鸿 网 互 联 www.68idc.cn

ISA里VPN服务器的客户端地址池使用分析

来源:互联网 作者:佚名 时间:2015-06-17 09:33
由于w k的VPN服务器地址池使用的是和本地内网卡同一段 所以很多网友在配置ISA 的时候 VPN服务的地址池仍然习惯性的使用和本地内网卡同一段 虽然使用手动输入已经被ISA 禁止 但是使用DHCP确可以实现这个目的 那么为什么ISA 要禁止使用已经使用在的地址呢 下面

  由于wk的VPN服务器地址池使用的是和本地内网卡同一段所以很多网友在配置ISA的时候VPN服务的地址池仍然习惯性的使用和本地内网卡同一段虽然使用手动输入已经被ISA禁止但是使用DHCP确可以实现这个目的那么为什么ISA要禁止使用已经使用在的地址呢下面我来谈谈我的看法
  
  首先来说WK为什么使用同一段地址我们通过微软的一些资料可以看出WK对于VPN服务使用的是桥接方式所以这里不存在路由问题同一网段的地址是在同一个物理位置
  
  ISA使用的是不是桥接模式呢我们知道桥接就好比在一个HUB里面你无法让网关去控制下面的两个PC是不是能够互相访问所以为了加强安全性ISA不允许使用桥接模式而是默认使用路由模式(也可以使用NAT模式更提高了安全系数这种情况分配IP地址范围就可以随意了)因为使用桥接怎么控制VPN客户端的访问权限呢
  
  我通过DHCP使用和内网卡(/)同一段地址VPN客户拨入后得到IP为/使用VPN客户端ping内网pc可以接通内网用户也可以接通VPN用户我们知道如果内网用户不以ISA内网卡地址为网关的话在ISA另一个网卡地址上的PC将不能被接通但是我修改了网关地址依然可以接通VPN用户说明这已经不是在路由了而是在桥接为了证实想法我抓了包当ping VPN客户端地址的时候本地arp表里面没有的地址于是就发出了对于的广播请求ISA内网卡回应了请求告知的MAC地址对比这个MAC地址和ISA内网卡一致由此看出如果使用同段的地址ISA依然使用了桥接模式那么在ISA的防火墙策略里使用VPN客户端这个网络元素就会失效我禁止VPN客户端访问内部然而VPN客户端依然可以接通内部PC内部PC也依然可以接通VPN客户端当禁止了内部访问内部之后不能接通这样做就导致ISA的网络元素混乱不能起到应有的作用
  
  ISA不仅仅禁止VPN地址池加入本地网卡网段的地址范围也禁止加入整个已经在ISA登记过的地址范围本人无法加入那样的地址不过为了分析一下原理下面我模拟一个使用内网已经存在地址的例子说明问题
  
 

  如图模拟构成了一个网络VPN客户拨入后得到IP为/通过ISA的内部环回可以路由到本地网卡也可以路由到internet如果这时候没有路由器增加的那个PC问题不大pc的网关是访问都可以完成那么来看路由器的/网段为了能让该段访问外部在ISA上增加内网地址范围/并且增加路由/ 而在路由器上需要增加/ 这样pc和pc就可以访问internet
  
  当访问pc的时候查找本地路由表本地路由表里没有于是发到默认路由也就是ISA的VPN服务器的虚拟网卡 ISA的路由表里有/ 根据这个路由送到下面路由器路由器转发到pcpc返回应答信息到路由器路由器查找自己的路由表发现/接口上但是arp对应表里没有上发起广播没有谁来应答丢弃访问失败
  
  从pc访问比较掩码为同一段不提交路由器广播未果丢弃
  
  如果VPN客户端使用了和ISA的VPN地址池分配相同的本地地址会怎么样呢
  
  VPN地址池为/VPN客户端分配给/本地地址/
  
  我们来看一下路由表
  
  Active Routes:
  

  Default Gateway:
  
  我们看到出现了两个默认网关那是不是就无法路由呢对于双网关windows区别了优先级看Metric值的值低那么默认网关就是只有当这个网关有问题才会启用也就是说原来的网关被屏蔽了这样我们访问远程网段仍可以接通通过试验的确可以ping通远程地址的上网仍会畅通但是想要接通的远程地址就不行了因为我看到已经有的路由的interface是只要访问/的地址就会送到也就是只能在本地查找
  
  那么如果远程网络的ISA使用了和本地内网卡同一段地址这样会怎么样呢由于存在/ 的路由远程地址上的终端不能接通原理上面说的凡是到/都往本地网卡上送不会使用默认路由因为本地路由表里面存在路由这就是所谓的同一段地址必须在相同的物理位置如果这样做会造成路由失败
  
  综上所述我得出一个结果ISA配置VPN地址池的时候不能使用在ISA已经登记过的IP地址范围不论是本地网卡的地址范围还是下级路由器的地址范围
网友评论
<