Các liên kết WAN có thể là một loại theo yêu cầu on-demand hoặc loại liên tục persitent Nói chung Windows 2003 sử dụng Point-to-Point Protocol PPP cho việc thành lập một kết nối truy cập
Trang 1Tại đây người dùng mail có thể cấu hình một số thông tin mail client theo ý mình Giao diện chính của Mail client gồm 3 phần Bên trái là các mục như: Folder, Inbox, Calendar, Contacts, Tasks, Notes, Option và Sign Out Ở giữa là ô chứa địa chỉ mail và bên phải chứa nội dung của một mail khi được lựa chọn Người dùng có thể dùng mail client để gửi và nhận mail như những BÀI trình mail client khác
X – ROUTING AND REMOTE ACCESS SERVICE
1 Giới thiệu về Routing and Remote Access
Service Pack 2 của Windows NT 3.51 bao gồm các thành phần định tuyến đa giao thức như là Routing Information Protocol (RIP) và Service Advertising Protocol (SAP) Windows NT 4.0 đã thay thế dịch vụ này với một dịch vụ đã được tích hợp – RRAS, mà
nó thực hiện cả việc Remote Access và định tuyến đa giao thức RRAS trong Windows server 2003 được xây dựng trên RRAS của Windows NT 4.0 Nó cung cấp các tính năng sau đây:
Internet Group Management Protocol (IGMP) và ranh giới Multicast
Định tuyến Apple Talk được tích hợp
Trang 2 Giao thức L2TP (Layer 2 Tunneling Protocol) trên IPSec (IP Security) cho các kết nối VPN
Cung cấp các thành phần địa chỉ và giải pháp chuyển đổi tên, làm cho dễ dàng
để thực hiện các kết nối từ mạng Small Office / Home Office (SOHO) vào Internet
Sự mở rộng trong IAS (Internet Authentication Service), công cụ quản trị và quản lý
Các chuyên viên thiết kế có thể sử dụng RRAS để mở rộng các giao diện BÀI trình ứng dụng để tạo ra các tùy biến để giải quyết vấn đề mở rộng liên mạng (Internetworking) Với việc trợ giúp của tính năng RRAS, một máy tính đang chạy Windows 2003 server có thể được hiểu theo bất kì điều nào dưới đây:
Multiprotocol router: RRAS cung cấp Windows 2003 Server các khả năng để các
giao thức định tuyến IP, IPX, và Apple Talk có thể đồng thời hoạt động trên mạng
Remote Access Server: RRAS làm cho Windows 2003 có khả năng trong việc
cung cấp các user để truy cập từ xa Một kết nối từ xa có thể được thiết lập hoặc là thông qua một kết nối quay số hoặc thông qua một VPN Nó hỗ trợ các client sử dụng các giao thức IP, IPX Apple Talk và NetBEUI
Demand-dial Router: RRAS cung cấp cho Windows 2003 khả năng định tuyến
trên các liên kết IP, IPX hoặc WAN Các liên kết WAN có thể là một loại theo yêu cầu
(on-demand) hoặc loại liên tục (persitent)
Nói chung Windows 2003 sử dụng Point-to-Point Protocol (PPP) cho việc thành lập một kết nối truy cập từ xa cho các client Nó giữ gìn các tham số liên kết, dàn xếp giao thức tầng mạng và thay đổi các giấy phép xác thực Các loại truy cập dưới đây được hỗ trợ bởi hạ tầng PPP của Windows 2003:
Dial-up remote access như một client hoặc một server
VPN remote access như một client hoặc một server
2 Remote Access
