一个公司里,可能会存在有多个网段,但也许你的外线只开通了一条,也没有什么高级的交换/路由设备,都是一些傻瓜型的,但公司会不定时的要你开通某某某计算机的外网,关闭某某某计算机的外网,它们又不在同一个网段,解决起来是不是有些麻烦呢?您是否遇到这种情况呢?
下面我们用一台兼价机作为ISA SERVER,一台作为”软路由“,低价的解决这个问题。
<?xml:namespace prefix = o />
TOPO
图如下:
![](../p_w_upload/201001/201001281264641409772.jpg)
实验目的:让
192.168.0/8, 192.168.10/8 192.168.11/8
都能够通过
ISA
服务器上网。
难点:因为
ISA
已有外网的网关,故不能再使用其它默认网关,它要如何把信息回传到
10,11
段的计算机呢?
首先,我们要保证
0,10,11
三个网段的计算机是可以互访问。
由上图可以了解,上面用了一台计算机作为“软路由”,使这三个网段的计算机可以互相访问。我们来试一下。
设客户端一计算机
berlin
,
IP
信息如下:
![](../p_w_upload/201001/201001281264641689900.jpg)
可以看到,它属于
11
网段,且网关已指向
11.254
。我们分别
PING
一个
0
,
10
两个网段的计算机
![](https://i-blog.csdnimg.cn/blog_migrate/28f16cc337fc0298cec625050b3227b8.jpeg)
我们发现,通讯是正常的。这说明软路由“
route”
主机工作正常。
二,让
ISA
可以与内网的三个网段通讯
我们先来试一下
ISA
的
IP
信息如下:
![](https://i-blog.csdnimg.cn/blog_migrate/a825255decf1efedcee9cd79aa2ca727.jpeg)
我们发现,连向内网网卡
(lan)
的
IP
为:
192.168.0.11
,没有设网关。外网
IP
通过
PPPOE
拨号得
58.63.152.223
,网关,怎么会是<?xml:namespace prefix = st1 />
0.0.0
.0
呢?
用
route print
查看它的默认网关
![](https://i-blog.csdnimg.cn/blog_migrate/199a6d03c5ae24e18d7f8509165e3281.jpeg)
这里我们可以看到,现在
ISA
的默认网关为:
58.63.152.1
,是
WNA
网卡拨号获得。
由上面的路由表可以表明,我们只能与内网
0
段,或与外网通信。
我们来试一下与三个段通信:(条件,
ISA
必须已设置许可“内网”与“主机”的通信)
![](https://i-blog.csdnimg.cn/blog_migrate/645c77a92cce31587c3c8e2efa586d11.jpeg)
![](https://i-blog.csdnimg.cn/blog_migrate/0f70fc1ea65b81e12f8d7842e211878d.jpeg)
经测试证实,我们只能与内网的
0
网段通信,不能与
10,11
网段通信,原因很简单,因为我们的网关没有指向“
route”
(
192.168.0.10
),为什么不指向呢?因为我们要加接外网,需要外网的的网关,而
WIN
中不能同时使用两个“默认网关”,所以起作用的只有一个。
那怎么办?怎么才能既可以连接外网,又可以与内网三个网段连通呢?
好,现在我们来解决这个问题:
首先,要在
ISA
中的“内网”中定义这三个网段。否则
ISA
会阻止通信,如下图:
![](https://i-blog.csdnimg.cn/blog_migrate/bd16a286536d6022c37b5f0915972a52.jpeg)
可以看到,“内部”网络中已定义
0.,10,11
这三个网段。
2)
定义了“内部”网络对象,接下来再看一下“网络规则”,只有“网络规则”通过时,设置“防火墙策略”才有效。
![](https://i-blog.csdnimg.cn/blog_migrate/0ffca19699715481ee4fbe56563b0468.jpeg)
这说明,本地主机
---
内网
是路由关系,即可以双向通讯,
OK
,接下我们还需要定设“内网”与“本地主机”的允可通信。
3)
定义“防火墙策略”
ISA
规则都定义好了,最后,我们来定义“路由表“了。
4
)
ISA
的路由表设置。
设置之前,我们先来看一下,现在的路由表
我们添加到
10
网段的路由
<?xml:namespace prefix = v />
大概意思如下:当“目标地址“与
”Netmask”
执行“与”运算后,得到“
Network Destination”
的值,则用这个“
interface”
发送信息,否发不出,则通过对应的
Gateway
Route add
那条的意思是
目标地址与
255.255.255.0
作“与”运算后,结果若为
192.168.10.0
,则让
192.168.0.11
把数据转到
192.168.0.10
路由中去。
好,现在我们来看一下,能否
ping
通
10
网段
我们发现,
10
可以
PING
通了,但
11
段还是不行。为什么呢?因为我们没添加对应的路由表
好,现在我们加上
![](https://i-blog.csdnimg.cn/blog_migrate/9f47b110d43289f2edaf091678d2cf68.jpeg)
可以看到,我们已经加上了,注意后面的
-p
,表示重启
ISA SERVER
后,路由表仍存在,不加重启后就没有了。
现在试下,
![](https://i-blog.csdnimg.cn/blog_migrate/2ecf42d1dd05c257d6236c86b7075f1e.jpeg)
现在与内网三个网段都通信正常,并且与外网通信也正常,不信?不信我们试一下。
怎么样,我说得没有错吧。
现在已经解决了
ISA
与外网,内网多个网段可同时通信的问题。
那么如何让这三个网段的计算机上网呢?很简单,我们分几步走:
设置客户端的
IP
信息,我们以
11
段的为例,如下图:
![](https://i-blog.csdnimg.cn/blog_migrate/079ae9abbd512b385ce1fa541d112f77.jpeg)
网关指向软路由
”route”,DNS
可以设置外网或内网都行,只能能解析就
OK
。
ISA
服务器的设置
1)
网络对象的添加
![](https://i-blog.csdnimg.cn/blog_migrate/b14dfbbde41db60ba990e4f1fe052417.jpeg)
因为我们用
IP
来控制上网,所以这里的
IP
地址,一定要包含有上面客户端的
IP
设置“防火墙策略”,让这个“对象”可以访问外网
OK
,现在我们来试一下。
我们发现,访问正常,哈哈
…..
我们来看一下,它的路由是怎么走的
![](https://i-blog.csdnimg.cn/blog_migrate/c86419bf3b7eba49c03d3fa2a95d0567.jpeg)
我们发现,它是先经过软路由
192.168.11.254—
》
192.168.0.11(ISA SERVER)—
》外网
让
11.2
访问内网呢?
![](https://i-blog.csdnimg.cn/blog_migrate/02aeda138ad6de2fb57731ae80a8d1a6.jpeg)
也一样很
OK
。
关于
0
段与
10
段,设置相似,只需把网关指向“
route
“,并在
ISA
允许它们访问外网即可。这里就不重复了。
通过这个实验,我们已经达到让所有的计算机既可与访问内网,又可以同时访问外网的目的。
本文的重点,在于,如何解决可能会使用到多个默认网关情况下面临的问题。您可以根据自己的实际情况做相应的调整
小结:
所有客户端必须指向“ROUTE
”
在ISA
的“内网”对象中必须要定义0,10,11
这几个网段,并添加通向10,11
段的路由表
1
)10
段的路由表 route add 192.168.10.0 mask 255.255.255.0 192.168.0.10
2
)11
段的路由表 route add 192.168.11.0 mask 255.255.255.0 192.168.0.10
3
.定义上网的网络对象(包含需要上网的IP
,0,10,11
段的各个计算机),在ISA
中设置“防火墙策略”允许这个“网络对象“可以上网。
转载于:https://blog.51cto.com/390503/271362