كمك در نصب وراه اندازي ISA2006EN

[hosam]

با سلام خدمت همه دوستان و اساتيد
من تا حالا با كش اكسپرس كار ميكردم و حالا ميخوام ISA نصب كنم در ضمن روتر من 2511 است وتنظيمات اون مربوط به كش اكسپرس بود برخي از دوستان مي گفتن ISA بهتره حالا من ميخوام آيزا ر و واسه 2511 تنظيم كنم
طي يكسري پيامهاي شخصي با اقاي Milad22 ايشون لطف كردن و كمك و راهنمايي زيادي بمن نمودن خالي از لطف نيست كه ساير دوستان هم در جريان باشن شايد گرهي از مشكلات برخي را گشود.

سوال:
من با آيزا هچ كار نكردم ولي با كش اكسپرس كار كردم
من اي پي هام وليد هستن تو اكسپرس واسه كش ،ميگفتيم از اين رنج اجازه كشينگ بده
من توايزا متوجه نشدم بايد چطور رنج اي پي هام رو كه وليد هستن بدم
در ضمن تو روتر (2511) هيچ تنظيمي واسه آيزا نميخواد
ممنونم از راهنمايي موثر شما ؟
جواب
اصول کار آیزا بر مبنای Invalid IP دادن به کاربر هست.
باید دیر یا زود بری به این سمت. و از دادن آی پی ولید به کاربر خودداری کنی.
الان دیگه کمتر کسی هست که به کاربر آی پی ولید بده. چون امنیت کاربر و شبکه با مشکل مواجه میشه.
پیشنهاد میکنم از این حالت پیغام خصوصی در بیایم و بریم تو تاپیک که بعدا هم استفاده بشه. هر موردی بود بگو در خدمتم

سوال: تغيير كانفيگ روتر 2511 ؟
جواب:
در مرحله اول باید بگم که اصول کار ISA بر مبنای IP Invalid دادن به کاربره.
در نتیجه شما باید به جای آی پی ولید به کاربر آی پی اینولید بدی پس IP Pool شما اینجوری میشه:
ip local pool setup_pool 192.168.0.10 192.168.0.100
تا اینجا شما اومدی به کاربر آی پی اینولید دادی.
حالا با فرض اینکه آی پی کارت شبکه Internal سرور آیزات 192.168.0.2 هست کاربراتو باید به اون هدایت کنی:
route-map cache permit 2
match ip address 2
set ip next-hop 192.168.0.2
و در ضمن در Interface ی که کاربرات در اون هستن مثلا Group-Async0 هم باید بگی که پکت ها برن به سمت کش:
ip route-cache policy

سوال : با تغييرات اعمال شده يعني كانفيگ بصورت زير ميشه:

version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname AS2511
!
aaa new-model
aaa authentication ppp default none
aaa authentication ppp isputil group radius local
aaa authorization network default none
aaa authorization network isputil group radius local
aaa accounting update newinfo
aaa accounting network default none
aaa accounting network isputil start-stop group radius
enable password *****
!
username *** password 0 *****
!
!
ip subnet-zero
ip name-server 217.218.127.104
ip name-server 217.218.127.105
ip name-server 4.2.2.4
ip name-server 192.9.9.3
!
ip address-pool local
modemcap entry sam:AA=S0=1
!
!
!
interface Ethernet0
ip address 192.168.0.1 255.255.255.0 secondary
******* ip address
ip access-group 135 in
ip access-group 135 out
no ip mroute-cache
ip policy route-map cache
no keepalive
no cdp enable
!
interface Serial0
ip unnumbered Ethernet0
ip access-group 135 in
ip access-group 135 out
encapsulation ppp
no ip mroute-cache
no fair-queue
no cdp enable
!
interface Serial1
no ip address
shutdown
no cdp enable
!
interface Group-Async0
physical-layer async
ip unnumbered Ethernet0
no group-range
!
interface Group-Async1
ip unnumbered Ethernet0
encapsulation ppp
ip tcp header-compression
no ip mroute-cache
ip policy route-map cache
async mode interactive
peer default ip address pool dial-in
no cdp enable
ppp authentication pap chap isputil
ppp authorization isputil
ppp accounting isputil
group-range 1 16
!
ip local pool dial-in 192.168.0.10 192.168.0.100
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
no ip http server
ip http port 27936
!
access-list 10 permit 85.185.134.130
access-list 110 deny ip host 85.185.134.131 any
access-list 110 permit tcp any any eq www
access-list 111 deny ip host 85.185.134.131 any
access-list 111 deny ip any host 85.185.134.130
access-list 111 permit tcp any any eq www
access-list 135 deny tcp any any range 135 139
access-list 135 deny tcp any any eq 4444
access-list 135 deny tcp any any eq 1434
access-list 135 deny udp any any eq 1434
access-list 135 deny tcp any any eq 593
access-list 135 deny udp any any range 135 netbios-ss
access-list 135 deny tcp any any eq 445
access-list 135 deny udp any any eq netbios-ns
access-list 135 deny udp any any eq netbios-dgm
access-list 135 deny udp any any range 995 999
access-list 135 deny udp any any eq ntp
access-list 135 deny tcp any any eq finger
access-list 135 permit ip any any
no cdp run
route-map cache permit 10
match ip address 111
set ip next-hop 192.168.0.2
!
snmp-server community 3176 RW 10
snmp-server community public RW 10
radius-server host 85.185.134.130 auth-port 1645 acct-port 1646
radius-server retransmit 5
radius-server key 3176
!
line con 0
exec-timeout 0 0
line 1 16
session-timeout 10
no flush-at-activation
modem answer-timeout 10
modem InOut
modem autoconfigure discovery
transport input all
autoselect during-login
autoselect ppp
autohangup
stopbits 1
speed 57600
flowcontrol hardware
line aux 0
line vty 0 4
!
end

