理解 ISA Server 2000 本地地址表 http://www.microsoft.com/china/technet/prodtechnol/isa/maintain/isalat.asp 本頁主題 概述 概念和過程 方案 其他有用資訊 總結 概述 Microsoft Internet Security and Acceleration (ISA) Server 本地位址表(local address table，LAT)是一個由 ISA Server 電腦保護的、內部網路中所有 IP 位址範圍的表。LAT 是在安裝過程中進行配置的，且在安裝結束後可以使用 ISA Management 進行修改。 ISA Server 使用 LAT 定義內部網路上“受信任”的電腦。不在 LAT 中的任何電腦都被 ISA Server 認為是外部的且“不受信任”的電腦。配置不正確的 LAT 可能會導致以下結果： • 如果 LAT 誤包括與 ISA Server 的外部網路適配器相關的 IP 位址，那些外部位址將被當作內部網路的一部分對待，並且它們可以訪問內部網路資源，危及防火牆安全設置。 • 如果 LAT 沒有包括內部網路中的整個 IP 位址範圍，內部用戶端請求則可能得不到正確的處理。例如，當一個內部用戶端向一個沒有在 LAT 中進行定義的內部電腦發送請求時，ISA Server 就將該請求路由至 Internet 或重定向至 Firewall 服務，因為不在 LAT 中的所有電腦都被認為是外部資源。 該白皮書描述了如何在安裝過程中構建 LAT。並詳細描述了一些特殊考慮，它們主要取決於您的網路配置以及 ISA Server 支援的用戶端類型。 概念和過程 此部分包括： • 構建 LAT • ISA Server 用戶端和 LAT 構建 LAT 在安裝過程中，既可以手動輸入內部 IP 位址範圍，使其包括在 LAT 中，也可以選擇 ISA Server 基於 Windows Routing Table 自動構建 LAT。 若要在安裝過程中輸入 IP 位址範圍，在標題為 Enter the IP address ranges that span the internal network address space（輸入橫跨內部網路位址空間的IP 位址範圍）的安裝頁面中執行以下任一操作： 手動配置 LAT 1. 在 From 框中鍵入一個起始位址，在 To 框中鍵入一個結束位址，再單擊 Add。 2. 重複該步驟，直至將所有想要的 IP 地址範圍都包括在 LAT 中。 自動配置 LAT 1. 單擊 Table。 2. 若要包括由 IANA 定義的 IP 位址範圍以作為專用，請選擇 Add the following private ranges（添加下列專用範圍）。 這些專用 IP 位址範圍永遠不會在 Internet 上使用，並且可以安全地包括在 LAT 中。 3. 若要通過 Windows 路由表中包括的資訊構建 LAT，請選擇 Add address ranges based on the Windows 2000 routing table（基於 Windows 2000 路由表添加地址範圍）。 4. 在 Select the address ranges that are associated with the following internal network adapters（選擇與下列內部網路適配器關聯的位址範圍）中，選擇您想將其位址範圍放在 LAT 中的內部網路適配器。需要注意的是，與用於外部網路的適配器關聯的位址範圍都不應該選擇包括在 LAT 中。 安裝結束以後，可以通過 ISA Management 修改 LAT，操作步驟如下： 1. 在 ISA Management 中，單擊以展開 Network Configuration（網路配置）節點，再單擊 Local Address Table (LAT) 。在細節窗格中，您可以看見定義該內部網路的 IP 位址範圍。 2. 若要添加其他位址或位址集，右鍵單擊 Local Address Table (LAT) 文件夾，單擊New，再單擊LAT Entry。 3. 在 From 和To 欄位中輸入 IP 位址的範圍。如果想定義單台伺服器，在這兩個欄位中鍵入相同的 IP 位址。 4. 如果需要，為該項提供一個 Description，再單擊 OK。 特殊考慮 在構建 LAT 時，需要考慮以下方面： • 在手動構建 LAT 時，推薦不要指定重疊的 IP 位址範圍，這可能會導致意外的性能問題。 • 在手動構建 LAT 時也不能指定重複範圍。若要獲得更多資訊，請參看 Microsoft 知識庫中的文章 279928 “錯誤資訊：ISA Server 不能保存屬性。該 IP 範圍已存在於本地地址表中”。 • 當從 Windows 路由表自動構建 LAT 時，確保該表首先進行了正確的配置。路由表中任何不正確或不完整的資訊都將在 LAT 中進行複製。 • 在由不同子網（通過路由器進行連接）上多個網路組成的複雜內部網上，確保所有的子網都包括在 LAT 中。