Forefront TMG 新特性之增强 NAT 功能

《Forefront TMG 新特性之增强 NAT 功能》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、ForefrontTMG新特性之增强NAT功能　在王者再现-ForefrontTMG新特性介绍一文中，我给大家介绍了在ForefrontTMG中，对原有的NAT功能进行了增强，在本文中，我将对该增强的NAT功能进行详细的介绍。在WindowsXP/WindowsServer2003系统中，当应用程序在执行TCP/IP通讯时，如果未指定本地使用的源IP地址，则Windows系统会使用出站接口上的默认IP地址来作为出站通讯的本地地址（此行为在WindowsVista/WindowsServer2008进行了修改

2、，会根据与目标地址/下一跳地址的子网匹配长度来选择出站通讯的本地地址，但是对于特定的通讯，仍然只能使用一个地址作为源地址）。因此在ISAServer中，即使你在外部网卡上绑定了多个IP地址，在执行NAT出站通讯时，只能使用出站接口上默认的IP地址作为NAT的源地址。这带来了以下两个问题：·发布SMTP服务器时的IP地址匹配问题。当内部的SMTP服务器访问外部网络时，始终会使用ISAServer出站接口上的默认IP地址作为出站的源IP地址。如果你在发布内部的SMTP服务器时使用了不同的IP地址（MX记录指向该

3、IP地址），那么SMTP服务器的出站访问地址由于和MX记录中的IP地址不匹配，可能会被连接到的目标SMTP服务器当成垃圾邮件服务器处理；·端口限制问题。TCP/UDP上的最大端口数量为65535，除开保留端口和已知端口，实际可用的端口大约为60000多一点。在具有大量用户并发连接的场景（例如并发用户超过5000个），那么可能会出现端口数量不足导致TCP/UDP通讯失败的现象。这个限制适用于所有的TCP/UDP通讯场景，不过ISAServer由于自身具有透明代理功能，实际上对于端口的消耗并非那么大。因此在TM

4、G中，针对ISAServer的NAT功能进行了增强，主要包括以下方面：·TMG支持使用非默认IP地址作为NAT出站的源IP地址。在网络规则中，可以针对不同的源网络/源IP地址范围，定义使用特定的源IP地址进行出站NAT通讯。·在网络规则中定义NAT源IP地址时，你可以使用默认源IP地址（和ISAServer的行为一致）、指定的源IP地址或多个源IP地址来进行出站NAT通讯，如下图所示：但是，使用增强的NAT功能时，需要注意以下方面：·如果在网络规则中定义的出站通讯源IP地址并不位于对应的出站网络接口上，则该

5、网络规则所对应的所有通讯均会失败；·任何一条网络规则均只能使用一个源IP地址。如果在网络规则中定义了多个源IP地址，TMG只会选择可用的源IP地址中数值排序最低的一个作为源IP地址。·以下给大家展示一下增强的NAT配置过程。下图是我的TMG服务器的IP地址配置：··其中默认IP地址是61.139.2.10。现在我需要创建一条网络规则，当内部客户端10.1.1.8访问外部网络时，通过指定的源IP地址61.139.2.11进行访问。·在TMG管理控制台中，在左侧点击网络节点，然后点击中部的网络规则标签，然后在右

6、侧的任务面板中点击新建一个网络规则链接；·在弹出的欢迎使用新建网络规则向导页，输入网络规则名称，然后点击下一步；··在网络通讯源页，添加对应的源网络/IP地址范围，在此我新建一个计算机对象10.1.1.8，然后点击下一步；··在网络通讯目的页，在此我选择外部网络，然后点击下一步；··在网络关系页，选择网络地址转换（NAT），然后点击下一步；··在NAT地址选择页，根据你的需要进行选择。在此我选择使用指定的IP地址，然后在选择框中选择61.139.2.11，再点击下一步；··最后在正在完成新建网络规则向导页，

7、点击完成。··完成后如下图所示，最后记得在TMG管理控制台中点击应用保存配置并等待TMG完成配置同步。··接下来，我们在10.1.1.8这个客户端上访问外部网络的FTP服务器，如下图所示：··然后在外部的FTP服务器上检查会话，从下图可以清楚的看到，源IP地址是我们在网络规则中所定义的指定IP地址。··从TMG的访问日志中，你可以从日志的NAT地址字段看到访问请求所使用源NAT地址，如下图所示：·