Tải bản đầy đủ (.pdf) (50 trang)
  1. Trang chủ
    2. >>
  2. Giáo Dục - Đào Tạo
    3. >>
  3. Cao đẳng - Đại học

Lab - Thực hành ISA 2006 Toàn tập Phần 4 pptx

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (13.69 MB, 50 trang )




ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 151

Phần 5 : VPN
VPN (Virtual Private Network) là giải pháp hữu hiệu để kết nối các hệ thống mạng
của doanh nghiệp có nhiều chi nhánh và vị trí địa lý xa nhau, hoặc doanh nghiệp của bạn có
nhiều nhân viên phải thường xuyên đi công tác xa và họ cos nhu cầu truy cập vào tài nguyên
mạng nội bộ.
ISA Server có khả năng cấu hình thành một VPN Server cho phép Clients từ xa truy cập
(Client to Site) hoặc cấu hình làm một Gateway để kết nối đến một hệ thống chi nhánh (Site
to Site). VPN Server của chi nhánh được khuyến cáo nên là một ISA Server , nhưng thực tế
thì ISA Server có thể kết nối VPN rất tốt với các thiết bị VPN của các hãng khác.


Clients hoặc VPN Server khi quay VPN vào ISA Server sẽ được cấp một địa chỉ IP
Private sử dụng trong VPN Tunnel. ISA và Clients sẽ sử dụng địa chỉ IP này cho phần
Routing trên VPN. Private IP đựơc cấp phát có thể lấy từ DHCP Server hoặc lấy từ dịch vụ
Routing and Remote Access trên Windows 2003.
ISA Server thực ra sử dụng dịch vụ Routing and Remote Access của Windows 2003 làm
VPN và Routing, ngòai ra ISA Server có thêm những phần Filtering và Application Filter .


Trên ISA Server, IP Address Pool được quy định là một khỏang địa chỉ IP. Địa chỉ IP
đầu tiên được ISA Server sử dụng cho chính mình khi bật tính năng VPN trên ISA Server lên.
Những địa chỉ IP tiếp theo sẽ cấp phát cho Clients hoặc VPN Server khi quay VPN vào ISA
Server.



ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 152

Khỏang địa chỉ IP cấp phát này không được trùng Network ID với bất kỳ lớp mạng nào
của ISA Server hoặc trong tòan hệ thống Routing. Nếu trùng Network giữa các lớp mạng,
ISA Server và Router không thể Routing được vì bị Overlap Destination. Điều này cũng sẽ
áp dụng cho 2 ISA Server quay VPN với nhau theo mô hình Site to Site.
Mô hình minh họa VPN Clients to site và Site to Site :

1. Cấu hình VPN Client to Site :
Để cấu hình cấp phát IP cho VPN Clients, vào ISA Server Management Console. Chọn
mục Virtual Private Network

Chọn mục Verify VPN Properties and Remote Access Còniguration, chọn Tab Address
Assignment





ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 153

Ở đây ta không sử dụng DHCP để cấp Ip cho clients. Chọn Use Static Address Pool, nhấn
Add để thêm khỏang IP vào Pool.
Khỏang IP bắt đầu từ 172.30.1.1 đến 172.30.1.50 hỗ trợ cho 49 Clients kết nối vào ISA
Server bằng VPN. Nhấn Ok và kiểm tra khỏang IP .


Tiếp theo ta chọn Tab Authentication. Check mục Microsoft Encrypted authentication (
MS-CHAP )




ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING


Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 154

Mở Computer Managemet, chọn mục Local Users and Groups. Mục User, chọn New
User . Tạo User có tên là VPN1/123abc!!!


Chuột phải vào user VPN1 chọn Properties. Chọn Tab Dial-in. Mục Remote Access
Permission chọn Allow Access



ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 155


Phải chụột vào Groups chọn New Group


Group Name gõ VPN Clients. Nhấn Add để thêm Member vào Group này



ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 156



Tại ISA Server Management Console, Chọn mục Virtual Private Network. Chọn mục
Specify Window Users or Select a Radius Server




ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477

E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 157

Giao diện VPN Clients Properties, tại Tab Groups nhấn Add . Nhập vào nhóm đã tạo.


Chuyển qua tab General. Check vào Enable VPN Client Access. Số lượng Clients là 40.

Nhấn Apply và Ok.



ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 158


Vào mục Network Rules trên ISA Management Console

Chọn Tab Network Rules và chú ý Rule VPN Clients to Internal Network có mối quan hệ
là kiểu Route .



VPN Clients và External sẽ sử dụng NAT để giao tiếp với nhau .



ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 159


Chú ý : ta cần phải tạo thêm 1 Access Rule tại mục Firewall Policy để cho phép VPN Client
được phép truy cập vào mạng Internal .

Tiếp theo ta cấu hình cho máy internet kết nối VPN, vào Network Connections và chọn
Create New Connection



ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM


Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 160


Giao diện Welcome nhấn Next .
Chọn mục Connect to a Network at my workplace

Mục Network Connection, chọn Virtual Private Network Connection



ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 161


Mục Company Name nhập tên : athena .

