Поддержка VLAN (802.1Q) в ISA Server
На множестве форумов, повященных ISA Server, неоднократно всплывал вопрос “Поддерживается ли технология VLAN в ISA Server?”
Совсем недавно лично мне пришлось услышать бросающее в дрожь утверждение: “Мы не можем заменить наш шлюз (мегазащищённый фортифицированный пограничный бастион) ИСОЙ (ISA Server), просто потому что эта самая ИСА (ISA Server) не поддерживает виланы (VLAN)” (орфография автора была сохранена с моими комментариями в скобках). К слову сказать, “шлюз” представлял собой старую железку под управлением linux-подобной ОС с настроенным базовым функционалом маршрутизатора. По мнению автора этой убойной фразы упомянутый “шлюз“ выгодно отличался от ISA Server поддержкой VLAN. Именно это наивное заблуждение сподвигло меня к написанию данной заметки.
Внимание, вопрос
Некий $t3p4N из города Самара интересуется: “Поддерживается ли VLAN в ISA Server?”
Мы с вами, уважаемые знатоки, сохраним целую минуту обсуждения и ответим сразу – и нет, и ДА! Далее мы постараемся объяснить господину ведущему столь противоречивый ответ.
НЕТ :(
Дело в том, что Virtual Local Area Network Tagging (IEEE 802.1Q), или просто VLAN, представляет собой механизм управления сетями, функционирующий на втором уровне сетевой модели OSI (OSI Layer 2: Data Link Layer). В то время как ISA Server является network-based брандмауэром, работающим начиная с третьего уровня сетевой модели OSI (OSI Layer 3: Network Layer). Более того, ISA Server поддерживает только сетевой трафик IPv4. А дальше всё очевидно до неприличия. Так как ISA Server работает на третьем уровне, а VLAN является механизмом нижнего уровня, ISA Server понятия не имеет о существовании VLAN. Таким образом вопрос “Поддерживает ISA Server VLAN?” в той же мере адекватен, что и вопрос “Поддерживает ли ваш маршрутизатор аутентификацию пользовательского трафика?”. Ответ “нет” мы разобрали. Теперь перейдем, пожалуй, к самой волнующей части.
ДА :)
На стороне сетевых узлов за реализацию технологии VLAN отвечают сетевые адаптеры (NIC). Соответственно, для работы VLAN, спецификацию 802.1Q должны поддерживать как сетевые устройства, так и сетевые адаптеры узлов. Помимо поддержки VLAN на уровне сетевого адаптера необходима реализация управления трафиком VLAN на уровне ОС. За это отвечает специальное ПО и драйвер сетевой карты, поддерживаемой технологию VLAN. В итоге для корректной работы VLAN вам необходимо установить на брандмауэр ISA Server сетевые адаптеры, поддерживающие данную технологию, а также драйверы, поддерживающие серверную ОС.
Скажу сразу, для корректной работы с LAN вам потребуются специальные серверные сетевые адаптеры. Чтобы убедиться в том, что конкретная модель сетевой карты поддерживает механизм VLAN обратитесь к сайту производителя. Помимо этого необходимо убедиться в том, что производитель сетевого адаптера предоставляет соответствующие драйверы и ПО именно для вашей серверной ОС. В идеале, выбранная вами модель сетевого адаптера должна присутствовать в каталоге сертифицированного оборудования Windows Server Catalog.
После того, как вы определитесь с сетевыми адаптерами, драйверами и настроите управляющее ПО, ISA Server увидит все VLAN как отдельные сети, невзирая на логическое разделение этих сетей (напомню, что ISA Server просто не знает логическая это сеть или физическая). Так как в терминах ISA Server каждая VLAN представляет собой совершенно автономную сеть, каждой из этих сетей должно быть назначено уникальное адресное пространство.
Таким образом с помощью создания VLAN вы можете подключить ISA Server практически к любому количеству сетей, существенно превышающему количество физических слотов расширения брандмауэра ISA Server.
Ещё одним не особенно приятным фактом являются отношения технологии VLAN с технологией NLB. Вы не сможете использовать технологию NLB для балансировки сетевой нагрузки и отказоустойчивости брандмауэров ISA Server вместе с VLAN. Если быть совсем точным, то NLB не будет работать на сетевом интерфейсе, подключенном к VLAN. Сразу отмечу, что данное ограничение относиться не к ISA Server, а к механизмам работы и архитектуре технологии NLB.
А теперь внимание, правильный ответ %)
Итак, из-за архитектуры VLAN данная технология просто не может поддерживаться на уровне ISA Server. Но ISA Server поддерживает работу с VLAN, в то время как поддержкой механизма виртуальных сетей VLAN будет заниматься сетевое оборудование, специализированное ПО и серверная ОС.
А кто станет обладателем Хрустальной Совы, мы узнаем в одной из следующих телепередач =)
Related Posts
- Практический пример миграции на ISA Server 2006 в виртуальной среде под управлением Windows Server 2008 Hyper-V
- Определение версии Microsoft ISA Server и информации об установленном Service Pack
- Настройка сетевых интерфейсов Microsoft ISA Server
- Виртуализация ISA Server/Forefront TMG и работа сетевой подсистемы
- Найдена уязвимость в Microsoft ISA Server и Forefront TMG
Отличный пост! Достаточно позновательный.
