用ISA为VPN客户启用DHCP中继(图)

有烟没火

　　内容概述：在这篇文章中我们测试了如何在ISA防火墙上安装并部署DHCP中继代理，允许VPN客户从企业内部网络中的DHCP服务器获得DHCP选项。 　　 　　近来我见到最多的一个问题是如何让安装在ISA防火墙上的DHCP中继代理正常的工作，这些公司在企业内部网络中部署有DHCP服务器，并且想为VPN客户转发DHCP选项。也许你想转发给VPN客户的最重要的DHCP选项是主域名后缀，这样VPN客户可以正确的限定它们的域名请求。当VPN客户可以正确的限定它们的域名请求时，它们就可以使用你内部的DNS服务器来解析内部主机的域名。当然，你可以分配任何你需要的DHCP选项，例如允许你的VPN客户使用指定Web代理服务的WPAD选项。 　　 　　为了让ISA防火墙上的DHCP中继代理正常工作，你需要： 　　 　　通过ISA防火墙控制台启用RRAS服务； 　　 　　配置ISA防火墙的VPN服务使用DHCP来分配VPN客户的地址； 　　 　　创建允许DHCP中继代理和VPN客户获得IP地址信息的访问规则； 　　 　　在RRAS控制台中安装和配置DHCP中继代理； 　　 　　重启ISA防火墙并进行测试。 　　 　　在下面的讨论中，我假设你已经在内部网络中安装和配置好了DHCP服务器，现在你需要在ISA防火墙上配置DHCP中继代理转发VPN客户的DHCP请求到内部网络中的DHCP服务器。 　　 　　另外，我假设你只是安装好了ISA防火墙，并没有启用VPN服务，不过，如果你已经启用了VPN服务，你只需要跳过启用VPN服务的步骤即可。 　　 　　测试网络如下图所示： 　　 　

登录/注册后可看大图

　　DHCP作用域选项如图所示，内部网络中一台DC作为域控和DHCP服务器，ISA防火墙是边缘防火墙；VPN客户可以拨入ISA防火墙，并且从ISA防火墙获取IP地址信息。 　　 　　通过ISA防火墙控制台启用RRAS服务 　　 　　如果你没有启用ISA防火墙的VPN服务，那么首先我们需要在ISA防火墙控制台中启用它。执行以下步骤启用ISA防火墙的VPN服务： 　　 　　1、运行ISA Server 2004管理控制台，展开服务器名，点击虚拟专用网络（VPN）节点； 　　 　　2、点击任务面板的任务标签，点击启用VPN客户访问链接； 　　 　

登录/注册后可看大图

　　3、点击应用保存修改和更新防火墙策略； 　　 　　4、在应用新配置对话框上点击确定。 　　 　　配置ISA防火墙的VPN服务使用DHCP来分配VPN客户的地址 　　 　　对于VPN客户的IP地址分配，你有两个选项：DHCP或者静态地址池。我更喜欢DHCP，因为这样就可以不用在ISA防火墙的网络定义中移除DHCP作用域中重叠的IP地址范围。 　　 　　注：对于使用静态IP地址池的情况，你必须将此静态IP地址池的地址范围从ISA防火墙的网络定义中移除，而使用DHCP就不需要进行此操作。 　　 　　默认情况下，ISA防火墙使用DHCP来为DHCP客户分配IP地址，但是没有DHCP中继代理，DHCP服务器只会为VPN客户分配IP地址，这是因为VPN客户永远不能直接和DHCP服务器进行通讯。而当RRAS服务启动时，它将从DHCP服务器处获得10个IP地址（如果DHCP服务器有足够的IP地址可以分配而且RRAS服务器至少需要那么多），然后RRAS服务给自己分配这些地址中的一个IP地址，其他分配给VPN客户。如果RRAS服务需要更多的IP地址，它将从DHCP服务器获取，但是从不会为VPN客户获取DHCP选项。 　　 　　如果你已经配置为使用静态IP地址池为VPN客户分配IP地址，现在想切换为DHCP，那么执行以下步骤： 　　 　　1、在ISA防火墙控制台，点击虚拟专用网络（VPN）节点，然后点击任务面板中的任务标签； 　　 　　2、点击任务面板中的定义地址分配链接； 　　 　　3、在地虚拟专用网络（VPN）属性对话框的地址分配标签，点击动态主机配置协议(DHCP)选项； 　　 　　4、点击应用再点击确定； 　　 　　5、点击应用保存修改和更新防火墙策略； 　　 　　6、在应用新配置对话框上点击确定。 　　 　　创建允许DHCP中继代理和VPN客户获得IP地址信息的访问规则 　　 　　我们需要创建两条访问规则来实现DHCP中继代理的配置，这两条访问规则如下面的表所示： 　　 　　 表一：允许内部到VPN客户的DHCP回复 　　 　

