Thursday, October 18th, 2018

Как реализовать тестовое окружение для брандмауэра ISA с помощью Virtual PC 2004

Published on Февраль 6, 2009 by   ·   Комментариев нет

Введение

Наконец-то Вы стали обладателем нового компьютера с хорошим монитором или нотебука с быстрым процессором, огромным дисковым пространством и 2мя гигабайтами памяти, а может уговорили Вашего начальника приобрести все это. Уже установлен Windows XP SP2 и Virtual PC 2004 SP1, теперь Вам стало интересно, что же со всем этим делать для того, чтобы реализовать тестовое окружение брандмауэра ISA. С помощью Virtual PC Вы можете создать на одном физическом компьютере одну или несколько виртуальных машин, на каждой из которых будет установлена своя операционная система. Итак, создание нескольких виртуальных машин для реализации тестового окружения брандмауэра ISA кажется неплохим сценарием использования Virtual PC. Однако особенностью реализации тестового окружения брандмауэра ISA оказывается необходимость создания нескольких изолированных сегментов сети. В этой статье мы поговорим о том, как можно использовать дополнительные возможности работы в сети Virtual PC 2004 для тестового окружения брандмауэра ISA.

Если Вы еще не знакомы с Virtual PC 2004, посетите для начала сайт Microsoft Virtual PC 2004. Также предполагается, что у Вас есть представление о том, как создавать виртуальные машины.

Работа в сети с Virtual PC

Каждая виртуальная машина может быть настроена на использование от нуля до четырех сетевых адаптеров в соответствии с приведенным ниже рисунком. Это значит, что Вы можете создать максимум четыре сегмента сети, напрямую соединенных с виртуальной машиной. Каждый сетевой адаптер будет восприниматься виртуальной машиной как DEC / Intel 21140 Based PCI Fast Ethernet adapter.

Virtual loopback ethernet adapter Windows

Для каждого сетевого адаптера можно выбрать одну из четырех опций:

  • Not connected (Нет соединения): Виртуальная машина не подсоединена к сети. Эта опция рекомендуется в том случае, когда физический компьютер не подсоединен к сети, или когда Вы не планируете подсоединяться к Internet через виртуальную машину. Установка этой опции поможет избежать задержек в случае, если программное обеспечение виртуальной машины проверяет сетевой контроллер.
  • Shared networking (NAT)( Совместное использование сети): Первая сетевая карточка виртуальной машины может быть установлена для совместного использования. Если выбрана эта опция, виртуальная машина подсоединяется к локальной сети, созданной Virtual PC.Сеть включает виртуальный DHCP сервер и виртуальный сервер трансляции адресов сети. Теперь виртуальная машина может получить доступ к большинству ресурсов TCP/IP, к которым имеет доступ операционная система. Таким образом, Virtual PC позволяет гостевым операционным системам получать IP адреса динамически, не нуждаясь во внешних ресурсах, как это изображено на следующем рисунке. Несколько виртуальных машин делят один внешний IP адрес для доступа к внешней сети.

    Ос как базавая машина

    Virtual networking(Виртуальная работа в сети): Если выбрана эта опция, то виртуальная машина соединяется напрямую с выбранным операционной системой базового компьютера сетевым соединением. Виртуальная машина распознается и ведет себя как отдельный физический компьютер в такой же сети, что и сеть, изображенная на следующем рисунке. Конфигурация работы в сети для виртуальной машины определяется конфигурацией сети и тем самым определяет , каким образом IP адрес присваивается виртуальной машине. Если сеть использует DHCP сервер, то IP адрес присваивается виртуальной машине динамически. Также, если сеть использует статические IP адреса, то Вам нужно вручную сконфигурировать виртуальную машину для использования статических IP адресов. Итак, виртуальная машина может пересылать пакеты другим компьютерам, подсоединенным к той же самой сети, включая операционную систему базового компьютера, другие виртуальные машины и в любое другое место, до которого можно добраться с помощью выбранного операционной системой базового компьютера соединения.

    Тестовое окружение это

    Local only (Только локально): Эта опция поддерживает сетевую работу только между виртуальными машинами. Это означает, что виртуальные машины не имеют доступа к любым другим сетевым ресурсам в операционной системе базового компьютера. Виртуальная машина взаимодействует с другими работающими виртуальными машинами по «локальной» сети. Никакого трафика для других компьютеров и никакого трафика для операционной системы базового компьютера. Однако, помните, что только одна «локальная» сеть может быть для всех виртуальных машин на одном базовом компьютере. Другой возможностью использования этой опции является использование «локальной» сети в качестве виртуальной работы в сети без соединения с адаптером реальной сети в операционной системе базового компьютера, как это показано на следующем рисунке.

