Hyper V network policy and access services

Triển Khai Ảo Hóa HyperV,Triển Khai dịch vụ truy nhập và chính sách mạng (Network Policy and Accesss Services), windows server 2008, Vấn đề gặp phải khi tiến hành ảo hóa trên VMware,Triển khai cấu hình VPN Client to Site sử dụng RRAS và xác thực thông qua Radius, Triển khai cấu hình chia sẻ kết nối Internet dùng RRAS

Chương I Triển Khai Ảo Hóa Hyper-V 3

1 Giới Thiệu Hyper-V 3

2 Đặc điểm Hyper-V 3

2.1 Hyper-V đòi hỏi phần cứng cụ thể như sau: 3

2.2 Một số đặc điểm nổi bật của Hyper-V 3

2.3 Nguyên lý sử dụng phần cứng trên máy ảo Hyper-V 6

2.4 So sánh Hyper-V và Virtual Server 2005 R2, VMware Workstation 7

3 Ứng dụng Hyper-V tạo môi trường điện toán đám mây 8

4 Cài đặt và sử dụng Hyper-V để tạo máy ảo 9

4.1 Cài đặt Hyper-V trên Windows Server 2008 9

4.2 Sử dụng Hyper-V để tạo máy ảo 13

4.3 Vấn đề gặp phải khi tiến hành ảo hóa trên VMware 20

Chương II Triển Khai dịch vụ truy nhập và chính sách mạng (Network Policy and Accesss Services) 24

1 Giới thiệu Network Policy and Access Services 24

2 Một số khái niệm VPN, RRAS, NPS,NAT 25

2.1 VPN là gì? 25

2.2 RRAS là gì? 25

2.3 NPS là gì? 26

3 Triển khai cấu hình VPN Client to Site sử dụng RRAS và xác thực thông qua Radius 26

3.1 Phân tích yêu cầu và định hướng công việc triển khai 26

3.2 Triển khai VPN Client to Site sử dụng RRAS và xác thực bằng Radius 27

3.2.1 Tại Server DC 27

3.2.2 Tại VPN Server 34

3.2.3 Tại VPN Client 44

4 Triển khai cấu hình chia sẻ kết nối Internet dùng RRAS 51

4.1 Phân tích yêu cầu và định hướng triển khai 51

4.2 Triển khai chia sẻ mạng với Client 52

4.2.1 Tại Server DC 52

4.2.2 Tại máy Client 60

5 Triển khai cấu hình NPS cho VPN Client kết hợp với Radius 62

5.1 Phân tích yêu cầu và định hướng triển khai 62

5.2 Triển khai cấu hình NPS cho VPN Client kết hợp với Radius 63

5.2.1 Tại Server DC 63

5.2.2 Tại VPN Server 74

5.2.3 Tại VPN Client 84

Kết Luận 90

Tài Liệu Tham Khảo 90

Chương I Triển Khai Ảo Hóa Hyper-V

1 Giới Thiệu Hyper-V

Hyper-V là cấp độ tiếp theo của ảo hóa so với Windows Server 2003 , với Windows Server 2008 bạn không cần triển khai một ứng dụng ảo hóa như Virtual Server 2005 hoặc các công nghệ ảo hóa khác để xây dựng các máy ảo của bạn Hyper-V là một trong những Role mới có trong Windows Server 2008, nơi bạn có thể cài đặt nó và sau đó bắt đầu tạo các máy ảo Bạn có thể sử dụng một môi trườngđiện toán ảo hóa để năng cao hiệu quả tài nguyên máy tính của bạn bằng các sử dụng tài nguyên phần cứng

Hyper-V cung cấp một nền tảng ảo hóa tin cậy cho phép khách hàng ảo hóa

cơ sở hệ thống của họ và giảm bớt chi phí Hyper-V có một kiến trúc hypervisor mỏng, được microkernel hóa với bề mặt tấn công tối thiểu và có sẵn vai trò Server Core Với khả năng quản lý tích hợp, khách hàng có thể dùng một bộ công cụ duy nhất để quản lý cả tài nguyên vật lý lẫn tài nguyên ảo Nó dễ dàng kết nối vào cơ sở

hạ tầng CNTT của khách hàng vì giúp họ có tận dụng tối đa các công cụ và quy trình vá lỗi, dự phòng, quản lý và hỗ trợ hiện có của họ Hyper-V mang lại giá trị to lớn do là một đặc tính của Windows Server 2008 và khách hàng có thể tận dụng tối

