Купили TI.
Настраиваю в режиме транспарентного прокси, с пассивной авторизацией через AD+MAC-адреса.
Схема сети такая: Наружу смотрит циска 2921, за ней стоит сервер 2016 с ТИ на борту, второй картой он смотрит на циску 3750. К последней оптикой подключены стэки и отдельный циски 2960 разных версий, далее уже оконечное оборудование.
Сеть внутри:
192.168.ххх.ххх - промышленное оборудование, адреса не сменить.
10.2.ххх.ххх - наше оборудование (несколько тысяч устройств, несколько десятков VLAN).
На сервере поднята служба "маршрутизация и уделенный доступ".
Два интерфейса:
TO_2921 смотрит на роутер
TO_3750 смотрит в локалку
Как только ставлю, что TO_2921 это "Общий интерфейс подключен к Интернету", трафик дальше сервера с ТИ не идет, причем роутер 10.2.1.1 пингуется.
В итоге сейчас оба интерфейса в ТИ настроены как внешние, и трафик естественно не считается.
Упрощенная схема сети
В какую сторону капать? Работать через агент однозначно не будем.