标题：[TMG] 多外网 IP 环境下为特定计算机或网络集指定 NAT 出口
出处：gOxiA=苏繁=SuFan Blog
时间：Mon, 24 Oct 2011 11:49:30 +0000
作者：gOxiA
地址：https://goxia.maytide.net/read.php/1536.htm

内容：
 多外网 IP 环境下为特定计算机或网络集指定 NAT 出口
         gOxiA 所在的公司前段时间进行了并网，将办公室网络与机房主干网进行了联结！至此，访问互联网的速度得到了质的提升。而办公室内的 Windows Small Business Server 2011 Standard（SBS2011）服务器不再需要通过 Smart Host 进行邮件的外发处理，而可以直接使用机房的公网IP。但是随即也引发了一些问题！因为前端部署有 TMG 服务器，而外网多个 IP 都绑定在 TMG 的外部网卡上（用于服务发布），默认情况下内网用户都会经由 TMG 的 Primary IP 进行 NAT 访问，因为业务需求 TMG 开放了内网 SMTP 的访问权限，那么此时就会出现安全问题。
         因为邮件服务器与其他用户使用同一个 Primary IP 访问 Internet，那么一些用户的访问行为可能会影响邮件服务器的信用等级！该如何为特定的计算机或网络集指定 NAT 呢？！gOxiA 就此问题曾咨询了 Microsoft Partner Support，获得的解决方案是需要部署 Exchange Edge，但是对于 SBS 来讲此解决方案并不合适，后来向 China MVP 的 MailList（NDA） 发送了求助邮件，获得了一个简单可行的解决办法！
         在 ISA/TMG 中我们可以利用网络规则来为特定资源指定 NAT 地址，这样 gOxiA 便可以为 SBS2011 单独指定一个 NAT IP，与办公室上网所用默认的 Primary IP 分离，从而保证了服务器的安全。为此，需要打开 TMG 控制器进行配置。
  在左侧的“控制台树”中展开“Forefront TMG”，并切换至“网络连接” 在中间的内容窗体中点击“网络规则选项卡” 在任务窗体中点击“创建网络规则” 跟随向导执行操作，创建一个名为“SBS2011 to Internet”的网络规则 在网络通讯源中添加一个“计算机”源，其中计算机源就是 SBS2011 在网络通讯目标中添加“外部” 在网络关系中选择“网络地址转换” 在 NAT 地址选择中选择“使用指定的 IP 地址”，为 SBS2011 指定专用的 NAT IP 最后完成操作         至此，配置操作即告完成。现在我们可以服务器上访问 ip138 网站看看识别的 NAT IP 是否为指定的地址。最后感谢 王春海 和 刘力科 两位 MVP 提供的帮助！



Generated by Bo-blog 2.1.1 Release