1, 調度室的一臺計算機需要24小時都能上網,而上網服務器只在每天的上午8點到下午6點開機;
2, 可以根據用戶、IP等限制客戶端上網;
3, 原網絡(以后就叫安全網)的某些計算機能夠訪問新網絡(以后就叫辦公網)的某些計算機,而辦公網不能訪問安全網;
4, 網上鄰居中大家都能看到;
網絡規劃
于是我根據他的要求和網絡的實際情況,作出了如圖1所示的網絡規劃,劃分了三個子網,下面先大致解釋一下是怎樣處理上面提到的要求的,具體實現后面將詳細講述。
1, 為了滿足第一個要求,我把ADSL貓先接在一臺小交換機上,然后調度室的計算機和上網服務器的外網卡再接在這臺交換機上,這樣當上網服務器關機后,調度機就可自行撥號上網,而當上網服務器開機后,調度機就斷線讓它撥號上網,然后再通過上網服務器訪問因特網,具體配置后面將講到。
2, 為了更好控制上網行為,這里將使用ISA Server 2004標準版作上網服務器和防火墻,為了方便管理和以后能夠在用戶級控制上網,這臺ISA服務器也將是一臺域控制器,當然不建議大家把ISA裝在DC上,這里是沒有辦法的辦法,因為沒有多余的計算機;
3, 為了物理隔離安全網與辦公網,這里使用了支持VLAN的交換機,原安全網不作變動,直接連接到VLAN交換機的一個端口上,并把這個端口單獨定義成一個VLAN,其他的端口屬于另一個VLAN,不過這里的網絡環境有個特殊情況,由于每個房間只布了兩根網線,而這里在ISA的房間中只有一根網線能夠接在ISA的機器上,這就有了一個問題,因為這里要劃分兩個VLAN,那么按傳統方法,ISA就必須準備兩張網卡,然后分別與各自的VLAN相連,但這里卻只有一根網線可用,那一個好的辦法就是把ISA這個內網卡所連接的端口劃分在兩個VLAN中,即說這個端口屬于兩個VLAN,是兩個VLAN的公共通道,這還需要交換機的支持,還好這里的交換機支持,不過這也需要在ISA的內網卡配置兩個IP,以對應不同的VLAN,這個windows是支持的,所以不成問題,具體配置后面講到。安全網與辦公網之間如果互訪則通過ISA的訪問規則進行控制。
4, 因為安全網是另外一個域,也屬于另外一個子網,網上鄰居需要NetBios的支持,而NetBios的名稱解析如果使用廣播是不能跨越子網的,所以我們需要架設WINS服務器,這樣網上鄰居中才能看到兩個子網的計算機。
具體實施
(一) 安裝與配置域控制器
為了方便管理,新網絡(辦公網)192.168.6.0/24將以一個域網絡的形式出現,這里首先要做的就是安裝一臺域控制器,并且這臺域控制器也將作為ISA服務器,再次強調一下,不建議你將ISA安裝在域控制器上,這里是因為計算機不夠用才走的下策。安裝的具體步驟我想就必細說了,這里大致提一下(假設已經安裝好了windows server 2003):
1,配置網卡
ISA外網卡(請與圖1對照):
IP:192.168.5.1/24
網關:無
DNS:無
禁用“TCP/IP上的NetBIOS”,如圖2,
ISA內網卡:
第一IP:192.168.6.1/24
第二IP:192.168.0.222/24(如圖3)
網關:無
DNS:192.168.6.1
WINS: 192.168.6.1
2,在運行框中輸入Dcpromo命令把這臺服務器提升為域控制器,在提升過程中的“DNS注冊診斷”窗口選擇第二項“在這臺計算機上安裝并配置DNS服務器,并將這臺DNS服務器設為計算機的首選DNS服務器”,如圖4,大家一定要注意,DNS是域的重要組成部分,沒有正確配置的DNS你的域將會出現很多問題!
