Đề tài VPN

Virtual Private Networks (VPN) hay gọi theo tiếng Việt là Mạng Riêng Ảo, cho phép bạn mở rộng phạm vi mạng nội bộ bằng cách sử dụng lợi thế của internet. Kỉ thuật VPN cho phép bạn kết nối với một host nằm xa hàng ngàn dặm với mạng LAN của bạn và làm cho nó trở thành một node hay một PC nữa trong mạng LAN.

Trang 1

E-mail: training@athenavn.com – URL: www.athenavn.com

MỤC LỤC

Trang Lời nói đầu 2

I - Các bước chuẩn bị khi muốn giả lập môi trường mạng WAN

và sử dụng Multimaster Domain Controller 5

II - Mô hình VPN 10

III - Cách tạo kết nối VPN của máy router1 (HCM) 11

IV - Cách tạo DEMAND_DIAL để quay số t ừ router1 (HCM) đến router2 (HN)

ở xa bằng VPN 15

V - Cách tạo kết n ối VPN của máy router2 (HN) 23

Trang 2

VIII - Lập DNS lên domain cho server primary 41

IX - Quá trình dựng Domain controller cho server ở HCM

48

X - Quá trình dựng Domain controller cho server ở HN 54

XI - Quá trình tích hợp hai server dùng chung một database

56

Trang 3

LỜI NÓI ĐẦU

VPN là giải pháp truy nhập từ xa (remote access) dựa trên nền tảng mạng Internet công cộng Đây là một giải pháp kinh tế, có tính bảo mật cao, một giải pháp của tương lai

I VPN là gì?

Virtual Private Networks (VPN) hay gọi theo tiếng Việt là Mạng Riêng Ảo, cho phép bạn mở rộng phạm vi mạng nội bộ bằng cách sử dụng lợi thế của internet Kỉ thuật VPN cho phép bạn kết nối với một host nằm xa hàng ngàn dặm với mạng LAN của bạn và làm cho nó trở thành một node hay một PC nữa trong mạng LAN Một đặc điểm nữa của VPN

là sự kết nối giữa clients và mạng ảo của bạn khá an toàn như chính bạn đang ngồi trong cùng một mạng LAN

Các kênh truyền riêng ảo sẽ được thiết lập giữa các đầu cuối thông qua mạng Internet công cộng, giúp cho các nhân viên có thể truy cập về mạng LAN trong công ty mình bất cứ lúc nào, bất cứ nơi đâu , chỉ cần có kết nối được tới Internet

Các hệ điều hành Windows 2000 Server cho phép bạn thiết lập VPN server bằng cách sử dụng lợi thế có sẳn trong RRAS (Remote Routing Access Service) Sau khi thiết lập một server thành VPN server thì các clients có thể gọi vào và truy cập những tài nguyên trong mạng nội bộ hay còn gọi là LAN như là đang kết nối trực tiếp với network

đó

Trang 4

II Ưu điểm của VPN so với các giải pháp truy cập từ xa truyền thống

Trước đây, để truy nhập từ xa ta thường dùng giải pháp quay số (dial-in), thuê các đường truyền riêng, thuê kênh riêng trong dịch vụ truyền dữ liệu gói Tuy nhiên các giải pháp này có những hạn chế nhất định

Giải pháp thuê kênh riêng hoặc đường truyền riêng:

- Chi phí cho việc thuê đường truyền riêng hoặc kênh truyền riêng là rất đắt

- Không thể đáp ứng việc kết nối từ mọi nơi, mọi lúc

- Khi số điểm kết nối tăng (n) thì số kết nối cần thuê tăng lên rất nhiều n*(n-1)/2

Giải pháp quay số từ xa:

- Giá thành khi thực hiện các cuộc quay số ngoại hạt cao

- Hạn chế bởi tốc độ đường truyền điện thoại thông thường 56K

- Số lượng kết nối đồng thời hạn chế

Trang 5

Ñ Trong khi đó, giải pháp VPN đem lại cho chúng ta rất nhiều lợi ích :

¾ Khả năng linh hoạt cao, có thể kết nối bất cứ khi nào, bất cứ nơi đâu, chỉ cần ở đó có thể truy cập Internet

¾ Giá thành rẻ, chỉ mất chi phí cho việc truy cập Internet thông thường (giảm từ 60%- 80% chi phí cho các Client truy cập từ xa)

¾ Băng thông không bị hạn chế, chỉ phụ thuộc vào tốc độ đường truyền Internet mà bạn xử dụng

