none
TMG и несколько Vlan в одной сети RRS feed

  • Вопрос

  • Подскажите - как быть вот в такой ситуации:

    В одном кабеле приходят - ISP (87.XX.XX.XX) и еще 3 VLan (сети 192.168.101.XX, 192.168.102.XX, 192.168.103.XX). Внутренняя сеть 192.168.100.XX.

    Какие настройки необходимо сделать на TMG, что пользователи внутренней сети могли ходить в сети сети 192.168.101.XX, 192.168.102.XX, 192.168.103.XX ?

    30 ноября 2010 г. 5:00

Ответы

  • Подскажите - как быть вот в такой ситуации:

    В одном кабеле приходят - ISP (87. XX . XX . XX ) и еще 3 VLan (сети 192.168.101. XX , 192.168.102. XX , 192.168.103. XX ). Внутренняя сеть 192.168.100. XX .

    Какие настройки необходимо сделать на TMG , что пользователи внутренней сети могли ходить в сети сети 192.168.101. XX , 192.168.102. XX , 192.168.103. XX ?

    vlan-ы бывают "tag based" (когда по одному кабелю бегают тегированные пакеты) и "port based" (на коммутаторе, когда порты работают в режиме access и на каждый порт настраивается какой-то конкретный vlan).

     

    в текущей ситуации вижу два варианта:

     

    1)(силами коммутатора превратить ваши "tag based vlans" в "port based vlans")  подключить кабель в коммутатор и силами коммутатора разнести эти vlan-ы на несколько портов (к которым подключить различные адаптеры сервера Forefront), если в сервере Forefront достаточно сетевых карт - этот вариант предсказуемый и гарантированный

    2) (настроить "tag based vlans" на сетевой карте) в штатных драйверах Windows не предусмотрена поддержка "tag based vlans", чтобы их реализовать, нужны драйвера от вендора сетевой карты. В серверных платформах пробовал такое на intel-овских картах и broadcom-овских картах. Теоретически работать должно, последний раз с update 2 даже что-то работало, правда недолго, часа 3 и потом сервер вообще потерял сетевые адаптеры как сущность. Надо очень аккуратно рассматривать данный вопрос, например, "teaming + vlan + nlb" теоретически должно работать только в случае failover-teaming (у lacp есть объективные проблемы с NLB), на практике, похоже, не работает совсем.


    Ilya Shipitsin
    • Помечено в качестве ответа Yuriy Lenchenkov 9 декабря 2010 г. 8:09
    2 декабря 2010 г. 13:25

Все ответы

  • VLAN`ы относятся к внутренней сети или к внешней?
    30 ноября 2010 г. 7:16
  • Ко внешней - приходят в одном кабеле с вместе ISP

    30 ноября 2010 г. 12:13
  • физически я понял, имелось ввиду, логически - это ваши филиалы или  вообще сети, не имеющие отношения к вашей компании?
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    30 ноября 2010 г. 12:47
  • А вот я не понял. Как это "несколько Vlan в одной сети"? Несколько сетей (IP) в одной VLAN - это возможно. :)
    У Вас сетевой адаптер с драйвером, поддерживающим trunk-режим порта?.. Если так, то у Вас должно быть несколько экземпляров сетевых подключений, каждый из которых "смотрит" в определенную VLAN.

    30 ноября 2010 г. 19:51
    Отвечающий
  • если это дейтствительно вланы и на адаптере вланы поддерживаются, то это отдельные networks

    а еслди это просто сетки приходящие по этому проводу на внешний интерфейс без вланов, то это все остается просто в external и все.

    30 ноября 2010 г. 21:43
    Отвечающий
  • Логически - это конечно не филиальные сети ( в юридическом плане), но  доверительные отношения между доменами есть.
    Адаптер trunk поддерживает.

    Т.е. ситуация следующая - есть несколько организаций разбросанных по городу. Все они пользуются услугами одно ISP. Соответсвенно ISP им предоставляет выход в интернет и и общий Vlan для взаимодействия их локальных сетей.

