Download - III 79MS-LAB VPN+PROJECT
![Page 1: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/1.jpg)
UC101
MS-LAB 報告
資策會第 79 期網路工程師養成班
KIKI 酒店網路規劃
專案流程
VPN 建置
指導老師:楊宏文、劉家聖、戴有煒
學員:范紘瑄 KIMO
E-MAIL:[email protected]
MS-LAB 報告 資策會第 79 期網路工程師養成班
KIKI 酒店網路規劃
專案流程
VPN 建置
UC101
指導老師:楊宏文、劉家聖、戴有煒
學員:范紘瑄 KIMO
E-MAIL:[email protected]
![Page 2: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/2.jpg)
1
目錄
前言: ............................................................. . 2
專案時程規劃 .................................................. 2
客戶要求 ....................................................... .. 10
客戶原先拓樸圖 ............................................. 11
網路架設更新流程圖 .................................... 11
規劃目標 ....................................................... . 12
改善拓樸圖 ..................................................... 14
VPN 建置 ....................................................... 15
VPN 架設步驟 ............................................... 15
實作問題解析 ................................................. 19
MS-LAB 心得 ................................................ 24
![Page 3: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/3.jpg)
2
前言:
此次很榮幸能擔任 MS-LAB 第一組的組長,我所負責的
階段任務為安排專案的時程、拓樸圖規劃、人員的調度以及
VPN 建置。對於能夠擔任組長一職,覺得學習到的不僅僅只
是分工合作以及個人負責的部分,如何掌握到全局以及規劃
人員任務分配更是我要處理的問題。
專案時程規劃:
在 LAB 中,我們模擬以一個網路公司的角度去接洽客戶,
並且幫客戶做網路環境上的改善,在接洽客戶完便與小組成
員進行多次的會議討論,以下則為 MS-LAB 前的會議記錄與
日誌部分:
日期 會議內容與日誌
2010/3/17
第一次 MS-LAB 會議:
今天請 Hubert 老師來為大家分配組員並說明 MSLAB 的目標,此次
LAB 分配成兩組,而我很榮幸被推舉擔任組長,便開始與組員討論
幾個重點:
1.公司需要的 SERVER 角色有哪
些
![Page 4: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/4.jpg)
3
2. 資策會可以借的配備有哪些,我們需要哪些配備? 3.目前討論出我們的底,即主機先以 2003 為準,因為 2008 太吃資 源。
4.每個人該負責哪一些部分? 5.組長對於時間規劃必須很嚴謹的掌握住,因為剛好卡到 TCP/IP 報告的時間。 6.PPT 字型、頁碼、動畫要注意 7.大家記得先去 MS LAB 分享區看拓樸圖
8.利用時間規劃圖來掌握住流程
此次會議全員到齊
2010/3/18
第二次 MS-LAB 會議 1.配備規格 統計組員的配備規格,以方便 LAB 的進行 2.拓樸圖 拓樸圖一定要去細心去研究,並且去了解每個規劃的部
分,而有問 過澤華學長的建議,一開始的拓樸圖規劃可以先照我們
的方式,即 是邊畫拓樸的同時,再慢慢加上覺得自己需要的配備,
例如 AP 可 先暫緩。而前幾期學長的拓樸圖記得去看,開會討論的
那兩張記得
在 MS LAB 分享區找一找,並於下次開會繳交拓樸圖給組長。
