Thí nghiệm TTDL & Mạng máy tính - Bài 3: VPN (VIRTUAL PRIVATE NETWORK)

Chia sẻ: Trần Bảo Quyên Quyên | Ngày: | Loại File: PDF | Số trang:19

0
186
lượt xem
115
download

Thí nghiệm TTDL & Mạng máy tính - Bài 3: VPN (VIRTUAL PRIVATE NETWORK)

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

VPN cung cấp kết nối mạng với khoảng cách dài. Về một khía cạnh nào đó có thể hiểu VPN như là WAN. Tuy nhiên đặc điểm quan trọng của VPN là khả năng sử dụng mạng có sẵn như là Internet thay vì là các đường truyền thuê riêng. Kỹ thuật VPN thực hiện mạng truy nhập hạn chế nhưng vẫn sử dụng cáp và router của mạng công cộng điều này được xem như bảo mật cơ bản.

Chủ đề:
Lưu

Nội dung Text: Thí nghiệm TTDL & Mạng máy tính - Bài 3: VPN (VIRTUAL PRIVATE NETWORK)

  1. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính BAØI 3 : VPN (VIRTUAL PRIVATE NETWORK) I. Lý thuyết chung cho VPN • VPN cung cấp kết nối mạng với khoảng cách dài. Về một khía cạnh nào đó có thể hiểu VPN như là WAN. Tuy nhiên đặc điểm quan trọng của VPN là khả năng sử dụng mạng có sẵn như là Internet thay vì là các đường truyền thuê riêng. Kỹ thuật VPN thực hiện mạng truy nhập hạn chế nhưng vẫn sử dụng cáp và router của mạng công cộng điều này được xem như bảo mật cơ bản. • VPN có thể hổ trợ sử dụng 3 mô hình khác nhau: - Kết nối client truy xuất từ xa: VPN có thể được thiết kế với hỗ trợ truy xuất có bảo vệ từ xa tới mạng công ty qua Internet. Sử dụng mô hình client/server như sau: o Máy client muốn truy cập vào mạng công ty thì trước tiên phải kết nối đến bất kỳ ISP nào cung cấp dịch vụ Internet. o Tiếp theo Client phải khởi tạo kết nối đến server VPN của công ty. Kết nối này được thực hiện bằng phần mềm VPN client được cài đặt trên máy host ở xa. o Ngay khi kết nối được thiết lập máy client có thể lên lạc với hệ thống trong công ty (các máy khác trong công ty) qua Internet như là máy trong nôi bộ công ty. - LAN to LAN Internetworking (site to site): Ngoài khả năng truy xuất từ xa, VPN có thể làm cầu nối cho 2 mạng LAN với nhau để hình thành một Intranet mở rộng. Giải pháp này cần kết nối VPN server với VPN server. Trang 49
  2. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính - Controlled access within Intranet: Mạng Intrenet cũng có thể sử dụng kỹ thuật VPN để thực hiện việc truy xuất có điều khiển đến các lớp mạng con riêng. Ở chế độ này VPN server đóng vai trò như gateway của mạng. Phương pháp này đặc biệt thích hợp để bảo mật cho các WIFI của mạng. Ưu điểm nổi bật của VPN là giá cả và khả năng bảo mật nếu dùng trong các mạng có kết nối WIFI. Nhược điểm: - VPN yêu cầu hiểu biết về khả năng bảo mật để cài đặt và cấu hình bảo vệ đối với mạng công cộng hay Internet. Chất lượng và độ tin cậy không chæ phụ thuộc vào sự điều khiển của công ty mà còn bị - ảnh hưởng bởi các ISP. - Không tương thích giữa các nhà sản xuất cung cấp thiết bị. Như vậy giá cả cũng là một vấn đề. II. Các giao thức của VPN: - Kỹ thuật VPN dựa vào ý tưởng đường hầm (tunneling). Kỹ thuật VPN tunneling đề cập đến việc thiết lập, duy trì kết nối mạng logic (có thể có các chặng trung gian). Với kết nối này các gói được xây dựng dựa vào định dạng của các giao thức VPN và được đóng gói vào các giao thức khác (chẳng hạn như gói TCP/IP) sau đó đuợc truyền đi đến client hay server và được khôi phục từ đầu thu. Có rất nhiều giao thức VPN để đóng gói vào gói IP. Các giao thức của VPN cũng hỗ trợ việc nhận dạng và mã hóa để bảo mật đường hầm. - Các dạng đường hầm của