ISA. Несколько подсетей в Internal

Симптом: Сервер ISA записывает в журнал следующую ошибку.

Описание: Сервер ISA обнаружил маршруты через «внутренний» адаптер, которые не связаны с элементом сети, к которому этот адаптер относится. Диапазон конфликтных адресов: 192.168.0.0-192.168.0.0; 192.168.0.255-192.168.0.255. Исправьте элемент сети и/или таблицу маршрутизации, чтобы сделать эти диапазоны непротиворечивыми; изменения нужно внести в оба диапазона или ни в какой. Если вы только создали удаленную сеть, проверьте, повторяется ли эта ошибка. Если нет, то вы можете спокойно проигнорировать это сообщение.

Диапазон адресов, упомянутый в тексте ошибки, будет различным в зависимости от конкретной установки, но суть проблемы в том же.

Короткий ответ — Администратор сервера ISA некорректно настроил внутреннюю сеть.

Длинный ответ — Как сервер ISA Server 2004 видит сеть

Когда сервер ISA установлен, некоторые администраторы определяют диапазон адресов с 192.168.0.1 по 192.168.0.254 — как адреса «внутренних» сетевых элементов. «Сетевые» элементы определяются с точки зрения сервера ISA. Тут имеется несколько тонкостей, поэтому углубимся в детали.

Когда вы прописываете адреса в свойствах «Сети», ISA просматривает все адаптеры в системе, пытаясь найти такие, чьи IP-адреса входят в указанный диапазон — если находит, то связывает «Сеть» с этими адаптерами.

Рассмотрим следующую таблицу маршрутизации компьютера под управлением Windows Server 2003.

Из выделенных строк видно, что Windows считает адреса получателей 192.168.0.0 и 192.168.0.255 доступными через интерфейс 192.168.0.1 (специфический хост с адресом получателя 192.168.0.1 — особый случай).

Кроме того, вы можете видеть, что групповой адрес 224.0.0.0 и адрес назначения «трансляций всех сетей» 255.255.255.255, так же доступны через интерфейс 192.168.0.1 — групповые адреса и этот адрес трансляций обрабатываются по разному у адресованного конкретному устройству трафика, так, что нас не беспокоят эти получатели, когда мы определяем сети.

Здесь начинают действовать тонкости, и есть две их разновидности ...

1. Windows связывает адреса получателей 192.168.0.0 и 192.168.0.255 с интерфейсом 192.168.0.1.
2. Сервер ISA связывает «внутреннюю» сеть с интерфейсом 192.168.0.1.

Теперь, сервер ISA сравнивает информацию, полученную от Windows (192.168.0.0 и 192.168.0.255 доступны через интерфейс 192.168.0.1) с информацией, которую ввел администратор ISA (192.168.0.1 через 192.168.0.254) и видит, что они не пересекаются. Простой ответ — надо добавить эти адреса в свойства конкретного объекта сети.

Теперь рассмотрим следующий сценарий...

.10, .20 и .30 подсети доступны серверу ISA через внутренние маршрутизаторы. Администратор Windows должен, используя команду ROUTE, добавить маршруты к .10, .20 и .30 подсетям через их соответствующий маршрутизатор или создать маршруты посредством Службы маршрутизации и удаленного доступа (RRAS). Это тоже должно вызвать ошибку, но в этот раз сообщение ошибки должно содержать .10, .20 и .30 подсети. Это вызвано той же проблемой — Windows связывает эти подсети с интерфейсом 192.168.0.1, но ISA проверяет настройку внутренней сети и «видит», что эти диапазоны адресов не содержатся в свойствах сети.

Логически, администратор сервера ISA должен думать, что нужно определить «Сеть», которая содержит эти адреса — один на каждую, .10, .20 и .30, подсеть. К несчастью, это не решает проблему. Ранее мы установили, что «Когда вы прописываете адреса в свойствах „Сети“, ISA просматривает все адаптеры в системе, пытаясь найти такие, чьи IP-адреса входят в указанный диапазон — если находит, то связывает „Сеть“ с этими адаптерами». Если администратор сервера ISA создал «Сети» для .10, .20 и .30 подсети, сервер ISA должен просмотреть список адаптеров в системе и попытаться найти адаптер, который имеет адрес, присвоенный этим подсетям. Поскольку, в нашей конфигурации, сервер ISA не содержит таких сетевых адаптеров (у нас есть только один внутренний и один внешний адаптер), ISA допускает, что «Сеть», которую пытается настроить администратор, связана с интерфейсом, который физически не работает или отключен и устанавливает статус «Сети» в состояние отключена.

Дополнительная информация: Справка по серверу ISA (находится в Microsoft ISA Server -> Multi-Networking -> Multi-Networking Architecture) дает хорошее определение «Сети».

• Сервер ISA группирует IP-адреса в наборы, называемые «сетями». «Сеть» используется сервером ISA для определения адресов компьютеров, которые могут обмениваться данными, не пропуская их через сервер ISA.

Последнее предложение — очень важно для понимания того, как ISA видит сеть — с того момента, как .0, .10, .20 и .30 подсети могут соединяться без «прохождения» через сервер ISA, они должны считаться частью одной сети.

Да — это имеет смысл — но как мне контролировать доступ к подсетям .10, .20 и .30 после этого?

Как только все эти диапазоны адресов будут включены в сеть, нужно зайти в Параметры Брандмауэра -> Инструменты -> Объекты сети (Firewall Policy -> Toolbox -> Network Objects) и создать новые «подсети» для .0, .10, .20 и .30 подсети и затем создать правила доступа брандмауэра, которые будут применяться к подсетям, а не к «Сети».