URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 13382
[ Назад ]

Исходное сообщение
"Поделитесь опытом построения сети"
Отправлено fate , 19-Апр-07 20:10

Всем доброго времени суток!
Есть задача. Организовать связь между офисами, доступ в инет для локальных сетей офисов. Все офисы построены по единому принципу.
В офисе есть локалка и используется MS ISA (обязательно). Как используя маршрутизатор (например 2811) и коммутатор третьего уровня (например 3560G) организовать связь данного офиса с подобными офисами (будут следубщие типы межофисных каналов: Frame-relay, выделенные каналы ethernet и IPSec тунели), предоставить доступ в инет для пользователей локалки в офисе и использовать ISA сервера как прокси в инет для пользователей? Подскажите какие схемы соединения маршрутизатора, коммутатора и ISA сервера лучше использовать. Опыта мало в деле интеграции работы оборудования Cisco и MS ISA сервера.

Содержание

Поделитесь опытом построения сети,asto, 13:15 , 20-Апр-07
- Поделитесь опытом построения сети,fate, 13:32 , 20-Апр-07
  - Поделитесь опытом построения сети,asto, 14:19 , 20-Апр-07
    - Поделитесь опытом построения сети,fate, 18:40 , 20-Апр-07

Сообщения в этом обсуждении

"Поделитесь опытом построения сети"
Отправлено asto , 20-Апр-07 13:15

На мой взгляд, что должно быть реализовано обязательно:
1. Каналы от других филиалов терминируются все на одном устройстве (в случае конечно, если разделением не добиваемся резервирования)
2. Иса напрямую в интернет не выставляется :)
С учетом этих требований, есть два варианта:
1. Inet <-> 2851 <-> 3560 <-> ISA, пользователи и т.д.
Интернет включается во второй езернет порт маршрутизатора
На 2851 терминируются каналы из других офисов, в том числе IPSEC туннели.
На роутере access-list'ами запрещен доступ в интернет для всех, кроме исы (пользователи все равно через ису ходют).
2. Если второй интерфейс роутера нужен, то тогда так:
2851 <-> 3560 <-> ISA, пользователи и т.д.
|
Inet
Отдельный vlan под Интернет, трафик куда разрешен 1) от Исы 2) IPSEC от роутера.
Но лучше бы конечно роутер или свитч напрямую в интернет не выставлять (все-таки, магистраль сети, с безопасностью замучаетесь), а купить что-нибудь вроде простенького пикса. Он гораздо лучше подходит в качестве граничного устройства.

"Поделитесь опытом построения сети"
Отправлено fate , 20-Апр-07 13:32

>На мой взгляд, что должно быть реализовано обязательно:
>1. Каналы от других филиалов терминируются все на одном устройстве (в случае
>конечно, если разделением не добиваемся резервирования)
>2. Иса напрямую в интернет не выставляется :)
>
>С учетом этих требований, есть два варианта:
>1. Inet <-> 2851 <-> 3560 <-> ISA, пользователи и т.д.
>Интернет включается во второй езернет порт маршрутизатора
>На 2851 терминируются каналы из других офисов, в том числе IPSEC туннели.
>
>На роутере access-list'ами запрещен доступ в интернет для всех, кроме исы (пользователи
>все равно через ису ходют).
>
>2. Если второй интерфейс роутера нужен, то тогда так:
>2851 <-> 3560 <-> ISA, пользователи и т.д.
> |
>
> Inet
>Отдельный vlan под Интернет, трафик куда разрешен 1) от Исы 2) IPSEC
>от роутера.
>
>Но лучше бы конечно роутер или свитч напрямую в интернет не выставлять
>(все-таки, магистраль сети, с безопасностью замучаетесь), а купить что-нибудь вроде простенького
>пикса. Он гораздо лучше подходит в качестве граничного устройства.
Вот так сейчас и предполагается делать (первый вариант). PIX будет позже, пока нет "сил" на него. Тут такой вопрос, я не спец по ISA серверу. Наши админы хотят видить на ISA сервере кто куда и когда лазил и сколько трафика использовал (это касательно инета). Это возможно реализовать? Я думаю, что без проблем:). Сам я, конечно, хочу использовать netflow для анализа трафика, но пока нет возможности совершить революционный переход к данной технологии, поэтому надо использовать возможности ISA.

"Поделитесь опытом построения сети"
Отправлено asto , 20-Апр-07 14:19

Можно. Если пользователям прописать в настройках броузера ходить через проксю - ису, и на роутере закрыть весь трафик в интернет кроме исового, то:
1. Пользователи без исы в интернет не выйдут
2. В логах исы будет вся информация по трафику (кроме трафика, генерируемого IPSEC туннелями с роутера)
3. Зато на роутере при снятии статистики через NetFlow будет показываться. что в интернет лазит только один хост - ваша иса.

"Поделитесь опытом построения сети"
Отправлено fate , 20-Апр-07 18:40

>Можно. Если пользователям прописать в настройках броузера ходить через проксю - ису,
>и на роутере закрыть весь трафик в интернет кроме исового, то:
>
>1. Пользователи без исы в интернет не выйдут
>2. В логах исы будет вся информация по трафику (кроме трафика, генерируемого
>IPSEC туннелями с роутера)
>3. Зато на роутере при снятии статистики через NetFlow будет показываться.
>что в интернет лазит только один хост - ваша иса.
Спасибо! Мысль ясна, будем пробовать.