iii 79ms-lab vpn+project
DESCRIPTION
directed by KIMOTRANSCRIPT
UC101
MS-LAB 報告
資策會第 79 期網路工程師養成班
KIKI 酒店網路規劃
專案流程
VPN 建置
指導老師:楊宏文、劉家聖、戴有煒
學員:范紘瑄 KIMO
E-MAIL:[email protected]
MS-LAB 報告 資策會第 79 期網路工程師養成班
KIKI 酒店網路規劃
專案流程
VPN 建置
UC101
指導老師:楊宏文、劉家聖、戴有煒
學員:范紘瑄 KIMO
E-MAIL:[email protected]
1
目錄
前言: ............................................................. . 2
專案時程規劃 .................................................. 2
客戶要求 ....................................................... .. 10
客戶原先拓樸圖 ............................................. 11
網路架設更新流程圖 .................................... 11
規劃目標 ....................................................... . 12
改善拓樸圖 ..................................................... 14
VPN 建置 ....................................................... 15
VPN 架設步驟 ............................................... 15
實作問題解析 ................................................. 19
MS-LAB 心得 ................................................ 24
2
前言:
此次很榮幸能擔任 MS-LAB 第一組的組長,我所負責的
階段任務為安排專案的時程、拓樸圖規劃、人員的調度以及
VPN 建置。對於能夠擔任組長一職,覺得學習到的不僅僅只
是分工合作以及個人負責的部分,如何掌握到全局以及規劃
人員任務分配更是我要處理的問題。
專案時程規劃:
在 LAB 中,我們模擬以一個網路公司的角度去接洽客戶,
並且幫客戶做網路環境上的改善,在接洽客戶完便與小組成
員進行多次的會議討論,以下則為 MS-LAB 前的會議記錄與
日誌部分:
日期 會議內容與日誌
2010/3/17
第一次 MS-LAB 會議:
今天請 Hubert 老師來為大家分配組員並說明 MSLAB 的目標,此次
LAB 分配成兩組,而我很榮幸被推舉擔任組長,便開始與組員討論
幾個重點:
1.公司需要的 SERVER 角色有哪
些
3
2. 資策會可以借的配備有哪些,我們需要哪些配備? 3.目前討論出我們的底,即主機先以 2003 為準,因為 2008 太吃資 源。
4.每個人該負責哪一些部分? 5.組長對於時間規劃必須很嚴謹的掌握住,因為剛好卡到 TCP/IP 報告的時間。 6.PPT 字型、頁碼、動畫要注意 7.大家記得先去 MS LAB 分享區看拓樸圖
8.利用時間規劃圖來掌握住流程
此次會議全員到齊
2010/3/18
第二次 MS-LAB 會議 1.配備規格 統計組員的配備規格,以方便 LAB 的進行 2.拓樸圖 拓樸圖一定要去細心去研究,並且去了解每個規劃的部