đa nhiều giải pháp phong phú từ các đối tác của Microsoft, các bộ kỹ năng CNTT chuyên nghiệp và hỗ trợ toàn diện hiện có từ Microsoft

2 Đặc điểm Hyper-V

2.1 Hyper-V đòi hỏi phần cứng cụ thể như sau:

 Bộ vi xử lý có hỗ trợ nền tảng X64 Hyper-V thì sẵn sàng trong nền tảng X64 của Windows Server 2008- Một cách cụ thể là các phiên bản dựa trên nền X64 như: Windows Server 2008 Standard, Windows Server

2008 Enterprise và Windows Server 2008 Datacenter

 Phần cứng phải hỗ trợ ảo hóa Bộ vi xử lý phải có lựa chọn thiết đặt Virtualization- Cụ thể là, Intel Virtualization ( Intel VT) hoặc AMD Virtualization (AMD-V)

 Phần cứng phải hỗ trợ chức năng Data Execution Prevention (DEP) và phải được enable - Một cách cụ thể, phải enable chức năng Intel XD bit hoặc AMD NX bit.2 Cài đặt Hyper-V trên Windows Server 2008 phiên bản cài đặt đầy đủ

2.2 Một số đặc điểm nổi bật của Hyper-V

 Hợp nhất nhiều Server

Các doanh nghiệp luôn chịu áp lực làm thế nào để đơn giản hóa việc quản lý và giảm bớt chi phí đồng thời vẫn duy trì và nâng cao các lợi thế

cạnh tranh, như tính linh hoạt, tin cậy, khả năng mở rộng và bảo mật Việc sửdụng công nghệ ảo hóa một cách cơ bản để giúp hợp nhất nhiều máy chủ trênmột hệ thống duy nhất đồng thời vẫn duy trì khả năng cách ly giúp khắc phục những yêu cầu trên Một trong những lợi ích chính của hợp nhất máy chủ là tổng chi phí sở hữu (TCO) thấp hơn, không chỉ nhờ giảm bớt các yêu cầu phần cứng mà còn nhờ hạ thấp chi phí năng lượng, chi phí làm mát và chi phí quản lý.

Doanh nghiệp cũng được hưởng lợi từ tính năng ảo hóa máy chủ nhờ tối ưu hóa cơ sở hạ tầng CNTT, xét trên cả phương diện sử dụng tài sản cũngnhư khả năng cân bằng tải làm việc trên khắp các tài nguyên khác nhau Tínhlinh hoạt được cải thiện của toàn bộ môi trường CNTT và khả năng tích hợp

dễ dàng các tải làm việc 32 bit và 64 bit trong cùng một môi trường là một lợi thế nữa

 Tính liên tục trong hoạt động kinh doanh và khả năng phục hồi sau

thảm họa

Tính liên tục của hoạt động kinh doanh là khả năng tối thiểu hóa quãng thời gian hệ thống tạm ngừng hoạt động theo dự kiến hoặc ngoài dự kiến Điều đó bao gồm thời gian hao phí cho các chức năng thường trình, như bảo trì và sao lưu, cũng như thời gian mất điện ngoài dự kiến Hyper-V chứa các đặc tính mạnh mẽ để đảm bảo sự liên tục cho hoạt động kinh

doanh, như là khả năng sao lưu trực tiếp và chuyển đổi nhanh chóng, cho phép doanh nghiệp đáp ứng được các thông số khắt khe về khả năng đáp ứng

và thời gian hoạt động của hệ thống

Khả năng khôi phục thảm họa là một thành phần quan trọng đảm bảo

sự liên tục của hoạt động kinh doanh Thiên tai, tấn công phá hoại và thậm chí những sự cố liên quan tới cấu hình như xung đột phần mềm có thể làm vôhiệu hóa các dịch vụ và ứng dụng cho tới khi quản trị viên khắc phục xong

sự cố và khôi phục bất cứ dữ liệu sao lưu nào Tận dụng tối đa các khả năng clustering của Windows Server 2008, giờ đây Hyper-V còn cung cấp hỗ trợ khả năng khôi phục sau thảm họa (DR) trong phạm vi các môi trường CNTT

và trên khắp các trung tâm dữ liệu, nhờ sử dụng khả năng clustering phân tántheo vùng địa lý Việc khôi phục một cách nhanh chóng và tin cậy các hoạt động kinh doanh và khôi phục sau khi thảm họa xảy ra giúp đảm bảo các tínhnăng quản lý từ xa mạnh mẽ và tổn thất dữ liệu ít nhất

