TRƯỜNG ĐẠI HỌC AN GIANG
KHOA KỸ THUẬT – CÔNG NGHỆ - MÔI TRƯỜNG
TERMINAL SERVICES
VIRTUAL PRIVATE NETWORK
AN GIANG - 2014
TRƯỜNG ĐẠI HỌC AN GIANG
KHOA KỸ THUẬT – CÔNG NGHỆ - MÔI TRƯỜNG
Tiểu luận môn Quản trị mạng
TERMINAL SERVICES
VIRTUAL PRIVATE NETWORK
GVHD: Lê Hoàng Anh
SVTH: DTH114081 – Nguyễn Thiện An
DTH114155 – Bùi Thị Chinh
DTH114167 - Nguyễn Trần Vũ Huy
AN GIANG – 2014
Terminal Services & Virtual Private Network 3
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
MỤC LỤC
MỤC LỤC 3
BẢNG PHÂN CÔNG CÔNG VIỆC 5
DANH MỤC TỪ VIẾT TẮT 6
DANH MỤC BẢNG 7
DANH MỤC HÌNH 8
I. TỔNG QUAN 12
I.1. Terminal Services 12
I.1.1. Giới thiệu Terminal Services 12
I.1.2. Các thành phần của Terminal Services 12
I.1.2.1. Terminal Services Server 12
I.1.2.2. Giao thức Remote Desktop (RDP) 12
I.1.2.3. Termial Services Client 12
I.1.3. Các phương án triển khai Terminal Services 13
I.1.3.1. Terminal Services Web Access 13
I.1.3.2. Sử dụng Network Access với file .rdp 13
I.1.3.3. Sử dụng Network Access với file .msi 13
I.1.3.4. Sử dụng Policy để triển khai 13
I.1.4. Một số tính năng của Terminal Services 13
I.1.5. Lợi ích của việc sử dụng Terminal Services 14
I.1.5.1. Quản lý ứng dụng tập trung 15
I.1.5.2. Dễ dàng quản lý các văn phòng chi nhánh 15
I.1.5.3. Truy cập mọi nơi 15
I.2. Virtual Private Network (VPN) 15
I.2.1. Giới thiệu Virtual Private Network (VPN) 15
I.2.2. Phân loại VPN 16
I.2.2.1. VPN truy cập từ xa (Remote access VPN) 16
I.2.2.2. VPN điểm – điểm (site – site VPN) 17
I.2.3. Kiến trúc VPN 18
I.2.3.1. Đường hầm (tunnel) 18
I.2.3.2. Giao thức (Protocol) 19
I.2.4. Một số tính năng của Virtual Private Network 22
I.2.5. Lợi ích của việc sử dụng Virtual Private Network 22
I.2.6. Ưu nhược điểm của VPN 23
Terminal Services & Virtual Private Network 4
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
I.2.6.1. Ưu điểm 23
I.2.6.2. Nhược điểm 23
II. CÀI ĐẶT 24
II.1. Terminal Services 24
II.1.1. Các bước cơ bản 24
II.1.2. Yêu cầu 24
II.1.3. Quá trình cài đặt 24
II.1.3.1. Cài đặt Terminal Services (Add role TS) 24
II.1.3.2. Cấp quyền cho User 33
II.1.3.3. Kết nối vào Terminal Server qua Remote Desktop Connection 34
II.1.3.4. Client kết nối vào Terminal Server qua Web Access 35
II.1.3.5. Cấu hình Remote Application 37
II.1.3.6. Client kết nối Remote Application qua Web Access 39
II.1.3.7. Tạo file .rdp và client kết nối Remote Application qua file .rdp 42
II.1.3.8. Tạo file .msi và client cài đặt, sử dụng. 44
II.2. Virtual Private Network 48
II.2.1. Các bước cơ bản 48
II.2.2. Yêu cầu 48
II.2.3. Quá trình cài đặt 48
II.2.3.1. Add role Remote Access 48
II.2.3.2. Cấu hình triển khai VPN và kiểm tra Firewall 55
II.2.3.3. Cấu hình Network Policy 59
II.2.3.4. Cấu hình cho user kết nối Dial-in 60
II.2.3.5. Cài đặt VPN Connection cho client 61
II.2.3.6. Kết nối và kiểm tra 64
TÀI LIỆU THAM KHẢO 68
Terminal Services & Virtual Private Network 5
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
BẢNG PHÂN CÔNG CÔNG VIỆC
STT
Nội dung công việc
Thành viên thực hiện
1
Tìm hiểu lý thuyết về Terminal Services
Bùi Thị Chinh
Nguyễn Trần Vũ Huy
2
Tìm hiểu lý thuyết về Virtual Private Network
Nguyễn Thiện An
3
Cài đặt Terminal Services
Bùi Thị Chinh
Nguyễn Trần Vũ Huy
4
Cài đặt Virtual Private Network
Nguyễn Thiện An
5
Tổng hợp tài liệu và viết báo cáo
Nguyễn Trần Vũ Huy
Nguyễn Thiện An
6
Báo cáo lý thuyết
Nguyễn Trần Vũ Huy
7
Demo Terminal Services
Bùi Thị Chinh
8
Demo Virtual Private Network
Nguyễn Thiện An
Terminal Services & Virtual Private Network 6
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
DANH MỤC TỪ VIẾT TẮT
VPN
Virtual Private Network
TS
Terminal Server
RDP
Remote Desktop Protocol
RDC
Remote Desktop Connection
LAN
Local Arear Network
L2F
Layer 2 Forward
GRE
Generic Route Encapsulation
L2TP
