Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ

Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ (http://www.nhatnghe.com/forum/index.php)
-   Firewall (http://www.nhatnghe.com/forum/forumdisplay.php?f=9)
-   -   Vấn đề ISA khó hiểu. (http://www.nhatnghe.com/forum/showthread.php?t=64464)

daucavo 20-01-2010 15:54

Vấn đề ISA khó hiểu.
 
Tình hình là mình vừa vào làm IT cho 1 cty , chỉ có mạng ngang hàng , ko có DC, nguời IT truớc thì biến mất tăm không để lại 1 thông tin gì về hệ thống mạng hiện hành.
Hệ thống có 1 con ISA 2006 , chạy rule toàn allow , mà allow những rule thật khó hiểu (các bạn vui lòng xem hình bên dưới). Theo mình hiểu thì những RULE allow trong hình thì đâu cần ISA làm gì đúng không các bạn?
Mình thì không chơi ISA lâu rồi nên không nhớ gì mấy, nếu bạn nào tốt bụng và rãnh rỗi thì vui lòng cho mình biết ý nghĩa từng rule 1 trong đó luôn nhé( xem có đúng với mình nghĩ hay không í mà).
Xin chân thành cám ơn các bạn và thầy cô.
http://i879.photobucket.com/albums/a...er2/ISAroe.jpg
http://www.mediafire.com/?yidzntqflkz

Hịc, em post nhầm room rồi, không biết chuyển room và xóa bài nên mong admin chuyển qua Firewall giùm em nhé . Cám ơn nhìu .

vtbk 20-01-2010 16:19

Trích:

Nguyên văn bởi daucavo (Post 366204)
Tình hình là mình vừa vào làm IT cho 1 cty , chỉ có mạng ngang hàng , ko có DC, nguời IT truớc thì biến mất tăm không để lại 1 thông tin gì về hệ thống mạng hiện hành.
Hệ thống có 1 con ISA 2006 , chạy rule toàn allow , mà allow những rule thật khó hiểu (các bạn vui lòng xem hình bên dưới). Theo mình hiểu thì những RULE allow trong hình thì đâu cần ISA làm gì đúng không các bạn?
Mình thì không chơi ISA lâu rồi nên không nhớ gì mấy, nếu bạn nào tốt bụng và rãnh rỗi thì vui lòng cho mình biết ý nghĩa từng rule 1 trong đó luôn nhé( xem có đúng với mình nghĩ hay không í mà).
Xin chân thành cám ơn các bạn và thầy cô.

Hịc, em post nhầm room rồi, không biết chuyển room và xóa bài nên mong admin chuyển qua Firewall giùm em nhé . Cám ơn nhìu .

toàn là rule bậy bạ
nên delete hết rồi tạo lại

daucavo 20-01-2010 16:30

Trích:

Nguyên văn bởi vtbk (Post 366216)
toàn là rule bậy bạ
nên delete hết rồi tạo lại

Chân thành cám ơn câu trả lời của bạn.
Bạn có thể cho mình 1 cái RULE quản lý mạng ngang hàng trên ISA gọi là mẫu mực nhất không?
Mô hình của mình thế này: nơi của mình là 1 trường học.
Con ISA cũng là con File server luôn và kết nối qua trực tiếp vào con Router có WIFI và wifi thì cho học viên dùng luôn đi net vô tư . Dữ liệu share thì có 2 folder Giaovien ( chi co user GiaoVien vào) , SOFT (mọi nguời đều vào đuợc) , phân quyền NTFS đã ok hết rồi. Mình sợ WIFI dùng chung với ISA ( file server ) thì lỡ học viên nó quậy tùm lum thì chết mình. bảo mật mọi thứ đều có pass dữ dằn. Không biết RULE ISA như thế nào để hạn chế một cách tấn công bậy bạ của các máy học viên ?Học viên chỉ đuợc share NET và tiếp cận với folder SOFT mà thôi. Hệ thống không Domain nên làm mình nhức đầu về bảo mật quá . Theo mình biết hệ thống không Domain chỉ làm đuợc đơn giản là NTFS permission thôi, mình đã cấu hình tốt hết rồi, còn về ISA thì mình không rõ phải làm sao trên mạng ngang hàng này.
Mong nhận đuợc sự giúp đỡ.
Cám ơn các bạn.