VPN: VPN hổ trợ hai dạng đường hầm là “tự nguyện” và “bắt buộc”. Đối với đường hầm tự nguyện: VPN client quản lý việc thiết lập kết nối. Trước tiên client thực hiện việc kết nối đến ISP, sau đó VPN ứng dụng tạo ra đường hầm đến VPN server qua đường hầm kết nối trực tiếp này. Đối với đường hầm bắt buộc nhà cung cấp mạng (ISP) quản lý việc thiết lập kết nối VPN. Trước tiên VPN client kết nối đến ISP và ISP thực hiện kết nối giữa client và VPN server. Nếu đứng ở VPN client thì việc kết nối chỉ thực hiện 1 bước (so với 2 bước nếu sử dụng tunneling tự nguyện). VPN tunneling bắt buộc sẽ nhận dạng client và kết hợp chúng với VPN server chỉ định bằng các kết nối logic được xây dựng sẵn trong các thiết bị kết nối gọi là VPN FEP (Front End Processor), hay NAS, POS. - Các giao thức của VPN Tunneling: Có rất nhiều giao thức mạng máy tính được sử dụng cho VPN tunneling. Tuy nhiên, 3 giao thức dưới đây là phổ biến nhất và chúng không tương thích lẫn nhau. • PPTP (Point-to-Point Tunneling Protocol) là nghi thức biến thể của Point to Point Protocol dùng truyền qua mạng dial up. PPTP thích hợp cho ứng dụng truy cập từ xa của VPN nhưng cũng hỗ trợ trong LAN Internetworking. PPTP hoạt động ở lớp 2 của mô hình OSI. Sử dụng PPTP: PPTP đóng gói dữ liệu trong gói PPP và sau đó tích hợp trong gói IP và truyền qua đường hầm VPN. PPTP hỗ trợ việc mã hóa dữ liệu và nén các gói dữ liệu này. PPTP cũng sử dụng dạng GRE (Generic Routing Encapsulation) để lấy dữ liệu và đưa đến đích cuối cùng. Trong PPTP thì VPN tunnel được tạo ra qua 2 quá trình: - PPTP client kết nối đến ISP qua đường dial up hoặc ISDN. Trang 50
  3. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính - Qua thiết bị kết nối PPTP tạo ra kết nối điều khiển TCP giữa VPN client và VPN server để thiết lập tunnel. PPTP sử dụng TCP port 1723 cho các kết nối này. - PPTP cũng hỗ trợ kết nối VPN qua LAN. Các kết nối ISP là không cần thiết trong trường hợp này vì thế đường hầm có thể tạo trực tiếp. Ngay khi đường hầm VPN được thiết lập PPTP hỗ trợ hai loại thông tin như sau: - Các thông điệp điều khiển để quản lý và đánh giá kết nối VPN. Thông điệp điều khiển có thể truyền trực tiếp giữa VPN client và Server. - Các gói dữ liệu đi qua đường hầm đến VPN client hoặc từ VPN client đi Kết nối điều khiển PPTP: ngay khi kết nối TCP được thiết lập PPTP sử dụng chuỗi các thông điệp điều khiển để duy trì kết nối VPN. Các thông điệp có trong bảng dưới đây. PPTP bảo mật: PPTP cũng hỗ trợ nhận dạng, mã hóa và lọc gói dữ liệu. Nhận dạng của PPTP cũng sử dụng EAP (Extensible Authentication Protocol), CHAP (Challenge Hanhdshake Authentication), PAP (Password Authentication Protocol). PPTP cũng hỗ trợ lọc gói dữ liệu trên VPN server. • Layer 2 Forwarding (L2F). Layer 2 Forwarding (L2F) là giao thức được phát triển bởi Cisco System cùng lúc với sự phát triển PPTP của Microsoft. Đây là một giao thức cho phép các remote host có thể truy xuất đến mạng Intranet của một tổ chức thông qua cơ sở hạ tầng mạng công cộng với tính bảo mật và khả năng quản lý chặt chẽ. Cũng như với PPTP, L2F cho phép bảo mật mạng truy xuất cá nhân thông qua hạ tầng mạng công cộng bằng việc xây dựng một tunnel thông qua mạng công cộng giữa client và host. Bởi vì là một giao thức lớp 2, L2F có thể được dùng cho các giao thức khác ngoài IP như IPX, NetBEUI. • Layer 2 Tunneling Protocol (L2TP) L2TP là sự kết hợp của PPTP và L2F. Giao thức này so với PPTP có nhiều đặc tính và an toàn hơn. L2TP sử dụng UDP như là