54SA.COM|专注于系统运维管理,为中国SA提供动力!
Getting online shouldn't be tough. $7.99 .COMs
系统管理员之家Banner
当前位置: 主页 > Windows > 服务器 > ISA >

ISA中为DMZ网段启用DHCP中继二(图)

时间:2010-10-28 21:31来源:编辑部 编辑:Tina

  在ISA防火墙中为DMZ网络创建网络
  
  我们现在需要在ISA防火墙中为DMZ网络创建网络,在此我命名此网络为DMZ,你可以根据你自己的喜好来命名,但是,对于ISA防火墙来说,不管是什么名字,都只是ISA防火墙中的一个网络而已。
  
  执行以下步骤来在ISA防火墙中创建网络:
  
  1、在ISA防火墙管理控制台,展开服务器名,然后展开配置,点击网络节点;
  
  2、点击细节面板中的网络标签,然后点击任务面板中的任务标签,再点击创建一个新网络链接;
  
  3、在欢迎使用新建网络向导页,在网络名字文本框为新建的网络输入一个名字,在此我命名为DMZ,然后点击下一步;
  
  4、在网络类型页,选择内部网络,然后点击下一步;
  
  5、在地址范围页,点击添加适配器按钮;
  
  6、在选择网络适配器对话框,根据你的网络结构进行选择,在此我勾选DMZ接口,然后点击确定;
  
 

  
Figure 4

  
  7、在网络地址页点击下一步;
  
 

  
Figure 5

  
  8、在正在完成新建网络向导页,点击完成;
  
  9、此时,新建的DMZ网络在网络标签中显示了出来;
  
 

  
Figure 6

  
  注意:在这篇文章中,我们并不需要为DMZ网络和内部网络间创建网络规则,因为DHCP消息是在ISA防火墙和DMZ网络之间进行通讯,而不是DMZ网络和内部网络间进行通讯。在你的实际网络环境中,请根据你自己的需要来决定是否需要创建网络规则。
  
  创建允许DHCP通讯的访问规则
  
  下图显示了在启用VPN客户的DHCP中继时所需要的访问规则:允许VPN客户网络发送DHCP请求到本地主机和允许DHCP回复从内部网络到达VPN客户网络。注意VPN客户并不是通过自己发送的DHCPDISCOVER信息来直接从DHCP服务器获取的IP地址信息,而是RRAS服务器通过IPCP(Internet协议控制协议)来给它们提供的。
  
 

  
Figure 7

  
  下图显示了允许DMZ网络主机从位于内部网络的DHCP服务器上获取IP地址信息的访问规则。它和上面的规则有点不一样,由于此时DHCP客户没有IP地址(使用的是0.0.0.0),你必须允许从Anywhere到DHCP中继代理所在的本地主机的DHCP请求,然后允许从本地主机到DMZ网络的DHCP回复。
  
 

  
Figure 8

  
  我们可以把上面两条规则合并在一起,结果如下图所示:
  
 

  
Figure 9

  
  第一条规则允许从默认的内部网络和本地主机发送到DMZ网络和VPN客户网络的DHCP回复,而第二条规则允许从Anywhere到达DHCP中继代理所在的本地主机网络的DHCP请求。访问规则的具体创建过程在此就不详细描述了,请参见ISA中文站的其他文章。
  
  测试配置
  
  现在我们来进行测试,在DMZ网络的一台客户机上,配置此客户为DHCP客户,然后在命令提示符下运行ipconfig /renew,如果你使用网络监视器来进行嗅探,你可以看到如下图所示的完整的DHCP发现、提供、请求、确认信息:
  
 

  
Figure 10

  
  在ISA防火墙的实时日志中,你也可以看到如下图的信息:
  
 

  
Figure 11

  
  第一行是从DHCP中继代理发送给DHCP服务器的DHCP请求信息,注意,这是通过ISA防火墙系统策略允许的;第二行从DHCP服务器发送给DHCP中继代理的DHCP回复信息,这是通过我们创建的DHCP Request (Anywhere to LH)规则允许的;第三行是DHCP中继代理转发给位于DMZ网络的DHCP客户的DHCP回复。但是日志并没有记录下完整的四个通讯过程:DHCP客户发送的DHCP发现广播消息;从DHCP服务器发送给DHCP中继代理的DHCP提供消息;DHCP客户发送给DHCP服务器的DHCP请求消息(表明DHCP客户接受DHCP服务器提供的IP地址);DHCP服务器发送给DHCP客户的DHCP确认消息(表明确认DHCP客户接受IP地址)。
  
  在命令提示符中运行ipconfig /renew的结果如下, 客户正确的获得了IP地址,此时,我们的配置就完全成功了。
  

  
Figure 12

[责任编辑:Lavy]


------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
用户名:
最新评论 进入详细评论页>>