首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-常规 > 理解ISA Server 2004中的网络
现在时间是: 2019-02-19 18:48
理解ISA Server 2004中的网络

(2005-08-21 15:54)
来源:ISA中文站

上面的文字看起来比较枯燥,我以实例来给大家进行说明,下图是一个在ISA防火墙的内部网络中包含有其他子网的网络拓朴情况,

 

ISA防火墙拥有两个网络适配器:

  • 外部网络适配器39.1.1.1/24,配置了默认网关;

  • 内部网络适配器10.2.1.1/24,没有配置默认网关,添加了通往子网10.1.1.0/24和10.0.1.0/24子网的路由;

ISA防火墙上的路由表如下图所示:

Network Destination

Netmask

Gateway

Interface

Metric

0.0.0.0

0.0.0.0

39.1.1.1

39.1.1.1

20

10.0.1.0

255.255.255.0

10.2.1.8

10.2.1.1

1

10.1.1.0

255.255.255.0

10.2.1.8

10.2.1.1

1

10.2.1.0

255.255.255.0

10.2.1.1

10.2.1.1

20

10.2.1.1

255.255.255.255

127.0.0.1

127.0.0.1

20

10.255.255.255

255.255.255.255

10.2.1.1

10.2.1.1

20

39.1.1.0

255.255.255.0

39.1.1.1

39.1.1.1

20

39.1.1.1

255.255.255.255

127.0.0.1

127.0.0.1

20

39.255.255.255

255.255.255.255

39.1.1.1

39.1.1.1

20

127.0.0.0

255.0.0.0

127.0.0.1

127.0.0.1

1

224.0.0.0

240.0.0.0

10.2.1.1

10.2.1.1

20

224.0.0.0

240.0.0.0

39.1.1.1

39.1.1.1

20

255.255.255.255

255.255.255.255

10.2.1.1

10.2.1.1

1

255.255.255.255

255.255.255.255

39.1.1.1

39.1.1.1

1

从上面可以反映出内部网络中包含的三个网络:

  • 10.0.1.0/24

  • 10.1.1.0/24

  • 10.2.1.0/24

当你为ISA防火墙配置内部网络时,应包括上述的所有子网。

如果你没有在内部网络中包含上述的所有子网,而是分别为其中的每个子网创建一个网络,那么ISA防火墙将认为10.0.1.0/24和10.1.1.0/24这两个网络暂时断开连接,因为没有与其关联的网络适配器。ISA防火墙会验证Windows路由表和ISA防火墙中的网络配置是否一致,由于10.0.1.0/24和10.1.1.0/24这两个网络的通讯是通过内部网络适配器进行转发,如果不在内部网络中包含这些网络,那么ISA防火墙将确定存在与断开的网络的路由,并得出结论:ISA防火墙的网络配置与路由表不一致,然后通过触发配置错误警告来指出这种不一致性,警告的描述类似如下文字:

描述:(标准版和企业版略有不同)

ISA 服务器检测到通过适配器“内部”的路由与此适配器所属的网络元素没有关联。冲突中的地址范围是:10.0.1.0-10.0.1.255,10.1.1.0-10.1.1.255。修复网络元素和/或路由表以使这些范围一致。它们应当或者全包括,或者全不包括。如果您新近创建一个远程站点网络,请检查该事件是否再次出现。如果没有创建上述网络,则可以放心地忽略此消息。

 

如果你没有在内部网络中包含上述的所有子网,而且也没有为它们创建网络,那会怎么样呢?所有没有明确定义的IP地址均属于默认的外部网络。但是,ISA防火墙通过验证Windows路由表和网络配置可以发现,属于外部网络的这两个网络却通过内部网络适配器进行访问,同样的会触发配置错误的警告。

那么,如果你为ISA的外部网络适配器(配置了默认网关)的IP地址新建一个网络,那么会出现什么情况呢?例如,我新建一个外部网络ISA-External,里面的IP地址范围就只包含ISA防火墙的外部网络适配器的IP地址39.1.1.1,那么当客户需要访问外部网络中的某个IP,例如39.1.1.8,那么会发生什么呢?大家看了上面一段文字,可能会这样想:39.1.1.8不属于ISA的外部网络适配器所在的网络ISA-External,但是却要通过外部网络适配器访问,所以ISA防火墙会触发配置错误警告。

这个想法通常是正确的,但是在这个地方是错误的,这个客户可以正常的通过ISA防火墙的外部网络适配器访问默认外部网络中的这个IP 39.1.1.8。Why?还记得文章的前半部分中,对于没有关联网络适配器的网络被视为暂时断开连接这一假设存在例外吗?其中第一个就是默认的外部网络。默认的外部网络只和默认路由有关,只要此网络适配器配置了默认路由,而不管此网络适配器属于哪个网络,默认的外部网络均可以通过这个网络适配器上的默认路由来进行访问。

希望通过这篇文章,能够让你更为理解ISA防火墙中的网络定义,为你正确的部署ISA防火墙打好基础。

作者:风间子
责任编辑:风间子

<<上一页 [1] [2] [3]
上一篇:ISA Server 2004中的通讯重定向
下一篇:ISA Server 2004 FAQ :硬件防火墙设备
相关信息:

在Firewall Client中使用ISA的IP地址
ISA Server 2004正式版的120天评估版本下载
ISA Server 2004中的HTTP压缩
ISA最佳实践分析工具使用指南
[敬请期待]ISA Server 2004的故障恢复

热点信息 TOP 10
ISA 2004 王者归来
ISA Server 2004 SP3 使用指南
ISA Server 2004 中的HTTP筛选
HTTP 应用层过滤的兼容性问题及解决方案 v1.2
ISA Server实现HTTP Proxy中基本身份验证、Windows集成身份验证及其安全性
理解ISA Server 2004中的网络
ISA Server 2004中的通讯重定向
ISA Server 2004 Web代理服务拒绝用户再次进行身份验证
升级到ISA 2004防火墙的原因
ISA Server 客户端类型

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..