![Page 5: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/5.jpg)
4
3.收取公基金 由阿傑擔任財務,收取公基金以解決大量影印以及
其他開銷的需 求,目前每人先收取一百元
4.將公司內需要的 Server 以功能性去分配工作
※ AD 環境 : 家銘 、 昱宏
※ ISA+VPN :舒庭 、 阿傑 、 KIMO
※ EXCHANGE :志華 、 光庭
※ DMZ :文瑞 、 世隆
※ WSUS+SQL+FCS (SQL 先不加入):
村哥 、 阿能
※ RADIUS →AD 組負責
※ PRINT → EXCHANGE 組負責
※ BACKUP →FCS 組負責
此次會議全員到齊
2010/3/22
第三次 MS-LAB 會議 1.實體拓樸圖、實驗拓樸圖 拓樸圖繳交的情況不太理想,只有一
兩個人有畫,以公司的需求規劃出實體的拓樸圖,並且此次繪圖附
上"實驗拓樸圖",講述實驗的環境如何跟公司的實體拓樸圖相呼
應,以人事時地物去分析自己的 MS-LAB。
2.實驗的環境 實驗的環境位於宿舍,已規劃為世隆、舒庭、昱宏
![Page 6: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/6.jpg)
5
三間寢室做為 LAB 實驗地點,並考慮其他情況,如需要的設備以及
電力會不會因為受多台電腦影響實驗環境。
此次會議全員到齊
第四次 MS-LAB 會議
1.搬電腦到宿舍的問題
由於調課關係,原暫定 3/30 搬電腦至宿舍時間往後延至 4/1 日, 而
今天組員阿能則提出 4/1 日後需要複習的關係,並且詢問下其他
組員的狀況,目前都 OK,如果有其他方面的問題,請通知下組長。
2.TCP/IP 報告
詢問下組員準備 TCP/IP 報告的情況,了解各組員準備的過程,並
2010/3/24 不會影響到 MS-LAB 的進度,若有影響到的話,煩請與組長商量下, 斟酌分配時間。 3.討論各組別的情況:
(1) AD 組:目前仍在規劃拓樸圖,並且將於明日與大家討論
IP 分配的問題。
(2) ISA 組:目前幾乎都以研讀至第四章,速度必須加快,因 為
重點的 back-to-back 以及 VPN 在第九跟第十章,而
CARP 在第十三章。
(3) Exchange 組:硬體已實際操作,但目前卡在內部軟體的
![Page 7: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/7.jpg)
6
一些使用與功能測試。
(4) WSUS 組:WSUS 卡在更新部分,因為會下載所有相關更新,
資料量太大,無法測試。而 SQL 先不著手,在 backup 部 分,
拿不到企業軟體,問問看學長或尋找其他方法。
P.S Backup 部分已詢問過學長,他們當初是在網路上蒐尋到賽門
鐵克的試用版,學長說我們先去搜尋看看,真的找不到再找學長拿。
(5) DMZ 組:硬體已實際操作,而 Web Farm 還不太穩定;FTPS
處理 OK,SMTP Relay 與 Exchange 組配吅。
4.報告的技巧
晚輔時間與澤華學長請教報告的技巧與 MS-LAB 的一些注意事項:
(1) PPT 須具備我們組員的特色,並針對主題去規劃、建置,
而不是我們組的 PPT 擺在任何的 PPT 都可套用。
(2) 報告時,可以準備筆電,確定筆店有安裝 POWER CAM,
並 測試過。
(3) 報告最忌諱照著念,若照著念,很有可能會被老師叫下
來,因此彩排時煩請各位組員請注意下。
(4) 報告的過程盡量不要講太多理論,因為底下的老師比我
們更懂,報告須具備人性化,可以闡述下 MS-LAB 過程遭
遇 到的問題與解決方式。
![Page 8: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/8.jpg)
7
(5) PPT 須注意底圖、字型與大小、頁碼、與動畫,並且考慮
到動畫與背景是否會適吅 106 教室的投影片,組員並請
注意,要多利用觸控面板。
第五次 MS-LAB 會議
1.分配各網段的 IP
2.TCP/IP 報告 已完成人員:舒庭、阿傑、KIMO、阿能
錄音:文瑞、光庭、世隆、家銘、志華、村哥、昱宏
3.需要配備
要跟資策會借的配備如下:
2010/3/29 網卡 5 張 →更改為 10 張
HUB 5 台 →更改為 15 台
網路線,剝線器與夾線器各數份
網路接頭
4.PPT PPT 須跟每小組的成員討論一份 PPT 給組長,並含頁碼、統一字型、
背景等,細部將會再次開會討論。
5.以規模型酒店為 MS-LAB 規劃主題。
