Hướng dẫn :
Cấu hình Router Internet : ta sẽ sử dụng 1 máy chạy windows server 2003 làm router internet .
với 2 card m ạng : card DaLat có IP 172.30.1.1/24 ; card SaiGon có IP 172.31.1.1/24 .
B1 : logon vao máy router internet bằng tài khoản Administrator .
B2 : start -> Administrator Tools -> Routing and Remote Access
126 trang |
Chia sẻ: lylyngoc | Lượt xem: 3863 | Lượt tải: 3
Bạn đang xem trước 20 trang tài liệu Triển khai dịch vụ VPN, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Triển khai dịch vụ VPN
Giáo viên hướng dẫn : Trần Ngô Như Khánh
Sinh viên thực hiện :
Nguyễn Viết Sơn 0612251
Nguyễn Văn Vinh 0610185
Lab 3 : Certification Authority
1. Phần 1: Cài đặt Stand-alone CA
Hướng dẫn :
Chú ý : Cài đặt Stand-alone CA trong trường hợp chúng ta cấp chứng chỉ CA cho Client thuộc
nhóm Workgroup .
Cài đặt dịch vụ CA :
B1 : logon vào máy A bằng tài khoản Administrator .
B2 : Start -> Run -> Control Panel - > Add or Remove Programs .
B3 : Trong cửa sổ Add or Remove Programs -> Click vào Add/Remove Windows
Compones -> check vào 2 ô Application Server và Certificate Sevices -> Next
B5 : chọn “ Stand-Alone root CA -> Next
B6 : ở khung Common name for this CA : nhập tên chứng chỉ -> Next .
B8 : Chon Finish .
Đã cài xong dịch vụ Certification
Từ máy B , xin cấp chứng chỉ CA .
B1 : mở IE -> nhập ( 10.10.150.1 là IP của máy A )
Click vào Request a Certificate
B2 : Click advancd certificate request -> Create and submit a request to this CA
B3 : nhập tên đăng ký -> submit .
Vậy là ta đã xin chứng chỉ CA cho máy B xong , giờ sang máy A
kiểm tra xem đã có chứng chỉ CA của máy B chưa .
Qua máy A : Start - > Adiministrator Tools -> Certification Authority -> Issued
Certificates
Chúng ta thấy đã có chứng chỉ CA của máy B .
2. Phần 2: Cấu hình Web server sử dụng SSL:
2.1 Mô hình triển khai :
Hướng dẫn :
Thực hiện tại máy A :
B1 : Start -> Administrator Tools -> Internet Information Services ( IIS ) Manager
B2 : Tại cửa sổ Internet Information Services ( IIS ) Manager -> chọn Web Sites
-> Ở Default Web Sites -> click chuột phải -> Properties
B3 : Tại cửa sổ Default Web Site Properties -> chọn tab Directory Security
-> Click Server Certificates … -> Click Next -> Create a new certificate
-> Click Next -> Click Next .
B4 : Ở hộp IIS Certificate Wizard -> nhập tên cho certificate -> click Next
B5 : Tại ô Country/Region : chọn VN(Viet Nam) và nhập thông tin ở những ô còn lại
B6 : Click Browse -> chọn nơi lưu trữ -> click Next -> Next -> Finish
B7 : Mở IE lên -> -> click Request a certificate -> click
advanced certificate request -> click submit a certificate request by using a base –
64 – encoded CMC or PKCS # 10 file or submit …..
B8 : Mở file lúc nãy vừa tạo rồi copy sau đó pase vào ô Saved request -> click Submit
B9 : mở IE : -> click View the status of a pending certificate
request -> click Save request certificate ( Sunday April 18 2010 10:35:59 AM ) -> click
download certificate
B10 : Start -> Administrator Tools -> Internet Information Services ( IIS ) Manager
B12 : Tại cửa sổ Internet Information Services ( IIS ) Manager -> chọn Web Sites
-> Ở Default Web Sites -> click chuột phải -> Properties
B13 : Tại cửa sổ Default Web Site Properties -> chọn tab Directory Security
-> Click Server Certificates … -> Click Next -> Click Next -> Click Next ->
click Browse -> tim đến file vừa download ở trên -> click Next - > Finish .
B14 : Click Edit.. - >
B15 : tại Default Web Site Properties -> click check vào Request sesure channel (SSL) và
request 128-bit encryption -> OK
Vậy đã cấu hình xong trên máy A truy cập Web sử dụng SSL . Giờ
sang máy B mở IE lên truy cập Web coi kết quả như thế nào .
Nhập ( 10.10.150.1 là IP của máy A ) -> thì kết quả như hình dưới .
Giờ nhập https://10.10.150.1 thì kết quả như hình dưới :
4. Phần 3: Chứng thực IPSec bằng CA
4.1 Mô hình triển khai :
Hướng dẫn :
Chú ý : máy cấp chứng chỉ CA tự động phải cài đặt Domain controller .
