朋友公司的網(wǎng)線早在幾年前裝修時(shí)就已經(jīng)布好了，布線也相當(dāng)規(guī)范，每個(gè)房間都拉了兩根線，以作備份，所有的線都由機(jī)柜引出來(lái)，在機(jī)柜中接在配線架上，房間中則全部做在模塊里，現(xiàn)在是只差一臺(tái)交換機(jī)，所有計(jì)算機(jī)就可以聯(lián)網(wǎng)了（在這之前，只有某個(gè)安全部門實(shí)現(xiàn)了幾臺(tái)機(jī)器聯(lián)網(wǎng)），但由于一些原因，直到現(xiàn)在才準(zhǔn)備使用，于是我叫他提出要求，然后我再根據(jù)要求進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)及具體實(shí)施。他的要求是：
1， 調(diào)度室的一臺(tái)計(jì)算機(jī)需要24小時(shí)都能上網(wǎng)，而上網(wǎng)服務(wù)器只在每天的上午8點(diǎn)到下午6點(diǎn)開機(jī)；
2， 可以根據(jù)用戶、IP等限制客戶端上網(wǎng)；
3， 原網(wǎng)絡(luò)（以后就叫安全網(wǎng)）的某些計(jì)算機(jī)能夠訪問新網(wǎng)絡(luò)（以后就叫辦公網(wǎng)）的某些計(jì)算機(jī)，而辦公網(wǎng)不能訪問安全網(wǎng)；
4， 網(wǎng)上鄰居中大家都能看到；

網(wǎng)絡(luò)規(guī)劃

于是我根據(jù)他的要求和網(wǎng)絡(luò)的實(shí)際情況，作出了如圖1所示的網(wǎng)絡(luò)規(guī)劃，劃分了三個(gè)子網(wǎng)，下面先大致解釋一下是怎樣處理上面提到的要求的，具體實(shí)現(xiàn)后面將詳細(xì)講述。
1， 為了滿足第一個(gè)要求，我把ADSL貓先接在一臺(tái)小交換機(jī)上，然后調(diào)度室的計(jì)算機(jī)和上網(wǎng)服務(wù)器的外網(wǎng)卡再接在這臺(tái)交換機(jī)上，這樣當(dāng)上網(wǎng)服務(wù)器關(guān)機(jī)后，調(diào)度機(jī)就可自行撥號(hào)上網(wǎng)，而當(dāng)上網(wǎng)服務(wù)器開機(jī)后，調(diào)度機(jī)就斷線讓它撥號(hào)上網(wǎng)，然后再通過上網(wǎng)服務(wù)器訪問因特網(wǎng)，具體配置后面將講到。
2， 為了更好控制上網(wǎng)行為，這里將使用ISA Server 2004標(biāo)準(zhǔn)版作上網(wǎng)服務(wù)器和防火墻，為了方便管理和以后能夠在用戶級(jí)控制上網(wǎng)，這臺(tái)ISA服務(wù)器也將是一臺(tái)域控制器，當(dāng)然不建議大家把ISA裝在DC上，這里是沒有辦法的辦法，因?yàn)闆]有多余的計(jì)算機(jī)；
3， 為了物理隔離安全網(wǎng)與辦公網(wǎng)，這里使用了支持VLAN的交換機(jī)，原安全網(wǎng)不作變動(dòng)，直接連接到VLAN交換機(jī)的一個(gè)端口上，并把這個(gè)端口單獨(dú)定義成一個(gè)VLAN，其他的端口屬于另一個(gè)VLAN，不過這里的網(wǎng)絡(luò)環(huán)境有個(gè)特殊情況，由于每個(gè)房間只布了兩根網(wǎng)線，而這里在ISA的房間中只有一根網(wǎng)線能夠接在ISA的機(jī)器上，這就有了一個(gè)問題，因?yàn)檫@里要?jiǎng)澐謨蓚€(gè)VLAN，那么按傳統(tǒng)方法，ISA就必須準(zhǔn)備兩張網(wǎng)卡，然后分別與各自的VLAN相連，但這里卻只有一根網(wǎng)線可用，那一個(gè)好的辦法就是把ISA這個(gè)內(nèi)網(wǎng)卡所連接的端口劃分在兩個(gè)VLAN中，即說這個(gè)端口屬于兩個(gè)VLAN，是兩個(gè)VLAN的公共通道，這還需要交換機(jī)的支持，還好這里的交換機(jī)支持，不過這也需要在ISA的內(nèi)網(wǎng)卡配置兩個(gè)IP，以對(duì)應(yīng)不同的VLAN，這個(gè)windows是支持的，所以不成問題，具體配置后面講到。安全網(wǎng)與辦公網(wǎng)之間如果互訪則通過ISA的訪問規(guī)則進(jìn)行控制。
4， 因?yàn)榘踩W(wǎng)是另外一個(gè)域，也屬于另外一個(gè)子網(wǎng)，網(wǎng)上鄰居需要NetBios的支持，而NetBios的名稱解析如果使用廣播是不能跨越子網(wǎng)的，所以我們需要架設(shè)WINS服務(wù)器，這樣網(wǎng)上鄰居中才能看到兩個(gè)子網(wǎng)的計(jì)算機(jī)。