ITPT 20-01-2010 17:29

Trích:

Nguyên văn bởi daucavo (Post 366219)
Chân thành cám ơn câu trả lời của bạn.
Bạn có thể cho mình 1 cái RULE quản lý mạng ngang hàng trên ISA gọi là mẫu mực nhất không?
Mô hình của mình thế này: nơi của mình là 1 trường học.
Con ISA cũng là con File server luôn và kết nối qua trực tiếp vào con Router có WIFI và wifi thì cho học viên dùng luôn đi net vô tư . Dữ liệu share thì có 2 folder Giaovien ( chi co user GiaoVien vào) , SOFT (mọi nguời đều vào đuợc) , phân quyền NTFS đã ok hết rồi. Mình sợ WIFI dùng chung với ISA ( file server ) thì lỡ học viên nó quậy tùm lum thì chết mình. bảo mật mọi thứ đều có pass dữ dằn. Không biết RULE ISA như thế nào để hạn chế một cách tấn công bậy bạ của các máy học viên ?Học viên chỉ đuợc share NET và tiếp cận với folder SOFT mà thôi. Hệ thống không Domain nên làm mình nhức đầu về bảo mật quá . Theo mình biết hệ thống không Domain chỉ làm đuợc đơn giản là NTFS permission thôi, mình đã cấu hình tốt hết rồi, còn về ISA thì mình không rõ phải làm sao trên mạng ngang hàng này.
Mong nhận đuợc sự giúp đỡ.
Cám ơn các bạn.

1- Hệ thống của bạn có bao nhiêu máy
2- Nhu cầu bảo mật thế nào - nếu ko có nhiều nhu cầu thì ko cần đến ISA

suthuc 20-01-2010 21:07

ông admin cũ nghỉ là phải, tui là sếp đuổi ông này từ sớm

daucavo 20-01-2010 22:39

Trích:

Nguyên văn bởi ITPT (Post 366245)
1- Hệ thống của bạn có bao nhiêu máy
2- Nhu cầu bảo mật thế nào - nếu ko có nhiều nhu cầu thì ko cần đến ISA

Hệ thống của mình như thế này :
2 phòng lab - mỗi phòng 40 máy
p. tu van, p. ke toan, p. giam doc, p. ky thuat, p.marketing, p.daotao - tổng hết dàn này là 12 máy.
Mồ hình :
Bên mình dùng cable quang 1 line của FPT , 1 con router linksys 110
Tất cả các phòng đều thông vói nhau. 2 phòng lab thì nối trực tiếp với con ISA ( kèm file server dành cho giảng dạy) có range IP 192.168.2.x (gọi rang A) .Range IP 192.168.1.x là dành cho các phòng ban (gọi range B). Con ISA thì có 3 NIC : 1 NIC thuộc range A ( nối phòng Lab 1) ; 1 NIC thuộc rang A luôn ( nối phòng Lab2 ) ; 1 NIC còn lại thì range B nối trực tiếp vào Router; DNS của 3 NIC đều chỉ về 8.8.8.8 và 8.8.4.4. ,không hiểu sao lại config cái DNS open này luôn, trong khi line cable quang ngon lành lại ko chạy .Mình cũng không hiểu sao mà các phòng lab lại chạy được ra NET với con IP thuộc range A, trong khi range trong các phòng ban đều là range B và range B đã được xác định cụ thể trong config setup của Router rồi. Chẳng hiểu được range A ở đâu ra nữa .
Wifi thì nối trực tiếp với range B của các phòng ban, nhưng có điều chỗ này lại cho các học viên biết password để vào wifi để lên NET, mình e rằng khi học viên truy xuất thành công wifi thì không biết chừng học viên sẽ phá cái gì đó trong hệ thống vì con router wifi cấp IP range B. Hệ thống thì chỉ có NTFS permission cho từng local user của từng phòng ban riêng biệt áp đặt lên các folder share thôi.
Mình tính nâng hệ thống lên Domain nhưng có điều máy của Giám Đốc bên mình là Laptop nên cũng khó để join máy của sếp.
Tình hình hệ thống thì chỉ có những vướng mắc như trên thui.Theo các bạn thì với hệ thống như trên thì mình phải giải quyết thế nào đây?

suthuc 20-01-2010 22:50

Nếu router chỉ nối với ISA thì các máy ra net phải qua ISA. Bạn mở internal network xem thử trong đây khai báo range IP nào

daucavo 21-01-2010 07:28

Trích:

