Enabling DHCP Relay for ISA Firewall VPN Clients

Enabling DHCP Relay for ISA Firewall VPN Clients

I. Mô Hình:

II. Giới Thiệu:VPN (Virtual Private Network) là giải pháp hữu hiệu để kết nối các hệ thống mạng của doanh nghiệp có nhiều chi nhánh và nằm khác vị trí địa lý hoặc doanh nghiệp của bạn có nhiều nhân viên phải thường xuyên đi công tác xa và họ muốn truy cập vào tài nguyên mạng nội bộ. Để đáp ứng các nhu cầu trên,trong phần bài lab này tôi sẽ trình bày cách cấu hình VPN Client to Gateway thông qua ISA Server 2006 sử dụng: DHCP Relay Agent để cấp IP Wan cho VPN Client. Các bước triển khai gồm: Domain Controller:- Tạo Users, cấp quyền Allow Access.- Cài DHCP Server: tạo Scope.ISA Server:- Enable VPN Client to Gateway.- Tạo Access Rule.- Triển khai DHCP Relay Agent.VPN Client:- Tạo kết nối VPN.- Truy cập và kiểm tra.III. Triển khai chi tiết:Domain Controller:- Mở Active Directory Users and Computer: tạo OU vpnclient. Trong OU vpnclient tạo User: nhatnghe Password: 123.

- Properties User nhatnghe > Tab Dial-in > Check vào Allow access > OK.

- Vào Add Remove program > Add remove Windows Components > Chọn Networking Services (Chọn Details) > Check vào Dynamic Host Configuration Protocol > OK.

- Sau khi cài đặt hoàn tất vào DHCP tạo Scope:- IP Address Range:Start IP Add: 172.16.11.200End IP Add: 172.16.11.250Length: 24Subnet Mask: 255.255.255.0003: 172.16.11.1 (Default Gateway)006: 172.16.11.2 (DNS Server)015: nhom11.com (Domain Name)

ISA- Mở ISA Server Management > Chọn Define Address Assignment ở Tasks Paint.

- Hộp thoại Virtual Private Network (VPN) Properties > Tab Address Assignment > Chọn Dynamic Host Configuration Protocol (DHCP) > OK.

- Chọn APPLY.

- Mở ISA Server Management > Chọn Enable VPN Client Access.- Chọn APPLY.

- Mở ISA Server Management > Click phải Firewall Policy > New > Access Rule…

- Access rule name: DHCP Reply > Next.

- Hộp thoại Rule Action > Chọn Allow > Next.

- Hộp thoại Protocol > Chọn Add.- Hộp thoại Add Protocol > Chọn DHCP(reply) > chọn Add > Close.

- Kiểm tra > Next.

- Hộp thoại Access Rule Sources > Chọn Add.- Hộp thoại Add Network Entities > Chọn Internal > chọn Add > Close.


- Hộp thoại Access Rule Destinations > chọn Add.- Hộp thoại Add Network Entities > Chọn VPN Client > Chọn Add > Close.


Hộp thoại User Sets > Next.

- Chọn Finish.


- Access rule name: DHCP Request > Next.


- Hộp thoại Protocol > Chọn Add.- Hộp thoại Add Protocol > Chọn DHCP(request) > Add > Close.


- Hộp thoại Access Rule Sources > Chọn Add.- Hộp thoại Add Network Entities > Chọn VPN Clients > Chọn Add > Close.


- Hộp thoại Access Rule Destinations > Chọn Add.- Hộp thoại Add Network Entities > Chọn Local Host > Chọn Add > Close.


- Hộp thoại User Sets > Next.

- Chọn Finish.


- Access rule name: VPN Client Access > Next.


- Hộp thoại Protocol > Chọn All outbound traffic > Next.

- Hộp thoại Access Rule Sources > Chọn Add.- Hộp thoại Add Network Entities > Chọn VPN Clients > Chọn Add > Close.


- Hộp thoại Access Rule Destinations > Chọn Add.- Hộp thoại Add Network Entities > Chọn Internal > Chọn Add > Close.


- Hộp thoại User Sets > Chọn Next.

- Chọn Finish.

- Kiểm tra đảm bảo có 3 Rule như hình.

- Mở Routing and Remote Access.

- Mở IP Routing > Click phải General > New Routing Protocol…

- Hộp thoại New Routing protocol > Chọn DHCP Relay Agent > OK.

- Click phải DHCP Relay Agent > Chọn Properties.

- Hộp thoại DHCP Relay Agent properties > dòng Server Address nhập 172.16.11.2 > Add > OK.

- Click phải DHCP Relay Agent > Chọn New Interface…

- Hộp thoại New Interface for DHCP Relay Agent > Chọn Internal > OK.

- Chọn OK.