具體實(shí)施

（一） 安裝與配置域控制器
為了方便管理，新網(wǎng)絡(luò)（辦公網(wǎng)）192.168.6.0/24將以一個(gè)域網(wǎng)絡(luò)的形式出現(xiàn)，這里首先要做的就是安裝一臺(tái)域控制器，并且這臺(tái)域控制器也將作為ISA服務(wù)器，再次強(qiáng)調(diào)一下，不建議你將ISA安裝在域控制器上，這里是因?yàn)橛?jì)算機(jī)不夠用才走的下策。安裝的具體步驟我想就必細(xì)說了，這里大致提一下（假設(shè)已經(jīng)安裝好了windows server 2003）：
1，配置網(wǎng)卡
ISA外網(wǎng)卡（請(qǐng)與圖1對(duì)照）：
IP：192.168.5.1/24
網(wǎng)關(guān)：無(wú)
DNS：無(wú)
禁用“TCP/IP上的NetBIOS”，如圖2，
ISA內(nèi)網(wǎng)卡：
第一IP：192.168.6.1/24
第二IP：192.168.0.222/24（如圖3）
網(wǎng)關(guān)：無(wú)
DNS:192.168.6.1
WINS: 192.168.6.1
2，在運(yùn)行框中輸入Dcpromo命令把這臺(tái)服務(wù)器提升為域控制器，在提升過程中的“DNS注冊(cè)診斷”窗口選擇第二項(xiàng)“在這臺(tái)計(jì)算機(jī)上安裝并配置DNS服務(wù)器，并將這臺(tái)DNS服務(wù)器設(shè)為計(jì)算機(jī)的首選DNS服務(wù)器”，如圖4，大家一定要注意，DNS是域的重要組成部分，沒有正確配置的DNS你的域?qū)?huì)出現(xiàn)很多問題！
3，安裝完成后打開DNS管理控制臺(tái)，右擊服務(wù)器圖標(biāo)，進(jìn)入其屬性窗口，然后切換到轉(zhuǎn)發(fā)器標(biāo)簽，添加要轉(zhuǎn)發(fā)到的DNS服務(wù)器，這里也就是ISP提供的DNS服務(wù)器，如圖5。這樣配置之后客戶端進(jìn)行內(nèi)部訪問（如域登錄）時(shí)就使用內(nèi)部的DNS服務(wù)，訪問因特網(wǎng)時(shí)就由此DNS進(jìn)行轉(zhuǎn)發(fā)解析。
4，域控制器安裝完成后請(qǐng)將這臺(tái)服務(wù)器也安裝成WINS服務(wù)器，可以從“添加/刪除程序”下“添加刪除WINDOWS組件”中選擇“網(wǎng)絡(luò)服務(wù)”下的WINS安裝。
（二） 劃分VLAN
要把安全網(wǎng)與辦公網(wǎng)從物理上隔開就需要?jiǎng)澐諺LAN，當(dāng)你劃分了VLAN之后，即使用戶把自己的IP改成另一個(gè)VLAN子網(wǎng)內(nèi)的IP，它也是無(wú)法訪問那個(gè)子網(wǎng)內(nèi)的計(jì)算機(jī)的。這里把端口24單獨(dú)設(shè)置成一個(gè)VLAN，即安全網(wǎng)所連接的端口，其余端口劃分為一個(gè)VLAN，這里的關(guān)鍵是要把ISA內(nèi)網(wǎng)卡連接的端口劃在兩個(gè)VLAN中，這里ISA內(nèi)網(wǎng)卡連接的端口是Port 4，從圖6可以看出，我把它劃在了兩個(gè)VLAN中，內(nèi)網(wǎng)卡第一IP 192.168.6.1對(duì)應(yīng)辦公網(wǎng)，第二IP 192.168.0.222對(duì)應(yīng)原來(lái)的安全網(wǎng)。