此次會議全員到齊
![Page 9: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/9.jpg)
8
第六次 MS-LAB 會
議
1.配備部分
配備已經借到,目前擺放在宿舍,兩組為網卡 24 張,HUB20 台,剪
線器、夾線器、測線器各一組,網路線數捆﹝已有網路接頭﹞,網 路
接頭約 3X 個。
2.討論 LAB 背景及拓樸圖
討論 LAB 委託我們公司的背景,以及為委託公司所規劃的拓樸圖,
為何委託我們的原因及我們所提供的方案以及實驗背景。
3.服裝
2010/4/2 報告當天請統一上衣穿著襯衫,盡可能避免穿牛仔褲,表現得體。
4.VPN SERVER VPN 是否也要跟 CSS 一樣另外架在 AD 內部,減少 ISA 負擔,也由
於 VPN 須使用 2008 架設才具 NAP 功能,ISA 組請 SERVEY 下,最後
決定由我負責 VPN 部分。
5.PPT
PPT 統一用 2003 去作簡報 封面:大標
題 54、內文 32 內容:大標題 36、小標
題 32、內文 28 中文字型:新細明體
![Page 10: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/10.jpg)
9
英文數字字型:Time New Roman 之後要討論出一個包含背景、標題
位置範本,大家再以這範本去製 作。而報告時間要斟酌,並與 PPT
數量配吅。
6.防毒牆 FCS 組請 SERVEY 下防毒牆部分。 7.拓樸圖 此次會議將我所繪製的拓樸圖當作討論,分別有以下要
改進的地方:
(1) DMZ 區的 WEB SERVER 要有 WEB
FARM
(2) IP 設定要改進,因為有 NIP 部分
(3) ADRMS 要單獨一個SERVER
(4) RADIUS 加入
(5) 分公司的 BACKUP 會議缺席成員:志華、泰能
2010/4/6
先簡單在宿舍佈了一部分的線路,釐清一些 Routing table 的觀念 這
天也知道志華將會退訓,LAB 越來越近,雖然少了一位一起奮鬥
的夥伴,但是沒關係 一起加油奮鬥填滿志華的空缺。努力越多就
收穫越多!
MS-LAB 加油!!
![Page 11: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/11.jpg)
10
PLAN DO CHECK ACT →PDCA 循環
當日佈線成員:KIMO、舒庭、光庭、阿傑、家銘
客戶要求:
客戶的公司網路上由於有下列幾點情形,因此委託我們
去做網路環境的規劃及更新
<1>酒店營運網站時常遭受到攻擊
<2>區域網路的環境
<3>員工使用電腦頻繁,並且經常中毒
<4>缺少防火牆
<5>總店與分店之間必須互相傳送資料
![Page 12: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/12.jpg)
11
客戶原先拓樸圖:
網路架設更新流程圖:
網路架設更新流程圖
網路架設更新提案 地形勘查
線路圖繪製 設備預算評估 線路配置
線路修改
實際施工 線路完工測試
架設完成
5
![Page 13: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/13.jpg)
12
規劃目標:
針對原先客戶的情形,我們以下列幾點為我們所要規劃達到
的目標:
<1>建置 AD 環境
建置 AD 環境,提高整合性的管理,並且建置兩台 DC 以 達
到容錯的機制。對於員工之間的資料存取可以達到便利性, 且
對於管理者更能有效控管資源以及網路環境的安全。
<2>企業防毒的選用 在企業防毒的選用部分,由於客戶環
境的作業系統多為
微軟,因此我們選擇微軟的 FCS 防毒軟體,解決相容性的問
題。FCS 簡化的系統管理、報告、分析和部署可讓您更有效
率地保護組織的資訊資源,並保護應用程式及伺服器的存 取。
<3>防火牆的選用
我們選用了軟體的防火牆 ISA Server 2006 ,其中幾個
原因便是因為成本的考量,在價格上比硬體式防火牆相對低
![Page 14: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/14.jpg)
13
廉,此外在需要做防火牆的設定變更時,軟體防火牆的變更
較具有彈性。防火牆的建置部分,我們建置 Back – to – Back
的防火牆,並將欲開放給外不使用者存取的資源放置於
DMZ 區,前牆與後牆並分別建置了 NLB 來達到容錯功能。
<4>營運網頁的建置
營運網頁我們將其建置於 DMZ 區作對外開放,並且建置
