我在网络上经常会看到有些人提出了ISA后面是企业三层交换,前面是硬件防火墙,ISA应该如何设置,才能使内部数据包正常通过。在这里,我把工作中的一些积累拿出来给大家。
我们可以这样来分析,好比企业三层交换前面就是ISA服务器,而ISA服务器前面直接通过光纤连到电信或网通,此方案就是把ISA服务器当作企业边缘防火墙,那我们应该如何设置呢?其实很简单,你的三层交换是固定的,三层交换有30个直连Vlan(172.16.1.0-172.16.32.0),那么在三层交换就应该有条缺省路由指向ISA服务器内网口,这样到公网的路由就转交给下一跳ISA服务器了。而ISA服务器的内网口肯定是和三层交换中的某一个特定Vlan相连,比如就是Vlan 1。那么内网中只有vlan 1的数据包即能从ISA服务器出去也能从ISA服务器回来,但是除Vlan 1以外的其余29个Vlan,数据包只能从ISA服务器出去,回来ISA服务器就不知道下一跳怎么走了。所以这个时候我们需要在ISA服务器手工添加静态路由才可以,只需要在命令提示符下输入route add -p 172.16.0.0 mask 255.255.0.0 172.16.0.1,此命令的意思就是到172.16.0.0的网段下一跳交给ISA服务器所在的Vlan 1网关。这样就没问题了。
我们知道ISA服务器缺省网络规则是内部到外部是NAT的方式,也就说明了内部数据包到公网都是做了转换的,那么ISA服务器就有一张NAT表,那么不管ISA前面有没有硬件防火墙,ISA服务器都是通过NAT方式出去的,只要把ISA服务器外网口的网关指向对端的三层设备就好了,其它都没什么设备,这里就不存在回指路由的概念了,因为这里是NAT了。
希望我的这个解释能给大家一些启发。