最近公司的網絡在重新規劃,要使得現有的192.168.1.X/24網段和以後的192.168.2.X/24網段都能夠透過ISA訪問外部網絡。同時1.X的網段能夠對2.X的網段實現單向的訪問,即2.X不能訪問1.X。
1.X網段的不談,已經設定的很好了,現在的重點就是來看看2.X網段的。
來看看實現的步驟:
一、網卡的配置
由於之前的ISA 2006的配置是用了兩張網卡,一張對外,一張對內連接1.X網段,並作爲訪問外網的gateway。要另起一個2.X的網段,最好的方法當然是添加另一張網卡,但是受制於現有硬件條件的限制,所以我只能退而求其次,在連接1.X的那張網卡上開出了第二個IP地址,作爲2.X網段的網關:192.168.2.254
二、網絡對象的添加
192.168.2.X的網段,是給培訓教室所用的,首先我們需要在ISA當中新建一個網絡對象,就叫做“培訓教室”吧。限定一下其地址的範圍是2.0-2.255
三、新建訪問策略
很簡單,在ISA當中新建一條策略,允許“培訓教室”的網絡訪問外部網絡。
這條策略添加不是很難,但是要達到訪問外網的效果,還有一點就是要注意,內部的IP地址必須使用NAT方式才能出外網,這就涉及到網絡規則中的NAT,需要添加進“培訓教室”這一個源。
四、新建單向訪問策略
新建一條單向的訪問策略,使得1.x能夠訪問2.x網段的,按照ISA當中設定的叫法,即,使得內部的1.X網段能訪問培訓教室的2.X網段。這一條策略的添加也不算難事,問題是,實現起來也有一個關鍵的地方:即不同的網段之間訪問,是需要通過路由的。所以呢,在訪問規則路由中,要添加1.X到2.X的路由。
這樣就既實現了不同網段對外網的訪問,也實現了其之間相互的訪問或單向的訪問。
