Здравствуйте!

В общем есть прокси сервер ISA 2006 на нем также SURFCOP для подсчета трафика настройки ограничений итд. Подсчет трафика и ограничения необходимы.
Есть роутер и точка доступа WIFI
Хочу реализовать такую систему
клиент подключается к WIFI и получает только доступ в интернет с учетом всех правил и ограничений настроенных на ISA, доступа в локальную сеть не должно быть вообще. (и думаю не средствами иса запрета доступа роутеру в сеть а как то иначе)
Подсчет трафика реализоваться будет я полагаю по ИП например 500мб устройству с ИП ...........
а вот как закрыть доступа ума не приложу.
Настроено сейчас так роутер подключается по динамическому ип к прокси также на роуторе настроено DHCP, что получилось, клиент подключается к WIFI поизвотится авторизация как будто он в локальной сети с помощью настроек у него в браузере и все велком локальная сеть как на ладоне.
Скажите как сделать так как мне нужно.
Есть два устройства
DI 808HV
WIFI DWL2100AP
Все это DLINK

ещё одну сетевушку в ISA, к ней WiFi AP, сетка отличная от Internal.
всё.

Дороговато, HP Proliant 1U свободный слот PCI-E 1x.
USB - кажись будет откажись от стабильности и отказоустойчивости )))

Дороговато, HP Proliant 1U свободный слот PCI-E 1x. »
VLAN'ы.

То есть как мне это реализовать?
У меня нет умных свичей и доп оборудование поддерживающие Vlan

тогда можно попытаться сделать так (это кривовато, но по-моему будет работать)
- на внутреней сетевушке ISA прописываем ещё один IP. (только IP и MASK, ничего больше), предположим 192.168.20.1
- в сети Internal прописываем этот диапазон (192.168.20.0/24)
- на WiFI AP указываем IP 192.168.20.2 а гейтом 192.168.20.1
- делаем явно запрещающее правило для subnet/address range в FW Policy ISA, что бы траффик между этими сабнетами не ходил.

проверьте, я не уверена что это "взлетит"

Дороговато, HP Proliant 1U свободный слот PCI-E 1x. »
кстати сетевушка стоит вовсе не дорого =)
хотя купить один раз свитч с поддержкой вланов - всяко правильнее.

Согласен с cameron, вариант с "левым" IP адресом будет гораздо проще и удобней. На крайний случай покупается USB сетевая, ей дается "левый" IP, и вперед разграничивать права в ISA.

вариант с "левым" IP адресом будет гораздо проще и удобней »
это черевато периодическим срабатыванием TCP Stateful Filter и дропе пакетов в связи со спуфингом.
там есть какая-то совершенно простая тонкость, но я вспомнить не могу :(

Я пробовал кучу всяких вариантов с wi-fi, что бы оградить пользователей (не офиса, а приходящих) - все это полная лажа. В итоге заказал в МТС безлимит (скорость 5 Мбит за 4т. руб. в месяц) на АДСЛ модем, который подключили к АТС - теперь все (приходящие и офисные) пользователи могут хоть закачаться, а если основной интернет откажет, то переключить провод с одного роутера на другой займет менее 5 сек.

Я пробовал кучу всяких вариантов с wi-fi, что бы оградить пользователей (не офиса, а приходящих) - все это полная лажа. »
это решается вланами на ура.
если нет вланов - отдельными сетевыми или отдельными портами роутера.
просто оборудование нужно не SOHO, вот и всё.
а если основной интернет откажет, то переключить провод с одного роутера на другой займет менее 5 сек. »
это тоже реализуется с помощью как софтовых роутеров так и железяк.
при этом железяки копеечные.

это решается вланами на ура.
если нет вланов - отдельными сетевыми или отдельными портами роутера.
просто оборудование нужно не SOHO, вот и всё. »
Нормальное оборудование стоит нормальных денег, а какая нибудь дешевка будет постоянно глючить и проблем будет еще больше. Назови мне хоть что нибудь, более-менее нормальное до 1000$ Я много всего перепробовал и в итоге пришел к выводу, чем проще - тем надежнее. А когда у тебя отключится интернет, то твоя "супер железка" тебе не поможет, т.к. интернета не будет вообще.
это тоже реализуется с помощью как софтовых роутеров так и железяк.»
А зачем? Если интернет за несколько лет отказывал всего один раз и то на 2 часа. Нафиг мне нужно одно устройство с двумя WAN, когда за те же деньги я могу поставить 2 устройства и при необходимости заменить одно другим.
при этом железяки копеечные. »
Если брать какой-нибудь Длинк с двумя WAN, то да, стоить будет не дорого, но и работать будет так же.

