Несколько служб SSL, использующих один IP-адрес или несколько DHCP на одном интерфейсе

Таким образом, в мире SSL/https вы можете просто привязать новый статический общедоступный IP-адрес к интернет-интерфейсу брандмауэра и использовать одну службу SSL (например, https://site/, Outlook Anywhere или что-то вроде RDP over RCP через HTTPS) на общедоступный IP-адрес - так как использование более одного на IP-адрес, как вы можете использовать для HTTP с использованием заголовков узлов / псевдонимов, обычно невозможно...

... однако в моей лаборатории я получаю только динамические публичные IP-адреса. Включение нескольких SSL-сервисов - небольшая проблема, но я, конечно, хотел бы попробовать ^^

Я вижу две возможности (если есть):

1. Каким-то образом получите интерфейс брандмауэра (который сейчас работает под управлением Windows 2003 и ISA 2006) для запроса и привязки более 1 публичного IP-адреса с использованием DHCP. Какой-то вид мошенничества с мостовыми соединениями, подделкой MAC-адресов или чем-то таким, чтобы получить более одного адреса, назначенного одному и тому же логическому интерфейсу межсетевого экрана? К сожалению, просто добавление еще одного сетевого адаптера не поддерживается, поскольку у ISA не будет более одного внешнего логического интерфейса (но он может иметь любое количество (обычно статических) IP-адресов).

2. Используйте некоторые хитрые трюки с ISA (который имеет подстановочный сертификат), чтобы объединить входящие запросы SSL для разных имен хостов с различными внутренними службами SSL. Это, как я помню, было новой интернет-функцией, которая широко не поддерживается, используя проверку заголовка SSL-трафика на уровне хоста. Но поскольку ISA должен иметь возможность завершать любые SSL-соединения локально, а затем связывать их с внутренними службами - разве он не должен проверять заголовок узла даже со стандартом старой школы и делать что-то полезное?

До сих пор мне не повезло думать о хорошем решении, включающем любое из них, кроме попытки убедить интернет-провайдера продать некоторые статические аренды или просто отказаться и настроить другой отдельный ISA для каждой службы SSL. На производственных площадках это не проблема, и нужно просто добавить количество заданных статических IP-адресов к интерфейсу внешнего брандмауэра по мере необходимости.

У меня все уши к хорошим идеям - возможно, я просто упустил что-то действительно очевидное ^^