جواب:

اکسس لیست رو باید بدین شکل بذاری:
access-list 1 permit 192.168.1.0 0.0.0.255
و اینجا هم اینجوری میشه:
route-map cache permit 1
match ip address 1
set ip next-hop 192.168.1.2
شما برای اون رنج آی پی باید یه اکسس لیست تعریف کنی.


از دوستان محترم ميخوام اگه نكته اي در جايي ميبينن كه احتياج به توضيح داره اشاره اي بكنن

باز هم از دوست خوبم اقا ميلاد 22 تشكر ميكنم
همچنيم مطالبي رو كه ساير دوستان راجع به نصبISA نوشتن واقعا عالي هست
و بهترين مطالب رو آقاي ميثم پور هاشمي در وبلاگ (http://isa-server.blogfa.com) خودشون توضيح دادن كه در اينجا از ايشون هم تشكر ميكنم


با آرزوي سلامتي وبهروزي براي همه دوستان

---

موضوعات مشابه:

• راه اندازي مجازي سازي سرورها با استفاده از nas
• انواع تكنولوژی هاي مجازي سازي
• آيا روش مجازي سازي زير درست است؟
• چند سوال در مورد راه اندازي Game Server گيم سرور (بازي هاي شبكه اي)

---

[hosam]

با سلام به همه دوستان
يه سوال اگه سرور isa مشكلي پيدا كنه كاربرا اينترنت دارن يا نه؟
يعني سرور كش خارج بشه كل اينترنت ميخوابه يا معمولي(بدون كش) ميشه كاركرد

[meysam22us]

دوست من شبکه هایی که مبتی بر کش سرور هستند زمانی که کش سرور از مدار خارج شود دیگر کارائی لازم را نخواهد و به صورت قطعی قطع خواهد شد . پس برای اینکه کارائی بهتر داشته باشیم به نظر من نباید پروتکل wccp رو روی روتر فعال کنیم تا درخواست ها را به کش سرور انتقال دهد زیرا در این صورت اگر مشکلی بروز کند کامپیوتر دیگری نمیتواند به سرعت جای کش را پر کند ولی اگر از طریق تعیین gateway ارجاعات را به کش منتقل کنیم به سادگی در صورت بروز مشکل می توان جای خالی کش سرور را با کامپیوتر یا کش سرور دیگری پر کرد

[hosam]

با سلام به همه دوستان
من يه سيستم گرفتم و روش ويندوز 2003 سرور ريختم و ميخوام با مشورت اساتيد بزرگوار و با تجربه آيزا نصب كنم
با يه كم گشت و گذار توي فروم و با راهنمايي برخي از دوستان مراحل كار رو مينويسم تا در صورت امكان با تجربه ها كمك كنند تا خوب كانفيگ بشه و برخي هم بي تجربه مثل خودم يا د بگيرن.

