none
Использование ISA RRS feed

  • Вопрос

  • Есть Сisco PIX через который осуществляется выход в Интернет. И есть ISA 2006 использующаяся только как прокси (1 сетевой адаптер)

    Планируется установка Exchange сервера, который очень хочется опубликовать через ISA, т.е. НЕ использовать Cisco для работы почты.

    Вопрос такой, будет ли ISA продолжать работать как прокси (и учитывать весь трафик, который будет проходить и через ISA и через Cisco) если задейстовать ее второй сетевой интерфейс (сделать классический Edge Firewall) и использовать только для работы Exchange, при этом шлюз у клиентов оставить цисковский, (прокси у всех прописан)

Ответы

  • >> Сейчас одноногая ISA используется как прокси, и учитывает трафик проходящий через циску.
    это первое заблуждение, в такой конфигурации isa учтывает только прокси трафик пользователей, все остальное проходит напрямую через циску и иса этого не видит

    а то что ты задумал исой сделать невозможно, в инет она идет через шлюз по умолчанию, как только ты ей задашь вместо своей циски шлюз через прова весь трафик пойдет мимо циски.

    если циска умеет делать прокси то как вариант на исе сделать web chaining и она прокси (только) трафик будет кидать на следующую прокси(то есть на циску) а не на шлюз

    чем не устраивает вариант выпускать ису вторым интерфейсом через циску? так будет одна точка входа и выхода, и иса будет весь трафик кидать на циску

    • Помечено в качестве ответа Yuriy Lenchenkov 30 мая 2011 г. 9:07
    Отвечающий

Все ответы

  • вполне, только ипшники на сетевухах должны быть из разных подсетей

    а что мешает поставить ису между пиксом и юзерами, сделав ису шлюзом по умолчанию у юзерей? получится двойной фаер и никаких проблем

    Отвечающий
  • На PIXе настроеная хитрая маршрутизация, и не хотелось бы привлекать цискарей лишний раз.

    Вопрос в том, как будет трафик идти через cisco, если у клиента в качестве прокси прописана isa ?

     

     

  • у исы укажи циску шлюзом по умолчанию
    Отвечающий
  • Не, а если рассматривать вариант параллельной работы ISA и Сisco. Т.е. ISA тоже смотрит в интернет

     

  • можно механизм работы вашей конфигурации?

    isa попадает в "Интернет" через cisco или напрямую подключена к поставщику услуг "Интернет"а?

    если 1 - то вы не сможете опубликовать exchange без привлечения "цискарей". необходима трансляция порта (если вы хотите почту ещё и получать).

     

  • Cisco подключен к ISP

    http://dc364.4shared.com/img/h4i2MY9G/s7/0.806505055969856/cisco-isa.jpg

    я хочу ISA также выставить в Интернет, чтобы опубликовать через него Exchange


  • тогда не пойму я в чем проблема? иса смотрит в инет и доступается к нему напрямую через прова. если у клиентов проксей стоит иса, то прокси трафик пойдет через нее, и циска отдыхает.
    Отвечающий
  • проблема в том, что ISA в данном случае мне нужна ТОЛЬКО для почты и учета ВСЕГО трафика
  • по моему тут какое то противоречие
    если ТОЛЬКО для почты, то зачем тогда юзеров через нее гонять?
    а если юзеров завести на ису, то уже не получится "ТОЛЬКО для почты"
    "учет ВСЕГО трафика" заведомо не выйдет, потому как шлюзом у всех стоит циска, и какой то трафик точно пройдет через нее

    Отвечающий
  • Нет, никакого противоречия. Сейчас одноногая ISA используется как прокси, и учитывает трафик проходящий через циску.

    Шлюзом у всех строит циска и ISA прописана как прокся

     

    Мы добавляем второй интерфейс к исе и выпускаем через нее exchange. Все остальное остается так же.

    Вопрос: как сделать чтобы ISA не выпускала через себя пользователей, т.е. продолжала выпонять роль как прежде только прокси (для учета трафика прежде всего)


  • >> Сейчас одноногая ISA используется как прокси, и учитывает трафик проходящий через циску.
    это первое заблуждение, в такой конфигурации isa учтывает только прокси трафик пользователей, все остальное проходит напрямую через циску и иса этого не видит

    а то что ты задумал исой сделать невозможно, в инет она идет через шлюз по умолчанию, как только ты ей задашь вместо своей циски шлюз через прова весь трафик пойдет мимо циски.

    если циска умеет делать прокси то как вариант на исе сделать web chaining и она прокси (только) трафик будет кидать на следующую прокси(то есть на циску) а не на шлюз

    чем не устраивает вариант выпускать ису вторым интерфейсом через циску? так будет одна точка входа и выхода, и иса будет весь трафик кидать на циску

    • Помечено в качестве ответа Yuriy Lenchenkov 30 мая 2011 г. 9:07
    Отвечающий
  • Cisco подключен к ISP

    http://dc364.4shared.com/img/h4i2MY9G/s7/0.806505055969856/cisco-isa.jpg

    я хочу ISA также выставить в Интернет, чтобы опубликовать через него Exchange


    ответ по существу вопроса: isa будет продолжать работать как прокси.
  • это первое заблуждение, в такой конфигурации isa учтывает только прокси трафик пользователей, все остальное проходит напрямую через циску и иса этого не видит


    ты меня прям расстроил... 2 раза ...

    (из за непрвильного учета трафика, и из-за невозможности реализации такой схемы)

    чем не устраивает вариант выпускать ису вторым интерфейсом через циску? так будет одна точка входа и выхода, и иса будет весь трафик кидать на циску


    да придется идти на поклон к цисководам, там настроено 2 провайдера , как при этом публиковать почту надо подумать...

  • а че ее публиковать то, если нужные порты(25 443) никуда не задействованы то тупо прокидываются на ису и все

    Отвечающий