VPN Client- Click phải My Network Place > chọn Properties.- Chọn Create a new connection.

- Chọn Next.

- Chọn Connect to the network at my workplace > Next.

- Chọn Virtual Private Network connection > Chọn Next.

- Company Name: Cty Nhatnghe > Chọn Next.

- Host name or IP address: 192.168.14.11 (địa chỉ card Lan của ISA) > Chọn Next.

- Check vào Add a shortcut to … > Chọn Finish.

- User name: nhatnghe- Password: 123Chọn Connect.

- Kết nối thành công.

- Click phải biểu tượng kết nối chọn Status.

- Kiểm tra Wan IP được cấp tự động từ DHCP Server.

- Mở CMD gõ: ipconfig /all kiểm tra.

- VPN Client vào Start > Run gõ : \\172.16.11.2.- Kiểm tra vào được File Server.

- Chúc các bạn thành công. ĐÔI ĐIỀU VỀ CHỨC NĂNG CACHE TRÊN ISA SERVER

1. Tổng Quan

Mời quý vị theo dõi thông tin nóng hổi sau đây:

Dịp tết Kỹ Sửu vừa qua, Trường Nhất Nghệ đã quảng bá một cuộc thi bình chọn "giảng viên đẹp giai nhất" với phần thưởng là 01 laptop Sony Core 2 Duo 3.0 GHz và học bổng mọi môn học tại trường.

Thể lệ như sau: - Đối tượng tham dự: mọi công dân Việt Nam không phân biệt nam phụ lão ấu.- Hình các giảng viên sẽ được dán trước cổng trường.- Thí sinh phải vào trường tìm gặp giảng viên mà mình muốn bình chọn để xin một tấm ảnh có kèm chữ ký của giảng viên đó.- Thí sinh phải trả lời câu hỏi phụ "Có bao nhiêu người bình chọn như bạn?"v v và v v...

Diễn tiến cuộc thi: Có rất nhiều thí sinh hăm hở vào trường để tìm thầy Nguyễn Văn C. hoặc thầy Phan Minh T. Thế nhưng thầy C. và thầy T. lại thường đứng lớp ở tận lầu 05... Riêng cô Tôn Nữ Phình Phường lại vô cùng ái mộ thầy Trần Văn H. Cô bèn photo thât nhiều ảnh của thầy H. và nhờ thầy ký tặng. Lẽ dĩ nhiên thầy H. không thể từ chối một tấm thịnh tình như thế. Cô Phình Phường bèn túc trực trước cổng trường và phát ảnh của thầy H. cho tất cả mọi thí sinh.

Kết quả: Thí sinh đoạt giải là cô Tôn Nữ Phình Phường và giảng viên được bình chọn đẹp giai nhất là thầy Trần Văn H. với một số lượng phiếu áp đảo!!!???

Có thể xem diễn tiến cuộc thi nói trên là hình ảnh hoạt động của cơ chế reverse caching trên ISA server:

Một server ISA được tích hợp 03 chức năng, đó là firewall server, VPN server và proxy server. Một trong những đặc trưng khiến proxy server được ưa chuộng là khả năng "caching", tức khả năng lưu trữ các nội dung web mà proxy server đã từng truy cập. ISA server có khả năng thực hiện forward caching và reverse caching.

Cơ chế reverse caching: Khi có 01 internet client (thí sinh ) truy cập đến internal web server (Thầy Trần Văn H.) được publish thông qua ISA server (cô Tôn Nữ Phình Phường), proxy server trên ISA sẽ truy cập web server, nhận phản hồi, cung cấp nội dung web cho client và lưu trữ nội dung web site. Khi các internet client khác truy cập web, proxy sẽ cung cấp nội dung đã lưu trữ mà không cần truy cập web server nữa. Có thể tóm lược: reverse caching được thiết lập để giảm băng thông truy cập cho mạng nội bộ và tăng tốc đáp ứng các truy cập "bên ngoài vào" (incoming request)

Ngược lại, forward caching được thiết lập để tăng tốc đáp ứng các truy cập "bên trong ra" (outgoing request), tức các client trong nội bộ truy cập web ngoài internet.

Trong cả 02 trường hợp, ta có những khả năng:- Xác lập dung lượng tối đa dùng để lưu trữ web trên đĩa cứng của server ISA.- Định dung lượng lưu trữ tối đa của một trang web cụ thể.- Định dung lượng RAM dùng cho cache bằng cách thiết lập tỷ lệ phần trăm trên tổng dung lượng RAM của ISA server. Mặc định, ISA giành 10% RAM để cache. Sau khi thay đổi dung lượng RAM cache, phải restart service firewall.

2. Xác lập dung lượng lưu trữ cache

Cần lưu ý rằng ISA server mặc định không có khả năng cache. Nếu muốn dùng, quản trị viên phài chủ động kích hoạt tính năng cache.