 Kiểm tra và phát triển

Kiểm tra và phát triển thường là các chức năng nghiệp vụ đầu tiên để tận dụng lợi thế của công nghệ ảo hóa Sử dụng các máy ảo, chuyên viên phát triển có thể xây dựng và kiểm tra một loạt các tình huống đa dạng trong một môi trường an toàn, độc lập, tương tự như quá trình vận hành của các máy trạm và máy chủ vật lý Hyper-V tối đa hóa việc sử dụng các thiết bị phần cứng được dùng cho mục đích kiểm tra, có thể giúp giảm bớt chi phí,

cải thiện việc quản lý chu kỳ sống và kiểm tra coverage Với khả năng hỗ trợrộng rãi hệ điều hành khách và các đặc tính kiểm tra.

 Trung tâm dữ liệu động

Hyper-V, cùng với các giải pháp quản lý hệ thống hiện có của bạn, như là Microsoft System Center, có thể giúp bạn hiện thực hóa tầm nhìn về trung tâm dữ liệu động với các hệ thống động có khả năng tự quản lý và khả năng vận hành linh hoạt Với các đặc tính như tự động hóa việc tái cấu hình máy ảo, kiểm soát tài nguyên linh hoạt, và chuyển đổi nhanh chóng, bạn có thể tạo ra một môi trường CNTT năng động, môi trường này sẽ sử dụng tính năng ảo hóa không chỉ để đáp ứng với các sự cố mà còn để dự báo trước những nhu cầu ngày một tăng

 Kiến trúc mới và được cải thiện

Kiến trúc mới 64 bit dựa trên micro-kernelized hypervisor nhằm đem đến một loạt các phương thức hỗ trợ thiết bị và cải thiện hiệu quả làm việc, tính bảo mật

 Hỗ trợ rộng rãi các hệ điều hành

Hỗ trợ rộng rãi việc hoạt động song song của nhiều loại hệ điều hành, bao gồm các hệ thống 32 bit và 64 bit trên khắp các nền tảng máy chủ khác nhau, như Windows, Linux, và các nền tảng khác

 Hỗ trợ SMP (Symmetric Multiprocessors)

Khả năng hỗ trợ lên tới 4 bộ xử lý trong một môi trường máy ảo cho phép bạn tận dụng tối đa các ứng dụng đa luồng trong một máy ảo

 Network Load Balancing

Hyper-V chứa nhiều tính năng switch ảo Điều này có nghĩa là các máy ảo có thể dễ dàng được cấu hình để chạy với Dịch vụ Network Load Balancing (NLB) của Windows nhằm mục đích cân bằng tải trên khắp các máy ảo trên các máy chủ khác nhau

 Kiến trúc chia sẻ phần cứng mới

Với kiến trúc VSP/VSC (Virtual Service provider/virtual service client), Hyper-V cải thiện khả năng truy cập và việc sử dụng các tài nguyên lõi, chẳng hạn ổ đĩa, việc nối mạng và hình ảnh

 Chuyển đổi nhanh

Hyper-V cho phép bạn nhanh chóng chuyển đổi một máy ảo đang hoạt động từ một hệ thống máy chủ vật lý sang một hệ thống khác với thời

gian gián đoạn tối thiểu, tận dụng tối đa các tính năng quen thuộc, có tính sẵnsàng cao của Windows Server và các công cụ quản lý System Center.

