none
Два внешних интерфейса - возможно ли? RRS feed

  • Вопрос

  •  

    Имеется два внешних интерфейса, первый выделенка, второй смотрит в DSL-модем. Внутренний интерфейс один.

    Сеть внутри одноранговая.

    Вопрос: можно ли в рамках одной машины маршрутить одних клиентов внутренней сети в один канал, других в другой?

     

    9 ноября 2008 г. 3:09

Ответы

  • Присоединяюсь к ответам коллег. С помощью ISA Server этого сделать нельзя. А вот с помощью Forefront TMG - можно, за счет использования функции Enhanced NAT.

    Хотя сам Forefront TMG ещё не вышел, можете протестировать данный сценарий с помощью публично доступной Forefront TMG Beta 2 . В этой бета-версии уже реализован функционал Enhanced NAT.

    Возможно, в недалеком будущем я отдельный доклад по новым функциям Forefront TMG сделаю. И Enhanced NAT в сценарии с публикацией почтового сервера я точно не пропущу =)
    {Бинарный} Форпост - Блог с фокусом на ISA Server, Forefront TMG, IAG, RMS и Windows Security.
    8 апреля 2009 г. 11:22

Все ответы

  • Нет, Windows такого не умеет.

    Обсуждалось неоднократно. Поищите по форуму.

    9 ноября 2008 г. 6:38
  • Добавлю только к ответу предыдущего коллеги. Ищите по Форуму (да и по всему Интернету) source routing или policy based routing. Windows этого действительно не умеет. Рассмотрите вариант с установкой двух ISA Server - по одному на каждый канал. 

    9 ноября 2008 г. 20:34
    Модератор
  •  

    а есть ли смысл в одноранговой сетке (я понимаю что без домена) ставить ису вообще? да еще с требованием такой маршрутизации, не проще ли и дешевле поставить нормальный роутер?
    10 ноября 2008 г. 6:55
    Отвечающий
  • А разве так нельзя? 
    Разделяем пользователей на подсети А и Б и для каждой подсети создать правило (командой Route) подсеть А маршрутизировать на шлюз1, подсеть Б маршрутизоровать на шлюз2. 
    Шлюзы осуществляют NAT.
    Соответственно машина к которой подключены пользователи имеет два IP (из сети A и Б).

    14 ноября 2008 г. 16:26
  • Так, конечно, можно, только работать всё равно не будет. В общем, описанный Вами сценарий средствами ISA Server осуществить нельзя.
    Функция source routing будет реализована в продукте Forefront Threat Management Gateway (прямом наследнике ISA Server). По информации, вращающейся в сообществе, эта функция будет называться "ISP Failover".
    15 ноября 2008 г. 14:18
  • а есть ссылка на такую инфу, что то я сомневаюсь что isp failover будет включать в себя и source-based routing

     

    >Разделяем пользователей на подсети А и Б и для каждой подсети создать правило (командой Route) подсеть А маршрутизировать на шлюз1, подсеть Б маршрутизоровать на шлюз2. 

    а такого командой route сделать  в винде нельзя, там указывается сеть назначения и шлюз, а не сеть источника и шлюз. вот например можно указать что в конкретные внешние сети ходить через другой шлюз

    16 ноября 2008 г. 10:11
    Отвечающий
  •  Dmitriy Nikitin написано:

    а есть ссылка на такую инфу, что то я сомневаюсь что isp failover будет включать в себя и source-based routing


    "Ссылки на такую инфу", Дмитрий, нет, что вполне естественно. Единственная редакция Forefront TMG, которая доступна в релизе, - Forefront TMG MBE этого делать не умеет. Данным фукнционалом будет обладать только полная версия TMG. Слухи о данной функции и её названии имеют своим источником Forefront TMG CTP2, а на этом этапе развития продукта никто про окончательный функционал официально не заявляет.
    17 ноября 2008 г. 7:45
  • ну я имел ввиду ссылку на источник таких слухов, понятное дело что об окончательной функциональности пока речи нет. я просто сомневаюсь что реализуют  source-based routing, у исы ведь роутинга как такового нет

    17 ноября 2008 г. 8:45
    Отвечающий
  • Я бы с удовольствием поделился с Вами ссылкой на источник, но такой ссылки просто быть не может. Эту информацию я получил устно, так сказать Ссылаться на источник "устной" информации мне не разрешили, но при этом заверили, что информация достоверна.
    Полагаю, функционально ограничатся только горячим резервированием интернет-канала. Собственно, название фичи отражает только эту функцию.
    17 ноября 2008 г. 10:00
  •  Artyom [d.raven] Sinitsyn написано:
    Полагаю, функционально ограничатся только горячим резервированием интернет-канала. Собственно, название фичи отражает только эту функцию.

