Tạo VPN Site-to-site trên ISA 2006 (Phần 1)
Ngu
ồ
n:quantrimang.com
Cấu hình một mạng riêng ảo VPN Site-to-site, sử dụng chương trình kết nối
Branch Office Connection Wizard như thế nào.
Branch Office Domain Controller
Một trong những cải tiến nâng cao ở phiên bản Enterprise Edition của ISA
Firewall là chương trình Branch Office Connectivity Wizard (dùng để kết nối chi
nhánh với trụ sở chính cho các công ty). Trong ISA 2000, chương trình Site to
Site VPN Wizard đã được tích hợp, giúp bạn dễ dàng tạo mạng riêng ảo Site-to-
site. Nhưng ISA 2004 lại bỏ qua chức năng này, khiến việc tạo VPN site-to-site
giữa hai tường lửa ISA Firewall trở nên khó khăn. May mắn là phiên bản mới
nhất, ISA 2006 đã tích hợp lại thành phần này dưới cái tên Branch Office
Connectivity Wizard.
Branch Office Connectivity Wizard sử dụng thông tin nằm trong cấu hình Remote
Site tại trụ sở chính, giúp bạn dễ dàng hơn khi tạo mạng riêng ảo VPN Site to
Site. Khi làm việc với Wizard, một file sẽ được tạo giúp bạn có thể dùng ISA
Firewall ở văn phòng chi nhánh trong việc hình thành mạng riêng ảo VPN site-to-
site. Wizard còn cung cấp tùy chọn tạo ISA Firewall Domain Member Branch
Office (ISA Firewall cho văn phòng chi nhánh thành viên miền), là ISA Firewall
thực tế nhất. Vấn đề bảo mật của domain member ISA Firewall đã mạnh hơn rất
nhiều, có thể đứng riêng thành một ISA Firewall độc lập.
Trong loạt bài về sử dụng ISA Firewall Branch Office Connectivity Wizard để tạo
mạng riêng ảo site-to-site này, phần đầu tiên chúng tôi sẽ giới thiệu về quá trình
tạo kết nối VPN site to site sử dụng Wizard. Sau đó sẽ là tạo các Access Rule
(tức các quy tắc được sử dụng), cho phép máy chủ quản lý miền hoặc máy
khách thành viên miền được đặt vị trí tại văn phòng chi nhánh và dùng đặc
quyền tối thiểu nhất để trong việc này.
Hình bên dưới minh họa khái quát ở mức cao của mạng thí nghiệm dùng trong
loạt bài của chúng ta.
Hình 1
Có 5 máy được dùng:
• Dedicated CSS (css2006.msfirewall.org): một CSS chuyên dụng sẽ được
dùng để cung cấp chỗ trú CSS cho các mảng tường lửa ISA Enterprise Edition.
Có hai mảng ISA Firewall: một dành cho mảng ISA Firewall tại trụ sở chính và
một dành cho văn phòng chi nhánh. Chúng ta không thể đặt tường lửa ISA
Firewall cho trụ sở chính và văn phòng chi nhánh vào cùng một mảng, vì các
phương tiện liên lạc bên trong dành cho tất cả thành viên phải trên cùng một ID
mạng. Điều này không thể thực hiện được khi thành viên mảng nằm trên văn
phòng chi nhánh. Tuy nhiên bạn có thể áp dụng chính sách doanh nghiệp này
cho tất cả các mảng trong cùng một ISA Firewall Enterprise.
• Domain Controller (dc.msfirewall.org): Tất cả các máy trong trường hợp này
đều thuộc cùng một domain, là msfirewall.org.
• Main office ISA Firewall (isa2006se.msfirewall.org): máy này là ISA Firewall
ở trụ sở chính và thuộc về một mảng có tên Main. Đây là một thành viên miền,
có giao diện nội bộ và ngoại diên.
