none
несколько сетей и ISA 2006 как шлюз в интернет RRS feed

  • Вопрос

  • Здраствуйте.
    Имеется несколько сетей соеденнеными маршрутизаторами. На данный момент работает вот эта схема http://www.redline-software.com/rus/support/articles/isaserver/general/network_behind_a_network.php
    Количество сетей постоянно увеличивается (добавляются филиалы). Существует ли возможность прописать на всех сетях, включая локальную подсеть ISA, default gateway центрального роутера, а на центральном роутере прописать ip route 0.0.0.0 0.0.0.0 на внутреннею ножку ISA?
    Задачу усложняет то что в локальной подсети ISA есть несколько серверов, которые публикуются на ISA.



    20 июля 2009 г. 19:15

Ответы

  • в той схеме что там нарисована почти так и есть: у всех посетей шлюзом стоит роутер, у роутера шлюзом иса, но у центральной сетки шлюзом тоже должна быть иса. или центральную оформляй на роутере тоже как филиальную, то есть отделяй от исы отдельной подсеткой

    21 июля 2009 г. 6:48
    Отвечающий
  • получится не совсем хорошо, исходящий пакет пойдет на роутер, и с роутера на ису, а ответный напрямую с исы на клиента
    а в случае публикуемых серваков станет еще хуже, ибо в обратную сторону пакеты с исы придет на сервак напрямую, а вернется через роутер - иса такое безобразие примет за спуффинг, и ее tcp stateful filter отбросит такой пакет.

    а какой вообще смысл шлюзом делать роутер?
    21 июля 2009 г. 7:49
    Отвечающий
  • маршруты можно вписать скриптом
    второй вариант, более грамотный вариант - выделить центральную сеть в отдельную на роутере, а между роутером и исой будет своя пустая подсетка (ну или наоборот - ису вынести в отдельную, что тоже самое). тогда на всех подсетях можно будет ставить шлюзом твой роутер.

    21 июля 2009 г. 8:05
    Отвечающий

Все ответы

  • в той схеме что там нарисована почти так и есть: у всех посетей шлюзом стоит роутер, у роутера шлюзом иса, но у центральной сетки шлюзом тоже должна быть иса. или центральную оформляй на роутере тоже как филиальную, то есть отделяй от исы отдельной подсеткой

    21 июля 2009 г. 6:48
    Отвечающий
  • Дмитрий, спасибо за ответ. Так и работает на сегодняшний день.
    А если все таки сделать в центральной сети шлюзом раутер, а с него перебрасывать на ису только то что идет в интернет? Что произойдет?

    21 июля 2009 г. 7:03
  • получится не совсем хорошо, исходящий пакет пойдет на роутер, и с роутера на ису, а ответный напрямую с исы на клиента
    а в случае публикуемых серваков станет еще хуже, ибо в обратную сторону пакеты с исы придет на сервак напрямую, а вернется через роутер - иса такое безобразие примет за спуффинг, и ее tcp stateful filter отбросит такой пакет.

    а какой вообще смысл шлюзом делать роутер?
    21 июля 2009 г. 7:49
    Отвечающий
  • Дело в том, что сейчас для того что бы с филиалов могли обращаться на сервера подсети исы, приходится на этих серверах вручную прописывать маршрут на центральный роутер в направлении каждой сети. Именно из за того что иса принимает обратный трафик как спуффинг. Если честно, запарился добавлять на каждый сервер, для каждой сети строчку route add -p.
    Хочется, сделать так, что бы все маршруты держались только нв одном месте. А то уже запутаться можно.


    21 июля 2009 г. 7:56
  • маршруты можно вписать скриптом
    второй вариант, более грамотный вариант - выделить центральную сеть в отдельную на роутере, а между роутером и исой будет своя пустая подсетка (ну или наоборот - ису вынести в отдельную, что тоже самое). тогда на всех подсетях можно будет ставить шлюзом твой роутер.

    21 июля 2009 г. 8:05
    Отвечающий
  • Думал на эту тему. А что будет с публикуемыми серверами?
    21 июля 2009 г. 8:07
  • все с ними будет в порядке, на исе только надо будет написать маршруты в твои сети через роутер, но это тебе все равно по любому делать.
    21 июля 2009 г. 9:17
    Отвечающий
  • Ок, попробую. Спасибо.
    21 июля 2009 г. 9:22