    ну о чем я и говорил Smile

    резервирование сделать не так сложно, при этом не надо будет вмешиваться в сам механизм виндовой маршрутизации, тупо наверна сделают програмное переключение шлюзов и все, то что сейчас делают люди скриптами Smile)

    17 ноября 2008 г. 15:28
    Отвечающий
  • По-моему, наличие даже этого функционала очень положительно скажется на популярности продукта. Тем более что помимо горячего резервирования канала заявлена возможность балансировки сетевой нагрузки между интернет-каналами.

    18 ноября 2008 г. 12:37
  •  Artyom [d.raven] Sinitsyn написано:
    Так, конечно, можно, только работать всё равно не будет. В общем, описанный Вами сценарий средствами ISA Server осуществить нельзя.
    Функция source routing будет реализована в продукте Forefront Threat Management Gateway (прямом наследнике ISA Server). По информации, вращающейся в сообществе, эта функция будет называться "ISP Failover".

     

    Извиняюсь, но почему не будет? Разве не будет работать следующий сценарий:

    1) Создаем два соединения External

    2) Создаем две группы пользователей А и Б

    3) Говорим (в виде правил) что пользователи А ходят по HTTP по одному соединению, а пользователи Б ходят по HTTP в другое соединение

     

    Мне кажется, что тут нету препятствий, или я ошибаюсь?

    20 ноября 2008 г. 11:56
  • А как Вы создадите 2 сети External без определения адресного пространства этих сетей. Или Вы хотите разделить Интернет пополам в контексте адресных диапазонов?

    20 ноября 2008 г. 12:08
  • Мне представляется это так:
    одна сеть на модем (например, подсеть 192.168.1.0/24) aka External 1
    другая сеть в выделенку (например, подсеть 192.168.2.0/24) aka External 2

    Например так. Что скажете?



    21 ноября 2008 г. 5:39
  • Даже и не знаю, что на это ответить. Когда пользователь наберёт в адресной строке yandex.ru, запрос отправится на ISA Server, ISA Server в свою очередь попытается разрешить это имя в адрес 213.180.204.11. Согласно этому адресу запрос будет направлен в сеть External (которая по умолчанию), а никак не в Ваши сети External1 и External2.

    21 ноября 2008 г. 6:15
  •  Evgeniy Vekovshinin написано:
    Мне представляется это так:
    одна сеть на модем (например, подсеть 192.168.1.0/24) aka External 1
    другая сеть в выделенку (например, подсеть 192.168.2.0/24) aka External 2

    Например так. Что скажете?

     

    это не имеет ничег общего с поставленной задачей Smile)

    это совсем другое и ничего нового в этом нет, тока еще надо не забыть про route add

    21 ноября 2008 г. 11:40
    Отвечающий
  • Просветите дурака: то есть выходит, что ISA Server не умеет маршрутизировать? И два внешних соединения к ней не прикрутить? Правильно?
    24 ноября 2008 г. 5:28
  • да уж по моему сотни раз написали разными словами и разных регистрах

    ISA Server изначально не имеет функций роутера, роутинг в ней даже не планировался и его там нет в принципе. все настройки интерфейсов, все маршруты и вообще весь роутинг обеспечивает винда. ISA создавалась как корпоративный firewall + proxy + довесок который настраивает VPN используя RRAS

    24 ноября 2008 г. 7:52
    Отвечающий
  • Спасибо, что просвятили. То есть задача с маршрутизацией между двумя внешними соединениями решается с помощью RRAS?
    24 ноября 2008 г. 11:46
  •  

    у винды примитивный роутинг, в ррасе ничего хорошего для этого нет, его можно даже не запускать. все можно сделать через обычный route add Smile
    24 ноября 2008 г. 12:17
    Отвечающий
  •  Evgeniy Vekovshinin написано:
    Спасибо, что просвятили. То есть задача с маршрутизацией между двумя внешними соединениями решается с помощью RRAS?

