ÇÖZÜMPARK

Çözümsüz Sorunuz Kalmasın.
ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
in ARA
Ana Sayfa Makaleler Forumlar Resimler Dosyalar Biz Kimiz? Online Destek İletişim

ISA Server

ISA Server da Çoklu Network Desteği

 

 

Sahip olduğumuz ISA Server ın büyüyen şirket yapısına destek verebilmesi için çoklu network desteğini iyi anlamak gerekmektedir. Bu nedenle bende makalemde bu konuya değineceğim. ISA Server için minimum iki interface gerekmektedir ( cache mode haricinde, bu mode için tek interface yeterlidir ) , ancak her zaman şirket yapınızda bir iç interface birde dış interface olmayabilir, yani bunun yanında şubeli bir yapınız olabilir ve gerek fiziksel gerekse sanal olarak daha fazla interface e ihtiyaç duyabilirsiniz. Buna bir iki örnek vermek gerekirse;

 

İlk senaryoda şubeli bir yapıya sahip şirkette merkez ofiste bir ISA Server varsa ve şubedeki network yapısı merkeze ATM omurgası ile bağlanıyorsa ( Leased-Line veya Frame Relay hat ile bir router aracılığıyla ) gelen bağlantının ISA sunucu tarafından algılanması gerekmektedir, oysaki ISA Server kurulduktan sonra gelen standart networkler arasında şube network ü ile ilgili bir bilgi bulunmamaktadır. Gelen bu hat router dan dan direk olarak ISA Server a da bağlanabilir veya switch yardımı ile iç interface inede ulaşabilir.

clip_image001

Şekil -1

İlk durumda ISA Server a fiziksel bir interface daha eklenmesi gerekmekte ve bu interface üzerinden gelen paketler için de ISA da tanımlama yapılması gerekmektedir.

İkinci durumda ise şubedeki bağlantı switch e ulaştığından ISA Server a ek bir interface bağlamaya gerek yoktur, ancak her iki durumda da şube ile veri iletişiminin sağlıklı gerçekleşmesi için ISA Server da yeni network tanımlaması yapmak gerekmektedir.

Bir başla senaryoda ise yine iki veya daha fazla şubeli bir yapı bulunmakta ancak bu sefer iki şube arasındaki bağlantıyı donanımsal vpn ile sağlamaktayız.

clip_image002

Şekil -2

Bu durumda da ISA Server için şube yeni bir network olarak tanımlanmak zorundadır, çünkü şubeden gelen paketler vpn i sağlayan donanım in iç bacağına kadar ulaşır, yani burası da ISA nın dış bacağı oluyor, bu nedenle bu paket ISA için “External” dan gelen bir paket olduğundan dolayı bu paketin içeriye başarılı bir şekilde girmesi için yine ISA tarafından tanımlanması gerekmektedir.

Bu örnekleri çoğaltmak mümkündür. Bu örnekler ışığında ISA Server ın şubeli bir yapıya destek sağlaması için çoklu network desteği hakkında bilgi sahibi olmamız gerekmektedir.

ISA Server ın Network özelliklerini incelemeye başlayalım

clip_image003

Şekil -3

  • Isa Server pek çok sayıda network desteklemektedir. Şirketinizin ihtiyaçları doğrultusunda ISA Server’ı ayarlayarak istediğiniz bir network yapısını ISA Server üzerinde de elde etmeniz mümkündür.
  • Bu yapıda VPN networkleri de birer network olarak temsil edilirler.
  • Dinamik network üyelerini desteklemektedir.
  • Her network başına kural tanımlanabilir.
  • Her network başına policy atanabilir.
  • Networkler ayarlanabilir.

ISA Server, network yapısı olarak esneklik göstermektedir, yeni network ler eklenebilir veya çıkarılabilmektedir, network setler oluşturulmakta ve aralarındaki trafik yönetilebilmektedir, bunların tümünün yapılabilmesi için öncelikle ISA Server ile gelen standart networkler i ve network objelerini tanımak gerekmektedir, bunlar ise aşağıdaki gibidir.

ISA Server ile gelen standart networkler;

  • Local Host: ISA server ın kendisini temsil eder

  • Default External: Diğer networklerle eşleşmeyen tüm ip adresleri olarak ifade edilir.

  • İnternal: Yükleme sırasında internal olarak belirlenmiş tüm ip adresleri.

  • VPN Clients: Başarılı bir şekilde bağlanan tüm VPN Clientlarına atanan ip adresleri.

  • Quarantined VPN Clients: VPN ile bağlanan ve güvenli bir bağlantı sağlamayan tüm ip adreslerini içerir.

ISA Serverdaki Network objeleri ise aşağıdaki gibidir.