Layer 2 Tunnel Protocol
PPTP
Point to Point Tunneling Protocol
Terminal Services & Virtual Private Network 7
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
DANH MỤC BẢNG
Bảng I.1: Các tính năng của Terminal Services 13
Bảng I.2: Các tính năng của Virtual Private Network 22
Terminal Services & Virtual Private Network 8
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
DANH MỤC HÌNH
Hình I.1: Mạng riêng ảo 16
Hình I.2: VPN truy cập từ xa 16
Hình I.3: VPN điểm – điểm 18
Hình I.4: Giao thức L2TP 20
Hình I.5: Mô hình VPN sử dụng giao thức Ipsec 21
Hình II.1: Mô hình triển khai TS 24
Hình II.2: Cửa sổ Before You Begin 25
Hình II.3: Cửa sổ Add Roles 25
Hình II.4: Cửa sổ Select Server Roles 26
Hình II.5: Cửa sổ Terminal Services 26
Hình II.6: Cửa sổ Select Role Services và Add Roles Wizard Terminal Server 27
Hình II.7: Cửa sổ Uninstall and Reinstall Application for Compatibility 28
Hình II.8: Cửa sổ Select Role Services và Add Roles Wizard TS Web Access 28
Hình II.9: Cửa sổ Specify Anthentication Method for Terminal Server 29
Hình II.10: Cửa sổ Specify Licensing Mode 29
Hình II.11: cửa sổ Web Server (IIS) 30
Hình II.12: cửa sổ Select User Groups Allowed Access To This Terminal Server 30
Hình II.13: Cửa sổ Add Role Services IIS 31
Hình II.14: Cửa sổ Confirm Installation Selections 31
Hình II.15: Cửa sổ yêu cầu khởi động lại máy. 32
Hình II.16: Cửa sổ Installation Results 32
Hình II.17: Cửa sổ Active Directory Users and Computers 33
Hình II.18: Cửa sổ Properties 33
Hình II.19: Cửa sổ Select Groups 33
Hình II.20: Enter your credentials 34
Hình II.21: Cửa sổ Remote Desktop Connection 34
Hình II.22: Màn hình Remote Desktop máy DC1 34
Hình II.23: Màn hình Internet Explorer 35
Hình II.24: Cửa sổ Remote Desktop Connection 36
Hình II.25: Màn hình Internet Explorer Remote Desktop Web Access 36
Hình II.26: Màn hình Remote Desktop máy DC1 37
Terminal Services & Virtual Private Network 9
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
Hình II.27: Enter your credentials 37
Hình II.28: Cửa sổ Choose programs to add to the RemoteApp Programs list 38
Hình II.29: Cửa sổ Wellcome to RemoteApp Wizard 38
Hình II.30: Cửa sổ TS RemoteApp Manager 38
Hình II.31: Cửa sổ TS RemoteApp Manager sau khi add programs 39
Hình II.32: Cửa sổ Review Settings 39
Hình II.33: Cửa sổ Internet Explorer RemoteApp Web Access 40
Hình II.34: Cửa sổ Internet Explorer 40
Hình II.35: Cửa sổ RemoteApp 41
Hình II.36: Cửa sổ Notepad++ sử dụng RemoteApp Web Access 41
Hình II.37: Cửa sổ Wellcome to RemoteApp Wizard 42
Hình II.38: Cửa số Specify Package Settings 42
Hình II.39: Cửa sổ TS RemoteApp Manager 42
Hình II.40: Cửa sổ Review Settings 43
Hình II.41: File notepad++.rdp 43
Hình II.42: Cửa sổ RemoteApp 44
Hình II.43: Cửa sổ ứng dụng Notepad++ sử dụng file .rdp 44
Hình II.44: Cửa sổ Wellcome to RemoteApp Wizard 45
Hình II.45: Cửa số Specify Package Settings 45
Hình II.46: Cửa sổ TS RemoteApp Manager 45
Hình II.47: C:\Program Files\Packaged Programs 46
Hình II.48: Configure Distribution Package 46
Hình II.49: Review Settings 46
Hình II.50: Quá trình cài đặt đang chạy 47
Hình II.51: Cửa sổ Open File – Security Warning 47
Hình II.52: Remote Programs 47
Hình II.53: Mô hình triển khai VPN 48
Hình II.54: Cửa sổ Before you begin 49
Hình II.55: Cửa sổ Server Manager 49
Hình II.56: Cửa sổ Select destination server 50
Hình II.57: Cửa sổ Select installation type 50
Hình II.58: Cửa sổ Select server roles 51
Terminal Services & Virtual Private Network 10
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
Hình II.59: Cửa sổ Add features that are required for Remote Access 51
Hình II.60: Cửa sổ Remote Access 52
Hình II.61: Cửa sổ Select features 52
Hình II.62: Cửa sổ Web Server Role (IIS) 53
Hình II.63: Cửa sổ Select role services 53