兩台以上的 WEB SERVER 並具 DFS 複寫,使兩台 WEB
SERVER 的資料保持同步。
<5>VPN 的建置 由於總店與分店之間需要傳送客戶資料,
由於之前傳送
資料的方式是暴露在外傳送,對於資料缺乏安全性的考量,
因此我們建置 VPN TURNEL 使兩地之間能夠透過此專線作
一溝通或互相存取資料,並且達到資料的安全保護。
![Page 15: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/15.jpg)
14
改善拓樸圖:
![Page 16: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/16.jpg)
15
VPN 建置:
VPN 建置部分我們做了以下的規劃:
<1>Site – to – Site
總店與分店之間建立一個站台對站台的 VPN 連線,使兩
邊區域網路可以透過 VPN SERVER 來做安全的溝通,使兩地
使用者感覺像是位於同一個地點。
<2>VPN Client
讓遠地能夠透過上網的 VPN 用戶端可以透過網際網路連
線至總店與分店的 VPN SERVER,並且存取公司內部的資
料。
<3>VPN 通訊協定
在 VPN 用戶端以及 Site – to – Site 的通訊協定都採用
L2TP/IPSec –憑證的方式來提高安全性。
VPN 架設步驟:
由於我們的 VPN SERVER 是獨立為了要配合 NAP 做健
康檢查的一個情況,必須選用 2008 的作業系統,因此不
利用 ISA SERVER 來架設。
總店的 VPN SERVER1 以及分店的 VPN SERVER 2 皆需
![Page 17: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/17.jpg)
16
具有兩張網卡,VPN SERVER1 一張網卡連接至總店內
部網路 kiki.com,而另一張網卡則連接至網際網路;VPN
SERVER2 則是一張連接至分店內部網路並且先不做子網
域 momo.kiki.com 的建置,等 VPN 連線建立之後再執
行,另一張一樣也是連接至網際網路,而在宿舍的環境,
我們以實體線路來模擬成雲端,來測試 VPN 連線的建 立。
開啟路由及遠端存取服務,分別對 VPN1 及 VPN2 按右
鍵設定路由及遠端存取,由於我們需包含 VPN CLIENT
及 Site – to – Site,因此設定選擇自訂,並勾選 VPN 存
取及指定撥號連線。
![Page 18: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/18.jpg)
17
VPN1 及 VPN2 分別創建一個新的撥號介面,並且兩邊
都須具備可撥入的使用者帳號,在創建撥號介面的時候
可以一起新增。而 VPN SERVER 不加入網域,我們選擇
透過 RADIUS 機制來驗證使用者身份。
VPN 創建完先以 PPTP 作連線測試,若可以再向獨立 CA
申請 IPSec 憑證並信任憑證。
![Page 19: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/19.jpg)
18
VPN CLIENT 端部分,DHCP 轉接代理設定至 DHCP
SERVER,在 CLIENT 端,先測試 PPTP 連線可成功,成
功之後在信任憑證,以 L2TP/IPSec 憑證方式來驗證。
![Page 20: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/20.jpg)
19
實作問題解析:
﹝問題一﹞Site – to – Site 連線建立但無法存取總公司
的電腦:
解決方法:
無法直接用 NetBIOS 直接去存取資源的原因是由於
DNS 的關係,因此可以在進階設定上加入 DNS SERVER
的 IP 確定會指向此處即可。
![Page 21: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/21.jpg)
20
﹝問題二﹞Site – to – Site 連線成功,將連線中斷後,屢
次出現連線遭拒,密碼無效的訊息:
解決方法: 根據敘述逐步去尋找問題,發現這是當我第
一次啟用 RADIUS 驗證之後發生的問題,因為 VPN
SERVER 選定
![Page 22: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/22.jpg)
21
RADIUS 驗證之後,並無指定 RADIUS SERVER,指定完
