No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
 All Forums
 ISA Server - Infrastrutture
 Generale - Infrastrutture Sicure
 cambio struttura rete con TMG

Note: You must be registered in order to post a reply.
To register, click here. Registration is FREE!

Screensize:
UserName:
Password:
Format Mode:
Format: BoldItalicizedUnderlineStrikethrough Align LeftCenteredAlign Right Horizontal Rule Insert HyperlinkInsert EmailInsert Image Insert CodeInsert QuoteInsert List
   
Message:

* HTML is OFF
* Forum Code is ON
Smilies
Smile [:)] Big Smile [:D] Cool [8D] Blush [:I]
Tongue [:P] Evil [):] Wink [;)] Clown [:o)]
Black Eye [B)] Eight Ball [8] Frown [:(] Shy [8)]
Shocked [:0] Angry [:(!] Dead [xx(] Sleepy [|)]
Kisses [:X] Approve [^] Disapprove [V] Question [?]

 
   

T O P I C    R E V I E W
paolinjo Posted - 16/05/2011 : 11:51:10
Ciao Giulio
eccoci
considerando il nuovo scenario di rete che dovrò fare con TMG per avere 3 subnet, gestite da un cisco 2821, che dovranno accedere a TMG per poter navigare e non dovranno usare TMG per il loro networking interno.


nello schema il 2821 farà SOLO routing (senza NAT) ed il TMG rimarrebbe la nostra porta di uscita.

La mia domanda è:
in questo scenario i TMG client riescono sempre a connettersi al TMG ?
funzionerà tutto in WebProxy, Secure Nat e firewall client ?
grazie
7   L A T E S T    R E P L I E S    (Newest First)
IsaCab Posted - 17/05/2011 : 13:37:16
Ciao,

quote:
comunque i tre segmenti di rete sono separati fisicamente e sono diverse le porte fisiche a cui il router è connesso.
la motiviazione che mi ha portato a tale schema è stato proprio segmentare i domini di broadcast che attualmente con una /22 lo reputo eccessivamente esteso


Se la motivazione è solo questa allora va bene. Ma se vuoi anche realizzare altro (vedi post precedente : worm, server,.....) io personalmente lo cambierei un pochino...

quote:
Grazie per i suggerimenti

Grazie a te, è sempre bello questo tipo di confronto.

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
paolinjo Posted - 17/05/2011 : 13:19:25
si Giulio
comunque i tre segmenti di rete sono separati fisicamente e sono diverse le porte fisiche a cui il router è connesso.
la motiviazione che mi ha portato a tale schema è stato proprio segmentare i domini di broadcast che attualmente con una /22 lo reputo eccessivamente esteso

Grazie per i suggerimenti
Buona giornata
IsaCab Posted - 17/05/2011 : 10:14:54
Ciao,

quote:
in caso di failure del 2821, almeno la subnet più cospicua non avrebbe problemi.

Questo è vero solo se a subnet cospicua ha accesso diretto ad ISA. Ecco il perchè del mio suggerimento.

quote:
La mia scelta di separare fisicamente i tre segmenti di rete con il TMG è quello di minimizzare gli effetti di un worm o un computer che potrebbe, per cause "virali", congestionare la rete.


mmmm .... ho qualche dubbio ... cerco di spiegarlo :

Il 2821 fa da centro stella tra le diverse reti. Le diverse subnet sono connected per il 2821 e quindi conosciute e quindi ruotabili. In sostanza ogni subnet puo pingare e quindi vedere ogni altra. Semplificando e come se fossero una sola rete. L'unico vantaggio che potresti avere (dico potresti perchè dovrebbero essere separate fisicamente o via VLAN) e di separare i domini di broadcast.

Stesso discorso per il segmento che va dal 2821 alla internal di ISA.

Questo significa che un problema di worm/virus/etc lo propaghi cmq su tutte le network presenti. Diverso sarebbe se il 2821 avesse tra fasteth diverse e fosse dotato di future di sicurezza e tu lo programmassi per filtrare il traffico da e verso le varie subnet.
(sempre che siano separate fisicamente o VLAN).