Nguyên văn bởi suthuc (Post 366366)
Nếu router chỉ nối với ISA thì các máy ra net phải qua ISA. Bạn mở internal network xem thử trong đây khai báo range IP nào

Mình đã kiểm tra đúng như bạn nói, có range IP 192.168.2.X đuợc phân trogn đó.
Vậy với hệ thống như trên bạn vui lòng có thể chỉ cho mình các set rule trên con ISA này đuợc không ?
Chân thành cám ơn sự giúp đỡ của bạn. Mong .........

vuhoangthuy 21-01-2010 07:39

Trích:

Nguyên văn bởi daucavo (Post 366204)
Tình hình là mình vừa vào làm IT cho 1 cty , chỉ có mạng ngang hàng , ko có DC, nguời IT truớc thì biến mất tăm không để lại 1 thông tin gì về hệ thống mạng hiện hành.
Hệ thống có 1 con ISA 2006 , chạy rule toàn allow , mà allow những rule thật khó hiểu (các bạn vui lòng xem hình bên dưới). Theo mình hiểu thì những RULE allow trong hình thì đâu cần ISA làm gì đúng không các bạn?
Mình thì không chơi ISA lâu rồi nên không nhớ gì mấy, nếu bạn nào tốt bụng và rãnh rỗi thì vui lòng cho mình biết ý nghĩa từng rule 1 trong đó luôn nhé( xem có đúng với mình nghĩ hay không í mà).
Xin chân thành cám ơn các bạn và thầy cô.
http://i879.photobucket.com/albums/a...er2/ISAroe.jpg
http://www.mediafire.com/?yidzntqflkz

Hịc, em post nhầm room rồi, không biết chuyển room và xóa bài nên mong admin chuyển qua Firewall giùm em nhé . Cám ơn nhìu .

Trích:

Nguyên văn bởi vtbk (Post 366216)
toàn là rule bậy bạ
nên delete hết rồi tạo lại

Xin cho vài cái rule luôn.
Trích:

Nguyên văn bởi suthuc (Post 366325)
ông admin cũ nghỉ là phải, tui là sếp đuổi ông này từ sớm

Chính xác là như vầy hay hơn.

Trích:

Nguyên văn bởi daucavo (Post 366363)
Hệ thống của mình như thế này :
2 phòng lab - mỗi phòng 40 máy
p. tu van, p. ke toan, p. giam doc, p. ky thuat, p.marketing, p.daotao - tổng hết dàn này là 12 máy.
Mồ hình :
Bên mình dùng cable quang 1 line của FPT , 1 con router linksys 110
Tất cả các phòng đều thông vói nhau. 2 phòng lab thì nối trực tiếp với con ISA ( kèm file server dành cho giảng dạy) có range IP 192.168.2.x (gọi rang A) .Range IP 192.168.1.x là dành cho các phòng ban (gọi range B). Con ISA thì có 3 NIC : 1 NIC thuộc range A ( nối phòng Lab 1) ; 1 NIC thuộc rang A luôn ( nối phòng Lab2 ) ; 1 NIC còn lại thì range B nối trực tiếp vào Router; DNS của 3 NIC đều chỉ về 8.8.8.8 và 8.8.4.4. ,không hiểu sao lại config cái DNS open này luôn, trong khi line cable quang ngon lành lại ko chạy .Mình cũng không hiểu sao mà các phòng lab lại chạy được ra NET với con IP thuộc range A, trong khi range trong các phòng ban đều là range B và range B đã được xác định cụ thể trong config setup của Router rồi. Chẳng hiểu được range A ở đâu ra nữa .
Wifi thì nối trực tiếp với range B của các phòng ban, nhưng có điều chỗ này lại cho các học viên biết password để vào wifi để lên NET, mình e rằng khi học viên truy xuất thành công wifi thì không biết chừng học viên sẽ phá cái gì đó trong hệ thống vì con router wifi cấp IP range B. Hệ thống thì chỉ có NTFS permission cho từng local user của từng phòng ban riêng biệt áp đặt lên các folder share thôi.
Mình tính nâng hệ thống lên Domain nhưng có điều máy của Giám Đốc bên mình là Laptop nên cũng khó để join máy của sếp.
Tình hình hệ thống thì chỉ có những vướng mắc như trên thui.Theo các bạn thì với hệ thống như trên thì mình phải giải quyết thế nào đây?

