ISA中为DMZ网段启用DHCP中继二

　　在ISA防火墙中为DMZ网络创建网络

　　我们现在需要在ISA防火墙中为DMZ网络创建网络，在此我命名此网络为DMZ，你可以根据你自己的喜好来命名，但是，对于ISA防火墙来说，不管是什么名字，都只是ISA防火墙中的一个网络而已。

　　执行以下步骤来在ISA防火墙中创建网络：

　　1、在ISA防火墙管理控制台，展开服务器名，然后展开配置，点击网络节点；

　　2、点击细节面板中的网络标签，然后点击任务面板中的任务标签，再点击创建一个新网络链接；

　　3、在欢迎使用新建网络向导页，在网络名字文本框为新建的网络输入一个名字，在此我命名为DMZ，然后点击下一步；

　　4、在网络类型页，选择内部网络，然后点击下一步；

　　5、在地址范围页，点击添加适配器按钮；

　　6、在选择网络适配器对话框，根据你的网络结构进行选择，在此我勾选DMZ接口，然后点击确定；

　　Figure 4

　　7、在网络地址页点击下一步；

　　Figure 5

　　8、在正在完成新建网络向导页，点击完成；

　　9、此时，新建的DMZ网络在网络标签中显示了出来；

　　Figure 6

　　注意：在这篇文章中，我们并不需要为DMZ网络和内部网络间创建网络规则，因为DHCP消息是在ISA防火墙和DMZ网络之间进行通讯，而不是DMZ网络和内部网络间进行通讯。在你的实际网络环境中，请根据你自己的需要来决定是否需要创建网络规则。

　　创建允许DHCP通讯的访问规则

　　下图显示了在启用VPN客户的DHCP中继时所需要的访问规则：允许VPN客户网络发送DHCP请求到本地主机和允许DHCP回复从内部网络到达VPN客户网络。注意VPN客户并不是通过自己发送的DHCPDISCOVER信息来直接从DHCP服务器获取的IP地址信息，而是RRAS服务器通过IPCP（Internet协议控制协议）来给它们提供的。

　　Figure 7

　　下图显示了允许DMZ网络主机从位于内部网络的DHCP服务器上获取IP地址信息的访问规则。它和上面的规则有点不一样，由于此时DHCP客户没有IP地址（使用的是0.0.0.0），你必须允许从Anywhere到DHCP中继代理所在的本地主机的DHCP请求，然后允许从本地主机到DMZ网络的DHCP回复。

　　Figure 8

　　我们可以把上面两条规则合并在一起，结果如下图所示：

　　Figure 9

　　第一条规则允许从默认的内部网络和本地主机发送到DMZ网络和VPN客户网络的DHCP回复，而第二条规则允许从Anywhere到达DHCP中继代理所在的本地主机网络的DHCP请求。访问规则的具体创建过程在此就不详细描述了，请参见ISA中文站的其他文章。

　　测试配置

　　现在我们来进行测试，在DMZ网络的一台客户机上，配置此客户为DHCP客户，然后在命令提示符下运行ipconfig /renew，如果你使用网络监视器来进行嗅探，你可以看到如下图所示的完整的DHCP发现、提供、请求、确认信息：

　　Figure 10

　　在ISA防火墙的实时日志中，你也可以看到如下图的信息：

　　Figure 11

　　第一行是从DHCP中继代理发送给DHCP服务器的DHCP请求信息，注意，这是通过ISA防火墙系统策略允许的；第二行从DHCP服务器发送给DHCP中继代理的DHCP回复信息，这是通过我们创建的DHCP Request (Anywhere to LH)规则允许的；第三行是DHCP中继代理转发给位于DMZ网络的DHCP客户的DHCP回复。但是日志并没有记录下完整的四个通讯过程：DHCP客户发送的DHCP发现广播消息；从DHCP服务器发送给DHCP中继代理的DHCP提供消息；DHCP客户发送给DHCP服务器的DHCP请求消息（表明DHCP客户接受DHCP服务器提供的IP地址）；DHCP服务器发送给DHCP客户的DHCP确认消息（表明确认DHCP客户接受IP地址）。

　　在命令提示符中运行ipconfig /renew的结果如下， 客户正确的获得了IP地址，此时，我们的配置就完全成功了。

　　Figure 12