本实验室在虚拟计算机中使用以下六台计算机。
Florence(红色)和 Firenze(红色)运行 ISA Server 2004 Enterprise Edition。这两台计算机配备三个网卡,分别用于连接内部网络、外围网络和外部网络 (Internet)。Florence 和 Firenze 处于名为ITALY 的阵列中。只有 Florence 运行配置存储服务器 (CSS)。
Denver.contoso.com(绿色)是内部网络上 contoso.com 域的域控制器。Denver 上运行 DNS、RADIUS 和 Exchange 2003,同时也是证书颁发机构 (CA)。
Perth.contoso.com(黄色)是 Web 服务器,它位于外围网络上。Perth 不是该域的成员。
Istanbul.fabrikam.com(紫色)是外部网络 (Internet) 上的 Web服务器和客户端计算机。
Istanbul 上运行 Outlook 2003。Istanbul不是某个域的成员。Berlin(红色)运行 ISA Server 2004 Enterprise Edition。这台计算机代表一个办事处。Berlin 处在名为 GERMANY 的阵列中。
Berlin 也运行配置存储服务器 (CSS),但与 Florence 上的 CSS属于不同的企业。
这些计算机不能与主机通信。
为便于检查和了解网络通讯,每台虚拟计算机上都安装了 Microsoft Network Monitor 5.2,它属于 Windows Server 2003 的一部分。
在本练习中,您将配置 Internet 的客户端计算机,以建立到 ISA Server 计算机的*** 连接。
注意:本实验室练习使用以下计算机:Denver - Florence – Istanbul
在 Istanbul 计算机上执行以下步骤。
1.在 Istanbul 计算机上,考察当前的IP地址配置,并使用 Ping命令测试与“内部”网络(10.1.1.5)的连接。
a. 在 Istanbul 计算机上,打开命令提示符窗口。
b. 在命令提示符下,键入 ipconfig,然后按 Enter 键。
※ipconfig 命令的输出显示 Istanbul 目前只使用 IP 地址 39.1.1.7。
c. 键入 ping 39.1.1.1,然后按 Enter 键。
※ping请求将超时,因为ISA Server (39.1.1.1) 不允许“外部”网络 (Internet) 上的计算机传入的ping请求。
d. 键入 ping 10.1.1.5,然后按 Enter 键。
※ping 请求将超时,因为 Istanbul 还无法连接到“内部”网络上的计算机。
e. 关闭命令提示符窗口。
2.在“网络连接”窗口中创建一个新连接。
键入:*** 连接
名称:*** 至Contoso
*** 服务器:39.1.1.1
a. 在“开始”菜单中,单击“控制面板”,右键单击“网络连接”,然后单击“打开”。
※此时将打开“网络连接”窗口。
b. 在“网络连接”窗口中,右键单击“新建连接向导”,然后单击“新建连接”。
c. 在“新建连接向导”对话框中,单击“下一步”。
d. 在“网络连接类型”页面上,选择“连接到我的工作场所的网络”,然后单击“下一步”。
e. 在“网络连接”页面上,选择“虚拟专用网络连接”,然后单击“下一步”。
f. 在“连接名称”页面上的“公司名”文本框中,键入“*** 至Contoso”,然后单击“下一步”。
g. 在“*** 服务器选择”页面上的“主机名称或 IP 地址”文本框中,键入 39.1.1.1,然后单击“下一步”。
h. 在“可用连接”页面上,选择“只是我使用”,然后单击“下一步”。
i. 在“正在完成新建连接向导”页面上,单击“完成”。
※该向导将在“网络连接”窗口中创建一个新连接,并显示“将 *** 连接至 Contoso”对话框,提示您建立此连接。
3. 建立名为“*** 至Contoso”的 *** 连接。
用户名:Administrator
密码:password
