none
ISA 2006, cisco и NAT. RRS feed

  • Вопрос

  • Есть такая конфигурация:
    локальная сеть - ISA -
    cisco - инет
    На
    cisco приходит 2 внешних канала. Из интернета на cisco также терминируются порядка 30 IPSec туннелей.
    локальная сеть - подсеть класса С (адреса 10.0.11.*)
    ВПН туннели тоже подсети класса С со своими адресами из диапазона локальных сетей.
    Между внутренним инт-м кошки и внешним инт-м исы подсеть 28 бит (адреса 172.16.)
    На исе настроено всё роутить, в диапазон Internal прописаны как локальная сеть, так и все сети которые приходят через ВПН туннели.
    С интернета также настроен проброс портов через
    cisco и ISA на внутренние сервисы, также на ISA опубликован OWA.
    Кошка (2811) когда всё дело натит - загибается, процесор её не тянет нат больше 30-40 Мбит что не предел каналов. Мне хотелось бы чтоб натила иса хотя бы на один из внешних имеющихся IP адресов, но интерфейса на сервере два и внешний интерфейс ISA имеет адрес 172.16.*.* когда прописываю на нём внешний адрес (дополнительным) результата естественно нет.

    Пока решения не вижу иного как вставить в сервер ещё одну сетевую... Поменять местами ису и циску тоже не выйдёт, т.к. иса 2 внешних канала не умеет разруливать. Поставить PIX тоже не пойдёт Smile
    16 июля 2008 г. 6:54

Все ответы

  •  

    Если вы включили cisco на двух разных провайдеров, то ваша cisco просто обречена работать в режиме NAT!

     

    Это означает, что если вы хотите сохранить схему включения, то вам нужно заменить 2811 на более мощную модель (3800 или ASA).

     

    Иначе нужно изменять схему включения. Например ISA работает через одного провайдера, а 2811 через другого.

    16 июля 2008 г. 11:58
    Модератор
  • Да, придётся наверно сменять схему включения, от каждого провайдела есть по блоку IP адресов (свободных хватает). Другая cisco в бюджет не входит...
    Проще в сервер ISA вставить ещё одну сетевую и дам ей внешний адрес от более широкого канала. А
    cisco так и останется с двумя каналами.
    Просто была мысль что на одном инерфейсе ISA использовать и её адрес 172.16.1.2 и дополнительный! внешний адрес, чтоб она в интернет именно на этот адрес внешний делала NAT, а cisco внешний адрес уже не будет NATить, а просто дальше будет роутить. Если я сделаю основным IP публичный адрес (дополнительным 172.16.1.2), то все исходящие пакеты будут идти уже с адресом источником внешним, чего мне не нужно на этом интерфейсе...
    16 июля 2008 г. 13:24
  •  

    что то перечитал пару раз и не понял двух вещей:

    1. почему удаленные сетки связанные по впн через циску вписаны в internal тогда как они приходят на ису с внешнего интерфейса?

    2. а какую роль будет выполнять циска если внешние адреса повесить на исе? и для чего нужно вешать адрес из 172.16 основным?

    16 июля 2008 г. 20:57
    Отвечающий
  • 1) Потому что эти сети внутренние пусть и приходят через интерфейс который ближе к интернету (но на нём нет белого адреса). А роутингом статикой на исе они уже прописаны с дефаул гейтвеем 172.16.*.
    2) Роутинг, ВПН IPSec, работу 2-х каналов, частично нат (публикацию внутрь). IPSec завязывать на ису не хочу, хотя бы по причине что она пакеты отправляет от имени интерфейса который в интернет смотрит (именно по этому адрес
    172.16 основной), не говоря уже о нюансах 2-х каналов.
    18 июля 2008 г. 6:17
  • 1) вообще если правильно делать то эти сети должны оставаться в external, ибо с точки зрения исы они есть внешние, неважно чьи это сети и как они соединены.

     

    18 июля 2008 г. 9:17
    Отвечающий
  • Ну с точки зрения Multi-Networking Architecture (_http://www.redline-software.com/rus/support/articles/isaserver/general/network_behind_a_network.php ) всё же считаю что правильно (хотя у меня мульти сети с другой стороны), но это не столь сейчас важно. Решения кроме ещё одной сетевой карты на данный момент не вижу...
    18 июля 2008 г. 12:31
  • ну что поделать, у винды роутинг примитивный, а иса как продукт вообще не роутер, так что особо не развернешься, я б предпочел роутинг оставить циске, она может если не все то почти все Smile

    19 июля 2008 г. 7:28
    Отвечающий