реєстрації в мережі (два контролери домену) та дозволу імен (два сервери дозволу імен). p align="justify"> Для призначення IP-конфігурації робочим станціям внутрішньої мережі і бездротовим клієнтам застосовується служба DHCP. Служба DHCP з міркувань відмовостійкості встановлена ​​на двох серверах в кожному з офісів компанії. При цьому, комп'ютер ISA-0x самостійно обслуговує область адрес, які видаються бездротовим клієнтам, а область адрес, відповідна внутрішньої мережі офісу, обслуговується комп'ютерами DC-0x і ISA-0x одночасно, у відповідність з правилом 80/20. Таким чином, у разі відмови одного з серверів, другий сервер прийме на себе, його функції з надання IP-конфігурації клієнтам внутрішньої мережі і забезпечить безперебійну роботу. p align="center">
8. Технічна реалізація 8.1 Організація шифрованого тунелю між офісами
Для організації шифрованого VPN-тунелю між головним офісом компанії та офісом-філією використовується програмний продукт Microsoft ISA Server 2004 Standard Edition SP1. Server 2004 SP1 встановлюється на комп'ютери ISA-01 і ISA-02. На ISA-01 створюється користувач BranchOffice з правами віддаленого дозвону (allow Dial-in), а на ISA-02 - користувач MainOffice . VPN-з'єднання налаштовується між комп'ютерами ISA-01 і ISA-02. Для проходження IP-трафіку до ISA-0x на відповідному Інтернет-центрі ZyXEL включений режим трансляції IP-трафіку на ISA-0x і трансляція портів за методом One-To-One (тобто запит з мережі Інтернет на певний порт Інтернет-центру транслюється їм на відповідний порт комп'ютера ISA-0x). VPN-з'єднання між офісами встановлюється за допомогою функції підключення віддалених мереж ISA Server 2004 (Remote Sites). Пропонується використовувати протокол PPTP з 128-бітним MPPE шифруванням. Протокол PPTP не вимагає складних початкових установок (зокрема виписки цифрових сертифікатів). Хоча протокол L2TP вважається більш захищеним ніж PPTP, я вважаю, що рівень безпеки, що надається протоколом PPTP, є достатнім. При цьому наявність на контролері домену головного офісу компанії служби Certification Authority дозволяє в разі необхідності перейти на використання протоколу L2TP, якщо зрослі вимоги до безпеки зажадають цього.
Пропонується використовувати постійне VPN-з'єднання між офісами компанії (а не встановлюване на вимогу), тому що можливість доступу до віддаленого офісу без затримок представляється дуже цінною. Крім того, окремі види мережевого трафіку (наприклад, трафіку реплікації AD, навіть міжсайтового) досить чутливі до проблем установки підключення: не можна виключати проблем з реплікацією у разі маршрутизації на вимогу. Я вирішив не користуватися вбудованими в Інтернет-центри ZyXEL можливостями організації шифрованих Site-to-Site сполук, запропонував...