 Snapshot máy ảo

Hyper-V cho phép tạo ra các snapshot của máy ảo đang chạy, do vậy, bạn có thể dễ dàng chuyển về một trạng thái trước đó, và cho phép cải thiện giải pháp sao lưu và khôi phục nói chung

 Khả năng mở rộng

Nhờ hỗ trợ nhiều bộ xử lý và lõi tại cấp máy chủ và cải thiện khả năng truy cập tới bộ nhớ, giờ đây bạn có thể mở rộng môi trường ảo hóa của mình theo chiều dọc để hỗ trợ một số lượng lớn các máy ảo trong phạm vi một máy chủ nhất định và tiếp tục tận dụng tối đa khả năng chuyển đổi nhanh chóng để mở rộng trên phạm vi nhiều máy chủ

 Tùy biến

Các giao diện WMI (Windows Management Instrument) và API theo chuẩn trong Hyper-V cho phép các hãng phần mềm độc lập và chuyên gia phát triển nhanh chóng xây dựng các công cụ, tiện ích tùy biến và các tính năng nâng cao cho nền tảng ảo hóa

2.3 Nguyên lý sử dụng phần cứng trên máy ảo Hyper-V

Máy ảo không “nhìn thấy” CPU

Hypervisor được “móc liền” với các luồng xử lí của CPU

Máy ảo chỉ nhìn thấy CPU do hypervisor cấp cho

 Cách thức hoạt động

Máy ảo chỉ sử dụng được thiết bị ảo

Mọi yêu cầu đến thiết bị ảo sẽ được chuyển qua VMBus đến thiết bị ở partition cha và ngược lại

Toàn bộ tiến trình diễn ra “trong suốt” đối với hệ điều hành khách

2.4 So sánh Hyper-V và Virtual Server 2005 R2, VMware Workstation

So sánh Hyper-V với Virtual Server 2005 R2

Hyper-V Virtual Server 2005 R2 Hiệu suất/ Khả năng mở rộng

Quản lý

Giao diện người dùng Giao diện MMC 3.0 Giao diện Web

So sánh Hyper-V với VMware

Nền tảng tương thích

Windows Server 2008 Standard, Enterprise, Datacenter 64-bit, Linux Enterprise Server, Windows 8 Pro/Ultimate/Enterprise

OS trên máy khách Windows 2000 trở lên Hầu hết các OS

Data Recovery

3 Ứng dụng Hyper-V tạo môi trường điện toán đám mây

Ngoài ứng dụng cung cấp nền tảng ảo hóa mạnh mẽ Hyper-V còn cho phép tạo ra môi trường điện toán đám mây riêng (cloud computing)

Mặc dù không thể chối bỏ những lợi ích mà các đám mây IaaS có thể mang lại, nhưng việc phụ thuộc vào kết nối Internet để có thể truy cập tới những server đám mây ngoài lại là điều không mong muốn đối với các tổ chức Họ sẽ không thể truy cập server nếu mất kết nối Internet hay khi đường truyền tắc nghẽn Đây chính

là điều mà các doanh nghiệp và các tổ chức băn khoăn

Với giải pháp xây dựng một đám mây riêng, doanh nghiệp sẽ không những được hưởng lợi từ sự linh hoạt của đám mây IaaS mà còn tránh được rủi ro mất truycập server do đứt kết nối Internet Và điều đó Hyper-V hoàn toàn có thể đáp ứng

Để làm việc này thì chúng ta cần có một môi trường quản lý client Đó chính

là việc nâng cấp windows server 2008 lên Domain Controller Qua đó có thể tạo ra môi trường điện toán đám mây với hàng loạt lợi ích của nó Có thể tự động triển khai các máy client , quản lý dữ liệu

Tạo môi trường điện toán đám mây là một quá trình khá dài dòng và đòi hỏi tài nguyên phần cứng cao cũng như là tính chuyên nghiệp của nó Tuy nhiên trong phạm vi đề tài nên chúng em dừng lại ở việc triển khai Hyper-V trên nền ảo và khắcphục các vấn đề gặp phải

Tuy nhiên mọi người có hứng thú hay thắc mắc vấn đề này thì có thể liên hệ với nhóm để trao đổi

4 Cài đặt và sử dụng Hyper-V để tạo máy ảo

4.1 Cài đặt Hyper-V trên Windows Server 2008

Như đã nói bên trên thì Hyper-V chỉ hỗ trợ nền tảng X64 nên chúng ta cần triển khai Hyper-V trong windows server 2008 phiên bản 64bit

Bước 1: Click Start sau đó chọn đến Server Manager

Bước 2: Trong cửa sổ Role Summary chúng ta click vào Add Role

Bước 3: Ở bước này chúng ta bấm Next để tiếp tục cài đặt

Bước 4: Tại cửa sổ Selecr Server Roles tích vào Hyper-V

Bước 5: Trên cửa sổ Create Virutal Networks, chọn một hay nhiều Network Adapters nếu bạn muốn chúng sẳn sàng trong máy ảo.