Hình II.64: Cử sổ Confirm installation selections 54
Hình II.65: Cửa sổ Select role services 54
Hình II.66: Cửa sổ Installation Progress 55
Hình II.67: Cửa sổ Server Manager – Remote Access 55
Hình II.68: Cửa sổ All Server Task Details and Notifications 56
Hình II.69: Cửa sổ Configure Remote Access 56
Hình II.70: Cửa sổ Routing and Remote Access 57
Hình II.71: Cửa sổ Configuration 57
Hình II.72: Wellcome to Routing and Remote Access Server Setup Wizard 57
Hình II.73: Cửa sổ Custom Configuration 58
Hình II.74: Cửa sổ Completing the Routing Access Server Setup Wizard 58
Hình II.75: Cửa sổ Start the services 58
Hình II.76: Kiểm tra Firewall 59
Hình II.77: Cửa sổ Network Policy 59
Hình II.78: Cửa sổ Connection to Microsoft Routing and Remote Access server
Properties 60
Hình II.79: Cửa sổ Properties 61
Hình II.80: Cửa sổ Active Directory Users and Computers 61
Hình II.81: Cửa sổ Network and Sharing Center 62
Hình II.82: Cửa sổ Choose a connection option 62
Hình II.83: Cửa sổ How do you want to connect 63
Hình II.84: Cửa sổ Do you want to set up an Internet connection before continuing 63
Hình II.85: Type internet address to conect to 64
Hình II.86: Cửa sổ chọn kết nối 64
Hình II.87: Cửa sổ Sign - in 65
Hình II.88: Cửa sổ khi nối thành công 65
Hình II.89: Hộp thoại Run 65
Terminal Services & Virtual Private Network 11
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
Hình II.90: Cửa sổ thông báo lỗi không có quyền truy cập 66
Hình II.91: Các thư mục chia sẽ trên máy DC1 66
Hình II.92: Nội dung thư mục ntan 67
Hình II.93: Cửa sổ Remote Access Clients Status 67
Terminal Services & Virtual Private Network 12
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
TERMINAL SERVICES AND VIRTUAL PRIVATE NETWORK
I. TỔNG QUAN
I.1. Terminal Services
I.1.1. Giới thiệu Terminal Services
Terminal Services (TS) là một dịch vụ hỗ trợ người quản trị thực hiện các công
việc trên máy chủ thông qua mạng mà không cần thiết phải ngồi trực tiếp tại máy có
sử dụng dịch vụ đó. Terminal Service sử dụng giao thức RDP (Remote Desktop
Protocol) dựa trên TCP/IP. Trên Windows 7 cũng có dịch vụ Remote Desktop được
coi là bản rút gọn của Terminal Services trên Windows Server. Remote Desktop trên
Windows 7 chỉ hỗ trợ 1 session duy nhất. Còn trên Windows Server hỗ trợ nhiều
session, mỗi session được nối vào một desktop riêng biệt.
I.1.2. Các thành phần của Terminal Services
Terminal Services bao gồm 3 thành phần: Terminal Services Server, giao thức
RDP và Terminal Services Client.
I.1.2.1. Terminal Services Server
Hầu hết các hoạt động của Terminal Services xảy ra trên TS server (hay còn gọi
là Terminal server), tất cả các ứng dụng đều chạy trên máy chủ. TS server gửi thông
tin về màn hình máy trạm và chỉ nhận các input từ chuột và bàn phím. Server phải theo
dõi các session đang hoạt động.
I.1.2.2. Giao thức Remote Desktop (RDP)
Khi bạn cài đặt TS, giao thức RDP được tự động cài đặt. RDP là một kết nối
duy nhất mà cần phải cấu hình để máy trạm có thể kết nối tới TS server. Bạn có thể
cấu hình chỉ định một kết nối RDP trên mỗi bộ điều hợp mạng.
Có thể sử dụng công cụ cấu hình của TS để cấu hình các thuộc tính của kết nối
RDP. Bạn có thể thiết lập mật khẩu và quyền, hạn chế lượng thời gian mà các session
của máy trạm có thể còn hoạt động.
I.1.2.3. Termial Services Client
Terminal Services client (hay còn gọi là Termianl client) sử dụng công nghệ
thin client để phân phối tới người dùng. Máy trạm chỉ cần thiết lập một kết nối tới máy
chủ và hiển thị thông tin về giao diện đồ họa mà máy chủ gửi tới.
Terminal Services & Virtual Private Network 13
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
I.1.3. Các phương án triển khai Terminal Services
Có 4 cách để máy trạm kết nối đến máy chủ khi khai thác chương trình ứng
dụng trên máy chủ.