  • Network: Bir network ara yüzüne bağlı bilgisayarların oluşturduğu yapıdır
  • Network Set: bir veya daha fazla networkun oluşturduğu yapıdır
  • Computer: bir ip adresi ile kimliklendirilmiş tek bilgisayar
  • Computer set: bilgisayarın oluşturduğu bilgisayar kümesidir.
  • Address range: ip adres aralığıdır
  • Subnet: Bir network un sahip olduğu belirli bir subneti ifade eder
  • URL set: tüm belirli url leri içerebilir. ( site yasaklamak veya izin vermek içindir)
  • Domain name set: tüm belirli domain isimlerini içerebilir ( adresinde belirli kelimeler geçen siteleri yasaklamak veya izin vermek için kullanılabilir )
  • Web Listener: ISA Server a gelen veya ISA Server dan çıkan bağlantıları dinler

Öğrendiğimiz bilgiler ışığında artık bir network e ihtiyaç duymamız halinde ISA Server üzerinde yeni bir network tanımlamamız gerekmektedir.

YENI BIR NETWORK OLUŞTURULMASI VE DEĞİŞTİRİLMESİ

Yeni bir network oluşturmak için ISA Server da yönetim konsolunda network kısmına gelip sağ tıklıyoruz

clip_image004

Şekil -4

Burada “new” kısmında “Network” u seçiyoruz. ( veya oluşturmak istediğiniz diğer network bileşenleri veya kuralları da olabilir )

clip_image005

Şekil -5

Oluşturacağımız network e açıklayıcı bir isim veriyoruz ve next tuşuna basıyoruz

clip_image006

Şekil -6

Bu sekme çok önemlidir, bu açacağımız networkun bağlantı şeklini belirlemektedir, bunu örneklerle açıklamak isterim;

Eğer ISA Server a gelen bir bağlantı external interface aracılığı ile giriş yaparsa ISA Server a bu external bir bağlantıdır ve buna göre kural yazılır, ama girişi internal interface üzerindense bu internal bir bağlantıdır. Mesela iki vpn bağlantısını ele alalım ama bu bağlantılar yani vpn ler isa server ın vpn özelliğinden bağımsız donanımsal bir şekilde olsun, Biri adls modemler üzerinden vpn diğeri ise leased line üzerinden yapılan vpn.

Şimdi internet üzerinden yani adsl modemle yapılan vpn iki adsl modem aracılığıyla yapılır ve adsl modemlerde ISA Server ın external interface ine bağlıdır doğal olarak eğer Ankara ofisiniz adsl modem üzerinden vpn yaparak ISA ya bağlanacak sa paket ISA nın dış bacağına erişeceği için ve “External to internal” şeklinde bir kuralda bulunmadığından paket geri çevrilecektir. Ancak biz bu paketi içeri almak için bir kural yazarsak bu sefer bizim Ankara ofisimizin dışında internetten gelen diğer isteklerde bu kuraldan şirket içi network e ulaşacak ve bu bir güvenlik açığı olacaktır. Bizim bu yapıyı güvenli bir şekilde kurmamız için dışarıdan gelen bu paketi ISA ya tanıtmamız gerekmektedir. Bunun için Ankara şubesinin network ID sini ISA Server a tanıtıyoruz ve bu sayede artık “External to internal” diye bir kural yazmaya gerek kalmadan “Ankara to internal” şeklinde bir kural yazarak güvenli bir bağlantı sağlamış oluyoruz. Yani bu yapıda Ankara Showroom için network tipi “External” olarak seçilecektir.

Diğer yapıda ise Ankara şubesi leased line ile merkeze bağlanırsa bu internal bir bağlantıdır. Bunu sebebi ise merkeze ister leased line isterse frame relay ile bağlansın sonuçta merkezdeki modem bağlanır ve bu modemde router a, router ise switch e giriş yapar, switch te ısa için iç bacağında olduğundan bu internal bir bağlantıdır, bizim bağlantımızda bu şekilde olup internal ı seçip devam ediyoruz.

( Perimeter Network için ISA üzerine 3. bir interface takılır ve ip yapılandırılması tanımlanır, ardından ISA üzerinden yeni network oluşturulur ve bu pencerede Perimeter Network seçilir, bu network güvenli server yayınları için kullanılır, VPN Site-to-Site Network ise ISA üzerinde Site-to-Site VPN yapmamız halinde tanımlanan networktur, ancak VPN ara yüzünden yapıldığı için buradan tanımlamaya gerek yoktur. )

clip_image007

Şekil -7

Bu noktada bu internal bağlantının ip aralığını istemektedir, bizim merkezimiz 10.x.x.x li havuzda olduğundan Ankara havuzunu 30.x.x.x li havuza ayarlamıştır ve onun ip aralığını giriyoruz ve ilerliyoruz.

clip_image008

Şekil -9

Karşımıza işlemimizin bittiğini belirten bir ekran gelecektir burada finish diyerek network ekleme işlemimizi bitirmiş oluyoruz. Bundan sonra network kısmında Ankara networkumuz görebileceğiz.

clip_image009

Şekil -10

Ayarların geçerli olması için apply tuşuna basıyoruz ve network tanımlama işlemini bitiriyoruz.