Cứ mạnh dạn lên DC đi bạn. Khi đó ta phân nhánh làm 2 loại rule. 1 là cho các máy domain. 2: cho All user ( cái này thì cho mail và lướt web thui=> danh cho các laptop hoặc PC ko join DC).

daucavo 21-01-2010 07:42

Trích:

Nguyên văn bởi suthuc (Post 366366)
Nếu router chỉ nối với ISA thì các máy ra net phải qua ISA. Bạn mở internal network xem thử trong đây khai báo range IP nào

Còn vấn đề này, nếu các máy ở phòng lab ra NET qua con ISA thì trong con ISA phải có NAT chứ hả? Trong con ISA chỉ có mình nó à, chẳng còn services gì khác chạy cả, vậy config trong ISA là các máy trong phòng lab sẽ ra NET được hết luôn hả bạn?
Mình không nhớ rõ về ISA lắm nên mong bạn huớng dẫn giúp. Xin cám ơn.

daucavo 21-01-2010 07:45

Trích:

Nguyên văn bởi vuhoangthuy (Post 366415)
Xin cho vài cái rule luôn.

Chính xác là như vầy hay hơn.


Cứ mạnh dạn lên DC đi bạn. Khi đó ta phân nhánh làm 2 loại rule. 1 là cho các máy domain. 2: cho All user ( cái này thì cho mail và lướt web thui=> danh cho các laptop hoặc PC ko join DC).

Cám ơn sự nhiệt huyết của bạn.
Nhưng nếu như bạn nói thì máy laptop của ông sếp chỉ chạy net và mail thui hà? Ông sếp cũng hay móc data trên server lắm. Vậy mình cho ổng quyền NTFS user để móc data thui hả?Được ko?

kethichduavn 21-01-2010 07:50

Trích:

Nguyên văn bởi daucavo (Post 366419)
Còn vấn đề này, nếu các máy ở phòng lab ra NET qua con ISA thì trong con ISA phải có NAT chứ hả? Trong con ISA chỉ có mình nó à, chẳng còn services gì khác chạy cả, vậy config trong ISA là các máy trong phòng lab sẽ ra NET được hết luôn hả bạn?
Mình không nhớ rõ về ISA lắm nên mong bạn huớng dẫn giúp. Xin cám ơn.

Muốn các máy internal ra net thì gateway tụi nó về isa , trên isa thiết lập rule cho ra net , trên isa nếu bạn có publish web hay mail thì mới Nat trên con router :) , bạn tham khảo cách tạo rule trên isa
http://msopenlab.com/index.php?article=38

ITPT 21-01-2010 08:35

Trích:

Nguyên văn bởi daucavo (Post 366424)
Cám ơn sự nhiệt huyết của bạn.
Nhưng nếu như bạn nói thì máy laptop của ông sếp chỉ chạy net và mail thui hà? Ông sếp cũng hay móc data trên server lắm. Vậy mình cho ổng quyền NTFS user để móc data thui hả?Được ko?

Bạn có thể Map ổ đĩa trên File server về máy của sếp

suthuc 21-01-2010 09:39

Trích:

Nguyên văn bởi daucavo (Post 366409)
Mình đã kiểm tra đúng như bạn nói, có range IP 192.168.2.X đuợc phân trogn đó.
Vậy với hệ thống như trên bạn vui lòng có thể chỉ cho mình các set rule trên con ISA này đuợc không ?
Chân thành cám ơn sự giúp đỡ của bạn. Mong .........

mở internal network, add thêm range của B vào và test có ra internet không? Từng bước giải quyết vấn đề, cuối cùng sẽ ra được giải pháp tốt nhất

suthuc 21-01-2010 09:44

Trích:

Nguyên văn bởi daucavo (Post 366419)
Còn vấn đề này, nếu các máy ở phòng lab ra NET qua con ISA thì trong con ISA phải có NAT chứ hả? Trong con ISA chỉ có mình nó à, chẳng còn services gì khác chạy cả, vậy config trong ISA là các máy trong phòng lab sẽ ra NET được hết luôn hả bạn?
Mình không nhớ rõ về ISA lắm nên mong bạn huớng dẫn giúp. Xin cám ơn.

