查看單個文章
舊 2004-07-16, 10:48 PM   #2 (permalink)
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

淺談ISA Server 2004、KWF中的路由

無論是ISA Server 2004還是KWF,都可以讓你在你的局內網中劃分多個子網或者VLAN,然後讓這些VLAN通過ISA Server 2004或KWF所做的NAT Server 訪問外部網路。不過ISA Server 2004和KWF都建議你對不同的網路使用不同的網路接頭(網路卡),如果在同個網路接頭(網路卡)上實現不同的網路,那麼ISA Server 2004和KWF的部分網路間的路由功能將會受到限制。

一、同個接頭上實現多個網段

圖一是一個在相同網路接頭上實現多個網路的實例。在NAT Server的內部接頭上同時具有192.168.0.1/24和192.168.1.1/24兩個IP,而且內部網路中也存在這兩個回應的網段,內部兩個網段的客戶的預設網路閘道設定為NAT Server內部接頭上對應網段的IP。在具體的配置上,ISA Server 2004需要你在內部網路中明確這兩個網段,而KWF則是從接頭的IP配置中獲取這兩個網段的資訊,只要你明確允許這兩個網段的內部用戶訪問外部網路,那麼這兩個網段的電腦都可以正常的訪問外部網路。但是在這個時候,ISA Server 2004不能路由這兩個網段之間的資料包。例如,如果192.168.0.2這個客戶傳送一個資料包給192.168.1.3,因為沒有對應的路由,這個資料包會傳送到預設網路閘道,但是由於ISA Server 2004的包過濾特性,就算ISA Server 2004的路由表中存在192.168.1.0/24這個網路的路由,ISA Server 2004並不會將這個資料包轉發給192.168.1.3,因為如果這樣,ISA Server 2004收到、傳送這個資料包的網路接頭將會是同樣的接頭,從安全防禦的角度,這個是ISA Server 2004所不允許的。與之不同,KWF中專門有個路由定義的選項,如果你定義了這條路由,KWF會轉發給對應的客戶,就算收到、發出資料包的是同樣的接頭。

注意:在ISA Server 2004中,即使你在NAT Server 的內部接頭上只配置了192.168.0.1/24這個IP,你也可以在內部網路中加入192.168.1.1/24這個網段的定義。但是如果內部的192.168.1.1/24客戶把資料包傳送到ISA Server 2004要求轉發到外部網路,ISA Server 2004會提示配置錯誤,並且丟棄該資料包。

http://www.isaservercn.org/pic/routeoverisa/2.jpg

圖一 同個接頭多個網段


 

二、不同接頭不同網段

圖二是不同網路接頭連線到不同網段的情況(VLAN劃分的情況一樣),這也是ISA Server 2004和KWF的推薦方案。在ISA Server 2004中,你需要設定內部網路,KWF則會從網路接頭的內容中自動獲取網路的資訊,此時,只要你允許這些內部網路訪問外部網路,它們就可以進行正常的訪問。

 http://www.isaservercn.org/pic/routeoverisa/3.jpg

圖二 不同接頭不同網段


三、內部網路存在路由的情況

圖三是在內部網路中還存在路由的情況。和「同個接頭上實現多個網段「中描述的一樣,如果192.168.0.0/24網段的用戶想把資料包傳送到172.16.0.0/16網段,作為它們的預設網路閘道,ISA Server 2004是不會進行資料包轉發的。而如果在KWF中定義了這條路由,它會進行轉發。

對於使用ISA Server 2004而又是這種網路拓樸接頭的情況,只有一種辦法,就是在ISA Server2004上增加一個接頭,連線到172.16.0.0/16網段。

 

圖三 內部網路存在路由的情況


http://www.isaservercn.org/pic/routeoverisa/4.jpg
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次