Cuestión : AIA 2004 con el balanceador PÁLIDO dual de la carga

Estoy intentando fijar un balanceador PÁLIDO DUAL de la carga para nuestro AIA 2004 server.

These soy el IP's

Load de/>ISA = de 192.168.20.2 = el
Cisco 857 de 192.168.20.1 (Linksys RV082) =
Load de/>netgear = de 192.168.22.1 en el subnet de Cisco = el balanceador del
load de 192.168.21.200 en subnet netgear = el

I de 192.168.22.100 hago actual que fije de modo que el servidor del AIA pueda hojear el Internet, si voy al rel= " nofollow " del " _blank " del target= de " http://www.whatismyip.com " del href= del www.whatismyip.com y recargo la página varias veces utilizará los IP de Cisco 857 y los netgear.

I han permitido el RASGÓN en ambos el balanceador de la carga y el balanceador de la carga de Cisco router.
The toma una dirección del DHCP de ambos módems cuando se fija a DHCP.

From el ranurador de Cisco que puedo silbar como una bala 192.168.21.200 y el
I del IP address de 192.168.20.1. ha fijado el envío de reglas en el balanceador de la carga para remitir todo el tráfico del puerto 80 al servidor del AIA. ¿Tan si intento tener acceso a nuestro webmail externo, puedo ver el tráfico que es pasado del ranurador de Cisco, al balanceador de la carga, que entonces no dice cualquier cosa sobre la expedición encendido y no golpea el AIA server.

If que cambio el ranurador de Cisco para remitir a 80 tráfico a 192.168.20.2 en vez de 192.168.21.200 o de 192.168.20.1, yo puedo ver en los registros del balanceador de la carga y dice que se está pasando al servidor del AIA, pero nada golpea el AIA server.

Where es yo que sale mal? ¿el
Is usar RASGÓN mejora que mecanografiando en un IP estático? el

I no utiliza los ranuradores de Cisco mucho, así que he estado utilizando el SDM en vez de intentar en los comandos myself. class= del

Respuesta : AIA 2004 con el balanceador PÁLIDO dual de la carga

1.) VPN es un túnel, que termina detrás de uno de los dispositivos. Depende tan donde su túnel termina. Algunos ranuradores tienen un ajuste para manejar tráfico de VPN ellos mismos o a pasar con tráfico de VPN a través del dispositivo y por lo tanto para circundar el NAT. Esto es necesario pues usted tendría que abrir varios puertos en todos los dispositivos del NAT para abrir VPN con un NAT. En el extremo del túnel, el cliente se comporta pues sería parte del subnet, donde el extremo del túnel de VPN.
Si Cisco/Netgear dirige VPN, después el cliente está dentro de la red 192.168.21.x o 192.168.22.x. De este punto, todos los puertos necesarios tienen que ser abiertos (debe ser el oyente) en los otros dispositivos.
No estoy absolutamente seguro, cómo Linksys maneja tráfico de VPN, debido al hecho, que este traffice no puede ser carga balanceada. Tan si los clientes conectan vía Cisco, los linksys tienen que devolver todo el tráfico de nuevo al Cisco pues el netgear no sabe cualquier cosa sobre el túnel de VPN.
De mi perspectiva, el túnel de VPN debe terminar en el AIA, pues no hay necesidad de puertos adicionales de ser abierto a los servicios del servicio para el cliente.

2.) Su segundo poste dice solamente, eso allí no es regeneración del dispositivo. Si un cliente conecta vía VPN, hay un apretón de manos, donde el servidor y el cliente maneja hacia fuera los detalles de la conexión (es decir la autentificación). O la autentificación falla tan por cualquier razón, o se pierden los paquetes mientras que el balanceador de los loas puede devolverla vía el otro ranurador.
Si usted permite el paso de PPTP a través en el Linksys, usted tiene también cerciorarse de, a que pasa a través del Cisco o netgear. Si el paso se permite a través, no hay generalmente necesidad adicional de reglas adicionales (puede variar de routewr al ranurador, pero éste es el sentido del paso a través del ajuste).
Si el AIA es la punto final, usted necesita configurar el AIA para permitir tráfico de VPN. Usted puede probar esto con un ordenador portátil, primero conecta con el interfaz externo del AIA, entonces con LinkSys y entonces con uno de los terceros dispositivos. Esta manera que usted descubre, si el AIA se configura correctamente y que los dispositivos tienen problemas con el túnel de VPN.

