Monday, December 11th, 2017

Возможности использования DHCP Relay в сетях DMZ

Published on Февраль 12, 2009 by   ·   Комментариев нет

В прошлой статье мы обсуждали конфигурирование агента DHCP Relay на ISA Firewall для доставки опций DHCP к клиентам VPN. Клиентом VPN сервер RAAS получает IP-адреса от имени клиентов VPN, затем, когда клиенты VPN подключаются к серверу VPN, являющемуся компонентом ISA Firewall, сервис RRAS снабжает клиентов IP-адресами. Сервис RRAS никогда не посылает опции DHCP VPN клиента. Поэтому необходим агент DHCP Relay на ISA Firewall. Агент DHCP Relay перенаправляет сообщения DHCP к DHCP-серверу в корпоративной сети.

Ситуация меняется, если у Вас есть хосты не-VPN клиентов на сегменте DMZ, или в дополнительной внутренней сети. В отличие от клиентов VPN, клиенты DHCP в их -DMZ и других сетях ISA Firewall, напрямую подключены к локальной сети через Ethernet. Этим хостам необходима информация об IP-адресации и опции DHCP, и эта информация должна касаться именно хостов этой сети.

В дополнение, сервис RRAS не предоставляет информацию об адресации не-VPN клиентов; агент DHCP Relay используется для предоставления как информации об IP-адресации, так и опций DHCP.

Пример можно увидеть на диаграмме ниже.

Dhcp relay

Иллюстрация 1

На этом ISA Firewall установлены три сетевых адаптера: первый подключен к Внешней сети (сетевой адаптер со шлюзом по умолчанию), второй подключен к Внутренней сети, третий подключен ко второй Внутренней сети. Клиентам во второй Внутренней сети нужно получать информацию об IP-адресации от сервера DHCP, находящегося в первой Внутренней сети.

Мы можем обеспечить это, установив и настроив Агент DHCP Relay на ISA Firewall. В отличие от ситуации с клиентами VPN, клиентам второй Внутренней сети требуется не только опции DHCP от сервера DHCP, а еще и IP-адрес, и маска подсети. Для этого требуется задать на сервере DHCP IP-адреса, действующие во второй Внутренней сети. В нашем примере это 172.16.0.0/24.

Процедуры, требуемые для осуществления этого:

  • Создать на сервере DHCP возможность поддержки второй Внутренней сети
  • Установить и настроить Агент DHCP Relay на ISA Firewall
  • Создать Сеть ISA firewall для второй Внутренней сети
  • Создать Правила Доступа, позволяющие коммуникации DHCP.
  • Протестировать конфигурацию

Мы продолжим создание конфигурации далее в статье Разрешение DHCP ретранслятора для VPN клиента. Если вы не читали этой статьи, ознакомьтесь с ней, так как там обсуждены многие из фундаментальных понятий.

У нас уже есть сервер DHCP и возможность использования DHCP в первой Внутренней сети. Создадим возможность использования DHCP во второй Внутренней сети. Допустим, что вы уже установили и настроили Агент DHCP Relay, как описано в статье Разрешение DHCP ретранслятора для VPN клиента. Мы создадим конфигурацию, добавив сетевой интерфейс DMZ для компьютеров, «слушающих» Агента DHCP Relay. Затем мы создадим Сеть ISA firewall для второй Внутренней сети, и создадим Правила Доступа (Access Rules) для поддержки коммуникаций DHCP.

Создаем на сервере DHCP возможность поддержки второй Внутренней сети

Нужно задать область действия сервера DHCP для поддержки клиентов во второй Внутренней сети. Сервер DHCP будет смотреть на IP-адреса Агента DHCP Relay, чтобы определить, какую область действия использовать для предоставления IP-адресов компьютерам второй Внутренней сети.