a. 在“将 *** 连接至 Contoso”对话框中,填写以下信息:
●用户名:Administrator
●密码:password
然后单击“连接”。
※在创建到 ISA Server 计算机的 *** 连接之后,系统任务栏中将出现一个图标,表示已建立的连接。
4. 考察当前的 IP 地址配置,并使用 Ping 命令测试与“内部”网络(10.1.1.5) 和 *** 隧道终结点 (10.3.1.1)的连接。
a. 打开一个命令提示符窗口。
b. 在命令提示符下,键入 ipconfig,然后按 Enter 键。
※ipconfig 命令的输出显示 Istanbul 当前使用 IP 地址39.1.1.7,并已收到一个新的 IP 地址 10.3.1.2(或更高),以便建立它到 ISA Server 计算机的 *** 连接。注意,这两个连接将同时列出一个默认的网关设置。
c. 键入 route print,然后按 Enter 键。
※该 route 命令的输出显示 Istanbul 具有两个默认路由(两个子网掩码 (Netmask) 0.0.0.0 行)。然而,***
连接 (10.3.1.2) 的默认路由的度量 (1) 低于网卡连接(39.1.1.1) 上默认网关的度量 (21)。这一活动的默认网关正在使用 *** 连接 (10.3.1.2),输出结尾处的Default Gateway(默认网关)行就显示了这一点。
d. 键入 ping 10.1.1.5,然后按 Enter 键。
※ping 请求(指向 Denver)将超时。即使 Istanbul 已创建到 ISA Server 计算机的 *** 连接,它也无法连接到“内部”网络上的计算机。
※比较:
● ISA Server 2004 - 在创建 *** 连接后,*** 客户端计算机将被视为“*** 客户端”网络的一部分。它们将受“*** 客户端”网络的防火墙策略访问规则的约束。此外,防火墙日志中将记录所有来自“*** 客户端”网络的访问。
● ISA Server 2000 - 在创建 *** 连接后,*** 客户端计算机将被视为内部网络 (LAT) 的一部分。它们可以访问内部网络上的所有资源,而无需经过筛选。
e. 键入 ping 10.3.1.1,然后按 Enter 键。
※ping 请求将超时。IP 地址 10.3.1.1 是 ISA Server 计算机上的目标 *** IP 地址。更有甚者,如果没有访问规则允许到达 *** 隧道的终结点,则将无法到达终结点。
在 Florence 计算机上执行以下步骤。
5.在 Florence 计算机上,使用 Ping 命令测试与 *** 客户端计算机(10.3.1.2 或更高)的连接。
a. 在 Florence 计算机上,打开命令提示符窗口。
b. 在命令提示符下,键入 ping 10.3.1.2(或分配给 Istanbul的更高 10.3.1.x IP 地址),然后按 Enter 键。
※此时将从 Istanbul 计算机上返回四个 ping 回复。
c. 关闭命令提示符窗口。
d. 在 ISA Server 控制台中,选择“防火墙策略(ITALY)”。
e. 在任务窗格的“任务”选项卡上,单击“显示系统策略规则”。
※系统策略规则 11 允许从“本地主机”(ISA Server 计算机)向“所有网络”(包括“*** 客户端”网络)发出Ping 请求。
f. 在任务窗格的“任务”选项卡上,单击“隐藏系统策略规则”。
6.创建新的访问规则。
名称:允许来自 ***
客户端的 Ping 请求
应用于:Ping
源网络:*** 客户端
目标网络:本地主机
a. 在右窗格中,选择第一条规则(如果未定义其他规则,则 选择“默认规则”),以指明新规则要添加到规则列表中的位置。
b. 在任务窗格的“任务”选项卡上,单击“创建阵列访问规则”。
c. 在“新建访问规则向导”对话框中的“访问规则名称”文本框中,键入“允许来自 *** 客户端的 Ping 请求”,然后单击“下一步”。
d. 在“规则操作”页面上,选择“允许”,然后单击“下一步”。
e. 在“协议”页面上的“此规则应用到”列表框中,选择“所选的协议”,然后单击“添加”。