（三） 在域控制器上安裝ISA Server 2004標(biāo)準(zhǔn)版
ISA Server 2004標(biāo)準(zhǔn)版的安裝很簡(jiǎn)單，《在線技術(shù)》以前的文章也已經(jīng)詳細(xì)講過，所以這里只提一下需要注意的地方，就是在進(jìn)入“內(nèi)部網(wǎng)絡(luò)”配置窗口時(shí)，請(qǐng)點(diǎn)擊添加按鈕，在彈出窗口中點(diǎn)擊“選擇網(wǎng)卡”按鈕，然后在新窗口中清除上面一個(gè)復(fù)選框，選中“基于windows路由表添加地址范圍”，在下面的網(wǎng)卡中選擇內(nèi)網(wǎng)卡，也就是你這里配置的內(nèi)網(wǎng)應(yīng)該包括192.168.6.0/24和192.168.0.0/24這兩個(gè)子網(wǎng)，不然后面的通訊會(huì)有問題，在ISA server 2004中，不管一塊網(wǎng)卡有多少個(gè)IP，它們都只能屬于一個(gè)相同的網(wǎng)絡(luò)，切記！

（四） 配置ISA服務(wù)器

默認(rèn)情況下，當(dāng)ISA server安裝好后，它會(huì)阻斷所有經(jīng)過它的網(wǎng)絡(luò)通信。要讓網(wǎng)絡(luò)之間進(jìn)行通訊，需要?jiǎng)?chuàng)建相應(yīng)的規(guī)則：網(wǎng)絡(luò)規(guī)則和訪問規(guī)則，二者缺一不可。
1， 配置撥號(hào)首選項(xiàng)
由于這里使用的是ADSL連接，首先需要在ISA管理窗口中為它配置撥號(hào)首選項(xiàng)，進(jìn)入ISA管理窗口，定位到configuration/General下，然后點(diǎn)擊右窗格中的specify Dial-up Preferences項(xiàng)，在彈出的窗口中選擇allow automatic dialing to this network，然后選擇External項(xiàng)，并選中下面的configure this dial-up conncetion as the default gateway，接著在Dial-up connection中選擇你創(chuàng)建好的ADSL連接（需要你預(yù)先在系統(tǒng)的“網(wǎng)絡(luò)連接”窗口中使用“新建連接向?qū)А眲?chuàng)建好），選擇之后在下面的dial-up account欄設(shè)置好你ADSL撥號(hào)使用的帳戶和密碼，以便ISA自動(dòng)撥號(hào)，如圖7。
2， 配置辦公網(wǎng)訪問ISA上的域服務(wù)（包括WINS服務(wù)）
由于ISA服務(wù)器同時(shí)又是域控制器，所以需要?jiǎng)?chuàng)建相應(yīng)的訪問規(guī)則辦公網(wǎng)的客戶端才能登錄域。各項(xiàng)參數(shù)如下：
Rule Action:Allow
Protocols:（ISA中的名字）
DNS
kerberos-sec(TCP)
kerberos-sec(UDP)
LDAP
LDAP(UDP)
LDAP(Global catalog)
Microsoft CIFS(TCP)
Netbios Datagram
Netbios Name Service
Netbios Session
NTP(UDP)
RPC(all interfaces)
Access Rule Sources:新建一個(gè)subnet，IP范圍為192.168.6.0/24，如圖8；
