Во-первых, в один момент времени протокол IP может использовать только один шлюз по умолчанию, соответственно, второй в большинстве случаев просто не используется.

Во-вторых, к Вашему сведению данная конфигурация является неподдерживаемой: “ISA Server does not support multiple default gateways configured on the same network adapter, or on different adapters.”

В-третьих, помочь Вам это может только в случае выхода из строя первого шлюза по умолчанию. То есть эта некая реализации горячего бэкапа шлюза по умолчанию. Только вот недоступность шлюза определяется по крайне “продвинутому” аглоритму Dead Gateway Detection, который вполне может посчитать шлюз “нерабочим”, в то время как последний функционирует вполне корректно :)

Что касается QoS, то Windows Server 2008/R2 как раз полноценно поддерживает этот стандарт, вплоть до назначения приоритета сетевому трафику определенного приложения. Насчет TMG – Вы правы. Поддержка DiffServ, так же как и в ISA Server, осталась только для протоколов HTTP и HTTPS. Благо подавляющее большинство современных приложений используют именно эти протоколы. Примеры про VoIP-телефонию и телеконференции приводить не стоит – они мне хорошо известны ;)

И в заключение. Я никогда не говорил, что TMG может заменить полноценный Cisco-роутер enterprise-класса. TMG – в первую очередь брандмауэр, и только потом маршрутизатор. Причем функции маршрутизатора у него все же ограничены и не всегда могут удовлетворить потребности более-менее крупных организаций. Для TMG главным вопросом является безопасность и еще раз безопасность. А вот ASA, например, в первую очередь является маршрутизатором и только потом брандмауэром. Про сдвиг приоритетов, я полагаю, догадаетесь сами :)

Артём Синицын :
Зря ты недооцениваешь функцию ISP-R :) Она поможет SMB-сектору с легкостью отказаться от cisco-роутера перед TMG и сэкономить общую стоимостью владения таким решением в разы. Полагаю о “необходимости” железной коробочки перед TMG для его “защиты” спорить не будем ;)

Здравствуйте, Артем. А как же полноценный QoS, который TMG (скорее W2K8/R2) не поддерживает (опустим приоритезацию HTTP/HTTPS). Или QoS, в таком случае, нужно отдать на провайдера? Для таких случаев, как правило, впереди ISA ставят раутер, поддерживающий “человеческий” QoS.

Вкладка “IP Settings” в настройках сетевого подключения…
У нас на одном из боевых серверов (Windows 2003 SE, ISA Server 2004 SE) – прекрасно и уже который год живут два адреса и гейтвея на одном сетевом подключении.

2. Я писал именно про требования ISP-R с точки зрения сетевой подсистемы. Ты не сможешь на одно сетевое подключение привязать 2 адреса с 2мя шлюзами по умолчанию.

Да, ты можешь выделять различные сети по диапазонам адресов внешнего сетевого адаптера. Но это будут отдельные сети, никак не относящиеся к сети External. Переопределить саму сеть External нельзя, так как она есть множество “все, что не входит в описанные сети”.

Зря ты недооцениваешь функцию ISP-R :) Она поможет SMB-сектору с легкостью отказаться от cisco-роутера перед TMG и сэкономить общую стоимостью владения таким решением в разы. Полагаю о “необходимости” железной коробочки перед TMG для его “защиты” спорить не будем ;)

а) иногда эти 8% оказываются вполне достаточными. Т.е. выручка покрывает затраты.

б) иногда нет, но это никого не ебёт. Я имею в виду, что если «твердолобое начальство и фанатичные сетевые администраторы» позволяют sales-менеджерам рассказывать себе сказки про «дырявые форточки» — это, скорее всего, означает, что денег в этой конторе никто не считает. А следовательно — для оценки решения надо оперировать другими критериями.

2. По поводу прописывания адресов. Я подозреваю, что в статье на технете ошибка. Т.е. вместо «cannot» следует читать «should not» (т.е. не поддерживается). Не побожусь за конфигурацию с одним адаптером. Но в конфигурации с двумя адаптерами я успешно пробовал привязывать ко внешнему адаптеру два адреса из разных подсетей и даже работал с этими подсетями как с разными сетевыми объектами на уровне ISA Server (т.е. использовал разные правила для разных сетей).

Да, при этом ISA очень переживала за неподдерживаемую конфигурацию, весь журнал исходила на говно по этому поводу, но с чисто функциональной точки зрения это работало отлично в течение полугода. Да, это была ещё ISA, поэтому ISP-R я в такой конфигурации не тестировал. Да и не больно хочется.

Повторюсь, я сам не представляю, как можно реализовать ISP-R в TMG в режиме Hork Mode. Но пруфлинк я предоставил, так что будем искать…

Ты абсолютно прав, что сам факт возможности работы и поддержки данного сценария вендором позволяет использовать ISA Server/Forefront TMG там, где, казалось, его использовать нельзя. И действительно “8 каналов в режиме HD” – это гораздо лучше, чем ничего. НО! Лично меня всегда интересовала цена вопроса, потому как (особенно в нашей стране) финансовая составляющая общей стоимости решения зачастую превалирует над технологическими преимуществами.

Соглашусь, что существуют сценарии, когда развертывание в режиме Hork Mode позволит Вам использовать ISA Server/TMG в содружестве с другими продуктами. Один из самых (печально) известных подобных сценариев – это, так называемый, сэндвич. Сэндвичем именуется режим, когда ISA Server/TMG (возможно и в режиме Hork Mode) размещается в периметральной сети, образованной двумя аппаратными брандмауэрами (читай cisco pix), которые в свою очередь призваны защитить “дырявую” ИСУ :)

К чему я это веду? К тому что подобные сценарии существуют только из-за невозможности убедить узколобое начальство и фанатичных сетевых администраторов, не аргументирующих свою позицию ничем, кроме “да она же на виндах…фууууу”. Если Вы попали именно в такую ситуацию, Вас действительно спасёт Hork Mode. Вы получите полноценный кэширующий cern-прокси с анализом и контролем трафика на уровне приложений и полноценный механизм безопасной публикации веб-ресурсов, а это действительно не мало! Но не стоит забывать, сколько дензнаков Вы при этом положите в карманы sales-менеджеров, совершенно нагло и неинтеллектуально “втирающих” про “дырявые форточки” и “волшебные железные коробочки”!
Think…

P.S. Ещё раз спасибо, Тём ;)

Главное преимущество (если использовать твою аналогию): тебе остаются АЖ ВОСЕМЬ эфирных каналов — но в качестве HD! Применительно к предмету статьи это звучит так: ТЫ ВСЁ-ТАКИ МОЖЕШЬ использовать TMG!

Это актуально, например, если заказчик «не считает TMG за брандмауэр»© и принципиально не позволяет ему стоять на границе каких-либо сетей. Но при этом тебе зачем-то требуется использовать прямой и/или обратный прокси.

Ну и ещё быват всякие другие сценарии. Я думаю, это вполне нормальная ситуация. «Да, ужас. Но не ужас-ужас-ужас».

ISP Redundancy — хммм… Если на единственном интерфейсе ты пропишешь несколько внешних адресов из разных подсетей? Или если адрес будет один, но ты пропишешь статические маршруты через разные шлюзы?