f. 在“添加协议”对话框中,
● 依次单击“通用协议”、“Ping”、“添加”,然后单击“关闭”以关闭“添加协议”对话框。
g. 在“协议”页面上,单击“下一步”。
h. 在“访问规则源”页面上,单击“添加”。
i. 在“添加网络实体”对话框中,
● 依次单击“网络”、“*** 客户端”和“添加”,然后单击“关闭”以关闭“添加网络实体”对话框。
j. 在“访问规则源”页面上,单击“下一步”。
k. 在“访问规则目标”页面上,单击“添加”。
l. 在“添加网络实体”对话框中,
● 依次单击“网络”、“本地主机”和“添加”,然后单击“关闭”以关闭“添加网络实体”对话框。
m. 在“访问规则目标”页面上,单击“下一步”。
n. 在“用户集”页面上,单击“下一步”。
o. 在“正在完成新建访问规则向导”页面上,单击“完成”。
※此时将创建一个新的防火墙策略规则,该规则允许从“*** 客户端”网络向“本地主机”网络 (ISA Server)发出 Ping 请求。
p. 单击“应用”以应用新规则,然后单击“确定”。等待,直到CSS 状态变为“已同步”。
在 Istanbul 计算机上执行以下步骤。
7.在 Istanbul 计算机上,再次使用 Ping 命令验证与 *** 隧道 终结点(ISA Server计算机 (10.3.1.1))的连接性。
a. 在 Istanbul 计算机上,在命令提示符下键入ping 10.3.1.1,然后按 Enter 键。
※此时将从 ISA Server 计算机上返回四个(或三个)ping回复。“允许来自 *** 客户端的 Ping 请求”访问规则允许访问 10.3.1.1。
※这一结果确认 Istanbul 计算机位于“*** 客户端”网络中,同时它与 ISA Server 计算机之间具有一个活动的 *** 连接。
b. 关闭命令提示符窗口。
※在下一个练习中,您将对 ISA Server 进行配置,以允许“*** 客户端”网络访问“内部”网络。
Florence(红色)和 Firenze(红色)运行 ISA Server 2004 Enterprise Edition。这两台计算机配备三个网卡,分别用于连接内部网络、外围网络和外部网络 (Internet)。Florence 和 Firenze 处于名为ITALY 的阵列中。只有 Florence 运行配置存储服务器 (CSS)。
Denver.contoso.com(绿色)是内部网络上 contoso.com 域的域控制器。Denver 上运行 DNS、RADIUS 和 Exchange 2003,同时也是证书颁发机构 (CA)。
Perth.contoso.com(黄色)是 Web 服务器,它位于外围网络上。Perth 不是该域的成员。
Istanbul.fabrikam.com(紫色)是外部网络 (Internet) 上的 Web服务器和客户端计算机。
Istanbul 上运行 Outlook 2003。Istanbul不是某个域的成员。Berlin(红色)运行 ISA Server 2004 Enterprise Edition。这台计算机代表一个办事处。Berlin 处在名为 GERMANY 的阵列中。
Berlin 也运行配置存储服务器 (CSS),但与 Florence 上的 CSS属于不同的企业。
这些计算机不能与主机通信。
为便于检查和了解网络通讯,每台虚拟计算机上都安装了 Microsoft Network Monitor 5.2,它属于 Windows Server 2003 的一部分。
在本练习中,您将配置 Internet 的客户端计算机,以建立到 ISA Server 计算机的*** 连接。
注意:本实验室练习使用以下计算机:Denver - Florence – Istanbul
在 Istanbul 计算机上执行以下步骤。
1.在 Istanbul 计算机上,考察当前的IP地址配置,并使用 Ping命令测试与“内部”网络(10.1.1.5)的连接。
a. 在 Istanbul 计算机上,打开命令提示符窗口。