các client truy cập internet, ISA phải NAT out bound. Chức năng này ISA tự động có sẵn, không cần làm gì thêm

daucavo 21-01-2010 10:16

Có vấn đề thế này.
Hệ thống của mình chỉ có 1 line NET cable quang vào .
Có 1 router wifi và 1 ap wifi luôn.
Mình đã config router wifi chạy IP 192.168.1.X với pass chỉ dành cho nhân viên nội bộ.
Còn ap wifi thì 1 range IP riêng biệt phải khác range 192.168.1.X trên (chưa biết config như thế nào). Yêu cầu line này chỉ duy nhất dành cho học viên luớt NET , nhằm tránh truờng hợp học viên connect vào router wifi và có thể phá dữ liệu nội bộ của mình .
Vậy mình phải làm sao để config đuợc như vậy ? Có phải làm rule trongISA ? Nếu vậy thì là Rule gì?
Mong nhận hồi âm . Xin cám ơn.

suthuc 21-01-2010 11:13

bạn vẽ sơ đồng mạng xem thử

vtbk 21-01-2010 11:19

Trích:

Nguyên văn bởi daucavo (Post 366543)
Có vấn đề thế này.
Hệ thống của mình chỉ có 1 line NET cable quang vào .
Có 1 router wifi và 1 ap wifi luôn.
Mình đã config router wifi chạy IP 192.168.1.X với pass chỉ dành cho nhân viên nội bộ.
Còn ap wifi thì 1 range IP riêng biệt phải khác range 192.168.1.X trên (chưa biết config như thế nào). Yêu cầu line này chỉ duy nhất dành cho học viên luớt NET , nhằm tránh truờng hợp học viên connect vào router wifi và có thể phá dữ liệu nội bộ của mình .
Vậy mình phải làm sao để config đuợc như vậy ? Có phải làm rule trongISA ? Nếu vậy thì là Rule gì?
Mong nhận hồi âm . Xin cám ơn.

Bạn xem có thể gắn thêm 1 card mạng nữa cho ISA không?
Cho mình biết thông tin rồi mình sẽ cho bạn sơ đồ triển khai

ITPT 21-01-2010 11:54

Trích:

Nguyên văn bởi daucavo (Post 366543)
Có vấn đề thế này.
Hệ thống của mình chỉ có 1 line NET cable quang vào .
Có 1 router wifi và 1 ap wifi luôn.
Mình đã config router wifi chạy IP 192.168.1.X với pass chỉ dành cho nhân viên nội bộ.
Còn ap wifi thì 1 range IP riêng biệt phải khác range 192.168.1.X trên (chưa biết config như thế nào). Yêu cầu line này chỉ duy nhất dành cho học viên luớt NET , nhằm tránh truờng hợp học viên connect vào router wifi và có thể phá dữ liệu nội bộ của mình .
Vậy mình phải làm sao để config đuợc như vậy ? Có phải làm rule trongISA ? Nếu vậy thì là Rule gì?
Mong nhận hồi âm . Xin cám ơn.

Bạn xem trên AP có port WAN ko - nếu có thì làm theo hướng dẫn của Kabivn
--> Link

daucavo 21-01-2010 13:12

Trích:

Nguyên văn bởi vtbk (Post 366596)
Bạn xem có thể gắn thêm 1 card mạng nữa cho ISA không?
Cho mình biết thông tin rồi mình sẽ cho bạn sơ đồ triển khai

Giải pháp của bạn .
Con ISA thì có 3 NIC rồi, 1 cái onboard , 1 cái USB -> RJ45 , 1 cái slot PCI.
Mình nghĩ sẽ gắn thêm đuợc chứ, vẫn còn slot PCI .
Gắn rồi sao nữa bạn?

daucavo 21-01-2010 13:56

Hệ thống mạng của mình thế này nè các bạn.
Yêu cầu :Laptop học viên truy cập AP Zyxel để vào NET
với IP range 192.168.2.X , không đuợc để hệ thống wifi này
cấp IP range thuộc hệ thống nội bộ 192.168.1.X. Nhằm bảo mật nội bộ một cách tốt nhất.