Windows 2003 server cho phép các client từ xa để kết nối tới server truy cập từ xa bằng cách sử dụng một số các thiết bị phần cứng modem, Integrated Services Digital Network (ISDN) adapter và Digital Subscriber Line (DSL) modem Truy cập từ xa chạy Routing and Remote Access có khả năng hỗ trợ các giao thức khác nhau cho truyền tải dữ liệu và giao thức VPN Một giao thức truy cập từ xa như PPP được sử dụng cho việc kết nối đến các server truy cập từ xa Server truy cập từ xa là một máy tính, nó đang chạy Windows 2003 và hỗ trợ RRAS Nó xác thực các user và các phiên truy cập từ xa cho đến khi user hoàn thành phiên của người quản trị mạng Vai trò của server truy cập từ xa là một gateway cho việc gửi dữ liệu giữa các clietn và LAN Client gửi dữ liệu đến và nhận
Trang 3dữ liệu từ server truy cập từ xa Sử dụng giao thức như TCP/IP dữ liệu được mã hoá và sau đó nó được gói trọn trong giao thức truy cập từ xa Hai loại kết nối truy cập từ xa được cung cấp bởi Windows 2003 truy cập từ xa:
Dial-up Remote Access: Để kết nối đến một mạng dial-up truy cập từ xa, client
truy cập từ xa tạo ra để sử dụng các mạng viễn thông, nó có thể là Public Switch Telephone Network (PSTN) PSTN đã tạo ra một kết nối vật lý đến cổng trên một server truy cập từ xa, mà nó có thể được thực hiện bằng cách sử dụng một modem hoặc sử dụng ISDN adapter cho việc quay số đến server truy cập từ xa Dial-up truy cập từ xa cho phép các user kết nối đến từ một vị trí từ xa đến mạng Nhưng vấn đề với kiểu truy cập này là ở chỗ, nếu đa client được định vị tại các vị trí khác nhau thì phí tổn điện thoại sẽ trở lên rất cao Do đó một phương pháp thay đổi cho điều này sẽ được xem như việc giải quyết một VPN cho kết nối từ xa
Vitual Private Network (VPN): Một VPN cung cấp truy cập từ xa rất an toàn
thông qua Internet và không tạo ra để sử dụng các kết nối dial-up VPN client sử dụng địa chỉ liên mạng IP cho việc tạo mã hoá, Point-to-Point kết nối ảo cho gateway VPN trên mạng riêng Người sử dụng thiết lập một kết nối VPN với một cổng gateway VPN bằng cách kết nối đến Internet ISP Nhân viên công ty đang ở xa có thể quay số đến ISP địa phương và thiết lập một kết nối VPN đến mạng của công ty
3.0 Dial-up Remote Connection
Các kết nối quay số từ xa (Dial-up Remote Connection) có một client truy cập từ
xa, server truy cập từ xa và một hạ tầng mạng WAN Giao thức truy cập từ xa điều khiển việc truyền dữ liệu trên WAN và các giao thức LAN điều khiển việc truyền dữ liệu trên các mạng cục bộ Sau đây là các lựa chọn khi sử dụng Dial-up remote connection:
Remote Access Client: Client truy cập từ xa có thể là một máy tính bất kì nào
chạy hệ điều hành Microsoft Bất kỳ một máy tính sử dụng hệ điều hành của Microsoft hay Unix hay Apple Mac có sử dụng giao thức PPP điều có thể kết nối đến Windows 2003 Remote Access Server Client cũng có thể quay số đến một giao thức SLIP(Serial Line Interface Protocol), đây là giao thức quay số kết thừa không có bất kì một sự an toàn, độ tin cậy hoặc hiệu xuất so với giao thức PPP Windows Server 2003 không hỗ trợ kết nối quay số SLIP
Remote Access Service Server: Server này chấp nhận các kết nối quay số và trả
lại các gói giữa các Remote Access Client và Remote Access Server
Hạ tầng WAN và thiết bị Dial-up: Các thiết bị dial-up tại các máy tính client có
thể có nhiều loại khác nhau cho các kết nối logic hoặc vật lý đến các server truy
Trang 4cập từ xa Các loại khác nhau của các thiết bị Dial-up có thể được sử dụng cho việc kết nối đến server:
Public Switched Telephone network(PSTN): Loại mạng này hữu ích trong
