快捷搜索:

How To:在DMZ网络中部署Internet IP地址

若何应用Internet的IP地址来造访位于DMZ收集中的办事器呢?我在How to :应用公共IP地址来造访DMZ中的办事器一文中说起除了在ISA防火墙的外部接口上绑定多个IP然后做转发外,还可以应用直接在DMZ支配Internet的IP地址,然后在ISP的上游路由器上做路由指向的要领。在这篇文章中,我们就来探究若何实现这一规划。

着实,这已经跳出了ISA防火墙的范畴,更多的是路由/子网的常识。只要收集布局优越的进行筹划,支配ISA防火墙是异常轻易的。

在国外,IP地址是很轻易得到的;而且,你可以一次性为你的收集申请一个完备C类收集的IP地址。然则在海内,一样平常客户想从ISP得到一个C类收集的IP地址无异是天方夜谭,一样平常都是几个IP地址。在这个试验中,我们从ISP处得到了五个Internet IP地址,地址范围是从61.139.0.8到61.139.0.12,子网掩码是255.255.255.0。我想在DMZ收集中支配Internet的IP地址,以是我就必须先对得到的Internet IP地址进行子网划分,然后给DMZ收集分配一个子网,着末在ISP的路由器上对我的DMZ子网进行路由指向。

在此历程中,子网划分就显得特其余紧张。并且在IP地址的分配历程中,ISA防火墙连接Internet和DMZ的收集适配器各必要一个IP地址,并且子网广播地址和子网收集地址将各耗去一个。以是你可以在DMZ收集中设置设置设备摆设摆设的Internet IP地址为你得到的Internet IP地址数减去四。

现在,我们首先必要对得到的Internet IP地址进行子网划分:

将IP地址转换为二进制:

61.139.0.8 00111101 10001011 00000000 00001000

61.139.0.9 00111101 10001011 00000000 00001001

61.139.0.10 00111101 10001011 00000000 00001010

61.139.0.11 00111101 10001011 00000000 00001011

61.139.0.12 00111101 10001011 00000000 00001100

留意看,前面四个IP地址(61.139.0.8~61.139.0.11)都是位于61.139.0.8/30子网中,以是,我们可以在DMZ收集中支配此子网,然后在ISA连接外部收集(Internet)上的收集适配器上设置设置设备摆设摆设61.139.0.12/24这个IP地址。

然则在61.139.0.8/30这个子网中,61.139.0.8/30是子网收集地址,61.139.0.11/30是子网广播地址,都不能给收集中的主机进行应用。然后我们在ISA防火墙连接DMZ的接口上设置设置设备摆设摆设61.139.0.9/252这个IP地址,那么就只剩下61.139.0.10/30这个IP地址可以设置设置设备摆设摆设给DMZ收集中的办事器应用了。

试验用的收集拓朴布局如下图所示:

各谋略机的TCP/IP设置设置设备摆设摆设环境如下,这次试验不涉及DNS解析,各谋略机的DNS办事器均设置为空:

External1:

IP:61.139.0.1/24;

DG:61.139.0.1;

ISA 2004 Firewall:

External接口:

IP:61.139.0.12/24

DG:61.139.0.1;

DMZ接口:

IP:61.139.0.9/30;

DG:None;

Interna接口:

IP:192.168.0.1/24;

DG:None;

Ftp1:

IP:61.139.0.10/30;

DG:61.139.0.9;

Client1:

IP:192.168.0.8/24;

DG:192.168.0.1;

在这个试验中,我们按照以下步骤进行:

应用三向外围模板设置设置设备摆设摆设ISA防火墙;

改动造访规则;

测试各个收集间的连通性一;

在外部主机上设置设置设备摆设摆设到DMZ收集的路由;

测试各个收集间的连通性二;

1、应用三向外围模板设置设置设备摆设摆设ISA防火墙;

打开ISA防火墙治理节制台,点击设置设置设备摆设摆设下的收集,然后在右边的义务面板的模版标签中,点击3向外围收集,

在弹出的迎接应用收集模版领导对话框,点击下一步;

在导出ISA办事器的设置设置设备摆设摆设页,点击下一步;

在内部收集IP地址页,因为我们在安装时已经进行了设置设置设备摆设摆设,以是直接点击下一步;假如没有设置设置设备摆设摆设,你可以经由过程自行添加;

在外向收集IP地址页,点击添加适配器;

在弹出的选择网卡对话框,勾选DMZ,然后点击确定;

然后在外围收集IP地址页,点击下一步;

在选择一个防火墙策略页,选择容许无限定的造访,点击下一步;

着末在正在完成收集模版页,点击完成。

现在,你可以在收集规则中看到,内部到外围(DMZ)、外部都是NAT要领,外围到外部是路由要领。关于设置设置设备摆设摆设DMZ收集更多的信息,请拜见How to :在ISA Server 2004中设置设置设备摆设摆设DMZ收集一文。

2、改动造访规则

此时,防火墙策略如下图所示,

为了更好的进行演示,我们必要进行改动。双击无限定的Internet造访,将其源收集和目的收集均改动为所有收集(和本地主机),然后删除第二条规则VPN客户端到内部收集的造访,改动后的规则如下图所示:

点击利用以保存改动和更新防火墙策略。

现在我们在ISA防火墙长进行测试:

/* 在ISA防火墙长进行测试*/

C:\Documents and Settings\Administrator>ipconfig/all

Windows IP Configuration

Host Name . . . . . . . . . . . . : Florence

Primary Dns Suffix . . . . . . . :

Node Type . . . . . . . . . . . . : Unknown

IP Routing Enabled. . . . . . . . : Yes

WINS Proxy Enabled. . . . . . . . : No

Ethernet adapter DMZ:

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Generic) #2

Physical Address. . . . . . . . . : 00-03-FF-7E-BC-3B

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 61.139.0.9

Subnet Mask . . . . . . . . . . . : 255.255.255.252

Default Gateway . . . . . . . . . :

Ethernet adapter Internal:

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Generic)

Physical Address. . . . . . . . . : 00-03-FF-EE-45-8D

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 192.168.0.1

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . :

Ethernet adapter External:

Connection-specific DNS Suffix . :

Description . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapter (Generic) #3

Physical Address. . . . . . . . . : 00-03-FF-FC-FF-FF

DHCP Enabled. . . . . . . . . . . : No

IP Address. . . . . . . . . . . . : 61.139.0.12

Subnet Mask . . . . . . . . . . . : 255.255.255.0

Default Gateway . . . . . . . . . : 61.139.0.1

/* Ping 位于内部收集中的Client1*/

C:\Documents and Settings\Administrator>ping 192.168.0.8

Pinging 192.168.0.8 with 32 bytes of data:

Reply from 192.168.0.8: bytes=32 timeping 61.139.0.10

Pinging 61.139.0.10 with 32 bytes of data:

Reply from 61.139.0.10: bytes=32 time=2ms TTL=128

Reply from 61.139.0.10: bytes=32 time=2ms TTL=128

Ping statistics for 61.139.0.10:

Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

Minimum = 2ms, Maximum = 2ms, Average = 2ms

/* Ping 位于外部收集中的External1*/

C:\Documents and Settings\Administrator>ping 61.139.0.1

Pinging 61.139.0.1 with 32 by

您可能还会对下面的文章感兴趣: