Forefront TMG 新特性之增强 NAT 功能.doc

Forefront TMG 新特性之增强 NAT 功能 　 在 HYPERLINK /info/info.php?sessid=infoid=350page=5 \t _blank 王者再现 - Forefront TMG 新特性介绍一文中，我给大家介绍了在 Forefront TMG 中，对原有的 NAT 功能进行了增强，在本文中，我将对该增强的 NAT 功能进行详细的介绍。 在 Windows XP/ Windows Server 2003系统中，当应用程序在执行 TCP/IP 通讯时，如果未指定本地使用的源 IP 地址，则 Windows 系统会使用出站接口上的默认 IP 地址来作为出站通讯的本地地址（此行为在 Windows Vista / Windows Server 2008 进行了修改，会根据与目标地址/下一跳地址的子网匹配长度来选择出站通讯的本地地址，但是对于特定的通讯，仍然只能使用一个地址作为源地址）。 因此在 ISA Server 中，即使你在外部网卡上绑定了多个 IP 地址，在执行 NAT 出站通讯时，只能使用出站接口上默认的 IP 地址作为 NAT 的源地址。这带来了以下两个问题： 发布 SMTP 服务器时的 IP 地址匹配问题。当内部的 SMTP 服务器访问外部网络时，始终会使用 ISA Server 出站接口上的默认 IP 地址作为出站的源 IP 地址。如果你在发布内部的 SMTP 服务器时使用了不同的 IP 地址（MX记录指向该 IP 地址），那么 SMTP 服务器的出站访问地址由于和 MX 记录中的 IP 地址不匹配，可能会被连接到的目标 SMTP 服务器当成垃圾邮件服务器处理； 端口限制问题。TCP/UDP 上的最大端口数量为65535，除开保留端口和已知端口，实际可用的端口大约为60000多一点。在具有大量用户并发连接的场景（例如并发用户超过5000个），那么可能会出现端口数量不足导致 TCP/UDP 通讯失败的现象。这个限制适用于所有的 TCP/UDP 通讯场景，不过 ISA Server 由于自身具有透明代理功能，实际上对于端口的消耗并非那么大。 因此在 TMG 中，针对 ISA Server 的 NAT 功能进行了增强，主要包括以下方面： TMG 支持使用非默认 IP 地址作为 NAT 出站的源 IP 地址。在网络规则中，可以针对不同的源网络/源 IP 地址范围，定义使用特定的源 IP 地址进行出站 NAT 通讯。 在网络规则中定义 NAT 源 IP 地址时，你可以使用默认源 IP 地址（和 ISA Server 的行为一致）、指定的源 IP 地址或多个源 IP 地址来进行出站 NAT 通讯，如下图所???： 但是，使用增强的 NAT 功能时，需要注意以下方面： 如果在网络规则中定义的出站通讯源 IP 地址并不位于对应的出站网络接口上，则该网络规则所对应的所有通讯均会失败； 任何一条网络规则均只能使用一个源 IP 地址。如果在网络规则中定义了多个源 IP 地址，TMG 只会选择可用的源 IP 地址中数值排序最低的一个作为源 IP 地址。 以下给大家展示一下增强的 NAT 配置过程。下图是我的 TMG 服务器的 IP 地址配置： 其中默认 IP 地址是 0。现在我需要创建一条网络规则，当内部客户端 访问外部网络时，通过指定的源 IP 地址 1 进行访问。 在 TMG 管理控制台中，在左侧点击网络节点，然后点击中部的网络规则标签，然后在右侧的任务面板中点击新建一个网络规则链接； 在弹出的欢迎使用新建网络规则向导页，输入网络规则名称，然后点击下一步； 在网络通讯源页，添加对应的源网络/IP地址范围，在此我新建一个计算机对象 ，然后点击下一步； 在网络通讯目的页，在此我选择外部网络，然后点击下一步； 在网络关系页，选择网络地址转换（NAT），然后点击下一步； 在 NAT 地址选择页，根据你的需要进行选择。在此我选择使用指定的 IP 地址，然后在选择框中选择 1，再点击下一步； 最后在正在完成新建网络规则向导页，点击完成。 完成后如下图所示，最后记得在 TMG 管理控制台中点击应用保存配置并等待 TMG 完成配置同步。 接下来，我们在 这个客户端上访问外部网络的 FTP 服务器，如下图所示： 然后在外部的 FTP 服务器上检查会话，从下图可以清楚的看到，源 IP 地址是我们在网络规则中所定义的指定 IP 地址。 从 TMG 的访问日志中，你可以从日志的 NAT 地址字段看到访问请求所使用源 NAT 地址，如下图所示：