否則，丟失子網上的內部用戶端將被看作是外部的，並且因此變得“不可信任”。自動構建 LAT 時，使用路由工具或動態路由協定（如路由資訊協定，RIP）將子網添加到 Windows 路由表中。 • 默認閘道永遠不應該在 ISA Server 電腦的內部介面上進行設置。相反，在一個複雜網路中，應該為內部網路創建靜態路由，從而為 ISA Server 提供到達所有子網的永久路徑。使用路由工具創建這些路由。進行此操作的最簡單方法是定義包括 ISA Server 電腦上所有子網的無類別路由。無類別路由合併了多個子網位址，這些位址將相同的高序比特共用到一個邏輯網路中。該子網路遮罩進行了縮減，取走了位址網路部分的比特，並將它們添加了主機部分。例如： C 類網路位址 NET199.199.5.0(1100 0111.1100 0111.0000 0101.0000 0000) NET199.199.6.0(1100 0111.1100 0111.0000 0110.0000.0000) NET199.199.7.0(1100 0111.1100 0111.0000 1100.0000.0000) MASK255.255.252.0 (1111 1111.1111 1111.1111 1100.0000 0000) 為了進行路由，只有被子網路遮罩覆蓋的比特才被使用，並且所有這些位址都顯示為同一網路的部分，以進行路由。大部分路由器都支持無類別路由。使用 route -p 命令使電腦重新啟動間的輸入持續。 ISA Server 用戶端和 LAT??剏???謀? ?? ?1遐? 此部分包括： • Firewall 用戶端 • SecureNAT 用戶端 Firewall 用戶端 Firewall 用戶端將 LAT 與本地域表 (Local Domain Table，LDT) 結合使用，以判斷 Winsock 應用程式發出的請求是外部的並應該發送至 ISA Server 電腦，還是內部的並應該直接發送至 LAT 中的電腦。LDT 包括由 ISA Server 託管的內部網路上的所有域的名稱，並且不應包括外部功能變數名稱稱。 LAT 和 LDT 都是在 ISA Server 上集中進行維護的。在 Firewall 用戶端元件的安裝過程中，每個表的副本都被安裝到用戶端電腦上。LAT 位於 Msplat.txt 文件中，LDT 位於 Mspclnt.ini Firewall 用戶端配置檔中。這些檔通過控制通道自動在用戶端電腦上進行更新，默認每 6 個小時進行一次，或者在用戶端電腦重啟時進行。也可以通過單擊用戶端電腦上的 Firewall 用戶端選項對話方塊中的 Update Now（ 強制刷新。 因為 ISA Server 以一定的時間間隔使用從伺服器上下載的新版本覆蓋 Msplat.txt 檔，所以，每當該檔更新時，在用戶端所做的任何更改都將丟失。為了避免這種情況發生，使用一個文本編輯器創建一個名為 Locallat.txt 的自定義用戶端 LAT，並將它放置在用戶端電腦的 Firewall 用戶端檔夾中。也可以添加被用戶端識別為內部網路部分的額外的 IP 位址範圍。在下面的示例中，第一項是一個 IP 位址範圍，每二項是第二個 IP 地址（不是子網路遮罩）： • 10.51.0.010.51.255.255 • 10.52.144.10310.52.144.103 Firewall 用戶端按以下步驟處理 IP 請求： • 當用戶端電腦上的 Winsock 應用程式試圖連接到一個 IP 位址時，Firewall 用戶端檢查 LDT，以判斷該 IP 位址是在內部網路上還是在該網路的外部。如果在 LDT 中發現該功能變數名稱，名稱解析就由該用戶端完成。否則，該用戶端就將該請求傳送給一台外部 DNS 伺服器，請求 ISA Server 代表它解析該名稱。 • 在名稱解析返回目標伺服器的 IP 位址以後，Firewall 用戶端檢查 LAT 和 Locallat.txt，以判斷該地址是否是本地的。對於內部位址，該用戶端直接進行連接。否則，該請求就搜尋 ISA Server 電腦上的 Firewall 服務。 SecureNAT 用戶端 SecureNAT 用戶端不使用 LAT 區分內部和外部電腦。相反，對於外部資源的請求是由 ISA Server 代替 SecureNAT 用戶端發出的。在用戶端和 ISA Server 之間未配置路由器的簡單網路中，SecureNAT 用戶端的默認閘道設置被設置成 ISA Server 內部網路適配器的默認 IP 位址，可以在 TCP/IP 設置中為每台用戶端進行手動設置，也可以使用 DHCP 進行自動設置。 在 SecureNAT 用戶端和 ISA Server 內部適配器之間帶有路由器的複雜網路中，該技術則不適用。相反，SecureNAT 用戶端需要一些路由機制來獲得對 ISA Server 的請求。SecureNAT 用戶端的默認閘道應該設置成本地子網中路由器的 IP 位址，並且該鏈中至 ISA Server 的每個路由器都應該為 ISA Server 內部適配器提供最短的路由。