Access Rule Destinationsocal Host
User set:All Users
3， 配置辦公網(wǎng)上網(wǎng)進(jìn)行WEB瀏覽
配置辦公網(wǎng)上網(wǎng)與上面一樣，只是協(xié)議和目標(biāo)需要改變一下，由于上面已經(jīng)允許了DNS，所以協(xié)議就只需要HTTP和HTTPS協(xié)議，Access Rule Destinations變?yōu)镋xternal即可。
4， 配置安全網(wǎng)訪問辦公網(wǎng)的文件共享
安全網(wǎng)訪問辦公網(wǎng)是通過ISA路由的，雖然對(duì)ISA來(lái)說它們都被定義在一個(gè)內(nèi)網(wǎng)中，但它們之間的通訊仍然要通過ISA（因?yàn)橛蠽LAN隔離），所以也要?jiǎng)?chuàng)建相應(yīng)的訪問規(guī)則，具體參數(shù)如下：
Rule Action:Allow
Protocol: Microsoft CIFS(TCP)
Netbios Datagram
Netbios Name Service
Netbios Session
Access Rule Source:新建一個(gè)subnet，IP范圍是192.168.0.0/24
Access Rule Destinations:subnet 192.168.6.0/24
user set: All Users
5， 配置調(diào)度機(jī)上網(wǎng)
從圖1可以看出，調(diào)度機(jī)位于子網(wǎng)192.168.5.0/24中，它不屬于內(nèi)網(wǎng)，它是與ISA外網(wǎng)卡相關(guān)聯(lián)的網(wǎng)絡(luò)，要讓調(diào)度機(jī)上網(wǎng)，我們需要先創(chuàng)建相應(yīng)的網(wǎng)絡(luò)和網(wǎng)絡(luò)規(guī)則，步驟如下：
（1） 調(diào)度機(jī)的IP配置（不加入域）
IP：192.168.5.3/24
網(wǎng)關(guān)：192.168.5.1
DNS:221.5.203.98
（2） 在ISA上創(chuàng)建調(diào)度機(jī)所在的網(wǎng)絡(luò)，方法是右擊configuration/networks，選擇新建/Network，各項(xiàng)參數(shù)如下：
Network type:External network
Network Addresses:192.168.5.0/24
（3）創(chuàng)建此網(wǎng)絡(luò)與External網(wǎng)絡(luò)的網(wǎng)絡(luò)規(guī)則，關(guān)系為NAT，要訪問內(nèi)網(wǎng)的話，還要?jiǎng)?chuàng)建與內(nèi)網(wǎng)的網(wǎng)絡(luò)規(guī)則為Route，與本地主機(jī)的網(wǎng)絡(luò)規(guī)則默認(rèn)就為路由，不能再創(chuàng)建。
（4）創(chuàng)建訪問規(guī)則，各項(xiàng)參數(shù)如下：
Rule Action:Allow
Protocols: DNS、HTTP、HTTPS
Access Rule Sources:新建一個(gè)computer，IP為192.168.5.3
Access Rule Destinations:External
User set:All Users