¾ Số lượng kết nối đồng thời lớn

¾ Đảm bảo khả năng bảo mật cao với các cơ chế mã hoá

¾ Quản lý các kết nối dễ dàng thông qua các Account người dùng

III.Một số bài toán thực tế

Các doanh nghiệp qui mô vừa và nhỏ:

a Bài toán:

Công ty A, có hệ thống mạng, máy chủ Hà Nội, với 100 máy trạm, mail server, file server lưu dữ liệu Chi nhánh ở Hồ Chí Minh với khoảng 20 máy Yêu cầu đặt ra là giải pháp để các thành viên ở Hồ Chí Minh có thể truy cập được Dữ liệu trên Server tại Hà Nội, một số nhân viên thường xuyên đi công tác có thể kết nối từ xa về hệ thống dữ liệu của công ty, cấu trúc mạng đơn giản, dễ quản trị, giá thành thấp

b.Giải pháp:

Tại Hà Nội ta sẽ dùng 1 máy tính làm chức năng Routing

Tại Hồ Chí Minh cũng dùng 1 máy tính làm chức năng Routing tương tự

Các nhân viên khi đi công tác muốn kết nối từ xa về hệ thống mạng của công ty

Chỉ cần tạo 1 kết nối từ nơi nhân viên muốn kết nối và nơi đó có thể lên mạng được là có thể kết nối được

Trang 6

c.Hạch toán chi phí:

Chi phí rất tiết kiệm, ngoài các chi phí để thuê đường truyền Internet tại Hà Nội và HCM, nếu hệ thống mạng LAN đã có sẵn, ta chỉ việc đăng ký với ISP 1 địa chỉ IP tĩnh, Các nhân viên lưu động có truy cập từ xa về mạng mình ở bất cứ điểm truy cập Internet nào (trong nước, quốc tế)

Trang 7

Các bước chuẩn bị khi muốn giả lập 1 môi trường

Các bước chuẩn bị về phần cứng :

Đầu tiên các bạn cần đến 4 cái máy tính (PC) và tất cả đều cài HĐH server (win

2000 server,win 2003 server…).Trong 4 cái PC thì 2 cái phải có 1 card mạng(máy để làm domain controller) và 2 máy có 2 card mạng(máy dùng làm chức năng Routing) và 3 sợi dây cáp UTP để kết nối các máy với nhau,lưu ý là phải bấm đầu cáp cho 3 sợi dây đó với chuẩn cáp chéo vì ở đây chúng ta nối các PC trưc tiếp với nhau

Sau khi đã chuẩn bị về phần cứng xong bây giờ chúng ta bắt đầu thực hành

* Trước tiên các bạn đặt địa chỉ IP cho các PC như sau :

Vídụ : có 4 PC ( server1, server2, router1, router2)

Server1 tên là DC1 dùng làm Domain Primary (máy này có 1 card mạng)

Card này của Server1 có địa chỉ IP như sau:

Trang 8

IP của server1

Server2 có tên là DC2 dùng làm Domain secondary(cái này cũng có 1 card mạng)

Card mạng này của PC2 có địa chỉ IP như sau :

Trang 9

IP của server2

Cả 02 máy dùng làm Domain này bắt buộc có lớp mạng khác nhau

Router1 dùng làm chức năng Routing trong mạng LAN có địa chỉ IP là 192.168.1.x (máy này có 2 card mạng được đặt tên là card trong và card ngoài )

Card trong của Router1 dùng để liên lạc trong mạng LAN nên có địa chỉ như sau:

Trang 10

IP card trong của

Card ngoài của Router1 dùng để giả lập môi trường VPN nên sẽ có địa chỉ như sau:

Trang 11

IP card ngoài của

Router2 dùng làm chức năng Routing trong mạng LAN có địa chỉ IP là 192.168.2.x

( tương tự router1 máy này cũng có 2 card mạng có tên là card trong và card ngoài)

Card trong của router2 dùng để liên lạc trong mạng LAN nên có địa chỉ như sau:

Trang 12

IP card trong của

Card ngoài của router2 dùng để giả lập môi trường VPN nên

có địa chỉ như sau:

Trang 13

IP card ngoài của

Trang 14

tất , ta mới tiếp tục các phần còn lại

Trang 15

Trang 16

* Đầu tiên thiết lập trên hai máy router1 và router2 để dùng làm routing cho hệ thống mạng :

CÁCH TẠO KẾT NỐI VPN CỦA MÁY ROUTER1 (HCM)

Click chuột vào Start >administrative tools>Routing and Remote Access Click chuột vào tên máy>chọn Configure and enable Routing and Remote Access

Trang 17

Click Next

Trang 18

Để mặc định như trong hình và click Next

Trang 19

Click Chọn Automatically >click Next

Trang 20

Click chọn No,use Routing and Remote Access to authenticate connection requests Click Next