I.1.3.1. Terminal Services Web Access
Máy chủ phải cài đặt thêm Terminal Service Web Access, máy trạm phải được
cài đặt Remote Desktop Connection (RDC) 6.1. RDC 6.1 có sẵn trong Windows Vista
Service Pack 1 và Windows XP Professional Service Pack 3.
I.1.3.2. Sử dụng Network Access với file .rdp
Máy chủ tạo sẵn file .rdp (mỗi chương trình ứng dụng tương ứng 1 file .rdp) và
được share trên máy chủ, máy trạm truy cập vào máy chủ, chạy trực tiếp file đó để
khai thác chương trình ứng dụng trên máy chủ.
I.1.3.3. Sử dụng Network Access với file .msi
Máy chủ tạo sẵn file .msi (mỗi chương trình ứng dụng tương ứng 1 file .msi) và
được share trên máy chủ, máy trạm truy cập vào máy chủ, chạy trực tiếp file đó để cài
đặt các shortcut liên kết đến chương trình ứng dụng trên máy chủ. Các shortcut này
được cài đặt trong Start menu của máy trạm, cụ thể là mục Remote Application. Máy
trạm chạy các shortcut đó để khai thác chương trình ứng dụng trên máy chủ.
I.1.3.4. Sử dụng Policy để triển khai
Được áp dụng cho môi trường Domain để triển khai hàng loạt việc cài đặt
shortcut liên kết đến chương trình ứng dụng trên máy chủ cho nhiều máy trạm.
I.1.4. Một số tính năng của Terminal Services
Bảng dưới đây sẽ trình bày một số tính năng nổi bật của TS.
Bảng I.1: Các tính năng của Terminal Services
Tính năng
Mô tả
Hỗ trợ logon nhiều lần
Người dùng có thể logon nhiều lần kể cả từ nhiều client hay
từ một client và cũng có thể logon vào nhiều server. Điều này
cho phép người dùng thực hiện nhiều tác vụ cùng lúc
Hỗ trợ roaming
disconnect
Người dùng có thể disconnect khỏi một session mà không
cần phải logoff. Session này sẽ vẫn còn hoạt động khi đã
disconnect, cho phép người dùng connect lại vào lúc khác từ
một client khác
Nâng cao hoạt động
Việc sử dụng bộ đệm (catching) được nâng cao làm cải thiện
đáng kể hoạt động
Terminal Services & Virtual Private Network 14
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
Gửi lại clipboard
Người dùng có thể cắt và dán (cut & paste) giữa các ứng
dụng trên máy cục bộ với các ứng dụng trên TS
Hỗ trợ máy in cục bộ
tự động
Các máy in được nối vào cleint được tự động bổ sung và kết
nối lại
Bảo mật
Quá trình logon được mật mã hóa và người quản trị có thể
xác định số lần logon và thời gian connect của một người
dùng. Dữ liệu được truyền giữa server và cleint có thể được
mã hóa ở 3 mức (thấp, trung bình, cao) tùy thuộc vào nhu cầu
bảo mật của bạn.
Điều khiển từ xa các
session
Hai người dùng có thể xem một session cùng lúc. Điều này
giúp hỗ trợ các vấn đề chuẩn đoán nhân sự hay đào tạo người
dùng
Cân bằng tải mạng
Terminal services có thể phân đều các kết nối của cleint cho
một nhóm server, do đó làm giảm bớt tải trên mỗi server
Thiết bị đầu cuối dựa
trên Windows
Các thiết bị đầu cuối dựa trên Windows chạy trên một phiên
bản được sửa đổi của Windows CE và giao thức Remote
Desktop
Bộ quản trị kết nối của
client
Tiện ích này tạo ra một icon trên nền Desktop cho phép kết
nối nhanh tới server cho các chương trình đơn lẻ hay các truy
cập đầy đủ của Desktop
Việc cấp quyền của
Terminal services
Công cụ này giúp người quản trị theo dõi người dùng và
quyền của họ
Hỗ trợ DFS
Người dùng có thể connect tới một chia sẽ DFS và người
quản trị để host một chia sẽ hệ thống file phân tán từ một TS
Bộ quản trị Terminal
services
Công cụ này được người quản trị sử dụng để truy vấn và
quản trị các session, người dùng và các quá trình
Cấu hình Termianl
services
Công cụ này để tạo, sửa và xóa các session
Tích hợp người dùng
cục bộ và Active
Directoty
Người quản trị có thể tạo các tài khoản của Terminal services
theo cách tương tự như khi tạo tài khoản người dùng
Tích hợp System
Monitor
Các đặc điểm hoạt động của hệ thống Terminal services có
thể được System Monitor theo dõi
Hỗ trợ truyền thông
điệp
Người quản trị có thể gửi thông điệp tới các client
Quản trị từ xa
Người dùng với quyền thích hợp có thể quản trị từ xa tất cả
các khía cạnh của một Terminal services server
Thời gian tạm ngưng
session có thể cấu hình
Người quản trị có thể cấu hình thời gian một session có thể
tồn tại ở trạng thái hoạt động hay trạng thái nghĩ trước khi
ngắt kết nối.