Bước 6: Tại cửa sổ Confirm Installation Selection click vào Install

Bước 7: Đây là quá trình cài đặt đang diễn ra

Bước 8: Chọn Close để kết thúc cài và sau đó click Yes để khởi động lại

4.2 Sử dụng Hyper-V để tạo máy ảo

Bước 1: Khởi động công cụ quản trị Hyper-V Click Start-> Administrator Tools-> Hyper-V Manager

Bước 2: Tạo mới 1 máy ảo có 2 cách như sau:

 Click vào Server hiện hành -> New -> Virtual Machine

 Click vào New -> Virtual Machine

Bước 3: Tại giao diện cửa sổ New Virtual Machine Wizard, Click Next

Bước 4: Đặt tên máy ảo và chỉ định nơi lưu trữ máy ảo đó

Bước 5: Thiết lập bộ nhớ RAM cho máy ảo Chú ý RAM máy ảo phải phụ thuộc vào máy chủ vật lý windows server 2008 đang có

Bước 6: Chọn card mạng tương ứng với những gì mình đã thiết lập

Bước 7: Tại trang giao diện của Connect Virtual Hard Disk, chị định tên, nơi lưu, dung lượng cần thiết để tạo một Virtual Hard Disk cho máy ảo Ở đây sẽ có 3 options cho bạn lựa chọn

 Creat a virtual hard disk: Để tạo hẳn mộ ở Virtual Hard Disk mới hoàn

toàn: Ở lựa chọn này chúng ta cần đặt tên, vị trí lưu file Virtual Hard Disk cho máy

ảo và dung lượng cần thiết

 Use an existing virtual hard disk: Chọn một ổ Virtual Hard Disk mà bạn

đã có sẵn, dành cho việc copy thành một máy ảo khoác hay move máy ảo đến một host khác.

 Attach a virtual hard disk later: Lựa chọn này cho phép chúng ta bỏ qua

bước thiết đặt Virtual Hard Disk cho máy ảo và sẽ thiết đặt sau.

Ở đây em lựa chọn tùy chọn đầu tiên là tạo riêng 1 ổ đĩa mới hoàn toàn

 Name: đặt tên cho ổ đĩa (ở đây Hyper-V dùng 1 định dạng ổ địa là

“.vhd”

 Location: Chọn nơi lưu file Virtual Hard Disk cho máy

 Size: Đặt dung lượng ổ đĩa ảo cần thiết

Bước 8: Tại giao diện Installation Options, cho chúng ta 4 tùy chọn để cài đặt hệ điều hành

 Install an operating system later: Cài đặt hệ điều hành sau

 Install an operating system from a boot CD/DVD-ROM: Cho phép cài đặt

hệ điều hành từ CD/DVD-ROM Có thể dùng cả ổ CD/DVD vậy lý kết nối với máy windows server 2008 vật lý hoặc thậm chí là sử dụng file iso

 Install an operating system from a boot floppy disk: Cài đặt một hệ điều hành trừ đĩa Floppy Disk Tuy nhiên ngày nay thì ít ai dùng floppy disk nữa Vì những hạn chế của nó không thể đáp ứng hết nhu cầu người dùng Hiện nay các công cụ lưu trữ thông dụng như USB, hay ổ cứng di động.

 Install an operating system from a network-based installation server: Cài đặt hệ điều hành thông qua việc cài đặt từ server trên mạng Để dùng được chức năng này, bạn phải cấu hình máy ảo với kết nối Network Adapter để kết nối đến 1 mạng ảo External Mạng External nói trên là cùng lớp mạng với server chứa Image cài đặt Tùy chọn này khá là hay vì nó ứng dụng cho việc tạo ra môi trường điện toán đám mây với hàng loạt các máy ảo Hyper-V được cài đặt 1 cách tự động lấy

dữ liệu từ trên Server.

