Isa server 2006 + router DI 808HV либо + WIFI DWL2100AP
 

Здравствуйте!

В общем есть прокси сервер ISA 2006 на нем также SURFCOP для подсчета трафика настройки ограничений итд. Подсчет трафика и ограничения необходимы.
Есть роутер и точка доступа WIFI
Хочу реализовать такую систему
клиент подключается к WIFI и получает только доступ в интернет с учетом всех правил и ограничений настроенных на ISA, доступа в локальную сеть не должно быть вообще. (и думаю не средствами иса запрета доступа роутеру в сеть а как то иначе)
Подсчет трафика реализоваться будет я полагаю по ИП например 500мб устройству с ИП ...........
а вот как закрыть доступа ума не приложу.
Настроено сейчас так роутер подключается по динамическому ип к прокси также на роуторе настроено DHCP, что получилось, клиент подключается к WIFI поизвотится авторизация как будто он в локальной сети с помощью настроек у него в браузере и все велком локальная сеть как на ладоне.
Скажите как сделать так как мне нужно.
Есть два устройства
DI 808HV
WIFI DWL2100AP
Все это DLINK

ещё одну сетевушку в ISA, к ней WiFi AP, сетка отличная от Internal.
всё.

Дороговато, HP Proliant 1U свободный слот PCI-E 1x.
USB - кажись будет откажись от стабильности и отказоустойчивости )))

VLAN'ы.

То есть как мне это реализовать?
У меня нет умных свичей и доп оборудование поддерживающие Vlan

тогда можно попытаться сделать так (это кривовато, но по-моему будет работать)
- на внутреней сетевушке ISA прописываем ещё один IP. (только IP и MASK, ничего больше), предположим 192.168.20.1
- в сети Internal прописываем этот диапазон (192.168.20.0/24)
- на WiFI AP указываем IP 192.168.20.2 а гейтом 192.168.20.1
- делаем явно запрещающее правило для subnet/address range в FW Policy ISA, что бы траффик между этими сабнетами не ходил.

проверьте, я не уверена что это "взлетит"

кстати сетевушка стоит вовсе не дорого =)
хотя купить один раз свитч с поддержкой вланов - всяко правильнее.

Согласен с cameron, вариант с "левым" IP адресом будет гораздо проще и удобней. На крайний случай покупается USB сетевая, ей дается "левый" IP, и вперед разграничивать права в ISA.

это черевато периодическим срабатыванием TCP Stateful Filter и дропе пакетов в связи со спуфингом.
там есть какая-то совершенно простая тонкость, но я вспомнить не могу :(

Я пробовал кучу всяких вариантов с wi-fi, что бы оградить пользователей (не офиса, а приходящих) - все это полная лажа. В итоге заказал в МТС безлимит (скорость 5 Мбит за 4т. руб. в месяц) на АДСЛ модем, который подключили к АТС - теперь все (приходящие и офисные) пользователи могут хоть закачаться, а если основной интернет откажет, то переключить провод с одного роутера на другой займет менее 5 сек.

это решается вланами на ура.
если нет вланов - отдельными сетевыми или отдельными портами роутера.
просто оборудование нужно не SOHO, вот и всё.
это тоже реализуется с помощью как софтовых роутеров так и железяк.
при этом железяки копеечные.

Нормальное оборудование стоит нормальных денег, а какая нибудь дешевка будет постоянно глючить и проблем будет еще больше. Назови мне хоть что нибудь, более-менее нормальное до 1000$ Я много всего перепробовал и в итоге пришел к выводу, чем проще - тем надежнее. А когда у тебя отключится интернет, то твоя "супер железка" тебе не поможет, т.к. интернета не будет вообще.
А зачем? Если интернет за несколько лет отказывал всего один раз и то на 2 часа. Нафиг мне нужно одно устройство с двумя WAN, когда за те же деньги я могу поставить 2 устройства и при необходимости заменить одно другим.
Если брать какой-нибудь Длинк с двумя WAN, то да, стоить будет не дорого, но и работать будет так же.

свитч? или роутер?
например SRX100/ASA 5505. плохо? :)
у меня есть подозрение что вы говорите исключительно о Dlink'ах и иже с ними.
ну и как это коррелирует с проблемой разделения траффика?
требования бизнеса бывают разные.
тарификации траффика и скорости каналов тоже.
продолжать? =_
вот об этом я и говорю.
что выборка из недоустройств никак не отражает реалии.

И что хорошего? Стояла (года 3 назад) именно такая штука на одном из филиалов. Цель была: разделить сеть на подсети, т.е. что бы разные отделы не видели друг друга. Вис постоянно, раз в неделю стабильно. Админ который ее купил (стоило не дешево) и устанавливал через пару месяцев сделал (достало его) ноги. Даже вызывали специалистов, зависания не прекращались: то сеть не видна, то интернета нет. В итоге поставили 3 неуправляемых свича и проблемы прекратились. С точки зрения безопасности, намного надежнее делить сеть на подсети физически, а не програмно. С точки зрения экономической, тоже выгоднее, т.к. если у тебя накроется твоя умная железка (стоить она будет намного дороже), а тебя на работе не будет (в отпуске, например), то вся (а не определенная подсеть) работа встанет полностью, а обычный свич можно купить в любом компьютерном магазине и заменить его может любой человек без особой подготовки, т.е. время простоя сокращается до минимума.
Не пользуюсь этой лажей вообще, хотя cisco не люблю тоже, т.к. дешёвый cisco (linksys) даже хуже, чем Dlink. Это все миф о надежности cisco. К примеру: cтояло одно (не первое) устройство, раздавало (adsl модем) интернет, постоянно приходилось звонить в Комстар: "включите, выключите, выньте провода, потом опять включите..." Другое устройство раздавало интернет, по статическому IP, тоже постоянные (1-2 раза в неделю) зависания спасало только выключение из розетки, поставил на место него Asus Wl-500GP (ширпотреб), хоть бы раз (для приличия) повис за несколько лет.
Как я уже писал лучше купить еще один канал, щас очень многие провайдеры за копейки предоставляют безлимит. С точки зрения безопасности - намного (абсолютная безопасность) безопаснее, с экономической точки зрения - очень выгодно иметь 2 канала (основной и резервный)
Требования (и бюджет тоже) действительно бывают разные, с этим я не спорю. Но если взять среднестатистический офис, то что безопаснее и надежнее, трафик поделенный на физическом уровне или на программном? По товоду тарификации трафика - очень глупо смотреть статистику с без лимитного трафика. Лично мне все равно сколько накачают за месяц, 10 гигов или 110 гигов - цена та же. По поводу скорости канала - какая скорость на wi-fi? А когда интернет накроется полностью, то уже не до скорости будет - лучше маленькая скорость, чем вообще ничего.
Во первых: к основному интернету привязаны IP адреса и люди (программы) все равно не смогут работать. Во вторых: накроется роутер, будет работать другой, а если роутер всего один, то работать ничего не будет вообще.

З.Ы. Я сторонник всего простого, чем проще сделано, тем меньше вероятности что чего нибудь накроется, а если и что-то накроется, то время простоя сократиться до минимума и не будет потрачена куча денег и нервов.

я даже не знаю что вам сказать.
расскажите пожалуйста, какая именно из этих железок стояла, а главное как вы её заменили тремя неуправляемыми свитчами?
не пробовали обратиться в саппорт производителя? =)
а VLAN это, по-вашему, что?
это называется "риски" и рассчитываются они по-другому.
не нужно путать cisco и linksys, хотя в этом плане я с вами соглашусь - линксис, в большинстве своём выше soho прыгнуть не может никак, да и там лажает.
ещё раз: как это коррелирует с проблемой сегментирования внутренних сетей?

ASA 5505
перетенули провода, поставили 3 свича, и 3 сетевухи
Как раз туда и обратились.
Это одно устройство и не надо об этом забывать.
Как же например? Любой риск должен быть сведен до минимума. В моем случае минимальное время простоя.
Что имено? Какая взвимосвязь между внутренней сетью - это интернет (резервный), Какая взаимосвязь между этими сегментали - они не пересекаются вообще, т.е. 2 разных провайдера, а значит 2 разных интернета, соответственно 2 разных кабеля.

У меня на работе до сих пор работает, поменяли память на 512 и сменили лицензию. Тебе просто не повезло, 3 года назад у 5505 была кривая прошивка и действительно сильно подвисало. Потом прошивку обновили, после этого стало работать устойчиво. На последней работает без всяких зависаний.

и сделали 3 точки отказа вместо одной. молодцы.
я вам не верю.
но это уже оффтоп.
да и одна точка отказа, если уж говорить в ваших терминах об "безопасности" =)
A/A или A/P что нибудь говорит? :)
речь шла о сегментировании внутренней сети.
и да, держать 2 гейта с двумя разными конфигами и уже даже не смешно.

в любом случае, в разрезе этой темы этой оффтоп.
создавайте свою, изложите там ваши "решения" и я думаю что вам там популярно объяснят как делать не нужно.

Техподдержка Циски панацея от всего? Типа приедут и решат все проблемы? Только что-то пол дня провозились, а результат - ноль!!! Веришь или нет - это твое личное дело.
Я даже не буду учитывать фактор безопасности и время простоя, вот тебе обычная математика:
Вероятность отказа единственного свича в три раза меньше, чем отказ одного из трех, но вероятность отказа даже двух свичей одновременно во много раз меньше, чем отказ единственного свича.
При отказе, если один свич: теряем 100% работоспособности (а также 100% стоимости) всей системы, т.е. всего офиса - никто работать не сможет.
При отказе, если три свича: теряем одну треть работоспособности (и только одну треть стоимости) всей системы, т.е. две трети офиса может спокойно работать в обычном режиме.
Каждый делает как ему выгоднее и удобнее, как сделано у меня, так делают очень многие, а ты навязываешь свои идеи всем и считаешь их самыми правильными. Дискутировать я с тобой не буду больше, надоело уже.