分,而有問 過澤華學長的建議,一開始的拓樸圖規劃可以先照我們
的方式,即 是邊畫拓樸的同時,再慢慢加上覺得自己需要的配備,
例如 AP 可 先暫緩。而前幾期學長的拓樸圖記得去看,開會討論的
那兩張記得
在 MS LAB 分享區找一找,並於下次開會繳交拓樸圖給組長。
4
3.收取公基金 由阿傑擔任財務,收取公基金以解決大量影印以及
其他開銷的需 求,目前每人先收取一百元
4.將公司內需要的 Server 以功能性去分配工作
※ AD 環境 : 家銘 、 昱宏
※ ISA+VPN :舒庭 、 阿傑 、 KIMO
※ EXCHANGE :志華 、 光庭
※ DMZ :文瑞 、 世隆
※ WSUS+SQL+FCS (SQL 先不加入):
村哥 、 阿能
※ RADIUS →AD 組負責
※ PRINT → EXCHANGE 組負責
※ BACKUP →FCS 組負責
此次會議全員到齊
2010/3/22
第三次 MS-LAB 會議 1.實體拓樸圖、實驗拓樸圖 拓樸圖繳交的情況不太理想,只有一
兩個人有畫,以公司的需求規劃出實體的拓樸圖,並且此次繪圖附
上"實驗拓樸圖",講述實驗的環境如何跟公司的實體拓樸圖相呼
應,以人事時地物去分析自己的 MS-LAB。
2.實驗的環境 實驗的環境位於宿舍,已規劃為世隆、舒庭、昱宏
5
三間寢室做為 LAB 實驗地點,並考慮其他情況,如需要的設備以及
電力會不會因為受多台電腦影響實驗環境。
此次會議全員到齊
第四次 MS-LAB 會議
1.搬電腦到宿舍的問題
由於調課關係,原暫定 3/30 搬電腦至宿舍時間往後延至 4/1 日, 而
今天組員阿能則提出 4/1 日後需要複習的關係,並且詢問下其他
組員的狀況,目前都 OK,如果有其他方面的問題,請通知下組長。
2.TCP/IP 報告
詢問下組員準備 TCP/IP 報告的情況,了解各組員準備的過程,並
2010/3/24 不會影響到 MS-LAB 的進度,若有影響到的話,煩請與組長商量下, 斟酌分配時間。 3.討論各組別的情況:
(1) AD 組:目前仍在規劃拓樸圖,並且將於明日與大家討論
IP 分配的問題。
(2) ISA 組:目前幾乎都以研讀至第四章,速度必須加快,因 為
重點的 back-to-back 以及 VPN 在第九跟第十章,而
CARP 在第十三章。
(3) Exchange 組:硬體已實際操作,但目前卡在內部軟體的
6
一些使用與功能測試。
(4) WSUS 組:WSUS 卡在更新部分,因為會下載所有相關更新,
資料量太大,無法測試。而 SQL 先不著手,在 backup 部 分,
拿不到企業軟體,問問看學長或尋找其他方法。
P.S Backup 部分已詢問過學長,他們當初是在網路上蒐尋到賽門
鐵克的試用版,學長說我們先去搜尋看看,真的找不到再找學長拿。
(5) DMZ 組:硬體已實際操作,而 Web Farm 還不太穩定;FTPS
處理 OK,SMTP Relay 與 Exchange 組配吅。
4.報告的技巧
晚輔時間與澤華學長請教報告的技巧與 MS-LAB 的一些注意事項:
(1) PPT 須具備我們組員的特色,並針對主題去規劃、建置,
而不是我們組的 PPT 擺在任何的 PPT 都可套用。
(2) 報告時,可以準備筆電,確定筆店有安裝 POWER CAM,
並 測試過。
(3) 報告最忌諱照著念,若照著念,很有可能會被老師叫下
來,因此彩排時煩請各位組員請注意下。
(4) 報告的過程盡量不要講太多理論,因為底下的老師比我
們更懂,報告須具備人性化,可以闡述下 MS-LAB 過程遭
遇 到的問題與解決方式。
7
(5) PPT 須注意底圖、字型與大小、頁碼、與動畫,並且考慮
到動畫與背景是否會適吅 106 教室的投影片,組員並請
注意,要多利用觸控面板。
