none
Маршрутизация http трафика RRS feed

  • Вопрос

  • Добрый вечер. В наличии имеется NLB кластер состоящий из двух нод, под управление ISA Server 2006 EE (ru). Схема связи применяется стандартная 2 сервера с обоих сторон поднят NLB, отношения между внутреней и внешней сетью "марщрутизация", пишу с укором т.к. весь трафик маршрутизируется а вот трафик по tcp dst port 80 почемуто натится. Если кто то сталкивался или имеет хоть какую идею по решению проблемы сообщите, буду очень Вам признателен.
    4 апреля 2008 г. 21:16

Все ответы

  • Клиенты, небось, настроены на использование ISA как прокси? Тогда се правильно.

    5 апреля 2008 г. 6:50
    Модератор
  • Нет, весь трафик маршрутизируется. Да и интересно почему она натит при прохождении через проксю.
    5 апреля 2008 г. 8:07
  • Потому что прокси так работает. Собственно, это не NAT. Прокси, собственно, делает запрос к Web сайтам по запросу клиента, но от своего имени.

    А зачем Вам маршрутизирование вместо NAT? Расскажите чуть подробнее о своей схеме.

     

    5 апреля 2008 г. 9:59
    Модератор
  • Вся суть задачи заключается в следующем, имеется холдинг "А" в котором находтся порядка 70 компаний, мы являемся оператором связи для это холдинга, используем ису как корпоративный фаирвол, за исой стоит asa, которая натит кажду копанию в отдельный голобальный адрес, на аса стоит маршрутизатор оператора, который сбрасывает netflow в билинг и мы имеет реальный трафик с каждой отдельной компании в холдинге. Вот и вся задача.
    5 апреля 2008 г. 10:15
  • Я понял. Действительно, проблема. Скорее всего нужно будет отключить прокси, но я не уверен - нужен эксперимент.

    5 апреля 2008 г. 11:38
    Модератор
  • Что самое парадоксальное никто не знает. Даже производитель ПО. Прокси для "внутреней сети" мы отключали. Меня больше всего настораживает следующее:

    1) Не важно как достовляется трафик к исе прокси или по маршуртизации.

    2) Остальные проксируемые протоколы она не трогает. т.е. ftp,https она прозрачно пропускает через сервис проксирования, реагирует только на HTTP.

    4 раза звонил в М$ в 1 раз вообще попросили перечислить 150$ с кредитки, типа только тогда поможем решить проблему. последующте 3 раза звонил в англ. поддержку, там даже слушать не хотели что софт работает криво.

     

    5 апреля 2008 г. 14:25
  • Можно попробовать разобраться, но мне от Вас может потребоваться много информации. Если готовы разбираться - напомните в понедельник.

    5 апреля 2008 г. 16:17
    Модератор
  •  

    я что то не понял в чем проблема? то что иса принудительно проксирует http? ну это ее нормально поведение.

    сними web proxy filter с протокола http или вообще его выключи.

     

    ps а вообще использовать ису в таких целях неразумно, будучи практически провайдером стоит юзать более подходяшие продукты, ту же циску например.

    5 апреля 2008 г. 17:38
    Отвечающий

  • Готов разбираться т.к. выхода у меня нет. Буду Вам очень признателен за помощь в этом мероприятии.
    5 апреля 2008 г. 19:53
  •  Dmitriy Nikitin написано:

     

    я что то не понял в чем проблема? то что иса принудительно проксирует http? ну это ее нормально поведение.

    сними web proxy filter с протокола http или вообще его выключи.

     

    ps а вообще использовать ису в таких целях неразумно, будучи практически провайдером стоит юзать более подходящие продукты, ту же циску например.