1. اي پي سرور انتي تك رو از جنس وليد اي پي ميديم
2.روي كيس كش سرور 2 تا كارت شبكه نصب است به يكي اي پي وليد و به ديگري اينوليد.
3.تنظيمات روتر هم واسه روتر 2511 در حالت گت وي اگه اشتباه نكنم بصورت زير مي باشد

version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname AS2511
!
aaa new-model
aaa authentication ppp default none
aaa authentication ppp isputil group radius local
aaa authorization network default none
aaa authorization network isputil group radius local
aaa accounting update newinfo
aaa accounting network default none
aaa accounting network isputil start-stop group radius
enable password *****
!
username *** password 0 *****
!
!
ip subnet-zero
ip name-server 217.218.127.104
ip name-server 217.218.127.105
ip name-server 4.2.2.4
ip name-server 192.9.9.3
!
ip address-pool local
modemcap entry sam:AA=S0=1
!
!
!
interface Ethernet0
ip address 192.168.0.1 255.255.255.0 secondary
ip address (ip ranje )
ip access-group 135 in
ip access-group 135 out
no ip mroute-cache
ip policy route-map cache
no keepalive
no cdp enable
!
interface Serial0
ip unnumbered Ethernet0
ip access-group 135 in
ip access-group 135 out
encapsulation ppp
no ip mroute-cache
no fair-queue
no cdp enable
!
interface Serial1
no ip address
shutdown
no cdp enable
!
interface Group-Async0
physical-layer async
ip unnumbered Ethernet0
no group-range
!
interface Group-Async1
ip unnumbered Ethernet0
encapsulation ppp
ip tcp header-compression
no ip mroute-cache
ip policy route-map cache
async mode interactive
peer default ip address pool dial-in
no cdp enable
ppp authentication pap chap isputil
ppp authorization isputil
ppp accounting isputil
group-range 1 16
!
ip local pool dial-in 192.168.0.10 192.168.0.100
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0
no ip http server
ip http port 27936
!
access-list 1 permit 192.168.0.10 0 0.0.0.255
access-list 10 permit (ip nttac)
access-list 110 deny ip host (vali ip cache server ) any
access-list 110 permit tcp any any eq www
access-list 111 deny ip host (vali ip cache server ) any
access-list 111 deny ip any host (ip nttac)
access-list 111 permit tcp any any eq www
access-list 135 deny tcp any any range 135 139
access-list 135 deny tcp any any eq 4444
access-list 135 deny tcp any any eq 1434
access-list 135 deny udp any any eq 1434
access-list 135 deny tcp any any eq 593
access-list 135 deny udp any any range 135 netbios-ss
access-list 135 deny tcp any any eq 445
access-list 135 deny udp any any eq netbios-ns
access-list 135 deny udp any any eq netbios-dgm
access-list 135 deny udp any any range 995 999
access-list 135 deny udp any any eq ntp
access-list 135 deny tcp any any eq finger
access-list 135 permit ip any any
no cdp run
route-map cache permit 1
match ip address 1
set ip next-hop 192.168.0.2
!
snmp-server community 3176 RW 10
snmp-server community public RW 10
radius-server host (ip nttac) auth-port 1645 acct-port 1646
radius-server retransmit 5
radius-server key 3176
!
line con 0
exec-timeout 0 0
line 1 16
session-timeout 10
no flush-at-activation
modem answer-timeout 10
modem InOut
modem autoconfigure discovery
transport input all
autoselect during-login
autoselect ppp
autohangup
stopbits 1
speed 57600
flowcontrol hardware
line aux 0
line vty 0 4
!
end

از دوستان محترم ميخوام
1. اي پي انتي تك از جنس وليد يا اينوليد باشه؟
2.كانفيگ روتر رو هم يه نگاهي بندازن شايد من چيزي رو جا انداخته باشن؟

4. ايزا را نصب كرده و بقيه مراحل پيكر بندي فايروال و كش را از طريق راهنمايي اقاي پور هاشمي در سايشون
دنبال كنيد.


نكته:
از همه دوستان ميخوام اگه جايي اشكالي داره و يا نظر ديگري دارند بفرمايند تا ايراد برطرف گردد .

با تشكر از همه دوستان انجمن كه من خيلي از مطالب و در اينجا ياد گرفتم.
موفق باشيد و در پناه حق

[milad22]

آفرین. کانفیگت درست شده.
برای NTTac هم میتونی آی پی ولید بدی و هم اینولید. که IP Invalid امنیت بیشتری داره.

