Tạo VPN Site-to-site trên ISA 2006 (Phần 2)
Ngu
ồ
n:quantrimang.com
Các vấn đề về DNS (hệ thống tên miền) đòi hỏi phải có các giải pháp như cài đặt
CSS, tạo các mảng ISA Firewall cho văn phòng trụ sở chính và văn phòng chi
nhánh.

Trong phần một của loạt bài về cách sử dụng chương trình Branch Office Connectivity
Wizard để tạo mạng riêng ảo site to site giữa văn phòng chính và văn phòng chi nhánh,
chúng ta đã xem xét với cơ sở hạ tầng mạng ví dụ và thảo luận một số
khái niệm then
chốt trong việc tạo mạng riêng ảo site to site.

Trong phần hai này chúng ta sẽ cùng khám phá các vấn đề với DNS (Domain Name
System), tức hệ thống tên miền, một thành phần rất quan trọng trong việc tạo giải pháp,
cài đặt CSS và tạo các mảng ISA Firewall ở văn phòng chính và văn phòng chi nhánh.

Cấu hình DNS Server để loại bỏ các update động và nhập bản ghi Host (A) cho máy
tính ISA Firewall và các tên mảng.

Trước khi chúng ta bắt đầu quá trình cài đặt CSS ở văn phòng chính và các mảng ISA
Firewall, bước đầu tiên c
ần phải làm là cấu hình DNS Server trên mạng hợp nhất, để từ
chối các update động. Chúng ta cần thực hiện điều này để khi ISA Firewall ở văn phòng
nhánh kết nối tới ISA Firewall ở văn phòng chính, địa chỉ IP ảo sẽ không phải đăng ký
trong DNS thay cho địa chỉ IP thực. Điều này cũng ngăn ISA Firewall ở trụ sở chính
đăng ký địa chỉ IP ảo của mình trong hệ thống tên miền (DNS).

Đây là vấn
đề rất phổ biến trong hoạt động kết nối liên quan VPN site to site. Ví dụ, giả


Trước khi tạo các bản ghi Host (A), bạn cần tạo miền tìm kiếm ngược chiều cho ID mạng
nhánh, Trong ví dụ hiện tại của chúng ta, ID mạng nhánh này là 10.0.1.0/24. Thực hiện
các bước sau để tạo vùng tìm kiếm ngược chiều:
1. Trên Domain Controller, vào
Start > Administrative Tools > DNS.

2. Trong console DNS management, mở rộng tên server và kích vào nút Reverse
Lookup Zones.
3. Kích phải chuột lên nút Reverse Lookup Zone, sau đó bấm New Zone.

4. Trên trang Welcome to the New Zone Wizard, bấm Next.

5. Trên trang Zone Type, chọn tuỳ chọn Primary Zone và bấm Next.

Hình 1
6. Trên trang Active Directory Zone Replication Scope, chọn To all DNS servers
in the Active Directory domain msfirewall.org. Sở dĩ chọn tuỳ chọn này vì
chúng ta chỉ có một domain đơn trong tổ chức. Nếu bạn có nhiều domain, bạn có
thể tạo vùng tra tìm ngược chiều này cho tất cả DNS server trong forest (rừng
mạng). Bấm Next.

Hình 2
7. Trên trang Reverse Lookup Zone Name, chọn Network ID và nhập ID mạng cho
văn phòng chi nhánh trong hộp tex box. Ở ví dụ này, ID là 10.0.1.0/24, vì thế
chúng ta sẽ nhập 10.0.1 và ấn Next.

Hình 3
8. Trên trang Dynamic Update, chọn Allow only secure dynamic updates
(recommend for Active Directory) (chỉ cho phép sử dụng các bản update động


Hình 6

5. Hộp thoại New Host còn lại mở để cho phép bạn nhập thêm thông tin vào thêm
cho Host (A). Nhập tên, thông tin địa chỉ IP cho các điểm vào được chú ý trong
danh sách ở trên.

6. Sau khi nhập xong cho mọi bản ghi, kích Cancel trong hộp thoại
New Host.

7. Danh sách của bạn sẽ có dạng như hình minh hoạ dưới.

Hình 7

8. Bây giờ chúng ta cần đưa một số thông tin vào trong cơ sở dữ liệu DNS. Có thể
thực hiện bằng cách khởi động lại DNS server. Trong DNS console, kích phải
chuột lên tên server, trỏ tới All Tasks, và bấm Restart.

Hình 8
Để kết thúc cấu hình DNS, chúng ta cần loại bỏ các bản update động (ít nhất là tạm thời).
Ở khung bên trái DNS console, bấm lên điểm vào msfirewall.org trong nút Forward
Lookup Zones. Kích phải chuột lên nút msfirewall.org và chọn Properties.

Trong hộp thoại Properties, bấm chọn tab General. Trên tab General, chọn tuỳ chọn
None từ danh sách Dynamic updates sổ xuống. Ấn OK. Không cần phải khởi động lại
dịch vụ DNS. Tố
i thiểu hoá DNS console.


