none
ISA 2006 в качестве... RRS feed

  • Вопрос

  • Есть небольшая компания, владеющая зданием, имеющая в нём арендаторов и свои филиалы по городу. В этом здании стоит шлюз на FreeBSD. Имеется острое желание "соскочить" с OpenSource

    Итак, чем занимается этот шлюз:

    1. Три сетевые карты. Одна принимает интернет от провайдера, вторая раздаёт его арендаторам здания, третья раздаёт его пользователям конторы (natd).

    2. Держит зону DNS компании.

    3. Служит VPN-сервером для филиалов и удалённых пользователей (на базе mpd, протокол PPTP, соединения инициируют филиалы). В филиалах тоже стоят FreeBSD-шлюзы.

    4. Служит front-end почтовым сервером для Exchange во внутренней сети компании.

    5. Поднят ftp-сервер для внутренних нужд (непринципиальная позиция).

    6. Собирает статистику трафика по арендаторам (тупо, через счётчики ipfw).

     

    Что хочется от установленной ISA:

    1. Защита внутренних пользователей, управление их трафиком, сбор статистики посещений (чем подробней, тем не хуже). Кстати, есть ещё "особые" арендаторы, которые сидят во внутренней сети здания, так получилось по кабельной топологии, увы. Адреса в этой сети -- 192.168.0.0/24

    2. "Прозрачность" для арендаторов. Никаких настроек у них желательно не делать, у них реальные адреса. Нужна возможность пропускать весь трафик, потому что некоторые используют VPN-соединения со своими головными офисами в разных городах. Статистики по ним достаточно будет общей, по количеству. Если возможна подробная — замечательно.

    3. Решить проблему воровства трафика у арендаторов, когда один хитропопый подставляет адрес другого арендатора и качает за его счёт. Это, наверное, отдельная проблема, интересно её решение.

    4. VPN для филиалов и небольшого количества удалённых пользователей. Очень желательно при этом ни платформу шлюзов, ни каких либо настроек в филиалах не менять. Все логины/пароли на соединения известны.

    5. DNS-сервер, держащий зону и кэширующий запросы пользователей.

    6. Публикация внутреннего Exchange (кстати, кто чем пользуется в качестве спамморезки/антивируса для Exchange2003? Сейчас в качестве спамморезки установлен GFI MailEssentials, антивируса удобного так и не удалось найти).

    Вроде бы всё. Возможно, список "хотелок" расширится

    Основной вопрос — реально всё это сделать на ISA с минимальным количеством пертурбаций у внутренних пользователей, арендаторов и в филиалах?

    16 февраля 2007 г. 2:36

Ответы

  • Тогда лучше настраивать ISA на отдельной машине для параллельной работы.

    Vlan-ы позволяют раделить физическую сеть на логические сети, каждая из которых работает так же как самостоятельная физическая сеть. Для организации vlan-ов нужны управляемые коммутаторы третьего уровня. Они позволяет определить к какому vlan-у  относится каждый порт и, соответственно, клиент. Для связи  между коммутаторами порты настраивайются в транк, т.е. передают трафик всех vlan-в. Для передачи трафика между vlan-ми коммутатор работает как роутер. http://ru.wikipedia.org/wiki/VLAN

    16 февраля 2007 г. 8:39
    Модератор

Все ответы

  • Если система работает, то какой смысл ее менять?

    Все что вы хотите можно сделать с помощью ISA, кроме подсчета трафика - это отдельный вопрос. Но работы будет много и "на лету" не получится.

    Что касается арендаторов, то лучший вариант распределить их по vlan-ам.

    16 февраля 2007 г. 4:51
    Модератор
  • Меня очень не устраивает, как она работает. И улучшать хочется работу именно ISA, а не FreeBSD.

    Работы много — согласен. Большинство операций можно сделать на "холодном" сервере, периодически подключая его взамен фрюшного и проверяя, всё ли работает. Понятно, делаться это будет в часы наименьшей загрузки.

    Вот про vlan'ы чуть поподробней, пожалуйста (или письмом, поскольку оффтопик). Практически не сталкивался с этой технологией.

    16 февраля 2007 г. 6:51
  • Тогда лучше настраивать ISA на отдельной машине для параллельной работы.

    Vlan-ы позволяют раделить физическую сеть на логические сети, каждая из которых работает так же как самостоятельная физическая сеть. Для организации vlan-ов нужны управляемые коммутаторы третьего уровня. Они позволяет определить к какому vlan-у  относится каждый порт и, соответственно, клиент. Для связи  между коммутаторами порты настраивайются в транк, т.е. передают трафик всех vlan-в. Для передачи трафика между vlan-ми коммутатор работает как роутер. http://ru.wikipedia.org/wiki/VLAN

    16 февраля 2007 г. 8:39
    Модератор
  • 1. Всехарендаторов в DMZ. ISA это позволяет.

    2. DNS встроен в винду.

    3. Иса поддерживает VPN. Связаться может хоть с Cisco.

    4. Почему бы и нет? В Исе спец фильтр есть. Именно для почтового трафика.

    5. FTP встроен в винду.

    6. У исы с этим проблемы. Трафик считается не точно. Нужны дополнительные программы.

     

    1. Не вижу проблем.

    2. В исе есть NAT. Все должно и так заработать.

    3. Я думаю, что привязка IP к MAC не поможет. Как выше писали есть выход: VLAN, но поддержка VLAN нужна не только на коммутаторе, но и на сетевом адаптере. Мутаторы 3го уровня дороже обычных.

    4. Не знаю. Без изменений может не получиться. В любом случае, рекомендую отказаться от PPTP в пользу L2TP

    5. Возможно.

    6. ИСА, естественно, это позволяет. По поводу антивируса - не скажу. К сожалению, стоит не Exchange.

    Мне кажется, что быстро настроить не получится. Я бы расчитывал на некоторый период параллельной работы.

    16 февраля 2007 г. 11:38
  • Как таковой параллельной работы не будет, но есть возможность "включать" сервер в работу время от времени и смотреть, что ещё надо сделать. Так что с пилотными испытаниями проблем не будет.
    16 февраля 2007 г. 12:18