1. Trang chủ >
  2. Công nghệ thông tin >
  3. Quản trị mạng >

Giới thiệu về UAG DirectAccess

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (18.19 MB, 249 trang )


TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



thể đã được biết đến từ lâu. Mặc dù vậy, dù đang làm việc với công nghệ cũ hay mới thì tất

cả chúng đều không quá phức tạp. Cần tránh một số quan điểm cho rằng DirectAccess

không đáng với những gì phức tạp mà người dùng nó phải nỗ lực vượt qua.

Nhận thức này là vì trước khi UAG 2010 được phát hành, chỉ có một cách duy nhất có thể

triển khai DirectAccess là sử dụng giải pháp Windows DirectAccess đi kèm. Giải pháp này

tồn tại một số hạn chế so với giải pháp của UAG DirectAccess:













Windows DirectAccess hỗ trợ hạn chế khả năng sẵn có cao, cơ chế thường dùng

liên quan đến việc sử dụng Hyper-V và Windows failover cluster nhằm cung cấp khả

năng stand-by tốt. Bên cạnh đó cũng không có sự hỗ trợ cho việc cân bằng tải trọng

trong mạng (Network Load Balancing).

Windows DirectAccess không hỗ trợ các mảng DirectAccess. Nếu muốn thiết lập

nhiều máy chủ Windows DirectAccess, bạn cần cấu hình và quản lý chúng một cách

riêng biệt. Trái ngược lại, các máy chủ UAG DirectAccess lại có thể được cấu hình

theo mảng.

Máy chủ Windows DirectAccess không hỗ trợ các máy chủ chỉ hỗ trợ IPv4 (IPv4

only). Máy khách DirectAccess trên Internet cũng không thể kết nối với các máy chủ

dạng này. Điều đó có nghĩa rằng, nếu muốn sử dụng giải pháp Windows

DirectAccess, bạn cần nâng cấp các máy chủ của mình lên Windows Server 2008

hoặc mới hơn. Ngược lại, giải pháp UAG DirectAccess lại hỗ trợ đầy đủ các máy chủ

IPv4 trong mạng công ty.



Nếu có kế hoạch triển khai DirectAccess trong mạng công ty của mình, cách tốt nhất để

thực hiện điều đó là sử dụng giải pháp UAG DirectAccess.

23.2.



Kết nối máy khách DirectAccess



IPv6 chính là vẫn đề cốt lõi của giải pháp DirectAccess, đây là một trong những lý do khiến

nhiều quản trị viên có cảm giác không thể triển khai giải pháp vào thời điểm này. IPv6 rõ

ràng phức tạp hơn và với sự cắt giảm kinh phí lẫn nhân lực CNTT thì đây quả thực là một

trở ngại. Mặc dù vậy, với UAG, bạn không cần phải trở thành một chuyên gia IPv6, giải

pháp UAG DirectAccess sẽ tự động triển khai cơ sở hạ tầng IPv6 cần thiết.

Khi máy khách DirectAccess được kết nối với Internet, nó sẽ cố gắng thiết lập hai tunnel

Ipsec đến máy chủ UAG DirectAccess. Hai tunnel này sẽ sử dụng chế độ IPsec tunnel và

giao thức Encapsulating Security Payload (ESP) cùng mã hóa AES 192bit để bảo vệ sự riêng

tư.

Hai kiểu tunnel ở đây là:





Infrastructure

nhưng trước lúc

viên miền và tài

máy tính và xác



tunnel: Infrastructure tunnel bắt đầu khi máy tính khởi động

người dùng đăng nhập. Máy tính DirectAccess luôn là một thành

khoản của nó được sử dụng để đăng nhập thông qua chứng chỉ

thực NTLMv2. Thêm vào đó, nó phải thuộc nhóm bảo mật dành



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 133



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867







riêng cho các máy khách DirectAccess. tunnel này có kết nối hai chiều và các tác

nhân quản lý trên máy khách có thể gọi đến máy chủ quản lý trên mạng công ty.

Máy chủ quản lý có thể khởi tạo các kết nối đến máy khách DirectAccess khi tunnel

Infrastructure tunnel được thiết lập. Máy khách DirectAccess chỉ có thể kết nối thông

qua tunnel này để truy cập các máy chủ mà bạn chỉ định. tunnel này không cho

phép truy cập mở đối với toàn bộ mạng nội bộ.

Intranet tunnel: Intranet tunnel được thiết lập sau khi người dùng đăng nhập.

tunnel này cũng được mã hóa bằng ESP và AES 192. Việc xác thực được thực hiện

bằng chứng chỉ máy tính (giống infrastructure tunnel) và xác thực Kerberos cho tài

khoản người dùng. Intranet tunnel cho phép người dùng có thể truy cập tới bất cứ

tài nguyên nào nằm trong mạng nội bộ mà họ có thẩm quyền.



Có hai kiểu truy nhập bạn có thể sử dụng khi kích hoạt các máy khách DirectAccess để

kết nối đến mạng nội bộ. Bạn có thể chọn “end to edge” hoặc “end to end” tùy ý.

Chúng ta hãy đi xem xét hai kiểu này:









End to Edge: Khi sử dụng kiểu kết nối “end to edge”, máy khách DirectAccess sẽ

thiết lập một liên kết ở chế độ IPsec tunnel xác thực đến máy chủ UAG DirectAccess.