Когда Агент DHCP Relay перенаправляет запрос серверу DHCP, он включает свой собственный IP-адрес в поле giaddr, предназначенное для адреса шлюза. Посмотрите на иллюстрацию ниже. Вы должны создать область действия сервера DHCP, действительную на том же идентификаторе сети (Network ID), что и IP-адрес в поле giaddr. Адрес в поле giaddr — это адрес интерфейса ISA Firewall, который принял сообщение DHCP.

Dhcp relay

Иллюстрация 2

В нашем примере мы создали область действия, включающую IP-адреса 172.16.0.100-172.16.200 c маской подсети 255.255.255.0 (24-битная маска). Создайте на своем сервере DHCP область действия, валидную для второй внутренней сети перед переходом к следующему этапу. Вы должны также сконфигурировать область действия со шлюзом по умолчанию, указывающий на сетевой интерфейс, подключенный ко второй Внутренней сети (если вы планируете использовать SecureNAT в этой сети).

Инсталляция и настройка Агента DHCP Relay на ISA firewall

Следующий шаг — это настройка Агента DHCP Relay для «прослушивания» интерфейса на второй внутренней сети. Допустим, что Вы уже установили и настроили Агент DHCP Relay для поддержки VPN clients. Единственный шаг, который нужно сделать сейчас — добавить интерфейс второй Внутренней сети в лист интерфейсов Агентов DHCP Relay.

Выполните следующие шаги для добавления второго интерфейса:

  1. Нажмите кнопку Start, укажите Administrative Tools и нажмите Routing and Remote Access.
  2. В консоли Routing and Remote Access, расширьте «имя сервера», затем расширьте IP Routing. Выберите DHCP Relay Agent, затем щелкните правой кнопкой на нем. Нажмите New Interface.
  3. Выберите интерфейс DMZ (или название, которое Вы избрали для интерфейса во второй Внутренней сети), щелкните OK в диалоговом окне New Interface of DHCP Relay Agent.

    Dhcp relay

    Иллюстрация 3

  4. Нажмите OK в диалоговом окне DHCP Relay Properties — Internal Properties.
  5. Нажмите Apply, затем OK.

Создание Сети ISA firewall для второй Внутренней сети

Займемся созданием Сети ISA firewall для второй Внутренней сети. Я назову эту сеть ISA firewall именем DMZ, но вы можете назвать ее как угодно. При создании Сетей ISA firewall нет различия между Внутренней (Internal) and и Внешней (Perimeter) сетями, в терминах ISA firewall Networks.

Выполните следующие шаги, чтобы настроить сеть ISA firewall:

  1. Откройте консоль управления Microsoft Internet Security and Acceleration Server 2004 и расширьте «имя сервера» (server name). Расширьте Configuration и нажмите Networks.
  2. Выберите раздел Networks в окне «Деталей» (Details) консоли. Нажмите раздел Tasks в «Окне запросов» (Task Pane), затем нажмите Create a New Network.
  3. На странице Welcome to the New Network Wizard введите имя сети в текстовом поле Network name. В этом примере мы назовем сеть DMZ. Нажмите Next.
  4. На странице Network Type выберите опцию Internal Network option. Нажмите Next.
  5. На странице Address Ranges нажмите кнопку Add Adapter.
  6. В диалоговом окне Select Network Adapter поставьте галочку напротив интерфейса DMZ. В этом примере мы переименовали интерфейс, используя имя DMZ. Мы ставим галочку. Обратите внимание на Network Interfaces Information в нижней части диалогового окна. Нажмите OK.

    Dhcp relay

    Иллюстрация 4

  7. Нажмите Next на странице Network Addresses.

    Dhcp relay

    Иллюстрация 5

  8. Нажмите Finish на странице Completing the New Network Wizard.
  9. Новая сеть появилась в списке сетей в разделе Networks.

    Dhcp relay

    Иллюстрация 6

Заметьте, что в примере, обсуждаемом в этой статье, нам не нужно создавать Сетевое Правило (Network Rule), определяющее маршрутную связь между DMZ и Внутренней сетью. Причина этого в том, что сообщения DHCP передаются от и к ISA Firewall, а не от Сети DMZ к Внутренней сети. Если вы хотите, чтобы компьютеры в DMZ и Внутренней сети сообщались между собой напрямую Вам нужно создать Сетевое Правило.

