[kim-aa]

denisz,

1) Я, перерисую в понедельник на работе схему в визио для удобства, псле этого будет более удобно ее комментить.

2) По поводу подключения ISA.

Все зависит как именно вы хотите ее использовать.
Сразу скажу, что шибко в ISA не волоку, по этому опишу классические схемы не зависимые от ПО, групповых политик и прочего шаманизма

а) Вы хотите чтобы через ISA ходил ВЕСЬ трафик
Для этого ее необходимо сделать шлюзом по умолчанию, по крайней мере для рабочих станций.

Варианты:
а1) Последовательная схема

{LAN} <---> [ISA]<--->{Служебная сеть}<-----> [Juniper] <-----> {Inet}

a2) Схема с "одноноруким" маршрутизатором
(буржуи еще ее называют "маршрутизатор-на-палочке", но на русском это достаточно ассоциативно-негативно

Смысл идеи таков:
- ISA может жить в той же сети ,что и рабочие станции. Пусть ее адрес x.x.x.254 (интерфейс у ISA только один)
- Juniper торчит в ту же сеть и имеет адрес x.x.x.253
- Для всех рабочих станций шлюз по умолчанию = ISA
- и только для ISA шлюз по умолчанию = Juniper

Логически схема получается последовательная, а физически - параллельная.


б) ISA работает как прокси

В этом случае ее можно запихать в отдельный DMZ-сегмент

Цитата denisz:

Прошу паузу, конфиг неверный По ходу вопрос. Можно ли всем st одного Джунипера (st0.0, st0.1, st0.2, и т.д.) присвоить один и тот же IP адрес? По идее наверняка же можно, да? »

Вопрос не в этом.

Верный вопрос:
- как наиболее правильно и максимально удобно для дальнейшей эксплуатации, и ,возможно, разрастающейся сети.

В понедельник рекомендации по Dynamic VPN перечитаю - скажу.