Frage : Isa 2004 mit dem FAHLEN Lastsverdoppelungstabilisator

Ich versuche, einen FAHLEN Lastsverdoppelungstabilisator für unseren isa 2004 server.

These zu gründen bin das IP's

ISA = 192.168.20.2
Load Stabilisator = 192.168.20.1 (Linksys RV082)
Cisco 857 = 192.168.21.1
netgear = 192.168.22.1
Load Stabilisator auf Cisco-Teilnetze = 192.168.21.200
load Stabilisator auf netgear Teilnetze = 192.168.22.100

I lasse es z.Z. gründen, damit der ISA-Bediener das Internet grasen kann, wenn ich www.whatismyip.com gehe und die Seite mehrmals neu lade, benutzt sie die IP vom Cisco 857 und die netgear.

I haben RISSE auf beiden ermöglicht der Lasts-Stabilisator und der Lastsstabilisator Cisco-router.
The nimmt eine DHCP-Adresse von beiden der Modem, wenn sie auf DHCP.

From der Cisco-Fräser eingestellt wird, den ich ping 192.168.21.200 kann und
I des 192.168.20.1-IP address. das Nachschicken von Richtlinien auf dem Lastsstabilisator gegründet haben, um allen Verkehr des Hafens 80 zum ISA-Bediener nachzuschicken. So, wenn ich versuche, auf unser externes webmail zurückzugreifen, kann ich den Verkehr sehen, der vom Cisco-Fräser, zum Lastsstabilisator überschritten wird, der dann nicht sagt, nichts über Versenden er an und den isa server.

If schlägt, das ich den Cisco-Fräser ändere, um 80 Verkehr zu 192.168.20.2 anstelle anstelle 192.168.21.200 oder von 192.168.20.1 nachzuschicken, ich kann in die Maschinenbordbücher des Lastsstabilisators sehen und er sagt, dass er zum ISA-Bediener geführt wird, aber nichts den isa server.

Where sind ich falsch gehend schlägt?
Is using RISS verbessern als, schreibend in einem statischen IP?

I benutzen nicht Cisco-Fräser viel, also habe ich das SDM verwendet, anstatt zu versuchen in den Befehlen myself.

Antwort : Isa 2004 mit dem FAHLEN Lastsverdoppelungstabilisator

1.) VPN ist ein Tunnel, der hinter einer der Vorrichtungen beendet. So abhängt es s, wo Ihr Tunnel beendet. Einige Fräser haben eine Einstellung, zum des VPN Verkehrs zu behandeln selbst oder durch VPN Verkehr durch die Vorrichtung zu überschreiten und des NAT folglich umherzugehen. Dieses ist notwendig, da Sie einige Häfen in allen NAT-Vorrichtungen öffnen müssen, um VPN bis einen NAT zu öffnen. Am Ende des Tunnels, benimmt der Klient, da es ein Teil des Teilnetzes sein, wo das VPN Tunnelende.  
Wenn Cisco/Netgear VPN behandelt, dann ist der Klient innerhalb des Netzes 192.168.21.x oder 192.168.22.x. Von diesem Punkt müssen alle notwendigen Häfen (sein muss Zuhörer), auf den anderen Vorrichtungen geöffnet sein.
Ich bin nicht, wie Linksys VPN Verkehr behandelt, wegen der Tatsache ganz sicher, dass dieses traffice nicht die balancierte Last sein kann. So, wenn Klienten über Cisco anschließen, muss die linksys allen Verkehr zurück zu dem Cisco zurückschicken, während das netgear nichts über den VPN Tunnel weiß.
Von meiner Perspektive sollte VPN Tunnel am ISA beenden, da es keine Notwendigkeit an den zusätzlichen Häfen gibt, zu den Aufschlagservices für den Klienten geöffnet zu sein.

2.) Ihr zweiter Pfosten sagt nur, das dort ist nicht Rückgespräch von der Vorrichtung. Wenn ein Klient über VPN anschließt, gibt es einen Händedruck, in dem der Bediener und der Klient heraus die Anschlussdetails behandelt (d.h. die Authentisierung). So entweder die Authentisierung ausfällt aus jedem möglichem Grund em, oder die Pakete verloren, während der loas Stabilisator ihn über den anderen Fräser zurückschicken kann.
Wenn Sie PPTP Durchlauf durch auf dem Linksys ermöglichen, haben Sie auch sicherzustellen, das es durch das Cisco oder netgear führt. Wenn Durchlauf durch ermöglicht, gibt es normalerweise keine zusätzliche Notwendigkeit an den zusätzlichen Richtlinien (kann von routewr zu Fräser schwanken, aber dieses ist die Richtung des Durchlaufs durch Einstellung).
Wenn ISA der Endpunkt ist, müssen Sie ISA zusammenbauen, um VPN Verkehr zu erlauben. Sie können dieses mit einem Laptop prüfen, anschließen zuerst an die externe Schnittstelle von ISA, dann an LinkSys und dann bis eine der dritten Vorrichtungen n. Auf diese Weise, das Sie herausfinden, wenn ISA richtig zusammengebaut und dem Vorrichtungen Probleme mit dem VPN Tunnel hat.

