Sahip olduğumuz ISA Server ın büyüyen şirket yapısına destek verebilmesi için çoklu network desteğini iyi anlamak gerekmektedir. Bu nedenle bende makalemde bu konuya değineceğim. ISA Server için minimum iki interface gerekmektedir ( cache mode haricinde, bu mode için tek interface yeterlidir ) , ancak her zaman şirket yapınızda bir iç interface birde dış interface olmayabilir, yani bunun yanında şubeli bir yapınız olabilir ve gerek fiziksel gerekse sanal olarak daha fazla interface e ihtiyaç duyabilirsiniz. Buna bir iki örnek vermek gerekirse; İlk senaryoda şubeli bir yapıya sahip şirkette merkez ofiste bir ISA Server varsa ve şubedeki network yapısı merkeze ATM omurgası ile bağlanıyorsa ( Leased-Line veya Frame Relay hat ile bir router aracılığıyla ) gelen bağlantının ISA server tarafından algılanması gerekmektedir, oysaki ISA Server kurulduktan sonra gelen standart network'ler arasında şube network ü ile ilgili bir bilgi bulunmamaktadır. Gelen bu hat router dan direk olarak ISA Server a da bağlanabilir veya switch yardımı ile iç interface inede ulaşabilir.
Şekil -1
İlk durumda ISA Server a fiziksel bir interface daha eklenmesi gerekmekte ve bu interface üzerinden gelen paketler için de ISA da tanımlama yapılması gerekmektedir.
İkinci durumda ise şubedeki bağlantı switch e ulaştığından ISA Server a ek bir interface bağlamaya gerek yoktur, ancak her iki durumda da şube ile veri iletişiminin sağlıklı gerçekleşmesi için ISA Server da yeni network tanımlaması yapmak gerekmektedir.
Bir başla senaryoda ise yine iki veya daha fazla şubeli bir yapı bulunmakta ancak bu sefer iki şube arasındaki bağlantıyı donanımsal vpn ile sağlamaktayız.
Şekil -2
Bu durumda da ISA Server için şube yeni bir network olarak tanımlanmak zorundadır, çünkü şubeden gelen paketler vpn i sağlayan donanım ın iç bacağına kadar ulaşır, yani burası da ISA nın dış bacağı oluyor, bu nedenle bu paket ISA için ?External? dan gelen bir paket olduğundan dolayı bu paketin içeriye başarılı bir şekilde girmesi için yine ISA tarafından tanımlanması gerekmektedir.
Bu örnekleri çoğaltmak mümkündür. Bu örnekler ışığında ISA Server ın şubeli bir yapıya destek sağlaması için çoklu network desteği hakkında bilgi sahibi olmamız gerekmektedir.
ISA Server ın Network özelliklerini incelemeye başlayalım
Şekil -3
· Isa Server pek çok sayıda network desteklemektedir. Şirketinizin ihtiyaçları doğrultusunda ISA Server?ı ayarlayarak istediğiniz bir network yapısını ISA Server üzerinde de elde etmeniz mümkündür.
· Bu yapıda VPN networkleri de birer network olarak temsil edilirler.
· Dinamik network üyelerini desteklemektedir.
· Her network başına kural tanımlanabilir.
· Her network başına policy atanabilir.
· Networkler ayarlanabilir.
ISA Server, network yapısı olarak esneklik göstermektedir, yeni network ler eklenebilir veya çıkarılabilmektedir, network setler oluşturulmakta ve aralarındaki trafik yönetilebilmektedir, bunların tümünün yapılabilmesi için öncelikle ISA Server ile gelen standart networkleri ve network objelerini tanımak gerekmektedir, bunlar ise aşağıdaki gibidir.
ISA Server ile gelen standart Networkler;
· Local Host : ISA server ın kendisini temsil eder
· Default External : Diğer networklerle eşleşmeyen tüm ip adresleri olarak ifade edilir.
· İnternal : Yükleme sırasında internal olarak belirlenmiş tüm ip adresleri.
· VPN Clients : Başarılı bir şekilde bağlanan tüm VPN Clientlarına atanan ip adresleri.