Ma anche in questo caso il segmento tra ISA e il 2821 se congestionato ti blocca la connettività ad internet.

quote:
Su una delle tre subnet dovranno esserci dei server vitali che dovranno essere anche raggiunti dall'esterno


Bene, in questo caso sfrutta ISA e fai una bella DMZ (o meglio screened Zone) e ci metti i server. IN questo modo anche in caso di problemi lato LAN i tuoi server sarebbero raggiungibili dall'esterno. Se poi fai un cluster di ISA sei ancora più garantito.

quote:
per aumentare l'affidabilità potrei mettere (anzichè del 2821 + costoso) un 2600 equipaggiato con lo stesso numero di schede di rete del 2821 in HSRP


Si puoi mettere dei router qualsiasi, anche un bel 1941. Minimo duein HSRP. (ricorda che l'hsrp è una future a pagamento e dipende dal tipo di IOS a bordo dei router)

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
paolinjo Posted - 16/05/2011 : 14:54:13
Ciao Giulio
certo, ottima considerazione per il point of failure.
Per quanto riguarda TMG abbiamo in piano di installare la versione enterprise per un nodo cluster.
e' vero che il 2821 sarebbe poi l'anello della catena più debole.
in questo caso, in caso di failure del 2821, almeno la subnet più cospicua non avrebbe problemi.

La mia scelta di separare fisicamente i tre segmenti di rete con il TMG è quello di minimizzare gli effetti di un worm o un computer che potrebbe, per cause "virali", congestionare la rete.

Su una delle tre subnet dovranno esserci dei server vitali che dovranno essere anche raggiunti dall'esterno e se il segmento di rete su cui TMG è connesso (che sarebbe anche quello più popolato) dovesse congestionarsi verrebbro meno anche i servizi esterni pubblicati.

con il TMG su segmento diverso io confino eventuali congestioni al solo segmento di rete lasciando intatti i servizi disponibili sugli altri segmenti.

per aumentare l'affidabilità potrei mettere (anzichè del 2821 + costoso) un 2600 equipaggiato con lo stesso numero di schede di rete del 2821 in HSRP.

che ne dici ?
IsaCab Posted - 16/05/2011 : 13:13:57
Ciao,

ok, in questo caso facendo solo routing non hai nessun problema. Io però ridurrei il punto di rottura del 2821 il più possibile, ma nn so se è applicabile al tuo scenario.

Mi spiego :

Se hai un ID network master (diciamo quello che in LAN è più usato per l'utilizzo di internet) sposterei ISA sulla quella classe.

In questo modo hai una LAN che comunica in maniera diretta cn ISA (che puo' anche essere un cluster).

Dopo di che usi uno dei tuoi router cisco come default gateway per agganciare le altre network ID (che non devono necessariamente essere in LAN) e lo istruisci con una default route verso ISA. Tutti i PC/SERVER e apparati attivi in LAN avranno come defualt gateway il router Cisco.

Per poi sopperire alla possibile rottura del router, puoi metterne un minimo di due in HSRP.

.... giusto un paio di spunti di riflessione e discussione.

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
paolinjo Posted - 16/05/2011 : 13:00:20
Dovrà fare solo Routing.
la mia idea è aggiungere alla LAN del TMG (che avrà come IP della LAN l'indirizzo 10.10.2.1) le subnet 172.16.0.0/22, 172.16.0.4/24 e 172.16.0.5/24 come range di IP associati alla LAN.
in questo modo TMG dovrebbe regolarmente far transitare verso Internet gli IP delle tre subnet e dovrebbe anche pubblicare regolarmente le porte dal lato IP pubblico verso i server delle tre subnet interne specificando nella regola di pubblicazione l'IP del server con l'indirizzo suo reale (ovvero quello della subnet di appartenenza).
IsaCab Posted - 16/05/2011 : 12:24:31
Ciao,

chiarisci bene la funzione del 2821 , perchè a seconda se fa NAT o solo routing possono cambiare le cose.

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post

ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association