3,安裝完成后打開DNS管理控制臺,右擊服務器圖標,進入其屬性窗口,然后切換到轉發器標簽,添加要轉發到的DNS服務器,這里也就是ISP提供的DNS服務器,如圖5。這樣配置之后客戶端進行內部訪問(如域登錄)時就使用內部的DNS服務,訪問因特網時就由此DNS進行轉發解析。
4,域控制器安裝完成后請將這臺服務器也安裝成WINS服務器,可以從“添加/刪除程序”下“添加刪除WINDOWS組件”中選擇“網絡服務”下的WINS安裝。
(二) 劃分VLAN
要把安全網與辦公網從物理上隔開就需要劃分VLAN,當你劃分了VLAN之后,即使用戶把自己的IP改成另一個VLAN子網內的IP,它也是無法訪問那個子網內的計算機的。這里把端口24單獨設置成一個VLAN,即安全網所連接的端口,其余端口劃分為一個VLAN,這里的關鍵是要把ISA內網卡連接的端口劃在兩個VLAN中,這里ISA內網卡連接的端口是Port 4,從圖6可以看出,我把它劃在了兩個VLAN中,內網卡第一IP 192.168.6.1對應辦公網,第二IP 192.168.0.222對應原來的安全網。
(三) 在域控制器上安裝ISA Server 2004標準版
ISA Server 2004標準版的安裝很簡單,《在線技術》以前的文章也已經詳細講過,所以這里只提一下需要注意的地方,就是在進入“內部網絡”配置窗口時,請點擊添加按鈕,在彈出窗口中點擊“選擇網卡”按鈕,然后在新窗口中清除上面一個復選框,選中“基于windows路由表添加地址范圍”,在下面的網卡中選擇內網卡,也就是你這里配置的內網應該包括192.168.6.0/24和192.168.0.0/24這兩個子網,不然后面的通訊會有問題,在ISA server 2004中,不管一塊網卡有多少個IP,它們都只能屬于一個相同的網絡,切記!
(四) 配置ISA服務器
默認情況下,當ISA server安裝好后,它會阻斷所有經過它的網絡通信。要讓網絡之間進行通訊,需要創建相應的規則:網絡規則和訪問規則,二者缺一不可。
1, 配置撥號首選項
由于這里使用的是ADSL連接,首先需要在ISA管理窗口中為它配置撥號首選項,進入ISA管理窗口,定位到configuration/General下,然后點擊右窗格中的specify Dial-up Preferences項,在彈出的窗口中選擇allow automatic dialing to this network,然后選擇External項,并選中下面的configure this dial-up conncetion as the default gateway,接著在Dial-up connection中選擇你創建好的ADSL連接(需要你預先在系統的“網絡連接”窗口中使用“新建連接向導”創建好),選擇之后在下面的dial-up account欄設置好你ADSL撥號使用的帳戶和密碼,以便ISA自動撥號,如圖7。
2, 配置辦公網訪問ISA上的域服務(包括WINS服務)
由于ISA服務器同時又是域控制器,所以需要創建相應的訪問規則辦公網的客戶端才能登錄域。各項參數如下:
Rule Action:Allow
Protocols:(ISA中的名字)
DNS
kerberos-sec(TCP)
kerberos-sec(UDP)
LDAP
LDAP(UDP)
LDAP(Global catalog)
Microsoft CIFS(TCP)
Netbios Datagram
Netbios Name Service
Netbios Session
NTP(UDP)
RPC(all interfaces)
Access Rule Sources:新建一個subnet,IP范圍為192.168.6.0/24,如圖8;
Access Rule Destinations
![]("http://bbs.51cto.com/images/smilies/sweat.gif")
ocal HostUser set:All Users
3, 配置辦公網上網進行WEB瀏覽
配置辦公網上網與上面一樣,只是協議和目標需要改變一下,由于上面已經允許了DNS,所以協議就只需要HTTP和HTTPS協議,Access Rule Destinations變為External即可。
4, 配置安全網訪問辦公網的文件共享
安全網訪問辦公網是通過ISA路由的,雖然對ISA來說它們都被定義在一個內網中,但它們之間的通訊仍然要通過ISA(因為有VLAN隔離),所以也要創建相應的訪問規則,具體參數如下:
Rule Action:Allow
Protocol: Microsoft CIFS(TCP)
