Site VNP bang ISA 2006 Firewall Branch Office Connection Wizard

Chia sẻ: TRẨN THỊ THANH HẰNG | Ngày: | Loại File: DOC | Số trang:10

0
113
lượt xem
51
download

Site VNP bang ISA 2006 Firewall Branch Office Connection Wizard

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Trong phần hai loạt bài giới thiệu cách cấu hình một mạng riêng ảo (VPN) site to site bằng cách sử dụng Branch Office Connectivity Wizard trong ISA 2006 Firewall, chúng tôi sẽ giới thiệu cho các bạn về các vấn đề DNS cần thiết để giải pháp làm việc, thêm vào đó là việc cài đặt CSS và tạo các mảng ISA Firewall cho văn phòng chính và văn phòng chi nhánh.

Chủ đề:
Lưu

Nội dung Text: Site VNP bang ISA 2006 Firewall Branch Office Connection Wizard

  1. Tạo Site to Site VNP bằng ISA 2006 Firewall Branch Office Connection Wizard Trong phần hai loạt bài giới thiệu cách cấu hình một mạng riêng ảo (VPN) site to site bằng cách sử dụng Branch Office Connectivity Wizard trong ISA 2006 Firewall, chúng tôi sẽ giới thiệu cho các bạn về các vấn đề DNS cần thiết để giải pháp làm việc, thêm vào đó là việc cài đặt CSS và tạo các mảng ISA Firewall cho văn phòng chính và văn phòng chi nhánh. Trong phần đầu tiên của loạt bài này, chúng tôi đã giới thiệu cho các bạn về cơ sở hạ tầng mạng ví dụ và đã thảo luận về một số khái niệm trong việc tạo các VPN site to site. Tạo Site to Site VNP bằng ISA 2006 Firewall Branch Office Connection Wizard – Phần 1 Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn về các vấn đề DNS cần thiết để giải pháp làm việc, thêm vào đó là việc cài đặt CSS và tạo các mảng ISA Firewall cho văn phòng chính và văn phòng chi nhánh. Cấu hình máy chủ DNS văn phòng chính để từ chối các nâng cấp động, add các entry DNS tĩnh (Host (A) Record) cho các mảng và ISA Firewall văn phòng chi nhánh. Trước khi bắt đầu cài đặt CSS tại văn phòng chính và các mảng ISA Firewall, bước đầu tiên chúng ta cần thực hiện là cấu hình DNS server trên mạng công ty để từ chối các nâng cấp động. Chúng ta cần thực hiện điều đó để khi ISA Firewall chi nhánh kết nối với ISA Firewall văn phòng chính nó sẽ sử dụng địa chỉ IP ảo không được đăng ký trong DNS để thay thế cho địa chỉ IP bên trong có thực của ISA Firewall văn phòng chi nhánh. Điều này cũng tránh được việc ISA Firewall văn phòng chính đăng ký địa chỉ IP ảo của nó trong DNS.
  2. Đây là một vấn đề hay xảy ra với các kết nối VPN site to site. Cho ví dụ, giả dụ bạn sử dụng Web proxy và Firewall client trên mạng văn phòng chính và các máy khách đó được cấu hình sử dụng tên của ISA Firewall để kết nối đến các dịch vụ Firewall và Web proxy của ISA Firewall. Mọi thứ làm việc tốt cho tới khi có kết nối site to site. Sau khi kết nối site to site được thiết lập, địa chỉ IP ảo của văn phòng chính sẽ tự đăng ký trong DDNS (Dynamic DNS). Lúc này khi Web proxy và Firewall client cố gắng kết nối đến ISA Firewall văn phòng chính, chúng sẽ cố gắng kết nối đến địa chỉ IP ảo của ISA Firewall văn phòng chính (địa chỉ RAS interface) và các kết nối từ Web proxy và Firewall client sẽ thất bại. Một kịch bản khác khi đăng ký địa chỉ RAS interface ảo (IP ảo) nảy sinh vấn đề là khi ISA Firewall văn phòng chi nhánh cố gắng kết nối với CSS văn phòng chính. Khi kết nối site to site được thiết lập, ISA Firewall văn phòng chi nhánh sẽ đăng ký địa chỉ RAS interface ảo của nó trong CSS. CSS cố gắng truyền thông với mảng Firewall văn phòng chi nhánh bằng cách sử dụng địa chỉ này và kết nối sẽ thất bại. Chúng ta có thể tránh được các vấn đề này bằng cách vô hiệu hóa DDNS trên DNS server. Bạn có thể đặt ra câu hỏi “Liệu chúng ta có cần thực hiện điều này vĩnh viễn không hay chỉ cần có một cách có thể cấu hình demand-dial interface để không cần đăng ký trong DDNS?” Câu trả lời là “có thể”. Chúng ta cần tạo các Host (A) record trong DNS tích hợp Active Directory với các máy dưới đây: • isa2006se.msfirewall.org (10.0.0.1) • isa2006branch.msfirewall.org (10.0.1.1) • main.msfirewall.org (10.0.0.1) • branch.msfirewall.org (10.0.1.1) Không cần nhập vào các bản ghi cho máy CSS hoặc domain controller là vì các máy này đã được cài đặt và được đăng ký trong DNS bằng DDNS. Chúng ta không phải lo lắng về các máy đó vì thông tin địa chỉ IP của chúng sẽ không thay đổi theo trạng thái kết nối của kết nối VPN site to site. Trước khi tạo Host (A) record, bạn cần tạo một vùng tra cứ ngược