Sau khi kích hoạt, cả 02 chức năng forward và reverse cache đều mặc nhiên hoạt động. Quản trị viên kích hoạt tính năng cache bằng xác lập dung lượng và ổ đĩa lưu trữ (define cache drive).

Click this bar to view the full image.



Một số vấn đề liên quan đến đĩa cache:- Đĩa cache phải là ổ đĩa cục bộ (local drive).- Đĩa cache phải được định dạng NTFS.- Để tồi ưu hóa hiệu năng, nên lưu cache trên một đĩa vật lý khác với đĩa hệ thống và đĩa cài đặt chương trình ISA.- Sau khi xác lập dung lượng cache, trên ổ đĩa đã chỉ định sẽ tồn tại thư mục urlcache chứa tập tin dir1.cdat có dung lượng bẳng dung lượng chỉ định. Đây chính là tập tin chứa nội dung cache.- Tập tin chứa nội dung cache chỉ có thể có dung lượng tối đa là 64 GB. Nếu muốn có dung lượng cache lớn hơn, ta có thể chỉ định đồng thời nhiều ổ đĩa luận lý.- Mặc định ISA không hỗ trợ khã năng quan sát và điều chỉnh nội dung cache. Tuy nhiên, Microsoft cung cấp thêm công cụ "Cache Directory Tool for Internet Security and Acceleration (ISA) Server": CacheDirPack.exe có thể tải xuống tại đây. Quý vị có thể tham khảo cách dùng công cụ này trong bài viết "Xem nội dung Cache, Tạo

http://nhatnghe.com/forum/showthread.php?t=22691

http://www.microsoft.com/downloads/details.aspx?familyid=b9ecfcd3-c13f-4447-83ed-add9a8ea45db&displaylang=en

Cache Rule và Xóa Cache trên ISA Server 2004"

3. Cache rule

Như đã trình bày ở trên, mặc định sau khi kích hoạt chaching, cả 02 chức năng forward và reverse cache đều hoạt động đối với mọi trang web. Caching mặc định hoạt động theo các thông số được thiết lập trong 01 cache rule có tên "Default rule".Ta còn có thể tạo các cache rule để tùy biến hoặc điều khiển hoạt động cache:- Thiết lập cache rule ứng với một hoặc một số trang web xác định.- Trong một rule, có thể xác lập cache ứng với một hoặc một số loại nội dung xác định.- Chỉ định loại nội dung được lưu trữ và tùy biến cách đáp ứng cho proxy client tùy theo trang web hoặc nội dung mà client yêu cầu.- Chỉ định khoảng thời gian tồn tại hợp lệ (TTL: Time-To-Live) và cách đáp ứng proxy client khi nội dung cache quá hạn.

3.1. Chỉ định loại nội dung được lưu trữ


- Dynamic content: Nội dung động. Nội dung loại này sẽ thường xuyên thay đổi và vì thế được đánh dấu là không thể được cahe (not cacheable). Tuy nhiên, nếu chọn phương thức này trong rule thì nội dung động sẽ vẫn được lưu cho dù nó đã được đánh dấu là không thể cache.- Content for offline browsing: Nội dung có thể truy cập khi không kết nối đến web server. Nếu chọn phương thức này trong rule thì ISA sẽ lưu mọi nội dung trang web, kể cả phần đã được đánh dấu là không thể cache.- Content requiring user authentication for retrieval: Nếu chọn phương thức này, ISA sẽ lưu các nội dung mà trang web yêu cầu chứng thực trước khi cho phép truy cập.

3.2. Cách thu thập nội dung web và cách đáp ứng cho client trên cơ sở TTL

ISA server căn cứ vào thời hiệu hợp lệ (validity time) của nội dung web trong cache để quyết định việc truy cập đến web server và việc cung cấp nội dung lưu trữ cho client:


http://nhatnghe.com/forum/showthread.php?t=22691

- Phương thức a: Only if a valid version of the object exists in cache. If no valid version exists, route the request: Chỉ cung cấp nội dung lưu trữ còn hợp lệ cho client. Nếu nội dung quá hạn thì ISA sẽ truy cập web server để tải về. Cấu hình này bảo đảm cho client có được nội dung mới nhất (trong một thời hạn nhất định.)- Phương thức b: If any version of the object exists in cache. If none exists, route the request: Cung cấp nội dung lưu trữ cho client bất kể thời hiệu. Chỉ khi không có lưu trữ thì mới tải về. Cấu hình này bảo đảm cho client luôn luôn có được nội dung cần thiết, bất kể tính cập nhật.- Phương thức c: If any version of the object exists in cache. If none exists, drop the request: Cung cấp nội dung lưu trữ cho client bất kể thời hiệu. Nếu không có lưu trữ thì bỏ qua yêu cầu của client. Nói một cách khác, cấu hình này chỉ cung cấp nội dung lưu trữ sẵn cho client, ISA không bao giờ truy cập web server theo yêu cầu của client.