第五次 MS-LAB 會議
1.分配各網段的 IP
2.TCP/IP 報告 已完成人員:舒庭、阿傑、KIMO、阿能
錄音:文瑞、光庭、世隆、家銘、志華、村哥、昱宏
3.需要配備
要跟資策會借的配備如下:
2010/3/29 網卡 5 張 →更改為 10 張
HUB 5 台 →更改為 15 台
網路線,剝線器與夾線器各數份
網路接頭
4.PPT PPT 須跟每小組的成員討論一份 PPT 給組長,並含頁碼、統一字型、
背景等,細部將會再次開會討論。
5.以規模型酒店為 MS-LAB 規劃主題。
此次會議全員到齊
8
第六次 MS-LAB 會
議
1.配備部分
配備已經借到,目前擺放在宿舍,兩組為網卡 24 張,HUB20 台,剪
線器、夾線器、測線器各一組,網路線數捆﹝已有網路接頭﹞,網 路
接頭約 3X 個。
2.討論 LAB 背景及拓樸圖
討論 LAB 委託我們公司的背景,以及為委託公司所規劃的拓樸圖,
為何委託我們的原因及我們所提供的方案以及實驗背景。
3.服裝
2010/4/2 報告當天請統一上衣穿著襯衫,盡可能避免穿牛仔褲,表現得體。
4.VPN SERVER VPN 是否也要跟 CSS 一樣另外架在 AD 內部,減少 ISA 負擔,也由
於 VPN 須使用 2008 架設才具 NAP 功能,ISA 組請 SERVEY 下,最後
決定由我負責 VPN 部分。
5.PPT
PPT 統一用 2003 去作簡報 封面:大標
題 54、內文 32 內容:大標題 36、小標
題 32、內文 28 中文字型:新細明體
9
英文數字字型:Time New Roman 之後要討論出一個包含背景、標題
位置範本,大家再以這範本去製 作。而報告時間要斟酌,並與 PPT
數量配吅。
6.防毒牆 FCS 組請 SERVEY 下防毒牆部分。 7.拓樸圖 此次會議將我所繪製的拓樸圖當作討論,分別有以下要
改進的地方:
(1) DMZ 區的 WEB SERVER 要有 WEB
FARM
(2) IP 設定要改進,因為有 NIP 部分
(3) ADRMS 要單獨一個SERVER
(4) RADIUS 加入
(5) 分公司的 BACKUP 會議缺席成員:志華、泰能
2010/4/6
先簡單在宿舍佈了一部分的線路,釐清一些 Routing table 的觀念 這
天也知道志華將會退訓,LAB 越來越近,雖然少了一位一起奮鬥
的夥伴,但是沒關係 一起加油奮鬥填滿志華的空缺。努力越多就
收穫越多!
MS-LAB 加油!!
10
PLAN DO CHECK ACT →PDCA 循環
當日佈線成員:KIMO、舒庭、光庭、阿傑、家銘
客戶要求:
客戶的公司網路上由於有下列幾點情形,因此委託我們
去做網路環境的規劃及更新
<1>酒店營運網站時常遭受到攻擊
<2>區域網路的環境
<3>員工使用電腦頻繁,並且經常中毒
<4>缺少防火牆
<5>總店與分店之間必須互相傳送資料
11
客戶原先拓樸圖:
網路架設更新流程圖:
網路架設更新流程圖
網路架設更新提案 地形勘查
線路圖繪製 設備預算評估 線路配置
線路修改
實際施工 線路完工測試
架設完成
5
12
規劃目標:
針對原先客戶的情形,我們以下列幾點為我們所要規劃達到
的目標:
<1>建置 AD 環境
建置 AD 環境,提高整合性的管理,並且建置兩台 DC 以 達
到容錯的機制。對於員工之間的資料存取可以達到便利性, 且
對於管理者更能有效控管資源以及網路環境的安全。
<2>企業防毒的選用 在企業防毒的選用部分,由於客戶環
境的作業系統多為
微軟,因此我們選擇微軟的 FCS 防毒軟體,解決相容性的問
題。FCS 簡化的系統管理、報告、分析和部署可讓您更有效
率地保護組織的資訊資源,並保護應用程式及伺服器的存 取。
<3>防火牆的選用
