多网络结构

在经典的多网络环境视图中，防火墙或路由器在一个或多个网络之间提供连接性。根据在防火墙或路由器上配置的访问控制，允许通讯在网络之间传递。请考虑下面的图例，它说明了经典的多网络方案视图。

在图中，公司网络将连接到 Internet，以便允许客户端访问 Internet。外围网络连接到公司网络和 Internet，以便允许访问其资源。

ISA 服务器将 IP 地址分组为集，称为网络。ISA 服务器使用网络来描述无需通过 ISA 服务器传递即可交换通讯的主机的地址。网络实际描述了网络拓扑形式的 ISA 服务器视图。有关详细信息，请参阅网络和网络集配置。

ISA 服务器包含几个特殊的内置网络元素。下面列举了一些示例：

• 内置外部网络自动包含不属于其他任何网络的所有地址。与其他网络不同，它可以存在于另一网络的后面。有关外部网络的详细信息，请参阅默认外部网络。有关网络后面的网络的详细信息，请参阅网络后面的网络。
• 内置 VPN 客户端网络自动包含分配给 VPN 客户端的所有地址。有关 VPN 客户端网络的详细信息，请参阅 VPN 客户端和防火墙策略。
• 内置本地主机网络包含 ISA 服务器计算机上的地址。

注意

• 主机可能没有适配器，也可能有多个适配器。
• 适配器可能没有地址，也可能有多个地址。每个地址可以仅仅与一个网络适配器关联。
• 一个地址属于且仅属于一个网络。
• 一个网络适配器上的所有地址必须属于同一个网络。

网络之间的访问

可以使用 ISA 服务器来定义网络规则，从而允许网络之间相互访问。为此，不仅要定义是否允许网络连接，还要定义如何连接。这样，便可在网络之间建立网络访问策略。有关详细信息，请参阅网络规则。

下图说明了网络访问策略的概念。已配置相应的网络规则，以便允许在上图所示的相同网络之间进行网络访问。

网络规则定义了网络之间的如下关系：

1. 在分部与总部之间定义路由的网络关系。路由关系是相互的。
2. 在从公司网络到外围网络这一方向上定义网络地址转换 (NAT) 网络关系。NAT 关系是单向且唯一的。因此，在从外围网络到公司网络这一方向上不存在关系。
3. 在从公司网络到 Internet 这一方向上定义 NAT 网络关系。同样，在从 Internet 到公司网络这一方向上也不存在关系。
4. 最后，在从外围网络到 Internet 这一方向上定义 NAT 网络关系。

请注意，在路由的网络关系中，每个网络都公开其真正的 IP 地址。因此，只有在网络之间真正需要双向通讯时，才应配置路由网络关系。

---

请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。