    только вот опять не попутайте.. Smile

    RRAS в вопросах маршрутизации тоже полагается на возможности Windows.

    source routing и одновременное использование двух провайдеров тоже не получится.

    24 ноября 2008 г. 12:35
  • Я предлогаю сделать спец. топик - два провайдера на иса сервере - чтобы подобные темы были исчерпаны....
    24 ноября 2008 г. 17:42
  •  Aleksey Potapov (aptv) написано:
    Я предлогаю сделать спец. топик - два провайдера на иса сервере - чтобы подобные темы были исчерпаны....

    Тема - заглушка!
    25 ноября 2008 г. 4:22
  • Имеется два внешних интерфейса, первый выделенка, второй смотрит в DSL-модем. Внутренний интерфейс один.

    Сеть внутри одноранговая.

    Вопрос: можно ли в маршрутить POP/SMTP к одному провайдеру, а всё остальное ко второму ?

    Сам же и отвечаю, но чуть позднее: можно ли в маршрутить POP/SMTP к одному провайдеру, а всё остальное ко второму ?С помощью ISA НЕТ (извините протупил), настроить маршрутизацию можно.

    Кстати сами вопрос решили ещё проще (: отказались от п/я второго провайдера

    • Изменено del_ice 16 апреля 2009 г. 19:13
    7 апреля 2009 г. 18:16
  • Имеется два внешних интерфейса, первый выделенка, второй смотрит в DSL-модем. Внутренний интерфейс один.

    Сеть внутри одноранговая.

    Вопрос: можно ли в маршрутить POP/SMTP к одному провайдеру, а всё остальное ко второму ?

    нет, нельзя.

    Абсолютно нормальный парень...
    8 апреля 2009 г. 5:19
  • Имеется два внешних интерфейса, первый выделенка, второй смотрит в DSL-модем. Внутренний интерфейс один.

    Сеть внутри одноранговая.

    Вопрос: можно ли в маршрутить POP/SMTP к одному провайдеру, а всё остальное ко второму ?


    тред читал? уже вроде все написали - нельзя, у исы нет маршрутизации и маршрутов. smtp можно реализовать левыми способами: если например другой пров предоставит smtp релей то через него можно направить smtp трафик
    8 апреля 2009 г. 5:49
    Отвечающий
  • Присоединяюсь к ответам коллег. С помощью ISA Server этого сделать нельзя. А вот с помощью Forefront TMG - можно, за счет использования функции Enhanced NAT.

    Хотя сам Forefront TMG ещё не вышел, можете протестировать данный сценарий с помощью публично доступной Forefront TMG Beta 2 . В этой бета-версии уже реализован функционал Enhanced NAT.

    Возможно, в недалеком будущем я отдельный доклад по новым функциям Forefront TMG сделаю. И Enhanced NAT в сценарии с публикацией почтового сервера я точно не пропущу =)
    {Бинарный} Форпост - Блог с фокусом на ISA Server, Forefront TMG, IAG, RMS и Windows Security.
    8 апреля 2009 г. 11:22
  • Артем! Иииииии... ?

    Очень хотелось бы ознакомиться с конечным или "расширенным" результатом! Собственно: "отдельный доклад по новым функциям Forefront TMG" с акцентом на 2 провайдера => 1 "сдвоенный" канал.

    С уважением и надеждой :)

    P.S. как раз, являяемся счастливыми обладателями FF TMG.


    Oldmoose
    25 ноября 2010 г. 3:25
  • по моему TMG вышел больше года назад и докладов на эту тему не написал разве что ленивый :)

    к тому же на офсайте вся инфа есть, и в хелпах полагаю тоже все есть.

    25 ноября 2010 г. 8:41
    Отвечающий
  • На самом деле я посвятил теме TMG ISP Failover отдельный вебкаст:

    Forefront Ninjutsu Sono San – Работа Forefront TMG с двумя интернет-каналами


    SINITSYN.ORG - Блог с фокусом на ISA/TMG, IAG/UAG, DirectAccess, PKI, RMS и Windows Security
    26 ноября 2010 г. 8:29