    1 декабря 2010 г. 10:40
  • так на самом тмг это разные логические интерфейсы или один?
    1 декабря 2010 г. 12:23
    Отвечающий
  • вданный момент 1
    1 декабря 2010 г. 12:43
  • все доверенные диапазоны - в internal сеть включить

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    1 декабря 2010 г. 16:50
  • все доверенные диапазоны - в internal сеть включить

    Так не получится сделать. TMG будет считать спуфингом получение IP-дейтаграммы адаптером, обслуживающим внешнюю сеть, содержащей в адресе источника из диапазона защищенных сетей. Конфигурация "доверенная сеть за сетью внешней" без туннелирования не поддерживается.

    Автор, то, что в одном домене широковещания у Вас размещается несколько IP-подсетей - очень плохая конфигурация.

    1 декабря 2010 г. 18:49
    Отвечающий
  • а тмг эти как то видит? то есть у тмг есть ипшник из этих сетей, или он их видит через марщруты со своего внешнего ип?

    1 декабря 2010 г. 18:56
    Отвечающий
  • Да - есть IP в этих сетях.

    2 декабря 2010 г. 6:56
  • Ну а что делать .... так уж исторически сложилось. Причем "идиотизм" ситуации в том, что с нового года они от этого отказываются, но вот сейчас нужно сделать так что бы работало :)
    2 декабря 2010 г. 6:58
  • тогда надо поставить эти ип на внешний интерфейс как дополнительные и при необходимости прописать маршруты (например если за этими сетками есть еще другие нужные сетки). для предоставление доступа в эти сетки их лучше определить отдельно.

    либо попробовать настроить интерфейсы так чтобы винчда их видела как отдельные виртуальные интерфейсы, только это уже не по тмг вопрос

    2 декабря 2010 г. 10:45
    Отвечающий
  • Подскажите - как быть вот в такой ситуации:

    В одном кабеле приходят - ISP (87. XX . XX . XX ) и еще 3 VLan (сети 192.168.101. XX , 192.168.102. XX , 192.168.103. XX ). Внутренняя сеть 192.168.100. XX .

    Какие настройки необходимо сделать на TMG , что пользователи внутренней сети могли ходить в сети сети 192.168.101. XX , 192.168.102. XX , 192.168.103. XX ?

    vlan-ы бывают "tag based" (когда по одному кабелю бегают тегированные пакеты) и "port based" (на коммутаторе, когда порты работают в режиме access и на каждый порт настраивается какой-то конкретный vlan).

     

    в текущей ситуации вижу два варианта:

     

    1)(силами коммутатора превратить ваши "tag based vlans" в "port based vlans")  подключить кабель в коммутатор и силами коммутатора разнести эти vlan-ы на несколько портов (к которым подключить различные адаптеры сервера Forefront), если в сервере Forefront достаточно сетевых карт - этот вариант предсказуемый и гарантированный

    2) (настроить "tag based vlans" на сетевой карте) в штатных драйверах Windows не предусмотрена поддержка "tag based vlans", чтобы их реализовать, нужны драйвера от вендора сетевой карты. В серверных платформах пробовал такое на intel-овских картах и broadcom-овских картах. Теоретически работать должно, последний раз с update 2 даже что-то работало, правда недолго, часа 3 и потом сервер вообще потерял сетевые адаптеры как сущность. Надо очень аккуратно рассматривать данный вопрос, например, "teaming + vlan + nlb" теоретически должно работать только в случае failover-teaming (у lacp есть объективные проблемы с NLB), на практике, похоже, не работает совсем.


    Ilya Shipitsin
    • Помечено в качестве ответа Yuriy Lenchenkov 9 декабря 2010 г. 8:09
    2 декабря 2010 г. 13:25
  • Уважаемый пользователь!
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.
    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    7 декабря 2010 г. 7:40