· Quarantined VPN Clients : VPN ile bağlanan ve güvenli bir bağlantı sağlamayan tüm ip adreslerini içerir.
ISA Serverdaki Network objeleri ise aşağıdaki gibidir.
· Network : Bir network ara yüzüne bağlı bilgisayarların oluşturduğu yapıdır
· Network Set : bir veya daha fazla networkun oluşturduğu yapıdır
· Computer : bir ip adresi ile kimliklendirilmiş tek bilgisayar
· Computer set : bilgisayarın oluşturduğu bilgisayar kümesidir.
· Address range : ip adres aralığıdır
· Subnet : Bir network un sahip olduğu belirli bir subneti ifade eder
· URL set : tüm belirli URL leri içerebilir. ( site yasaklamak veya izin vermek içindir)
· Domain name set : tüm belirli domain isimlerini içerebilir ( adresinde belirli kelimeler geçen siteleri yasaklamak veya izin vermek için kullanılabilir )
· Web Listener : ISA Server a gelen veya ISA Server dan çıkan bağlantıları dinler
Öğrendiğimiz bilgiler ışığında artık bir network e ihtiyaç duymamız halinde ISA Server üzerinde yeni bir network tanımlamamız gerekmektedir.
YENI BIR NETWORK OLUŞTURULMASI VE DEĞİŞTİRİLMESİ
Yeni bir network oluşturmak için ISA Server da yönetim konsolunda network kısmına gelip sağ tıklıyoruz
Şekil -4
Burada ?New? kısmında ?Network? u seçiyoruz . ( veya oluşturmak istediğiniz diğer network bileşenleri veya kuralları da olabilir )
Şekil -5
Oluşturacağımız network e açıklayıcı bir isim veriyoruz ve next tuşuna basıyoruz
Şekil -6
Bu sekme çok önemlidir , bu açacağımız networkun bağlantı şeklini belirlemektedir, bunu örneklerle açıklamak isterim ;
Eğer ISA Server a gelen bir bağlantı external interface aracılığı ile giriş yaparsa ISA Server a bu external bir bağlantıdır ve buna göre kural yazılır , ama girişi internal interface üzerindense bu internal bir bağlantıdır. Mesela iki vpn bağlantısını ele alalım ama bu bağlantılar yani vpn ler ISA Server ın VPN özelliğinden bağımsız donanımsal bir şekilde olsun , Biri adls modemler üzerinden vpn diğeri ise leased line üzerinden yapılan vpn.
Şimdi internet üzerinden yani adsl modemle yapılan vpn iki adsl modem aracılığıyla yapılır ve adsl modemlerde ISA Server ın external interface ine bağlıdır doğal olarak eğer Ankara ofisiniz adsl modem üzerinden vpn yaparak ISA ya bağlanacak sa paket ISA nın dış bacağına erişeceği için ve ?External to internal? şeklinde bir kuralda bulunmadığından paket geri çevirilecektir. Ancak biz bu paketi içeri almak için bir kural yazarsak bu sefer bizim Ankara ofisimizin dışında internetten gelen diğer isteklerde bu kuraldan şirket içi network e ulaşacak ve bu bir güvenlik açığı olacaktır . Bizim bu yapıyı güvenli bir şekilde kurmamız için dışarıdan gelen bu paketi ISA ya tanıtmamız gerekmektedir. Bunun için Ankara şubesinin network ID sini ISA Server a tanıtıyoruz ve bu sayede artık ?External to internal? diye bir kural yazmaya gerek kalmadan ?Ankara to internal? şeklinde bir kural yazarak güvenli bir bağlantı sağlamış oluyoruz. Yani bu yapıda Ankara Showroom için network tipi ?External? olarak seçilecektir.
Diğer yapıda ise Ankara şubesi leased line ile merkeze bağlanırsa bu internal bir bağlantıdır. Bunu sebebi ise merkeze ister leased line isterse frame relay ile bağlansın sonuçta merkezdeki modem bağlanır ve bu modemde router a , router ise switch e giriş yapar , switch te ISA için iç bacağında olduğundan bu internal bir bağlantıdır , bizim bağlantımızda bu şekilde olup internal ı seçip devam ediyoruz.
