Les réseaux Isa Server 2004 / 2006 / Forefont TMG 2010

Salut à tous

Les réseaux Isa Server sont des éléments très importants dans la configuration d’Isa Server. En effet, Isa Server ne peut filtrer le trafic que entre deux machines que si ces deux machines sont sur deux réseaux Isa Server différents. Nous allons voir dans ce dossier que la création de réseau Isa Server répond à des règles très particlières.

Règles générales :

1. Isa Server doit disposer d’au moins deux cartes réseaux pour fonctionner en mode pare feu (une seule en mode proxy uniquement). Ces cartes doivent être configurées avec une adresse IP fixe (sauf éventuellement pour la carte réseau externe).
2. Configurer les cartes réseaux de votre serveur Isa 2004 avec des adresses IP standard (voir site suivant : http://www.commentcamarche.net/internet/ip.php3). Il faut par exemple éviter d’utiliser une adresse IP 192.168.99.1 avec un masque de sous réseau 255.0.0.0.
3. Un réseau Isa Server 2004 est un ensemble d’adresse IP. Isa Server filtre uniquement le trafic réseau entre deux réseaux Isa Server (un réseau source et un réseau destination). Isa Server ne peut donc pas faire de filtrage entre deux adresses IP appartenant au même réseau Isa Server.
4. Après installation (serveur avec deux cartes réseaux), Isa Server 2004 dispose de 4 réseaux prédéfinis :
– Interne : géré manuellement
– Externe : géré dynamiquement par Isa Server 2004. Correspond à toutes les adresses IP moins l’ensemble des adresses IP des autres réseaux Isa Server).
– VPN : géré dynamiquement par Isa Server 2004
– VPN : géré dynamiquement par Isa Server 2004
5. Les réseaux que vous créez dans Isa Server 2004 doivent être cohérents avec la table de routage du serveur Isa 2004. Par exemple, vous ne pouvez pas avoir deux réseaux Isa Server qui se réfèrent à la même interface réseau.
6. Les règles de réseau définissent le type de relation entre les réseaux. Il en existe deux types :
– Routage : généralement entre deux réseaux avec une adresse privée ou deux réseaux avec une adresse publique (routable sur Internet)
– NAT : généralement entre un réseau avec un adressage IP privé (10.0.0.1/8 à 10.255.255.254/8, 172.16.0.1/16 à 172.31.255.254/16 et 192.168.0.1/24 à 192.168.0.254/24) et un réseau avec un adressage IP publique.
Il arrive que l’on souhaite définir une relation Nat entre deux réseaux avec une adresse IP privée.

Avec un réseau complexe :

Si votre réseau interne est segmenté par plusieurs routeurs, penser à inclure tous vos sous réseaux IP dans la table d’adresse local (Réseau Interne) d’Isa Server afin que les réseaux Isa Server soient cohérents avec votre table d’adresse local.
Si vous configurez une relation de routage entre deux réseaux Isa 2004, chacun des deux réseaux étant segmentés en plusieurs sous réseaux (avec des routeurs), il faut penser à ajouter manuellement les routes sur les routeurs.
Si votre réseau interne est segmenté en plusieurs sous réseau (utilisation de routeurs), configurer les clients Secure Nat avec l’adresse du routeur (s’il existe un roiuteur entre la machine et le serveur Isa). Configurer ensuite sur le routeur, la route vers le serveur Isa comme la route par défaut.

Exemple :

Dans l’exemple ci dessous, vous devez ajouter dans le réseau Interne d’Isa Server 2004 les plages d’adresses IP suivantes :
– 192.168.1.0 à 192.168.1.255
– 192.168.2.0 à 192.168.2.255
– 192.168.3.0 à 192.168.1.255

 

Pour plus d’informations:
http://www.microsoft.com/technet/isa/2004/plan/bp_networks.mspx
Je vous invite aussi à lire mon support de cours sur Isa Server 2006 :
http://msreport.free.fr/articles/IsaServer2006.pdf

A+
Guillaume MATHIEU
Consultant pôle Architecture & Intégration PROSERVIA (groupe MANPOWER).
http://msreport.free.fr
La connaissance s’accroît quand on la partage.

A propos Guillaume Mathieu

Directeur Technique chez Flexsi
Ce contenu a été publié dans Windows Server 2008. Vous pouvez le mettre en favoris avec ce permalien.

Laisser un commentaire