和为VPN客户启用DHCP中继不一样,当你为DMZ网络或者其他的内部网络启用DHCP中继时,这些DHCP客户将直接发送DHCP请求到ISA防火墙。而RRAS服务不会为非VPN客户提供IP地址信息,你只有使用DHCP中继代理来为客户提供IP地址信息和DHCP选项。
例如下面的网络结构,ISA防火墙上安装了三个网卡:一个连接到默认的外部网络(此网卡上配置了默认网关),一个连接到默认的内部网络,还有一个连接到DMZ网络(你可以认为DMZ网络是另外一个内部网络,本文中的其他地方均同义)。DMZ网络中的DHCP客户需要从位于内部网络的DHCP服务器上获得IP地址信息。
为了实现这一点,我们需要在ISA防火墙上安装和配置DHCP中继代理。和VPN客户不一样,DMZ网络中的DHCP客户不仅仅是需要从DHCP服务器获得DHCP选项信息,而且还需要IP地址和子网掩码。这需要我们在DHCP服务器上配置一个在DMZ网络中有效的DHCP作用域,在这个例子中,DMZ网络的网络ID是172.16.0.0/24。
本文中的配置过程如下:
在DHCP服务器上为DMZ网络创建作用域;
在ISA防火墙上安装和配置DHCP中继代理;
在ISA防火墙中为DMZ网络创建网络;
创建允许DHCP通讯的访问规则;
测试配置。
我们是在文章为VPN客户启用DHCP中继的基础上进行配置的,建议你先阅读这篇文章,这样你可以更好的了解DHCP中继。
我们已经在内部网络中安装和配置好了DHCP服务器,并且已经为内部网络创建了相应的作用域,我们需要为DMZ网络创建一个DHCP作用域。如为VPN客户启用DHCP中继文章介绍的那样,我已经安装并配置好了DHCP中继代理,然后配置DHCP中继代理侦听DMZ网络接口,最后我们将在ISA防火墙中创建DMZ网络和允许DHCP通讯的访问规则。
在DHCP服务器上为DMZ网络创建作用域
你需要在DHCP服务器上为DMZ网络创建DHCP作用域,DHCP服务器根据DHCP中继代理侦听器的IP地址来决定使用哪个作用域来为DMZ网络分配IP地址。
当DHCP中继代理转发DHCP请求到DHCP服务器时,它将在转发的DHCP请求数据包的giaddr字段(网关地址字段)加上自己的IP地址,这个IP地址就是ISA防火墙接受DHCP消息的接口的IP地址,如下图所示。你必须在DHCP服务器上创建一个和giaddr字段相同网络ID的有效的作用域。
在这个例子中,我们创建了一个IP地址范围为172.16.0.100-172.16.200、子网掩码为255.255.255.0(24位掩码)的作用域,你同样可以使用ISA防火墙连接DMZ网络的接口的IP地址来为此作用域配置默认网关选项。你必须先创建正确的作用域后,然后才能继续下一步的操作。
在ISA防火墙上安装和配置DHCP中继代理
如为VPN客户启用DHCP中继一文介绍的一样,我已经安装和配置好了DHCP中继代理。接下来需要配置DHCP中继代理侦听DMZ网络的接口 ,我们只需要将DMZ网络接口添加到DHCP中继代理的接口列表中。
执行以下步骤来添加接口:
1、点击开始,指向管理工具,再点击路由和远程访问;
2、在路由和远程访问控制台,展开服务器名,再展开IP路由节点,右击DHCP中继代理协议,然后点击新建接口;
3、根据你的网络环境选择DMZ网络的接口,在此我选择DMZ接口,然后点击确定;
4、在DHCP中继代理服务的内部接口属性对话框上点击确定;
5、点击应用再点击确定;
文章来源于领测软件测试网 https://www.ltesting.net/
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073