Конфигурация сети для Аксапты с Порталом

[Narayana]

В хелпе по администрированию портала довольно хорошо рассматривается вопрос об обустройстве демилитаризованной зоны для размещения веб-сервера портала. Но, там описывается настройка файрволов и настройка зон контроллеров доменов внутренней и внешней сети.

А вот физическая организация сети не рассматривается.
Возможно, для админов, которые постоянно занимаются сетями, это не проблема, а вот мне кое-что здесь непонятно.
А именно...
Вот, допустим, есть у нас внутренняя локальная сеть, где живет БД и АОС. А также контроллер домена и внутренние пользователи организации.
Допустим, физически компьютеры этой сети соединены с помощью эзернет-коммутатора с диапазоном адресов 192.168.1.*

Далее, допустим, мы организовываем еще один домен в локальной сети для внешних пользователей Аксапты. То есть, пользователей портала.
Тем самым, мы внешних пользователей не пускаем во внутренний домен Аксапты и они имеют доступ только к веб-серверу, на котором живет портал.
Допустим, что компьютеры этой сети также соединены в локальную сеть на другом коммутаторе с диапазоном адресов 192.168.2.*

В соответствии с рекомендациями контроллеры этих двух доменов должны состоять в отношениях одностороннего делегирования доверия. То есть, внешний домен, где живет веб-сервер, доверяет внутреннему домену с Аксаптой, а внутренний домен внешнему не доверяет.

Также, веб-сервер демилитаризованной сети должен иметь соединение с сервером внутренней сети Аксапты.

Вот здесь и возникает первый вопрос.
А как должны быть соединены компьютеры в разных локальных сетях?
Вариантов несколько.
1. Контроллер домена и веб-сервер демилитаризованной зоны имею еще по одной сетевой плате, которые подсоединены в коммутатор сети с Аксаптой.
2. Контроллеры разных доменов имеют по дополнительной сетевой плате и соединены друг с другом напрямую в новом диапазоне адресов, например, 192.168.3.1 и 192.168.3.2, а веб-сервер внешней зоны и АОС внутренней также имеют по дополнительной сетевой плате и соединены напрямую как, например, 192.168.3.3 и 192.168.3.4

А как правильно?

Вопрос второй.

Он касается доменных имен для первого и второго домена.
Виндовс позволяет создавать новые уникальные доменные имена axapta.abc1 и axapta.abc2, не присутствующие в глобальном диапазоне имен. И в то же время использовать зарегистрированное доменное имя. Допустим, в моем случае tranx.ru

Наверное, для внутреннего домена с Аксаптой правильно использовать уникальное неглобальное доменное имя типа axapta.abc1, потому как нет необходимости разрешать внешние имена.
А вот как быть с доменом демилитаризованной зоны, где живет веб-сервер?
Что лучше? использовать глобальное доменное имя и на DNS контроллера домена разрешать как внутренние локальные, так и внешние глобальные имена? Или для домена использовать внутреннее неглобальное имя, чтобы DNS контроллера домена разрешал в сети только локальные внутренние имена и поднять дополнительно в сети еще один одиноко стоящий DNS-сервер, для разрешения внешних имен, которые будут использоваться для доступа к порталу из интернета?

???

[gl00mie]

Цитата:

Сообщение от Narayana

В хелпе по администрированию портала довольно хорошо рассматривается вопрос об обустройстве демилитаризованной зоны для размещения веб-сервера портала. А как должны быть соединены компьютеры в разных локальных сетях?

Через шлюз с помощью маршрутизации.

Цитата:

Сообщение от Narayana

Вариантов несколько. 1. Контроллер домена и веб-сервер демилитаризованной зоны имею еще по одной сетевой плате, которые подсоединены в коммутатор сети с Аксаптой.

По определению сервера в DMZ отделены от внутренней сети файрволом, если у них есть прямое соединение с внутренней сетью, то это уже не DMZ.