Bạn nào giúp minh huớng dẫn config đầy đủ lun nhé .
Hệ thống ko có DC , chỉ duy nhất con ISA . Mìng mong các bạn góp ý cho mình và huớng dẫn mình config sao cho hệ thống bảo mật thật tốt. MÌnh đã chạy NTFS permission cho các folder share rồi. Chỉ còn config con ISA nữa , nhưng mình không biết làm sao để nó hoàn thiện nhất.
Xin cám ơn các bạn.
http://i879.photobucket.com/albums/a...2/Hthngmng.jpg

suthuc 21-01-2010 14:37

nối con AP xuống cái switch dưới thì mới cùng net 2.X chứ

vtbk 21-01-2010 14:55

Trích:

Nguyên văn bởi daucavo (Post 366661)
Giải pháp của bạn .
Con ISA thì có 3 NIC rồi, 1 cái onboard , 1 cái USB -> RJ45 , 1 cái slot PCI.
Mình nghĩ sẽ gắn thêm đuợc chứ, vẫn còn slot PCI .
Gắn rồi sao nữa bạn?

Có thể triển khai hệ thống theo mô hình sau:

http://img41.imageshack.us/img41/7757/sodomang.png

Note: Linksys wireless router nối vào switch qua port LAN
P/S: không hiểu chỗ nào thì cứ hỏi tiếp :D

suthuc 21-01-2010 15:03

bạn vtbk siêng quá, vẽ hình hỗ trợ rồi đó. Lưu ý, AP không nên chung LAN

vtbk 21-01-2010 15:06

Trích:

Nguyên văn bởi suthuc (Post 366764)
bạn vtbk siêng quá, vẽ hình hỗ trợ rồi đó. Lưu ý, AP không nên chung LAN

Lâu lâu rãnh rỗi vẽ bậy chơi cho đỡ buồn :D

daucavo 21-01-2010 15:38

Trích:

Nguyên văn bởi vtbk (Post 366767)
Lâu lâu rãnh rỗi vẽ bậy chơi cho đỡ buồn :D

Vui quá, có anh em tương trợ . Up hỏi xong chạy ra làm, làm xong chạy vào xem reply hihih. Để chạy hệ thống coi sao.
Bữa nào mời anh em 1 chầu coffe mới đuợc.
nick chat: kanikaiser2 . Hân hạnh làm quen .

daucavo 21-01-2010 15:41

Nhưng có điều kỳ lạ là tại sao trong phòng lab lại không cấp IP động được , nó chỉ cấp 169. không à. Mình làm theo mô hình luôn. Trong khi set tĩnh thì chạy phà phà vô tư. Mấu chốt ở đâu nhỉ?Nằm ở con ISA mình nghĩ vậy , nhưng ko biết check sao cho lẹ nhất và chính xác nhất . Mong các bạn giúp cho.
Thanks!

ITPT 21-01-2010 15:59

Trích:

Nguyên văn bởi daucavo (Post 366816)
Nhưng có điều kỳ lạ là tại sao trong phòng lab lại không cấp IP động được , nó chỉ cấp 169. không à. Mình làm theo mô hình luôn. Trong khi set tĩnh thì chạy phà phà vô tư. Mấu chốt ở đâu nhỉ?Nằm ở con ISA mình nghĩ vậy , nhưng ko biết check sao cho lẹ nhất và chính xác nhất . Mong các bạn giúp cho.
Thanks!

Có phải nhu cầu của bạn chỉ là cấm ko cho 2 nhóm Văn phòng và Phòng Lab truy cập với nhau thôi đúng ko

daucavo 21-01-2010 16:18

Trích:

Nguyên văn bởi ITPT (Post 366836)
Có phải nhu cầu của bạn chỉ là cấm ko cho 2 nhóm Văn phòng và Phòng Lab truy cập với nhau thôi đúng ko

Đại loại là vậy. Nhưng theo bạn VTBK thì mình sẽ cho con AP Zyxel vào SW trong phòng lab vậy thì không ổn lắm. Vì phòng lab khi không có học viên thực hành trong đó thì điện sẽ ngắt toàn bộ, con SW và con AP trong đó cũng mất điện vậy thì wifi đâu thường trực 24/24 đuợc nữa.Nói chung yêu cầu bên mình là thế này: Wifi cho học viên phải thuờng trực 24/24 và phải là 1 phần mạng riêng biệt (rõ hơn là học viên chỉ có thể duy nhất 1 công việc là luớt web trên sóng wifi từ con AP này mà thôi không đuợc truy suất bất cứ địa chỉ IP nào trong hệ thống văn phòng có range là : 192.168.1.X ) với hệ thống mạng trong văn phòng .

