在TMG 2010中為郵件smtp選擇出口線路

今天有個(gè)朋友問(wèn)我，他使用Forefront TMG 2010做防火墻，在TMG的“外網(wǎng)”網(wǎng)卡綁定了兩個(gè)IP地址（202.x.y.171、202.x.y.172），內(nèi)網(wǎng)有臺(tái)郵件服務(wù)器，他想讓內(nèi)網(wǎng)中的計(jì)算機(jī)，使用202.x.y.171的地址訪問(wèn)Internet，讓Exchange使用202.x.y.172訪問(wèn)Internet，并且將202.x.y.172的SMTP與POP3及Web端口映射給Exchange，解決辦法如下：
在Microsoft Forefront TMG 2010中，可以通過(guò)創(chuàng)建網(wǎng)絡(luò)訪問(wèn)規(guī)則、并指定NAT轉(zhuǎn)換地址的方法解決，步驟如下：
（1）在Microsoft Forefront TMG 2010中，打開(kāi)Forefront TMG控制臺(tái)，右擊“網(wǎng)絡(luò)連接”，在彈出的快捷菜單中選擇“新建→網(wǎng)絡(luò)規(guī)則”，如圖2所示。

（2）在“網(wǎng)絡(luò)規(guī)則名稱”頁(yè)，為新建的規(guī)則設(shè)置一個(gè)名稱，例如“為mail server指定出口IP”。
（3）在“源網(wǎng)”頁(yè)，添加郵件服務(wù)器的地址192.168.1.123
（4）在“目標(biāo)網(wǎng)絡(luò)”頁(yè)，添加“外部”
（5）在“網(wǎng)絡(luò)關(guān)系”頁(yè)，選擇“網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）”
（6）在“NAT地址選擇”頁(yè)，選擇“使用指定的IP地址”，并且選擇要為郵件服務(wù)器指定的出口地址202.206.197.172
（7）在“正在完成新建網(wǎng)絡(luò)規(guī)則向?qū)А表?yè)，選擇“完成”
然后定位到“網(wǎng)絡(luò)連接→網(wǎng)絡(luò)規(guī)則”頁(yè)，如果新添加的規(guī)則在“Internet訪問(wèn)”規(guī)則后面，則將其移動(dòng)到“Internet訪問(wèn)規(guī)則”前面，因?yàn)樵凇癐nternet訪問(wèn)規(guī)則”中的“內(nèi)部”包括了郵件服務(wù)器的地址。
如果要為“內(nèi)部”網(wǎng)絡(luò)訪問(wèn)Internet指定出口的地址，則用鼠標(biāo)右擊“Internet訪問(wèn)”，在彈出的快捷菜單中選擇“屬性”。

在“Internet訪問(wèn) 屬性”頁(yè)，在“NAT地址選擇”選項(xiàng)卡，選中“使用指定的IP地址”，從中選擇出口地。

如果服務(wù)器有多個(gè)地址，你想選擇使用其中的幾個(gè)，可以選擇“使用多個(gè)IP地址”選擇選擇，這些不一一介紹。
設(shè)置之后，單擊“應(yīng)用”按鈕，保存設(shè)置。
【說(shuō)明】創(chuàng)建“網(wǎng)絡(luò)規(guī)則”這一功能，在Forefront TMG的上一個(gè)產(chǎn)品ISA Server中已經(jīng)存在，但選擇NAT地址，則是Forefront TMG的新增功能。在本文的基礎(chǔ)上，舉一反三，可以實(shí)現(xiàn)更多高階應(yīng)用，例如：
（1）單位有多個(gè)IP地址，在你的網(wǎng)絡(luò)中有多個(gè)VLAN，你可以創(chuàng)建多個(gè)訪問(wèn)規(guī)則，讓不同的VLAN用戶，使用不同的進(jìn)出口地址。
（2）單位有多條線路，例如存在電信、聯(lián)通、教育網(wǎng)線路，在你的內(nèi)網(wǎng)有多個(gè)服務(wù)器，有的服務(wù)器需要映射成電信的地址（發(fā)布到Internet，供電信用戶訪問(wèn)），而有的服務(wù)器需要映射成教育網(wǎng)地址（發(fā)布到Internet，供教育網(wǎng)用戶訪問(wèn)），你可以創(chuàng)建多個(gè)訪問(wèn)規(guī)則，讓不同的服務(wù)器，使用不同線路的IP地址。
【注意】在創(chuàng)建訪問(wèn)規(guī)則時(shí)，如果有地址“重合”現(xiàn)象，則需要將具體的地址調(diào)整到前面，將范圍大的地址調(diào)整到后面。

---