Trang 21

Click Finish

Click OK (chờ khoảng 15 giây “Routing and Remote Access” sẽ được bật)

Trang 22

CÁCH TẠO DEMAND-DIAL ĐỂ QUAY SỐ TỪ ROUTER1(HCM) ĐẾN

ROUTER2(HN) Ở XA BẰNG VPN

Bật Routing and Remote Access >click phải chuột vào Network Interface >chọn new Demand-Dial Interface…

Trang 23

Click Next để tiếp tục

Trang 24

Điền tên cho cái interface khi kết nối máy ở xa (vidụ:Hanoi)

Trang 25

Click chọn vào Connect using virtual private networking (VPN)

Sau đó click Next.

Trang 26

Click chọn Automatic selection>Next

Trang 27

Đánh địa chỉ IP muốn kết nối đến (vidụ: 203.162.4.2).> Click Next

Click chọn vào cả hai dấu check.>Click Next

Trang 28

Click vào Next để thiết lập “Static Routes”.(nó có nhiệm vụ dẫn đường để 2 máy có địa chỉ IP khác subnet mask có thể tương tác với nhau)

Điền địa chỉ IP của mạng mà mình muốn kết nối đến.(ví dụ địa chỉ IP trong mạng lan của mình là 192.168.1.x mình muốn kết nối đến mạng 192.168.2.x thì mình điền vào 192.168.2.0 và network Mask là 255.255.255.0 sau đó Click OK.)

Trang 29

Click Next Để tiếp tục

Trang 30

Đặt Password cho user HN trên máy Local,sau này máy khác sẽ tạo 1 cái demand-dial với user này để nối vào máy local

Trang 31

Đìền user name và password của máy mà mình muốn kết nối(máy password:123456 sau này máy HN sẽ tạo 1 user name và password như vậy để máy mình kết nối

HN).vídụ:user:hcm-Click Finish để hoàn tất

Sau khi hoàn tất các bước sau nếu máy làm router chưa cài DHCP thì phải làm thêm 1 bước là tạo Static Address Pool để máy khác khi kết nối đến sẽ được cấp 1 địa chỉ IP

Trang 32

ở cửa sổ kế tiếp chọn vào tab IP đánh vào dấu check ở phần Static Address Pool như trong hình.và Click vào Add

Trang 33

Trong hộp thoại New Address Range điền dãy IP mà muốn cấp cho máy từ xa khi kết nối vào máy mình bằng VPN vào 2 ô Start IP Address và End IP Address và dãy IP đó bắt buột phải Khác “Net ID” vídụ ở đây điền là 192.168.3.20 và 192.168.3.25.(vì ở đây kết nối 2 mạng 192.168.1.x và 1923.168.2.x nên dãy IP phải khác 2 cái IP này)

Trang 34

Click OK để hoàn tất

CÁCH TẠO KẾT NỐI VPN CỦA MÁY ROUTER2 (HA NOI)

Click chuột vào Start >administrative tools>Routing and Remote Access Click chuột vào tên máy>chọn Configure and enable Routing and Remote Access

Trang 35

Click Next

Trang 36

Check vào dấu chọn Remote Access(dial-up or VPN)

Click Next

Trang 37

Để mặc định như trong hình và click Next

Trang 38

Click Chọn Automatically >click Next

Trang 39

Click chọn No,use Routing and Remote Access to authenticate connection requests Click Next

Trang 40

Click Finish

Click OK (chờ khoảng 15 giây “Routing and Remote Access” sẽ được bật)

Trang 41

ROUTER1(HCM) Ở XA BẰNG VPN

Bật cái Routing and Remote Access >click phải chuột vào Network Interface >chọn new Demand-Dial Interface…

Trang 42

Click Next để tiếp tục

Trang 43

Điền tên cho cái interface khi kết nối máy ở xa (vidụ:hcm vi máy ở HCM đã tạo 1 user hcm

để máy này kết nối đến)

Trang 44

Click chọn vào Connect using virtual private networking (VPN)

Sau đó click Next

Trang 45

Click chọn Automatic selection>Next

Trang 46

Đánh địa chỉ IP muốn kết nối đến (vidụ: 203.162.4.1).> Click Next

Trang 47

Click chọn vào cả hai dấu check.>Click Next

Trang 48

Click vào Next để thiết lập “Static Routes”.(nó có nhiệm vụ dẫn đường để 2 máy có địa chỉ IP khác subnet mask có thể tương tác với nhau)

Điền địa chỉ IP của mạng mà mình muốn kết nối đến.(ví dụ địa chỉ IP trong mạng lan của mình là 192.168.2.x mình muốn kết nối đến mạng 192.168.1.x thì mình điền vào 192.168.1.0 và network Mask là 255.255.255.0 sau đó Click OK.)