[hosam]

مخلص استاد
من فك ميكنم مطمئن نيستم با دادن اي پي وليد اگه سرور كش موردي واسش پيش بياد
سرور انتي تك اينترنت دا ره و كاربرا بتونن وصل بشن
اما حرف شما هم درست امنيت رو نبايد فداي كاربرا كنيم!!!
درسته؟

راستي در ادامه بايد بگم Extra DNs هم نصب كنيد تا سرعت بهتر بشه.
از شما هم متشكرم

[milad22]

البته باید این موضوع رو با توجه به توپولوژی شبکه خودت انتخاب کنی.
مثلا اگه شبکت منطقع بندی شده به Red,Green,DMZ اونوقت اکانتینگ در منطقه DMZ قرار میگیره و شما باید آی پی ولید به اون بدی. اینطوری کاربرا توسط IP Pool تو روتر آی پی میگیرن و توسط ISA نت میشن به آی پی ولید و اونوقت میرن به سمت اکانتینگ که اعتبار سنجی بشن. در این صورت یاید پورت های اکانتینگت رو تو ISA باز کنی.
اما اگه اکانتینگ رو تو منطقه Green قرار میدی باید Invalid IP بدی یه اکانتینگت.
اگه هم شبکت منطقه بندی نیست و همه از یه سویچ استفاده میکنن و همه بصورت سخت افزاری با هم در ارتباط هستن که فرقی نمیکنه.
در بعضی موارد هم پیش میاد که اکانتینگ از هر دو رنج ای پی داره یعنی هم Invalid , Valid.
بعضیا هم میان اگه روترشون دوتا پورت Ethernet داشته باشه اکانتینگ رو با کابل کراس مستقیما به پورت Ethernet روتر وصل میکنن.
در نهایت به سیاست خودت برمیگرده!

[hosam]

من همه نود هام توي يك سوئيچ ميرن
روتر - سرور انتي تك و سرور كش و سيستم كافي نت
اينجو كه من از حرفاتون متوجه شدم فرقي نداره پس همون اينوليد ميدم

ممنون از جواب صريح وسريعتون

[hosam]

با سلام به همه دوستان
اينكه كار نت رو بعهده آيزا ميزاريم و روتر اينكارو انجام نميده
سرعت وصل شدن و ترافيك اينترنت كاهش/ زياد تاثيري داره يا نه؟

با تشكر

[meysam22us]

من باز هم معتقدم بهتر که کار توضبح و جدول بندی ip بهتر به کش داده بشه چون با اینکار فشار کمتری روی روتر میاد و همچنین میتونیم از ارزش افزوده ای که کش به عنوان باند مجازی برای ما ایجاد میکند بهترین استفاده را برده به شرطی که کلاینت ها کش را به عنوان نرجع انتشار اینترنت در شبکه تلقی کنند

[yousef1]

با سلام
من ایزا رو روی سرورم تو کافی نت نصب کردم و الان کانکشن adsl رو نمی تونم shareکنم دلیلش چیه؟؟
آیا آیزا خودش تنضیماتی وتسه share کردن کانکشن داره؟؟؟

[milad22]

وقتی ISA رو نصب کردی دیگه ICS از کار میوفته. چون RRAS آیزا فعال میشه.
شما باید تو آیزا از NAT استفاده کنی.

[yousef1]

میشه بیشتر توضیح بدین؟؟

[armin_net]

یعنی پیش فرض Connection شما External در نظر گرفته می شود

[meysam22us]

دوست خوبم سلام

شما باید برای اینکار ابتدا کش رو نصب کنید البته به صورت تک LAN که در وبلاگ ISA SERVER 2004 در این قسمت کاملاً روش نصب برای دوستانی که میخواهند از کانکشن های Diul-Up یا ADSL به جای کارت LAN استفاده کنند ( مباحث نصب کش به صورت تک کارت ) به سادگی مشکل Share کردن بر طرف میشه . حالا چرا نمی تونید بعد از نصب ISA کانکشن رو share کنید . دلیلش حضور برنامه ISA و مدیریت قدرتمند بر روی اشتراک گذاری ارتباطات است بعد از نصب این برنامه هیچگونه عمل Share کار نمی کند البته در کانال های ارتباطی
موفق باشید