需要注意的是，距 ISA Server 最近的路由器必須配置為將 Internet 流量路由至內部適配器介面，並且該路由器不應該配置為丟棄指向內部網路以外位址的資料包 方案 此部分包括以下方案： • 在三宿主週邊網路中配置 LAT • 在背靠背週邊網路中配置 LAT • 在 VPN 中配置 LAT 在三宿主週邊網路中配置 LAT 在一個三宿主的週邊網路（也被稱作 DMZ、網路隔離區、遮罩子網）中，ISA Server 電腦被設置了三個網路適配器： • 一個網路適配器連接到內部網路。 • 第二個網路適配器連接至週邊網路中的網路服務器。 • 第三個網路適配器連接到 Internet。 • 在這種方案中，週邊網路中的電腦配置成帶有公用 IP 位址，並且不作為內部網路的一部分而受到信任。這些公共 IP 位址不應該包括在 ISA Server LAT 中。資料包從外部網路路由至週邊網路，並且這些路由的資料包不易受 ISA Server 訪問規則的影響。相反，應該啟用資料包過濾和 IP 路由。 在背靠背的週邊網路中配置 LAT 在背靠背的週邊網路配置中，一台 ISA Server（在 Firewall 或 Integrated 模式中進行配置）位於週邊網路的任一邊。 一台伺服器 (ISASERVER1) 位於內部網路和週邊網路之間。 第二台伺服器 (ISASERVER2) 位於週邊網路和外部網路 (Internet) 之間。 在這種方案中，ISASERVER1 上的 LAT 應該包括內部網路的 IP 位址。 ISASERVER2 上的LAT 應該包括 ISASERVER1 的外部 IP 位址，以及週邊網路中所有伺服器的 IP 位址。 在此配置中，週邊網路中的伺服器能夠包括公用 IP 位址或專用 IP 地址。如果週邊網路包括專用 IP 位址，將應用訪問策略規則。需要注意的是，儘管週邊網路包括專用 IP 位址，它也不作為內部網路的部分受到信任，並且它的專用 IP 位址將不是 ISASERVER1 中 LAT 的部分。如果週邊網路包括公用 IP 位址，將不會應用訪問策略規則— 流量被路由，並且 IP 路由和資料包過濾將被啟用。 在 VPN 中配置 LAT 虛擬專用網路（Virtual private network，VPN））連接使組織可以擁有通過公用網絡（如 Internet）與其他組織進行連接的路由連接，而同時維護安全的通信。例如，VPN 連接可以用來連接地理分散的辦公室。Internet 上路由的 VPN 連接邏輯上相當於一個專用廣域網 (WAN) 鏈結。 例如，您也許可以在組織的總部和分公司之間設置一個閘道-閘道的 VPN 通道。 在本地網路上的 ISA Server 上運行本地 VPN 嚮導（Local VPN Wizard），並在遠端網路的 ISA Server 上運行遠端 VPN 嚮導（Remote VPN Wizard）。當本地網路上的電腦與遠端網路上的電腦進行通信時，資料即進行封裝，並通過 VPN 通道進行發送。 在運行 Local VPN Wizard 時， 指定以下 IP 位址範圍： • 遠端內部網路上的 IP 位址範圍，可以被本地 VPN 用戶端使用。包含該位址範圍的靜態路由被自動創建。此範圍應該在該遠端電腦的 LAT 中。 • 本地內部網路上的 IP 位址範圍，可以被遠端網路上的 VPN 用戶端使用。可以從整個 LAT 中進行選擇，並移除您不想被遠端網路中的 VPN 用戶端使用的位址。然後，在運行遠端 VPN 嚮導配置遠端 VPN 終端時，一個靜態路由即被自動創建（使用您指定的位址）。 此外，還需注意以下兩點： • 可以通過閘道-閘道 VPN 連接來訪問的所有網路在 LAT 中都必須可用，因為它們是作為一個單一的網路共同進行有效工作。在用戶端-閘道的 VPN 方案中，只有用戶端電腦才成為它連接的網路的一部分。 • 分配給 VPN 用戶端的任何地址都應該在 LAT 範圍中。 其他有用資訊 此部分包括： • 常見的 LAT 錯誤和事件 • 使用 route 命令行工具 常見的 LAT 錯誤和事件 以下列表列舉了一些與 LAT 相關的常見 ISA Server 錯誤和事件。 錯誤 在修改 LAT 或刪除一個 LAT 項時，接收到以下一條或多條錯誤資訊： ISA Server cannot save the properties (Error: 0x80040376)（ISA Server 不能保存該屬性） ISA Server cannot delete the object (Error: 0x80040376） （ISA Server 不能刪除該物件） IP 位址 IP_address 是發佈伺服器上的一個內部位址。 伺服器發佈規則 Rule_Name 將用戶端請求轉發至該 IP 位址。 原因 當您試圖刪除正在伺服器發佈規則中使用的 LAT 項時會導致該錯誤。 解決方法 刪除該伺服器發佈規則，或者確保該 LAT 包括此發佈伺服器的 IP 地址。