một phương thức đóng gói cho cả sự duy trì tunnel cũng như dữ liệu người dùng. Trong khi PPTP dùng MPPE (Microsoft Point-to-Point Encryption) cho việc mã hóa, L2TP lại dựa vào một giải pháp bảo mật hơn, đó là các gói L2TP được bảo vệ bởi IPsec’s ESP sử dụng transport mode. L2TP có thể được đặt vào trong một gói IPsec, đây là việc kết hợp các ưu điểm bảo mật của IPsec và các lợi ích của sự chứng thực user, việc gán địa chỉ tunnel và cấu hình, hỗ trợ đa giao thức với PPP. L2TP cung cấp sự linh hoạt, mềm dẻo, và giải pháp kinh tế của remote access cũng như dự kết nối nhanh chóng point-to-point của PPTP. • IP security (IPsec) Cấu trúc IPsec cung cấp một framework cho việc bảo mật tại lớp IP cho cả IPv4 và IPv6. Bằng việc cung cấp sự bảo mật tại lớp này, các giao thức thuộc các lớp cao hơn như transport, application có thể sử dụng sự bảo mật IPsec mà không cần thêm bất cứ sự thay đổi nào. Trong quá trình mã hóa và chứng thực dữ liệu, IPsec sử dụng một trong hai hoặc cả hai giao thức sau để bạo mật thông tin: - Authentication header (AH): header của gói tin được mã hóa và bảo vệ phòng chống các trường hợp IP spoofing (sự giả mạo IP) hay “man in the midle Trang 51
  4. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính attack”. Tuy nhiên, trong trường hợp này chỉ có phần header của gói tin đuợc bảo vệ còn phần nội dung thông tin chính thì không. - Encapsulation Security Payload (ESP): nội dung thông tin sẽ được mã hóa, ngăn chặn các hacker đặt chương trình nghe lén và chặn bắt dữ liệu. Thông thường, khi muốn bảo vệ thông tin truyền trong mạng công cộng, người ta phải kết hợp cả hai giao thức AH và ESP. III. Bảo mật trong VPN Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet. Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua. Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp. Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN. Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật mã chung. Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được. Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng. Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì. Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn. IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước. Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, firewall với router, PC với router, PC với máy chủ. Máy chủ AAA AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép) và Accounting (kiểm soát). Các server này được dùng để đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một kết nối được gửi tới từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra. Các thông tin về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn. Trang 52
  5. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính IV. Thiết lập VPN client remote access Xét mô hình dưới đây: Gồm 5 máy đóng vai trò khác nhau trong mạng riêng ảo - Máy tính chạy Windows Server 2003, phiên bản Enterprise Edition, đặt tên là DC1, hoạt động như một trung tâm điều khiển domain (domain controller), một máy chủ DNS (Domain Name System), một máy chủ DHCP (Dynamic Host Configuration Protocol) và một trung tâm chứng thực CA (certification authority). - Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên VPN1, hoạt động như một máy chủ VPN. VPN1 được lắp đặt 2 adapter mạng. - Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IAS1, hoạt động như một máy chủ quản lý người sử dụng truy cập từ xa RADIUS (Remote Authentication Dial-in User Service). - Máy