正常 Forefront TMG 2010 網路/代理配置
我們決定在 50 - 75 個使用者(Windows 7、XP 客戶端、Windows Server 2008R2 伺服器和一些 Linux 機器)的網路上測試並部署 Forefront TMG 伺服器
我們的網路拓撲是:
4 層樓(4 個 LAN 交換機)> 連接到我們伺服器機房中的核心交換機 > 核心交換機連接到 FA 0/1 上的 Cisco 路由器 > Cisco 路由器 FA 0/0 連接到我們的 ISP(WAN)。
此時我們的 DHCP 正在我們的 cisco 路由器上執行,它也是我們 LAN 的預設網關:預設網關:192.168.1.1
我的問題是:
TMG 伺服器有 2 個 NIC(一個連接到我們的 LAN 交換機 - TMG NIC IP:192.168.1.200)
在 Forefront TMG 安裝期間,我在安裝期間的適配器選擇中添加了 192.168.1.1 - 192.168.1.254 範圍,
安裝完成後,我應該如何重定向我的客戶端,以便所有網路和網際網路流量都通過 TMG NIC 192.168.1.200
我應該為 TMG 伺服器上的第二個 NIC 分配什麼 IP?
第二個網卡應該連接在哪裡?
我應該在我們的核心 LAN 交換機和路由器之間或核心交換機後面放置帶有雙網卡的 TMG 伺服器嗎?
非常感謝您在這方面的幫助,我們會將其用於內容過濾和網路阻止等功能。
謝謝閱讀 !
感謝您的回复:我現在有 3 個以上的問題 :-)
Q.1:如果我在我們的 TMG 伺服器上有 3 個 ISP 連接和 4NICS,我可以連接所有這些並進行 TMG 負載平衡/故障轉移嗎?
Q.2:TMG 可以撥打 PPPOE 連接嗎?比如說所有 3 個 ISP 都要求我們撥打一個 pppoe - 是否可以為每個 nic 配置它?
Q.3:我們現在還有一個 Cisco 路由器作為我們的 WAN 路由器,只插入 1 個 ISP,當我將 TMG 配置為對所有 3 個 WAN 進行負載均衡時,我應該從拓撲中刪除 cisco 還是如何連接 TMG和思科?這裡有點困惑-如果您能對此提供幫助,將不勝感激-如果可能的話。
Q.4:如果我的 TMG 伺服器上只有 1(一個)網卡,它會連接到我們的 LAN 交換機,然後我們會在 W7/XP 客戶端上指定它的地址,以便它充當記憶體伺服器/網路過濾器嗎?
Q.5:我們如何路由所有內部網際網路流量,使其僅通過我們的 TMG 伺服器 - 如果我們僅將其用於記憶體和 Web 過濾?
再次感謝您的回复——我目前正在測試這個,我已經設置了一個 AD 2008R2 盒子,TMG 已加入域並安裝和配置了 4 個網卡。TMG 目前已插入我們的 LAN 交換機
您需要另一個子網中的第二個 NIC 才能使 Windows 路由滿意。然後,在內部子網和外部子網之間進行 TMG NAT(無論如何都使用邊緣佈局)。
要通過 TMG 框推送所有流量,請將客戶端指向它作為預設網關。這可能是對目前網路工作方式的一個相當大的改變,所以有一個回滾策略。
為了最容易地做到這一點(但有很大的改變),將目前的 DG 切換到不同的子網(例如,一個 10.x 的子網,這樣它很好並且在視覺上有所區別),將另一個 TMG 適配器插入該子網,並允許該子網將被 TMG 視為外部網路(即不將其作為“內部”網路包含在內)——這樣,不在目前定義的內部 IP 範圍內的任何內容都將被視為潛在的敵對網路。(或者至少是外部的;TMG 不隱式信任內部網路)。
10.x 網路本質上變成了某種 DMZ - 您的路由器(我假設目前正在 NAT 到 ISP)可以將傳入請求轉發到 TMG 盒子上的外部介面,並且 TMG 防火牆策略將控制所有進出192.168.1.x 網路。
為了便於遷移,如果你這樣做,TMG 的內部介面應該假定路由器的舊 IP,即已經在客戶端上配置的預設網關。
對於高級 Web 使用,即如果需要進行身份驗證,請配置 WPAD 以使客戶端明確了解代理。
或者,保留所有內容,忽略第二個 NIC,並使用 TMG 作為顯式 Web 代理,在客戶端上配置為http://tmg:8080,或通過 WPAD。它不會進行全網內容過濾,但它至少會在該配置中進行網路流量掃描,並讓您有時間在開始大規模中斷路徑之前更加熟悉它。
更好的是,使用實驗室或虛擬機測試您的預期設置。
只是一個想法。
編輯:還有一個非常非常普遍的提示:在某些時候,您會很想創建一條規則,上面寫著“隨時隨地允許任何事情”。如果您確實屈服於這種誘惑,請確保將本地主機網路排除在外,以便至少 TMG 仍在執行一些本地數據包過濾以保護自己免受討厭的內部/外部客戶端的侵害。(NAT 傾向於處理來自外部的大多數傳入流量,但總是需要擔心外部配置錯誤)。
如果您希望 TMG 能夠連接到某個東西或被某個東西連接到,那麼系統策略就是執行此操作的地方。作為另一個提示,如果您不允許除 RDP 之外的任何傳入 TMG 連接,則您基本上能夠忽略大多數*已發布的安全更新**。這對正常執行時間很好。加!NIS 會在 MSRC 發佈公告時獲得更新,因此那裡也有額外的保護級別。只是不要自滿。
’ * - 不要這樣做。