( Perimeter Network için ISA üzerine 3. bir interface takılır ve ip yapılandırılması tanımlanır , ardından ISA üzerinden yeni network oluşturulur ve bu pencerede Perimeter Network seçilir , bu network güvenli server yayınları için kullanılır , VPN Site-to-Site Network ise ISA üzerinde Site-to-Site VPN yapmamız halinde tanımlanan networktur , ancak VPN ara yüzünden yapıldığı için buradan tanımlamaya gerek yoktur. )
Şekil -7
Bu noktada bu internal bağlantının ip aralığını istemektedir , bizim merkezimiz 10.x.x.x li havuzda olduğundan Ankara havuzunu 30.x.x.x li havuza ayarlamıştır ve onun ip aralığını giriyoruz ve ilerliyoruz.
Şekil -9
Karşımıza işlemimizin bittiğini belirten bir ekran gelecektir burada finish diyerek network ekleme işlemimizi bitirmiş oluyoruz. Bundan sonra network kısmında Ankara networkumuz görebileceğiz.
Şekil -10
Ayarların geçerli olması için apply tuşuna basıyoruz ve network tanımlama işlemini bitiriyoruz.
Ancak şu anda Ankara ofisimdeki kullanıcıların merkez ofise erişmeleri için gerekli işlemler tamamlanmış değildir , ISA Server sahip olduğu Ankara network ünden gelen paketleri nasıl ileteceğini bilmemektedir , bunun için ISA yönetim konsolunda Network tabında ?Network Rules? kısmına geliyoruz
Şekil -11
Burada Sağ tarafta bulunan ?Tasks? menüsünden ?Create a Network Rule? kısmına tıklıyoruz.
Şekil -12
Kuralımıza bir isim vererek ilerliyoruz.
Şekil -13
Paketlerin nereden geleceğini seçiyoruz
Şekil -14
Paketlerin nereye gideceğini seçiyoruz
Şekil -15
Hedef ve kaynak networkler arasında dolaşan paketin bu iki network arasında nasıl iletileceğini belirliyoruz. Paketin başarılı bir şekilde iletilmesi için ?Route? seçeneğini seçiyoruz ve ilerliyoruz.
Şekil -16
?Finish? diyerek kuralımız tamamlıyoruz.
Artık ISA Server ımız uzak ofis network ünden haberdar ve oradan gelen paketlerin merkeze nasıl iletileceğini de bilmektedir.
Eğer birden çok uzak ofisinizin olması halinde ise tek tek bu şekilde kural yazmaya gerek yoktur , bunu için yine ISA yönetim konsolunda sahip olduğunuz bütün networkleri bir network set altında toplayabilirsiniz .
Bunun için bir kaç adet network açıyorum ve ardından bu elimdeki networkleri bir network set altında topluyorum
ISA yönetim konsolunda Network tabında ?Network Sets? kısmına tıklıyoruz ve sağ tarafta bulunan Tasks menüsünden ?Create a New Network Set? kısmına tıklıyoruz.
Şekil -17
Şekil -18
Network Set e anlamlı bir isim veriyoruz ve ilerliyoruz
Şekil -19
Oluşturduğumuz network set in hangi networkleri içerdiğini belirtiyoruz.
Şekil -20
Karşımıza çıkan son pencerede de ?Finish? diyerek işlemi tamamlıyoruz.
Şekil -21
Bu sayede artık gerek network Rules kısmına gerekse firewall policy sekmesinde artık networkleri tek tek değil de bir set halinde kullanabileceğiz.
Bu sayede ISA Server a bir network eklemek için gerekli olan tanımlamaları yapmış olduk . ( makale konusunda olmadığı için anlatılmayan ancak iletişim için ayrıca Firewall policy kısmında bir rule ve ISA üzerinde uzak ofis için bir static route girişinide unutmamak gereklidir. )
Bir başka ISA makalesinde görüşmek üzere.
|