Algunos ranuradores también tienen un ajuste de DMZ, que significa que de algo como enviar todo a este dispositivo (IP) y que no hacer caso todas las reglas del NAT. Mientras que cada dispositivo puede tener restricciones, usted tiene que los puertos abiertos en todos los dispositivos entre el Internet y su red interna. Pero como un puerto se cierra o se abre, no será más cerca debido a dos cortafuegos detrás de uno a.

3.) ¿Qué usted significa con pérdida del tráfico del AIA/del subnet de Linksys? La ruta de un paquete es definida por la entrada de defecto. Pero tiene también ser una ruta detrás. Si usted envía un paquete de su red interna y se vuelve, no hay razón por la que es no debe volverse del otro lado. El AIA tiene como entrada de defecto el Linksys, los linksys tienen que dirigirlo sí mismo (como balanceador de la carga) y el Cisco/netgear consigue a su frokm de la entrada sus ISP. La ruta trasera es NAT o el ajuste de DMZ o cualquier clase de regla de la expedición. Cisco/Netgear remite a Linksys y Linksys remite al AIA.

4.) DMZ debe estar entre Linksys y el AIA, pero de esa manera, el AIA trabaja generalmente en modo del NAT.

5.) Dejaría el dispositivo de Cisco y de Netgear fuera de alcance. Usted tiene el Linksys como external FW y el AIA como interno (si es necesario). Tan si es posible, diría Cisco y netgear remitir todo a Linksys y acabo de dejo el filtro de Linksys el tráfico. Apenas reduce problemas de la configuración y evita además la confusión sobre los ajustes en estos dispositivos.

Resumen:
Cisco: Entrada de defecto de ISP, punto de ajuste de DMZ a Linksys --> delantero todos a Linksys sin los filtros
NetGear: igual que Cisco
Los filtros básicos se permiten, pero para los propósitos de prueba, neutralización todo primero, después usted puede permitir todo gradualmente.
(Ataque del DOS, ataque del DNS) subsistencia de filtración básica esto lejos de los otros dispositivos.

Linksys: Ranurador o NAT, dependend qué realizó el equilibrio de carga --> paso de VPN
Si el NAT, usted tiene que abrir los puertos externos para que sus servicios sean routet al AIA, pero generalmente no a VPN pues es paso a través.
Si no usted tiene que decir Linksys remitir todo al AIA
La entrada de defecto es manejada por el balanceador de la carga.

AIA: Ranurador o NAT (es decir para DMZ), punto final de VPN
La entrada de defecto es Linksys (en el NIC del external, interno es vacío)
Si el NAT, abre todos los puertos (regla de publicación con un oyente) que sean necesarios para los servicios del external a interno
Si encamina, definir las reglas del acceso de externbal a interno.
El tráfico de interno al external es todo el tiempo una regla del acceso. Sin embargo la regla permite solamente, qué se define como protocolo.
El AIA bloquea todos los protocolos no definidos en general.

VPN no necesitan reglas adicionales en el AIA pues son la regla determinada del acceso (2004/2006) o mientras que el sistema gobierna (TMG) vía la configuración de VPN.
Hay la regla de a (acceso del simpel) que indica a clientes de VPN a interno/a LocalHost (no de nuevo a Internet!!)
La relación de la red del defecto para VPN es ruta (pues la punto final es interna)
La relación de la red del defecto saliente es NAT, pero los clientes de VPN no son incluidos (!!).

Otras soluciones

Cómo fijar un número de líneas en un informe

Cómo fijar extremo del aeropuerto como servidor del DHCP en el LAN con SonicWall

Ediciones del enlace hipertexto

Agregar la fecha a MySQL

Pares de las preguntas de Apple

El DNS reverso no empareja la bandera del smtp

¿Cómo puedo funcionar conmigo PC en modo seguro?

HISTOGRAMA CON EL CP Y EL ANÁLISIS DE CPK

reglas no corrientes de la perspectiva

volver un valor