近日給政府做網(wǎng)絡(luò)改造與升級(jí)的工程，在工程的后期，該政府分為“東院”與“西院”，原來東院與西院各有一條到網(wǎng)通的Internet線路，由于在本次網(wǎng)絡(luò)工程中，還增加了“內(nèi)網(wǎng)”的網(wǎng)絡(luò)改造（現(xiàn)在大多數(shù)政府都有“外網(wǎng)—即連接到Internet的網(wǎng)絡(luò)”，還有“內(nèi)網(wǎng)—不能連接到Internet的內(nèi)部網(wǎng)絡(luò)”）。東院和西院只有不到2公里的距離，原來準(zhǔn)備讓“網(wǎng)通”公司給拉一條“東院”到“西院”的光纖，但到了工程的后期，網(wǎng)通公司說只能和連接Internet一樣，租用他們提供的數(shù)字電路或者***，2M的鏈路每個(gè)月大約1200元的費(fèi)用，這與我們的預(yù)算相差太大—原準(zhǔn)備是讓網(wǎng)通工程人員一次性從東院到西院拉一條光纖，最大幾千元。而這樣下來，每年就得1萬(wàn)4，長(zhǎng)期使用費(fèi)用太高。

考慮到內(nèi)網(wǎng)的數(shù)據(jù)量并不大，而現(xiàn)在東院、西院各有8M的Internet連接，而每個(gè)地方都有剩余的IP地址（子網(wǎng)掩碼都是255.255.255.248），這樣，可以通過做***路由的方式，將東、西院的內(nèi)網(wǎng)連接在一起，這樣只需要準(zhǔn)備兩臺(tái)計(jì)算機(jī)或者兩個(gè)路由器的價(jià)錢，一次投資，免費(fèi)使用。

如圖1所示，這是本次網(wǎng)絡(luò)改造的拓?fù)鋱D，分別在東、西院增加一臺(tái)服務(wù)器，做***路由。

圖1 組建***路由

相關(guān)網(wǎng)絡(luò)參數(shù)如下：

西院內(nèi)網(wǎng)IP段劃分：192.168.10.0/24、192.168.11.0/24～192.168.16.0/24共7個(gè)VLAN；東院內(nèi)網(wǎng)IP劃分為192.168.20.0/24、192.168.21.0/24、192.168.22.0/24、192.168.23.0/24共4個(gè)VLAN。

總體配置：在東、西院各配置一個(gè)雙網(wǎng)卡的Windows Server 2003服務(wù)器，安裝ISA Server做***路由，連接兩院內(nèi)網(wǎng)。

下面介紹規(guī)劃、配置的步驟。

1 在東、西院內(nèi)網(wǎng)交換機(jī)上配置靜態(tài)路由

因?yàn)橐獎(jiǎng)?chuàng)建***路由，所以，分別在東、西院內(nèi)網(wǎng)的核心交換機(jī)上，再各增加一個(gè)***，用來配置路由。在此，在西院交換機(jī)上，添加192.168.250.0/30的VLAN100,該VLAN100的IP地址設(shè)置為192.168.250.1,連接***服務(wù)器的網(wǎng)卡的IP地址設(shè)置為192.168.250.2/30（子網(wǎng)掩碼為255.255.255.252），在西院交換機(jī)上，添加到東院地址段的靜態(tài)路由：

ip route-static 192.168.20.0 255.255.255.0 192.168.250.2

ip route-static 192.168.21.0 255.255.255.0 192.168.250.2

ip route-static 192.168.22.0 255.255.255.0 192.168.250.2

ip route-static 192.168.23.0 255.255.255.0 192.168.250.2

在東院的交換機(jī)上，添加192.168.250.4/30的VLAN100,該VLAN100的IP地址設(shè)置為192.168.250.5,連接***服務(wù)器的網(wǎng)卡的IP地址設(shè)置為192.168.250.6/30,在東院核心交換機(jī)上，添加到西院內(nèi)網(wǎng)地址段的靜態(tài)路由：

ip route-static 192.168.10.0 255.255.255.0 192.168.250.6

ip route-static 192.168.11.0 255.255.255.0 192.168.250.6

ip route-static 192.168.12.0 255.255.255.0 192.168.250.6

ip route-static 192.168.13.0 255.255.255.0 192.168.250.6

ip route-static 192.168.14.0 255.255.255.0 192.168.250.6

ip route-static 192.168.15.0 255.255.255.0 192.168.250.6

ip route-static 192.168.16.0 255.255.255.0 192.168.250.6

2 為***服務(wù)器添加靜態(tài)路由

分別在東、西院的***服務(wù)器上，安裝好Windows Server 2003,將網(wǎng)線連接好，一條連接到Internet，將連接到Internet的網(wǎng)卡重命名為“wan”，設(shè)置好網(wǎng)通分配的IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)（可以不用設(shè)置DNS，因?yàn)椴恍枰ㄟ^域名訪問Internet）；另一條連接到內(nèi)網(wǎng)的核心交換機(jī)的VLAN100所在端口，設(shè)置好IP地址、子網(wǎng)掩碼，不要設(shè)置網(wǎng)關(guān)，重命名這個(gè)網(wǎng)卡為“l(fā)an”。

