Chào các bạn hôm nay mình sẽ thực hiện bài lab triển khai VPN Site to Site trên ISA 2006. Với hệ thống mạng của Công ty có nhiều chi nhánh, sự cách trở về mặt địa lý cộng với điều kiện kinh tế và quy mô các doanh nghiệp nước ta thì việc thuê riêng một đường truyền Lease Line là một việc quá xa xỉ. VPN vẫn là giải pháp phổ biến nhất hiện nay ở nước ta.
I. Xây dựng mô hình như sau:
* Đặt ip cho máy DC (Đóng vai trò Domain Controller, chỉ có 1 card Internal):
- IPadd: 172.17.0.193
- SM: 255.255.255.240
- DW: 172.17.0.194
- PreDNS: 172.17.0.193
* Máy ISA 1:
+ Card Internal :
- IPAdd: 172.17.0.194
- SM: 255.255.255.240
- PreDNS: 172.17.0.193
+ Card External :
- IPAdd : 192.168.1.2
- SM: 255.255.255.0
- DW: 192.168.1.1
- PreDNS : 8.8.8.8
- Alt DNS: 8.8.4.4* Máy ISA 2:
+ Card Internal :
- IPAdd: 192.168.2.1
- SM: 255.255.255.224
+ Card External :
- IPAdd : 192.168.1.50
- SM: 255.255.255.0
- DW: 192.168.1.1
- PreDNS : 8.8.8.8
- Alt DNS: 8.8.4.4* Máy AddDC2 (Đóng vai trò là một máy Additional Domain)
Máy này chỉ có 1 card Internal đặt ip như sau:
- IP Add: 192.168.2.2
- SM : 255.255.255.224
- DW: 192.168.2.1
- PreDNS: 172.17.0.193
II.Các bước thực hiện:- Để tiện theo dõi tôi tạm gọi mạng 192.168.1.2 là Site HCM, còn mạng 192.168.1.50 là site Vũng Tàu.
- Trong mô hình trên tôi sử dụng kết nối VPN site to site mà 2 site chỉ có một DC và 1 AddDC nằm ở chi nhánh. Và vì đây là mô hình lab nên cũng bỏ qua việc cấu hình trên Router ADSL. Ta giả lập các IP External của ISA1 và ISA2 là các ip public trong thực tế.
1. Thực hiện trên Site HCM- Trước tiên trên Site ở Vũng Tàu bạn tạo một Local User : vpn-hcm/123
- Cho user quyền Allow access như hình trên
- Trên ISA1 -> chọn VPN -> VPN Clients -> Configure Address Assignment Method và khai báo pool ip như trên hình và click OK
- click chọn "Enable VPN Client Access" và check vào Enable VPN client access
- Chuyển sang tab Remote sites -> Create VPN site-to-site connection
- Site name: vpn-vungtau -> Next để tiếp tục
- Protocol bạn chọn giao thức PPTP và click Next
- Khai báo địa chỉ IP External của ISA2 (site Vũng Tàu): 192.168.1.50 và Next
- Nhập vào user name: vpn-hcm/123 sau đó Next
- Khai báo range IP nội bộ của site Vũng Tàu như hình trên
- Để mặc định và Next
- Chọn All outbound traffic như hình trên và Next và Finish
-R.Click VPN -> chọn Properties như hình trên
- Check vào vpn-vungtau như hình trên và ok
2. Thực hiện trên ISA2 (Site Vũng Tàu)- Trước tiên trên máy DC ở Site HCM mở AD tạo một domain user là: vpn-vungtau/123
- Cấp quyền Allow access cho user này
- Các bước thực hiện tương tự site HCM. Chú ý khai báo pool ip phải giống với pool đã khai bào trên site HCM: 10.10.10.1 - 10.10.10.255
- Tạo Remote site với tên : vpn-hcm
- Remote Site: 192.168.1.2 (địa chỉ External của ISA1)
- Khai báo giống như hình trên và click Next
- Network address, khai báo range ip nội bộ của site HCM
- Các bước còn lại tương tự site HCM
- R.click VPN -> Properties check chọn vpn-hcm vừa mới tạo và ok
* Kiểm tra:Trên máy ISA1 mở RRAS đảm bảo đã connection như hình dưới
- Tương tự với máy ISA2
- Dùng máy AddDC ping ip máy DC ở site HCM :
172.17.0.193 đảm bảo reply như hình dưới
- Vậy là việc triển khai VPN Site To Site đã thành công. Bài tới mình sẽ hướng dẫn các bạn nâng cấp máy AddDC bằng file Backup và dùng lệnh DCPROMO /ADV
Chúc Các Bạn Thành Công!
__________________