Đồ án Triển khai dịch vụ VPN
Bạn đang xem 20 trang mẫu của tài liệu "Đồ án Triển khai dịch vụ VPN", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
Tài liệu đính kèm:
- do_an_trien_khai_dich_vu_vpn.pdf
Nội dung text: Đồ án Triển khai dịch vụ VPN
- Triển khai dịch vụ VPN Giáo viên hướng dẫn : Trần Ngô Như Khánh Sinh viên thực hiện : Nguyễn Viết Sơn 0612251 Nguyễn Văn Vinh 0610185
- Lab 3 : Certification Authority 1. Phần 1: Cài đặt Stand-alone CA Hướng dẫn : Chú ý : Cài đặt Stand-alone CA trong trường hợp chúng ta cấp chứng chỉ CA cho Client thuộc nhóm Workgroup . Cài đặt dịch vụ CA : B1 : logon vào máy A bằng tài khoản Administrator . B2 : Start -> Run -> Control Panel - > Add or Remove Programs . B3 : Trong cửa sổ Add or Remove Programs -> Click vào Add/Remove Windows Compones -> check vào 2 ô Application Server và Certificate Sevices -> Next
- B5 : chọn “ Stand-Alone root CA -> Next
- B6 : ở khung Common name for this CA : nhập tên chứng chỉ -> Next . B8 : Chon Finish .
- Đã cài xong dịch vụ Certification Từ máy B , xin cấp chứng chỉ CA . B1 : mở IE -> nhập ( 10.10.150.1 là IP của máy A ) Click vào Request a Certificate
- B2 : Click advancd certificate request -> Create and submit a request to this CA B3 : nhập tên đăng ký -> submit .
- Vậy là ta đã xin chứng chỉ CA cho máy B xong , giờ sang máy A kiểm tra xem đã có chứng chỉ CA của máy B chưa . Qua máy A : Start - > Adiministrator Tools -> Certification Authority -> Issued Certificates Chúng ta thấy đã có chứng chỉ CA của máy B .
- 2. Phần 2: Cấu hình Web server sử dụng SSL: 2.1 Mô hình triển khai : Hướng dẫn : Thực hiện tại máy A : B1 : Start -> Administrator Tools -> Internet Information Services ( IIS ) Manager B2 : Tại cửa sổ Internet Information Services ( IIS ) Manager -> chọn Web Sites -> Ở Default Web Sites -> click chuột phải -> Properties
- B3 : Tại cửa sổ Default Web Site Properties -> chọn tab Directory Security -> Click Server Certificates -> Click Next -> Create a new certificate -> Click Next -> Click Next . B4 : Ở hộp IIS Certificate Wizard -> nhập tên cho certificate -> click Next
- B5 : Tại ô Country/Region : chọn VN(Viet Nam) và nhập thông tin ở những ô còn lại
- B6 : Click Browse -> chọn nơi lưu trữ -> click Next -> Next -> Finish
- B7 : Mở IE lên -> -> click Request a certificate -> click advanced certificate request -> click submit a certificate request by using a base – 64 – encoded CMC or PKCS # 10 file or submit
- B8 : Mở file lúc nãy vừa tạo rồi copy sau đó pase vào ô Saved request -> click Submit
- B9 : mở IE : -> click View the status of a pending certificate request -> click Save request certificate ( Sunday April 18 2010 10:35:59 AM ) -> click download certificate
- B10 : Start -> Administrator Tools -> Internet Information Services ( IIS ) Manager B12 : Tại cửa sổ Internet Information Services ( IIS ) Manager -> chọn Web Sites -> Ở Default Web Sites -> click chuột phải -> Properties B13 : Tại cửa sổ Default Web Site Properties -> chọn tab Directory Security -> Click Server Certificates -> Click Next -> Click Next -> Click Next -> click Browse -> tim đến file vừa download ở trên -> click Next - > Finish .
- B14 : Click Edit - > B15 : tại Default Web Site Properties -> click check vào Request sesure channel (SSL) và request 128-bit encryption -> OK
- Vậy đã cấu hình xong trên máy A truy cập Web sử dụng SSL . Giờ sang máy B mở IE lên truy cập Web coi kết quả như thế nào . Nhập ( 10.10.150.1 là IP của máy A ) -> thì kết quả như hình dưới .
- Giờ nhập thì kết quả như hình dưới :
- 4. Phần 3: Chứng thực IPSec bằng CA 4.1 Mô hình triển khai : Hướng dẫn : Chú ý : máy cấp chứng chỉ CA tự động phải cài đặt Domain controller .
