1. Trang chủ >
  2. Công nghệ thông tin >
  3. Quản trị mạng >

CẤU HÌNH TMG NETWORKS

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (18.19 MB, 249 trang )


TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



15.2.



NAT Relationships



Một mối quan hệ NAT thông báo TMG rằng nó phải áp dụng chỉnh sửa địa chỉ IP cho traffic

mạng khi nó đi giữa các máy chủ.

Một mối quan hệ NAT định nghĩa một mối quan hệ một chiều traffic qua TMG, có nghĩa là,

địa chỉ IP đại diện cho các máy chủ ở phía nguồn của mối quan hệ sẽ luôn luôn được thay

đổi. Các hành vi cho các địa chỉ IP máy chủ ở phía đích của mối quan hệ phụ thuộc vào loại

quy tắc tường lửa được sử dụng để xử lý lưu lượng truy cập. Bạn có thể xác định hai hình

thức NAT:









Full-NAT Trong trường hợp này, địa chỉ đích là thay đổi để phù hợp với địa chỉ IP

các máy chủ được công bố và địa chỉ IP nguồn được thay đổi để phản ánh TMG mặc

định địa chỉ IP trong mạng có liên quan.

Half-NAT Trong trường hợp này, chỉ có địa chỉ đích là thay đổi để phù hợp với địa

chỉ IP các máy chủ Publish. Các địa chỉ nguồn không thay đổi.



Hình II.15.2.1 và loại qui tắc danh sách sau minh họa cho hành vi lưu lượng truy cập khác

nhau trên toàn một mối quan hệ NAT.



Hình II.15.2.1 NAT Relationships











Access Rules Các địa chỉ IP cho các máy chủ trong mạng đích sẽ vẫn không

thay đổi cho tất cả lưu lượng truy cập. Địa chỉ IP cho các máy chủ trong mạng

nguồn sẽ được thay đổi theo cấu hình mạng quy tắc mối quan hệ.

Publishing Rules địa chỉ IP cho các máy chủ trong mạng đích sẽ được thay

đổi theo các thiết lập được minh họa trong hình II.15.2.2 và II.15.2.3.



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 80



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Hình II.15.2.2 Half NAT publishing (default)



Hình II.15.2.3 Full NAT publishing



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 81



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Hình II.15.2.4 mô tả các tùy chọn mặc định cho bất kỳ quy tắc mạng NAT



Hình II.15.2.4 Lựa chọn địa chỉ NAT mặc định



TMG cung cấp ba sự lựa chọn cho hành vi này:

Luôn luôn sử dụng địa chỉ IP mặc định tùy chọn này gây ra TMG hành vi ứng xử giống như

ISA 2006. Lưu lượng có nguồn gốc từ mạng nguồn được sử dụng trong quy tắc này sẽ

được nhận trong các mạng đích với một địa chỉ IP nguồn đại diện mặc định của TMG Địa

chỉ IP trong mạng đích. Hình II.15.2.5 minh họa hành vi này bằng cách sử dụng

192.168.0.1 là địa chỉ IP mặc định TMG.



Hình II.15.2.5 Default NAT



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 82



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Sử dụng địa chỉ IP được lựa chọn tùy chọn này sẽ cấu hình tường lửa TMG hoặc proxy

hoặc một mảng TMG kích hoạt NLB sử dụng một địa chỉ IP (IP ảo cho các cụm NLB) để đại

diện cho traffic có nguồn gốc từ mạng nguồn. Hình 90 minh họa điều này hành vi cho một

mảng TMG NLB cho phép sử dụng 192.168.0.3 là địa chỉ IP ảo.



Hình II.15.2.6 Single-IP (NLB) NAT



Sử dụng địa chỉ IP được lựa chọn cho mỗi mạng tùy chọn này gây ra TMG sử dụng một địa

chỉ IP duy nhất cho mỗi TMG tường lửa hoặc proxy trong một mảng để đại diện cho lưu

lượng truy cập có nguồn gốc từ mạng nguồn. Hình 91 minh họa hành vi này.



Hình II.15.2.7 IP riêng cho mỗi máy chủ NAT



15.3.



Mạng Rules



Thứ tự các quy tắc mạng là rất quan trọng để sửa chữa đánh giá lưu lượng truy cập của

TMG. Hình II.15.3.1 minh họa quy tắc mạng mặc định tạo ra cho Edge Firewall.



Hình II.15.3.1 Default Network Rules for Edge Deployment



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 83



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Tất cả các quy tắc mạng hoạt động trong bối cảnh của các đối tượng mạng. Điều này có

thể bao gồm hầu hết các tiêu chí gọi chung trong chính sách tường lửa như là các đối

tượng mạng. Khi bạn chạy Rule Network Wizard, bạn có thể lựa chọn một tập hợp đối

tượng network của chính sách Firewall, như thể hiện trong hình II.15.3.2.



Hình 5 II.15.3.2 Network Entities selection dialog box



15.4.