然后進(jìn)入命令提示符，添加到所在交換機(jī)其他網(wǎng)段的靜態(tài)路由。其中，西院***服務(wù)器，內(nèi)網(wǎng)網(wǎng)卡的IP地址為192.168.250.2,子網(wǎng)掩碼為255.255.255.252,進(jìn)入命令提示符，添加到西院內(nèi)網(wǎng)網(wǎng)段的靜態(tài)路由：

route add -p 192.168.10.0 mask 255.255.255.0 192.168.250.1

route add -p 192.168.11.0 mask 255.255.255.0 192.168.250.1

route add -p 192.168.12.0 mask 255.255.255.0 192.168.250.1

route add -p 192.168.13.0 mask 255.255.255.0 192.168.250.1

route add -p 192.168.14.0 mask 255.255.255.0 192.168.250.1

route add -p 192.168.15.0 mask 255.255.255.0 192.168.250.1

route add -p 192.168.16.0 mask 255.255.255.0 192.168.250.1

在東院的***服務(wù)器，內(nèi)網(wǎng)網(wǎng)卡的IP地址為192.168.250.6,子網(wǎng)掩碼為255.255.255.252,進(jìn)入命令提示符，添加到東院內(nèi)網(wǎng)網(wǎng)段的靜態(tài)路由：

route add -p 192.168.20.0 mask 255.255.255.0 192.168.250.5

route add -p 192.168.21.0 mask 255.255.255.0 192.168.250.5

route add -p 192.168.22.0 mask 255.255.255.0 192.168.250.5

route add -p 192.168.23.0 mask 255.255.255.0 192.168.250.5

3 安裝ISA Server、創(chuàng)建***站點(diǎn)間路由

創(chuàng)建好靜態(tài)路由后，安裝ISA Server（過程略去，在安裝的過程中，選擇“內(nèi)部網(wǎng)絡(luò)”時(shí)，選擇名為“l(fā)an”的網(wǎng)絡(luò)適配器），然后配置***站點(diǎn)間路由。

在西院的***服務(wù)器上，進(jìn)入ISA Server管理控制臺(tái)，創(chuàng)建到東院的***站點(diǎn)間路由，主要步驟如下：

（1）在“虛擬專用網(wǎng)絡(luò)（***）→遠(yuǎn)程站點(diǎn)”，在右側(cè)單擊“創(chuàng)建***點(diǎn)對(duì)點(diǎn)連接”，如圖2所示。

圖2 創(chuàng)建***點(diǎn)對(duì)點(diǎn)連接

（2）在“歡迎使用創(chuàng)建***點(diǎn)對(duì)點(diǎn)連接向?qū)А表?yè)中，在“點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)名稱”處，鍵入一個(gè)名稱，此名稱與遠(yuǎn)程撥號(hào)用戶名一致，所以最好創(chuàng)建一個(gè)英文的名稱。在本例中為RRAS，如圖3所示。

圖3 設(shè)置點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)名稱

（3）在“***協(xié)議”頁(yè)中，選擇“點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）”，如圖4所示。

圖4 選擇PPTP協(xié)議

此時(shí)，連接向?qū)?huì)發(fā)出提示：“要啟用連接性，必須有匹配網(wǎng)絡(luò)名稱的用戶帳戶”，如圖5所示。

圖5 提示信息

（4）在“本地網(wǎng)絡(luò)***設(shè)置”頁(yè)中，為傳入的***客戶端分配IP地址，此處分配的地方不應(yīng)該與兩端內(nèi)網(wǎng)地址、***服務(wù)器地址重合，在此添加192.168.250.100～192.168.250.110（地址太多也沒用，一般設(shè)置10個(gè)地址卻可），如圖6所示。

圖6 設(shè)置***客戶端地址

（5）在“遠(yuǎn)程站點(diǎn)網(wǎng)關(guān)”頁(yè)中，在“遠(yuǎn)程站點(diǎn)***服務(wù)器”地址框中，鍵入對(duì)方（此處為東院）***服務(wù)器的廣域網(wǎng)的地址，本例為202.206.197.198,如圖7所示。

圖7 鍵入對(duì)端***服務(wù)器的IP地址

（6）在“遠(yuǎn)程身份驗(yàn)證”處，添加對(duì)方***服務(wù)器為本方***服務(wù)器創(chuàng)建的遠(yuǎn)程連接用戶名及密碼，為了簡(jiǎn)化配置，雙方的用戶名與密碼都相同，所以，在本例中，設(shè)置用戶名為rras，設(shè)置密碼為a1b2c#dF（注意大小寫，在實(shí)際中設(shè)置其他復(fù)雜密碼），如圖8所示。

