浅谈ISA Server 2004、KWF中的路由

一、同个接口上实现多个网段

     图一是一个在相同网络接口上实现多个网络的实例。在NAT Server的内部接口上同时具有192.168.0.1/24和192.168.1.1/24两个IP，而且内部网络中也存在这两个相应的网段，内部两个网段的客户的默认网关设置为NAT Server内部接口上对应网段的IP。在具体的配置上，ISA Server 2004需要你在内部网络中明确这两个网段，而KWF则是从接口的IP配置中获取这两个网段的信息，只要你明确允许这两个网段的内部用户访问外部网络，那么这两个网段的计算机都可以正常的访问外部网络。对于这两个网段之间用户互访，则需要通过防火墙策略来设置。除了ISA Server 2004上具有对应的路由外，你还得建立一条防火墙策略以允许内部网络访问内部网络。同样的，KWF中专门有个路由定义的选项，如果你定义了这条路由，KWF会转发给对应的客户，就算收到、发出数据包的是同样的接口。

     注意：在ISA Server 2004中，即使你在NAT Server 的内部接口上只配置了192.168.0.1/24这个IP，你也可以在内部网络中加入192.168.1.1/24这个网段的定义。但是如果内部的192.168.1.1/24客户把数据包发送到ISA Server 2004要求转发到外部网络，ISA Server 2004会提示配置错误，并且丢弃该数据包。

图一 同个接口多个网段

二、不同接口不同网段

     图二是不同网络接口连接到不同网段的情况（VLAN划分的情况一样），这也是ISA Server 2004和KWF的推荐方案。在ISA Server 2004中，你需要设置网络规则和防火墙策略以允许他们之间的互访；KWF则会从网络接口的属性中自动获取网络的信息。此时，只要你允许这些内部网络访问外部网络，它们就可以进行正常的访问。

图二 不同接口不同网段

三、内部网络存在路由的情况

     图三是在内部网络中还存在路由的情况。和“同个接口上实现多个网段“中描述的一样，如果192.168.0.0/24网段的用户想把数据包发送到172.16.0.0/16网段，作为它们的默认网关，如果你在ISA Server 2004中明确的允许内部网络到内部网络，那么就可以进行数据包的转发，就算使用相同的接口，否则是不会进行数据包转发的。同样的，如果是在KWF中定义了这条路由，它也会进行转发。

图三 内部网络存在路由的情况