ibd_iran
پنج شنبه 15 اردیبهشت 1390, 20:13 عصر
باسلام خدمت کلیه دوستان متخصص در زمینه Microsoft ISA Server & TMG & NETWORK
مندر حال راه اندازی یک شبکه هستم که این شبکه 30 تا کلاینت داره که میخواهند ازطریق شبکه به اینترنت دسترسی داشته باشند . سناریو موجود که داریم استفاده می کنیمشرح میدم که به محیط شبکه که دارم برای آن طراحی جدید می کنم آشنا شوید و در سناریو جدیدکه در حال طراحی و پیاده سازی هستم ، من را یاری کنید تا این شبکه رو طراحی درست وصحیح کنم و آن را پیاده سازی کنم.
(درضمن من در شبکه مبتدی هستم و تازه وارد یادگیری شبکه شدم خواهشمند هستم راهنمایی کلی نکنید چون من سر درنمی یارم اگر ممکن کامل توضیح دهید یا به منبع که می دانید کامل است ارجاع دهید کهمن مطالعه کنم چون راهنمایی کلی برای افراد هست که بلد هستند و فقط یک راهنمایی کوچکمی تواند مشکل آنها را حل کنه ولی من تازه شروع کردم از Microsoft ISA Server & TMG و به محیط و کاربردهای آنآشنایی ندارم) فکر می کنم اگر این بصورت کامل جلو ببریم در آخر بهترین راهنما برایافردا مبتدی مثل من میشود که میخواهند از Microsoft ISA Server & TMG در شبکه استفاده کنند. چون بر اساس قواعد و اصول میخواهیم جلو بریم که هر کسی اینمطلب بخواند در پایان کلی چیز یاد بگیرد .
مرحلهیک معرفی محیط شبکه که موجود داریم و میخواهیم برای آن طراحی جدید انجام دهیم:
سناریوموجود در این شبکه که استفاده می شود:
یک) اینترنت ورودی به سازمان از طریق دو خط اینترنت ADSL سرعتبالا تامین می شود. دو تا مودم هستند که به اینترنت وصل هستند آی پی مودم یک ip:192.168.10.1 آی پی مودم دو ip:192.168.10.2 روی هر دو مودم NAT فعال هست.مارک مودم ها netgear DGN2000
دو) شبکه از نوع Workgroup هست . و ازNATService خود مودم های برای توزیعاینترنت در شبکه استفاده شده است.(هر کسی هر کاری که می خواهد تو شبکه می کنه ایران دیگه تا یک کم آزادی بدهی کلی سوءاستفاده می کنند)
سه) کلیه شبکه به صورت دستی آی پیداده شد است . و برای بعضی ها از خط شماره یک آی پی default gateway و dns تعریفشده و برای بعضی های دیگر از خط شماره دو تعریف شده است .تا سرعت در این دو خطتقسیم شود.
هر15 تا کاربر بر روی یک خط هستند 15 تا دیگه بر روی خط دیگه . رنج آی پی ها کلی 192.168.10.1 تا 192.168.10.32 که دو تااول مربوط به مودم ها هستند و بقی روی سیستم ها تنظیم شده اند.
چهار) ویندوز های کاربران هم XP داریم و هم WIN7 کارمندهایقدیمی با XP کار می کنند کارمند های جدید با سون چون کارمند های قدیمی پیر و پاتالهستند از یادگیری سون خودداری می کنند پس نمی توانیم همه ویندوز ها رو سون کنیم.این یک مشکل هست.. چون همه سیستم عامل ها یک ورژن نیستند.و به روز رسانی سیستم هاکمی سخت شده باید هم XP آپدیت کنم و هم سون بایدحواسم به آپدیدت هر دو باشه
خوبالان سیاست سازمان عوض شده و مدیران میخواهند شبکه SERVER_BASE شود و اینترنت کنترل کاملبشود و هر کسی یک مقدار خاص اجازه دانلود داشته باشه و از نظر امنیتی کنترل کاملباشه.