Trang 49

Click Next Để tiếp tục

Trang 50

Đặt Password cho user hcm trên máy Local,sau này máy ở TP.HCM sẽ tạo 1 cái dial với user này để nối vào máy local

Trang 51

Đìền user name và password của máy mà mình muốn kết nối

vídụ:user:hanoi-password:123456

Trang 52

Click Finish để hoàn tất

Sau khi hoàn tất các bước sau nếu máy làm router chưa cài DHCP thì phải làm thêm 1 bước là tạo Static Address Pool để máy khác khi kết nối đến sẽ được cấp 1 địa chỉ IP Đầu tiên bật cái Routing And Remote Access lên Click chuột phải vào tên máy(có chữ LOCAL phía sau) > chọn Properties

Trang 53

ở cửa sổ kế tiếp chọn vào tad IP đánh vào dấu check ở phần Static Address Pool như trong hình.và Click vào Add

Trang 54

Trong hộp thoại New Address Range điền dãy IP mà muốn cấp cho máy từ xa khi kết nối vào máy mình bằng VPN vào 2 ô Start IP Address và End IP Address và dãy IP đó bắt buột phải Khác “Net ID” vídụ ở đây điền là 192.168.3.20 và 192.168.3.25.(vì ở đây kết nối 2 mạng 192.168.1.x và 1923.168.2.x nên dãy IP phải khác 2 cái IP này)

Click OK để hoàn tất

Trang 55

* Sau khi hoàn tất quá trình tạo routing cho hệ thống ta tiến hành tạo DNS zone để lên Domain

THIẾT LẬP DNS ĐỂ LÊN DOMAIN CHO

SERVER PRIMARY

1 Đầu tiên cài dns cho máy từ windows component :

Trang 56

2 Sau khi cài xong DNS,vào Start\administrative tools chạy DNS (hoặc vào start\run chạy: dnsmgmt.msc) để tạo zone cho DNS (trước khi tạo zone phải đổi tên máy thành dạng DNS Name, VD: DC1.athena.com…,và máy phải có IP tĩnh)

3 Click phải lên Forward lookup zones để tạo zone chuyển đổi từ name sang IP :

- Chọn “next” để tiếp tục

Trang 57

- Chọn “primary zone” và click “next” ,ta chọn như vậy bởi vì nó là zone chính của domain này ( master zone )

Trang 58

Trang 59

Trang 60

- Chọn “allow both nonsecure and secure dynamic updates” và chọn “next” để tiếp tục

Trang 61

- “Finish” để hoàn tất quá trình tạo “forward lookup zones”

4 Click phải lên “reverselookup zones” và chọn “new zone” để tạo zone chuyển đổi từ

IP sang Name :

- Quá trình tiến hành tương tự như tạo “forward lookup zones”

- Chỉ khác những bước sau :

Trang 62

+ Chọn phần “netword ID” và nhập vào net ID của máy server primary

Trang 63

+ Chọn “create a new file with this file name” và chọn ”next”

+ “Finish” để hoàn tất quá trình tạo “reverse lookup zones”

Trang 64

QUÁ TRÌNH THIẾT LẬP DNS ĐỂ LÊN DOMAIN

CHO SERVER SECONDARY

1 Đầu tiên cài dns cho máy từ windows component :

- Chọn “networking services” và bấm details để chọn DNS

- Bấm next để tiến hành cài đặt DNS (có thể phải bỏ đĩa source 2003 vào)

2 Sau khi cài xong DNS,vào Start\administrative tools chạy DNS (hoặc vào start\run chạy: dnsmgmt.msc) để tạo zone cho DNS (trước khi tạo zone phải đổi tên máy thành dạng DN Name,VD:DC2.athena.com…,và máy phải có IP tĩnh)

3 Click phải lên Forward lookup zones để tạo zone chuyển đổi từ name sang IP :

Trang 65

Trang 66

- Tiếp theo chọn “forward lookup zone”

Trang 67

Nhập tên zone(domain name)

Trang 68

- Nhập vào “IP address” địa chỉ IP của máy server primary

- “Next” để tiếp tục

Trang 69

- “Finish” để hoàn tất quá trình tạo forward lookup zone

Tiêu đề	VPN
Trường học	Training & Education Network
Thể loại	Đề tài
Thành phố	Hồ Chí Minh

Định dạng
Số trang	91
Dung lượng	1,41 MB