Цитата:

Сообщение от Narayana

2. Контроллеры разных доменов имеют по дополнительной сетевой плате и соединены друг с другом напрямую в новом диапазоне адресов

Во-первых, винды прекрасно умеют назначать более одного IP-адреса на один физический сетевой интерфейс, во-вторых, опять же, если у вас сервер находится в DMZ, тогда трафик из DMZ во внутреннюю сеть идет через файрвол, если же он находится во внутренней подсети, то просто нужен какой-то шлюз, на котором будет настроена маршрутизация, и через который будет ходить трафик между разными подсетями. В данном сценарии шлюзом логично выглядит файрвол, которому на внутренний сетевой интерфейс можно повесить более одного IP-шника. Причем, правила маршрутизации трафика между подсетями на файрволе должны быть сделаны не на уровне настроек виндов, а на уровне настроек файрвольного софта.

[Narayana]

Благодаря первоначальному вопросу наконец-то за много лет разобрался с вопросом маршрутизации.
Нужно сказать, что недопонимание того, что это такое постоянно, пусть немного, но портило кровь.
В конечном счете хочу поделиться с тем, что стало понятно.

Итак, самый элементарный случай маршрутизации, это пересылка пакетов из одной локальной сети в другую. А в целом, это межсетевое взаимодействие.
Центральное для понимания всего в маршрутизации, это таблица маршрутизации.

Таблица маршрутизации всегда лежит на компьютере, с которого нужно установить связь с компьютером в другой сети.
Для тех, кто не в теме всегда есть путаница.
Вот, есть маршрутизатор, - устройство между двумя локальными сетями, у которого сетевые интерфейсы смотрят в эти две разные локальные сети, а есть таблица маршрутизации.
Поначалу кажется, что таблица маршрутизации должна лежать на маршрутизаторе. Это заблуждение.
На маршрутизаторе вы только настраиваете адреса портов в одну и другую сеть, а таблица маршрутизации лежит на компьютере, с которого вы хотите выйти в другую сеть.

При этом в построении маршрута (строки в маршрутной таблице) участвуют обязательно следующие элементы.

1. неявно задается адрес локального порта компьютера-источника маршрута. То есть, маршрут всегда строится от компьютера, на котором лежит таблица маршрутизации. И при отправлении пакетов с этого компьютера, компьютер смотрит свою таблицу маршрутизации.
2. задается шлюз, через который пакеты должны выходить за пределы родной локальной сети.
Это довольно тонкий вопрос. Меня всегда смущало, что для одного сетевого адаптера уже указывается шлюз по умолчанию для выхода в интернет. Дак вот, для меня новостью было то, что шлюзов может быть указано несколько. Считай, для каждой внешней локальной сети может быть свой шлюз. Но, среди всех шлюзов, которые мы можем указать в таблице маршрутизации посредством команды route, есть один шлюз по умолчанию. На него направляются пакеты, маршруты для которых не прописаны явно в таблице маршрутизации. Обычно это пакеты, которые летят в интернет.

Так вот, указывая маршрут, вы должны обязательно указать шлюз в вашей локальной сети, через который пакеты в нужную внешнюю сеть будут идти наружу. Это часть маршрута, - сначала шлюз, а потом назначенный адрес.

3. адрес назначения пакетов во внешней по отношению к вашей сети. Этим адресом может быть один компьютер во внешней сети, а может быть целый диапазон. Это уже определяется формой записи внешнего айпишника и маской подсети.

Вопроса метрики мапршрута не касаюсь, потому как, если четко понимать где лежит маршрутная таблица, что такое маршрут, то с метрикой разобраться уже просто.

В итоге, благодаря информации в маршрутной таблице, пакеты достигают маршрутизатора и через маршрутизатор попадают во внешнюю сеть. При этом сам маршрутизатор таблицы машрутизации не содержит. Он только может быть настроен по части адресов для разных сетевых интерфейсов и включен или выключен.

В моем случае на server 2008R2 маршрутизатор по умолчанию выключен, поэтому попытки переслать что-то через него из одной локальной сети в другую были неуспешными.

Включается маршрутизатор редактированием параметра реестра:

1. Запустите редактор системного реестра (Regedt32.exe).
2. Откройте следующий раздел:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
3. Внесите следующие изменения:Параметр: IPEnableRouter
   Тип данных: REG_DWORD
   Значение: 1
   Значение "1" включает маршрутизацию пакетов TCP/IP для всех сетевых подключений, установленных на данном компьютере.

[S.Kuskov]

Не могу не добавить, что на маршрутизаторе может быть настроен DHCP, рассылающий нужную таблицу маршрутизации всем конечным узлам.

[lvan]

ребята вы о чем вообще, при чем тут Аксапта то?