要獲得更多資訊，請參看 Microsoft 知識庫中的文章 250293, “顯示 ISA Server 錯誤資訊‘不能保存對 LAT 的修改’”。 錯誤 在修改 LAT 時，您可能會接收到以下錯誤資訊： ISA Server cannot save the properties.（ISA Server 不能保存該屬性。） (Error 0x80040340. The IP range already exists in the LAT}（該 IP 範圍已經存在於 LAT 中） 原因 如果您試圖輸入當前 LAT 項的一個精確副本就會導致該錯誤。不推薦在 LAT 中使用??剏???謀? ?? ?1遐? 重疊項，這可能會導致意外的性能問題。不允許在 To（至）和 From（從）範圍中使用某一項的副本。 解決方法 不要輸入重複的 IP 範圍，並且避免在可能的情況下輸入重疊的範圍。要獲得更多資訊，請在 Microsoft 知識庫中參看文章 279928，“錯誤消息：ISA Server 不能保存屬性。 該 IP 範圍已經存在於本地地址表中”。 錯誤 在陣列安裝中配置 LAT 時，當您試圖連接至 ISA 管理中的陣列時將會接收到以下錯誤資訊： ISA Error.（ISA 錯誤。） The operation failed..（操作失敗……） (Error 0x8007203a). The server is not operational.（伺服器沒有運行。） 原因 當您無意中將 LAT 配置為只包括外部介面，且內部網路成為 ISA Server 的外側時會導致該錯誤。該陣列將不能查詢 Active Directory 進行配置，並且 ISA Server 控制服務也不會啟動。 解決方法 若要修復 LAT，您需要移至另一台電腦或正在運行 ISA Management 用戶介面的 ISA 陣列。如果以上兩者均不可用，可以在連接至該域的 Windows 電腦上安裝 ISA Management 工具。在 ISA Management 中，單擊 ISA Management 根節點下的 Connect to（連接至），並指定您想管理的陣列。然後可以修改 LAT 以獲得正確的值，並重新啟動受影響陣列中的 ISA Server 電腦。要獲得更多資訊，請參看 Microsoft 知識庫中的文章 282035, “如果 LAT 配置阻止對網域控制器的訪問，則不能控制 ISA”。 記錄事件 7023/7024/11009/12012/13110 錯誤 在運行 Internet Connection Wizard (ICW) for Small Business Server 2000 或安裝了 ISA Server 的 BackOffice Server 2000 時，您可能會接收到以下錯誤資訊： The Internet Connection Wizard was interrupted because of an error or user intervention.（因為發生某一錯誤或用戶干預，該 Internet Connection Wizard 被中斷。） Details have been recorded in the file Icwlog.txt.（詳細情況已被記錄在 Icwlog.txt 文件中） The specified IP address of your local network card is not recorded in the Local Address Table (LAT) of ISA server.（本地網卡指定的 IP 位址沒有記錄在 ISA server 的本地位址表 (LAT) 中。） You must either change the IP address of your network card to one that is recorded in the LAT, or edit the LAT to include this IP address.（您必須將網卡的 IP 位址修改成在 LAT 中記錄的位址，或者編輯 LAT 以包括該 IP 地址） 原因 如果伺服器介面 IP 位址不在LAT 中，這些錯誤就會發生。在存在兩個邏輯網路介面（例如，一個網路介面和一個點對點串列協定適配器，如撥號網路介面適配器），且這兩個介面都有公用 IP 位址的情況下，這種錯誤最為常見。此錯誤發生的原因可能是修改了伺服器上內部網路介面的 IP 位址。 解決方法 修改伺服器上網路適配器的 IP 位址，將它包括在 LAT 中，或者修改 LAT，使其包括一個包含某一介面的 IP 位址的 IP 位址範圍。需要注意的??剏???謀? ?? ?1遐? 是，為了擁有最佳的安全性，不推薦將公用 IP 地址放置在 LAT 中。要獲得更多資訊，請參看 Microsoft 知識庫中的文章 293286，“當伺服器在 LAT 中沒有介面時，Internet Connection Wizard 就不會成功”。 記錄事件 7024/14017 事件 14017 不正確的網路配置。