ITPT 21-01-2010 16:45

Trích:

Nguyên văn bởi daucavo (Post 366852)
Đại loại là vậy. Nhưng theo bạn VTBK thì mình sẽ cho con AP Zyxel vào SW trong phòng lab vậy thì không ổn lắm. Vì phòng lab khi không có học viên thực hành trong đó thì điện sẽ ngắt toàn bộ, con SW và con AP trong đó cũng mất điện vậy thì wifi đâu thường trực 24/24 đuợc nữa.Nói chung yêu cầu bên mình là thế này: Wifi cho học viên phải thuờng trực 24/24 và phải là 1 phần mạng riêng biệt (rõ hơn là học viên chỉ có thể duy nhất 1 công việc là luớt web trên sóng wifi từ con AP này mà thôi không đuợc truy suất bất cứ địa chỉ IP nào trong hệ thống văn phòng có range là : 192.168.1.X ) với hệ thống mạng trong văn phòng .

1- Bạn xem thử mô hình này
http://img191.imageshack.us/img191/5089/56938474.jpg

2- Với mô hình trên bạn ko cần đến ISA (nếu ko có nhu cầu quản lý việc truy cập Internet) - chỉ cần 1 máy tính cài HDH win server 2k3 có 3 card mạng làm chức năng Routing
3- Bạn có thể dùng chức năng IP Filter có sẵn trong Routing and Remote Access để cấm 2 lớp mạng Văn phòng và Phòng lab truy cập lẫn nhau --> Link
4- Laptop khi dùng Wifi sẽ được cấp 1 lớp mạng khác là 192.168.3.x / 24

hungleth 21-01-2010 17:18

Mình đọc mấy cái rule ISA thấy tùm lum quá , nào hay chuẩn luôn PPTP và L2TP . Bộ hệ thống bạn có máy chạy linux ak , bạn lên domain đi , tối ưu , như vậy doanh nghiệm bạn sẽ hoạt động hiệu quả hơn đó .

hungleth 21-01-2010 17:23

Nhất nghệ support nhiệt tình quá . hy vọng qua tết mình kiếm việc cũng được như thế này cho lên tay . Mình chọn nhất nghệ học là xứng đáng .

vtbk 21-01-2010 17:43

Trích:

Nguyên văn bởi daucavo (Post 366816)
Nhưng có điều kỳ lạ là tại sao trong phòng lab lại không cấp IP động được , nó chỉ cấp 169. không à. Mình làm theo mô hình luôn. Trong khi set tĩnh thì chạy phà phà vô tư. Mấu chốt ở đâu nhỉ?Nằm ở con ISA mình nghĩ vậy , nhưng ko biết check sao cho lẹ nhất và chính xác nhất . Mong các bạn giúp cho.
Thanks!

1/ Tạo các scope tương ứng trên DHCP server (trong trường hợp này là ISA)
2/ Tạo rule thích hợp trên ISA

vtbk 21-01-2010 17:44

Trích:

Nguyên văn bởi hungleth (Post 366922)
Nhất nghệ support nhiệt tình quá . hy vọng qua tết mình kiếm việc cũng được như thế này cho lên tay . Mình chọn nhất nghệ học là xứng đáng .

Chỉ sợ là qua tết, các member nhiệt tình sẽ không rảnh nữa :D

daucavo 21-01-2010 21:51

Trích:

Nguyên văn bởi vtbk (Post 366938)
1/ Tạo các scope tương ứng trên DHCP server (trong trường hợp này là ISA)
2/ Tạo rule thích hợp trên ISA

\
Bạn có thể cho mình biết Rule thích hợp thì gồm nhữgn gì được ko ? Mình ko nhớ lắm về ISA.

daucavo 21-01-2010 22:00

Trích:

Nguyên văn bởi hungleth (Post 366917)
Mình đọc mấy cái rule ISA thấy tùm lum quá , nào hay chuẩn luôn PPTP và L2TP . Bộ hệ thống bạn có máy chạy linux ak , bạn lên domain đi , tối ưu , như vậy doanh nghiệm bạn sẽ hoạt động hiệu quả hơn đó .