Создание Правил Доступа, требуемых для связи DHCP

Иллюстрация ниже демонстрирует Правила Доступа DHCP, требуемые, чтобы разрешить клиентам VPN получать опции DHCP от сервера DHCP в первой Внутренней сети. Запросы DHCP должны быть разрешены от сети клиентов VPN к Локальной сети, в которой находится Агент DHCP Relay. Ответы DHCP должны быть разрешены от Внутренней сети к сети клиентов VPN. Заметьте, что клиенты VPN не получают ответов от сервера DHCP на их запросы «DHCPDISCOVER», как сервер RRAS предоставляет их информацию об IP-адресации с помощью IPCP (Internet Protocol Control Protocol).

Dhcp local relay

Иллюстрация 7

Иллюстрация демонстрирует Правила Доступа, требуемые для разрешения хостам во Внутренней сети DMZ получать доступ к серверу DHCP. Как Вы можете увидеть, требования несколько изменились. Запросы DHCP должны быть разрешены отовсюду (Anywhere), так как будут клиенты DHCP, не имеющие IP-адресов (такие как 0.0.0.0) к Локальной сети (Local Host Network), в которой находится Агент DHCP Relay. Ответы DHCP должны быть позволены от Локальной сети (Local Host Network) к сети DMZ (второй Внутренней сети в нашем примере).

Dhcp relay

Иллюстрация 8

Мы можем обьединить эти политики, создав правила, как показано ниже.

Dhcp local relay

Иллюстрация 9

Первое правило разрешает ответы DHCP от Внутренней сети и Локальной сети к сети DMZ и Сети клиентов VPN. Второе правило позволяет запросы DHCP отовсюду (Anywhere) к Локальной сети (Local Host Network) (в которой находится Агент DHCP Relay).

Если Вы уже создали политику VPN, Вам нужно всего лишь перенастроить существующие правила для поддержки коммуникаций DHCP из второй Внутренней сети, как показано на иллюстрации ниже. В любом случае, если вы не используете Агент DHCP Relay для клиентов VPN, тогда вы можете создать 2 правила, требуемые для клиентов вашего DMZ или второй Внутренней сети. Выполните следующие шаги для создания первого правила, позволяющего запросы DHCP из сети DMZ:

  1. В консоли ISA firewall расширьте Имя сервера (server name), затем нажмите Firewall Policy.
  2. Нажмите раздел Tasks в окне задач (Tasks pane) и нажмите Create New Access Rule.
  3. На странице Welcome to the New Access Rule Wizard введите имя правила. В этом примере мы назовем правило DHCP Request (Anywhere to LH). Нажмите Next.
  4. На странице Rule Action выберите опцию Allow и нажмите Next.
  5. На странице Protocols выберите опцию Selected protocols из списка This rule applies to и нажмите Add.
  6. В диалоговом окне Add Protocols нажмите на папку Infrastructure. Двойным щелчком выберите запись DHCP (request) и нажмите Close.
  7. Нажмите Next на странице Protocols.
  8. Нажмите Add на странице Access Rule Sources.
  9. В диалоговом окне Add Network Entities нажмите на папку Computers Sets. Двойным щелчком выберите запись Anywhere и нажмите Close.
  10. Нажмите Next на странице Access Rule Sources.
  11. Нажмите Add на странице Access Rule Destinations.
  12. В диалоговом окне Add Network Entities нажмите на папку Networks. Дважды нажмите на запись Local Host и нажмите Close.
  13. Нажмите Next на странице Access Rule Destinations.
  14. Нажмите Next на странице User Sets.
  15. Нажмите Finish на странице Completing the New Access Rule Wizard.

