isaserver2006教程.doc

关于如何用ISA解决内网多个网段上网的问题 标签：ISA 网段 v\:* {behavior:url(#default#VML);} o\:* {behavior:url(#default#VML);} w\:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);} st1\:*{behavior:url(#ieooui) } 一个公司里，可能会存在有多个网段，但也许你的外线只开通了一条，也没有什么高级的交换/路由设备，都是一些傻瓜型的，但公司会不定时的要你开通某某某计算机的外网，关闭某某某计算机的外网，它们又不在同一个网段，解决起来是不是有些麻烦呢？您是否遇到这种情况呢？ 下面我们用一台兼价机作为ISA SERVER，一台作为”软路由“，低价的解决这个问题。 ? TOPO图如下： ? 实验目的：让192.168.0/8, 192.168.10/8? 192.168.11/8都能够通过ISA服务器上网。 难点：因为ISA已有外网的网关，故不能再使用其它默认网关，它要如何把信息回传到10,11段的计算机呢？ ? 首先，我们要保证0,10,11三个网段的计算机是可以互访问。 由上图可以了解，上面用了一台计算机作为“软路由”，使这三个网段的计算机可以互相访问。我们来试一下。 设客户端一计算机berlin，IP信息如下： 可以看到，它属于11网段，且网关已指向11.254。我们分别PING一个0，10两个网段的计算机 我们发现，通讯是正常的。这说明软路由“route”主机工作正常。 ? 二，让ISA可以与内网的三个网段通讯 我们先来试一下 ISA的IP信息如下： ? ? 我们发现，连向内网网卡(lan)的IP为：192.168.0.11，没有设网关。外网IP通过PPPOE拨号得58.63.152.223，网关，怎么会是0.0.0.0呢？ 用route print查看它的默认网关 ? ? ? 这里我们可以看到，现在ISA的默认网关为：58.63.152.1，是WNA网卡拨号获得。 ? 由上面的路由表可以表明，我们只能与内网0段，或与外网通信。 我们来试一下与三个段通信：（条件，ISA必须已设置许可“内网”与“主机”的通信） ? 经测试证实，我们只能与内网的0网段通信，不能与10,11网段通信，原因很简单，因为我们的网关没有指向“route”（192.168.0.10），为什么不指向呢？因为我们要加接外网，需要外网的的网关，而WIN中不能同时使用两个“默认网关”，所以起作用的只有一个。 ? 那怎么办？怎么才能既可以连接外网，又可以与内网三个网段连通呢？ 好，现在我们来解决这个问题： 首先，要在ISA中的“内网”中定义这三个网段。否则ISA会阻止通信，如下图： ?? 可以看到，“内部”网络中已定义0.,10,11这三个网段。 ? 2)定义了“内部”网络对象，接下来再看一下“网络规则”，只有“网络规则”通过时，设置“防火墙策略”才有效。 这说明，本地主机---内网?? 是路由关系，即可以双向通讯，OK，接下我们还需要定设“内网”与“本地主机”的允可通信。 ? 3)定义“防火墙策略” ? ISA规则都定义好了，最后，我们来定义“路由表“了。 ? ? 4）ISA的路由表设置。 设置之前，我们先来看一下，现在的路由表 ? 我们添加到10网段的路由 大概意思如下：当“目标地址“与”Netmask”执行“与”运算后，得到“Network Destination”的值，则用这个“interface”发送信息，否发不出，则通过对应的Gateway Route add那条的意思是? 目标地址与255.255.255.0作“与”运算后，结果若为192.168.10.0，则让192.168.0.11把数据转到192.168.0.10路由中去。 ? 好，现在我们来看一下，能否ping通10网段 ? 我们发现，10可以PING通了，但11段还是不行。为什么呢？因为我们没添加对应的路由表 好，现在我们加上 可以看到，我们已经加上了，注意后面的-p，表示重启ISA SERVER后，路由表仍存在，不加重启后就没有了。 ? 现在试下， 现在与内网三个网段都通信正常，并且与外网通信也正常，不信？不信我们试一下。 ? ? 怎么样，我说得没有错吧。 ? 现在已经解决了ISA与外网，内网多个网段可同时通信的问题。 那么如何让这三个网段的计算机上网呢？很简单，我们分几步走： 设置客户端的IP信息，我们以11段的为例，如下图： 网关指向软路由”route”,DNS可以设置外网或内网都行，只能能解析就OK。 ? ISA服务器的设置 1)网络对象的添加 因为我们用IP来控制上网，所以这里的IP地址，一定