Ở đây em dùng ổ đĩa của Server 2008 Sau đó chúng ta click vào Next để tiếp tục cài đặt

Bước 9: Tại cửa sổ này cho phép chúng ta xem lại 1 số thiết lập trước đó ẤnFinish để hoàn thành tạo máy ảo.

Bước 10: Tiến hành khởi động máy ảo và tiến hành cài đặt hệ điều hành cho máy ảo

Đây là giao diện mà 1 máy ảo vừa tạo ra Chúng ta click chuột phải vào máy

ảo đó và chọn connect  để tiến hành cài đặt máy ảo

Bước 11: Đây là giao diện khi chạy máy ảo Tuy nhiên chúng ta cần click vào Action và chọn Start để bắt đầu máy ảo

Bước 12: Đến đây là màn hình quen thuộc hiện lên mỗi khi chúng ta cài đặt

hệ điều hành Cài đặt 1 cách bình thường như trên máy vật lý thông thường

Ngoài ra: Sau khi tạo xong máy ảo ở bước 10 chúng ta có thể tùy chỉnh các thông số bằng cách click chuột phải vào máy ảo -> Setting

Ở đây chúng ta có thể chỉnh lại các thông số vật lý của máy ảo như Memory (bộ nhớ RAM), Processor (CPU hay bộ vi xử lý), Hard Drive (ổ đĩa) , Chỉnh lại nguồn cài đặt hệ điều hành, hay chỉnh lại card mạng

4.3 Vấn đề gặp phải khi tiến hành ảo hóa trên VMware

Có 1 vấn đề nhỏ xảy ra ở đây Môi trường làm việc của máy chủ windows server 2008 mà chúng ta đang sử dụng bên trên là trên nền VMware (tức là chúng ta

đã ảo hóa 1 lần) Lần ảo hóa tiếp theo, chính trên môi trường windows server 2008 chúng ta tiến hành ảo hóa 1 lần nữa  Việc này đã gặp phải vấn đề vì ảo hóa của

ảo hóa luôn là vấn đề rắc rối, nguyên nhân vì :

Thứ nhất: VMware có hỗ trợ ảo hóa nhiều lần Tuy nhiên không phải là Hyper-V vì không ai muốn hỗ trợ đối thủ của mình cả

Thứ hai: Hyper-V đã hoạt động, tuy nhiên khi chạy máy ảo thì Hyper-V không thể tạo ra 1 phân vùng ổ cứng trên nền ổ đĩa của VMware vì ổ đĩa của VMware được định dạng khác với ổ đĩa vật lý thông thường đó là “.vmdk” Cũng tương tự như Hyper-V nó cũng định dạng ổ đĩa với 1 định dạng khác là “.vhd”

Vấn đề ảo hóa của ảo hóa là một vấn đề khó Tuy nhiên nhóm chúng em đã

cố gắng khắc phục việc này Cụ thể để cài đặt và sử dụng được Hyper-V trong windows server 2008 trên môi trường VMware thì chúng ta cần làm như sau:

Bước 1: Vào chế độ Settings(cài đặt or cấu hình) máy ảo Ở đây máy ảo là windows server 2008 Ta click chuột phải vào máy ảo và chọn Settings

Bước 2: Tại cửa số Settings của máy ảo Chúng ta phải đảm bảo rằng CPU phải hỗ trợ việc ảo hóa bằng cách tại mục Process Ta tích vào 2 tùy chọn:

 Virtualize Intel VT-x/EPT or AMD-V/RVI

 Virtualize CPU perfomance counters

Bước 3: Tìm đến thư mục cài đặt máy ảo Chỉnh sửa files “[Tên máy

ảo].vmx” Thêm vào cuối những thông số như sau:

 hypervisor.cpuid.v0 = "FALSE" : tùy chọn này là thủ thuật để đánh lừa VMware Để cho nó hiểu rằng nó không chạy môi trường ảo hóa của Hyper-V (vì Hyper-V có kiến trúc là hypervisor)

 mce.enable = "TRUE" : Tùy chọn này cho phép máy kiểm tra Exception (MCE), cho phép các máy ảo báo cáo các vấn đề phần cứng CPU

 vhv.enable = "TRUE": Tùy chọn này cho phép thực hiện ảo hóa lồng nhau Mặc định trong Vmware đã có rồi