Выполните следующие шаги для создания правила доступа, разрешающего ответы DHCP от ISA firewall к сети DMZ:

  1. В консоли ISA firewall расширьте Имя сервера (server name), затем нажмите Firewall Policy.
  2. Нажмите раздел Tasks в Окне задач (Tasks Pane) и нажмите Create New Access Rule.
  3. На странице Welcome to the New Access Rule Wizard введите имя правила. В этом примере оно называется DHCP Reply (LH to DMZ), затем нажмите Next.
  4. На странице Rule Action выберите опцию Allow и нажмите Next.
  5. На странице Protocols выберите опцию Selected protocols из списка This rule applies to и нажмите Add.
  6. В диалоговом окне Add Protocols нажмите на папку Infrastructure. Дважды нажмите на запись DHCP (reply), затем нажмите Close.
  7. Нажмите Next на странице Protocols.
  8. Нажмите Add на странице Access Rule Sources.
  9. В диалоговом окне Add Network Entities нажмите на папку Networks. Дважды нажмите на запись Local Host и нажмите Close.
  10. Нажмите Next на странице Access Rule Sources.
  11. Нажмите Add на странице Access Rule Destinations.
  12. В диалоговом окне Add Network Entities нажмите на папку Networks. Дважды нажмите на запись DMZ и нажмите Close.
  13. Нажмите Next на странице Access Rule Destinations.
  14. Нажмите Next на странице User Sets.
  15. Нажмите Finish на странице Completing the New Access Rule Wizard.

Тестирование конфигурации

Теперь можно проверить конфигурацию. На клиентском компьютере сети DMZ (или дополнительной Внутренней сети), если компьютер не является клиентом DHCP, если же является, откройте командную строку и введите команду ipconfig /release и после выполнения команды введите ipconfig /renew. После выполнения команды /renew вы увидите в Сетевом Мониторе (Network Monitor) сообщения DHCP Discover, Offer, Request и ACK, как показано ниже.

Dhcp relay

Иллюстрация 10

Иллюстрация ниже показывает вид ISA firewall’s log viewer (Просмотр журнала ISA firewall).

Dhcp local relay

Иллюстрация 11

Первая строка показывает запрос DHCP, произведенный Агентом DHCP к серверу DHCP во внутренней сети. Обратите внимание на имя правила, позволившего запрос: Allow DHCP request from ISA Server to all networks. Мы не создавали это правило, поскольку оно является частью изначальной системной политики в ISA firewall.

Вторая строка показывает ответ от сервера DHCP, посланный к Агенту DHCP Relay. Правило, которое разрешило это соединение: DHCP Request (Anywhere to LH).

Третья строка показывает запрос DHCP, перенаправленный от Агента DHCP Relay к клиенту DHCP в сети DMZ. В этих записях журнала любопытно то, что они не делают запись всех четырех коммуникаций: запрос DHCP к сетевому широковещательному адресу (255.255.255.255), предложение DHCP от сервера DHCP (которое будет послано от сервера DHCP к Агенту DHCP Relay), запрос DHCP от клиента DMZ к серверу DHCP (обозначающий, что клиент DHCP принимает адрес), и ответ DHCP ACK от сервера DHCP, означающий подтверждение принятия предложения.

Если Вы откроете командную строку и введете команду ipconfig, Вы увидите простую информацию об IP-адресации, включающую опции DHCP. На иллюстрации ниже первичное доменное имя назначено через опции DHCP и присутствует как «Connection-specific DNS Suffix».

Dhcp relay

Иллюстрация 12

Резюме

В этой статье мы продолжили разговор, начатый в прошлой статье, о конфигурации Агента DHCP Relay для поддержки клиентов VPN. В этой статье мы рассмотрели работу Агента DHCP Relay в не-VPN сетях, типа сетей DMZ и дополнительных внутренних сетей. Мы упомянули настройку необходимых Правил Доступа (Access Rules), и протестировали эти настройки. В следующей статье о DHCP Relay мы поговорим об установку сервера DHCP на ISA firewall и о том, как наладить работу Агента DHCP Relay с локальным сервером DHCP. До новых встреч!

www.isaserver.org


Смотрите также:

Tags: , , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]