Quay lại ví dụ về cuộc thi bầu chọn giảng viên đã nói trên.

Khi cô Phình Phường (ISA server) được cấu hình theo phương thức c thì chuyện gì xảy ra? Một thí sinh gặp cô Phình Phường để xin ảnh của thầy Trần Văn H., vì không còn tấm ảnh hiện tại nào của thầy H. - đại gia - phong độ nên cô Phình Phường trao tấm ảnh cũ của thầy H. - hàn sĩ - với manh áo vá vai và đôi giày hả họng, thậm chí là tấm ảnh ngày xửa ngày xưa lúc thầy H. còn ở ... tắm mưa!!!

Đến khi không còn tấm ảnh nào của thầy H. thì cô chặn luôn các thí sinh chứ không cho họ vào trường gặp thầy H.

Với cấu hình phương thức c, client sẽ chỉ có thể nhận được nội dung đã lưu trữ sẵn trên ISA server. Vì vậy, khi chọn phương thức này, quản trị viên sẽ tạo thêm 01 "content download job" hay một lịch biểu kết nối web server để tải về và lưu trữ sẵn nội dung web.

- Phương thức d: Never, no content will ever be cached: ISA sẽ không bao giờ lưu trữ nội dung web. Cấu hình này nhằm bảo đảm rằng ISA sẽ luôn luôn truy cập web server khi nhận yêu cầu từ client, nghĩa là client sẽ luôn luôn nhận được nội dung mới nhất của trang web.

Các nội dung được truyền bằng SSL là những thông tin quan trọng, nhạy cảm (chứ nếu không thì mã hóa làm gì!). Để thực sự bảo mật, nên cân nhắc trước khi thiết lập lưu trữ nội dung SSL.


Nguyên tắc xét các cache rule cũng tương tự access rule, nghĩa là ISA sẽ xét từ rule có thứ tự (order) nhỏ nhất. Khi một 01 cache rule được áp đặt cho 01 yêu cầu web phù hợp thì các cahce rule có thứ tự lớn hơn sẽ không được xét nữa.


Cache rule "Default rule" có thứ tự là "Last" và đương nhiên sẽ được áp sau cùng nếu không có rule nào phù hợp.

4. Content download job

ISA server được lập lịch biểu để truy cập web server và tải về vào những thời điểm nhất định. Mục đích là đáp ứng nhanh nhất cho client (khi client truy cập thì nội dung đã được lưu sẵn tại ISA).

Lưu ý rằng tác vụ tải xuống theo lịch biểu sẽ không thể hoàn tất nếu trang web mục tiêu đòi hỏi chứng thực người dùng.

Khi tạo tác vụ tải xuống đầu tiên, thực chất là thiết lập một số cấu hình hệ thống của ISA. Chỉ sau khi chấp thuận đề nghị của ISA và áp đặt (apply) cấu hình, ta mới có thể lập lịch biểu tài xuống.



Cấu hình hệ thống này bao gồm 03 yếu tố mà ta có thể tự thực hiện:

- Kích hoạt LocalHost lắng nghe yêu cầu HTTP của web proxy client.



- Kích hoạt 01 configuration group có tên "Scheduled Download Job"



- Kích hoạt system rule thứ 29.



5. Caching trong tương quan với HTTP header

Hoạt động lưu trữ nội dung trang web không chỉ phụ thuộc vào cấu hình trên proxy server mà còn phụ thuộc vào cấu hình của trang web hoặc web server.Để mô tả thời gian hợp lệ hoặc cấm lưu trữ (non-cacheable) của một trang web, người ta

thường dùng 1 trong 2 cách sau:- Cách 1: Chèn các lệnh HTML meta tags trong nội dung trang web. Cách làm này chỉ có tác động đến hoạt động cache của trình duyệt trên client.- Cách 2: Dùng chương trình web server để cấu hình HTTP header. Cách làm này tác động đến hoạt động cache của trình duyệt trên client và cả proxy server.Ví dụ trên một trang web hosting bởi Microsoft Internet Information Service, có thể khống chế hoạt động cache theo cách 2: mở properties của web site > chọn tab HTTP header.


ISA server sẽ không cache nếu nhận phản hồi có các HTTP header sau đây:- Cache-control: no-cache response header- Cache-control: private response header- Pragma: no-cache response header- www-authenticate response header- Set-cookie response header- Cache-control: no-store request header- Authorization request header

Cảm ơn Quý vị đã theo dõi bài viết!

Documents

Enabling DHCP Relay for ISA Firewall VPN Clients