b. 在命令提示符下,键入 ipconfig,然后按 Enter 键。
※ipconfig 命令的输出显示 Istanbul 目前只使用 IP 地址 39.1.1.7。
c. 键入 ping 39.1.1.1,然后按 Enter 键。
※ping请求将超时,因为ISA Server (39.1.1.1) 不允许“外部”网络 (Internet) 上的计算机传入的ping请求。
d. 键入 ping 10.1.1.5,然后按 Enter 键。
※ping 请求将超时,因为 Istanbul 还无法连接到“内部”网络上的计算机。
e. 关闭命令提示符窗口。
2.在“网络连接”窗口中创建一个新连接。
键入:*** 连接
名称:*** 至Contoso
*** 服务器:39.1.1.1
a. 在“开始”菜单中,单击“控制面板”,右键单击“网络连接”,然后单击“打开”。
※此时将打开“网络连接”窗口。
b. 在“网络连接”窗口中,右键单击“新建连接向导”,然后单击“新建连接”。
c. 在“新建连接向导”对话框中,单击“下一步”。
d. 在“网络连接类型”页面上,选择“连接到我的工作场所的网络”,然后单击“下一步”。
e. 在“网络连接”页面上,选择“虚拟专用网络连接”,然后单击“下一步”。
f. 在“连接名称”页面上的“公司名”文本框中,键入“*** 至Contoso”,然后单击“下一步”。
g. 在“*** 服务器选择”页面上的“主机名称或 IP 地址”文本框中,键入 39.1.1.1,然后单击“下一步”。
h. 在“可用连接”页面上,选择“只是我使用”,然后单击“下一步”。
i. 在“正在完成新建连接向导”页面上,单击“完成”。
※该向导将在“网络连接”窗口中创建一个新连接,并显示“将 *** 连接至 Contoso”对话框,提示您建立此连接。
3. 建立名为“*** 至Contoso”的 *** 连接。
用户名:Administrator
密码:password
a. 在“将 *** 连接至 Contoso”对话框中,填写以下信息:
●用户名:Administrator
●密码:password
然后单击“连接”。
※在创建到 ISA Server 计算机的 *** 连接之后,系统任务栏中将出现一个图标,表示已建立的连接。
4. 考察当前的 IP 地址配置,并使用 Ping 命令测试与“内部”网络(10.1.1.5) 和 *** 隧道终结点 (10.3.1.1)的连接。
a. 打开一个命令提示符窗口。
b. 在命令提示符下,键入 ipconfig,然后按 Enter 键。
※ipconfig 命令的输出显示 Istanbul 当前使用 IP 地址39.1.1.7,并已收到一个新的 IP 地址 10.3.1.2(或更高),以便建立它到 ISA Server 计算机的 *** 连接。注意,这两个连接将同时列出一个默认的网关设置。
c. 键入 route print,然后按 Enter 键。
※该 route 命令的输出显示 Istanbul 具有两个默认路由(两个子网掩码 (Netmask) 0.0.0.0 行)。然而,***
连接 (10.3.1.2) 的默认路由的度量 (1) 低于网卡连接(39.1.1.1) 上默认网关的度量 (21)。这一活动的默认网关正在使用 *** 连接 (10.3.1.2),输出结尾处的Default Gateway(默认网关)行就显示了这一点。
d. 键入 ping 10.1.1.5,然后按 Enter 键。
※ping 请求(指向 Denver)将超时。即使 Istanbul 已创建到 ISA Server 计算机的 *** 连接,它也无法连接到“内部”网络上的计算机。
※比较:
● ISA Server 2004 - 在创建 *** 连接后,*** 客户端计算机将被视为“*** 客户端”网络的一部分。它们将受“*** 客户端”网络的防火墙策略访问规则的约束。此外,防火墙日志中将记录所有来自“*** 客户端”网络的访问。
● ISA Server 2000 - 在创建 *** 连接后,*** 客户端计算机将被视为内部网络 (LAT) 的一部分。它们可以访问内部网络上的所有资源,而无需经过筛选。
