Tạo VPN Site-to-site trên ISA 2006 (Phần 3)
Ngu
ồ
n:quantrimang.com
Trong phần 1 bạn đã được tìm hiểu về việc sử dụng Branch Office
Connectivity Wizard để tạo kết nối VPN site to site giữa ISA 2006 Enterprise
Edition tại trụ sở chính và văn phòng chi nhánh. Cũng trong phần một,
chúng ta đã thảo luận về cơ sở hạ tầng mạng cốt lõi sử dụng trong loạt bài
này, sau đó đi sâu vào chi tiết của các yêu cầu tiên quyết cho mạng riêng
ảo site to site và cách gỡ lỗi một s
ố vấn đề phổ biến trong VPN site to site.
Trong phần hai, chúng ta thực hiện cấu hình DNS server (máy chủ quản lý hệ
thống tên miền) với các điểm vào DNS thích hợp cần thiết để giải pháp hoạt
động và ngưng sử dụng DDNS để cổng vào mạng riêng ảo ISA Firewall không
đăng ký giao diện VPN PPP trong DDNS. Sau đó là cài đặt CSS trên một máy
chuyên dụng và tạo hai ISA Firewall Array trên CSS: một cho trụ sở chính và một
cho chi nhánh.
Trong phần ba này chúng ta sẽ cài đặt các dịch vụ trên ISA Firewall của v
ăn
phòng chính và văn phòng chi nhánh.
Cài đặt các dịch vụ ISA Firewall tại trụ sở chính
Bây giờ chúng ta đã có CSS và các mảng Firewall Array được định nghĩa bên
trong nó. Tiếp theo sẽ là cài đặt các dịch vụ trên ISA Firewall tại trụ sở chính và
trỏ ISA Firewall main office cho CSS main office. Xin nhớ rằng, tất cả thông tin
cấu hình của thành viên trong các mảng ISA Firewall được lưu trữ và lấy ra từ
CSS. Bạn không thể tự cấu hình trực tiếp chúng. Tất cả cấu hình phải được th
ực
hiện trên CSS và CSS sẽ cung cấp thông tin cấu hình này cho các thành viên
mảng ISA Firewall.
Tường lửa tại trụ sở chính sẽ được cấu hình trong quá trình cài đặt để sử dụng
máy tính CSS chuyên dụng. Đó cũng chính là nhà cung cấp CSS và cũng sẽ

hộp Configuration Storage server (type the FQDN). Ở khung
Connection Credentials, chọn Connect using the credentials of the
logged on user nếu bạn đăng nhập hệ thống với vai trò của người quản
trị miền. Nếu không, chọn Connect using this account và nhập thông tin
nhân dạng để thẩm định cho phù hợp. Ở ví dụ này chúng ta sẽ sử dụng
vai trò quản trị. Vì thế lựa chọn ở đây là Connect using the credentials
of the logged on user, kích Next.

Hình 2
9. Trên trang Array Membership, chọn Join an existing array và kích Next.

Hình 3
10. Trên trang Join Existing Array, ấn nút Browser. Hộp thoại Arrays
to Join xuất hiện, cung cấp danh sách các mảng có thể dùng. Chọn Main
và bấm OK.

Hình 4
11. Kích Next trên trang Join Existing Array.

Hình 5
12. Trên trang Configuration Storage Server Authentication Options,
chọn cách thức ISA Firewall thẩm định CSS. Có hai tuỳ chọn cho bạn:
Windows authentication (thẩm định trong Windows) và Authentication
over SSL encrypted channel (thẩm định qua kênh mã hoá SSL).
Thường thì tuỳ chọn thứ nhất hay hơn, vì nó đòi hỏi ISA Firewall và CSS
phải nằm trong cùng một domain, là cấu hình an toàn nhất. Nếu bạn bị đe
doạ bởi “những kẻ xâm phạm mạng” hay “đội bảo mật” không hiểu thấu
đáo về ISA Firewall, hay không biết tạ
i sao hệ điều hành lại là Windows 95
cài đặt Zone Alarm, bạn có thể đã bị mắc kẹt với ISA hoặc cả ISA Firewall


Chú ý là phạm vi địa chỉ IP ở đây là theo định nghĩa của mạng nội bộ mặc
định. Nếu bạn thấy các địa chỉ này không có trong danh sách, có nghĩa là
bạn đã không cấu hình bảng định tuyến trên ISA Firewall để định hướng
sang các ID mạng khác nằm sau giao diện nội be của ISA Firewall. Khi đ
ó,
thoát chương trình cài đặt và cấu hình lại bảng định tuyến để nó chứa tất
cả ID mạng nội bộ. Khởi động lại chương trình cài đặt để tiếp tục.

