- - PR -
ISAと静的ルーティング
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2004-09-13 20:56
kaz様----------------------------------------------------------------
当初出来なくなっていたRRASですが、いつの間にやらできるようになっていました。 2000の時もそうでしたが、VPNの設定をすると自動的に有効化されていたので、 今回もこれによって出来るようになったのかもしれません。 「内部⇔内部」の許可ポリシーは私の実験からする限り必要で、これが2004独自です。 kaz様が仰るとおり、2000の時にはRRASだけで私もルーティングできたのですが、 2004は明示的に「許可」と定義しないと出来ないようです。 Uchikoshi様----------------------------------------------------------- 御提示頂いた方法でほぼ出来るようになりました。 ただ、私の場合は「ネットワークA」をどこにも定義していなかったのが×でした。 それと、route add -pは本件の調査の過程で知りましたが、 「再起動してもルーティングテーブルに残る」程度しか理解していなかったので、 kaz様同様に私も勉強になりました。 シャーク様------------------------------------------------------------ どうやら既出の実験からISA 2004はルーティングに一枚かむようですが、 チェック不要なパケットにまでチェックを入れるのは宜しくないと?? (「別の要素」を踏まえてチェックしてるので怖いというのは調べる価値がありますね) しかし、今回の件では単純に 「内部」→「内部」で「すべての送信トラフィック」を許可 というポリシー追加でうまくいったので、提案は忘れずに覚えておきます。 それと、今回の要件は 「社内PCのゲートウェイはISAでネットもネットワークAとも通信したい」 というのが、私の中ではプライオリティが一番でした。(だから困っていたのです。。 kaz様---------------------------------------------------------------- あぅ・・・。私の絵が下手で誤解を与えてしまったようです。ゴメンナサイ。 あの絵の「社内」は「ここからここまでが社内ですよ〜」のつもりで描いたので、 インターネット | ISA 2004 | ハブ----社内PC群(172.19.200.0/24) | ルーター | ネットワークAへ(172.19.0.0/16) ネットワークとしては、「外部」「社内」「ネットワークA」しかありません。 本当は「境界領域」もありますが、便宜上省きました。 1, ルーターの設定は変更できない 2, 各PCのデフォルトゲートウェイはISA 2004 として上が判断し始めてしまったので、提案を用いることはできません。 紛らわしい絵を描いてしまって本当に申し訳ありません。 | ||||||||
|
投稿日時: 2004-09-13 21:33
こんばんわ.
お疲れ様です,解決されたのですよね? なので,この点だけ. ISA server それ自身はやはり単なる "firewall" です. router はむしろ Windows の機能で実現しています. それが証拠に,ISA server を実装していない Windows で同様に router としての機能を発揮するので. 無論「ISA server を実装している host」が "ISA" なら別儀ですが. ま,細かく拘るほどのこともありませんが... RRAS が機能し始めたのが VPN の有効化がきっかけなのであれば, 何らかの形で「RRAS を有効にする手順」が存在しているように感じます. 少なくとも「一定の環境が整わないと RRAS は有効にならない」 という仕様なのではないかと. やっぱり確認してみないと,ですね. 手元の環境で試してみようかな? | ||||||||
|
投稿日時: 2004-09-13 22:09
まとめ
私の行なった事や結果がごちゃごちゃになってしまった感があるので、 現在までのまとめとしてここに残しておこうと思います。(後学のためでもあり・・・ -------------------------------------------------------------------- 現在のネットワーク構成 インターネット | ISA 2004 | ハブ----社内PC群(172.19.200.0/24) | ルーター | ネットワークAへ(172.19.0.0/16) -------------------------------------------------------------------- 私のやりたいこと 上記のネットワーク構成において ・ルーターの設定は変更できない ・各PCのデフォルトゲートウェイはISA 2004 という条件を満たして、ネットもネットワークAとも通信したいというのが目的です。 -------------------------------------------------------------------- 問題点とその解決策 ・RRASが使用不可能であった 気がついたら使用可能になっていたが、 恐らくはVPNの設定した時に自動的に有効化されたものと考えられる。 (IAS 2000の機能を元にした想像です) また、仮にRRASが使えなくてもコマンドプロンプトから 「route add -p 172.19.0.0 mask 255.255.0.0 172.19.200.90」 上記のような感じで静的にルーティングすることが可能。 ・ネットワークAをどこに定義してよいか分からず放置していた ルーティングしたいネットワークが「直接」ISAとつながっていなくても、 何かしらのネットワークに定義・分類しないとダメなようです。