• Branch office ISA Firewall (isa2006branch.msfirewall.org): Máy này là ISA
Firewall ở văn phòng chi nhánh, là thành viên của domain sử dụng Branch Office
Connectivity Wizard. Máy này sử dụng Windows Server 2003 và ban đầu là một
server độc lập. ISA 2006 sẽ được cài đặt trên máy khi nó là một server độc lập.
Sau khi cài đặt xong ISA 2006 Enterprise Edition, chúng ta sẽ chạy Branch
Office Connectivity Wizard cũng trên máy này để tạo mạng riêng ảo VPN site-to-
site và kết hợp máy vào domain. Wizard cũng sẽ kết nối ISA Firewall branch
office vào mảng chi nhánh văn phòng cấu hình trên CSS tại trụ sở chính.
• Branch office Domain Controller: Đây là máy chủ điều khiển miền (Domain
Controller - DC) ở chi nhánh văn phòng. Người dùng ở các chi nhánh đó sẽ sử
dụng để chứng thực thông tin. Chúng ta sẽ tạo các Access Rule tùy biến cho
phép DC liên kết với DC ở trụ sở chính.
Chúng ta cũng sẽ tạo các thay đổi cho cấu hình DNS (Domain Name System -
Hệ thống tên miền) của ISA Firewall văn phòng chi nhánh để có thể dùng branch
office DC sau khi cấu hình hoàn tất.
Site-to-site Bằng việc sử
dụng một thiết bị chuyên dụng
và cơ chế bảo mật diện rộng,
mỗi công ty có thể tạo kết nối
với rất nhiều các site qua một
mạng công cộng như Internet.
Site-to-site VPN có thể thuộc
một trong hai dạng sau:
- Intranet VPN
Áp dụng trong trường hợp
công ty có một hoặc nhiều địa
điểm ở xa, mỗi địa điểm đều
đã có một mạng cục bộ LAN.
Khi đó họ có thể xây dựng một
mạng riêng ảo để kết nối các
mạng cục bộ vào một mạng
riêng thống nhất.
- Extranet VPN
Khi một công ty có một mối
quan hệ mật thiết với một
công ty khác (ví dụ như, một
đối tác, nhà hỗ trợ hay khách
hàng), họ có thể xây dựng một
mạng extranet VPN để kết nối
kiểu mạng Lan với mạng LAN
Các thủ tục bao gồm:
• Cấu hình DNS server trụ sở chính để loại bỏ
các bản update động và thêm các điểm vào
DNS tĩnh cho tên mảng và ISA Firewall văn phòng chi nhánh.
• Cài đặt CSS trên máy CSS chuyên dụng.
• Cài đặt các dịch vụ Firewall trên ISA Firewall trụ sở chính.
• Cài đặt CSS cục bộ và các Firewall Service trên ISA Firewall nhánh văn phòng.
• Tạo file trả lời tại ISA Firewall main office, sẽ được dùng trong Branch Office
Connectivity Wizard.
• Chạy Branch Office Connectivity Wizard trên ISA Firewall branch office.
• Tạo các Access Rule cho phép liên lạc bên trong miền giữa các domain
controller ở trụ sở chính và văn phòng chi nhánh.
• Cài đặt DC ở văn phòng chi nhánh.
• Tạo các thay đổi DNS tại văn phòng chi nhánh để ISA Firewall sử dụng DC
branch office.
Một số điểm cần chú ý về các VPN Site to Site
Một trong những khu vực nhộn nhịp nhất của website ISA server.org là các
mảng về VPN. Trong đó, vấn đề được đề cập đến nhiều nhất là kết nối VPN site
to site. Lý do chắc hẳn là vì nhiều người không hiểu cách thức hoạt động của
chúng ra sao và không biết một số điều kiện tiên quyết cơ bản khi muốn tạo ra
chúng là như thế nào.
VPN Gateway chính là Router cho mạng riêng ảo.
