服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 常规Forefront TMG 2010networking/代理configuration
Intereting Posts
使用Hudson Deploy插件部署到JBoss 7 删除数据库信息 在Centos 4.x上安装Python 2.4或更高版本 在HP Proliant DL380 G4中使用备用驱动器 Postfix中继到Office365 Windows Server 2008 Hyper-V裸机是否支持防病毒? apache转发代理可以被虚拟主机或.htaccess限制吗? 我工作的地方都以root身份login 我的专用静态IP地址应该指向我的域名吗? 如何在同一个IP地址(不同的端口)上运行Apache&IIS 7? 从NGINX中删除上游服务器,并使用相同的ID再次添加 是否有可能升级docker运行容器群模式? Windows 2012 R2 – 使用MD5哈希search文件? *如何在没有用户名和密码的情况下login到VMWare Infrastructure Web访问 使用“邮件”命令将发送的邮件保存在发送的邮箱中

常规Forefront TMG 2010networking/代理configuration

我们决定在50到75个用户(Windows 7,XP客户端,Windows Server 2008 R2服务器和一些Linux机箱)networking上testing并部署Forefront TMG服务器,

我们的networking拓扑是:

4个地板(4个Lan交换机)>连接到我们的服务器机房中的核心交换机>核心交换机连接到我们在FA 0/1上的Cisco路由器> Cisco路由器FA 0/0连接到我们的ISP(WAN)。

此时我们的DHCP正在我们的cisco路由器上运行,它也是我们局域网的默认网关:默认网关:192.168.1.1

我的问题是:

TMG服务器有2个NIC(一个连接到我们的LAN交换机 – TMG NIC IP:192.168.1.200)

在Forefront TMG安装期间,我在安装期间在适配器select上添加了192.168.1.1 – 192.168.1.254范围,

一旦安装完成,我应该如何redirect我的客户,以便所有的networking和互联网stream量通过TMG网卡192.168.1.200

什么IP可以分配给TMG服务器上的第二个NIC?

第二块网卡应该连接在哪里?

我应该把DUAL NICS放在我们的核心局域网交换机和路由器之间,还是放在核心交换机后面?

将不胜感激您对此的帮助,我们将使用此function进行内容过滤和网页拦截等function。

谢谢阅读 !

谢谢你的回复:我现在有三个以上的问题:-)

问题1:如果我们的TMG服务器上有3个ISP连接和4个NICS,我可以连接所有这些连接,并有TMG负载平衡/故障切换吗?

问题2:TMG可以拨打PPPOE连接吗? 说所有3个互联网服务供应商要求我们拨打pppoe – 是否有可能configuration每个networking?

Q.3:我们现在也有一台Cisco路由器充当我们的WAN路由器,只能插入1个ISP,当我configurationTMG负载均衡所有3个WAN时,我应该从拓扑结构中删除Cisco还是如何连接TMG和思科? 这里有点困惑 – 如果可以帮助的话,将不胜感激。

Q.4:如果我的TMG服务器上只有一(1)个NIC,它是否会连接到我们的LAN交换机,然后我们将在W7 / XP客户机上指定它的地址,以便充当caching服务器/网页filter?

问题5:我们如何路由所有内部互联网stream量,使其只能通过我们的TMG服务器 – 如果我们只用这个caching和网页过滤?

再次感谢您的答复 – 我现在只是testing这个,我已经安装了AD 2008R2 Box,TMGjoin到域中,并安装和configuration了4个网卡。 TMG目前插入我们的LAN交换机

您需要在另一个子网中使用第二个NIC才能使Windows路由快乐。 然后,在内部子网和外部子网之间的TMG NAT(无论如何使用Edge布局)。

要通过TMG框推送所有stream量,请将客户端指向它作为默认网关。 目前networking如何运作可能是一个相当大的变化,所以有一个回滚策略。

为了做到这一点最简单(但是有一个重大的改变),把当前的DG切换到一个不同的子网(比如说一个10.x子网,所以它很好,视觉上也有区别),把另一个TMG适配器插入子网,该子网被TMG认为是外部的(即,不包括它作为“内部”networking) – 这样,任何不在当前定义的内部IP范围内的东西都将被认为是敌对的。 (或者至less是外部的; TMG不隐含地信任内部networking)。

10.xnetworking本质上变成了非军事区(DMZ) – 您的路由器(我假设目前正在与ISP进行NAT转换)可以将传入的请求转发到TMG盒上的外部接口,而TMG防火墙策略将控制所有stream量进出192.168.1.xnetworking。

为了便于移植,如果这样做,TMG的内部接口应该假定路由器的旧IP,即已经configuration的客户端默认网关。

对于高级Web使用,即authentication(如果需要),configurationWPAD以使客户端能够清楚地了解代理。

或者,保持原样,忽略第二个NIC,然后使用TMG作为显式Web代理,在客户端或通过WPADconfiguration为http:// tmg:8080 。 它不会进行全网内容过滤,但是至less可以在该configuration中进行networkingstream量扫描,并且在启动大规模中断path之前让您有时间熟悉它。

更好的是,使用实验室或虚拟机testing您的预期设置。

只是一个想法。

编辑 :另一个非常非常一般的提示:在某些时候,你将会试图创build一个规则,说“允许任何地方任何时间”。 如果你真的屈服于这种诱惑,确保你从中排除本地主机networking,至lessTMG仍然在执行一些本地包过滤,以防御讨厌的内部/外部客户端。 (NAT倾向于关注来自外部的大多数传入stream量,但总是会有外部错误configuration担心)。

如果您希望TMG能够连接到或被某些东西连接,系统策略就是在哪里做的。 作为另一个提示,如果你不允许任何传入连接到除RDP以外的TMG,你将基本上*能够忽略被释放*的大多数安全更新。 这对于正常运行时间是很好的。 加! 当MSRC发布公告时,NIS会得到更新,所以还有一个额外的保护级别。 只是不自满。

'* – 不要这样做。