科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道ISA中为DMZ网段启用DHCP中继二

ISA中为DMZ网段启用DHCP中继二

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

我们现在需要在ISA防火墙中为DMZ网络创建网络,在此我命名此网络为DMZ,你可以根据你自己的喜好来命名,但是,对于ISA防火墙来说,不管是什么名字,都只是ISA防火墙中的一个网络而已。

作者:论坛整理 来源:zdnet网络安全 2008年3月26日

关键字: DHCP DHCP协议 DHCP服务器 网络协议

  • 评论
  • 分享微博
  • 分享邮件

  在ISA防火墙中为DMZ网络创建网络

  我们现在需要在ISA防火墙中为DMZ网络创建网络,在此我命名此网络为DMZ,你可以根据你自己的喜好来命名,但是,对于ISA防火墙来说,不管是什么名字,都只是ISA防火墙中的一个网络而已。

  执行以下步骤来在ISA防火墙中创建网络:

  1、在ISA防火墙管理控制台,展开服务器名,然后展开配置,点击网络节点;

  2、点击细节面板中的网络标签,然后点击任务面板中的任务标签,再点击创建一个新网络链接;

  3、在欢迎使用新建网络向导页,在网络名字文本框为新建的网络输入一个名字,在此我命名为DMZ,然后点击下一步;

  4、在网络类型页,选择内部网络,然后点击下一步;

  5、在地址范围页,点击添加适配器按钮;

  6、在选择网络适配器对话框,根据你的网络结构进行选择,在此我勾选DMZ接口,然后点击确定;

  

  Figure 4

  7、在网络地址页点击下一步;

  

  Figure 5

  8、在正在完成新建网络向导页,点击完成;

  9、此时,新建的DMZ网络在网络标签中显示了出来;

  

  Figure 6

  注意:在这篇文章中,我们并不需要为DMZ网络和内部网络间创建网络规则,因为DHCP消息是在ISA防火墙和DMZ网络之间进行通讯,而不是DMZ网络和内部网络间进行通讯。在你的实际网络环境中,请根据你自己的需要来决定是否需要创建网络规则。

  创建允许DHCP通讯的访问规则

  下图显示了在启用VPN客户的DHCP中继时所需要的访问规则:允许VPN客户网络发送DHCP请求到本地主机和允许DHCP回复从内部网络到达VPN客户网络。注意VPN客户并不是通过自己发送的DHCPDISCOVER信息来直接从DHCP服务器获取的IP地址信息,而是RRAS服务器通过IPCP(Internet协议控制协议)来给它们提供的。

  

  Figure 7

  下图显示了允许DMZ网络主机从位于内部网络的DHCP服务器上获取IP地址信息的访问规则。它和上面的规则有点不一样,由于此时DHCP客户没有IP地址(使用的是0.0.0.0),你必须允许从Anywhere到DHCP中继代理所在的本地主机的DHCP请求,然后允许从本地主机到DMZ网络的DHCP回复。

  

  Figure 8

  我们可以把上面两条规则合并在一起,结果如下图所示:

  

  Figure 9

  第一条规则允许从默认的内部网络和本地主机发送到DMZ网络和VPN客户网络的DHCP回复,而第二条规则允许从Anywhere到达DHCP中继代理所在的本地主机网络的DHCP请求。访问规则的具体创建过程在此就不详细描述了,请参见ISA中文站的其他文章。

  测试配置

  现在我们来进行测试,在DMZ网络的一台客户机上,配置此客户为DHCP客户,然后在命令提示符下运行ipconfig /renew,如果你使用网络监视器来进行嗅探,你可以看到如下图所示的完整的DHCP发现、提供、请求、确认信息:

  

  Figure 10

  在ISA防火墙的实时日志中,你也可以看到如下图的信息:

  

  Figure 11

  第一行是从DHCP中继代理发送给DHCP服务器的DHCP请求信息,注意,这是通过ISA防火墙系统策略允许的;第二行从DHCP服务器发送给DHCP中继代理的DHCP回复信息,这是通过我们创建的DHCP Request (Anywhere to LH)规则允许的;第三行是DHCP中继代理转发给位于DMZ网络的DHCP客户的DHCP回复。但是日志并没有记录下完整的四个通讯过程:DHCP客户发送的DHCP发现广播消息;从DHCP服务器发送给DHCP中继代理的DHCP提供消息;DHCP客户发送给DHCP服务器的DHCP请求消息(表明DHCP客户接受DHCP服务器提供的IP地址);DHCP服务器发送给DHCP客户的DHCP确认消息(表明确认DHCP客户接受IP地址)。

  在命令提示符中运行ipconfig /renew的结果如下, 客户正确的获得了IP地址,此时,我们的配置就完全成功了。

  

  Figure 12

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章