việc truyền âm thanh những nó sử dụng nhỏ trong việc truyền dữ liệu Các thiết
bị dial-up bao gồm các modem tương tự cho cả client và server từ xa Trong trường hợp tổ chức lớn thì có bank modem, chứa đựng hàng trăm modem để thực hiện tối đa 33.600 bit/s
Digital Links and V 90: Bằng cách sử dụng modem V.90 chúng ta có thể gửi
dữ liệu 33.6 Kbps và có thể nhận dữ liệu với 56 Kbps Tốc độ V.90 chỉ có thể được thực hiện khi client truy cập là sử dụng một modem V.90, RAS server sử dụng một chuyển mạch số V.90 và một liên kết số cho việc kết nối đến một PSTN và chuyển đổi analog-to-digital không được thực hiện giữa RAS server
và client truy cập từ xa
Intergated Services Digital Network: Một tập các đặc điểm kĩ thuật quốc tế
được hiểu là ISDN, nó được tạo ra để thay thế PSTN ISDN có thể sử dụng fax, voice, data và các dịch vụ khác trong một mạng kĩ thuật số đơn Thời gian kết nối và tỉ lệ truyền tải dữ liệu cao khi được so sánh với PSTN Một kênh PSTN
có thể được thực hiện 64 Kbps và cũng không có việc chuyển đổi analog-to-digital xảy ra Đa kênh được đưa ra bởi ISDN
ADSL: Dựa trên các khách hàng và các giao dịch nhỏ một kĩ thuật lặp địa
phương mới được gọi là Asymmetric Digital Subscriber Line (ADSL) được sử dụng Tốc độ bit cao hơn PSTN và ISDN có thể nhưng tốc độ bit khác trong quá trình thu thập và xuất dữ liệu Chúng ta có thể thực hiện tốc độ là 64 Kbps
từ khách hàng và 1.544 Mbps đến khách hàng
X.25: Một chuẩn quốc tế cho việc truyền tải dữ liệu trên mạng chuyển mạch
gói công côngk được gọi là X.25 Windows 2003 hỗ trợ X.25 bằng cách tạo ra
để sử dụng card smart X.25, nó kết nối trực tiếp đến mạng dữ liệu X.25 bằng cách sử dụng giao thức X.25 cho việc thiết lập các kết nối và truyền tải dữ liệu Windows 2003 cũng có thể hỗ trợ X.25 bằng kết nối trực tiếp đến mạng X.25 bằng cách sử dụng card smart X.25
Remote Access Protocols: Các giao thức điều khiển truy cập từ xa như thế nào đó
để các kết nối được thiết lập và bằng cách nào đó truyền tải dữ liệu trên các liên kết WAN Server cùng với hệ điều hành của client và giao thức LAN quyết định các giao thức mạng mà các client có thể sử dụng Các giao thức truy cập từ xa được hỗ trợ bởi Windows 2003 là:
Trang 5 PPP: PPP là giao thức truy cập từ xa thường xuyên được sử dụng nhất, nó cho
phép các client và các server chạy trong các mạng đa nhà cung cấp (multivendor)
Microsoft Remote Access Protocol: Các máy client đang chạy trên Windows
NT 3.1, MS-DOS hoặc LAN manager thì cần sử dụng giao thức NetBEUI và server cần sử dụng giao thức RAS như một gateway cho các client này Trong trường hợp các máy client đang chạy Windows 2000 thì giao thức RAS có thể
sử dụng cho việc kết nối đên Windows NT 3.1, MS-DOS, LAN manager, Windows for Workgroup server
Serial Line Internet Protocol(SLIP): Các server truy cập từ xa trước kia sử
dụng SLIP, Windows 2003 không hỗ trợ SLIP
AppleTalk Remote Access Protocol(ARAP): Giao thức ARAP có thể được sử
dụng cho kết nối đến các client Apple Macintosh đến server truy cập từ xa
LAN Protocol: Để truy cập các tài nguyên trên RAS server, các máy tính client
tạo ra để sử dụng các giao thức LAN Các giao thức TCP/IP, NetBEUI, Nwlink và AppleTalk là các giao thức LAN được hỗ trợ bởi Windows 2003