tính chạy Windows Server 2003, bản Standard Edition, mang tên IIS1, hoạt động như một máy chủ về web và file. - Một máy tính chạy Windows XP Professional, mang tên CLIENT1, hoạt động như một máy khách truy cập từ xa. Tuy nhiên để tiết kiệm ta kết hợp máy DC1,IAS1 và IIS1 sử dụng chung server. Riêng máy chủ VPN có 2 card mạng được cài đặt như sau: SIM01 là máy tính chạy Windows Server 2003, Standard Edition cung cấp các dịch vụ máy chủ VPN cho các máy client VPN. Để định cấu hình cho SIM01 làm máy chủ VPN, thực hiện các bước sau: 1. Cài đặt Windows Server 2003, Standard Edition cho máy với tư cách là server thành viên mang tên SIM01 trong domain DET1. 2. Mở thư mục Network Connections. 3. Đối với kết nối nội bộ Intranet, đặt lại tên kết nối thành "Mang Cong ty". Đối với kết nối nội bộ Internet, đặt lại tên kết nối thành "Internet". 4. Định cấu hình giao thức TCP/IP cho kết nối Mang Cong ty với địa chỉ IP là 192.167.6.2, mạng cấp dưới (subnet mask) là 255.255.255.0 và địa chỉ IP cho máy chủ DNS là 192.167.6.1. 5. Định cấu hình giao thức TCP/IP cho kết nối Internet với địa chỉ IP là 192.167.5.2 và mạng cấp dưới là 255.255.255.0. 6. Chạy trình Routing và Remote Access từ thư mục Administrative Tools. Trang 53
  6. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính 7. Trong cây chương trình, nhấn chuột phải vào SIM01 và chọn Configure and Enable Routing and Remote Access. 8. Trên trang Welcome to the Routing and Remote Access Server Setup Wizard, nhấn Next. 9. Trên trang Configuration, Remote access (dial-up or VPN) được lựa chọn mặc định. 10. Nhấn Next. Trên trang Remote Access, chọn VPN. 11. Nhấn Next. Trên trang VPN Connection, nhấn vào giao diện Internet trong Network interfaces. 12. Nhấn Next. Trên trang IP Address Assignment , chế độ Automatically được chọn mặc định. 13. Nhấn Next. Trên trang Managing Multiple Remote Access Servers, nhấn vào Yes, set up this server to work with a RADIUS server. 14. Nhấn Next. Trên trang RADIUS Server Selection, gõ 192.167.6.1 trong ô Primary RADIUS server và mã bí mật chung trong ô Shared secret. 15. Nhấn Next. Trên trang Completing the Routing and Remote Access Server Setup Wizard, nhấn Finish. 16. Bạn sẽ nhận được message nhắc phải định cấu hình DHCP Relay Agent. 17. Nhấn OK. 18. Trong cây chương trình, mở SIM01 (local), sau đó là IP Routing và kế tiếp là DHCP Relay Agent. Nhấn chuột phải vào DHCP Relay Agent rồi chọn Properties. 19. Trong hộp thoại DHCP Relay Agent Properties, gõ 192.167.6.1 trong ô Server address. 20. Nhấn Add rồi OK. Cài đặt cho Client CLIENT1 là máy tính chạy Windows XP Professional, hoạt động như một máy khách VPN và truy cập từ xa đến các tài nguyên trong Intranet thông qua mạng Internet. Để định cấu hình cho CLIENT1 làm máy khách, bạn thực hiện các bước sau: 1. Trên máy CLIENT1, cài đặt Windows XP Professional dùng account administrator để thay đổi địa chỉ IP của máy thành 192.167.5. x+50 (x là số thứ tự của máy chẳng hạn máy 22 thì IP là 192.167.5.72) 2. Tại ô Subnet mask, gõ 255.255.255.0. 3. Nhấn OK để lưu các thay đổi đối với giao thức TCP/IP. Nhấn OK để lưu các thay đổi đối với kết nối Local Area Network. 4. Khởi động lại máy CLIENT1 và log on bằng tài khoản student. 5. Trên máy CLIENT1, mở thư mục Network Connections từ Control Panel. 6. Trong Network Tasks, chọn Create a new connection. 7. Trên trang Welcome to the New Connection Wizard của New Connection Wizard, nhấn Next. 8. Trên trang Network Connection Type, Chọn Connect to the network at my workplace. Trang 54