Nhấn Next. Mục VPN Server Selection nhập Ip ứng card WAN của máy ISA




ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 162


Kiểm tra lại và nhấn Finish .

Phải chuột vào Connection mới tạo chọn Connect



ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn



Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 163


Giao diện Connection, nhập Username/Password là vpn1/123abc!!!

Kiểm ta kết nối.



ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 164


Bạn có thể tham khảo video demo theo link sau :

Chúng ta sẽ xây dựng kết nối VPN Client to Site sử dụng L2TP, RADIUS ở tập 2.













ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 165

2. Cấu hình VPN Site to Site :

Ta có mô hình gợi ý sau :




Mô hình trên đã được thiết lập sẵn và được mô tả lại như sau :
• Mô hình trên sử dụng 4 máy ảo VMWare gồm có : Client 1, Client 2, ISA1, ISA2 .
• Máy ISA 1 : đã được cài bản ISA standard, máy có 2 card mạng, 1 card thiết lập ở
chế độ bridge (net 192.168.0.0/24), 1 card thiết lập là host only ( Vmnet2 ).
• Máy Client 1 : sử dụng 1 card và nối với máy ISA1 thông qua ( Vmnet2 ).
• Máy ISA 2 : cài bản ISA enterprise, máy có 2 card mạng, 1 card là chế độ bridge

(net 192.168.0.0/24), 1 card là host only ( Vmnet3 ).
• Máy Client 2 : máy có 1 card và nối với máy ISA2 qua (Vmnet3 ).
Tiếp theo ta sẽ cấu hình theo các bước sau :
Trên máy ISA 1 : tạo user : vpn2 cấp quyền allow dial-in .

ISA 1 ISA2 Client 2 Client 1
Net 10.10.10.0/24 Net 172.16.1.0/24 Net 192.168.0.0/24
VPN 1 Properties



ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 166

Tại ISA Management Console , mục Virtual Private Network, chuyển qua tab Remote
Site, ta tạo 1 connection tên : VPN2, rồi nhấn Next .

Mục VPN Protocol, chọn PPTP





ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 167

Tiếp theo, nếu ta chưa thiết lập sẵn dãy IP để cấp cho Client khi quay VPN vào, thì sẽ xuất
hiện giao diện Local Network VPN Setting, ta gán dãy : 192.168.100.1 - 192.168.100.254

Nhấn Ok, rồi Next. Giao diện Remote Site Gateway, ta nhập địa chỉ máy của máy ISA2 .




ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 168


Giao diện Remote Authentication, điền user VPN2 và pass, user này được tạo bên máy
ISA2 .

Giao diện Network Address, ta nhập dãy IP internal của bên phía máy ISA2 quản lý
(VMNet3).




ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 169

Giao diện Site to Site Network Rule, yêu cầu ta tạo 1 Network rule name và sẽ route với
đường mạng Internal. Đây chính là điểm khác so với phiên bản ISA 2004.

Giao diện Site to Site Network Access Rule, yêu cầu ta tạo 1 access rule cho phép traffic
VPN giao tiếp với mạng Internal. Ta để tên mặc định và chọn All outbound Traffic .




ATHENA INTERNATIONAL

NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 170

Nhấn Next, kiểm tra lại các thông số rồi nhấn Finish để kết thúc. Sẽ có thông báo hiện ra để nhắc
nhở ta phải kiểm tra lại : User có cấp quyền dial-in hay chưa ?, Network rule đã định nghĩa chưa?,
Access rule đã tạo chưa ?. Tiếp theo ta bật VPN client access .

Chọn mục Select Access network, check thêm kết nối VPN 2 đã tạo .




ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 171


Chọn mục Networks, tab networks ta xem lại đường mạng internal của máy ISA1 quản lý.

Qua tab Network rules, kiểm tra lại mối quan hệ giữa traffic VPN2 và mạn Internal .




ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 172

Mục Firewall Policy, kiểm tra lại xem có Access rules cho phép traffic VPN2 giao tiếp với
mạng Internal bên ISA1 không ?

Tại máy ISA 2 : tương tự tạo user : vpn1 ( allow dial-in ) .




ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM


Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 173

Tạo connection tên : VPN1

VPN Protocol ta chọn loại PPTP .




ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 174

Mục Local Network VPN Setting, nhập dãy IP cấp cho traffic phía bên ISA 1 kết nối vào :
192.168.200.1 - 192.168.200.254 .

Mục Remote authentication, nhập user VPN2 đã tạo bên máy ISA1 .





ATHENA INTERNATIONAL
NETWORK ADMINISTRATION & SECURITY TRAINING

Add: 02 Bis Dinh Tien Hoang Street, Dakao Ward, District 1, HCM

Tel: (08) 3824 4041 - Hotline: 090 7879 477
E-mail: - Website: www.athena.edu.vn


Thực hiện : Võ Anh Duy Lưu hành nội bộ Trang : 175

Giao diện Network Address, ta add Range internal bên nhóm máy ISA 1 .

Giao diện remote NLB, không sử dụng Network balancing, nhấn Next .

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×