I.1.5. Lợi ích của việc sử dụng Terminal Services
Terminal services cung cấp nhiều lợi ích giúp nó trở thành giải pháp ưu việt
nhất cho mạng của bạn.
Terminal Services & Virtual Private Network 15
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
I.1.5.1. Quản lý ứng dụng tập trung
Thông thường, các ứng dụng được cài đặt và không bao giờ cần phải đụng lại
cho tới khi nó cần nâng cấp lên phiên bản tiếp theo. Tuy nhiên, ngày nay mọi nhà cung
cấp ứng dụng đều phát hành các bản vá theo một nguyên tắc thường lệ nên việc kiểm
tra tất cả các bản vá này và đẩy chúng vào các máy trạm của bạn có thể là một nhiệm
vụ vô cùng phức tạp.
Việc sử dụng TS không giải phóng bạn khỏi phải cập nhật kịp thời các ứng
dụng của mình nhưng nó làm cho việc thực hiện này của bạn được dễ dàng hơn. Các
ứng dụng được được đặt ở một địa điểm tập trung chính vì vậy bạn chỉ cần phải lo về
việc bảo trì và cập nhật cho mỗi một ứng dụng duy nhất thay cho từng máy trạm riêng
lẻ.
I.1.5.2. Dễ dàng quản lý các văn phòng chi nhánh
TS thích hợp với các tổ chức có các văn phòng chi nhánh, tuy nhiên phù hợp
nhất với những công ty không có nhân viên IT chuyên nghiệp tại các văn phòng chi
nhánh. Việc sử dụng TS cho phép quản trị viên duy trì tất cả các ứng dụng từ văn
phòng chính, vì vậy nhân viên IT không phải đi đến tận các văn phòng chi nhánh để
thực hiện các nhiệm vụ bảo trì ứng dụng theo định kỳ của mình.
I.1.5.3. Truy cập mọi nơi
Việc sử dụng TS cho phép người dùng có thể truy cập vào các ứng dụng mọi
nơi. Với đầy đủ các thành phần cần thiết, người dùng có thể truy cập vào các ứng dụng
từ các laptop trong khi đang đi trên đường, từ máy tính gia đình của họ hoặc thậm chí
từ thiết bị Windows Mobile.
I.2. Virtual Private Network (VPN)
I.2.1. Giới thiệu Virtual Private Network (VPN)
Virtual Private Network (VPN) hay còn gọi là mạng riêng ảo có nhiều khái
niệm và cách hiểu khác nhau, dưới đây là một số khái niệm tiêu biểu và dễ hiểu.
VPN là mạng sử dụng mạng công cộng của các nhà cung cấp dịch vụ làm cơ sở
hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được
truy cập.
Terminal Services & Virtual Private Network 16
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
VPN là sự mở rộng
mạng Intranet riêng của một
doanh nghiệp qua một mạng
công cộng như Internet, tạo ra
một kết nối an toàn, thực chất
là qua một đường hầm riêng.
VPN là mạng dữ liệu
riêng mà nó sử dụng cơ sở hạ
tầng truyền tin viễn thông
công cộng. Dữ liệu riêng được
bảo mật thông qua sử dụng giao thức tạo đường hầm và các phương thức an toàn.
VPN là một mạng dành riêng để kết nối các máy ính của các công ty, tập đoàn
hay tổ chức với nhau thông qua mạng Internet công cộng.
VPN có thể được định nghĩa như là một dịch vụ mạng ảo được triển khai trên
cơ sở hạ tầng của hệ thống mạng công cộng với mục đích tiết kiệm chi phí cho các kết
nối điểm - điểm.
I.2.2. Phân loại VPN
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (remote access) và VPN
điểm - điểm (site to site).
I.2.2.1. VPN truy cập từ xa (Remote access VPN)
VPN truy cập từ xa còn được
gọi là mạng Dial-up riêng ảo (VPDN),
là một kết nối người dùng đến mạng
LAN, thường là nhu cầu của một tổ
chức có nhiều nhân viên cần liên hệ
với mạng riêng của mình từ rất nhiều
địa điểm ở xa.
Ví dụ như công ty muốn thiết
lập một VPN lớn phải cần đến một
nhà cung cấp dịch vụ doanh nghiệp (ESP). ESP này tạo ra một máy chủ truy cập mạng
Hình I.1: Mạng riêng ảo
Hình I.2: VPN truy cập từ xa
Terminal Services & Virtual Private Network 17
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
(NAS) và cung cấp cho những người sử dụng từ xa một phần mềm máy khách cho
máy tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS
và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại
VPN này cho phép các kết nối an toàn, có mật mã.
Remote access VPN cho phép truy cập bất cứ lúc nào bằng remote client,
mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên
mạng của tổ chức.
Remote access VPN mô tả việc các người dùng ở xa sử dụng các phần mềm
VPN truy cập vào mạng Internet của công ty thông qua Gateway hoặc VPN
concentrator (bản chất là một server). Vì lý do này, giải pháp này thường được gọi là
client/server. Trong giải pháp này, các người dùng thường thường sử dụng các công
nghệ WAN truyền thông để tạo lại các tunnel (đường hầm) về mạng của họ.