我們選用了軟體的防火牆 ISA Server 2006 ,其中幾個
原因便是因為成本的考量,在價格上比硬體式防火牆相對低
13
廉,此外在需要做防火牆的設定變更時,軟體防火牆的變更
較具有彈性。防火牆的建置部分,我們建置 Back – to – Back
的防火牆,並將欲開放給外不使用者存取的資源放置於
DMZ 區,前牆與後牆並分別建置了 NLB 來達到容錯功能。
<4>營運網頁的建置
營運網頁我們將其建置於 DMZ 區作對外開放,並且建置
兩台以上的 WEB SERVER 並具 DFS 複寫,使兩台 WEB
SERVER 的資料保持同步。
<5>VPN 的建置 由於總店與分店之間需要傳送客戶資料,
由於之前傳送
資料的方式是暴露在外傳送,對於資料缺乏安全性的考量,
因此我們建置 VPN TURNEL 使兩地之間能夠透過此專線作
一溝通或互相存取資料,並且達到資料的安全保護。
14
改善拓樸圖:
15
VPN 建置:
VPN 建置部分我們做了以下的規劃:
<1>Site – to – Site
總店與分店之間建立一個站台對站台的 VPN 連線,使兩
邊區域網路可以透過 VPN SERVER 來做安全的溝通,使兩地
使用者感覺像是位於同一個地點。
<2>VPN Client
讓遠地能夠透過上網的 VPN 用戶端可以透過網際網路連
線至總店與分店的 VPN SERVER,並且存取公司內部的資
料。
<3>VPN 通訊協定
在 VPN 用戶端以及 Site – to – Site 的通訊協定都採用
L2TP/IPSec –憑證的方式來提高安全性。
VPN 架設步驟:
由於我們的 VPN SERVER 是獨立為了要配合 NAP 做健
康檢查的一個情況,必須選用 2008 的作業系統,因此不
利用 ISA SERVER 來架設。
總店的 VPN SERVER1 以及分店的 VPN SERVER 2 皆需
16
具有兩張網卡,VPN SERVER1 一張網卡連接至總店內
部網路 kiki.com,而另一張網卡則連接至網際網路;VPN
SERVER2 則是一張連接至分店內部網路並且先不做子網
域 momo.kiki.com 的建置,等 VPN 連線建立之後再執
行,另一張一樣也是連接至網際網路,而在宿舍的環境,
我們以實體線路來模擬成雲端,來測試 VPN 連線的建 立。
開啟路由及遠端存取服務,分別對 VPN1 及 VPN2 按右
鍵設定路由及遠端存取,由於我們需包含 VPN CLIENT
及 Site – to – Site,因此設定選擇自訂,並勾選 VPN 存
取及指定撥號連線。
17
VPN1 及 VPN2 分別創建一個新的撥號介面,並且兩邊
都須具備可撥入的使用者帳號,在創建撥號介面的時候
可以一起新增。而 VPN SERVER 不加入網域,我們選擇
透過 RADIUS 機制來驗證使用者身份。
VPN 創建完先以 PPTP 作連線測試,若可以再向獨立 CA
申請 IPSec 憑證並信任憑證。
18
VPN CLIENT 端部分,DHCP 轉接代理設定至 DHCP
SERVER,在 CLIENT 端,先測試 PPTP 連線可成功,成
功之後在信任憑證,以 L2TP/IPSec 憑證方式來驗證。
19
實作問題解析:
﹝問題一﹞Site – to – Site 連線建立但無法存取總公司
的電腦:
解決方法:
無法直接用 NetBIOS 直接去存取資源的原因是由於
DNS 的關係,因此可以在進階設定上加入 DNS SERVER
的 IP 確定會指向此處即可。
20
﹝問題二﹞Site – to – Site 連線成功,將連線中斷後,屢
次出現連線遭拒,密碼無效的訊息:
解決方法: 根據敘述逐步去尋找問題,發現這是當我第
一次啟用 RADIUS 驗證之後發生的問題,因為 VPN
