Announcement

**phamtuan1129** · 24-06-2010, 01:11 AM

theo mình thì bạn có 2 hướng để làm việc này.
1/ Bạn tìm mua 1 card mạng có hỗ trợ dot.1q (loại linksys) gắn vào ISA, dùng tool đi kèm cấu hình tạo Sub như Router
2/ Gắn 4 card mạng trên con ISA, 1 cái là Extenal, 3 cái còn lại là Intenal cắm vào 3 VLAN.
Việc còn lại là tạo Rule cho phép đi net là xong. Hi vọng giúp ích cho bạn.

**xxemyeuxx** · 24-06-2010, 01:22 AM

Hi.cách 2 của bạn không ổn rồi. hiện tại mình có tới 20 vlan.
Con L3 bản thân nó là 1 con route rùi.chỉ có điều mình chưa bít config con L3 để ra nét.

**batnc** · 30-06-2010, 09:58 PM

Theo ý mình thì như thế này, không biết có được không?
_ Trên con 3750, tạo thêm 1 vlan dùng để đi ra ngoài (tạm gọi là vlan External).
_ Nối 1 interface trên ISA vào 1 interface trên vlan External đó. (theo mình thì nên cấu hình port layer 3)
_ Bật ip routing trên con 3750.
_ cấu hình default root trỏ về vlan External.
_ Có khi phải viết ACL để tránh các vlan qua lại với nhau.

P/S: mô hình cty mình cũng giống như bạn vậy, nhưng triển khai theo như cách 2 mà Mr.Tuân trình bày ở trên (khoảng 4 vlan). Mà sao cty bạn đến 20 vlan vậy?

**networkingkool** · 30-06-2010, 10:56 PM

Để hoàn thành yêu cầu trên thì cần đạt đc 2 điều:
- Máy PC cài ISA firewall phải ping được các PC trong từng VLANs
- Máy ISA khi cấu hình Internal range phải add đầy đủ các subnet tương ứng với các VLANs bên trong.

Bạn làm theo cách 1 của phamtuan là ổn nhất.
Đi ra ngoài mua 1 card mạng rời của Intel như Intel Pro\1000 GT chẳng hạn. Theo mình biết các dòng Pro của Intel Network Adapter đều có hỗ trợ trunking VLANs. Down driver packet của nó trên trang Intel về. Trong packet đó có 1 phần mềm quản lý gọi là Intel@ PROSet. Cài đặt xong thì làm theo các bước sau:

Windows configuration with Intel Pro Series adapters
Conceptually, trunking a Windows workstation or server to a switch is the same a trunking a router to a switch. The only difference is the procedure, and a much easier one I might add. The ubiquitous Intel Pro Series adapters provide a simple to use graphical tool called PROSet that any one can learn within a minute or even someone who is just winging it. Note that the same Intel adapters with the ANS drivers can provide similar capabilities on Linux. You can get more information on Linux here from Intel.
To get started, simply invoke the Intel PROSet or PROSet II utility (assuming PROSet is installed). This can be done by simply double clicking the PROSet icon in the system tray on the lower right hand corner of the desktop. The following utility should come up.

Next we must add a VLAN interface. Simply right click on Intel adapter with the PCI Card icon and click “Add VLAN”. Note in the following screen capture, the virtual interface for VLAN 100 is already there and we are adding an additional one.

The “Add New VLAN” window comes up. Enter the VLAN ID you want this interface to trunk in to in the ID field, then give it a name that describes the VLAN function. In this case, we will be adding VLAN 69 labeled the Wireless LAB.

Once this is completed and you click “OK”, simply click “Apply” and “OK” on the PROSet window to commit the changes and get out of the PROSet utility. The next step is to configure the virtual interfaces. Simply open up the “Network Connections” window and begin configuring the virtual interface as you would any other physical interface. Note that the interface names already correspond to the names of the VLAN interfaces you added. However, auto-naming only works in Windows XP. Windows 2000 just gives them generic names, so you must add one interface at a time and rename the interface under “Network Connections” before you add another VLAN interface. If you don’t do that, it is impossible to tell which Interface goes to which VLAN without some tedious trial and error. One other very important thing to note, the physical interface it self “Local Area Connection” is not bound to anything except for the “Intel Advance Network Services Protocol”. It is not used for anything else and only serves as a host for all of the virtual interfaces and it does not have it’s own IP address or VLAN.

Just remember that only your primary interface is registered with internal Dynamic DNS and WINS and is the only interface that can have a default gateway. This is the same as when you have multiple physical network interfaces. In both cases whether there are multiple physical or virtual interfaces, you must set manual routes to take advantage of the other non-primary interfaces. This is why in the TCP/IP configuration window above, I deliberately left the Default gateway and DNS settings blank because those settings went on to the VLAN 100 interface. If you put a default gateway on the VLAN 69 interface, it will take over and the default gateway for the VLAN 100 interface will disappear. All the default gateway means is the route for 0.0.0.0 network with mask 0.0.0.0 (which really just means any IP destination) will route to the default gateway. You can easily tell this with the “route print” command.

Khi bạn đã hoàn thành đc những công việc ở trên thì bạn xong bước 1 rồi đó. Việc còn lại cấu hình ISA và đặt các rule nếu có thắc mắc gì thì cứ post tự nhiên. Các members của diễn đàn sẽ giúp bạn.