Назови мне хоть что нибудь, более-менее нормальное до 1000$ »
свитч? или роутер?
например SRX100/ASA 5505. плохо? :)
Я много всего перепробовал и в итоге пришел к выводу, чем проще - тем надежнее. »
у меня есть подозрение что вы говорите исключительно о Dlink'ах и иже с ними.
А когда у тебя отключится интернет, то твоя "супер железка" тебе не поможет, т.к. интернета не будет вообще. »
ну и как это коррелирует с проблемой разделения траффика?
зачем? Если интернет за несколько лет отказывал всего один раз и то на 2 часа. Нафиг мне нужно одно устройство с двумя WAN, когда за те же деньги я могу поставить 2 устройства и при необходимости заменить одно другим. »
требования бизнеса бывают разные.
тарификации траффика и скорости каналов тоже.
продолжать? =_
Если брать какой-нибудь Длинк с двумя WAN, то да, стоить будет не дорого, но и работать будет так же. »
вот об этом я и говорю.
что выборка из недоустройств никак не отражает реалии.

например SRX100/ASA 5505. плохо? »
И что хорошего? Стояла (года 3 назад) именно такая штука на одном из филиалов. Цель была: разделить сеть на подсети, т.е. что бы разные отделы не видели друг друга. Вис постоянно, раз в неделю стабильно. Админ который ее купил (стоило не дешево) и устанавливал через пару месяцев сделал (достало его) ноги. Даже вызывали специалистов, зависания не прекращались: то сеть не видна, то интернета нет. В итоге поставили 3 неуправляемых свича и проблемы прекратились. С точки зрения безопасности, намного надежнее делить сеть на подсети физически, а не програмно. С точки зрения экономической, тоже выгоднее, т.к. если у тебя накроется твоя умная железка (стоить она будет намного дороже), а тебя на работе не будет (в отпуске, например), то вся (а не определенная подсеть) работа встанет полностью, а обычный свич можно купить в любом компьютерном магазине и заменить его может любой человек без особой подготовки, т.е. время простоя сокращается до минимума.
у меня есть подозрение что вы говорите исключительно о Dlink'ах и иже с ними. »
Не пользуюсь этой лажей вообще, хотя cisco не люблю тоже, т.к. дешёвый cisco (linksys) даже хуже, чем Dlink. Это все миф о надежности cisco. К примеру: cтояло одно (не первое) устройство, раздавало (adsl модем) интернет, постоянно приходилось звонить в Комстар: "включите, выключите, выньте провода, потом опять включите..." Другое устройство раздавало интернет, по статическому IP, тоже постоянные (1-2 раза в неделю) зависания спасало только выключение из розетки, поставил на место него Asus Wl-500GP (ширпотреб), хоть бы раз (для приличия) повис за несколько лет.
ну и как это коррелирует с проблемой разделения траффика? »
Как я уже писал лучше купить еще один канал, щас очень многие провайдеры за копейки предоставляют безлимит. С точки зрения безопасности - намного (абсолютная безопасность) безопаснее, с экономической точки зрения - очень выгодно иметь 2 канала (основной и резервный)
требования бизнеса бывают разные.
тарификации траффика и скорости каналов тоже. »
Требования (и бюджет тоже) действительно бывают разные, с этим я не спорю. Но если взять среднестатистический офис, то что безопаснее и надежнее, трафик поделенный на физическом уровне или на программном? По товоду тарификации трафика - очень глупо смотреть статистику с без лимитного трафика. Лично мне все равно сколько накачают за месяц, 10 гигов или 110 гигов - цена та же. По поводу скорости канала - какая скорость на wi-fi? А когда интернет накроется полностью, то уже не до скорости будет - лучше маленькая скорость, чем вообще ничего.
что выборка из недоустройств никак не отражает реалии »
Во первых: к основному интернету привязаны IP адреса и люди (программы) все равно не смогут работать. Во вторых: накроется роутер, будет работать другой, а если роутер всего один, то работать ничего не будет вообще.

З.Ы. Я сторонник всего простого, чем проще сделано, тем меньше вероятности что чего нибудь накроется, а если и что-то накроется, то время простоя сократиться до минимума и не будет потрачена куча денег и нервов.

И что хорошего? Стояла (года 3 назад) именно такая штука на одном из филиалов. Цель была: разделить сеть на подсети, т.е. что бы разные отделы не видели друг друга. Вис постоянно, раз в неделю стабильно. Админ который ее купил (стоило не дешево) и устанавливал через пару месяцев сделал (достало его) ноги. Даже вызывали специалистов, зависания не прекращались: то сеть не видна, то интернета нет. В итоге поставили 3 неуправляемых свича и проблемы прекратились »
я даже не знаю что вам сказать.
расскажите пожалуйста, какая именно из этих железок стояла, а главное как вы её заменили тремя неуправляемыми свитчами?
Даже вызывали специалистов, зависания не прекращались: то сеть не видна, то интернета нет. »
не пробовали обратиться в саппорт производителя? =)
С точки зрения безопасности, намного надежнее делить сеть на подсети физически, а не програмно. »
а VLAN это, по-вашему, что?
С точки зрения экономической, тоже выгоднее, т.к. если у тебя накроется твоя умная железка (стоить она будет намного дороже), а тебя на работе не будет (в отпуске, например), то вся (а не определенная подсеть) работа встанет полностью, а обычный свич можно купить в любом компьютерном магазине и заменить его может любой человек без особой подготовки, т.е. время простоя сокращается до минимума. »
это называется "риски" и рассчитываются они по-другому.
т.к. дешёвый cisco (linksys) »
не нужно путать cisco и linksys, хотя в этом плане я с вами соглашусь - линксис, в большинстве своём выше soho прыгнуть не может никак, да и там лажает.
Как я уже писал лучше купить еще один канал, щас очень многие провайдеры за копейки предоставляют безлимит. С точки зрения безопасности - намного (абсолютная безопасность) безопаснее, с экономической точки зрения - очень выгодно иметь 2 канала (основной и резервный) »
ещё раз: как это коррелирует с проблемой сегментирования внутренних сетей?

расскажите пожалуйста, какая именно из этих железок стояла »
ASA 5505
а главное как вы её заменили тремя неуправляемыми свитчами? »
перетенули провода, поставили 3 свича, и 3 сетевухи
не пробовали обратиться в саппорт производителя? »
Как раз туда и обратились.
а VLAN это, по-вашему, что? »
Это одно устройство и не надо об этом забывать.
это называется "риски" и рассчитываются они по-другому. »
Как же например? Любой риск должен быть сведен до минимума. В моем случае минимальное время простоя.
ещё раз »
Что имено? Какая взвимосвязь между внутренней сетью - это интернет (резервный), Какая взаимосвязь между этими сегментали - они не пересекаются вообще, т.е. 2 разных провайдера, а значит 2 разных интернета, соответственно 2 разных кабеля.

Стояла (года 3 назад) »
У меня на работе до сих пор работает, поменяли память на 512 и сменили лицензию. Тебе просто не повезло, 3 года назад у 5505 была кривая прошивка и действительно сильно подвисало. Потом прошивку обновили, после этого стало работать устойчиво. На последней работает без всяких зависаний.

перетенули провода, поставили 3 свича, и 3 сетевухи »
и сделали 3 точки отказа вместо одной. молодцы.
ASA 5505 »
Как раз туда и обратились. »
я вам не верю.
но это уже оффтоп.
Это одно устройство и не надо об этом забывать. »
да и одна точка отказа, если уж говорить в ваших терминах об "безопасности" =)
Как же например? Любой риск должен быть сведен до минимума. В моем случае минимальное время простоя. »
A/A или A/P что нибудь говорит? :)
Что имено? Какая взвимосвязь между внутренней сетью - это интернет (резервный), Какая взаимосвязь между этими сегментали - они не пересекаются вообще, т.е. 2 разных провайдера, а значит 2 разных интернета, соответственно 2 разных кабеля. »
речь шла о сегментировании внутренней сети.
и да, держать 2 гейта с двумя разными конфигами и уже даже не смешно.

в любом случае, в разрезе этой темы этой оффтоп.
создавайте свою, изложите там ваши "решения" и я думаю что вам там популярно объяснят как делать не нужно.

я вам не верю. »
Техподдержка Циски панацея от всего? Типа приедут и решат все проблемы? Только что-то пол дня провозились, а результат - ноль!!! Веришь или нет - это твое личное дело.
и сделали 3 точки отказа вместо одной. »
Я даже не буду учитывать фактор безопасности и время простоя, вот тебе обычная математика:
Вероятность отказа единственного свича в три раза меньше, чем отказ одного из трех, но вероятность отказа даже двух свичей одновременно во много раз меньше, чем отказ единственного свича.
При отказе, если один свич: теряем 100% работоспособности (а также 100% стоимости) всей системы, т.е. всего офиса - никто работать не сможет.
При отказе, если три свича: теряем одну треть работоспособности (и только одну треть стоимости) всей системы, т.е. две трети офиса может спокойно работать в обычном режиме.
я думаю что вам там популярно объяснят как делать не нужно »
Каждый делает как ему выгоднее и удобнее, как сделано у меня, так делают очень многие, а ты навязываешь свои идеи всем и считаешь их самыми правильными. Дискутировать я с тобой не буду больше, надоело уже.