該伺服器地址不是內部的，並且不在 LAT 中。 操作 檢查為該伺服器的內部網路適配器配置的 IP 位址是否包括在 LAT 中。 事件 14089 伺服器發佈規則 [%1] 失敗。不能為該伺服器 %2 創建會話。位置 %3。 操作 檢查內部伺服器位址是否包括在 LAT 中。 事件 14119 找不到進行資料包過濾的外部介面。 操作 檢查 LAT 是否包括與 ISA Server 外部介面關聯的位址。 事件 14120 ISA Server 服務不能創建資料包篩檢程式 %1。 操作 當 LAT 配置和 Windows 2000 路由表發生衝突時，該事件即發生。檢查這兩個表以查找衝突源。如果 LAT 中不存在衝突，則檢查該事件錯誤的其他可能原因，請參看 Microsoft 知識庫中的文章 288396， “ISA Server 事件 14120 被記錄，並且不能創建資料包篩檢程式”。 事件 14121 資料包篩檢程式撥出介面不能進行重新綁定。 操作 檢查 LAT 是否配置正確。 事件 14123 創建 IP 包篩檢程式失敗。 操作 檢查 LAT 是否配置正確。 使用 Route 命令行實用工具 可以使用 Route 命令行工具查看並編輯電腦的 IP 路由表。Route 命令和語法如下所示： route [-f] [-p] [Command [Destination] [mask Netmask] [Gateway] [metric Metric]] [if Interface]] -f 清除所有閘道入口的路由表。 -p 與 add 命令一起使用時使路由具有永久性。 Command 指定您想運行的命令 (Add/Change/Delete/Print)。 Destination 指定該路由的網路目標。 mask Netmask 指定與網路目標相關的網路遮罩（也被稱作子網路遮罩）。 Gateway 指定網路目標定義的位址集和子網路遮罩可以到達的前進或下一躍點 IP 位址。 metric Metric 為路由指定一個整數成本值標（從 1 至 9999），當在路由表(與轉發的資料包目標位址最匹配)的多個路由中進行選擇時可以使用。 if Interface 為可以訪問目標的介面指定介面索引。若要獲得一個介面列表和它們相應的介面索引，使用 route print 命令的顯示功能。可以使用十進位或十六進位值進行介面索引。 /? 在命令提示符處顯示幫助。 示例 若要顯示 IP 路由表的全部內容，請鍵入： route print 若要顯示以 10. 起始的 IP 路由表中的路由，請鍵入： route print 10.* 若要添加帶有 192.168.12.1 默認閘道地址的默認路由，請鍵入： route add 0.0.0.0 mask 0.0.0.0 192.168.12.1 若要向帶有 255.255.0.0 子網路遮罩和 10.27.0.1 下一躍點位址的 10.41.0.0 目標中添加一個路由，請鍵入： route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 若要向帶有 255.255.0.0 子網路遮罩和 10.27.0.1 下一躍點位址的 10.41.0.0 目標中添加一個永久路由，請鍵入： route -p add 10.41.0.0 mask 255.255.0.0 10.27.0.1 若要向帶有 255.255.0.0 子網路遮罩、10.27.0.1 下一躍點地址且其成本值標為 7 的 10.41.0.0 目標中添加一個路由，請鍵入： route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 metric 7 若要向帶有 255.255.0.0 子網路遮罩、10.27.0.1 下一躍點位址且使用 0x3 介面索引的 10.41.0.0 目標中添加一個路由，請鍵入： route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 if 0x3 若要刪除到帶有 255.255.0.0 子網路遮罩的 10.41.0.0 目標的路由，請鍵入： route delete 10.41.0.0 mask 255.255.0.0 若要刪除以 10. 起始的 IP 路由表中的所有路由，請鍵入： route delete 10.* 若要將帶有 10.41.0.0 目標和 255.255.0.0 子網路遮罩的下一躍點地址從 10.27.0.1 修改為 10.27.0.25，請鍵入： route change 10.41.0.0 mask 255.255.0.0 10.27.0.25 總結 在安裝過程中對 Windows 路由表和 LAT 進行認真配置可以確保您避免與不正確或不完整的 LAT 設置相關的後期問題，並通過正確識別內部的、可信任的 IP 位址和外部的、不可信任的位址來保證網路的安全。仔細將所有子網的內部位址都包括在 LAT 中，並排除所有不是內部網路部分的外部位址