cho kết nối mạng riêng ảo

Để kết nối Router tại văn phòng của đối tác X tới máy chủ mạng riêng ảo của Tổng công ty A bằng kết nối mạng riêng ảo qua Internet, ta phải tạo một giao diện thích hợp với các tham số cần quan tâm như:

- Tên giao diện: Để cho dễ nhớ nên lấy tên có liên quan đến đối tác.

- Kiểu kết nối: sử dụng VPN.

- Kiểu mạng riêng ảo: chọn là PPTP.

- Các đường định tuyến ảo cho mạng từ xa:

+ Để làm cho tất các vị trí trên mạng của tổng công ty A có thể kết nối tới được, ta phải tạo ra đường định tuyến tĩnh thích hợp, các tham số cần quan tâm như:

♦ Mạng đích: chẳng hạn là 172.31.0.0

♦ Mặt nạ mạng: 255.255.0.0

- Giấy uỷ quyền quay số ra ngoài với các thông tin về tài khoản người dùng, Domain.

4.2.3. Mạng riêng ảo mở rộng dựa trên L2TP/IPSec cho các đối tác thương mại

Đối tác Y là một đối tác thương mại sử dụng một Router để tạo kết nối mạng riêng ảo dựa trên L2TP/IPSec với máy chủ mạng riêng ảo của Tổng công ty A. Router tại mạng của đối tác Y được kết nối với Internet. Ngoài việc cấu hình máy chủ, ta cần phải cấu hình cho Router của đối tác Y.

4.2.3.1. Cấu hình chứng chỉ

Router tại đối tác Y được cấu hình bởi người quản trị mạng của Tổng công ty A, trong khi nó được kết nối vật lý tới mạng Intranet của Tổng công ty A. Sau đó nó được chuyển đến cho người quản trị mạng của đối tác Y. Trong khi Router của đối tác này được kết nối tới mạng Intranet của Tổng công ty A, cần phải có một chứng chỉ số.

4.2.3.2. Cấu hình giao diện cho kết nối mạng riêng ảo

Để kết nối Router tới máy chủ mạng riêng ảo của Tổng công ty A bằng một kết nối mạng riêng ảo qua Internet, người quản trị mạng tạo một giao diện mạng thích hợp, với các tham số cần quan tâm như:

- Tên giao diện: Thông thường, kết nối đến đối tác nào thì lấy tên của đối tác đó để thuận tiện trong việc sử dụng sau này.

- Kiểu kết nối: kết nối sử dụng mạng riêng ảo (VPN).

- Kiểu mạng riêng ảo: L2TP

- Địa chỉ mạng đích: chẳng hạn là 207.109.68.1

- Các đường định tuyến tĩnh cho mạng từ xa: Để làm cho tất cả các vị trí trên mạng Intranet của Tổng công ty A có thể kết nối tới được, ta phải tạo ra đường định tuyến tĩnh, trong đó phải chỉ rõ.

+ Mạng đích: chẳng hạn 172.31.0.0

+ Mặt nạ mạng: 255.255.0.0

- Giấy uỷ quyền quay số ra ngoài với các thông tin về tài khoản người dùng, Domain.