Triển khai cấp chứng chỉ tự động CA :
Các bước cài đặt làm giống như ở phần 1 , nhưng ta chọn Enterprise root CA
B2 : Start -> Run -> mmc -> Add /Remove Snap-in ….
B3 : Tại cửa sổ Add Standalone Snap-in -> Add 3 file Certificate Templates,
Certificates , Certification Authority . -> OK
B4 : Click Certificate Templates -> Duplicate Templates 2 chứng chỉ Computer và
IPSec .
B5 : Chọn Certification Authority -> Certificate Templates -> Click chuột phải ->
New Certificate Template to Issue -> Chọn IPSec và computer -> OK
B6 : Start -> Administrator Tools -> Domain Security Policy
Giờ ta sẽ cấp chứng chỉ tự động cho Server 1 và WS01 . Ta jon Server 1 và WS01 vào
Domain controller sau đó reset lại Server 1 và WS01 . ta thấy Server 1 và WS01 đã được
cấp chứng chỉ CA như hình dưới .
Lab 4: Remote Access VPN với Radius và DHCP Relay
Hướng dẫn :
Cấu hình RADIUS Server :
B1 : logon vào máy A bằng tài khoản Administrator .
B2 : Start -> Run -> Control Panel - > Add or Remove Programs .
B3 : Trong cửa sổ Add or Remove Programs -> Click vào Add/Remove Windows
Compones -> Click chuột vào Networking Services -> Details…-> chọn Internet
Authentication Services -> OK -> Click Next-> Finish .
B4 : Click chuột phải vào My Computer -> Manage -> Local Users and Groups -> User
Tạo một user ( tên : user1 ) và một group ( tên : VPNs ) sau đó add user1 vào VPNs .
user1 dùng Cho VPN connect tới thì dùng tài khoản này để đăng nhập .
B5 : Start -> Adminitrator Tools -> Internet Authentication Services .
Cài đặt dịch vụ Web và FTP Server :
B1 : Tạo một web site đơn giản lưu vào thư mục tên Web_Server và tạo một thư mục
FTP_Server .
B2 : Start -> Run -> Control Panel - > Add or Remove Programs
B3 : start -> Adminsitrator Tools -> Internet Information Services (IIS) Mangager.
B4 :
B5 : Cấu hình FTP làm tương tự như Web .
Kết quả như hình dưới :
Cấu hình VPN Server :
B1 : Logon vào máy VPN Server bằng tài khoản Administrator
B2 : Start -> Administrator Tools -> Routing and Remote Access
B6 : Cấu hình RADIUS :
Tạo kết nối VPN Client : Tại máy VPN Client ta làm như sau :
2. Phần 2: Remote Access VPN kết hợp DHCP Relay
Hướng dẫn :
Bài này chúng ta cấu hình giống như phần 1 của Lab 4 nhưng chỉ thêm 1 máy chạy dịch vụ
DHCP Server .
Cái bước cấu hình cho máy Web Server , RADIUS Server và VPN Client ta làm như phần 1 .
Chỉ có cấu hình VPN Server là hơi khác một chút .
Cấu hình DHCP Server :
B1 : Logon vào máy DHCP Server bằng quyền Administrator
B2 : Start -> Control Panel -> Add or Remove Programs
B3 : Tại cửa sổ : Add or Remove Programs -> chọn : Add/Remove Windows Component
B4 : Tại cửa sổ “ Windows Components Wizard “ -> chọn Networking Services ->
Details … -> Dynamics Host Configuration Protocol (DHCP ) -> OK -> Next ->
Finish .
B5 : Tạo một miển IP để tự động cấp địa chỉ IP cho VPN Client . start -> Administrator
Tools -> Dynamics Host Configuration Protocol ( DHCP ) .
Cấu hình VPN Server :
B1 : Logon vào máy VPN Server bằng quyền Administrator
B2 : Start -> Administrator Tools -> Routing and Remote Access
B6 : Cấu hình RADIUS :
Giờ từ VPN Client connect vào thì ta sẽ thấy kết quả như hình
dưới .
Lab 5: Triển khai Remote Access VPN sử dụng L2TP/IPSec
Hướng dẫn :
Bài lab5 thực hiện gần giống với phần 3 của bài lab 3 , nên mình không minh họa ở đây , các
muốn tham khảo thì có thể download những video mà mình đã làm từ bài lab 1 -> lab 7 ở 2 link
này : và
.
Lab 6: Triển khai Site-to-site VPN
Hướng dẫn :
Cấu hình Router Internet : ta sẽ sử dụng 1 máy chạy windows server 2003 làm router internet .
với 2 card mạng : card DaLat có IP 172.30.1.1/24 ; card SaiGon có IP 172.31.1.1/24 .
