IT2web

Системному администратору Windows Server

Главная --> ISA / TMG --> ISA. Несколько подсетей в Internal

ISA. Несколько подсетей в Internal

 

Многие администраторы брандмауэра ISA имеют недостаточно времени, чтобы рассмотреть сеть, находящуюся за концепцией сети. Клинт Денхам снимает завесу с этой мистической части и помогает нам исправить и ускорить нашу сеть в соответствии с имеющимися настройками сети.

Симптом: Сервер ISA записывает в журнал следующую ошибку.

Описание: Сервер ISA обнаружил маршруты через «внутренний» адаптер, которые не связаны с элементом сети, к которому этот адаптер относится. Диапазон конфликтных адресов: 192.168.0.0-192.168.0.0; 192.168.0.255-192.168.0.255. Исправьте элемент сети и/или таблицу маршрутизации, чтобы сделать эти диапазоны непротиворечивыми; изменения нужно внести в оба диапазона или ни в какой. Если вы только создали удаленную сеть, проверьте, повторяется ли эта ошибка. Если нет, то вы можете спокойно проигнорировать это сообщение.

Диапазон адресов, упомянутый в тексте ошибки, будет различным в зависимости от конкретной установки, но суть проблемы в том же.

Короткий ответ — Администратор сервера ISA некорректно настроил внутреннюю сеть.

Длинный ответ — Как сервер ISA Server 2004 видит сеть

Когда сервер ISA установлен, некоторые администраторы определяют диапазон адресов с 192.168.0.1 по 192.168.0.254 — как адреса «внутренних» сетевых элементов. «Сетевые» элементы определяются с точки зрения сервера ISA. Тут имеется несколько тонкостей, поэтому углубимся в детали.

Когда вы прописываете адреса в свойствах «Сети», ISA просматривает все адаптеры в системе, пытаясь найти такие, чьи IP-адреса входят в указанный диапазон — если находит, то связывает «Сеть» с этими адаптерами.

Рассмотрим следующую таблицу маршрутизации компьютера под управлением Windows Server 2003.

Активные маршруты:
Адрес назначения Маска сети Шлюз Интерфейс Метрика
0.0.0 0.0.0 157.57.157.57 157.57.157.57 30
157.57.157.0 255.255.255.0 157.57.157.1 157.57.157.57 30
157.57.157.57 255.255.255.255 127.0.0.1 127.0.0.1 30
157.255.255.255 255.255.255.255 157.57.157.57 157.57.157.57 30
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.0.0 255.255.255.0 192.168.0.1 192.168.0.1 30
192.168.0.1 255.255.255.255 127.0.0.1 127.0.0.1 30
192.168.0.255 255.255.255.255 192.168.0.1 192.168.0.1 30
224.0.0.0 240.0.0.0 157.57.157.57 157.57.157.57 30
224.0.0.0 240.0.0.0 192.168.0.1 192.168.0.1 30
255.255.255.255 255.255.255.255 157.57.157.57 157.57.157.57 1
255.255.255.255 255.255.255.255 192.168.0.1 192.168.0.1 1
Шлюз по умолчанию: 157.57.157.1
===========================================================
Постоянные маршруты:
Нет

Из выделенных строк видно, что Windows считает адреса получателей 192.168.0.0 и 192.168.0.255 доступными через интерфейс 192.168.0.1 (специфический хост с адресом получателя 192.168.0.1 — особый случай).

Кроме того, вы можете видеть, что групповой адрес 224.0.0.0 и адрес назначения «трансляций всех сетей» 255.255.255.255, так же доступны через интерфейс 192.168.0.1 — групповые адреса и этот адрес трансляций обрабатываются по разному у адресованного конкретному устройству трафика, так, что нас не беспокоят эти получатели, когда мы определяем сети.

Здесь начинают действовать тонкости, и есть две их разновидности ...

  1. Windows связывает адреса получателей 192.168.0.0 и 192.168.0.255 с интерфейсом 192.168.0.1.
  2. Сервер ISA связывает «внутреннюю» сеть с интерфейсом 192.168.0.1.

Теперь, сервер ISA сравнивает информацию, полученную от Windows (192.168.0.0 и 192.168.0.255 доступны через интерфейс 192.168.0.1) с информацией, которую ввел администратор ISA (192.168.0.1 через 192.168.0.254) и видит, что они не пересекаются. Простой ответ — надо добавить эти адреса в свойства конкретного объекта сети.

Теперь рассмотрим следующий сценарий...

ISA subnets internal

.10, .20 и .30 подсети доступны серверу ISA через внутренние маршрутизаторы. Администратор Windows должен, используя команду ROUTE, добавить маршруты к .10, .20 и .30 подсетям через их соответствующий маршрутизатор или создать маршруты посредством Службы маршрутизации и удаленного доступа (RRAS). Это тоже должно вызвать ошибку, но в этот раз сообщение ошибки должно содержать .10, .20 и .30 подсети. Это вызвано той же проблемой — Windows связывает эти подсети с интерфейсом 192.168.0.1, но ISA проверяет настройку внутренней сети и «видит», что эти диапазоны адресов не содержатся в свойствах сети.

Логически, администратор сервера ISA должен думать, что нужно определить «Сеть», которая содержит эти адреса — один на каждую, .10, .20 и .30, подсеть. К несчастью, это не решает проблему. Ранее мы установили, что «Когда вы прописываете адреса в свойствах „Сети“, ISA просматривает все адаптеры в системе, пытаясь найти такие, чьи IP-адреса входят в указанный диапазон — если находит, то связывает „Сеть“ с этими адаптерами». Если администратор сервера ISA создал «Сети» для .10, .20 и .30 подсети, сервер ISA должен просмотреть список адаптеров в системе и попытаться найти адаптер, который имеет адрес, присвоенный этим подсетям. Поскольку, в нашей конфигурации, сервер ISA не содержит таких сетевых адаптеров (у нас есть только один внутренний и один внешний адаптер), ISA допускает, что «Сеть», которую пытается настроить администратор, связана с интерфейсом, который физически не работает или отключен и устанавливает статус «Сети» в состояние отключена.

Дополнительная информация: Справка по серверу ISA (находится в Microsoft ISA Server -> Multi-Networking -> Multi-Networking Architecture) дает хорошее определение «Сети».

  • Сервер ISA группирует IP-адреса в наборы, называемые «сетями». «Сеть» используется сервером ISA для определения адресов компьютеров, которые могут обмениваться данными, не пропуская их через сервер ISA.

Последнее предложение — очень важно для понимания того, как ISA видит сеть — с того момента, как .0, .10, .20 и .30 подсети могут соединяться без «прохождения» через сервер ISA, они должны считаться частью одной сети.

Да — это имеет смысл — но как мне контролировать доступ к подсетям .10, .20 и .30 после этого?

Как только все эти диапазоны адресов будут включены в сеть, нужно зайти в Параметры Брандмауэра -> Инструменты -> Объекты сети (Firewall Policy -> Toolbox -> Network Objects) и создать новые «подсети» для .0, .10, .20 и .30 подсети и затем создать правила доступа брандмауэра, которые будут применяться к подсетям, а не к «Сети».

Автор: Томас Шиндер (Thomas Shinder)