TMG 2010 迁移中的内网多网段问题

    前两天给客户做TMG 2010的迁移，使用过ISA的朋友都知道，TMG是微软企业安全产品Threat Management Gateway的缩写。TMG2010，需要运行在64位操作系统上，是Forefront安全产品Stirling的重要组成部分，是ISA2006的升级产品。Threat Management Gateway的含义是威胁管理网关。

    其实本项目很简单，只是把内网中的Exchange Server 2010发布出来，供外网用户访问即可，一般的拓扑图很简单，如下图所示：

 

按照一般的流程：

1 安装OS: Windows Server 2008 R2

2 安装 TMG Server2010

3 导出 ISA 2006上的证书和策略

4 TMG上进行证书和策略的导入

    然后，进行测试，一切OK。正准备凯旋返回，甲方突然要求说，TMG的内网不能使用10.68.1.0网段，以后这个这网有特殊用途，推荐使用10.68.100.0网段。这样一来，拓扑图就发生了变化，如下图所示：

 

    其他地方都不变，只是TMG的网络需要做适当调整。在此，相当于TMG2010的内网有两个网段，需要把10.68.100.0/24和10.68.1.0/24加到内网中，一般在TMG服务器的内网网卡不要配置默认网关，而要使用静态路由表来连接内网的不同网段，默认网关一般配置在外网网卡上。TMG服务器如果有多个默认网关，会影响TMG服务器判断路由跳数。

    如果TMG2010服务器加入了域，一般在TMG服务器的内网网卡配置DNS服务器，TMG服务器的外网网卡最好不要配置DNS服务器，否则TMG服务器可能会无法联系域控制器。

     TMG的内网网卡为10.68.100.50，但内网中还包括其他网络，调整后的内网地址如下图所示：注意，多余的网段一定要去除，否则会生成不必要的路由项。

 

但注意内网没有设置默认网关，只在外网设置默认网关，如下图所示：

 

还需要手动为内网网段增加路由，使用下面的命令：

 

使用的下一跳接口地址。

如果希望永久生效可以加-p参数，如下所示：

Route add 10.68.1.0 mask 255.255.255.0 10.68.100.254 –p

再查看路由表：

 

当然，也可以通过TMG的入门向导来实现，如下图所示：

 

 

 

    TMG会根据所填条目自动生成路由项，这个也比较方便。另外，需要注意的是，为了测试方便，建议先禁用系统内置的防火墙。以上，只是我们在实施中的需要注意的地方，留下备用。