Một hướng phát triển khá mới trong Remote access VPN là dùng wireless VPN,
trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây.
Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless
(wireless terminal) và sau đó về mạng của công ty. Trong cả hai trường hợp, phần
mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là
tunnel.
Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu
nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì giai
đoạn ban đầu này dựa trên cùng một chính sách bảo mật của công ty. Chính sách này
bao gồm: qui trình (procedure), kỹ thuật, server, (như Remote Authentication Dial-In
User Service [RADIUS], Terminal Access Controller Access Control System Plus
[TACACS+]…).
I.2.2.2. VPN điểm – điểm (site – site VPN)
Site – to – Site VPN (Lan – to – Lan VPN): được áp dụng để cài đặt mạng từ
một vị trí này kết nối tới mạng của một vị trí khác thông qua VPN. Trong hoàn cảnh
này thì việc chứng thực ban đầu giữa các thiết bị mạng được giao cho người sử dụng.
Nơi mà có một kết nối VPN được thiết lập giữa chúng. Khi đó các thiết bị này đóng
vai trò như một gateway, và đảm bảo rằng việc lưu thông đã được dự tính trước cho
Terminal Services & Virtual Private Network 18
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
các site khác. Các Router và Firewall tương
thích với VPN, và các bộ tập trung VPN
chuyên dụng đều cung cấp chức năng này.
Site – to – Site VPN là sự kết nối hai
mạng riêng lẻ thông qua một đường hầm
bảo mật, đường hầm bảo mật này có thể sử
dụng giao thức PPTP, L2TP hoặc IPSec,
mục đích của Site – to – Site VPN là kết nối
hai mạng không có đường nối lại với nhau, không có việc thỏa hiệp tích hợp, chứng
thực, sự cẩn mật của dữ liệu, bạn có thể thiết lập một Site – to – Site VPN thông qua
sự kết hợp của các thiết bị VPN Concentrators, Routers và Firewalls.
Kết nối Site – to – Site VPN được thiết kế để tạo một kết nối mạng trực tiếp,
hiệu quả bất chấp khoảng cách vật lý giữa chúng. Có thể kết nối này luân chuyển
thông qua Internet hoặc một mạng không được tin cậy. Bạn phải đảm bảo vấn đề bảo
mật bằng cách sử dụng sự mã hóa dữ liệu trên tất cả các gói dữ liệu đang luân chuyển
giữa các mạng đó.
Site – to – Site VPN được chia làm hai loại nhỏ là VPN Intranet và VPN
Extranet.
Intranet VPN: kết nối văn phòng trung tâm, các chi nhánh và văn phòng
ở xa vào mạng nội bộ của công ty dựa trên hạ tầng mạng được chia sẻ.
Extranet VPN: kết nối bộ phận khách hàng của công ty, bộ phận tư vấn,
hoặc các đối tác của công ty thành một hệ thống mạng dựa trên hạ tầng
được chia sẻ. Extranet VPN khác nhau với Intranet VPN ở chỗ cho phép
các user ngoài công ty truy cập vào hệ thống.
I.2.3. Kiến trúc VPN
I.2.3.1. Đường hầm (tunnel)
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng
riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một
lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung
gian theo những “đường ống” riêng (tunnel).
Hình I.3: VPN điểm – điểm
Terminal Services & Virtual Private Network 19
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến
các máy trạm cuối cùng nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy
chủ phải sử dụng chung một giao thức (tunnel interface), nơi gói tin đi vào và đi ra
trong mạng.
Kỹ thuật Tunneling trong mạng Site – to – Site VPN. Trong VPN loại này,
giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu
“đóng gói” giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải
(Carier Protocol). Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa và thông
tin về kết nối giữa máy chủ với máy khách. Nhưng IPSec trong cơ chế Tunnel, thay vì
dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa, IPSec hoạt động tốt trên cả hai
loại mạng VPN Remote Access và Site – to – Site. Tất nhiên, nó phải được hỗ trợ ở cả
hai giao diện Tunnel.
Kỹ thuật Tunneling trong mạng VPN remote access. Với loại VPN này,
Tunneling thường dùng giao thức điểm - nối - điểm PPP (Point – to – Point Protocol).
Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi
liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Nói tóm lại, kỹ thuật Tunneling
cho mạng VPN truy cập từ xa phụ thuộc vào PPP.
Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và dùng
trong mạng VPN truy cập từ xa.
I.2.3.2. Giao thức (Protocol)
a. GRE (Generic Route Encapsulation)
Đây là giao thức truyền thông đóng gói IP, CLNP và tất cả gói dữ liệu bên
trong đường ống IP (IP tunnel).
Với GRE Tunnel, Cisco Router sẽ đóng gói cho mỗi vị trí giao thức đặc trưng
chỉ định trong gói IP header, tạo một đường kết nối ảo (virtual point – to - point) tới
Cisco Router cần đến. Và khi gói dữ liệu đến đích IP header sẽ được mở ra.
Bằng việc kết nối nhiều mạng con với các giao thức khác nhau trong môi
trường có một giao thức chính. GRE Tunneling cho phép các giao thức khác có thể
thuận lợi trong việc định tuyến cho gói IP.
Terminal Services & Virtual Private Network 20
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
b. L2F (Layer 2 Forward)
Là giao thức lớp 2 được phát triển bởi Cisco System. L2F được thiết kế cho
phép tạo đường hầm giữa NAS và một thiết bị VPN Getway để truyền các Frame,
người sử dụng từ xa có thể kết nối đến NAS và truyền Frame PPP từ remote user đến
VPN Getway trong đường hầm được tạo ra.
c. L2TP (Layer 2 Tunnel Protocol)
Là chuẩn giao thức do IETF đề xuất,
L2TP tích hợp cả hai điểm mạnh là truy cập
từ xa của L2F (Layer 2 Forwarding của
Cisco System) và tính kết nối nhanh Point-
to-Point của PPTP (Point to Point Tunneling
Protocol của Microsoft). Trong môi trường
Remote Access L2TP cho phép khởi tạo
đường hầm cho các frame và sử dụng giao thức PPP truyền dữ liệu trong đường hầm.
L2TP không cung cấp mã hóa.
Một số ưu điểm của L2TP:
L2TP hỗ trợ đa giao thức.
Không yêu cầu các phần mềm mở rộng hay sự hỗ trợ của HĐH. Vì vậy
những người dùng từ xa cũng như trong mạng Intranet không cần cài
thêm các phần mềm đặc biệt.
L2TP cho phép nhiều Mobile user truy cập vào Remote network thông
qua hệ thống mạng công cộng.
L2TP không có tính bảo mật cao tuy nhiên L2TP có thể kết hợp với cơ
chế bảo mật IPSec để bảo vệ dữ liệu.
Với L2TP sự xác thực tài khoản dựa trên Host Getway Network do vậy
phía nhà cung cấp dịch vụ không phải duy trì một Database để thẩm định
quyền truy cập.
d. Ipsec (Internet Protocol Security)
Hình I.4: Giao thức L2TP
Terminal Services & Virtual Private Network 21
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
IPSec là sự lựa chọn cho
việc bảo mật trên VPN, IPSec là
một khung bao gồm bảo mật dữ
liệu (data confidentiality), tính
toàn vẹn của dữ liệu (integrity) và
việc chứng thực dữ liệu.
IPSec cung cấp dịch vụ bảo mật sử dụng KDE cho phép thỏa thuận các giao
thức và thuật toán trên nền chính sách cục bộ (group policy) và sinh ra các khóa báo
mã hóa và chứng thực được sử dụng trong IPSec.
e. PPTP (Point to Point Tunneling Protocol)
Được sử dụng trên các máy client chạy HĐH Microsoft for NT4.0 và Window
95+. Giao thức này được sử dụng để mã hóa dữ liệu lưu thông trên mạng LAN. Giống
như giao thức NETBEUI và IPX trong một packet gửi lên Internet. PPTP dựa trên
chuẩn RSA RC4 và hỗ trợ bởi sự mã hóa 40-bits hoặc 128-bits.
Nó không được phát triển trên dạng kết nối LAN – to - LAN và giới hạn 255
kết nối tới một server chỉ có một đường hầm VPN trên một kết nối. Nó không cung
cấp sụ mã hóa cho các công việc lớn nhưng nó dễ cài đặt và triển khai và là một giải
pháp truy cập từ xa chỉ có thể làm được trên mạng MS. Giao thức này được dùng tốt
trong Window 2000.
Chú ý:
PPTP là giải pháp tối ưu khi khách hàng muốn có cơ chế bảo mật không
tốn kém và phức tạp. Giao thức này cũng tạo ra hữu hiệu khi các luồng
dữ liệu phải truyền qua NAT. Khách hàng nếu muốn có NAT và độ bảo
mật cao hơn có thể định cấu hình cho các quy tắc IPSec trên Window
2000.
L2TP là giải pháp tốt nhất khi khách hàng coi bảo mật là vấn đề quan
trọng hàng đầu và cam kết khai thác cấu trúc mã hóa chung PKI. Nếu
bạn cần một thiết bị NAT trong đường truyền VPN thì giải pháp này có
thể không phát huy hiệu quả.
Hình I.5: Mô hình VPN sử dụng giao thức Ipsec
Terminal Services & Virtual Private Network 22
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
IPSec Tunnel Mode lại tỏ ra hữu hiệu hơn VPN điểm -nối - điểm (site-
to-site). Mặc dù giao thức này hiện nay cũng được áp dụng cho VPN
truy cập từ xa nhưng các hoạt động của nó không “liên thông” với nhau.
I.2.4. Một số tính năng của Virtual Private Network
Bảng I.2: Các tính năng của Virtual Private Network
Tính năng
Mô tả
Sự tin cậy
Người gửi có thể mã hóa các gói dữ liệu trước khi truyền
chúng ngang qua mạng.