Sau khi hoàn thành kết nối Ipsec tại máy chủ DirectAccess, việc chuyển rời lưu

lượng từ máy chủ DirectAccess đến các máy chủ trong mạng nội bộ được xác thực

hoặc được mã hóa ở mức mạng.

End to End: Kiểu bảo mật mạng “end to end” cho phép bảo mật các kết nối với

Ipsec một cách xuyên suốt. Kết nối giữa máy khách và máy chủ DirectAccess sẽ

được mã hóa và được xác thực bằng chế độ IPsec tunnel. Sau khi lưu lượng rời máy

chủ DirectAccess để đến máy chủ khác trong mạng nội bộ, kết nối đó sẽ được

chuyển qua mạng nội bộ bằng chế độ IPsec transport. Mặc dù vậy, thiết lập mặc

định chỉ xác thực cho điểm kết cuối; kết nối ở chế độ transport không được mã hóa

để IDS mạng và các thiết bị bảo mật khác có thể đánh giá chúng trên mạng. Điều

này sẽ làm giảm một số xử lý không đáng có (overhead) liên quan đến kết nối

Ipsec.



Ngoài chứng chỉ máy tính, tài khoản máy tính (NTLMv2) và xác thực tài khoản người dùng

được sử dụng trong quá trình tạo các tunnel DirectAccess, bạn cũng có tùy chọn buộc người

dùng phải sử dụng xác thực Smart Card để thiết lập intranet tunnel, nâng cao khả năng bảo

mật cho giải pháp. Nếu xác thực bằng thẻ thông minh không đủ an toàn so với yêu cầu,

bạn có thể thực thi một số chính sách trên máy khách DirectAccess bằng NAP, lúc này máy

khách không đủ điều kiện sẽ bị cách ly trước khi cho phép thiết lập các tunnel infrastructure

tunnel và intranet tunnel.

Một điều quan trọng cần lưu ý ở đây là kết nối End to Edge hỗ trợ tất cả các mạng, điều

này không bắt buộc bạn phải có các host hỗ trợ IPv6 trong mạng nội bộ. Mặc dù vậy, nếu

muốn triển khai bảo mật “end to end” với chế độ IPsec tunnel và IPsec transport thì bạn

cần phải có các máy chủ Windows Server 2008 phía sau máy chủ DirectAccess. Ngoài ra,

_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 134



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



bạn có thể sử dụng lẫn các kiểu kết nối End to Edge và End to End; chúng không loại trừ

lẫn nhau.

Tất cả lưu lượng di chuyển giữa máy khách và máy chủ DirectAccess đều là lưu lượng IPv6.

Ngụ ý ở đây là rằng, dù các máy chủ phía sau UAG DirectAccess không nhận biết IPv6 (IPv6

aware) thì các ứng dụng máy khách phải hỗ trợ giao thức này. Để đáp ứng điều đó, bạn

cần đảm bảo các ứng dụng máy khách tương thích IPv6 trước khi triển khai DirectAccess.

Chúng ta cần làm rõ các thuật ngữ như “IPv6 aware”, “IPv6 capable”, “IPv6 only” và

“native IPv6”. Khi nói đến các mạng “native IPv6”, chúng ta cần hiểu rằng tất cả cơ sở hạ

tầng mạng ở đây (routers, DNS, DHCP,…) cũng như các máy khách và máy chủ hỗ trợ IPv6

một cách hoàn chỉnh. Ngược lại, thuật ngữ “IPv6 aware” nói đến việc không sử dụng IPv6

một cách xuyên suốt, chỉ có các ứng dụng máy khách và máy chủ có thể lợi dụng ưu điểm

của các kỹ thuật chuyển tiếp IPv6 để có thể làm việc trên các mạng IPv4. Trong khi đó các

mạng “IPv6 capable” có các host hỗ trợ the Intra-Site Automatic Tunnel Addressing Protocol

(ISATAP) để các tin nhắn IPv6 có thể được gửi qua mạng IPv6. Khi cài đặt UAG làm máy chủ

DirectAccess, nó sẽ tự cấu hình một ISATAP router để các tin nhắn IPv6 được chuyển đi bên

trong một header Ipv4 qua mạng IPv4, chính vì vậy không cần nâng cấp router và switch

DNS cũng như DHCP server để làm việc với kết nối IPv6.



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 135



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



III.



PHÂN TÍCH NỘI DUNG ĐỀ TÀI



1. KHÁO SÁT NHU CẦU DỰ ÁN

1.1.Tình huống đề tài:

Công Ty Cổ Phần Thương Mại Dịch Vụ D.M.A Computer Technology có một trụ sở tại Q1,

Tp. HCM và một trụ sở khác tại HÀ Nội với tên miền dma.vn. D.M.A chuyên:









Kinh doanh các mặt hàng thiết bị điện tử máy tính

Cung cấp thiết bị máy tính cho doanh nghiệp, trường học

Tư vấn hỗ trợ khách hàng qua mạng



Công ty cổ phần thương mại dịch vụ D.M.A Computer Technology đã có sẵng hạ tầng hệ

thống công nghệ thông tin. Với nhu cầu phát triển, mở rộng và đòi hỏi tính ổn định, an toàn

và hiệu quả trong kinh doanh. Bộ phận IT đã khảo sát tổng thể và đưa ra mô hình triển

khai như sau:



Hình III.1.1.1 Mô hình tổng quát công ty D.M.A Computer Technology



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 136



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 137



Xem Thêm

Tài liệu liên quan

Tải bản đầy đủ (.docx) (249 trang)

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×