e. 键入 ping 10.3.1.1,然后按 Enter 键。
※ping 请求将超时。IP 地址 10.3.1.1 是 ISA Server 计算机上的目标 *** IP 地址。更有甚者,如果没有访问规则允许到达 *** 隧道的终结点,则将无法到达终结点。
在 Florence 计算机上执行以下步骤。
5.在 Florence 计算机上,使用 Ping 命令测试与 *** 客户端计算机(10.3.1.2 或更高)的连接。
a. 在 Florence 计算机上,打开命令提示符窗口。
b. 在命令提示符下,键入 ping 10.3.1.2(或分配给 Istanbul的更高 10.3.1.x IP 地址),然后按 Enter 键。
※此时将从 Istanbul 计算机上返回四个 ping 回复。
c. 关闭命令提示符窗口。
d. 在 ISA Server 控制台中,选择“防火墙策略(ITALY)”。
e. 在任务窗格的“任务”选项卡上,单击“显示系统策略规则”。
※系统策略规则 11 允许从“本地主机”(ISA Server 计算机)向“所有网络”(包括“*** 客户端”网络)发出Ping 请求。
f. 在任务窗格的“任务”选项卡上,单击“隐藏系统策略规则”。
6.创建新的访问规则。
名称:允许来自 ***
客户端的 Ping 请求
应用于:Ping
源网络:*** 客户端
目标网络:本地主机
a. 在右窗格中,选择第一条规则(如果未定义其他规则,则 选择“默认规则”),以指明新规则要添加到规则列表中的位置。
b. 在任务窗格的“任务”选项卡上,单击“创建阵列访问规则”。
c. 在“新建访问规则向导”对话框中的“访问规则名称”文本框中,键入“允许来自 *** 客户端的 Ping 请求”,然后单击“下一步”。
d. 在“规则操作”页面上,选择“允许”,然后单击“下一步”。
e. 在“协议”页面上的“此规则应用到”列表框中,选择“所选的协议”,然后单击“添加”。
f. 在“添加协议”对话框中,
● 依次单击“通用协议”、“Ping”、“添加”,然后单击“关闭”以关闭“添加协议”对话框。
g. 在“协议”页面上,单击“下一步”。
h. 在“访问规则源”页面上,单击“添加”。
i. 在“添加网络实体”对话框中,
● 依次单击“网络”、“*** 客户端”和“添加”,然后单击“关闭”以关闭“添加网络实体”对话框。
j. 在“访问规则源”页面上,单击“下一步”。
k. 在“访问规则目标”页面上,单击“添加”。
l. 在“添加网络实体”对话框中,
● 依次单击“网络”、“本地主机”和“添加”,然后单击“关闭”以关闭“添加网络实体”对话框。
m. 在“访问规则目标”页面上,单击“下一步”。
n. 在“用户集”页面上,单击“下一步”。
o. 在“正在完成新建访问规则向导”页面上,单击“完成”。
※此时将创建一个新的防火墙策略规则,该规则允许从“*** 客户端”网络向“本地主机”网络 (ISA Server)发出 Ping 请求。
p. 单击“应用”以应用新规则,然后单击“确定”。等待,直到CSS 状态变为“已同步”。
在 Istanbul 计算机上执行以下步骤。
7.在 Istanbul 计算机上,再次使用 Ping 命令验证与 *** 隧道 终结点(ISA Server计算机 (10.3.1.1))的连接性。
a. 在 Istanbul 计算机上,在命令提示符下键入ping 10.3.1.1,然后按 Enter 键。
※此时将从 ISA Server 计算机上返回四个(或三个)ping回复。“允许来自 *** 客户端的 Ping 请求”访问规则允许访问 10.3.1.1。
※这一结果确认 Istanbul 计算机位于“*** 客户端”网络中,同时它与 ISA Server 计算机之间具有一个活动的 *** 连接。
b. 关闭命令提示符窗口。
※在下一个练习中,您将对 ISA Server 进行配置,以允许“*** 客户端”网络访问“内部”网络。
扫一扫
3403
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