Netbios Datagram
Netbios Name Service
Netbios Session
Access Rule Source:新建一個subnet,IP范圍是192.168.0.0/24
Access Rule Destinations:subnet 192.168.6.0/24
user set: All Users
5, 配置調度機上網
從圖1可以看出,調度機位于子網192.168.5.0/24中,它不屬于內網,它是與ISA外網卡相關聯的網絡,要讓調度機上網,我們需要先創建相應的網絡和網絡規則,步驟如下:
(1) 調度機的IP配置(不加入域)
IP:192.168.5.3/24
網關:192.168.5.1
DNS:221.5.203.98
(2) 在ISA上創建調度機所在的網絡,方法是右擊configuration/networks,選擇新建/Network,各項參數如下:
Network type:External network
Network Addresses:192.168.5.0/24
(3)創建此網絡與External網絡的網絡規則,關系為NAT,要訪問內網的話,還要創建與內網的網絡規則為Route,與本地主機的網絡規則默認就為路由,不能再創建。
(4)創建訪問規則,各項參數如下:
Rule Action:Allow
Protocols: DNS、HTTP、HTTPS
Access Rule Sources:新建一個computer,IP為192.168.5.3
Access Rule Destinations:External
User set:All Users
(五)配置ISA自動開機和自動關機
配置ISA服務器自動開機,這很簡單,因為BIOS支持在某個時間自動開機,比如是每天早上8:00開機,在BIOS中作相應配置就行,BIOS可以設置自動開機,但可惜不能配置自動關機,比如需要每天下午6:00鐘自動關機,這時可以下載一個專門的關機軟件來實現,比如我這里就是使用的阿達自動關機,它可以配置每天在指定的時間自動關機,具體使用大家一看就知道,這里不再細說。
(六)配置調度機自動撥號和自動斷線
ISA的自動撥號前面已經介紹了,現在來看看調度機(192.168.5.3)怎樣實現自動撥號和自動斷線,我們理想的情況是當ISA關機后調度機就自動撥號上網,而每天早上8點在ISA開機后它又應該自動斷開連接,以讓ISA撥號,這個我們可以通過系統的內置功能實現,也就是由任務計劃和系統的rasdial命令一起來實現,實現自動撥號的步驟如下:
1, 在調度機上運行“任務計劃向導”,然后在程序中選擇windows\system32系統目錄下的rasdial.exe程序;
2, 然后在下一步定義好運行時間,比如18:01,
3, 接下來輸入運行此程序的用戶名和密碼,通常就是當前登錄用戶,在最后的完成窗口中選中“在單擊完成時,打開此任務的高級屬性”,然后我們需要在彈出窗口的運行欄中rasdial.exe命令后加入adsl user password參數,其中的ADSL是你為ADSL連接創建的撥號名,如果不清楚,可以到“開始/設置/網絡連接”中找到,user是你ADSL的帳戶名,Password就是撥號的密碼了,如圖9。
與上面實現自動撥號相似,要實現早上8:00鐘自動斷開連接也可以使用任務計劃加rasdial,只是圖中rasdial后參數變成adsl /disconnect就行了,這里就不再多說了,自己變動一下即可。
(七) 客戶端配置
辦公網的IP范圍是192.168.6.0/24,客戶端全部加入ISA所在域CJGG.COM,DNS、網關和Wins都指向ISA的內網卡192.168.6.1。
安全網的IP范圍是192.168.0.0/24,屬于另外一個域CYCW.COM,所以DNS要指向此域的DNS服務器,然后在這個域的DNS服務器上啟用轉發,而網關指向192.168.0.222,WINS指向192.168.6.1。這里注意要將此域的域控制器的網關也指向192.168.0.222,WINS也要指向192.168.6.1,這樣可以在網上鄰居中看到兩個子網的計算機列表,不過也只是能夠看到列表,要想在網上鄰居中訪問另一個子網中的計算機,還需要像上面第四部分第4節一樣配置相應的訪問規則才行。
另外現在朋友的網絡都是基于IP地址來限制訪問的,還沒有基于用戶限制,所以客戶端現在也沒有安裝防火墻客戶端,而且如果要基于用戶來限制的話,由于安全網屬于另外一個域(非同一個森林),所以還需要手動建立兩個域之間的信任關系才能實現基于用戶限制,這又是另外一篇文章的內容了,如果可能,下次再談吧。