Built-In Mạng



Khi bạn cài đặt TMG, bạn được yêu cầu xác định mạng nội bộ của bạn. Sau khi cài đặt TMG

bạn sẽ nhận thấy rằng một số mạng đã được xây dựng trên tab Networks. Các mạng này

khác nhau tùy thuộc vào mẫu mạng áp dụng. Trước khi chúng tôi thảo luận về các mạng

lưới được tạo ra trong khi cài đặt, chúng ta hãy nhìn vào những gì mỗi mạng được xây

dựng đại diện.























Local Host bao gồm bất kỳ địa chỉ IP được sử dụng bởi máy tính mà TMG được cài

đặt.

Internal Network mạng này được tạo ra trong quá trình cài đặt và định nghĩa một

mạng bao gồm các địa chỉ được sử dụng bởi một tập hợp các Clients bảo vệ và kiểm

soát bởi chính sách TMG

VPN Clients Network Mạng lưới bao gồm tất cả các địa chỉ IP được gán với VPN

client kết nối với máy tính TMG. Nếu định tuyến và dịch vụ truy cập từ xa trên TMG

được thiết lập để phân bổ địa chỉ cho client từ một DHCP máy chủ, network này là

năng động và địa chỉ được tự động thêm vào và loại bỏ khi các client VPN kết nối và

ngắt kết nối.

Quarantined VPN Clients Network Mạng này bao gồm tất cả các địa chỉ IP được

VPN client cách ly và có thể truy cập hạn chế. Có nghĩa là một mạng Dynamic dựa

trên các máy tính được cách ly và địa chỉ được thêm vào và loại bỏ như các Clients

VPN được thêm vào hoặc gỡ bỏ từ danh sách cách ly.

Perimeter mạng này bao gồm các địa chỉ IP của mạng Perimeter của bạn. Bạn có

thể tạo ra nhiều mạng Perimeter miễn là bạn có một giao diện vật lý trên TMG phạm

vi cùng một địa chỉ.

External mạng bên ngoài này bao gồm tất cả các địa chỉ IP không được định nghĩa

trong bất kỳ các mạng khác.



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 84



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Hình Bảng II.15.4.1 Thông tin tóm tắt các mạng liên kết



Hình II.15.4.1 Giao diện điều khiển lớp mạng



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 85



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



15.5.



Cấu hình mạng được bảo vệ của bạn



Tất cả các mạng sau TMG được biết đến như mạng lưới bảo vệ. Hình II.15.5.1 cho thấy một

ví dụ về các lớp mạng và phân loại.



Hình II.15.5.1 Mô hình các lớp mạng được bảo vệ



Sau khi chạy Getting Started Wizard và truy cập Web Wizard, bạn đã sẵn sàng để sử dụng

TMG. Tuy nhiên, bạn có thể cấu hình một số tùy chọn bổ sung sau đó. Để truy cập vào lựa

chọn cho mạng lưới bảo vệ nội bộ, thực hiện theo các bước sau:

1. Trên máy tính TMG, mở Forefront TMG Management Console.

2. Nhấp vào Forefront TMG (Server Name) trong khung bên trái.

3. Nhấp vào nút mạng trong khung bên trái của giao diện điều khiển và sau đó nhấp vào

Internal Tab ở trong giữa Panel.

4. Nhấp vào chỉnh sửa mạng được lựa chọn trong khung bên phải và bạn sẽ thấy một hộp

thoại tương tự một hiển thị trong hình II.15.5.2.



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 86



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



Hình II.15.5.2 Internal Properties dialog box



15.6.



Chứng thực Traffic từ mạng được bảo vệ



Để truy cập vào tùy chọn xác thực cho mạng nội bộ mặc định trong Web proxy, hãy làm

theo các bước sau:

1. Trên máy tính TMG, mở Forefront TMG Management Console.

2. Nhấp vào Forefront TMG (Server Name) trong khung bên trái.

3. Nhấp vào nút mạng trong khung bên trái của giao diện điều khiển và sau đó nhấp

vào Internal tab trong panel giữa.

4. Nhấp vào chỉnh sửa mạng được lựa chọn trong khung bên phải.

5. Nhấp vào tab Web Proxy và sau đó nhấp vào nút xác thực. Bạn sẽ thấy một hộp

thoại tương tự như thể hiện trong hình II.15.6.1.



Hình II.15.6.1 Tùy chọn xác thực cho mạng nội bộ



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 87



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



16.CÂN BẰNG TẢI

16.1.



ISP Redundancy là gì?



ISP Redundancy là một tính năng trong TMG cung cấp tính sẵn sàng cao hoặc chia sẻ tải

trọng của kết nối Internet bằng cách sử dụng của hai link ISP. Tính năng này đảm bảo rằng

nếu link ISP chính bị down, TMG sẽ di chuyển tất cả các kết nối khách hàng đến link ISP

thứ cấp. Sau khi link ISP chính là trở lại, TMG di chuyển tất cả các kết nối trở lại link ISP

chính, như thể hiện trong hình II.16.1.1. Có hai kịch bản khác nhau trong ISP-R:









ISP Failover Trong kịch bản này bạn có thể cấu hình chuyển đổi dự phòng từ một

link ISP chính một link ISP thứ. Các link ISP thứ cấp hoặc dự phòng chỉ được sử

dụng khi chính là không có. Điều này đặc biệt hữu ích khi bạn đã trả tiền cho lưu

lượng truy cập kết nối như là một bản sao lưu, được sử dụng chỉ khi các ISP link là

down. ISP Failover không cung cấp khả năng cân bằng tải.