Ancak şu anda Ankara ofisimdeki kullanıcıların merkez ofise erişmeleri için gerekli işlemler tamamlanmış değildir, ISA Server sahip olduğu Ankara network ünden gelen paketleri nasıl ileteceğini bilmemektedir, bunun için ISA yönetim konsolunda Network tabında “Network Rules” kısmına geliyoruz

clip_image010

Şekil -11

Burada Sağ tarafta bulunan “Tasks” menüsünden “Create a Network Rule” kısmına tıklıyoruz.

 

clip_image011

Şekil -12

Kuralımıza bir isim vererek ilerliyoruz.

clip_image012

Şekil -13

Paketlerin nereden geleceğini seçiyoruz

clip_image013

Şekil -14

Paketlerin nereye gideceğini seçiyoruz

clip_image014

Şekil -15

Hedef ve kaynak networkler arasında dolaşan paketin bu iki network arasında nasıl iletileceğini belirliyoruz. Paketin başarılı bir şekilde iletilmesi için “Route” seçeneğini seçiyoruz ve ilerliyoruz.

clip_image015

Şekil -16

“Finish” diyerek kuralımız tamamlıyoruz.

Artık ISA Server ımız uzak ofis network ünden haberdar ve oradan gelen paketlerin merkeze nasıl iletileceğini de bilmektedir.

Eğer birden çok uzak ofisinizin olması halinde ise tek tek bu şekilde kural yazmaya gerek yoktur, bunu için yine ISA yönetim konsolunda sahip olduğunuz bütün networkleri bir network set altında toplayabilirsiniz.

Bunun için bir kaç adet network açıyorum ve ardından bu elimdeki networkleri bir network set altında topluyorum

ISA yönetim konsolunda Network tabında “Network Sets” kısmına tıklıyoruz ve sağ tarafta bulunan Tasks menüsünden “Create a New Network Set” kısmına tıklıyoruz.

clip_image016

Şekil -17

clip_image017

Şekil -18

Network Set e anlamlı bir isim veriyoruz ve ilerliyoruz

clip_image018

Şekil -19

Oluşturduğumuz network set in hangi networkleri içerdiğini belirtiyoruz.

clip_image019

Şekil -20

Karşımıza çıkan son pencerede de “Finish” diyerek işlemi tamamlıyoruz.

clip_image020

Şekil -21

Bu sayede artık gerek network rules kısmına gerekse firewall policy sekmesinde artık networkleri tek tek değil de bir set halinde kullanabileceğiz.

Bu sayede ISA Server a bir network eklemek için gerekli olan tanımlamaları yapmış olduk. ( makale konusunda olmadığı için anlatılmayan ancak iletişim için ayrıca Firewall policy kısmında bir rule ve ISA üzerinde uzak ofis için bir static route girişini de unutmamak gereklidir. )

Bir başka ISA makalesinde görüşmek üzere.

 

 

Yayınlanış Tarihi 27 Mart 2008 Perşembe 21:04 Yayınlayan: Hakan UZUNER

Yorumlar

 

Sinan KAHRAMAN Dediki :

Emeğinize sağlık

Mart 28, 2008 10:54
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

About Hakan UZUNER

İstanbul Beşiktaş doğumluyum. 1996 yılından beri bilişim sektöründeyim. Üniversite eğitimimi Marmara Üniversitesinde tamamladım ve analitik ana bilim dalında master a başladım. Üniversite döneminde pek çok firmaya destek verdim. Sektörde ; Sistem Yöneticiliği , Bilgi İşlem Müdürlüğü ve Proje Yöneticisi olarak görev yaptım. Projelerim sırasında pek çok firma yapısını görme ve çalışma fırsatı buldum . En son olarak ise Bilge Adam Bilgi Teknolojileri Akademisinde Eğitmen ve Danışmanlık yaptım . Şu anda ise İngilterede sektörü kovalıyorum :) MVP MCTS: Windows Server 2008 Active Directory: Configuration MCTS: Windows Server 2008 Network Infrastructure MCTS: Windows Server 2008 Applications Infrastructure MCITP: Server Administrator MCP,MCSA+S+M,MCSE+S+M,MCDBA MCDST,MCT,CCNA,HP APS MCTS: Vista - Exchange 2007 MCITP: Vista - Exchange 2007 CompTia Network +

hakanuzuner.com

Makale Kategorileri

Exchange Server
Windows Vista
3 Party
SQL Server
Network
ISA Server
Windows Server
Donanım
Ofis
Windows Xp
Linux Unix
Small Business Server
Cisco System
Fortinet
Güvenlik
Microsoft System Center
Hewlett-Packard
IBM
Tümü   

Bu Kategori

Hızlı aktarma
ÇözümPark Portalı, Microsoft Türkiye tarafından desteklenmektedir. Copyright BilgiPark 2008. All rights reserved