  • Virtual loopback ethernet adapter Windows

    Тестовое окружение брандмауэра ISA

Теперь, когда мы лучше понимаем различные опции конфигурации сетевых адаптеров Virtual PC, давайте поговорим о том, как использовать эти знания для реализации классического тестового окружения брандмауэра thrihomed ISA в соответствии с рисунком.

Петлевой адаптер

Для начала нам нужна внутренняя сеть, которая должна быть изолирована от всех остальных сетей и от операционной системы базового компьютера. Эта внутренняя сеть будет взаимодействовать с несколькими хостами, например, рабочей станцией XP, сервером ISA и контроллером Active Directory Domain, а также будет размещать внутренний сервер DNS/DHCP/WINS, Exchange сервер, сервер Active Directory с интегрированными центрами сертификации и Web/FTP сервер. Далее нам необходима граничная сеть (Perimeter Network) или сеть с зоной DMZ, которая также должна быть изолирована от остальных сетей и от операционной системы базового компьютера. Граничная сеть будет взаимодействовать с сервером ISA и сервером Web/FTP. Наконец, нам нужна внешняя сеть, которая должна взаимодействовать с внешним миром. В качестве соединения к Internet мы используем линию ADSL и маршрутизатор широкополосной сети Linksys WRT54G для освобождения от мусора PPPoE. Маршрутизатор Linksys использует IP адрес 192.168.1.1/24 локальной сети и имеет встроенный DHCP сервер для адресов 192.168.1.100 — 192.168.1.149.

Взгляните на требования, перечисленные выше, очевидно, что опция «Виртуальная работа в сети» идеально подходит для внешней сети, «локальная сеть» — это то, что нам нужно для внутренней и граничной сети. Однако, здесь возникает проблема, так как можно создать только одну «локальную сеть» для всех виртуальных машин одного базового компьютера. Итак, вопрос заключается в том, как создать аналог нескольких «локальных сетей»?

Решение этой проблемы достаточно просто и заключается в установке нескольких Microsoft Loopback Adapter на операционную систему базового компьютера, для каждой отдельной сети по одному, и отсоединения всех элементов от этого петлевого адаптера, за исключением сетевых служб виртуальной машины.

Таким образом, с помощью виртуальной работы в сети мы можем создать сколько угодно «локальных сетей». Чтобы лучше понять это простое и элегантное решение, необходимо рассмотреть каждый петлевой адаптер как отдельный центральный элемент. Так как к адаптеру присоединены только сетевые службы виртуальной машины, операционная система базового компьютера не может ни с кем общаться с помощью этих «локальных сетей».

В качестве примера проведем установку и настройку Microsoft Loopback Adapters для операционной системы базового компьютера и определим три сетевых адаптера как внутренний, граничный и внешний для виртуальной машины ISA.

Установка Microsoft Loopback Adapter для операционной системы базовой машины

Чтобы вручную установить Microsoft Loopback adapter для Windows XP, выполните следующие шаги:

  1. Нажмите кнопку http://casinoder.com Start , а затем выберите Settings > Control Panel > Add Hardware.
  2. Щелкните Next, выберите опцию Yes, I have already connected the Hardware, а затем щелкните Next.

    Для чего нужно тестовое окружение

  3. В конце списка выделите Add a new hardware device, а затем щелкните Next.

    Virtual pc 2007 isa 2004

  4. Выберите Install the hardware that I manually select from a list, а затем щелкните Next.

    Тестовое окружение ethernet

  5. В списке выберите Network adapters и щелкните Next.

    Для чего нужно тестовое окружение

  6. В таблице Manufacturer выберите Microsoft, а в таблице Network Adapter — Microsoft Loopback Adapter, а затем щелкните Next.

    Ос как базавая машина

  7. Нажмите кнопку Next для подтверждения запуска установки нового аппаратного устройства.

    Тестовое окружение ethernet

  8. На последнем экране мастера добавления аппаратного устройства нажмите Finish.

Так как нам нужно два Microsoft Loopback Adapters, один для работы во внутренней сети, а второй для граничной сети, процедуру установки необходимо произвести по меньшей мере дважды. После того, как адаптеры будут установлены, в окне Network Connections Вы увидите что-то подобное тому, что изображено на рисунке. В этом случае мы видим соединение к локальной сети, четыре Microsoft Loopback Adapters, карту PCMCIA Xircom, используемую для мониторинга сети, Wireless Network Connection и соединение VPN.

