No banner in farm
iscriviti alla newsletter

ISAserver.it - No. 1 Unofficial European web site on Microsoft ISA Server 2006 2004 2000

Home di ISAserver.it
Google
 
Articoli
Autori di ISAserver.it
Forum Tecnico Iscriviti al feed RSS del forum di ISAserver.it
Blog di Luca Conte Iscriviti al feed RSS del blog di ISAserver.it
Software per ISA Server
Soluzioni Hardware per ISA Server
Eventi Tecnici e Formazione
Libreria di ISAserver.it
Contatti
Consigliati da ISAserver.it

No banner in farm
WORKBOOK

No banner in farm
Quale prodotto utilizzi

Quale prodotto utilizzi

VMexperts.org
Community tecnica italiana sulla Virtualizzazione
VOIPexperts.it
Community tecnica italiana sul VOIP
 
 
ISAserver.it Forum
ISAserver.it Forum
Home | Profile | Register | Active Topics | Members | Search | FAQ
Username:
Password:
Save Password
Forgot your Password?

 All Forums
 ISA Server - Infrastrutture
 Generale - Infrastrutture Sicure
 cambio struttura rete con TMG
 New Topic  Reply to Topic
 Printer Friendly
Author Previous Topic Topic Next Topic  

paolinjo
Junior Member

131 Posts

Posted - 16/05/2011 :  11:51:10  Show Profile  Reply with Quote
Ciao Giulio
eccoci
considerando il nuovo scenario di rete che dovrò fare con TMG per avere 3 subnet, gestite da un cisco 2821, che dovranno accedere a TMG per poter navigare e non dovranno usare TMG per il loro networking interno.


nello schema il 2821 farà SOLO routing (senza NAT) ed il TMG rimarrebbe la nostra porta di uscita.

La mia domanda è:
in questo scenario i TMG client riescono sempre a connettersi al TMG ?
funzionerà tutto in WebProxy, Secure Nat e firewall client ?
grazie

IsaCab
Moderator

4298 Posts

Posted - 16/05/2011 :  12:24:31  Show Profile  Reply with Quote
Ciao,

chiarisci bene la funzione del 2821 , perchè a seconda se fa NAT o solo routing possono cambiare le cose.

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 16/05/2011 :  13:00:20  Show Profile  Reply with Quote
Dovrà fare solo Routing.
la mia idea è aggiungere alla LAN del TMG (che avrà come IP della LAN l'indirizzo 10.10.2.1) le subnet 172.16.0.0/22, 172.16.0.4/24 e 172.16.0.5/24 come range di IP associati alla LAN.
in questo modo TMG dovrebbe regolarmente far transitare verso Internet gli IP delle tre subnet e dovrebbe anche pubblicare regolarmente le porte dal lato IP pubblico verso i server delle tre subnet interne specificando nella regola di pubblicazione l'IP del server con l'indirizzo suo reale (ovvero quello della subnet di appartenenza).
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 16/05/2011 :  13:13:57  Show Profile  Reply with Quote
Ciao,

ok, in questo caso facendo solo routing non hai nessun problema. Io però ridurrei il punto di rottura del 2821 il più possibile, ma nn so se è applicabile al tuo scenario.

Mi spiego :

Se hai un ID network master (diciamo quello che in LAN è più usato per l'utilizzo di internet) sposterei ISA sulla quella classe.

In questo modo hai una LAN che comunica in maniera diretta cn ISA (che puo' anche essere un cluster).

Dopo di che usi uno dei tuoi router cisco come default gateway per agganciare le altre network ID (che non devono necessariamente essere in LAN) e lo istruisci con una default route verso ISA. Tutti i PC/SERVER e apparati attivi in LAN avranno come defualt gateway il router Cisco.

Per poi sopperire alla possibile rottura del router, puoi metterne un minimo di due in HSRP.

.... giusto un paio di spunti di riflessione e discussione.

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 16/05/2011 :  14:54:13  Show Profile  Reply with Quote
Ciao Giulio
certo, ottima considerazione per il point of failure.
Per quanto riguarda TMG abbiamo in piano di installare la versione enterprise per un nodo cluster.
e' vero che il 2821 sarebbe poi l'anello della catena più debole.
in questo caso, in caso di failure del 2821, almeno la subnet più cospicua non avrebbe problemi.

La mia scelta di separare fisicamente i tre segmenti di rete con il TMG è quello di minimizzare gli effetti di un worm o un computer che potrebbe, per cause "virali", congestionare la rete.

Su una delle tre subnet dovranno esserci dei server vitali che dovranno essere anche raggiunti dall'esterno e se il segmento di rete su cui TMG è connesso (che sarebbe anche quello più popolato) dovesse congestionarsi verrebbro meno anche i servizi esterni pubblicati.

con il TMG su segmento diverso io confino eventuali congestioni al solo segmento di rete lasciando intatti i servizi disponibili sugli altri segmenti.

per aumentare l'affidabilità potrei mettere (anzichè del 2821 + costoso) un 2600 equipaggiato con lo stesso numero di schede di rete del 2821 in HSRP.

che ne dici ?
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 17/05/2011 :  10:14:54  Show Profile  Reply with Quote
Ciao,

quote:
in caso di failure del 2821, almeno la subnet più cospicua non avrebbe problemi.