  7. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính 9. Nhấn Next. Trên trang Network Connection, chọn Virtual Private Network connection. 10. Nhấn Next. Trên trang Connection Name, gõ VPN Client trong ô Company Name. 11. Nhấn Next. Trên trang VPN Server Selection , gõ 192.167.6.2 tại ô Host name or IP address. Trang 55
  8. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính 12. Nhấn Next. Trên trang Completing the New Connection Wizard, nhấn Finish. Hộp thoại Connect VPN Client hiện ra. 13. Nhấn vào mục Properties rồi nhấn vào thẻ Networking. 14. Trên thẻ Networking, ở Type of VPN, nhấn PPTP VPN. Trang 56
  9. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính 15. Nhấn OK để lưu các thay đổi đối với kết nối VPN Client. Hộp thoại VPN Client hiện ra. 16. Trong ô User name, gõ DET1/vpnuser. Tại ô Password, gõ mật khẩu của bạn cho tài khoản vpnuser. 17. Nhấn Connect. 18. Khi kết nối hoàn tất, chạy Internet Explorer. 19. Dùng ipconfig /all xác định địa chỉ IP của kết nối VPN Client có nằm trong khoảng địa chỉ đã xác định không? 20. Dùng lệnh ping kiểm tra kết quả. 21. Dùng lệnh tracert 192.167.5.1 kiểm tra kết quả 22. Trong cửa sổ RUN gõ lệnh //192.167.5.1/ROOT xem các thư mục được share 23. Nhấn chuột phải vào kết nối VPN client rồi nhấn vào Disconnect. V. Thiết lập site to site Trong phần này chúng ta sử dụng hai mô hình mạng LAN kết nối với nhau dùng VPN điểm nối điểm (PPTP). Tuy nhiên trên thực tế để tăng tính bảo mật thì nên dùng L2TP over IPSec hoặc IPSec. Mô hình bao gồm 5 máy tính đóng các vai trò khác nhau nhưng cũng có thể giảm bớt một số máy như trong bài dưới đây ta sử dụng 3 hoặc 4 máy. Giả sử trong mô hình một công ty có văn phòng đặt tại Hà Nội và chi nhánh đặt tại TpHCM. Như vậy cần có hai máy đóng vai trò client tại hai mạng LAN. Hai máy trong đó mỗi máy có hai card mạng đóng vai trò ROUTER1 và ROUTER2 và một máy đóng vai trò ROUTER trong Internet (Có thể lược bỏ máy này bằng cách chỉ định IP trực tiếp và ROUTER1,2 có cùng lớp mạng) Trang 57
  10. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính Xem hình: Ở đây người ta sử dụng đến 4 hub tuy nhiên để tiết kiệm ta dùng 2 hub nhưng hai mạng LAN xài chung 1 hub được định địa chi IP khác nhau. CLIENT1: có IP 192.167.6.5 subnet mask: 255.255.255.0 là mạng LAN ở Hà Nội ROUTER1: Có hai card mạng o Card Internal: Có IP 192.167.6.4 và subnet mask 255.255.255.0 o Card External: Có IP 20.0.0.1 và subnet mask 255.0.0.0 ROUTER2: Có hai card mạng o Card Internal: Có IP 192.167.5.2 và subnet mask 255.255.255.0 o Card External: Có IP 20.0.0.2 và subnet mask 255.0.0.0 CLIENT2: Thức chất lại là Server đóng vai trò Domain Controller, Web server, File Server, DNS… có IP: 192.167.5.1 và subnetmask: 255.255.25.0 Thực hiện: CLIENT1 ping CLIENT2 (192.167.5.1). Giải thích Cấu hình cho ROUTER2: 1. Trên ROUTER1 (Máy có tên SIM01) nhấn vào Administrative Tools chọn Routing and Remote Access 2. Nhấn chuột phải vào SIM01(Local) trong cây chương trình và chọn Configure and Enable Routing and Remote Access 3. Nhấn Next trên trang Routing and Remote Access Server Setup Wizard 4. Trên trang Configuration chọn Remote Access (Dial-up or VPN) Trang 58
  11. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính 5. Nhấn Next. Trên trang Remote Access chọn VPN và nhấn Next 6. Trên Trang VPN Connection chọn card nối ra Internet (LAN External) và check vào Enable Security… 7. Nhấn Next. Trên trang IP Address Assignment chọn From a specified range of addresses. Nhấn Next Trang 59