Einige Fräser haben auch eine DMZ Einstellung, die bedeutet, etwas wie schicken alles zu dieser Vorrichtung (IP) und ignorieren alle NAT-Richtlinien. Während jede Vorrichtung Beschränkungen haben kann, müssen Sie geöffnete Häfen auf allen Vorrichtungen zwischen Internet und Ihrem internen Netz. Aber, da ein Hafen entweder geschlossen oder öffnet, ist sie mehr nah nicht wegen zwei Brandmauern hinter einander.  

3.) Was bedeuten Sie mit Verkehrsverlust von ISA/vom Linksys Teilnetze? Der Weg eines Pakets definiert durch den Rückstellungszugang. Aber hat auch, ein Weg zu sein zurück. Wenn Sie ein Paket von Ihrem internen Netz senden und es zurückkommt, gibt es nicht Grund, warum sollte nicht von der anderen Seite zurückkommen ist. ISA hat als Rückstellungszugang das Linksys, muss die linksys es selbst (als Lastsstabilisator) behandeln und das Cisco/netgear erhalten ihrem Zugang frokm Ihre ISPs. Der rückseitige Weg ist entweder NAT oder die DMZ Einstellung oder irgendeine Art Versendenrichtlinie. Cisco/Netgear nachschickt Linksys ear und Linksys nachschickt zu ISA ckt.

4.) DMZ sollte zwischen Linksys und ISA sein, aber auf diese Art, arbeitet ISA normalerweise im NAT-Modus.

5.) Ich weglassen die Cisco-und Netgear Vorrichtung aus Bereich heraus nd. Sie haben das Linksys als External FW und der ISA, wie intern (wenn erforderlich). So wenn möglich, erklären ich gerade Cisco und netgear, alles nachzuschicken Linksys und ließ Linksys Filter der Verkehr. Verringert gerade Konfigurationsprobleme und vermeidet zusätzlich Durcheinander über die Einstellungen auf diesen Vorrichtungen.

Zusammenfassung:
Cisco: Rückstellungs-Zugang von ISP, DMZ Einstellpunkt zu Linksys --> Vorwärts alle zu Linksys ohne Filter
NetGear: das selbe wie Cisco
Grundlegende Filter zugelassen, aber Prüfungszwecke, Sperrung alles zuerst t, dann können Sie alles ermöglichen Schritt für Schritt.
Grundlegender filtern(DOS-Angriff, DNS-Angriff) Unterhalt dieses weg von den anderen Vorrichtungen.

Linksys: Fräser oder NAT, dependend, was das Lastsbalancieren verwirklichte --> VPN Durchgang
Wenn NAT, Sie externe Häfen öffnen müssen, damit Ihre Dienstleistungen routet zu ISA, aber normalerweise zu nicht VPN sind, da es Durchlauf durch ist.
Andernfalls müssen Sie Linksys erklären, alles zu ISA nachzuschicken
Rückstellungs-Zugang behandelt durch den Lastsstabilisator.

ISA: Fräser oder NAT (d.h. für DMZ), VPN Endpunkt
Rückstellungszugang ist Linksys (auf External NIC, intern ist leer)
Wenn NAT, alle Häfen öffnen (Verlags- Richtlinie mit einem Zuhörer) die für Services vom External zu internem erforderlich sind
Bei der Verlegung, Zugangsrichtlinien von externbal zu internem definieren.  
Verkehr von internem zum External ist ständig eine Zugangsrichtlinie. Dennoch gewährt die Richtlinie nur, was als Protokoll definiert.
ISA blockiert alle nicht definierten Protokolle im Allgemeinen.

VPN benötigen zusätzliche Richtlinien nicht in ISA, da sie gesetzte Zugangsrichtlinie (2004/2006) sind oder während System (TMG) über die VPN Konfiguration anordnet.
Es gibt Richtlinie a-(simpel Zugang), die VPN Klienten zu internem/zu LocalHost angibt (nicht zurück zu Internet!!)
Die Rückstellungsnetzrelation für VPN ist Weg (da der Endpunkt intern ist)
Die abgehende Rückstellungsnetzrelation ist NAT, aber VPN Klienten sind nicht enthalten (!!).
 
Weitere Lösungen  
 
programming4us programming4us