Virtual loopback ethernet adapter Windows

Настройка Loopback Adapter для операционной системы базового компьютера

После установки петлевых адаптеров, как и любые другие адаптеры, они требуют дальнейшей ручной настройки. В нашем случае мы будем использовать только Microsoft Loopback Adapter #2 и #3. Поэтому сначала мы дезактивируем Microsoft Loopback Adapter #1 и #4. Следующий шаг очень важен — Вам нужно отсоединить все элементы от Microsoft Loopback Adapter #2 и #3, за исключением Virtual Machine Network Services (сетевых служб виртуальных машин), как это показано на рисунке. Для того, чтобы это сделать, щелкните правой кнопкой на соответствующем адаптере в окне Network Connections и выберите пункт меню Properties.

Ос как базавая машина

Тестовое окружение это

Определение сетевых адаптеров для виртуальной машины ISA

Теперь, когда мы создали необходимые структуры для операционной системы базового компьютера, настало время привязать их к виртуальным машинам ISA. Итак, запустите консоль Virtual PC, выберите виртуальную машину ISA и щелкните Settings. Для Adapter 1 выберите петлевой адаптер, который будет использоваться для внутренней сети, в нашем случае мы используем Microsoft Loopback Adapter #2. Далее для Adapter 2 выберите реальный адаптер локальной сети операционной системы для внешней сети, в нашем случае — это адаптер Broadcom NetXtreme Gigabit Ethernet. И наконец, для Adapter 3 выберите петлевой адаптер, который будет использоваться для граничной сети, в нашем случае — Microsoft Loopback Adapter #3. Просмотрите сделанные изменения, Вы должны увидеть подобное тому, что изображено на рисунке.

Virtual loopback ethernet adapter Windows

Далее нажмите OK. Теперь мы готовы к запуску виртуальной машины ISA. При запуске виртуальной машины может появиться следующее сообщение.

Петлевой адаптер

В этом случае конфигуратор Virtual PC не смог корректно привязать MAC адрес к сетевым адаптерам для виртуальной машины. Для того, чтобы решить эту проблему, отключите виртуальную машину и откройте с помощью Notepad ее конфигурационный файл (*.vmc). В конфигурационном файле найдите раздел «…». Просмотрите его и, возможно, там будет не хватать следующей информации для каждого адаптера «…»:

<ethernet_adapter>

<controller_count>3</controller_count>

<ethernet_controller id=»0″>

<virtual_network>

<id>B33FA5924A9F11D98074E24E3991CFE9</id>

<name>Microsoft Loopback Adapter #2</name>

</virtual_network>

<ethernet_card_address>0003FF495341</ethernet_card_address>

</ethernet_controller>

<ethernet_controller id=»1″>

<virtual_network>

<id>E2A5EAD24A3A11D980B9A39FBC46C673</id>

<name>Broadcom NetXtreme Gigabit Ethernet</name>

</virtual_network>

<ethernet_card_address>0003FF495342</ethernet_card_address>

</ethernet_controller>

<ethernet_controller id=»2″>

<virtual_network>

<id>B33FA5934A9F11D98074E24E3991CFE9</id>

<name>Microsoft Loopback Adapter #3</name>

</virtual_network>

<ethernet_card_address>0003FF495343</ethernet_card_address>

</ethernet_controller>

</ethernet_adapter>

Чтобы исправить этот недостаток, необходимо вручную привязать MAC адрес к сетевым адаптерам. Обычно конфигуратор Virtual PC присваивает значение MAC адреса в следующем виде — «0003FFXXXXXX», где XXXXXX — это произвольное трехбайтное шестандцатиричное число, которое должно быть уникальным для каждого сетевого адаптера виртуальной машины, как и в реальности. Таким образом, Вам нужно убедиться, что Вы выбрали уникальное значение для MAC адреса. В нашем случае мы используем шестнадцатиричное значение первых трех букв имени хоста для первого адаптера и увеличиваем его на единицу для каждого дополнительного адаптера. После того, как Вы присвоите корректные MAC адреса сетевым адаптерам, сохраните изменения, закройте Notepad и опять запустите виртуальную машину. Теперь все должно быть в порядке.

Заключение

В этой статье мы обсудили, как можно использовать Microsoft Virtual PC 2004 для реализации тестовой платформы ISA брандмауэра. При использовании нескольких петлевых адаптеров для операционной системы базового компьютера Вы можете смоделировать и протестировать сложные сценарии брандмауэра ISA до их реализации в реальном сетевом окружении. Единственное практическое ограничение, с которым Вы можете столкнуться — это количество виртуальных машин, которые можно запускать параллельно, а это в большой степени зависит от объема памяти в операционной системе базового компьютера. Общая емкость памяти 1 — 2 гигабайт должно быть более, чем достаточно для тестирования большинства сценариев брандмауэра ISA, предоставляя при этом достаточно места для работы виртуальных машин.

Источник www.isaserver.org


Смотрите также:

Tags: , , , , , , , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]