Hệ thống Domain Network nhiều Networks / Subnets

[MayChu]

I. Mô hình



II. Giới thiệu

Với các hệ thống Mạng lớn nhiều Tài nguyên và có sự phân cấp trong việc truy cập các loại Tài nguyên, việc phân chia hệ thống mạng Vật lý ra các Network_IDs hoăc Subnets khác nhau sẽ đem lại các lợi thế như :
- Tránh hiện tượng nghẽn mạch đường truyền do số Hosts trong Network Logic quá nhiều
- Ngăn chặn các hiện tượng lan truyền toàn mạch (broadcast) do sử dụng hoặc do Virus
- Dễ dàng thiết lập các bộ lọc (Filter) để định tuyến khi truy cập Tài nguyên

III. Các bước triển khai
Mô hình dưới đây phát triển từ hệ thống Domain của Lab-4 nhưng phân chia các Network_IDs như sau : VIP, USER, SERVER. Sử dụng :
01 máy Windows Server 2003 với 04 NICs dùng làm Router
01 máy Windows Server 2003 dùng làm Domain Controller tại Network = SERVER
01 máy Windows Server 2003 hoăc Windows XP : dùng làm máy User VIP
01 máy Windows Server 2003 hoăc Windows XP : dùng làm máy User USER

Thiết lập Routing và các bộ lọc (Filter) sao cho
- Tất cà các Networks (VIP, SERVER, USER) đều truy cập Internet được
- Network VIP và USER không truy cập lẫn nhau được
- Network VIP và USER đều truy cập Network SERVER được

IV. Triển khai chi tiết

1. ADSL
- đặt IP port LAN: 192.168.1.1/24
- cấu hình ADSL để kết nối ra Internet

2. Router
Router (cài W2K3) có 4 interface:
- WAN: nối vào ADSL để ra Internet
- LAN1: nối vào switch 1 (subnet 1) gồm các máy của VIP
- LAN2: nối vào switch 2 (subnet 2) gồm các server DC/DNS, File, Print,...
- LAN3: nối vào switch 3 (subnet 3) gồm các máy của nhân viên

Đặt địa chỉ IP cho router:

Bật Rouring and Remote Access
B1: Start -> Programs -> Administrative Tools -> Routing and Remote Access
B2: Right click server (local) -> Configure and Enable Routing and Remote Access
B3: Next
B4: Chọn Custom configuration -> Next


- B5: Chọn NAT and basic firewall và LAN routing -> Next


- B6: Chọn Finish -> Yes


Cấu hình NAT
B1: Right click NAT/Basic Firewall -> New Interface


B2: Chọn WAN -> OK


B3: Chọn Public interface connected to the Internet, Enable NAT on this interface và Enable a basic firewall on this interface -> OK


B4: Right click NAT/Basic Firewall -> New Interface

B5: Chọn LAN 1 -> OK


B6: Chọn Private interface connected to private network -> OK


B7: Tương tự chọn LAN 2 và LAN 3 làm Private interface


Tạo IP packet filter cấm VIP (LAN 1) và USER (LAN 3) truy cập lẫn nhau
B1: Right click LAN 1 -> Properties


B2: Chọn Outbound Filters


B3: Chọn New


B4: Nhập thông tin như trong hình -> OK


B5: Chọn Transmit all packets except those that meet the criteria below -> OK -> OK


3. Các net còn lại

3.1 Máy SERVER (subnet 2)

- Máy SERVER (cài W2K3) làm DC/DNS, File, Print,..
- Địa chỉ IP:

Trích:

IP/SM: 192.168.3.2/24
DG: 192.168.3.1
DNS: 127.0.0.1

- Nâng cấp lên DC (domain name = nhatnghe.local)
- Cấu hình DNS: FLZ (nhatnghe.local), các RLZ (192.168.2.0/24, 192.168.3.0/24, 192.168.4.0/24)
- Tạo user vip1, nv1 (pass = 123)
- Tạo folder Data, share, gán permission
- Share máy in

3.2 Máy VIP (subnet 1)

- Máy VIP (cài WXP hoặc W2K3) là máy của user vip1
- Địa chỉ IP:

Trích:

IP/SM: 192.168.2.2/24
DG: 192.168.2.1
DNS: 192.168.3.2

- Join domain

3.3 Máy USER (net 3)

- Máy USER (cài WXP hoặc W2K3) là máy của user u1
- Địa chỉ IP:

Trích:

IP/SM: 192.168.4.2/24
DG: 192.168.4.1
DNS: 192.168.3.2

- Join domain

3.4 Test
a. Máy VIP
- truy cập Internet: ping 203.162.4.191 thành công
- truy cập SERVER: ping 192.168.3.2 thành công
- truy cập USER: ping 192.168.4.2 không thành công

b. Máy USER
- truy cập Internet: ping 203.162.4.191 thành công
- truy cập SERVER: ping 192.168.3.2 thành công
- truy cập VIP: ping 192.168.2.2 không thành công

c. Máy SERVER
- truy cập Internet: ping 203.162.4.191 thành công
- truy cập VIP: ping 192.168.2.2 thành công
- truy cập USER: ping 192.168.4.2 thành công