    фильтр веб прокси снимал - не помогает.
    Моя ситуация напоминает следующее - Вы покупаете машину но дверь водителя заварена, и чтобы попасть за руль, Вы должны пролезть через багажник. Немного странно не правда?
    Я готов выслушать Ваши идеи относительно использования циски в данном решении. От себя добавлю, циска не имеет интеграции с AD, это объясняется отсутствием в IOS/Cat IOS/PIXOS/ASAOS функционала для работы с kerberos, MS CIFS и прочими протоколами, можно соорудить конструкцию с использованием Cisco secure ACS но это похоже на управлением авто из багажника. Тем более штат ИТ не умеет управлять IOS. Единственная замена исе может быть только appliance от bluecat.
    5 апреля 2008 г. 20:03
  • когда мне надо было запретить проксировать трафик между отдельными сетками то я создавал протокол без филтра, разрешал в эти сети ходить по нему, но с выпуском sp2 на 2004 ису и с выходом 2006ой пришлось еще отдельно после этого правила ставить запрещающее http в эти сети. все работало

     

    по поводу циски и исы, может я не так понял задачу, но я не знаю ни одного провайдера который использовал бы AD для аутенфикации клиентов, имеется ввиду левых клиентов а не внутренних юзеров. а если существующие итшники не умеют делать то что надо для решеия задачи то обычно нанимают других итшников Smile

    5 апреля 2008 г. 22:18
    Отвечающий
  •  Dmitriy Nikitin написано:

    когда мне надо было запретить проксировать трафик между отдельными сетками то я создавал протокол без фильтра, разрешал в эти сети ходить по нему, но с выпуском sp2 на 2004 ису и с выходом 2006ой пришлось еще отдельно после этого правила ставить запрещающее http в эти сети. все работало

     

    по поводу циски и исы, может я не так понял задачу, но я не знаю ни одного провайдера который использовал бы AD для аутентификации клиентов, имеется ввиду левых клиентов а не внутренних юзеров. а если существующие итшники не умеют делать то что надо для решения задачи то обычно нанимают других итшников


    Я попробую более детально обрисовать ситуацию.
    Есть группа компаний в составе холдинга, внутри холдинга имеется свой оператор связи (провайдер) с очень развитой инфраструктурой, т.к. оператор обслуживает еще и внутренних клиентов, т.е. компании холдинга, необходимо создать интегрированную среду для взаимодействия внутренней сети холдинга и внешней сети оператора, т.к. для оператора холдинг в который он входит все же остаётся клиентом, а как всем известно клиентам на основании договора надо выставлять счета, и собирать какие то деньги. В данный момент идет реорганизация ИТ в холдинге, с моей подачи. Т.К. Вы говорите "нанимают других итшников" выгнать прямо щас я их не могу, это закончится катастрофой для предприятия, поэтому я пытаясь заткнуть юридические дырки, одна из них и есть выставление счетов (правильных счетов), поэтому я пытаюсь создать единую интегрированную среду для управления ИТ инфраструктурой предприятия, которое разнесено на 12 регионов России и две страны дальнего зарубежья. Задача не сверх сложная, но всплывают разного рода корявки которые в принципе ставят под урозу весь проект. С другой стороны добиться внятных слов от Microsoft у меня не получается, меня просто не хотят слушать, но это я поправлю, в том числе и с вашей помощью. Для чего я упираюсь и всетаки хочу заставить работать ису? Есть две причины:
    1) Заставить ИСУ работать так как она должна, что бы люди не наступали на такие грабли и МС все таки сделала то что она зарекомендовала в списке функционала.
    2) Выстроить правильную схему тарификации клиентов.
    3) Выгнать итшников. За не состоятельностью.
    Хочется заметить что только в Москве ~2500 пользователей. Есть брать всё вместе то получается ~15000, large enterprise это назвать трудно, но людей много, и цена простоя может быть чудовищной.
    6 апреля 2008 г. 10:21
  •  

    ну в данном случае с функционалом у исы все как и заявлено, а зявлено было что независимо от настройки клиентов иса проксирует http трафик на 80ом порту (другие порты она принудительно не трогает, и проксирует тока если браузер настроен на прокси), это работа web filter, у меня получалось это обходить либо отключив фильтр вообще либо сделав кастом протокол и поставить его на нужные правила...
    6 апреля 2008 г. 11:32
    Отвечающий
  • Вот тут описано как отключить Transparent proxy (два способа) http://www.microsoft.com/technet/isa/2004/plan/ts_proxy_traffic.mspx

    7 апреля 2008 г. 6:58
    Модератор