ISA中为DMZ网段启用DHCP中继一

　　和为VPN客户启用DHCP中继不一样，当你为DMZ网络或者其他的内部网络启用DHCP中继时，这些DHCP客户将直接发送DHCP请求到ISA防火墙。而RRAS服务不会为非VPN客户提供IP地址信息，你只有使用DHCP中继代理来为客户提供IP地址信息和DHCP选项。

　　例如下面的网络结构，ISA防火墙上安装了三个网卡：一个连接到默认的外部网络（此网卡上配置了默认网关），一个连接到默认的内部网络，还有一个连接到DMZ网络（你可以认为DMZ网络是另外一个内部网络，本文中的其他地方均同义）。DMZ网络中的DHCP客户需要从位于内部网络的DHCP服务器上获得IP地址信息。

　　Figure 1

　　为了实现这一点，我们需要在ISA防火墙上安装和配置DHCP中继代理。和VPN客户不一样，DMZ网络中的DHCP客户不仅仅是需要从DHCP服务器获得DHCP选项信息，而且还需要IP地址和子网掩码。这需要我们在DHCP服务器上配置一个在DMZ网络中有效的DHCP作用域，在这个例子中，DMZ网络的网络ID是172.16.0.0/24。

　　本文中的配置过程如下：

　　在DHCP服务器上为DMZ网络创建作用域；　

　　在ISA防火墙上安装和配置DHCP中继代理；

　　在ISA防火墙中为DMZ网络创建网络；

　　创建允许DHCP通讯的访问规则；

　　测试配置。

　　我们是在文章为VPN客户启用DHCP中继的基础上进行配置的，建议你先阅读这篇文章，这样你可以更好的了解DHCP中继。

　　我们已经在内部网络中安装和配置好了DHCP服务器，并且已经为内部网络创建了相应的作用域，我们需要为DMZ网络创建一个DHCP作用域。如为VPN客户启用DHCP中继文章介绍的那样，我已经安装并配置好了DHCP中继代理，然后配置DHCP中继代理侦听DMZ网络接口，最后我们将在ISA防火墙中创建DMZ网络和允许DHCP通讯的访问规则。

　　在DHCP服务器上为DMZ网络创建作用域

　　你需要在DHCP服务器上为DMZ网络创建DHCP作用域，DHCP服务器根据DHCP中继代理侦听器的IP地址来决定使用哪个作用域来为DMZ网络分配IP地址。

　　当DHCP中继代理转发DHCP请求到DHCP服务器时，它将在转发的DHCP请求数据包的giaddr字段（网关地址字段）加上自己的IP地址，这个IP地址就是ISA防火墙接受DHCP消息的接口的IP地址，如下图所示。你必须在DHCP服务器上创建一个和giaddr字段相同网络ID的有效的作用域。

　　Figure 2

　　在这个例子中，我们创建了一个IP地址范围为172.16.0.100-172.16.200、子网掩码为255.255.255.0（24位掩码）的作用域，你同样可以使用ISA防火墙连接DMZ网络的接口的IP地址来为此作用域配置默认网关选项。你必须先创建正确的作用域后，然后才能继续下一步的操作。

　　在ISA防火墙上安装和配置DHCP中继代理

　　如为VPN客户启用DHCP中继一文介绍的一样，我已经安装和配置好了DHCP中继代理。接下来需要配置DHCP中继代理侦听DMZ网络的接口 ，我们只需要将DMZ网络接口添加到DHCP中继代理的接口列表中。

　　执行以下步骤来添加接口：

　　1、点击开始，指向管理工具，再点击路由和远程访问；

　　2、在路由和远程访问控制台，展开服务器名，再展开IP路由节点，右击DHCP中继代理协议，然后点击新建接口；

　　3、根据你的网络环境选择DMZ网络的接口，在此我选择DMZ接口，然后点击确定；

　　Figure 3

　　4、在DHCP中继代理服务的内部接口属性对话框上点击确定；

　　5、点击应用再点击确定；