Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Создание VPN Site-to-Site в ISA 2006 (Часть 3).


Теперь мы готовы создать массивы для главного офиса и филиалов. Массив – это набор ISA-серверов, действующих как один логический сервер, и потому все они обладают одинаковой политикой брандмауэра и настройками. В массив ISA-серверов может входить от 1 до 32 серверов. Как минимум один интерфейс каждого члена массива должен находиться в одной с остальными ISA-серверами одного массива подсети. Данный интерфейс служит для соединений внутри массива. На практике это означает, что вы не можете разделить массив WAN-каналами или VPN-каналами по схеме site-to-site, поскольку все интерфейсы в удаленных офисах находятся в подсети, отличной от подсети главного офиса.

В нашем примере у нас будет два массива: массив Main главного офиса, и массив Branch филиала. Можно было создать несколько массивов в главном офисе, и каждый массив мог бы состоять из не более, чем 32 членов. На практике в филиалах обычно располагают массив из одного сервера, а в главном офисе и больших филиалах массивы могут содержать от 2 до 32 сервера.

Одним из преимуществ использования массивов с несколькими членами является возможность использования механизмов CARP и балансировки нагрузки, которые помогают увеличивать эффективную пропускную способность до значения, равному количеству серверов массива в каждом массива, умноженному на скорость канала, доступную для каждого члена массива.

Например, при обычной проверке пакетов обычный ISA-сервер может пропускать трафик со скоростью около 1.5 Гб/с. Если массив главного офиса состоит из пяти членов, то его эффективная пропускная способность массива равняется 7.5 Гб/с. Попробуйте подсчитать стоимость аппаратного брандмауэра с пропускной способностью 7.5 Гб/с и сравните ее со стоимостью пяти членов массива на обычном компьютерном аппаратном обеспечении.

Вас должна впечатлить экономия средств и возможность замены оборудования по выгодным ценам вас впечатлила, в сравнение с безумными ценами производителей аппаратных брандмауэров. А на сэкономленные средства купите себе, например, Корвет, а производители аппаратных брандмауэров пусть останутся с носом.

Но вернемся к консоли ISA-сервера. После нажатия на кнопку Finish (Завершить) на последней странице мастера установки перед вами появится консоль управления ISA-сервера и безопасная Web-страница. Для добавления сервера хранения настроек в станции удаленного управления организацией политики организации выполните следующее:

  1. Прочтите web-страницу Protect the ISA Server Computer (Защита компьютера ISA-сервера) и закройте ее.
  2. В консоли ISA-сервера раскройте узел Enterprise (Организация), а затем узел Enterprise Policies (Политики организации). Щелкните по узлу Default Policy (Политика по умолчанию).
1
Щелкните по вкладке Toolbox (Инструменты) в панели задач. Щелкните по заголовку Network Objects (Сетевые объекты). Нажмите на папку Computer Sets (Наборы компьютеров) и дважды щелкните по пункту Enterprise Remote Management (Удаленное управление организацией).
20
В диалоговом окне Enterprise Remote Management Computers Properties (Свойства удаленного управления компьютерами организации) нажмите Add (Добавить) и выберите пункт Computer (Компьютер).
21
В диалоговом окне New Computer Rule Element (Новый элемент правила – компьютер) введите имя компьютера сервера хранения настроек, которое также будет и именем станции удаленного управления организацией. Мы назовем наш компьютер CSS и введем это имя в поле Name (Имя). В поле Computer IP Address (IP-адрес компьютера) введите IP-адрес сервера хранения настроек. В нашем примере это 10.0.0.3. Введите описание компьютера в поле Description (optional) (Описание (необязательно)). В диалоговом окне New Computer Rule Element (Новый элемент правила – компьютер) нажмите OK.
22
  1. В диалоговом окне Enterprise Remote Management Computers Properties (Свойства удаленного управления компьютерами организации) нажмите OK.
  2. Для сохранения изменений и обновления политики нажмите Apply (Применить). В диалоговом окне Apply New Configuration (Применение новых настроек) нажмите OK.

Теперь нам нужно создать массивы. Их будет два: массив главного офиса и массив филиала. Оба массива будут в одной организации ISA-сервера, и будут управляться с помощью централизованных политик организации. Для создания массива Main выполните следующее:

В левой части консоли ISA-сервера щелкните правой кнопкой по узлу Arrays (Массивы). Выберите пункт New Array (Новый массив).
23
В диалоговом окне Welcome to the New Array Wizard (Начало работы мастера создания нового массива) введите имя массива в текстовое поле Array name (Имя массива). В нашем примере это Main. Нажмите Next (Далее).
24
В текстовое поле Array DNS Name (DNS-имя массива) введите имя FQDN, определяющее массив. Это полезно при использовании для балансировки нагрузки NLB или CARP на стороне клиента. В нашем примере мы будем использовать имя main.msfirewall.org, которое разрешается в IP-адрес внутреннего интерфейса ISA-сервера главного офиса. Если бы мы использовали NLB, это имя разрешалось бы во внутренний VIP-адрес, а если бы мы использовали CARP, мы должны были бы создать несколько записей типа A для этого имени и использовать DNS-карусель для распределения начальных соединений для получения информации таблицы массива. Нажмите Next (Далее).
25
На странице Assign Enterprise Policy (Назначение политики организации) выберите параметр по умолчанию — Default Policy (Политика по умолчанию). Ниже мы увидим, как использовать политики организации, которые применяются ко всем массивам, управляемым в одной организации ISA-сервера. Нажмите Next (Далее).
26
На странице Array Policy Rule Types (Типы правил политики массива) вы можете проконтролировать типы правил, настраиваемые администраторами массива. Оставьте опции “Deny” Access Rules (Правила доступа «Отклонить»), “Allow” Access Rules (Правила доступа «Разрешить») и Publishing rules (Deny and Allow) (Правила публикации (Отклонить и Разрешить) включенными и нажмите Next (Далее).
27
На странице Completing the New Array Wizard (Завершение работы мастера создания нового массива) нажмите Finish (Завершить).
28
Во время создания массива вы увидите индикатор процесса.
29
После появления окна The new array was successfully created (Новый массива был успешно создан) нажмите OK.
30
Для сохранения изменений и обновления политики нажмите Apply (Применить). В диалоговом окне Apply New Configuration (Применение новых настроек) нажмите OK.
Продолжение следует. Всем удачи!

24.09.2009 - Posted by | ms isa 2006

Sorry, the comment form is closed at this time.

%d такие блоггеры, как: