(2004-12-24 17:37)
来源:ISA中文站 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
如图模拟构成了一个网络。×××客户拨入后得到IP为192.168.2.201/32,通过ISA2004的内部环回可以路由到本地网卡192.168.1.254,也可以路由到internet,如果这时候没有路由器增加的那个PC2问题不大,pc1的网关是192.168.1.254,访问都可以完成。那么来看路由器的192.168.2.0/24网段,为了能让该段访问外部,在ISA2004上增加内网地址范围192.168.2.0/24,并且增加路由192.168.2.0/24 192.168.1.1 192.168.1.254,而在路由器上需要增加0.0.0.0/0 192.168.1.254 192.168.1.1,这样pc1和pc2就可以访问internet。
当192.168.2.201访问pc2的时候,查找本地路由表,本地路由表里没有,于是发到默认路由192.168.2.200上,也就是ISA2004的×××服务器的虚拟网卡, ISA2004的路由表里有192.168.2.0/24 192.168.1.1 192.168.1.254,根据这个路由,送到下面路由器192.168.1.1去,路由器转发到pc2,pc2返回应答信息到路由器,路由器查找自己的路由表,发现192.168.2.0/24在192.168.2.1接口上,但是arp对应表里没有192.168.2.201,在192.168.2.1上发起广播,没有谁来应答,丢弃,访问失败。
从pc2访问192.168.2.201,比较掩码,为同一段,不提交路由器,广播,未果,丢弃。
如果×××客户端使用了和ISA2004的×××地址池分配相同的本地地址会怎么样呢。
×××地址池为192.168.20.0/24,×××客户端分配给192.168.20.5/32,本地地址192.168.20.9/24。
我们来看一下路由表
Active Routes:
Default Gateway: 192.168.20.5
我们看到出现了两个默认网关,那是不是就无法路由呢,对于双网关,windows区别了优先级,看Metric值,192.168.20.5的值低,那么默认网关就是192.168.20.5,只有当这个网关有问题才会启用192.168.20.9,也就是说原来的网关被屏蔽了,这样我们访问远程网段仍可以接通,通过试验的确可以ping通远程地址的192.168.100.21,上网仍会畅通。但是想要接通192.168.20.0的远程地址就不行了,因为我看到已经有192.168.20.0的路由的interface是192.168.20.9,只要访问192.168.20.0/24的地址就会送到192.168.20.9,也就是只能在本地查找。
那么如果远程网络的ISA2004使用了和本地内网卡同一段地址,这样会怎么样呢。由于存在192.168.20.0/24 192.168.20.9的路由,远程地址上的192.168.20.21终端不能接通,原理上面说的,凡是到192.168.20.0/24都往本地网卡上送,不会使用默认路由192.168.20.5,因为本地路由表里面存在路由。这就是所谓的同一段地址必须在相同的物理位置,如果这样做会造成路由失败。
综上所述,我得出一个结果:ISA2004配置×××地址池的时候,不能使用在ISA2004已经登记过的IP地址范围,不论是本地网卡的地址范围还是下级路由器的地址范围。 |
下一篇:配置终端服务使用SSL
-
在 ISA Server 2004 中发布 ××× 服务器
最近在做在 ISA Server 2004 中发布 VPN 服务器实验,在网上看了一编,还不错.呵呵
职场 VPN 休闲 ISAServer2004 -
ISA Server 2004实现×××客户端拔入(L2TP/IPSEC)
ISA Server 2004实现VPN客户端拔入(L2TP/IPSEC)
Server ISA 休闲 L2TP/IPSEC VPN客户端
举报文章
请选择举报类型
补充说明
0/200
上传截图
格式支持JPEG/PNG/JPG,图片不超过1.9M