登录/注册后可看大图

　　 表二：允许VPN客户到本地主机的DHCP请求 　　 　

登录/注册后可看大图

　　注意规则顺序只是为这个试验而设置的，在你的商用环境中，你可能需要将它们放置在合适的位置。它们是没有进行身份验证的访问规则，你必须将它们放置在需要验证的访问规则之前。 　　 　　我们需要创建允许内部到VPN客户的DHCP回复的访问规则，是因为企业内部网络中的DHCP服务器看到发起DHCP请求的源IP地址是VPN客户。ISA防火墙为VPN客户扮演了一个代理ARP服务器服务器的角色，但并不会修改DHCP请求中发起请求的VPN客户的源IP地址。 　　 　　我们需要创建允许VPN客户到本地主机的DHCP请求的访问规则，是因为VPN客户需要发送它们的DHCPINFORM信息到ISA防火墙，因为DHCP中继代理安装在ISA防火墙上。 　　 　　执行以下步骤创建允许内部到VPN客户的DHCP回复访问规则： 　　 　　1、在ISA防火墙管理控制台，展开服务器名，然后点击防火墙策略节点； 　　 　　2、在防火墙策略节点，点击任务面板中的任务标签，再点击创建新的访问规则链接； 　　 　　3、在欢迎使用新建访问规则向导页，输入规则名字，在此我命名为DHCP Reply (Internal to VPN)，然后点击下一步； 　　 　　4、在规则动作页选择允许，点击下一步； 　　 　　5、在协议页，选择选择的协议，然后点击添加； 　　 　　6、在添加协议对话框，点击基础服务节点，然后双击DHCP回复，点击关闭； 　　 　

登录/注册后可看大图

　　7、在协议页点击下一步； 　　 　　8、在访问规则源页点击添加按钮； 　　 　　9、在添加网络实体对话框，点击网络文件夹，双击内部，然后点击关闭； 　　 　　10、在访问规则源页点击下一步； 　　 　　11、在访问规则目的页点击添加按钮； 　　 　　12、在添加网络实体对话框，点击网络文件夹，双击VPN客户，然后点击关闭； 　　 　　13、在访问规则目的页点击下一步； 　　 　　14、在用户集页接受默认设置，点击下一步； 　　 　　15、在正在完成新建访问规则向导页，点击完成； 　　 　　创建第二条允许VPN客户到本地主机的DHCP请求的访问规则和上面步骤基本一致，在此就不在重复了。 　　 　　最后点击应用保存修改和更新防火墙策略，创建好的访问规则如下图所示： 　　 　

登录/注册后可看大图

　　在RRAS控制台中安装和配置DHCP中继代理 　　 　　现在我们使用RRAS控制台来添加DHCP中继代理路由协议，执行以下步骤来添加DHCP中继代理路由协议，并且配置它使用企业内部网络中的DHCP服务器： 　　 　　1、点击开始，指向管理工具，再点击路由和远程访问； 　　 　　2、在路由和远程访问控制台，展开服务器名，然后再展开IP路由节点； 　　 　　3、右击常规节点，点击新建路由协议； 　　 　　4、在新建路由协议对话框，点击DHCP中继代理协议，然后点击确定； 　　 　

登录/注册后可看大图

　　5、右击DHCP中继代理节点，然后点击属性； 　　 　　6、在DHCP中继代理属性对话框，在服务器地址栏输入企业内部网络中的DHCP服务器的IP地址，然后点击添加；然后点击确定； 　　 　

登录/注册后可看大图

　　7、右击DHCP中继代理节点然后点击新建接口，我们选择的是RRAS服务的内部接口，注意不是选择ISA防火墙计算机的内部接口。这就是我为什么总是修改ISA防火墙的网络接口的名字的原因，因为这样可以让我轻易的辨别它们。选择RRAS服务的内部接口，然后点击确定； 　　 　

登录/注册后可看大图

　　8、在DHCP中继代理服务的内部接口属性对话框上点击确定； 　　 　　9、点击应用再点击确定； 　　 　　重启ISA防火墙并进行测试 　　 　　下一步是重启ISA服务器计算机，在ISA防火墙计算机重启后，我们现在向它建立一个VPN客户连接。当VPN客户连接成功建立后，在VPN客户计算机上打开命令提示符，然后运行 ipconfig /all，结果如下图所示： 　　 　

登录/注册后可看大图

　　你可以看到VPN客户的VPN拨号接口PPP adapter VPN上通过DHCP中继代理从DHCP服务器获得了一个连接指定的DNS后缀blah.com，一个DNS服务器和主WINS服务器。注意分配给VPN客户的两个IP地址相同的DNS服务器一个是VPN客户从DHCP中继代理获得的，一个是ISA防火墙自己的DNS服务器设置。由于DHCP中继代理分配的和ISA Server分配给VPN客户的DNS服务器是一致的，当出现问题时可能会导致VPN客户不能访问DNS服务。不过，DHCP服务器分配给VPN客户的DNS服务器是作为VPN客户的首选DNS服务器。 　　 　　下图显示了VPN客户和DHCP服务器之间的通讯是被DHCP中继代理所代理的。 　　

登录/注册后可看大图

　　只需要注意DHCPINFORM和DHCPACK数据包，DHCP中继代理转发VPN客户的DHCPINFORM信息到DHCP服务器，而DHCP服务器直接向VPN客户的IP地址回 <