Khi ISA Firewall được cấu hình như một cổng vào (gateway) cho VPN site to
site, nó trở thành một router với các ID mạng đặt sau cổng vào VPN từ xa. Ví dụ,
giả sử trụ sở chính được đặt ở ID mạng là 10.1.0.0/16 và các địa chỉ IP của văn
phòng chi nhánh được đặt trên ID mạng 10.2.0.0/16. Khi một host ở trụ sở chính
cần kết nối tới ID mạng từ xa 10.2.0.0/16, nó phải thực hiện qua cổng vào mạng
riêng ảo tại trụ sở chính.
Để thực hiện việc này, các máy khách trên mạng ở trụ sở chính phải được cấu
và cho phép các công ty đó có
thể làm việc trong một môi
trường có chia sẻ tài nguyên.
hình với một địa chỉ cổng vào biết định hướng tới ID mạng 10.2.0.0/16. ISA
Firewall hoàn hoàn có thể thực hiện được chức năng này nên các client được
cấu hình sử dụng ISA Firewall như một cổng vào mặc định. Với các hệ thống
client không dùng ISA Firewall mặc định, các host phải được cấu hình sử dụng
rounter LAN với chức năng định tuyến điểm vào bảng để gửi các kết nối tới ID
mạng 10.2.0.0/16 và địa chỉ IP mạng LAN của ISA Firewall.
Tôi thấy có rất nhiều câu hỏi liên quan đến cách làm thế nào “sửa chữa” được
vấn đề gặp phải khi lớp cục bộ và lớp từ xa có cùng một ID mạng. Nhiều người
thắc mắc liệu có cách nào xử lý được vấn đề này không. Câu trả lời là KHÔNG,
dưới góc độ định tuyến. Vì các hệ thống client thực hiện kết nối với ID của mạng
cục bộ sẽ không bao giờ gửi kết nối tới địa chỉ cổng vào. Vậy tại sao các client
vẫn gửi kết nối tới ID mạng cục bộ và các gateway dù không được yêu cầu và vi
phạm tất cả nguyên lý của các quy tắc định tuyến TCP/IP?
Giải pháp tên
Một vấn đề phổ biến khác trong các mạng riêng ảo theo lớp là giải pháp tên. Các
client ở văn phòng chi nhánh cần xử lý được các tên máy tính ở trụ sở chính, và
thông thường cả ở chi nhánh nữa. Muốn thực hiện được điều đó cần phải có cơ
sở hạ tầng server DNS phù hợp, có thể xử lý được tất cả các tên. Ngoài ra bạn
cần phải xem xét, liệu người dùng ở văn phòng nhánh có thể xử lý được tên host
Internet trực tiếp không, hay phụ thuộc vào ISA Firewall ở trụ sở chính hoặc
ngay ở chi nhánh.
Có hai vấn đề chính liên quan đến giải pháp tên ở mức chi nhánh văn phòng: có
hoặc không có Domain Controller (DC). Nếu công ty sử dụng DC tại các branch
office, các host tại văn phòng nhánh có thể dùng Domain Controller cục bộ để
đăng nhập và xử lý tên. Các máy có thể được cấu hình như một Active Directory
tích hợp server DNS. Nếu không có DC tại văn phòng nhánh, các client tại văn
phòng đó có thể được cấu hình để sử dụng server DNS của trụ sở chính, xử lý
tên cho các server ở cả văn phòng chính và văn phòng nhánh.
Xử lý tên host Internet là vấn đề riêng biệt. Một số tổ chức vui vẻ cho phép các
máy khách tự xử lý tên host Internet (dành cho các client SecureNET). Trong khi
đó một số tổ chức khác muốn có khả năng kiểm soát vấn đề này chỉ cho phép
ISA Firewall xử lý tên trên danh nghĩa của các máy khách.
Có nhiều phương thức xử lý tên host Internet và thật khó để nói được phương
thức nào là tốt nhất. Cách thức hay được dùng nhất là thực hiện cấu hình ISA
Firewall và host trên mạng hợp nhất, sử dụng Active Directory tích hợp với
server DNS. Đầu tiên sẽ là xử lý tên máy, sau đó cấu hình Active Directory tích
hợp DNS sử dụng bộ gửi do công ty điều khiển.