(ISA 2004独自かも) ・上記二つをやってもまだ通信できなかった これはISA 2004からの仕様であると思われるが、目標のネットワークが内部でも 「内部」⇔「内部」のパケット通過を明示的に許可しなければダメらしいです。 -------------------------------------------------------------------- 簡易チャート ISA機に静的ルーティングを施す(RRAS or route add -p・・・) ↓ 通信したいネットーワークをどこかのネットワークに定義(新規作成でもOK?) ↓ 内部と上で作ったネットワークへの通信を明示的に許可 -------------------------------------------------------------------- こんな感じでしょうか・・・。とりあえず、初期目的は達成されました。 皆様ありがとうございます。 御意見・ご質問がありましたらまたお返事をくださいませ。 私は「ISAを経由するとスループットが急落する」問題の調査命令を受けていて、 しばらくはそちらに取り掛かることにします。 でも、「内部」に追加定義している状態はUchikoshi様の仰るとおりマズイかも・・・。 時間が取れ次第修正したいのですが、以前に失敗したものでかなり億劫になってます。 [ メッセージ編集済み 編集者: るーさま 編集日時 2004-09-13 22:19 ] | ||||||||
|
投稿日時: 2004-09-13 22:17
kaz様、ご返信ありがとうございます。
言われてみればそうですね。RRASでルーティングされているわけですし。 ではやっぱり、ISAにルーティングを設定する能力がないとの裏づけにも・・・。 RRASの有効化の条件は全くもって不明です。 「ICFはISA Server名で有効です」のようなエラーメッセージと、 VPNの有効化で使えるようになったかもしれないというのが解決の糸口でしょうか? | ||||||||
|
投稿日時: 2004-09-14 00:04
そのとおりかと. つまり firewall の機能そのものは「こっちからあっちにこれを通す/通さない」 という機能を司っているのであって, 「この network/ip address はこっちのほうへご案内」な機能とは別物です. 両者が密接に結びついてあたかも「一体感」を醸し出しているので そのように誤解されることは多いですが, router mode な firewall だけでなく bridge な firewall も存在します. ※ISA server で bridge ができるかわかりませんが, ※Firewall-1 はそのような仕様に対応しているようですし, ※Linux の Netfilter はまさにそのような使い方が出来ます. なので,ISA server そのものには routing を司ることは出来ないので, 「ISA server と絡む仕組みで router としての機能を実現する」 という話だと思います.
Microsoft-RPC 絡みとか,NetBIOS 関連に起因する問題では? 当てになりませんが... | ||||||||
|
投稿日時: 2004-09-14 12:03
こんにちは。お久しぶりです。
常駐先で自分で確かめたいことがあってそちらの方に没頭していたので、見ていませんでした。 一言だけ。 『ISA2004』に使用するハードウェアは、スループットがどうしても上がってしまうので、できる限りいいマシンで使用したほうが良いです。以前うちの社内でもクライアント数が50台前後で、CPUがPentiumV 333MHz、メモリが128MBのマシンを使用していました(使用できるマシンが無かったので…)が、しょっちゅう落ちまくっていました。 現在は、Pentium4でメモリが256MBのマシンを置いているので安定しています。かけるところで経費はかけないと、余計な神経を使わなければならない状態を作り出します。 『ISA2004』でどのくらいのトラフィックがあるのかを調査(EtherealやOS添付のネットワークモニタなどを使用)し、マシンを入れ替えするのをひとつの方法かと思います。 | ||||||||
|
投稿日時: 2004-09-14 17:42
こんにちわ.
たった今 ISA Server 2004 を Windows Server 2003 に導入してみました. 結論から言うと,自分がるーさま様の書き込みを見誤ってました. やはり RRAS でやれば良いと思います. ISA 2000 では RRAS と一体化しますので,「default で auto-start」でした. が,ISA 2004 では「default で disable」というだけでした. つまり,サービスとして「無効」であって,これを「自動」に設定したら普通に使えました. ISA 2004 では RRAS は制御してないみたいですね,単に「無効」にするだけで. security policy の rule まで確認する暇がなかったので, 「通信が出来るか否か」は確認してませんが, また時間のあるときにやってみようと思います. それまであの環境確保できるかな... 以上,ご参考までに. | ||||||||
|
投稿日時: 2004-09-15 09:08
皆様お返事ありがとうございます。
とりあえず、簡単ではありますが、返信をしておきたいと思います。 Kaz様〜〜 ISAの役割ですが、なんとなくわかったような気がします。ありがとうございます。 スループットの急落は全く原因不明なのです。詳しくは↓をご覧下さい。。。 ヨッシー様〜〜 マシンの性能は全く問題が無いはずです。 CPU:Xeon 30.6GB × 2 メモリ:2GB 回線:FTTH この性能で、「マシンのスペックが悪い」と言われたら、管理者を辞めざるを得ないかと(苦笑 kaz様〜〜 そうですか。「サービス」でやってみた時もダメだったような気がしたのですが・・・。 次にゼロからインストールする時にはきちんと「自動」にして設定してみます。 わざわざありがとうございました。 | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。