关于如何用ISA解决内网多个网段上网的问题

一个公司里，可能会存在有多个网段，但也许你的外线只开通了一条，也没有什么高级的交换/路由设备，都是一些傻瓜型的，但公司会不定时的要你开通某某某计算机的外网，关闭某某某计算机的外网，它们又不在同一个网段，解决起来是不是有些麻烦呢？您是否遇到这种情况呢？

下面我们用一台兼价机作为ISA SERVER，一台作为”软路由“，低价的解决这个问题。

<?xml:namespace prefix = o />

 

TOPO 图如下：

 

实验目的：让 192.168.0/8, 192.168.10/8  192.168.11/8 都能够通过 ISA 服务器上网。

难点：因为 ISA 已有外网的网关，故不能再使用其它默认网关，它要如何把信息回传到 10,11 段的计算机呢？

 

首先，我们要保证 0,10,11 三个网段的计算机是可以互访问。

由上图可以了解，上面用了一台计算机作为“软路由”，使这三个网段的计算机可以互相访问。我们来试一下。

设客户端一计算机 berlin ， IP 信息如下：

可以看到，它属于 11 网段，且网关已指向 11.254 。我们分别 PING 一个 0 ， 10 两个网段的计算机

我们发现，通讯是正常的。这说明软路由“ route” 主机工作正常。

 

二，让 ISA 可以与内网的三个网段通讯

我们先来试一下

ISA 的 IP 信息如下：

 

 

我们发现，连向内网网卡 (lan) 的 IP 为： 192.168.0.11 ，没有设网关。外网 IP 通过 PPPOE 拨号得 58.63.152.223 ，网关，怎么会是<?xml:namespace prefix = st1 /> 0.0.0 .0 呢？

用 route print 查看它的默认网关

 

 

 

这里我们可以看到，现在 ISA 的默认网关为： 58.63.152.1 ，是 WNA 网卡拨号获得。

 

由上面的路由表可以表明，我们只能与内网 0 段，或与外网通信。

我们来试一下与三个段通信：（条件， ISA 必须已设置许可“内网”与“主机”的通信）

 

经测试证实，我们只能与内网的 0 网段通信，不能与 10,11 网段通信，原因很简单，因为我们的网关没有指向“ route” （ 192.168.0.10 ），为什么不指向呢？因为我们要加接外网，需要外网的的网关，而 WIN 中不能同时使用两个“默认网关”，所以起作用的只有一个。

 

那怎么办？怎么才能既可以连接外网，又可以与内网三个网段连通呢？

好，现在我们来解决这个问题：

首先，要在 ISA 中的“内网”中定义这三个网段。否则 ISA 会阻止通信，如下图：

  

可以看到，“内部”网络中已定义 0.,10,11 这三个网段。

 

2) 定义了“内部”网络对象，接下来再看一下“网络规则”，只有“网络规则”通过时，设置“防火墙策略”才有效。

这说明，本地主机 --- 内网    是路由关系，即可以双向通讯， OK ，接下我们还需要定设“内网”与“本地主机”的允可通信。

 

3) 定义“防火墙策略”

 

ISA 规则都定义好了，最后，我们来定义“路由表“了。

 

 

4 ） ISA 的路由表设置。

设置之前，我们先来看一下，现在的路由表

 

我们添加到 10 网段的路由

<?xml:namespace prefix = v /> 大概意思如下：当“目标地址“与 ”Netmask” 执行“与”运算后，得到“ Network Destination” 的值，则用这个“ interface” 发送信息，否发不出，则通过对应的 Gateway

Route add 那条的意思是   目标地址与 255.255.255.0 作“与”运算后，结果若为 192.168.10.0 ，则让 192.168.0.11 把数据转到 192.168.0.10 路由中去。

 

好，现在我们来看一下，能否 ping 通 10 网段

 

我们发现， 10 可以 PING 通了，但 11 段还是不行。为什么呢？因为我们没添加对应的路由表

好，现在我们加上

可以看到，我们已经加上了，注意后面的 -p ，表示重启 ISA SERVER 后，路由表仍存在，不加重启后就没有了。

 

现在试下，

现在与内网三个网段都通信正常，并且与外网通信也正常，不信？不信我们试一下。

 

 

怎么样，我说得没有错吧。

 

现在已经解决了 ISA 与外网，内网多个网段可同时通信的问题。

那么如何让这三个网段的计算机上网呢？很简单，我们分几步走：

设置客户端的 IP 信息，我们以 11 段的为例，如下图：

网关指向软路由 ”route”,DNS 可以设置外网或内网都行，只能能解析就 OK 。

 

ISA 服务器的设置

1) 网络对象的添加

因为我们用 IP 来控制上网，所以这里的 IP 地址，一定要包含有上面客户端的 IP

 

设置“防火墙策略”，让这个“对象”可以访问外网

 

OK ，现在我们来试一下。

我们发现，访问正常，哈哈 …..

我们来看一下，它的路由是怎么走的

我们发现，它是先经过软路由 192.168.11.254— 》 192.168.0.11(ISA SERVER)— 》外网

 

让 11.2 访问内网呢？

也一样很 OK 。

 

关于 0 段与 10 段，设置相似，只需把网关指向“ route “，并在 ISA 允许它们访问外网即可。这里就不重复了。

 

通过这个实验，我们已经达到让所有的计算机既可与访问内网，又可以同时访问外网的目的。

 

本文的重点，在于，如何解决可能会使用到多个默认网关情况下面临的问题。您可以根据自己的实际情况做相应的调整

 

小结：

所有客户端必须指向“ROUTE ”

在ISA 的“内网”对象中必须要定义0,10,11 这几个网段，并添加通向10,11 段的路由表

1 ）10 段的路由表  route add 192.168.10.0 mask 255.255.255.0 192.168.0.10

2 ）11 段的路由表  route add 192.168.11.0 mask 255.255.255.0 192.168.0.10

3 ．定义上网的网络对象（包含需要上网的IP ，0,10,11 段的各个计算机），在ISA 中设置“防火墙策略”允许这个“网络对象“可以上网。

转载于:https://blog.51cto.com/390503/271362