خواستههای جدید مدیران :
یک) کنترل پهنایی باند مصرف هرکاربر ( اجازه بیشتر از ( 10 KB/s ندهد یعنی اگر کاربر حتی برنامه مثل IDM نصب کندبیشتر از 10 کیلو بایت بر ثانیه نتواند دانلود داشته باشه.و کابران مدیر 25KB/s باشند
دو) کنترل حجم دانلود هر کاربر(بهبعضی از کاربران محدویت حجم دانلود داده شود)
سه) فیلتر کردن بعضی از سایت ها که خارج از سیاست سازمانهست از نظر محتوا و بعضی از کلمات(این کار خود مودم netgear انجام می دهد ولی دقیق نیست)
چهار) اجازه ندادن به VPN وصل شدن کاربران به اینترنتفیلتر مخابرات عبور نکنند منظور این هست (از داخل به بیرون نشود VPN استفاده کرد از این وی پی انها فیلتر شکن موجود منظور هست اجازه استفاده ندیم به کاربران داخلی.)
پنج) جلوگیری از دانلود بعضی از پسوند ها صوتی مثل MP3 و پسوند های فیلم مثل AVI و...
کههمه این خواسته ها مربوط به MicrosoftISA Server & TMG می شود البتهچیزی که من تصور می کنم درست غلط بودن تصور منو دوستان بگویند.
سناریوجدید من این طور طراحی کردم که :
یک)شبکه ازنوع Workgroup به شبکه از نوع Domain عوض کنیم کهبرای این کار از ویندوز 2008 سرور R2 x64 استفاده بشود
دو) از سرویس های DNS و DHCP استفادهشود . تا آپی ها از شکل دستی به صورت اتوماتیک تنظیم شود.
سه)استفاده ازuser-defined classesها در DHCP برای تقسیم بندیکاربران برای استفاده از خط های ADSL و بالانس کردن کاربرانبر روی دو خط موجود
چهار) استفاده از سرویس Service NAT برای توزیع اینترنت در شبکه ( البته من نمی دانم NAT Service باید مودم ها انجام بدهند یا سرویس Service RAS ویندوز انجام بده یا خود Microsoft ISA Server & TMG کدام روش بهتر می باشد دوستان راهنمایی کنند الان NAT Service بر روی مودم ها فعال می باشد و ما فقط آی پی مودم ها برای default gateway و DNS کاربرانتعریف می کنیم )
پنج) استفاده از MicrosoftISA Server & TMG برای مدیریتاینترنت سازمان که از این قسمت من هیچ چیزی بلد نیستم و از دوستان راهنماییمیخواهم که بتوان کار ها که در قسمت خواسته های جدید ذکر شد انجام دهم
تاقسمت چهار را توانستم انجام بدهم وتست کنم و جواببگیرم .
ولیبرای قسمت پنج که نصب TMG بود انجام دادم و با کلی مشکل روبرو شدم که بعضی ها شو تو همینسایت پیدا کردم و حل کردم .. مشکل ها کهتا اینجا کار پیدا کردم به ترتیب نوشتم تا دیگر دوستان بعداً این مطلب مطالعه می کنند اگر با این مشکل هاروبرو شدن بتوان آنها را حل کنند .
مشکلها :
یک)جلوگیری کردن TMG یا ISA از سرویس DHCP برای اختصاص آی پی به کلاینت ها
دو)جلوگیری از سرویس DNS در شبکه مشکلات مربوط به DNS در شبکه
ایندو مشکل در نوشته های مهندس رضا علیخانی در قسمت Microsoft ISA Server & TMG موجود بود و تست کردم جواب گرفتم جا دارد از مهندس رضا علیخانی تشکر کنم که مطالب بسیار جالبی در سایت قرار دادند که مشکلبیشتر مدیر های شبکه می باشد. دوستان می توانند با مطالعه این مطالب نیاز هایاولیه برای برای نصب و راه اندازی MicrosoftISA Server & TMG پیدا کنند .
خوببریم سراغ اصل مطلب یعنی ادامه این سناریو جدید .. و سئوال های که برای من پیشآمده است .
دوستانخواهشمند هستم که اگر جواب سئوال می دهند صورت سئوال در اول جواب کپی کنند تا مطالبروشن باشه که جواب داده شد مربوط به کدام سئوال بوده است.
سئوالاتپیش آمده برای من:
سئوالیک) برای نصب TMG و یا ISA باید بر روی کامیپوتر سرور TMG و یا ISA دو تا کارت شبکه تعریف شده باشدیا نه ... من این مطلب رو تو دو سه تا سایت خواندم که باید دو تا کارت شبکه داشتمباشم یک یکی به شبکه داخلی وصل باشه و دیگری به اینترنت یعنی شبکه خارجی.. حالا توسناریو ما که دو تا مودم برای ورودی اینترنت داریم چی باید بکنم .. باید سه تاکارت شبکه داشته باشم یا نه و طریق پیکربندی این کارت شبکه ها چطور باشه و هر چه راهنمایی دیگر مربوط به این سئوال اگربشود توضیح دهید.
سئوالدو) مفهوم internal network و external network روشن کنید یعنی چی این ها در TMG درسناریو ما که دو تا مودم، اینترنت وارد سازمان می کنند هر دو تا مودم external network محسوبمی شوند یا نه ...من یک سری مطالب از سایت ها خواندم ولی این مفاهیم برایم خیلیخوب روشن نشده است.باید برای هر مودم یک کارت شبکه برروی سیستم قرار دهم و یک کارتشبکه سوم هم برای ارتباط داخلی قرار بدم که نقش internal network بازی کنه یا نه..
سئوالسه) این سه topology که ISA& TMG در سناریو های خود نوشته است توضیح دهید که هرکدام در کجا و در چه سناریو های می توانیم استفاده کنیم. این سئوال با مثل های که اگر کارکردید جواب دهید ممنون می شوم مثال بزنید که اگر بخواهیم چی کار های انجام دهیم ازکدام استفاده توپولوژی استفاده کردید.
Thefollowing Forefront TMG network topologies are available:
Edge firewall—In this topology, Forefront TMG is located at the network edge, where it serves as the organization’s edge firewall, and is connected to two networks: the internal network, and the external network (usually the Internet).
3-Leg perimeter—This topology implements a perimeter network. Forefront TMG is connected to at least three physical networks: the internal network, one or more perimeter networks, and the external network.
Back firewall—In this topology, Forefront TMG is located at the network’s back-end. Use this topology when another network element, such as a perimeter network or an edge security device, is located between Forefront TMG and the external network. Forefront TMG is connected to the internal network and to the network element in front of it.
Single network adapter—This topology enables limited Forefront TMG functionality. In this topology, Forefront TMG is connected to one network only, either the internal network or a perimeter network. Typically, you would use this configuration when Forefront TMG is located in the internal corporate network or in a perimeter network, and another firewall is located at the edge, protecting corporate resources from the Internet.
فعلاً تا همین جا باشه ادامه می دهیم
مندر حال راه اندازی یک شبکه هستم که این شبکه 30 تا کلاینت داره که میخواهند ازطریق شبکه به اینترنت دسترسی داشته باشند . سناریو موجود که داریم استفاده می کنیمشرح میدم که به محیط شبکه که دارم برای آن طراحی جدید می کنم آشنا شوید و در سناریو جدیدکه در حال طراحی و پیاده سازی هستم ، من را یاری کنید تا این شبکه رو طراحی درست وصحیح کنم و آن را پیاده سازی کنم.
(درضمن من در شبکه مبتدی هستم و تازه وارد یادگیری شبکه شدم خواهشمند هستم راهنمایی کلی نکنید چون من سر درنمی یارم اگر ممکن کامل توضیح دهید یا به منبع که می دانید کامل است ارجاع دهید کهمن مطالعه کنم چون راهنمایی کلی برای افراد هست که بلد هستند و فقط یک راهنمایی کوچکمی تواند مشکل آنها را حل کنه ولی من تازه شروع کردم از Microsoft ISA Server & TMG و به محیط و کاربردهای آنآشنایی ندارم) فکر می کنم اگر این بصورت کامل جلو ببریم در آخر بهترین راهنما برایافردا مبتدی مثل من میشود که میخواهند از Microsoft ISA Server & TMG در شبکه استفاده کنند. چون بر اساس قواعد و اصول میخواهیم جلو بریم که هر کسی اینمطلب بخواند در پایان کلی چیز یاد بگیرد .
مرحلهیک معرفی محیط شبکه که موجود داریم و میخواهیم برای آن طراحی جدید انجام دهیم:
سناریوموجود در این شبکه که استفاده می شود:
یک) اینترنت ورودی به سازمان از طریق دو خط اینترنت ADSL سرعتبالا تامین می شود. دو تا مودم هستند که به اینترنت وصل هستند آی پی مودم یک ip:192.168.10.1 آی پی مودم دو ip:192.168.10.2 روی هر دو مودم NAT فعال هست.مارک مودم ها netgear DGN2000
دو) شبکه از نوع Workgroup هست . و ازNATService خود مودم های برای توزیعاینترنت در شبکه استفاده شده است.(هر کسی هر کاری که می خواهد تو شبکه می کنه ایران دیگه تا یک کم آزادی بدهی کلی سوءاستفاده می کنند)
سه) کلیه شبکه به صورت دستی آی پیداده شد است . و برای بعضی ها از خط شماره یک آی پی default gateway و dns تعریفشده و برای بعضی های دیگر از خط شماره دو تعریف شده است .تا سرعت در این دو خطتقسیم شود.
هر15 تا کاربر بر روی یک خط هستند 15 تا دیگه بر روی خط دیگه . رنج آی پی ها کلی 192.168.10.1 تا 192.168.10.32 که دو تااول مربوط به مودم ها هستند و بقی روی سیستم ها تنظیم شده اند.
چهار) ویندوز های کاربران هم XP داریم و هم WIN7 کارمندهایقدیمی با XP کار می کنند کارمند های جدید با سون چون کارمند های قدیمی پیر و پاتالهستند از یادگیری سون خودداری می کنند پس نمی توانیم همه ویندوز ها رو سون کنیم.این یک مشکل هست.. چون همه سیستم عامل ها یک ورژن نیستند.و به روز رسانی سیستم هاکمی سخت شده باید هم XP آپدیت کنم و هم سون بایدحواسم به آپدیدت هر دو باشه
خوبالان سیاست سازمان عوض شده و مدیران میخواهند شبکه SERVER_BASE شود و اینترنت کنترل کاملبشود و هر کسی یک مقدار خاص اجازه دانلود داشته باشه و از نظر امنیتی کنترل کاملباشه.
خواستههای جدید مدیران :
یک) کنترل پهنایی باند مصرف هرکاربر ( اجازه بیشتر از ( 10 KB/s ندهد یعنی اگر کاربر حتی برنامه مثل IDM نصب کندبیشتر از 10 کیلو بایت بر ثانیه نتواند دانلود داشته باشه.و کابران مدیر 25KB/s باشند
دو) کنترل حجم دانلود هر کاربر(بهبعضی از کاربران محدویت حجم دانلود داده شود)
سه) فیلتر کردن بعضی از سایت ها که خارج از سیاست سازمانهست از نظر محتوا و بعضی از کلمات(این کار خود مودم netgear انجام می دهد ولی دقیق نیست)
چهار) اجازه ندادن به VPN وصل شدن کاربران به اینترنتفیلتر مخابرات عبور نکنند منظور این هست (از داخل به بیرون نشود VPN استفاده کرد از این وی پی انها فیلتر شکن موجود منظور هست اجازه استفاده ندیم به کاربران داخلی.)
پنج) جلوگیری از دانلود بعضی از پسوند ها صوتی مثل MP3 و پسوند های فیلم مثل AVI و...
کههمه این خواسته ها مربوط به MicrosoftISA Server & TMG می شود البتهچیزی که من تصور می کنم درست غلط بودن تصور منو دوستان بگویند.
سناریوجدید من این طور طراحی کردم که :
یک)شبکه ازنوع Workgroup به شبکه از نوع Domain عوض کنیم کهبرای این کار از ویندوز 2008 سرور R2 x64 استفاده بشود
دو) از سرویس های DNS و DHCP استفادهشود . تا آپی ها از شکل دستی به صورت اتوماتیک تنظیم شود.
سه)استفاده ازuser-defined classesها در DHCP برای تقسیم بندیکاربران برای استفاده از خط های ADSL و بالانس کردن کاربرانبر روی دو خط موجود
چهار) استفاده از سرویس Service NAT برای توزیع اینترنت در شبکه ( البته من نمی دانم NAT Service باید مودم ها انجام بدهند یا سرویس Service RAS ویندوز انجام بده یا خود Microsoft ISA Server & TMG کدام روش بهتر می باشد دوستان راهنمایی کنند الان NAT Service بر روی مودم ها فعال می باشد و ما فقط آی پی مودم ها برای default gateway و DNS کاربرانتعریف می کنیم )
پنج) استفاده از MicrosoftISA Server & TMG برای مدیریتاینترنت سازمان که از این قسمت من هیچ چیزی بلد نیستم و از دوستان راهنماییمیخواهم که بتوان کار ها که در قسمت خواسته های جدید ذکر شد انجام دهم
تاقسمت چهار را توانستم انجام بدهم وتست کنم و جواببگیرم .
ولیبرای قسمت پنج که نصب TMG بود انجام دادم و با کلی مشکل روبرو شدم که بعضی ها شو تو همینسایت پیدا کردم و حل کردم .. مشکل ها کهتا اینجا کار پیدا کردم به ترتیب نوشتم تا دیگر دوستان بعداً این مطلب مطالعه می کنند اگر با این مشکل هاروبرو شدن بتوان آنها را حل کنند .
مشکلها :
یک)جلوگیری کردن TMG یا ISA از سرویس DHCP برای اختصاص آی پی به کلاینت ها
دو)جلوگیری از سرویس DNS در شبکه مشکلات مربوط به DNS در شبکه
ایندو مشکل در نوشته های مهندس رضا علیخانی در قسمت Microsoft ISA Server & TMG موجود بود و تست کردم جواب گرفتم جا دارد از مهندس رضا علیخانی تشکر کنم که مطالب بسیار جالبی در سایت قرار دادند که مشکلبیشتر مدیر های شبکه می باشد. دوستان می توانند با مطالعه این مطالب نیاز هایاولیه برای برای نصب و راه اندازی MicrosoftISA Server & TMG پیدا کنند .
خوببریم سراغ اصل مطلب یعنی ادامه این سناریو جدید .. و سئوال های که برای من پیشآمده است .
دوستانخواهشمند هستم که اگر جواب سئوال می دهند صورت سئوال در اول جواب کپی کنند تا مطالبروشن باشه که جواب داده شد مربوط به کدام سئوال بوده است.
سئوالاتپیش آمده برای من:
سئوالیک) برای نصب TMG و یا ISA باید بر روی کامیپوتر سرور TMG و یا ISA دو تا کارت شبکه تعریف شده باشدیا نه ... من این مطلب رو تو دو سه تا سایت خواندم که باید دو تا کارت شبکه داشتمباشم یک یکی به شبکه داخلی وصل باشه و دیگری به اینترنت یعنی شبکه خارجی.. حالا توسناریو ما که دو تا مودم برای ورودی اینترنت داریم چی باید بکنم .. باید سه تاکارت شبکه داشته باشم یا نه و طریق پیکربندی این کارت شبکه ها چطور باشه و هر چه راهنمایی دیگر مربوط به این سئوال اگربشود توضیح دهید.
سئوالدو) مفهوم internal network و external network روشن کنید یعنی چی این ها در TMG درسناریو ما که دو تا مودم، اینترنت وارد سازمان می کنند هر دو تا مودم external network محسوبمی شوند یا نه ...من یک سری مطالب از سایت ها خواندم ولی این مفاهیم برایم خیلیخوب روشن نشده است.باید برای هر مودم یک کارت شبکه برروی سیستم قرار دهم و یک کارتشبکه سوم هم برای ارتباط داخلی قرار بدم که نقش internal network بازی کنه یا نه..
سئوالسه) این سه topology که ISA& TMG در سناریو های خود نوشته است توضیح دهید که هرکدام در کجا و در چه سناریو های می توانیم استفاده کنیم. این سئوال با مثل های که اگر کارکردید جواب دهید ممنون می شوم مثال بزنید که اگر بخواهیم چی کار های انجام دهیم ازکدام استفاده توپولوژی استفاده کردید.
Thefollowing Forefront TMG network topologies are available:
Edge firewall—In this topology, Forefront TMG is located at the network edge, where it serves as the organization’s edge firewall, and is connected to two networks: the internal network, and the external network (usually the Internet).
3-Leg perimeter—This topology implements a perimeter network. Forefront TMG is connected to at least three physical networks: the internal network, one or more perimeter networks, and the external network.
Back firewall—In this topology, Forefront TMG is located at the network’s back-end. Use this topology when another network element, such as a perimeter network or an edge security device, is located between Forefront TMG and the external network. Forefront TMG is connected to the internal network and to the network element in front of it.
Single network adapter—This topology enables limited Forefront TMG functionality. In this topology, Forefront TMG is connected to one network only, either the internal network or a perimeter network. Typically, you would use this configuration when Forefront TMG is located in the internal corporate network or in a perimeter network, and another firewall is located at the edge, protecting corporate resources from the Internet.
فعلاً تا همین جا باشه ادامه می دهیم