- Triển khai cấp chứng chỉ tự động CA : Các bước cài đặt làm giống như ở phần 1 , nhưng ta chọn Enterprise root CA B2 : Start -> Run -> mmc -> Add /Remove Snap-in .
- B3 : Tại cửa sổ Add Standalone Snap-in -> Add 3 file Certificate Templates, Certificates , Certification Authority . -> OK B4 : Click Certificate Templates -> Duplicate Templates 2 chứng chỉ Computer và IPSec .
- B5 : Chọn Certification Authority -> Certificate Templates -> Click chuột phải -> New Certificate Template to Issue -> Chọn IPSec và computer -> OK
- B6 : Start -> Administrator Tools -> Domain Security Policy
- Giờ ta sẽ cấp chứng chỉ tự động cho Server 1 và WS01 . Ta jon Server 1 và WS01 vào Domain controller sau đó reset lại Server 1 và WS01 . ta thấy Server 1 và WS01 đã được cấp chứng chỉ CA như hình dưới .
- Lab 4: Remote Access VPN với Radius và DHCP Relay Hướng dẫn : Cấu hình RADIUS Server : B1 : logon vào máy A bằng tài khoản Administrator . B2 : Start -> Run -> Control Panel - > Add or Remove Programs .
- B3 : Trong cửa sổ Add or Remove Programs -> Click vào Add/Remove Windows Compones -> Click chuột vào Networking Services -> Details -> chọn Internet Authentication Services -> OK -> Click Next-> Finish .
- B4 : Click chuột phải vào My Computer -> Manage -> Local Users and Groups -> User Tạo một user ( tên : user1 ) và một group ( tên : VPNs ) sau đó add user1 vào VPNs . user1 dùng Cho VPN connect tới thì dùng tài khoản này để đăng nhập .
- B5 : Start -> Adminitrator Tools -> Internet Authentication Services .
- Cài đặt dịch vụ Web và FTP Server : B1 : Tạo một web site đơn giản lưu vào thư mục tên Web_Server và tạo một thư mục FTP_Server . B2 : Start -> Run -> Control Panel - > Add or Remove Programs
- B3 : start -> Adminsitrator Tools -> Internet Information Services (IIS) Mangager.
- B5 : Cấu hình FTP làm tương tự như Web .
- Kết quả như hình dưới :
- Cấu hình VPN Server : B1 : Logon vào máy VPN Server bằng tài khoản Administrator B2 : Start -> Administrator Tools -> Routing and Remote Access
- B6 : Cấu hình RADIUS :
- Tạo kết nối VPN Client : Tại máy VPN Client ta làm như sau :
- 2. Phần 2: Remote Access VPN kết hợp DHCP Relay Hướng dẫn : Bài này chúng ta cấu hình giống như phần 1 của Lab 4 nhưng chỉ thêm 1 máy chạy dịch vụ DHCP Server .
- Cái bước cấu hình cho máy Web Server , RADIUS Server và VPN Client ta làm như phần 1 . Chỉ có cấu hình VPN Server là hơi khác một chút . Cấu hình DHCP Server : B1 : Logon vào máy DHCP Server bằng quyền Administrator B2 : Start -> Control Panel -> Add or Remove Programs B3 : Tại cửa sổ : Add or Remove Programs -> chọn : Add/Remove Windows Component B4 : Tại cửa sổ “ Windows Components Wizard “ -> chọn Networking Services -> Details -> Dynamics Host Configuration Protocol (DHCP ) -> OK -> Next -> Finish .
- B5 : Tạo một miển IP để tự động cấp địa chỉ IP cho VPN Client . start -> Administrator Tools -> Dynamics Host Configuration Protocol ( DHCP ) .
- Cấu hình VPN Server : B1 : Logon vào máy VPN Server bằng quyền Administrator B2 : Start -> Administrator Tools -> Routing and Remote Access
- B6 : Cấu hình RADIUS :
- Giờ từ VPN Client connect vào thì ta sẽ thấy kết quả như hình dưới .
- Lab 5: Triển khai Remote Access VPN sử dụng L2TP/IPSec
- Hướng dẫn : Bài lab5 thực hiện gần giống với phần 3 của bài lab 3 , nên mình không minh họa ở đây , các muốn tham khảo thì có thể download những video mà mình đã làm từ bài lab 1 -> lab 7 ở 2 link này : và .
