服务器 频道

ISA中为DMZ网段启用DHCP中继二

  【IT168 技术】在ISA防火墙中为DMZ网络创建网络

  我们现在需要在ISA防火墙中为DMZ网络创建网络,在此我命名此网络为DMZ,你可以根据你自己的喜好来命名,但是,对于ISA防火墙来说,不管是什么名字,都只是ISA防火墙中的一个网络而已。

  执行以下步骤来在ISA防火墙中创建网络:

  1、在ISA防火墙管理控制台,展开服务器名,然后展开配置,点击网络节点;

  2、点击细节面板中的网络标签,然后点击任务面板中的任务标签,再点击创建一个新网络链接;

  3、在欢迎使用新建网络向导页,在网络名字文本框为新建的网络输入一个名字,在此我命名为DMZ,然后点击下一步;

  4、在网络类型页,选择内部网络,然后点击下一步;

  5、在地址范围页,点击添加适配器按钮;

  6、在选择网络适配器对话框,根据你的网络结构进行选择,在此我勾选DMZ接口,然后点击确定;

  Figure 4

  7、在网络地址页点击下一步;

  Figure 5

  8、在正在完成新建网络向导页,点击完成;

  9、此时,新建的DMZ网络在网络标签中显示了出来;

  Figure 6

  注意:在这篇文章中,我们并不需要为DMZ网络和内部网络间创建网络规则,因为DHCP消息是在ISA防火墙和DMZ网络之间进行通讯,而不是DMZ网络和内部网络间进行通讯。在你的实际网络环境中,请根据你自己的需要来决定是否需要创建网络规则。

  创建允许DHCP通讯的访问规则

  下图显示了在启用VPN客户的DHCP中继时所需要的访问规则:允许VPN客户网络发送DHCP请求到本地主机和允许DHCP回复从内部网络到达VPN客户网络。注意VPN客户并不是通过自己发送的DHCPDISCOVER信息来直接从DHCP服务器获取的IP地址信息,而是RRAS服务器通过IPCP(Internet协议控制协议)来给它们提供的。

  Figure 7

  下图显示了允许DMZ网络主机从位于内部网络的DHCP服务器上获取IP地址信息的访问规则。它和上面的规则有点不一样,由于此时DHCP客户没有IP地址(使用的是0.0.0.0),你必须允许从Anywhere到DHCP中继代理所在的本地主机的DHCP请求,然后允许从本地主机到DMZ网络的DHCP回复。

  Figure 8

  我们可以把上面两条规则合并在一起,结果如下图所示:

  Figure 9

  第一条规则允许从默认的内部网络和本地主机发送到DMZ网络和VPN客户网络的DHCP回复,而第二条规则允许从Anywhere到达DHCP中继代理所在的本地主机网络的DHCP请求。访问规则的具体创建过程在此就不详细描述了,请参见ISA中文站的其他文章。

  测试配置

  现在我们来进行测试,在DMZ网络的一台客户机上,配置此客户为DHCP客户,然后在命令提示符下运行ipconfig /renew,如果你使用网络监视器来进行嗅探,你可以看到如下图所示的完整的DHCP发现、提供、请求、确认信息:

  Figure 10

  在ISA防火墙的实时日志中,你也可以看到如下图的信息:

  Figure 11

  第一行是从DHCP中继代理发送给DHCP服务器的DHCP请求信息,注意,这是通过ISA防火墙系统策略允许的;第二行从DHCP服务器发送给DHCP中继代理的DHCP回复信息,这是通过我们创建的DHCP Request (Anywhere to LH)规则允许的;第三行是DHCP中继代理转发给位于DMZ网络的DHCP客户的DHCP回复。但是日志并没有记录下完整的四个通讯过程:DHCP客户发送的DHCP发现广播消息;从DHCP服务器发送给DHCP中继代理的DHCP提供消息;DHCP客户发送给DHCP服务器的DHCP请求消息(表明DHCP客户接受DHCP服务器提供的IP地址);DHCP服务器发送给DHCP客户的DHCP确认消息(表明确认DHCP客户接受IP地址)。

  在命令提示符中运行ipconfig /renew的结果如下, 客户正确的获得了IP地址,此时,我们的配置就完全成功了。

0
相关文章