Bước 4: Đảm bảo rằng bản windows server 2008 64bit đã cài đặt gói SP1 để

hỗ trợ UAX – hỗ trợ việc chạy máy ảo

Chú ý: Nếu bản windows server 2008 chưa cài gói SP1 thì chúng ta update

or download trực tiếp từ trang chủ Microsoft về và tiến hành cài đặt

Bước 5: Tiến hành restart lại windows server 2008 và tiến hành cài đặt và sử dụng Hyper-V Kết quả là: ta đã được ảo hóa của ảo hóa

Chương II Triển Khai dịch vụ truy nhập và chính sách mạng (Network Policy and Accesss Services)

1 Giới thiệu Network Policy and Access Services

Network Policy and Access Services cung cấp các giải pháp kết nối mạng sau:

Network Access Protection (NAP) là dịch vụ cho phép qui định và áp đặt cáctiêu chuẩn về bảo mật đối với các máy tính Client khi gia nhập vào hệ thống mạng

do các máy tính này thường nằm ngoài tầm kiểm soát của người quản trị NAP có thể ép buộc hoặc tự động điều chỉnh các máy client phải thực hiện một số thao tác bảo mật cơ bản bao gồm bật firewall, bật Automatic Update, cài đặt các phần mềm Anti Virus và Anti Spyware nhằm bảo đảm tính bảo mật cho các máy Client này

Nếu các máy Client không đáp ứng yêu cầu của NAP, NAP có thể ngăn cấm truy cập hệ thống, giới hạn truy cập hoặc điều chỉnh thông số trên Client cho phù hợp yêu cầu.

Đảm bảo truy cập không dây và có dây Khi bạn triển khai 802.1X điểm truy cập không dây, truy cập không dây an toàn cung cấp cho người sử dụng không dây với một phương thức xác thực dựa trên mật khẩu an toàn đó là dễ dàng để triển khai Khi bạn triển khai công tắc xác thực 802.1X, truy cập không dây cho phép bạnbảo vệ mạng của bạn bằng cách đảm bảo rằng người dùng nội bộ được xác thực trước khi họ có thể kết nối vào mạng hoặc có được một địa chỉ IP sử dụng DHCP

Các giải pháp truy cập từ xa Với các giải pháp truy cập từ xa, bạn có thể cung cấp cho người dùng với mạng riêng ảo (VPN) và truy cập dial-up truyền thốngvới mạng của tổ chức Bạn cũng có thể kết nối các chi nhánh với mạng của bạn với các giải pháp VPN, triển khai đầy đủ các tính năng định tuyến phần mềm trên mạngcủa bạn, và chia sẻ kết nối Internet qua mạng nội bộ

Chính sách quản lý mạng tập trung với các máy chủ RADIUS và proxy Thay vì cấu hình chính sách truy cập mạng tại mỗi máy chủ truy cập mạng, chẳng hạn như các điểm truy cập không dây, switch xác thực 802.1X, máy chủ VPN, và các máy chủ dial-up, bạn có thể tạo ra các chính sách trong một địa điểm duy nhất

mà xác định tất cả các khía cạnh của yêu cầu kết nối mạng, bao gồm cả người được cho phép kết nối, khi họ có thể kết nối, và mức độ bảo mật mà họ phải sử dụng để kết nối với mạng của bạn

2 Một số khái niệm VPN, RRAS, NPS,NAT

2.1 VPN là gì?

VPN - mạng riêng ảo (hay Virtual Private Network) là một mạng thường dành riêng để kết nối các máy tính trong nhà hay trong một tổ chức với nhau thông qua Internet Với VPN, bạn có thể thiết lập kết nối từ xa để duyệt web an toàn hơn, tạo mạng ảo để cùng bạn bè chơi game như khi chơi bằng mạng LAN mà chúng ta không phải ở gần nhau, truy cập các tập tin được chia sẻ

2.2 RRAS là gì?

RRAS (Routing and Remote Access Services - dịch vụ truy cập và định tuyến từ xa) RRAS cung cấp một kỹ thuật cho phép Windows Server đóng vai trò như một gateway của mạng Người sử dụng có thể kết nối qua mạng diện rộng (WAN) sử dụng mạng riêng ảo (VPN) VPN cho phép ngưởi sử dụng dùng mạng công cộng (Internet) để kết nối tới RRAS,khi đó dữ liệu truyền giữ người sử dụng

và RRAS sẽ được bảo mật.RRAS hỗ trợ các dịch vụ:

 Dial-up remote access server

 Virtual private network (VPN)

 Internet Protocol (IP)

 Network address translator (NAT)

 Dial-up and VPN site-to-site

2.3 NPS là gì?

NPS (Network Policy Server) làm công việc liên quan đến chính sách mạng

nó bao gồm các công việc:

 Định tuyến lưu lượng cho LAN và WAN

 Các dịch vụ VPN

 Truy cập được bảo vệ 802.11

 Routing & Remote Access (RRAS)

 Đăng ký chứng thực thông qua Windows Active Directory

 Điều khiển truy cập mạng bằng các chính sách

3 Triển khai cấu hình VPN Client to Site sử dụng RRAS và xác thực thông qua Radius

3.1 Phân tích yêu cầu và định hướng công việc triển khai

Yêu cầu đặt ra domain mangmaytinh.com có các client bên trong và tham giachia sẻ dữ liệu và chịu sự quản lý của domain Vậy làm thế nào khi client muốn truycập ngoại tuyến từ bên ngoài vào domain mà vẫn muốn chia sẻ dữ liệu? Tiến hành

vẽ mô hình hệ thống để triển khai

Hình 2.1 VPN Client to Site sử dụng RRAS xác thực Radius

Để giải quyết bài toán trên ta triển khai VPN Client to Site sử dụng RRAS xác thực thông qua Radius theo mô hình 2.1 đã thiết kế bên trên

Phân tích yêu cầu đề bài  triển khai công việc:

 Server DC

 Quản lý domain mangmaytinh.com

 Đã cấu hình DNS server

 Tạo các Group, User cho phép truy cập VPN

 Tạo Folder “Share” để chia sẻ (để cho việc test kết nối VPN)

 Làm Server Radius xác thực kết nối VPN Đảm bảo an toàn

 Làm Radius client

 VPN client

 Chạy giao thức VPN kết nối vào domain mangmaytinh.com

 Thực hiện ping đến máy chủ DC và chia sẻ dữ liệu

3.2 Triển khai VPN Client to Site sử dụng RRAS và xác thực bằng Radius 3.2.1 Tại Server DC

Bước 1: Tiến hành cài đặt địa chỉ IP cho Server DC như mô hình IP: 192.168.1.2

Bước 2: Tạo các user và group Sau đó cho phép các user truy cập VPN

Ta click chuột phải vào user và chọn properties  Dial-in  Allow access

Bước 3: Tạo Folder “Share” để chia sẽ với các client Mục đích là để test kết nối VPN

Bước 4: Cài đặt làm Radius Server Để làm được việc này thì ta cần cài đặt dịch vụ Network Policy and Acces Service  Network Policy Server

 Tiến hành cài đặt Network Policy Server  các bước hướng dẫn theo hình

 Tiến hành cấu hình Radius Server

Tạo mới 1 Radius để cấu hình.

Trong cửa sổ New RADIUS Client ta tiến hành cấu hình:

Như vậy là chúng ta đã cấu hình xong máy Server DC Máy Server DC vừa quản lý Domain mangmaytinh.com vừa đóng vai trò là Radius Server giúp cho việc xác thực cho kết nối VPN Tiếp theo chúng ta chuyển sang cấu hình máy chủ VPN

3.2.2 Tại VPN Server

Bước 1: Thiết lập card mạng LAN và WAN

 Mạng LAN kết nối với Domain mangmaytinh.com với dải địa chỉ IP: 192.168.1.0/24

 Mạng WAN kết nối ra ngoài internet với dải địa chỉIP: 192.168.2.0/24

2 Card mạng LAN và WAN

Cấu hình địa chỉ IP cho mạng LAN

Cấu hình địa chỉ IP cho mạng WAN

Bước 2: Cài đặt và cấu hình VPN Server xác thực qua Radius

 Cài đặt Routing and Remote Access Service

Add thêm Roles

Cài đặt Network Policy and Access Service

Cài đặt Routing and Remote Access Service

Click Install để tiếp tục cài đặt

Đợi cho quá trình cài đặt hoàn tất

 Cấu hình VPN Server

Chọn cấu hình dial-up hoặc VPN