B1 : logon vao máy router internet bằng tài khoản Administrator .
B2 : start -> Administrator Tools -> Routing and Remote Access
Chú ý : Ở Router_DaLat tạo một tài khoản có tên : saigon ; password : 123 . Ở Router_SaiGon
tạo một tài khoản có tên : dalat ; password : 123 . 2 user nay được thiết lập Allow Access trong
phần Dial – in .
Cấu hình Router_DaLat :
B1 : logon vào máy Router_DaLat với quyền Administrator .
B2 : Start -> Administrator Tools -> Routing and Remote Access
B3 :
B4 :
Cấu hình Router_SaiGon ta làm tương tự như cấu hình Router_DaLat , nhưng ở một số
bước thì ta nhập IP là miền của chi nhánh DaLat và user của Router_DaLat tạo .
Giờ chúng ta connect từ chi nhánh Da Lat tới chi nhánh SaiGon .
Hướng dẫn :
Chú ý : Web Server mình đã cấu hình ở bài trước nến không cấu hình lại nữa .
Cấu hình ISA Server : Jon ISA Server vào Domain Controller rồi logon vào ISA Server bằng
quyền Administrator của Domain Controller rồi mới cài đặt ISA 2006 .
B1 : Chạy file Setup.exe
Cài đặt xong ISA 2006
B2 : Thiết lập lại miền IP ta làm như sau :
Mở chương trình ISA -> Click tên Server -> Configuration -> Network -> Click
chuột Internal -> Properties -> Address -> Click dãy IP -> chọn Edit -> Nhập lại dãy
IP theo chỉ định 192.168.2.0 -> 192.168.2.255 -> OK .
Cấu hình cho phép bên trong mạng nội bộ truy cập internet :
B1 : Right click vào Firewall Policy -> chọn New -> Access Rule
Đã cấu hình xong , giờ các máy bên trong mạng có thể truy cập internet .
Cấu hình cho phép VPN Client connect vao mạng nội bộ :
B1 : Cấu hình máy Domain Controller : Windows Server 2003 SP2
+ Tạo OU Remote Access . Tong OU Remote Access , tạo goup VNP_Users .
+ Ta sẽ tạo các User sử dụng VPN nằm trong OU này nhằm thuận tiện cho việc
quản lý .
+ Add các users vào group VPN_Users .
+ Cho các user quyền Allow Access trong phần Dial – in .
B2 : Cấu hình VPN Client to Gateway tại ISA Server .
+ Click chuột phải vào Virtual Private Network -> chọn Properties .
B3 : Trong hộp thoại Virtual Private Network -> chọn tab Address Assignment ->
chọn Static address pool -> nhấn Add -> Nhập vào IP range sẽ cấp cho Client . Starting
address : 10.10.1.1 ; Ending address : 10.10.1.254 . -> nhấn OK -> Apply .
B4 : Trong cửa sổ ISA Server Management , tại khung Task -> Click Enable VPN
Client Access - > Nhấn chọn Apply-> OK .
B5 : Click vào Configure VPN Client Access để qui định group được phép kết nối VPN
- Trong hộp thoại VPN Client Properties -> chọn tab Group -> Add vào group VPN_Users
B6 : Tạo access rule cho phép kết nối VPN tại ISA Server .
Đã cấu hình xong VPN to Gateway trên máy ISA Server .
Giờ sang máy VPN Client tạo connect thì chúng ta sẽ được kết quả như hình dưới .
Giờ chúng tao cấu hình Publishing Server để cho phép bên ngoài ( VPN Client ) có thể sử
dụng các dịch vụ ( Web server , Ftp , ..) được cung cấp trong mạng nội bộ .
Chú ý : ở máy Web Serve mình đã cấu hình web server và dịch vụ DNS với Forward Lookup
Zone tên miền : “ www.vietson.com.vn “ ở bài lab trước nên giờ mình chỉ sử dụng lại chứ
không cấu hình nữa nhé ^_^ .
B1 : Cấu hình Listening Web trên cổng Wan của ISA Server .
- Mở chương trình ISA Management
- Trong phần Network Objects -> Click chuột phải vào Web Listening -> chọn
New Listener…
B2 :
B3 : Tiếp theo ta cấu hình Publishing Website www.vietson.com.vn
B5 : Cấu hình bên máy VPN Client
- Mở My Computer -> vào thư mục C:\WINDOWS\system32\drivers\etc -> mở
file “ Hosts “ bằng Notepad và chèn thêm dòng như sau .
- Close và Save file Hosts lại .
- Giờ mở chương trình Internet Explore đánh ta sẽ truy cập
thành công vào Web Server của mạng nội bô .
Vậy là mình đã cấu hình xong dịch vụ VPN
kết hợp ISA 2006 .
Các file đính kèm theo tài liệu này:
- do_an_trien_khai_vpn_715.pdf