  12. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính 8. Trên trang Address Range Assignment chọn New. Gõ vào địa chỉ đầu và địa chỉ cuối Đây là dãy địa chỉ mà VPN server sẽ gán khi có kết nối mới (Network Interface trong Routing and Remote Access) 9. Nhấn OK. Trên trang Address Range Assignment nhấn Next 10. Trên trang Managing Multiple Remote Access Servers chọn No, use Routing and Remote Access to authenticate connection requests Trang 60
  13. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính 11. Trên trang Completing the Routing and Remote Access Server Setup nhấn Finish Tiếp theo ta cấu hình giao diện quay số yêu cầu 1. Trên Routing and Remote Access chọn SIM01 và nhấn chuột phải vào network Interface 2. Chọn New Demand-dial Interface để mở Demand-Dial Interface Wizard và nhấn Next 3. Trên trang Interface name gõ vào vpn_hanoi (Lưu ý tên phải trùng với user đã được khai báo trước). Nhấn Next Trang 61
  14. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính 4. Trên trang Connection type chọn Connect using virtual private networking (VPN). 5. Nhấn Next. Trên trang VPN Type chọn Point-to-Point Tunneling Protocol (PPTP). Nhấn Next Trang 62
  15. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính 6. Trên trang Destination Address gõ vào 20.0.0.1 (Địa chỉ của Router1 hay là VPN server ở Hà Nội) ở ô Host name or IP address 7. Nhấn Next. Trên trang Protocols and Security thực hiện check cả hai mục như hình 8. Nhấn Next. Trên trang Static Routes for Remote Networks nhấn Add 9. Trong hộp thoại gõ vào địa chỉ mạng LAN ở Hà Nội và subnet mask 10. Nhấn OK. Trên trang Address Range Assignment nhấn Next Trang 63
  16. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính 11. Trên trang Dial In Credentials gõ vào mật khẩu Mophong618 hai lần 12. Nhấn Next. Trên trang Dial Out Credentials gõ vào ô user name vpn_hcm là account mà dùng để quay số vào LAN của Hà nội. Do LAN Hà nội không dùng domain active nên bỏ trống mục Domain 13. Nhấn Next. Trên trang Completing the Demand-Dial Interface Wizard chọn Finish Trang 64
  17. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính Nếu có thông báo user đã tồn tại thì nhấn Yes Cấu hình cho ROUTER1 (SIM02): Tương tự như cấu hình cho router2. Chỉ có vài thay đổi cần chú ý: Thay bằng địa chỉ của mạng Hà Nội (192.167.6.100 đến 110) Trang 65
  18. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính Thay bằng vpn_hanoi bằng vpn_hcm trong ô Interface name Thay bằng địa chỉ 20.0.0.2 (Địa chỉ Internet của mạng HCM) Thay bằng địa chỉ của LAN HCM 192.167.5.0 và subnetmask vẫn là 255.255.255.0 Mật khẩu của vpn_hcm vẫn là Mophong618 Thay vpn_hcm bằng vpn_hanoi mật khẩu không thay đổi Trang 66
  19. Phòng thí nghiệm Mô phỏng & Truyền số liệu Thí nghiệm TTDL & Mạng máy tính Cấu hình chính sách truy cập từ xa Trên cả ROUTER1 và 2 trong Routing and Remote Access nhấn vào Remote Access Policies nhấn chuột phải vào Connections to Microsoft Routing and Remote Access server chọn Properties. Trên thẻ Setting chọn Grant remote access permission. Xong nhấn OK Thực hiện kết nối và kiểm tra: Click chuột phải vào kết nối vừa tạo trong Network Interface và chọn Connect Sau khi kết nối thực hiện: - Lênh Ipconfig /all. Xác định IP của các Interface - Lệnh Ping từ Client1 đến Client 2 - Lệnh tracert 192.167.6.5. Giải thích ý nghĩa thông tin nhận được Trang 67
Đồng bộ tài khoản