Hệ thống của mình toàn là XP , Win7 ko hà. KO co linux.
Lên DC thì coi bộ hệ thống của nó cũng ko cần lắm. Bởi vì thấy nội chỉ share dữ liệu với NTFS permission là xong hà. Chẳng có quản lý đi NET, quản lý soft,...gì hết trơn. Nên mình đang tìm 1 phương pháp hay nhất để quản lý cái hệ thống này .
http://i879.photobucket.com/albums/a...2/Hthngmng.jpg

Yêu cầu như trong hình , thêm 1 điểu kiện là AP Zyxel phải hoạt động 24/24 , nên không thể đem con AP trên vào phòng lab được vì phòng này sẽ tắt hết điện khi không dùng phòng .
Một số giải pháp của các chuyên gia đã đưa ra trên đây rồi, nhưng có bạn nào còn ý kiến nào hay hơn thì xin vui lòng đóng góp chia sẻ nhé.
Chân thành cám ơn các bạn đã , đang và sẽ reply.

vtbk 21-01-2010 22:15

Trích:

Nguyên văn bởi daucavo (Post 366852)
Nhưng theo bạn VTBK thì mình sẽ cho con AP Zyxel vào SW trong phòng lab vậy thì không ổn lắm. Vì phòng lab khi không có học viên thực hành trong đó thì điện sẽ ngắt toàn bộ, con SW và con AP trong đó cũng mất điện vậy thì wifi đâu thường trực 24/24 đuợc nữa.Nói chung yêu cầu bên mình là thế này: Wifi cho học viên phải thuờng trực 24/24 và phải là 1 phần mạng riêng biệt (rõ hơn là học viên chỉ có thể duy nhất 1 công việc là luớt web trên sóng wifi từ con AP này mà thôi không đuợc truy suất bất cứ địa chỉ IP nào trong hệ thống văn phòng có range là : 192.168.1.X ) với hệ thống mạng trong văn phòng .

vậy thì có thể làm như sau:

http://img705.imageshack.us/img705/3643/sodomang2.png

vtbk 22-01-2010 00:06

Trích:

Nguyên văn bởi RAM (Post 366822)
Bức hình hoành tráng quá :D , chẳng hiểu chỗ nào hết :(

phải tìm hiểu về smtp thì mới hiểu được :D

sau 22-01-2010 05:44

Trích:

Nguyên văn bởi daucavo (Post 367133)
Hệ thống của mình toàn là XP , Win7 ko hà. KO co linux.
Lên DC thì coi bộ hệ thống của nó cũng ko cần lắm. Bởi vì thấy nội chỉ share dữ liệu với NTFS permission là xong hà. Chẳng có quản lý đi NET, quản lý soft,...gì hết trơn. Nên mình đang tìm 1 phương pháp hay nhất để quản lý cái hệ thống này .
http://i879.photobucket.com/albums/a...2/Hthngmng.jpg

Yêu cầu như trong hình , thêm 1 điểu kiện là AP Zyxel phải hoạt động 24/24 , nên không thể đem con AP trên vào phòng lab được vì phòng này sẽ tắt hết điện khi không dùng phòng .
Một số giải pháp của các chuyên gia đã đưa ra trên đây rồi, nhưng có bạn nào còn ý kiến nào hay hơn thì xin vui lòng đóng góp chia sẻ nhé.
Chân thành cám ơn các bạn đã , đang và sẽ reply.

nhu cầu của bác là cho các bác học viên đi net thôi, nếu ko cần bảo mật thì để ngang hàng với ISA nghĩa là cho nó đi thẳng modem luôn, nếu muốn hạn chế 1 chút thì đặt nó sau con ISA, thêm cho con ISA 1 card mạng cho cái AP Zyxel 1 net luôn, muốn các bác học viên truy cập được nội bộ thì trên con ISA router giữ 2 net, e thấy vấn đề đâu có phức tạp.
ở trên có 2 bác đưa ra 2 cái mô hình đáp ứng được các bác học viên rồi còn gì :D

daucavo 22-01-2010 08:00

Trích:

Nguyên văn bởi vtbk (Post 367145)
vậy thì có thể làm như sau:

http://img705.imageshack.us/img705/3643/sodomang2.png

Mô hình của bạn rất hay , nhưng bạn ơi , mình triển khai rồi , nhưng sao con AP đó lúc cấp IP động vô tư, lúc thì chạy lòng vòng rồi cho ra 169 luôn, hịc, ko biết chỉnh sao cho chú em nó ổn định với IP động luôn luôn cấp phát thành công .
Cám ơn rất nhiều với sự nhiệt tình của các bạn .


Múi giờ GMT +7. Hiện tại là 14:07

Powered by: vBulletin Version 3.8.7
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
Ad Management by RedTyger