4.0 Vitual Private Network Connection
Các User luôn di chuyển hoặc làm việc từ nhà có thể sử dụng mạng riêng ảo(VPN) cho kết nối đến server từ xa Nó tạo ra để sử dụng hạ tầng của routing được cung cấp bởi internet Kĩ thuật cũng cho phép các tổ chức kết nối với các văn phòng địa phương trong việc bảo vệ an toàn các kết nối Kết nối VPN hoạt động như môt liên kết dành cho WAN User từ xa gọi đến ISP địa phương, sau đó một VPN tạo ra liên kết dial-up user và VPN server Chúng ta có thể hoặc là sử dụng các đường danh riêng hoặc là các đường quay số cho các kết nối đến mạng trên Internet
Dedicated Lines: Văn phòng chi nhánh và văn phòng công ty mẹ có thể kết nối vơi nhau bằng cách sử dụng internet Router văn phòng chi nhánh và router công ty mẹ có thể kết nối đến Internet bằng cách sử dụng một đường cục bộ dành riêng và ISP địa phương Kết nối ISP là được sử dụng để tạo ra một kết nối VPN giữa hau router
Dial-up Lines: Router tại văn phòng chi nhánh sẽ gọi lên ISP địa phương còn hơn
là tạo ra một cuộc gọi đuờng dài đến router của công ty mẹ hoặc NAS(Netửok Access Server) Sử dụng kết nối đến ISP địa phương, kết nối VPN được tạo ra giữa các hub Router của công ty mẹ và router của văn phòng chi nhánh Chỉ có vấn đề với các đường quay số là router tại công ty mẹ phải được kết nố đến ISP địa phương 24 giờ/ngày Một số
dữ liệu có thể hỏng và không thể được truy cập bằng các kết nối mạng cục bộ LAN Vì vậy để khắc phục vấn đề này VPN cho phép công ty trở thành kết nối vật lý để nối đến tập
Trang 6đoàn Internetwork nhưng tại cùng một điểm thời gian được tách rời bởi các VPN Server Trong tương lai dữ liệu truyền qua VPN có thể được mã hoá an toàn hơn
4.1 Kĩ thuật đường hầm (Tunnel)
Để truyền tải các đơn vị dữ liệu như các frame hoặc các packet một phương pháp được gọi là Tunnel được sử dụng, mà nó sử dụng hạ tầng liên mạng để thực hiện điều này Một tunnel là đường dẫn logic thông qua đó các gói tin được chuyển qua liên mạng Trong phương pháp này frame được đóng gói với việc bổ xung thêm header chứa thông tin định tuyến Điều này giúp cho các frame đi qua được các liên mạng trung gian Các gói tin được đóng gói thì được gửi đi giữa các điểm cuối tunnel Các frame được mở gói khi đi đến đích trên liên mạng và được chuyển đến đích cuối cùng Cả tunnel client và tunnel server phải sử dụng các giao thức tunnel tương tự để thiết lập một tunnel Một số giao thức tunnel là PPTP và L2TP Sự phân phối dự liệu tin cậy là không được bảo đảm khi sử dụng một tunnel Datagram được dựa trên giao thức như các giao thức UDP hoặc GRE được sử dụng cho truyền tải dữ liệu Tunnel client khởi tạo thành tunnel từ một đầu cuối Tunnel server tại một điểm cuối khác nhận yêu cầu Tunnel phải được tạo ra đầu tiên sau đó dữ liệu được bắt đầu truyền đi Quá trình kết nối tương tự quá trình kết nối đến PPP Tunnel server trả lời cho việc xác thực User trước khi truyển tải dữ liệu Kể từ đó client xác thực chính nó, quá trình truyền tải dữ liệu bắt đầu qua tunnel Các tunnel được thiết lập phải được duy trì cho PPTP và L2TP Hai đầu cuối của tunnel phải biết mỗi trạng thái khác trong trường hợp một kết nối thất bại Kết thúc của các tunnel thu được một cách định kì khi dữ liệu không được truyền tải để kiểm tra nếu kết nối không còn hoạt động Quá trình này được gọi là quá trình keep-alive Một kết nối mĩ mãn của tunnel có thể được thực hiện từ mỗi đầu cuối của tunnel Điều này được thực hiện bằng cách thay đổi các thông điệp kết thúc tunnel giữa hai đầu cuối