**xxemyeuxx** · 09-07-2010, 04:11 PM

Cảm ơn các bạn
Mình đã làm và test thử nhưng vẫn chưa được.
Mình nói rõ thêm.
-Đứng từ ISA ping tất cả các VLAN và IP Public đều ok
- Đứng từ client ping ISA cũng ok
- Tạo rule đầy đủ
Cuối cùng client vẫn không ra được Net
Mình nghĩ nó bị DNS nhưng vẫn chưa bí cách giải quyết vấn đề này.
Các bạn xem hình cho mình giải pháp?

**networkingkool** · 19-07-2010, 06:12 PM

Mình coi hình số 2 của bạn thấy có mấy dòng lệnh route add là mình hiểu bạn làm sao rồi, đúng là một cách hay. Nhưng ko biết bạn định nghĩa Internal của ISA bao gồm những range IP nào vậy?

DNS của bạn là 1 server với IP private ở VLAN 2, vậy chắc là bạn đã nâng server đó lên domain và sử dụng 13 root DNS của thế giới để phân giải tên. Chứ bản thân DNS do bạn dựng ko thể giúp phân giải cho client bên trong ra Internet được.

Để tìm ra nguyên nhân, trước hết bạn hãy gỡ ISA khỏi máy, sau đó thử cho các máy bên trong ra Internet. Nếu ra được thì nguyên nhân do ISA bạn cấu hình sai, còn nếu ko ra được thì lỗi nằm ở cấu hình DNS, hay NAT? Đồng thời bạn có thể miêu tả rõ các rule ISA của bạn, thì mọi người mới dễ giúp được, chứ nhìn vào cái hình bé tẹo vậy thì có muốn giúp lắm cũng phải sozi thôi.

Mình sẽ về nhà làm thử mô hình của bạn, nhưng ko tự dựng DNS mà xài public DNS cho bài lab đơn giản.
Đợi mình vài bữa nhé.

**nguyenconga** · 19-07-2010, 08:46 PM

1: bạn add các range của VLAN khi define internal network trên ISA chưa?
2: các máy client đang truy cập bằng hình thức nào vậy bạn?
Rùi mình hông hiểu cái hình mohinh thì bạn để DNS là 192.168.2.10, còn hình nslookup thì server đang phân giải là 172.16.1.5.

**networkingkool** · 22-07-2010, 12:30 PM

Bạn ơi mình đã làm được mô hình lab của bạn, các máy trong VLANs đều ra Net bình thường.
Ban đầu mình chưa cài ISA, cấu hình đầy đủ, tất cả đều ra Net bình thường.
Sau đó mình cài ISA, xác định range bao gồm tất cả VLAN bên trong. Cấu hình rule để ra Net, thì thấy bị chặn. Chỉ có subnet gắn trực tiếp vào interface của ISA là ra Net được, còn các VLAN bên trong bị chặn lại. Đến đây rất giống trường hợp của bạn.
Minh coi tiếp log thấy trafic các VLAN ko bị tác động bởi rule nào (kể cả Deny default rule). Tiếp đó mình coi phần Alert Message thấy có 1 thông báo về cấu hình. Mình trích nguyên văn:

ISA Server detected routes through the network adapter VM3 that do not correlate with the network to which this network adapter belongs. When networks are configured correctly, the IP address ranges included in each array-level network must include all IP addresses that are routable through its network adapters according to their routing tables. Otherwise valid packets may be dropped as spoofed. The following
ranges are included in the network's IP address ranges but are not routable through any of the network's adapters: 172.16.3.0-172.16.4.255;. Note that this event may be generated once after you add a route, create a remote site network, or configure Network Load Balancing and may
be safely ignored if it does not re-occur.

The routing table for the network adapter VM2 includes IP address ranges that are not defined in the array-level network External, to which it is bound. As a result, packets arriving at this network adapter from the IP address ranges listed below or sent to these IP address ranges via this network adapter will be dropped as spoofed. To resolve this issue, add the missing IP address ranges to the array network.
The following IP address ranges will be dropped as spoofed:
Internal:172.16.3.0-172.16.4.255;

Đại ý nó nói là ISA nó không thể liên lạc được với 2 range IP kia, nên nó tự động drop vì nghi là giả mạo. Trong mô hình của mình 2 range IP đó là range của 2 VLAN bên trong. Còn range 172.16.2.0-172.16.2.255 là gắn trực tiếp vào ISA nên vẫn ra Net được.
Mình coi lại bảng route của ISA thấy 2 route 172.16.3.0 và 172.16.4.0 biến mất mặc dù đã add từ trước. Mình add lại 2 route, cấu hình lại range Internal network, rồi Stop Start Microsoft Firewall service trong ISA thì các VLAN tự động ra Net được.

Trong quá trình làm lab chỉ có 1 thắc mắc ở chỗ 2 route tự nhiên biến mất sau khi cài ISA.
Hy vọng giúp được bạn.:79:

**xxemyeuxx** · 23-07-2010, 03:03 PM

Thanks ban rất nhiều. đã dành chút thời gian cho vấn đề này.
Mình hiện tại chưa làm được.
Mình định xin mail của bạn để trao đổi rõ về vấn đề này.
mail của mình : duyhung115@gmail.com

Announcement

Xin hướng dẫn dùm mình về ISA.

Xin hướng dẫn dùm mình về ISA.

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment