Комментарии на: Поддержка VLAN (802.1Q) в ISA Server

От: Артём Синицын

Артём Синицын — Mon, 14 Dec 2009 20:54:44 +0000

@autist Технология NLB архитектурно не поддерживает теггированные кадры (Q-tagged frames), которые использует технология VLAN. Соответственно, если на сетевой интерфейс приходят тэггированные кадры (этот интерфейс относится к одной из VLAN), NLB на этом сетевом интерфейсе корректно работать не сможет. Не важно, физический ли сетевой интерфейс или виртуальный.

От: autist

autist — Wed, 02 Dec 2009 12:31:34 +0000

> NLB не будет работать на сетевом интерфейсе, подключенном к VLAN.
Здесь имеется в виду физический сетевой адаптер?
Или это относиться так же и к логическим сетевым интерфейсам, с которыми NLB по принципиальным причинам не будет работать?

От: Артём Синицын

Артём Синицын — Fri, 21 Aug 2009 13:17:39 +0000

В ISA Server веб-прокси можно включать/выключать на уровне обхекта сети, то есть в одной внутренней сети можно включить прокси, а в другой внутренней сети не включать.

А “избавиться” от прозрачного проксирования можно очень просто – необходимо создать новое описание протокола, назвать его, к примеру, HTTPNoProxy, указать TCP-порт номер 80, и НЕ отмечать фильтр Web Proxy. Затем Вы сможете использовать этот протокол в любом правиле, трафик которого Вы хотите пустить в обход службы веб-прокси =)

Ни к чему на одном сервере использовать два различных продукта, реализующих службу веб-прокси.

От: MaximillianGreat

MaximillianGreat — Wed, 12 Aug 2009 17:40:44 +0000

>“ЧТО МНЕ НЕ НРАВИТСЯ В MS ISA SERVER” необходимо положить именно Вам, как инициатору. Можете привести в качестве примера несколько этих самых “оббитых углов”?

Я могу :)
Прокси можно выключить только глобально.
ПРИМЕР: Есть 2 внутренних интерфейса; на одном надо только прокси, на другом только NAT – не получится, или в добавление к нату на втором интерфейсе будет прозрачное проксирование или на первом прийдётся поднимать какой-либо другой прокси.

Прозрачный прокси меня конкретно уже достал :(

От: Артём Синицын

Артём Синицын — Thu, 30 Jul 2009 07:09:20 +0000

Очень странно. Я лично подобных проблем в своей практике не встречал. Вы можете привести более подробную информацию о вашей сетевой конфигурации ISA Server? Возможно, тогда мы сможем разобраться с Вашей проблемой.

От: Поддержка VLAN (802.1Q) в ISA Server « vMind.ru

Поддержка VLAN (802.1Q) в ISA Server « vMind.ru — Sun, 26 Jul 2009 18:24:32 +0000

[...] разные VLAN и раскидать их по сетям. Тогда эта статья была еще не написана. MS ISA Server 2006 устанавливается [...]

От: Student

Student — Thu, 23 Jul 2009 06:38:53 +0000

По поводу VLAN и ISA. Пытался с помощью VLAN сделать DMZ. Из одного внешнего физического интерфейса получил два виртуальных и все заработало. Но к сожалению на внешний интерфейс приходит IPSEC туннель (VPN). Как итог – почему то туннель стал пытаться строиться с обоих интерфейсов и не заработал.

От: Артём Синицын

Артём Синицын — Fri, 17 Jul 2009 13:00:08 +0000

@ssa Спасибо за поздравления.
Начало цикла статей “ЧТО МНЕ НЕ НРАВИТСЯ В MS ISA SERVER” необходимо положить именно Вам, как инициатору. Можете привести в качестве примера несколько этих самых “оббитых углов”? А я, в свою очередь, обязуюсь их осветить на страницах {Бинарного} Форпоста.

PS. Едиственная официальная дата окончательного выхода Forefront TMG – Q4Y2009. Более точной информацией я в данный момент не располагаю. Лично меня радует то, что TMG выйдет уже в этом году.

От: Артём Синицын

Артём Синицын — Fri, 17 Jul 2009 12:25:41 +0000

@ssa
Буду весьма благодарен, если поделитесь своим опытом создания VLAN в Hyper-V в контексте развертывания ISA Server в различных сценариях. А насчет трудности описания, вроде как “кто ясно мыслит – тот ясно излагает” =) Или я что-то путаю?

От: Артём Синицын

Артём Синицын — Fri, 17 Jul 2009 08:32:40 +0000

@Modicus Спасибо за замечание, исправил :)

От: Modicus

Modicus — Thu, 16 Jul 2009 18:19:39 +0000

Отличная статья! Как всегда, разложил по косточкам. :)
P.S. Исправь, плиз, “настроете”.

От: ssa

ssa — Thu, 16 Jul 2009 15:51:51 +0000

Артем, у меня есть предложение … надо открыть цикл статей под рубрикой “ЧТО МНЕ НЕ НРАВИТСЯ В MS ISA SERVER”.
Это, признаюсь, корыстное с моей стороны предложение. На подобную мысль меня натолкнул данный пост … если кто-то до сих пор не знал “как готовить и есть” VLAN c ISA, может и я не знаю некоторых очевидных вещей.
Я работаю с продуктом начиная с MS PROXY 2.0, жду TMG (кстати, когда релиз???), но как плевался, так и продолжаю плеваться вплоть до 2006 версии на некоторых “оббитых углах” этого сильно возмужавшего за годы продукта.
Не скрываю, что часть проблемы в том, что я админю по технологии “поставил и забыл”, т.к. это не основная моя работа. И бывали ситуации, когда думаешь “у кого бы спросить: это оно такое … или я дурак?” :) Теперь жизнь должна измениться, т.к. есть знакомый MVP по сабжу, в общей Самарской MCP тусовке … т.ч. я тебя поздравляю :)

От: ssa

ssa — Thu, 16 Jul 2009 15:34:04 +0000

вообще-то то, я мог бы поделиться опытом, что можно сделать совместно с VLAN, Hyper-V и ISA Server – но это трудно описуемое на пальцах “чудо тенической мысли” :)

От: ssa

ssa — Thu, 16 Jul 2009 15:29:15 +0000

Молодец Артем, что “разжёвываешь” подобные вопросы, хотя ответы и лежат на поверхности и все элементарно, но видимо народу трудно вникнуть в суть обсуждаемого продукта и точно его спозиционировать в своей сетевой инфраструктуре.

Кстати, заходя на твой блог меня настойчиво просили тебе передать, что “Вышел WordPress 2.8.1″ :)

От: Артём Синицын

Артём Синицын — Wed, 15 Jul 2009 14:22:51 +0000

@Анар Ваш случай, Анар, является более чем наглядным примером того, как организовать поддержку VLAN в ISA Server с помощью сетевого адаптера стоимостью в 23$ =)

От: Анар

Анар — Fri, 10 Jul 2009 08:29:11 +0000

Добавлю, что для реализации VLAN использовал 530Т от D-Link (не реклама)

От: Анар

Анар — Fri, 10 Jul 2009 08:26:29 +0000

Отличный пост

От: Алексей Потапов

Алексей Потапов — Fri, 10 Jul 2009 07:12:40 +0000

Отличный пост! Достаточно позновательный.