4.2 Các giao thức VPN
Các giao thức được sử dụng cho VPN bởi Windows 2003 là PPTP, L2TP, IPSec và IP-IP Các giao thức này có thể làm việc độc lập hoặc cùng nhau
- Point-to-Point Tunneling Protocol (PPTP): Giao thức PPTP là một sự mở rộng
của giao thức PPP, nó đóng gói các frame PPP trong các IP datagram Sau đó các IP Datagram được chuyển trên liên mạng IP như là Internet PPP được tạo để sử dụng cho các kết nối TCP để bảo vệ đường hầm(tunnel) Sự thay đổi GRE được tóm lược các frame PPP được sử dụng cho đường hầm dữ liệu Các frame PPP này có thể được nén hoặc mã hoá để đảm bảo an toàn Các phương pháp xác thực tương tự được sử dụng bởi các kết nối PPP mà nó được sử dụng cho quá trình xác thực các tunnel PPP Nó thừa kế quá trình nén và mã hoá các PPP các đơn vị dữ liệu từ PPP Nó cũng có thể được sử dụng cho các mạng riêng LAN-to-LAN
Trang 7- Layer 2 Tunneling Protocol: Giao thức L2TP cung cấp một tunnel giữa các
domain không có tin cậy trong một mạng tương tự giao thức PPTP Cả hai giao thức này cung cấp việc bắt đầu đóng gói dữ liệu sử dụng PPP Giao thức L2TP cấu thành từ PPTP
và L2F(Layer 2 Forwarding) Nó đóng gói các frame PPP, nó có thể được gửi trên IP, frame relay, X.25 hoặc mạng ATM L2TP có thể được sử dụng như giao thức tunnel trên Internet nếu nó sử dụng IP như là truyền tải của nó Sự bảo vệ Tunnel L2TP sử dụng UDP
và một dãy các thông điệp điều khiển L2TP Xa hơn nữa sử dụng UDP để gửi các frame PPP như tunnel data Chúng ta có thể nén hoặc mã hoá các frame PPP đã được đóng gói L2TP sử dụng IPSec trong việc mã hoá để mã hoá các frame PPP Đó là một cách cụ thể
để tạo ra các client để kết nối đến mạng truy cập các server và cũng cho kết nối gateway-to-gateway L2TP có thể cung cấp đa giao thức hỗ trợ cho các giao thức mạng khác nhau như IPX và AppleTalk sử dụng PPP PPP cũng cung cấp việc xác thực user như CHAP, MS-CHAP phiên bản 2 và EAP Do đó, L2TP trên IPSec cung cấp thao tác việc xác định tunnel rõ ràng mà nó cung cấp sự an toàn chắc chắn
- IPSec: IPSec cung cấp việc xác thực toàn bộ và riêng lẻ về IP IPSec cung cấp hai
loại tunnel: Encapsulating Security PayLoad(ESP) cho việc xác thực, sự tách biệt và tính toàn vẹn và Authentication Header (AH) định dạng nó cho việc xác thực và tính toàn vẹn nhưng không cách biệt IPSec có thể không được sử dụng trong hai chế độ là: Transport Mode và Tunnel Mode Chế độ Transport bảo đảm tồn tại một gói IP từ nguồn tới đích Trong trường hợp chế độ tunnel tồn tại một gói IP đưa vào trong một gói IP mới và được gửi đến điểm cuối tunnel Các chế độ này có thể được đóng gói hoặc là ESP header là AH header Chế độ Transport IPSec được thiết kế để cung cấp an toàn cho IP truyền thông giữa các hệ thống truyền thông and-to-and Chế độ Tunnel IPSec được thiết kế cho các router mạng hoặc các gateway để an toàn truyền thông IP khác bên trong IPSec tunnel IPSec tunnel kết nối giữa một IP riêng các mạng và IP mạng khác trên mạng IP ảo hoặc mạng công cộng Internet Key Exchange (IKE) được sử dụng để thực hiện việc điều hành truyền thông an toàn phức tạp giữa 2 máy tính
- IP-IP: IP-IP hoặc IP trong IP là một phương thức tunnel đơn Sử dụng phương
thức này đến truyền thông tunnel multicast trên các khu vực mạng, nó không hỗ trợ định tuyến multicast Việc bổ xung IP header được tạo ra trong việc đóng gói các gói IP do đó phải tạo một mạng ảo Cấu trúc IP-IP cấu trúc thành bên ngoài IP header, bên trong IP header, tunnel và IP payload Payload này bao gồm UDP, TCP và dữ liệu
5.0 Cài đặt và cấu hình RRAS
5.1 Cài đặt và cấu hình trên Server
Trong Windows 2003 dịch vụ RRAS được cài đặt một cách tự động trong quá trình cài đặt Windows 2003 nhưng ở dạng disable Sử dụng snap-in Routing and Remote
Trang 8Access chúng ta có thể cho phép thiết lập cấu hình RRAS Theo mặc định thì Windows Server 2003 cục bộ được liệt kê như một RRAS Server Việc thêm máy tính có thể được thêm tại mục gốc Routing and Remote Access hoặc mục Server Status Để cài đặt RRAS chúng ta làm như sau: Start\ Program\ Administrative Tools\ Routing and Remote Access Cửa sổ Routing and Remote Access mở ra, chúng ta chọn tên server cần thiết lập, chuột phải chọn Configure and Enable Routing and Remote Access
Tiếp theo một cửa sổ wizard hiện ra Dịch vụ RRAS được cho phép và được cấu hình tuỳ theo việc chọn lựa của chúng ta trong wizard Các máy tính sử dụng dịch vụ wizard phải có các địa chỉ IP của lớp A, B hoặc C riêng của chúng Các địa chỉ này đựoc dành riêng một cách cụ thể cho các mạng riêng sử dụng Sau khi config chúng ta cũng có thể cho phép Disable dịch vụ này, sau khi disable dịch vụ thông tin đăng kí được gỡ bỏ và các client kết nối cũng được huỷ kết nối Next
Một cửa sổ gồm các lựa chọn cho việc thiết lập truy cập từ xa hiện ra:
Remote Access(Dial-up or VPN): Cho phép thiết lập các kết nối Dial-up hoặc VPN server
Nework Address Translation (NAT): Thiết đặt cho phép các IP bên trong mạng có thể ra ngoài Internet bằng việc sử dụng Public địa chỉ IP
Vitual Private Network (VPN) and NAT: thiết lập sử dụng VPN cùng với NAT
Secure connection between to private network: Kết nối mạng với các mạng ở xa
Custom configuration: cho phép thiết đặt các tuỳ chọn khác có trong Routing and Remote Access
Trang 9Do thời gian và điều kiện không có đủ cơ sở hạ tầng mạng như Router, switch và đường ADSL và các máy tính nên em chỉ cấu hình dịch vụ này ở dạng VPN ở mức đơn giản nhất Chọn Remote Access và Next
Tiếp theo cửa sổ hiện ra cho phép chúng ta chọn kiểu kết nối VPN hay Dial-up hay
cả hai, chọn cả hai kiểu kết nối và Next
Trang 10Tiếp theo mục VPN connection cho phép lựa chọn card mạng nào sẽ là card mạng dùng để kết nối với Internet bên ngoài Vì cấu hình RRAS nên tối thiểu máy chủ RRAS phải có hai card mạng, một card mạng nối với modem ra ngoài Internet và một card nối với mạng LAN bên trong Internet (phân biệt bằng cách đặt IP theo lớp mạng) Chọn card mạng mà chúng ta nối ra ngoài Internet, lựa chọn dòng dưới là Enable security cho card mạng được lựa chọn để thiết đặt bảo, ấn Next
Tiếp theo là lựa chọn card mạng bên trong mạng LAN, card mạng mà VPN client truy cập tới VPN server Lựa chọn card mạng và ấn Next