  3. cho network ID văn phòng chi nhánh. Trong ví dụ hiện hành của chúng tôi, network ID của văn phòng chi nhánh là 10.0.1.0/24. Thực hiện theo các bước dưới đây để tạo vùng tra cứu ngược: 1. Trong Domain controller, kích Start, sau đó trỏ đến Administrative Tools. Kích DNS. 2. Trong giao diện điều khiển DNS management, mở máy chủ và kích nút Reverse Lookup Zones. 3. Kích phải vào nút Reverse Lookup Zone và kích New Zone. 4. Trong trang Welcome to the New Zone Wizard, kích Next. 5. Trong trang Zone Type, chọn tùy chọn Primary Zone và kích Next. Hình 1 6. Trong trang Active Directory Zone Replication Scope, chọn tùy chọn To all DNS servers in the Active Directory domain msfirewall.org. Chúng ta chọn tùy chọn này vì chỉ có một miền (domain) trong tổ chức. Nếu có nhiều domain, bạn có thể tạo bản sao của vùng tra cứu ngược này cho tất cả các máy chủ DNS trong forest. Kích Next.
  4. Hình 2 7. Trong trang Reverse Lookup Zone Name, chọn tùy chọn Network ID và nhập vào network ID cho văn phòng chi nhánh trong hộp văn bản. Trong ví dụ này, network ID của văn phòng chi nhánh là 10.0.1.0/24, vì vậy chúng ta sẽ nhập vào 10.0.1 và kích Next.
  5. Hình 3 8. Trong trang Dynamic Update, chọn tùy chon Allow only secure dynamic updates (recommend for Active Directory). Kích Next.
  6. Hình 4 9. Kích Finish trong trang Completing the New Zone Wizard. 10. Bạn sẽ thấy vùng mới trong phần panel bên trái của giao diện DNS management. Hình 5 Giờ đây chúng ta đã sẵn sàng cho việc tạo Host (A) record. Sử dụng thủ tục dưới đây để add các Host (A) record vào DNS:
  7. 1. Trong máy Domain controller, kích Start, trỏ đến Administrative Tools và kích DNS. 2. Trong giao diện DNS management, mở máy chủ, sau đó kích nút Forward Lookup Zones. Kích vào nút msfirewall.org. 3. Kích phải vào nút msfirewall.org và kích lệnh New Host (A). 4. Trong hộp thoại New Host, nhập vào tên của máy chủ trong phần Name (uses parent domain name if blank). Trong ví dụ này, chúng tôi sẽ nhập vào tên của ISA Firewall văn phòng nhánh, đó là isa2006branch. FQDN sẽ xuất hiện trong hộp Fully qualified domain name (FQDN). Nhập vào địa chỉ IP bên trong của ISA Firewall văn phòng chi nhánh trong hộp văn bản IP address. Trong ví dụ này, địa chỉ IP của ISA Firewall văn phòng chi nhánh là 10.0.1.1, vì vậy chúng ta sẽ nhập địa chỉ đó vào hộp văn bản. Kích Add Host. Hình 6 5. Để mở hộp thoại Add Host để cho phép bạn nhập thêm các entry Host (A). Nhập tên và thông tin địa chỉ IP cho các entry được lưu ý trong danh sách ở trên cho ISA Firewall nội bộ, cũng như mảng.
  8. 6. Sau khi nhập vào các bản ghi, kích Cancel trong hộp thoại New Host. 7. Danh sách của bạn cần phải giống như hình bên dưới. Hình 7 8. Lúc này chúng ta cần load các entry này vào cơ sở dữ liệu DNS. Có thể thực hiện điều này bằng cách khởi động lại máy chủ DNS. Trong DNS console, kích phải vào tên máy chủ và trỏ đến All Tasks, kích Restart.
  9. Hình 8 Để kết thúc việc cấu hình DNS, chúng ta cần vô hiệu hóa các nâng cấp động (tối thiểu là tạm thời). Trong phần panel bên trái của giao diện DNS, kích entry msfirewall.org trong nút Forward Lookup Zones. Kích phải vào nút msfirewall.org và kích Properties. Trong hộp thoại Properties, kích tab General. Trong tab General, chọn tùy chọn None từ danh sách sổ xuống Dynamic updates. Kích OK. Không cần khởi động lại dịch vụ DNS để tùy chọn này có hiệu lực. Tối thiểu cửa sổ giao diện DNS.
  10. Hình 9
Đồng bộ tài khoản