ISP Load Balancing Trong kịch bản này, bạn có thể cấu hình cân bằng tải giữa hai

ISP link để lưu lượng truy cập có thể được cân bằng giữa chúng. ISP Load Balancing

cho phép bạn sử dụng tất cả các ISP có sẵn băng thông cũng như cung cấp khả

năng chuyển đổi dự phòng ISP. Với cân bằng tải ISP, bạn có thể cung cấp cho mỗi

ISP sử dụng điều khiển giao thông bằng cách xác định một tỷ lệ trọng lượng tương

đối để mỗi ISP kết nối.



Hình II.16.1.1 Tính năng ISP redundancy trong TMG



16.2.



Enabling ISP-R



Bạn cho phép ISP-R thông qua các link có sẵn trên tab Nhiệm vụ khi các nút mạng chọn

trong khung bên trái để cấu hình, như thể hiện trong hình II.16.2.1.



Hình II.16.2.1 Cấu hình ISP redundancy



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 88



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



16.3.



NLB Kiến trúc



NLB hoạt động như một trình điều khiển NDIS để nó có thể xử lý lưu lượng truy cập trước

khi giao thức TCP/IP nhìn thấy nó. Mỗi nút là một phần của một cụm NLB có một địa chỉ IP

duy nhất, được biết đến như là địa chỉ IP chuyên dụng (DIP) địa chỉ. Tất cả các nút trong

một dãy NLB chia sẻ một tập hợp các địa chỉ IP phổ biến, được gọi là địa chỉ IP ảo (VIP).

Hình II.16.3.1 cho thấy sơ đồ kiến trúc cơ bản cho NLB.



Hình II.16.3.1 Kiến trúc cơ bản của NLB



NLB có ba chế độ hoạt động, được sử dụng để xác định NLB sẽ giao tiếp với khách hàng và

giữa các nút trong dãy NLB. Ba chế độ unicast, multicast, và multicast với IGMP. Bất kể chế

độ, các địa chỉ MAC trong giao thông để lại một máy chủ lưu trữ trong mảng NLB được

thiết lập để giá trị như nhau trên tất cả các nút. NLB trên TMG có thể hoạt động trong chế

độ tích hợp và không tích hợp. Khi bạn kích hoạt NLB tích hợp mặc định chế độ hoạt động

là unicast. Trong chế độ unicast, các gói dữ liệu được cung cấp song song với tất cả các

nút và sau đó các bộ lọc điều khiển NLB ra các gói tin không có ý định để được xử lý bởi

một nút cụ thể. NLB cũng hỗ trợ chế độ multicast, có thêm một truy cập MAC multicast để

bộ điều hợp của nút trên tất cả các máy chủ này là một phần của cụm NLB. Mặc dù tất cả

các nút sẽ chia sẻ một phổ biến địa chỉ MAC multicast, các nút cũng giữ lại địa chỉ MAC gốc

của chúng.



Hình II.16.3.2 Sự khác biệt giữa MAC unicast và multicast



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 89



TRƯỜNG CAO ĐẲNG NGHỀ iSPACE

240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM

Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn

Tel: (848) 6267 8999 - Fax: (848) 6283 7867



16.4.



Sử dụng TMG Management Console



Bạn có thể xem trạng thái của các dịch vụ NLB trong mảng địa phương hoặc một thành viên

khác của mảng trên tab vào nút Monitoring trong phần panel bên trái của giao diện điều

khiển. Trong Console TMG, Giám sát từ tab Services, bạn có thể xem các tùy chọn được

hiển thị Hình II.16.4.1. Bạn có thể sử dụng các tùy chọn trong một số tình huống xử lý sự

cố, chẳng hạn như những người thể hiện trong hình II.16.4.2.



Hình II.16.4.1 Tùy chọn kiểm soát NLB



Hình II.16.4.2 Ý nghĩa các tùy chọn kiểm soát NBL



Bạn có thể sử dụng các tùy chọn này khi bạn muốn để cô lập các nút NLB là có vấn đề

hoặc bạn muốn để buộc người dùng phải kết nối với một thành viên NLB khác nhau. Khi

TMG phát hiện cấu hình sai sót trong NLB hoặc không thống nhất giữa các thành viên NLB

được hiển thị trong tab Alerts. Bạn có thể sử dụng những cảnh báo để xác định các vấn đề

có thể xảy ra và bắt đầu xử lý sự cố chúng. Hình II.16.4.3 cho thấy một ví dụ về nhiều mục

trên tab Alerts NLB dịch vụ.



_____________________________________________________________________________________

Trường CĐ Nghề CNTT Ispace – Khoa: CNTT: Đề tài tốt nghiệp

Trang 90



Xem Thêm

Tài liệu liên quan

Tải bản đầy đủ (.docx) (249 trang)

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×