Tính toàn vẹn dữ liệu
Người nhận có thể kiểm tra rằng dữ liệu đã được truyền qua
mạng Internet mà không có sự thay đổi nào.
Xác thực nguồn gốc
Người nhận có thể xác thực nguồn gốc của gói dữ liệu,đảm
bảo và công nhận nguồn thông tin.
I.2.5. Lợi ích của việc sử dụng Virtual Private Network
VPN cho phép tiết kiệm chi phí thuê đường truyền và giảm chi phí phát sinh
cho nhân viên ở xa nhờ vào việc họ truy cập vào hệ thống mạng nội bộ thông qua các
điểm cung cấp dịch vụ ở địa phương POP (Point of Presence), hạn chế thuê đường
truyền truy cập của nhà cung cấp dẫn đến giá thành cho việc kết nối LAN to LAN
giảm đi đáng kể so với việc thuê đường truyền riêng Leased - line.
Với việc sử dụng dịch vụ của nhà cung cấp, chúng ta chỉ phải quản lý các kết
nối đầu cuối tại các chi nhánh mạng không phải quản lý các thiết bị chuyển mạch trên
mạng. Đồng thời tận dụng cơ sở hạ tầng của mạng Internet và đội ngũ kỹ thuật của nhà
cung cấp dịch vụ từ đó công ty có thể tập trung vào các đối tượng kinh doanh.
Dữ liệu truyền trên mạng được mã hóa bằng các thuật toán, đồng thời được
truyền trong các đường hầm (tunnel) nên thông tin có độ an toàn cao.
Với xu thế toàn cầu hóa, một công ty có thể có nhiều chi nhánh tại nhiều quốc
gia khác nhau. Việc tập trung quản lý thông tin tại tất cả các chi nhánh cần thiết. VPN
có thể dễ dàng kết nối hệ thống mạng giữa các chi nhánh và văn phòng trung tâm
thành một mạng LAN với chi phí thấp.
Bảo mật địa chỉ IP, thông tin được gửi đi trên VPN đã được mã hóa do các địa
chỉ trên mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài internet.
Terminal Services & Virtual Private Network 23
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
I.2.6. Ưu nhược điểm của VPN
I.2.6.1. Ưu điểm
Khả năng mở rộng và linh hoạt cao.
Gía thành rẻ, chỉ mất chi phí cho việc truy cập Internet thông thường.
Giảm chi phí thực hiện (thuê kênh riêng đường dài) và chi phí quản trị (duy trì
hoạt động và quản trị mạng WAN).
Băng thông không bị hạn chế (chỉ phụ thuộc vào tốc độ đường truyền Internet)
và sử dụng hiệu quả băng thông.
Nâng cao khả năng kết nối, không hạn chế số lượng kết nối.
Đảm bảo khả năng bảo mật giao dịch nhờ công nghệ đường hầm (mã hóa, xác
thực truy cập, cấp quyền)
Quản lý các kết nối dễ dàng thông qua account.
I.2.6.2. Nhược điểm
Phụ thuộc nhiều vào mạng trung gian, khó thiết lập và quản trị.
Yêu cầu về chuẩn: 2 đầu đường hầm phải sử dụng cùng một thiết bị để đảm bảo
khả năng liên vận hành.
Mọi giao thông qua VPN đều được mã hóa bất chấp nhu cầu có cần mã hóa hay
không dẫn đến hiện tượng tắc nghẽn cổ chai.
Không cung cấp sự bảo vệ bên trong mạng.
Terminal Services & Virtual Private Network 24
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
II. CÀI ĐẶT
II.1. Terminal Services
II.1.1. Các bước cơ bản
Quá trình cài đặt và cấu hình Termial Services gồm các bước cơ bản sau đây:
1. Cài đặt Terminal Services (Add role TS)
2. Cấp quyền cho user
3. Client kết nối vào Terminal Server qua Remote Desktop Connection
4. Client kết nối vào Terminal Server qua Web Access
5. Cấu hình Remote Application
6. Client kết nối Remote Application qua Web Access
7. Tạo file .rdp và client kết nối Remote Application qua file .rdp
8. Tạo file .msi và client cài đặt, sử dụng.
II.1.2. Yêu cầu
Gồm 2 máy cấu hình IP như hình II.1
Server DC1: Hệ điều hành Windows Server 2008, đã nâng cấp domain
nhom3.com
Client PC01: Hệ điều hành Windows 7 (hoặc cao hơn), đã join vào
domain nhom3.com
II.1.3. Quá trình cài đặt
II.1.3.1. Cài đặt Terminal Services (Add role TS)
Trên máy DC1 đăng nhập với quyền Administrator -> Mở Server Manager ->
Chọn Roles -> Chọn Add Roles
DC1
10.0.0.1/8
PC01
10.0.0.10/8
nhom3.com
Hình II.1: Mô hình triển khai TS
Terminal Services & Virtual Private Network 25
GVHD: Lê Hoàng Anh Nhóm 03 – DH12TH
Tại cửa sổ Before You Begin chọn Next.
Hình II.3: Cửa sổ Add Roles
Hình II.2: Cửa sổ Before You Begin