圖8 設(shè)置對(duì)端***服務(wù)器創(chuàng)建的遠(yuǎn)程撥入用戶名與密碼

（7）在“網(wǎng)絡(luò)地址”頁(yè)中，單擊“添加”按鈕，添加對(duì)方（東院內(nèi)網(wǎng)）***服務(wù)器所連接的內(nèi)網(wǎng)地址，本例為192.168.20.1～192.168.23.254，如圖9所示。

圖9 添加對(duì)方內(nèi)網(wǎng)地址

（8）在“點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)規(guī)則”頁(yè)中，創(chuàng)建指定的路由關(guān)系規(guī)則，在此添加名為“RRAS”的網(wǎng)絡(luò)，并創(chuàng)建“RRAS”與“內(nèi)部”網(wǎng)絡(luò)之間的關(guān)系，如圖10所示。

圖10 創(chuàng)建網(wǎng)絡(luò)關(guān)系

（9）在“點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)訪問規(guī)則”頁(yè)中，在ISA Server中添加“RRAS網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)”之間的訪問規(guī)則，在“將規(guī)則應(yīng)用于這些協(xié)議”下拉列表中選擇合適的協(xié)議，在本例中為“所有出站通訊”，如圖11所示。

圖11 允許所有協(xié)議

【說明】如果兩個(gè)內(nèi)網(wǎng)之間，需要一些非規(guī)則的端口，例如TCP的1234、8080等，則需要在雙方ISA Server中，添加這些協(xié)議。

（10）在“正在完成新建***點(diǎn)對(duì)點(diǎn)網(wǎng)絡(luò)向?qū)А表?yè)中，單擊“完成”按鈕，如圖12所示。

圖12 創(chuàng)建點(diǎn)對(duì)點(diǎn)連接完成

（11）向?qū)?huì)提示剩余的***任務(wù)“必須定義具有撥入權(quán)限的用戶帳戶，用戶帳戶名稱必須是RRAS”，如圖13所示。

圖13 剩余任務(wù)

返回到ISA Server，單擊“應(yīng)用”按鈕，讓設(shè)置生效，如圖14所示。

圖14 讓設(shè)置生效

接下來，在“計(jì)算機(jī)管理”中，創(chuàng)建名為RRAS的用戶，設(shè)置密碼為a1b2c#dF，并允許撥入權(quán)限，如圖15～17所示。

圖15 新建用戶

圖16 指定用戶信息

圖17 允許撥入

設(shè)置完成后，重新啟動(dòng)計(jì)算機(jī)，讓設(shè)置生效。

同樣，在東院的***服務(wù)器上，也做這些設(shè)置，只是注意其中的地址：

（1）在類似圖5的圖中，添加西院***服務(wù)器的外網(wǎng)地址。

（2）在類似圖6的圖中，添加192.168.250.111～192.168.250.121；

（3）在類似圖9的圖中，添加西院內(nèi)網(wǎng)的地址192.168.10.1～192.168.16.254。

其他完全一致。最后，重新啟動(dòng)?xùn)|院的***服務(wù)器。

以后，當(dāng)東院、西院的計(jì)算機(jī)，有訪問對(duì)方網(wǎng)段計(jì)算機(jī)的時(shí)候，***服務(wù)器會(huì)自動(dòng)撥號(hào)，并完成***路由的建立，讓兩個(gè)網(wǎng)絡(luò)間計(jì)算機(jī)可以直接通信。

4 與網(wǎng)通組建***的異同

如果由網(wǎng)通來建***路由，則網(wǎng)絡(luò)拓?fù)淙鐖D18所示。

圖18 網(wǎng)通***路由

只不過，這是用的網(wǎng)通的***設(shè)備而己。

后記：現(xiàn)在許多單位組建網(wǎng)絡(luò)，言必稱“內(nèi)、外網(wǎng)物理隔離”。在我認(rèn)為，嚴(yán)格意義上的物理隔離是不存在的。就是通過運(yùn)營(yíng)商來組建“內(nèi)網(wǎng)”，運(yùn)營(yíng)商也不會(huì)單獨(dú)為用戶“拉”一條或多條線路，單獨(dú)為某個(gè)用戶服務(wù)，它們也是通過技術(shù)手段（設(shè)備的或者管理的），從現(xiàn)有的鏈路中“分離”出一部分為，給用戶使用，所以，從這點(diǎn)上來說，完全意義上的物理隔離是不會(huì)存在的。另外，一個(gè)完全不設(shè)防的內(nèi)網(wǎng)網(wǎng)絡(luò)，任何一點(diǎn)被“***”或“攻破”，造成的損失或者后果，比一個(gè)處處加密的外網(wǎng)網(wǎng)絡(luò)，會(huì)更加安全?，F(xiàn)在網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全已經(jīng)比較可靠的今天，完全可以通過技術(shù)手段，例如***、證書、IPSEC，或者RMS（權(quán)限管理）等方法，在公共網(wǎng)絡(luò)（例如Internet），組建完全極高的***網(wǎng)絡(luò)，這一點(diǎn)也不亞于“物理隔離”的專線。

總結(jié)

以上是生活随笔為你收集整理的用ISA Server做***路由代替专线的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。