3. Bấm Next trên trang Welcome to the Installation Wizard for Microsoft ISA
Server 2006.

4. Chọn tuỳ chọn I accept the terms in the license agreement và ấn Next.

5. Nhập thông tin tuỳ biến trên trang Customer Information và ấn Next.

6. Trên trang Setup Scenarios, chọn tuỳ chọn Install Configuration Storage
Server và
ấn Next.

Hình 10

7. Kích Next trên trang Component Selection.

Hình 11

8. Trên trang Enterprise Installation Options, chọn Create a new ISA Server
enterprise. Tuỳ chọn này cho phép bạn tạo doanh nghiệp mới. Ngược lại, tuỳ
chọn Create a replica of the enterprise configuration cho phép bạn tạo bản
copy một doanh nghiệp ISA Firewall đã tồn tại, có thể được dùng như một bản
sao lưu CSS trong trường hợp CSS chính bị hỏng. Ở ví dụ này, chúng ta cần tạo
một doanh nghiệp mới, chứa tất cả mảng, Bấm Next.

Hình 12

9. Trên trang New Enterprise Warning, bạn có thể thấy thông tin về giá trị của việc
sử dụng doanh nghiệp đơn để quản lý tất cả mảng. Bấm Next.


hoạt động nào đang được bộ cài thực hiện tại một thời điểm.

Hình 17

14. Trên trang Installation Wizard Completed, đặt dấu kiểm trong hộp
Invoke ISA Server Management when the wizard closes. Bấm Finish.

Hình 18
Tạo các mảng và cấu hình Enterprise Management Station

Bây giờ chúng ta đã tạo được các mảng cho văn phòng chính và văn phòng chi nhánh.
Mảng là một tập hợp các ISA Firewall hoạt động như một tường lửa cục bộ đơn với cùng
chính sách và cấu hình như nhau. Một mảng ISA Firewall có thể có từ 1 đến 32 server. Ít
nhất một giao diện ở từng thành viên mảng ISA Firewall phải nằm trên cùng ID mạng,
khi tất cả thành viên mảng ISA Firewall khác nằm trong cùng mảng ISA Firewall và giao
di
ện này được dùng cho các liên lạc nội bộ mảng. Có nghĩa là bạn không thể mở rộng các
mạng này ra liên kết WAN hoặc VPN site to site, vì tất cả giao diện trong văn phòng từ
xa sẽ nằm trên ID mạng khác so với trụ sở chính.

Trong ví dụ sử dụng ở loạt bài này, chúng ta có hai mảng: một cho trụ sở chính với tên
Main và một cho chi nhánh với tên Branch. Chúng ta có thể tạo đa mảng văn phòng
chính và đa mảng chi nhánh, mỗi mảng có thể
gồm 32 thành viên. Thực tế, các mảng văn
phòng chi nhánh chủ yếu bao gồm thành viên mảng đơn, còn trụ sở chính và chi nhánh
lớn sẽ có các thành viên mảng từ 2 đến 32 server.

Một trong những cải tiến nâng cao tuyệt vời nhất khi dùng thành viên đa mảng là các cơ
chế tải cân bằng CARP và NLB. Chúng cho phép bạn tăng cường hiệu quả thông lượng
với tổng số thành viên trên từng mảng theo thời gian tốc độ liên kết.


Hình 21

5. Trong hộp thoại New Computer Rule Element, nhập tên cho máy CSS, cũng
hoạt động như một trạm quản lý doanh nghiệp từ xa. Chúng ta sẽ đặt tên cho máy
tính này là CSS và nhập tên trong ô Name. Trong hộp Computer IP Address,
nhập địa chỉ IP cho máy CSS. Ở ví dụ của chúng ta, địa chỉ này là 10.0.0.3. Ghi
thông tin mô tả tóm tắt ở ô Description (optional), nhưng không bắt buộc. Ấn
OK trong hộp thoại New Computer Rule Element.

Hình 22

6. Ấn OK trong hộp thoại Enterprise Remote Management Computers
Properties tiếp.

7. Kích Apply để ghi lại các thay đổi và update firewall policy. Bấm OK trong hộp
thoại Apply New Configuration.
Bây giờ chúng ta cần tạo các mảng. Có hai kiểu mảng: một cho văn phòng chính và một
cho chi nhánh văn phòng. Cả hai mảng đều được quản lý trong cùng ISA Firewall
enterprise và có thể quản lý bằng các chính sách doanh nghiệp trung tâm hoá. Thực hiện
các bước sau để tạo mảng Main:

1. Ở
khung bên trái console ISA Firewall, kích phải chuột lên nút Arrays. Kích vào
lệnh New Array.

Hình 23

2. Trong hộp thoại Welcome to the New Array Wizard, nhập tên cho mảng ở ô
Array name. Với ví dụ của chúng ta, tên mảng là Main . Bấm Next.

Hình 28