Questo è vero solo se a subnet cospicua ha accesso diretto ad ISA. Ecco il perchè del mio suggerimento.

quote:
La mia scelta di separare fisicamente i tre segmenti di rete con il TMG è quello di minimizzare gli effetti di un worm o un computer che potrebbe, per cause "virali", congestionare la rete.


mmmm .... ho qualche dubbio ... cerco di spiegarlo :

Il 2821 fa da centro stella tra le diverse reti. Le diverse subnet sono connected per il 2821 e quindi conosciute e quindi ruotabili. In sostanza ogni subnet puo pingare e quindi vedere ogni altra. Semplificando e come se fossero una sola rete. L'unico vantaggio che potresti avere (dico potresti perchè dovrebbero essere separate fisicamente o via VLAN) e di separare i domini di broadcast.

Stesso discorso per il segmento che va dal 2821 alla internal di ISA.

Questo significa che un problema di worm/virus/etc lo propaghi cmq su tutte le network presenti. Diverso sarebbe se il 2821 avesse tra fasteth diverse e fosse dotato di future di sicurezza e tu lo programmassi per filtrare il traffico da e verso le varie subnet.
(sempre che siano separate fisicamente o VLAN).

Ma anche in questo caso il segmento tra ISA e il 2821 se congestionato ti blocca la connettività ad internet.

quote:
Su una delle tre subnet dovranno esserci dei server vitali che dovranno essere anche raggiunti dall'esterno


Bene, in questo caso sfrutta ISA e fai una bella DMZ (o meglio screened Zone) e ci metti i server. IN questo modo anche in caso di problemi lato LAN i tuoi server sarebbero raggiungibili dall'esterno. Se poi fai un cluster di ISA sei ancora più garantito.

quote:
per aumentare l'affidabilità potrei mettere (anzichè del 2821 + costoso) un 2600 equipaggiato con lo stesso numero di schede di rete del 2821 in HSRP


Si puoi mettere dei router qualsiasi, anche un bel 1941. Minimo duein HSRP. (ricorda che l'hsrp è una future a pagamento e dipende dal tipo di IOS a bordo dei router)

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post

Edited by - IsaCab on 17/05/2011 10:15:51
Go to Top of Page

paolinjo
Junior Member

131 Posts

Posted - 17/05/2011 :  13:19:25  Show Profile  Reply with Quote
si Giulio
comunque i tre segmenti di rete sono separati fisicamente e sono diverse le porte fisiche a cui il router è connesso.
la motiviazione che mi ha portato a tale schema è stato proprio segmentare i domini di broadcast che attualmente con una /22 lo reputo eccessivamente esteso

Grazie per i suggerimenti
Buona giornata

Edited by - paolinjo on 17/05/2011 13:22:27
Go to Top of Page

IsaCab
Moderator

4298 Posts

Posted - 17/05/2011 :  13:37:16  Show Profile  Reply with Quote
Ciao,

quote:
comunque i tre segmenti di rete sono separati fisicamente e sono diverse le porte fisiche a cui il router è connesso.
la motiviazione che mi ha portato a tale schema è stato proprio segmentare i domini di broadcast che attualmente con una /22 lo reputo eccessivamente esteso


Se la motivazione è solo questa allora va bene. Ma se vuoi anche realizzare altro (vedi post precedente : worm, server,.....) io personalmente lo cambierei un pochino...

quote:
Grazie per i suggerimenti

Grazie a te, è sempre bello questo tipo di confronto.

Ciao Giulio

________________________________________
Giulio Martino
Avaya IP Office TCLA - ICCC
Microsoft MCP [IsaServer]
Cisco SMB[AM,EN] - SBCS [AM,EN]
Technical Writer e Supporter di ISAServer.it
*************************************
Articoli - http://www.isaserver.it/articoli/
Forum - http://www.isaserver.it/forum/
Sito - http://www.voipexperts.it
*************************************
ISAServer.it ed i suoi Autori non sono responsabili per danni di qualsiasi tipo - inclusi danni per perdita o mancato guadagno, interruzione dell'attivita', perdita di informazioni commerciali o altre perdite pecuniarie - derivanti o correlati all'utilizzo o all'incapacita' di utilizzo delle informazioni e degli esempi riportati - per quanto testati e funzionanti -. Le informazioni e gli script sono "cosi' come sono", senza garanzia di nessun tipo. L'intero rischio derivante dall'uso delle informazioni e degli script di esempio e' interamente a proprio carico. L'utilizzo è consentito solo accettando le presenti condizioni. Prima di scrivere sul forum leggi come come scrivere un buon post
Go to Top of Page
  Previous Topic Topic Next Topic  
 New Topic  Reply to Topic
 Printer Friendly
Jump To:
ISAserver.it Forum © 2004-2014 Luca Conte - Tutti i diritti riservati Go To Top Of Page
Powered By: Snitz Forums 2000 Version 3.4.06


No banner in farm

ISAServer.it sostiene la campagna per la riduzione del riscaldamento globale e un uso più efficiente dell'energia da parte delle infrastrutture tecnologiche


ISAserver.it è parte del network GITCA - Global IT Community Association