54SA.COM|专注于系统运维管理,为中国SA提供动力!
当前位置: 主页 > Windows > 服务器 > ISA >

ISA中为DMZ网段启用DHCP中继一(图)

时间:2010-10-28 21:31来源:编辑部 编辑:Jenny

  和为VPN客户启用DHCP中继不一样,当你为DMZ网络或者其他的内部网络启用DHCP中继时,这些DHCP客户将直接发送DHCP请求到ISA防火墙。而RRAS服务不会为非VPN客户提供IP地址信息,你只有使用DHCP中继代理来为客户提供IP地址信息和DHCP选项。
  
  例如下面的网络结构,ISA防火墙上安装了三个网卡:一个连接到默认的外部网络(此网卡上配置了默认网关),一个连接到默认的内部网络,还有一个连接到DMZ网络(你可以认为DMZ网络是另外一个内部网络,本文中的其他地方均同义)。DMZ网络中的DHCP客户需要从位于内部网络的DHCP服务器上获得IP地址信息。
  
 

  
Figure 1

  
  为了实现这一点,我们需要在ISA防火墙上安装和配置DHCP中继代理。和VPN客户不一样,DMZ网络中的DHCP客户不仅仅是需要从DHCP服务器获得DHCP选项信息,而且还需要IP地址和子网掩码。这需要我们在DHCP服务器上配置一个在DMZ网络中有效的DHCP作用域,在这个例子中,DMZ网络的网络ID是172.16.0.0/24。
  
  本文中的配置过程如下:
  
  在DHCP服务器上为DMZ网络创建作用域;
  
  在ISA防火墙上安装和配置DHCP中继代理;
  
  在ISA防火墙中为DMZ网络创建网络;
  
  创建允许DHCP通讯的访问规则;
  
  测试配置。
  
  我们是在文章为VPN客户启用DHCP中继的基础上进行配置的,建议你先阅读这篇文章,这样你可以更好的了解DHCP中继。
  
  我们已经在内部网络中安装和配置好了DHCP服务器,并且已经为内部网络创建了相应的作用域,我们需要为DMZ网络创建一个DHCP作用域。如为VPN客户启用DHCP中继文章介绍的那样,我已经安装并配置好了DHCP中继代理,然后配置DHCP中继代理侦听DMZ网络接口,最后我们将在ISA防火墙中创建DMZ网络和允许DHCP通讯的访问规则。
  
  在DHCP服务器上为DMZ网络创建作用域
  
  你需要在DHCP服务器上为DMZ网络创建DHCP作用域,DHCP服务器根据DHCP中继代理侦听器的IP地址来决定使用哪个作用域来为DMZ网络分配IP地址。
  
  当DHCP中继代理转发DHCP请求到DHCP服务器时,它将在转发的DHCP请求数据包的giaddr字段(网关地址字段)加上自己的IP地址,这个IP地址就是ISA防火墙接受DHCP消息的接口的IP地址,如下图所示。你必须在DHCP服务器上创建一个和giaddr字段相同网络ID的有效的作用域。
  
 

  
Figure 2

  
  在这个例子中,我们创建了一个IP地址范围为172.16.0.100-172.16.200、子网掩码为255.255.255.0(24位掩码)的作用域,你同样可以使用ISA防火墙连接DMZ网络的接口的IP地址来为此作用域配置默认网关选项。你必须先创建正确的作用域后,然后才能继续下一步的操作。
  
  在ISA防火墙上安装和配置DHCP中继代理
  
  如为VPN客户启用DHCP中继一文介绍的一样,我已经安装和配置好了DHCP中继代理。接下来需要配置DHCP中继代理侦听DMZ网络的接口 ,我们只需要将DMZ网络接口添加到DHCP中继代理的接口列表中。
  
  执行以下步骤来添加接口:
  
  1、点击开始,指向管理工具,再点击路由和远程访问;
  
  2、在路由和远程访问控制台,展开服务器名,再展开IP路由节点,右击DHCP中继代理协议,然后点击新建接口;
  
  3、根据你的网络环境选择DMZ网络的接口,在此我选择DMZ接口,然后点击确定;
  

  
Figure 3

  
  4、在DHCP中继代理服务的内部接口属性对话框上点击确定;
  
  5、点击应用再点击确定;

[责任编辑:Lavy]

------分隔线----------------------------