即可連線成功。
﹝問題三﹞VPN CLIENT 連線建立成功,但無法存取總
店內部資源:
解決方法:
建立連線成功之後,發現 VPN CLIENT 的 IP 為
169.254.219.68 的 IP 位址,因此設定 DHCP 轉接代理,
之後會拿到公司內部網路的 IP 即可與公司內部溝通。
![Page 23: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/23.jpg)
22
﹝問題四﹞VPN Site – to – Site 連線中斷以後,出現連
線介面錯誤的訊息:
![Page 24: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/24.jpg)
23
解決方法:
此次問題是我卡最久的地方,斷線以後就一直是這樣的
情況,嘗試了一整晚到早上仍然找不到解決方式,有考
慮到會不會是 Windows 更新影響到作業系統,但停止後
情況依舊,甚至重新架設仍然無法解決,之後等睡醒之
後再次重新架設,便突然就可以通了。因此,遇到問題
時,要讓自己冷靜下來,適度的休息或等待也可以解決
問題。
﹝問題五﹞Site – to – Site 連線建立以後,分店可以
PING 得到總店,但總店無法 PING 到分店:
解決方法:
後來找到問題是發現是在 NAP 的地方設定出現問題,
NAP 新增了一個 NAP VPN 原則,將此原則啟用取消,
總店又可以 PING 到分店了。
![Page 25: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/25.jpg)
24
MS-LAB 心得:
其實這一次短短為期的五天,我們實際動工相當得晚,
因此都很倉促,在短短的時間之內如何與團體一起解決
奮鬥是一項非常值得重視的事,而且我們在報告之前,
其實實際動手去操作的次數並不多,因此如何將虛擬環
境模擬出來的情形擺設到現實的情況發生許多的問題,
有時真的找不到問題所在時,再去考慮到設備的問題,
並且如何與其他人互相串聯起來也相當重要,有時可能
會因為自己負責的部分,而影響到隊友的架設流暢度,
因此作備份的動作是相當具有必要性的。來資策會這邊
便是一個團隊學習的一個環境,有時候可能旁觀者清,
別人的角度來看問題點可能會更清晰,在自己努力嘗試
過後,不彷可以多跟其他人一起討論問題,彼此分享這
便是一種成長。
![Page 26: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/26.jpg)
25
在人員規劃上,其實擔任組長的我遇到很大的難題,
因為中間有組員退訓,在人員規劃上必須做到一個調整,
以致不影響 LAB 的流暢性,因此人員的調度更是我所學
習到部分;團隊間合作的氣氛如何營造出來也相當重要,
此次擔任組長真的讓我學習到很多很多規劃的細節,並
且在負責項目部分,能夠完成自己所要的目標是一大收
穫;不過自己在全組驗收部分,以後更要放眼掌握住全
局,做到每一個環節的串聯非常重要。
在此次 LAB 其實就是不斷的 PDCA,不斷的 PLAN→
DO→CHECK→ACT 循環;要達到我們的目標便是不斷
的規劃以及實踐,能與團隊一起奮鬥的感覺真的很甜美,
也期許此次短暫的 LAB 時光能讓自我有所成長,並由衷
感謝這三個月來,楊宏文老師不斷的鼓勵,帶著我走出
親人過世的低潮;劉家聖老師辛苦的為我們打好良好的
基礎,並時常多花課餘時間為我們作更詳細的教學;戴
有煒老師教導我們如何做伺服器的應用以及觀念的提升,
並且如何加快自己學習的節奏以應付之後 LINUX 的課程,
其中要謝謝經常指導我的澤華學長,花很多課餘時間為 我
點出 LAB 中哪幾個地方該注意,或者拓樸圖中的缺失;
![Page 27: III 79MS-LAB VPN+PROJECT](https://reader036.vdocuments.pub/reader036/viewer/2022062310/568bde071a28ab2034b7fb94/html5/thumbnails/27.jpg)
26
並感謝育綸學長花心思為我們分析拓樸圖以及投影片該
注意的細節。感謝 LAB 中時常遇到問題,花自己時間幫
我看問題的文瑞以及錦村;更感謝另一組的紹偉及暉哥
不斷指導我 VPN 及 RADIUS 觀念;感謝我最愛的女朋友
小芬,這段時間的體諒與關心;最後要感謝我所有的組
員們,謝謝你們的努力及奮鬥,讓我們此次 LAB 能夠做
個漂亮的收尾,期許自我能夠在下一階段 LINUX 課程繼
續成長以及不斷的充實自我,並且不忘記這段時間的心
情,維持著這份動力持續前進,加油!!