（五）配置ISA自動(dòng)開機(jī)和自動(dòng)關(guān)機(jī)
配置ISA服務(wù)器自動(dòng)開機(jī)，這很簡(jiǎn)單，因?yàn)锽IOS支持在某個(gè)時(shí)間自動(dòng)開機(jī)，比如是每天早上8：00開機(jī)，在BIOS中作相應(yīng)配置就行，BIOS可以設(shè)置自動(dòng)開機(jī)，但可惜不能配置自動(dòng)關(guān)機(jī)，比如需要每天下午6：00鐘自動(dòng)關(guān)機(jī)，這時(shí)可以下載一個(gè)專門的關(guān)機(jī)軟件來(lái)實(shí)現(xiàn)，比如我這里就是使用的阿達(dá)自動(dòng)關(guān)機(jī)，它可以配置每天在指定的時(shí)間自動(dòng)關(guān)機(jī)，具體使用大家一看就知道，這里不再細(xì)說。
（六）配置調(diào)度機(jī)自動(dòng)撥號(hào)和自動(dòng)斷線
ISA的自動(dòng)撥號(hào)前面已經(jīng)介紹了，現(xiàn)在來(lái)看看調(diào)度機(jī)（192.168.5.3）怎樣實(shí)現(xiàn)自動(dòng)撥號(hào)和自動(dòng)斷線，我們理想的情況是當(dāng)ISA關(guān)機(jī)后調(diào)度機(jī)就自動(dòng)撥號(hào)上網(wǎng)，而每天早上8點(diǎn)在ISA開機(jī)后它又應(yīng)該自動(dòng)斷開連接，以讓ISA撥號(hào)，這個(gè)我們可以通過系統(tǒng)的內(nèi)置功能實(shí)現(xiàn)，也就是由任務(wù)計(jì)劃和系統(tǒng)的rasdial命令一起來(lái)實(shí)現(xiàn)，實(shí)現(xiàn)自動(dòng)撥號(hào)的步驟如下：
1， 在調(diào)度機(jī)上運(yùn)行“任務(wù)計(jì)劃向?qū)А保缓笤诔绦蛑羞x擇windows\system32系統(tǒng)目錄下的rasdial.exe程序；
2， 然后在下一步定義好運(yùn)行時(shí)間，比如18:01，
3， 接下來(lái)輸入運(yùn)行此程序的用戶名和密碼，通常就是當(dāng)前登錄用戶，在最后的完成窗口中選中“在單擊完成時(shí)，打開此任務(wù)的高級(jí)屬性”，然后我們需要在彈出窗口的運(yùn)行欄中rasdial.exe命令后加入adsl user password參數(shù)，其中的ADSL是你為ADSL連接創(chuàng)建的撥號(hào)名，如果不清楚，可以到“開始/設(shè)置/網(wǎng)絡(luò)連接”中找到，user是你ADSL的帳戶名，Password就是撥號(hào)的密碼了，如圖9。

與上面實(shí)現(xiàn)自動(dòng)撥號(hào)相似，要實(shí)現(xiàn)早上8:00鐘自動(dòng)斷開連接也可以使用任務(wù)計(jì)劃加rasdial，只是圖中rasdial后參數(shù)變成adsl /disconnect就行了，這里就不再多說了，自己變動(dòng)一下即可。

（七） 客戶端配置
辦公網(wǎng)的IP范圍是192.168.6.0/24，客戶端全部加入ISA所在域CJGG.COM，DNS、網(wǎng)關(guān)和Wins都指向ISA的內(nèi)網(wǎng)卡192.168.6.1。
安全網(wǎng)的IP范圍是192.168.0.0/24，屬于另外一個(gè)域CYCW.COM，所以DNS要指向此域的DNS服務(wù)器，然后在這個(gè)域的DNS服務(wù)器上啟用轉(zhuǎn)發(fā)，而網(wǎng)關(guān)指向192.168.0.222，WINS指向192.168.6.1。這里注意要將此域的域控制器的網(wǎng)關(guān)也指向192.168.0.222，WINS也要指向192.168.6.1，這樣可以在網(wǎng)上鄰居中看到兩個(gè)子網(wǎng)的計(jì)算機(jī)列表，不過也只是能夠看到列表，要想在網(wǎng)上鄰居中訪問另一個(gè)子網(wǎng)中的計(jì)算機(jī)，還需要像上面第四部分第4節(jié)一樣配置相應(yīng)的訪問規(guī)則才行。
另外現(xiàn)在朋友的網(wǎng)絡(luò)都是基于IP地址來(lái)限制訪問的，還沒有基于用戶限制，所以客戶端現(xiàn)在也沒有安裝防火墻客戶端，而且如果要基于用戶來(lái)限制的話，由于安全網(wǎng)屬于另外一個(gè)域（非同一個(gè)森林），所以還需要手動(dòng)建立兩個(gè)域之間的信任關(guān)系才能實(shí)現(xiàn)基于用戶限制，這又是另外一篇文章的內(nèi)容了，如果可能，下次再談吧。