Hình 10
17. Trang Services Warning thông báo cho bạn biết rằng trong quá
trình cài đặt, chương trình sẽ tạm ngưng dịch vụ SNMP Service, FTP
Publishing Service, NNTP Service, IIS Admin Service và World Wide
Web Publishing Service. Với một chương trình cài đăt ISA Firewall triển
khai chính xác, không có dịch vụ nào trong số các dịch vụ trên (ngoại trừ
SNMP) được cài đặt trên ISA Firewall. Nếu muốn có thủ tục cài cho các
đối tượng SNMP MIB, bạn cần cài đặt dịch vụ SNMP trên ISA Firewall
trước khi khởi động chương trình Setup. Kích Next để
tiếp tục.

Hình 11
18. Kích Install.
Hình 12
19. Thanh tiến trình xuất hiện, cung cấp thông tin tình trạng cài đặt và
các thủ tục đang diễn ra.

Hình 13
20. Kích Finish trên trang Installation Wizard Completed khi kết thúc.

Hình 14

Trước khi gắn hộp vào văn phòng nhánh, bạn nên cài đặt CSS cục bộ và các
dịch vụ ISA Firewall trên tường lửa nhánh. Điều này
đòi hỏi bạn phải gán các địa
chỉ IP vào giao diện nội bộ và bên ngoài sẽ được dùng tại văn phòng nhánh. Tất
cả các NIC cần được kết nối tới hub hoặc switch trong quá trình cài đặt. Trước
khi cài phần mềm ISA Firewall, bạn cần gán cho máy địa chỉ cục bộ hợp lệ và
cổng vào mặc định để có thể cài đặt tất cả các bản Windows Update.
Sau khi cài các bản update, bạn cần thay đổi thông tin địa chỉ IP trên các NIC
của ISA Firewall sao cho khớp với số sẽ được dùng tại văn phòng chi nhánh.
Thực hiện theo các bước sau:
1. Đưa đĩa cài ISA 2006 Firewall vào máy nhánh và chờ menu autorun. Nếu
menu autorun không xuất hiện, kích đúp lên file ISAAutorun.exe nằm
trong các thư mục của đĩa. Kích vào liên kết Install ISA Server 2006.

2. Kích Next trên trang Welcome to the Installation Wizard for Microsoft
ISA Server 2006.

3. Chọn I accept the terms in the license agreement trên trang License
Agreement. Kích Next.

4. Nhập thông tin khách hàng và mã số sản phẩm trên trang Customer
Information và kích Next.

5. Trên trang Setup Scenarios, chọn Install both ISA Server services and
Configuration Storage server và kích Next.

Hình 16
6. Chấp nhận các thiết lập mặc định trên trang Component Selection và
kích Next.


kiểm trong hộp checkbox cạnh giao diện nội bộ và kích OK.

Hình 21
11. Kích OK trong hộp thoại Addresses.

Hình 22
12. Các địa chỉ định nghĩa Internet Network mặc định bây giờ xuất hiện
trên trang Internet Network. Kích Next.

Hình 23
13. Trên trang Firewall Client Connections, chấp nhận các thiết lập
mặc định không cho phép các kết nối client Firewall không mã hoá tới ISA
Firewall và kích Next.

Hình 24
14. Trên trang Service Warning, có một số thông tin thông báo cho bạn
biết các dịch vụ SNMP Service, FTP Publishing Service, NNTP Service,
IIS Admin Service và World Wide Web Publishing Service sẽ được
ngừng lại trong quá trình cài đặt. Sẽ không có bất kỳ dịch vụ nào được cài
đặt trong ISA Firewall, ngoại trừ SNMP. Nếu muốn dùng các đối tượng
Firewall MIB, đầu tiên phải có SNMP trên thiết bị ISA Firewall trước khi cài
phần mềm ISA Firewall. Kích Next.

Hình 25
15. Kích Install để hoàn chính quá trình cài đặt.