SERVER 選定
21
RADIUS 驗證之後,並無指定 RADIUS SERVER,指定完
即可連線成功。
﹝問題三﹞VPN CLIENT 連線建立成功,但無法存取總
店內部資源:
解決方法:
建立連線成功之後,發現 VPN CLIENT 的 IP 為
169.254.219.68 的 IP 位址,因此設定 DHCP 轉接代理,
之後會拿到公司內部網路的 IP 即可與公司內部溝通。
22
﹝問題四﹞VPN Site – to – Site 連線中斷以後,出現連
線介面錯誤的訊息:
23
解決方法:
此次問題是我卡最久的地方,斷線以後就一直是這樣的
情況,嘗試了一整晚到早上仍然找不到解決方式,有考
慮到會不會是 Windows 更新影響到作業系統,但停止後
情況依舊,甚至重新架設仍然無法解決,之後等睡醒之
後再次重新架設,便突然就可以通了。因此,遇到問題
時,要讓自己冷靜下來,適度的休息或等待也可以解決
問題。
﹝問題五﹞Site – to – Site 連線建立以後,分店可以
PING 得到總店,但總店無法 PING 到分店:
解決方法:
後來找到問題是發現是在 NAP 的地方設定出現問題,
NAP 新增了一個 NAP VPN 原則,將此原則啟用取消,
總店又可以 PING 到分店了。
24
MS-LAB 心得:
其實這一次短短為期的五天,我們實際動工相當得晚,
因此都很倉促,在短短的時間之內如何與團體一起解決
奮鬥是一項非常值得重視的事,而且我們在報告之前,
其實實際動手去操作的次數並不多,因此如何將虛擬環
境模擬出來的情形擺設到現實的情況發生許多的問題,
有時真的找不到問題所在時,再去考慮到設備的問題,
並且如何與其他人互相串聯起來也相當重要,有時可能
會因為自己負責的部分,而影響到隊友的架設流暢度,
因此作備份的動作是相當具有必要性的。來資策會這邊
便是一個團隊學習的一個環境,有時候可能旁觀者清,
別人的角度來看問題點可能會更清晰,在自己努力嘗試
過後,不彷可以多跟其他人一起討論問題,彼此分享這
便是一種成長。
25
在人員規劃上,其實擔任組長的我遇到很大的難題,
因為中間有組員退訓,在人員規劃上必須做到一個調整,
以致不影響 LAB 的流暢性,因此人員的調度更是我所學
習到部分;團隊間合作的氣氛如何營造出來也相當重要,
此次擔任組長真的讓我學習到很多很多規劃的細節,並
且在負責項目部分,能夠完成自己所要的目標是一大收
穫;不過自己在全組驗收部分,以後更要放眼掌握住全
局,做到每一個環節的串聯非常重要。
在此次 LAB 其實就是不斷的 PDCA,不斷的 PLAN→
DO→CHECK→ACT 循環;要達到我們的目標便是不斷
的規劃以及實踐,能與團隊一起奮鬥的感覺真的很甜美,
也期許此次短暫的 LAB 時光能讓自我有所成長,並由衷
感謝這三個月來,楊宏文老師不斷的鼓勵,帶著我走出
親人過世的低潮;劉家聖老師辛苦的為我們打好良好的
基礎,並時常多花課餘時間為我們作更詳細的教學;戴
有煒老師教導我們如何做伺服器的應用以及觀念的提升,
並且如何加快自己學習的節奏以應付之後 LINUX 的課程,
其中要謝謝經常指導我的澤華學長,花很多課餘時間為 我
點出 LAB 中哪幾個地方該注意,或者拓樸圖中的缺失;
26
並感謝育綸學長花心思為我們分析拓樸圖以及投影片該
注意的細節。感謝 LAB 中時常遇到問題,花自己時間幫
我看問題的文瑞以及錦村;更感謝另一組的紹偉及暉哥
不斷指導我 VPN 及 RADIUS 觀念;感謝我最愛的女朋友
小芬,這段時間的體諒與關心;最後要感謝我所有的組
員們,謝謝你們的努力及奮鬥,讓我們此次 LAB 能夠做
個漂亮的收尾,期許自我能夠在下一階段 LINUX 課程繼
續成長以及不斷的充實自我,並且不忘記這段時間的心
情,維持著這份動力持續前進,加油!!