- Lab 6: Triển khai Site-to-site VPN
- Hướng dẫn : Cấu hình Router Internet : ta sẽ sử dụng 1 máy chạy windows server 2003 làm router internet . với 2 card mạng : card DaLat có IP 172.30.1.1/24 ; card SaiGon có IP 172.31.1.1/24 . B1 : logon vao máy router internet bằng tài khoản Administrator . B2 : start -> Administrator Tools -> Routing and Remote Access
- Chú ý : Ở Router_DaLat tạo một tài khoản có tên : saigon ; password : 123 . Ở Router_SaiGon tạo một tài khoản có tên : dalat ; password : 123 . 2 user nay được thiết lập Allow Access trong phần Dial – in . Cấu hình Router_DaLat : B1 : logon vào máy Router_DaLat với quyền Administrator . B2 : Start -> Administrator Tools -> Routing and Remote Access
- Cấu hình Router_SaiGon ta làm tương tự như cấu hình Router_DaLat , nhưng ở một số bước thì ta nhập IP là miền của chi nhánh DaLat và user của Router_DaLat tạo .
- Giờ chúng ta connect từ chi nhánh Da Lat tới chi nhánh SaiGon .
- Hướng dẫn : Chú ý : Web Server mình đã cấu hình ở bài trước nến không cấu hình lại nữa . Cấu hình ISA Server : Jon ISA Server vào Domain Controller rồi logon vào ISA Server bằng quyền Administrator của Domain Controller rồi mới cài đặt ISA 2006 .
- B1 : Chạy file Setup.exe
- Cài đặt xong ISA 2006 B2 : Thiết lập lại miền IP ta làm như sau : Mở chương trình ISA -> Click tên Server -> Configuration -> Network -> Click chuột Internal -> Properties -> Address -> Click dãy IP -> chọn Edit -> Nhập lại dãy IP theo chỉ định 192.168.2.0 -> 192.168.2.255 -> OK .
- Cấu hình cho phép bên trong mạng nội bộ truy cập internet : B1 : Right click vào Firewall Policy -> chọn New -> Access Rule
- Đã cấu hình xong , giờ các máy bên trong mạng có thể truy cập internet .
- Cấu hình cho phép VPN Client connect vao mạng nội bộ : B1 : Cấu hình máy Domain Controller : Windows Server 2003 SP2 + Tạo OU Remote Access . Tong OU Remote Access , tạo goup VNP_Users . + Ta sẽ tạo các User sử dụng VPN nằm trong OU này nhằm thuận tiện cho việc quản lý . + Add các users vào group VPN_Users . + Cho các user quyền Allow Access trong phần Dial – in . B2 : Cấu hình VPN Client to Gateway tại ISA Server . + Click chuột phải vào Virtual Private Network -> chọn Properties .
- B3 : Trong hộp thoại Virtual Private Network -> chọn tab Address Assignment -> chọn Static address pool -> nhấn Add -> Nhập vào IP range sẽ cấp cho Client . Starting address : 10.10.1.1 ; Ending address : 10.10.1.254 . -> nhấn OK -> Apply .
- B4 : Trong cửa sổ ISA Server Management , tại khung Task -> Click Enable VPN Client Access - > Nhấn chọn Apply-> OK .
- B5 : Click vào Configure VPN Client Access để qui định group được phép kết nối VPN - Trong hộp thoại VPN Client Properties -> chọn tab Group -> Add vào group VPN_Users
- B6 : Tạo access rule cho phép kết nối VPN tại ISA Server .
- Đã cấu hình xong VPN to Gateway trên máy ISA Server . Giờ sang máy VPN Client tạo connect thì chúng ta sẽ được kết quả như hình dưới .
- Giờ chúng tao cấu hình Publishing Server để cho phép bên ngoài ( VPN Client ) có thể sử dụng các dịch vụ ( Web server , Ftp , ) được cung cấp trong mạng nội bộ . Chú ý : ở máy Web Serve mình đã cấu hình web server và dịch vụ DNS với Forward Lookup Zone tên miền : “ www.vietson.com.vn “ ở bài lab trước nên giờ mình chỉ sử dụng lại chứ không cấu hình nữa nhé ^_^ . B1 : Cấu hình Listening Web trên cổng Wan của ISA Server . - Mở chương trình ISA Management - Trong phần Network Objects -> Click chuột phải vào Web Listening -> chọn New Listener B2 :
- B3 : Tiếp theo ta cấu hình Publishing Website www.vietson.com.vn
- B5 : Cấu hình bên máy VPN Client - Mở My Computer -> vào thư mục C:\WINDOWS\system32\drivers\etc -> mở file “ Hosts “ bằng Notepad và chèn thêm dòng như sau . - Close và Save file Hosts lại . - Giờ mở chương trình Internet Explore đánh ta sẽ truy cập thành công vào Web Server của mạng nội bô .
- Vậy là mình đã cấu hình xong dịch vụ VPN kết hợp ISA 2006 .