Отличный пост
Добавлю, что для реализации VLAN использовал 530Т от D-Link (не реклама)
@Анар
Ваш случай, Анар, является более чем наглядным примером того, как организовать поддержку VLAN в ISA Server с помощью сетевого адаптера стоимостью в 23$ =)
Молодец Артем, что “разжёвываешь” подобные вопросы, хотя ответы и лежат на поверхности и все элементарно, но видимо народу трудно вникнуть в суть обсуждаемого продукта и точно его спозиционировать в своей сетевой инфраструктуре.
Кстати, заходя на твой блог меня настойчиво просили тебе передать, что “Вышел WordPress 2.8.1″ :)
вообще-то то, я мог бы поделиться опытом, что можно сделать совместно с VLAN, Hyper-V и ISA Server – но это трудно описуемое на пальцах “чудо тенической мысли” :)
Артем, у меня есть предложение … надо открыть цикл статей под рубрикой “ЧТО МНЕ НЕ НРАВИТСЯ В MS ISA SERVER”.
Это, признаюсь, корыстное с моей стороны предложение. На подобную мысль меня натолкнул данный пост … если кто-то до сих пор не знал “как готовить и есть” VLAN c ISA, может и я не знаю некоторых очевидных вещей.
Я работаю с продуктом начиная с MS PROXY 2.0, жду TMG (кстати, когда релиз???), но как плевался, так и продолжаю плеваться вплоть до 2006 версии на некоторых “оббитых углах” этого сильно возмужавшего за годы продукта.
Не скрываю, что часть проблемы в том, что я админю по технологии “поставил и забыл”, т.к. это не основная моя работа. И бывали ситуации, когда думаешь “у кого бы спросить: это оно такое … или я дурак?” :) Теперь жизнь должна измениться, т.к. есть знакомый MVP по сабжу, в общей Самарской MCP тусовке … т.ч. я тебя поздравляю :)
Отличная статья! Как всегда, разложил по косточкам. :)
P.S. Исправь, плиз, “настроете”.
@Modicus Спасибо за замечание, исправил :)
@ssa
Буду весьма благодарен, если поделитесь своим опытом создания VLAN в Hyper-V в контексте развертывания ISA Server в различных сценариях. А насчет трудности описания, вроде как “кто ясно мыслит – тот ясно излагает” =) Или я что-то путаю?
@ssa Спасибо за поздравления.
Начало цикла статей “ЧТО МНЕ НЕ НРАВИТСЯ В MS ISA SERVER” необходимо положить именно Вам, как инициатору. Можете привести в качестве примера несколько этих самых “оббитых углов”? А я, в свою очередь, обязуюсь их осветить на страницах {Бинарного} Форпоста.
PS. Едиственная официальная дата окончательного выхода Forefront TMG – Q4Y2009. Более точной информацией я в данный момент не располагаю. Лично меня радует то, что TMG выйдет уже в этом году.
По поводу VLAN и ISA. Пытался с помощью VLAN сделать DMZ. Из одного внешнего физического интерфейса получил два виртуальных и все заработало. Но к сожалению на внешний интерфейс приходит IPSEC туннель (VPN). Как итог – почему то туннель стал пытаться строиться с обоих интерфейсов и не заработал.
Очень странно. Я лично подобных проблем в своей практике не встречал. Вы можете привести более подробную информацию о вашей сетевой конфигурации ISA Server? Возможно, тогда мы сможем разобраться с Вашей проблемой.
>“ЧТО МНЕ НЕ НРАВИТСЯ В MS ISA SERVER” необходимо положить именно Вам, как инициатору. Можете привести в качестве примера несколько этих самых “оббитых углов”?
Я могу :)
Прокси можно выключить только глобально.
ПРИМЕР: Есть 2 внутренних интерфейса; на одном надо только прокси, на другом только NAT – не получится, или в добавление к нату на втором интерфейсе будет прозрачное проксирование или на первом прийдётся поднимать какой-либо другой прокси.
Прозрачный прокси меня конкретно уже достал :(
В ISA Server веб-прокси можно включать/выключать на уровне обхекта сети, то есть в одной внутренней сети можно включить прокси, а в другой внутренней сети не включать.
А “избавиться” от прозрачного проксирования можно очень просто – необходимо создать новое описание протокола, назвать его, к примеру, HTTPNoProxy, указать TCP-порт номер 80, и НЕ отмечать фильтр Web Proxy. Затем Вы сможете использовать этот протокол в любом правиле, трафик которого Вы хотите пустить в обход службы веб-прокси =)
Ни к чему на одном сервере использовать два различных продукта, реализующих службу веб-прокси.
> NLB не будет работать на сетевом интерфейсе, подключенном к VLAN.
Здесь имеется в виду физический сетевой адаптер?
Или это относиться так же и к логическим сетевым интерфейсам, с которыми NLB по принципиальным причинам не будет работать?
@autist
Технология NLB архитектурно не поддерживает теггированные кадры (Q-tagged frames), которые использует технология VLAN. Соответственно, если на сетевой интерфейс приходят тэггированные кадры (этот интерфейс относится к одной из VLAN), NLB на этом сетевом интерфейсе корректно работать не сможет. Не важно, физический ли сетевой интерфейс или виртуальный.