用ISA Server做***路由代替专线

最新推荐文章于 2021-04-29 00:10:07 发布

原创最新推荐文章于 2021-04-29 00:10:07 发布 · 77 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#网络 #运维

本文介绍了一种通过配置***路由实现低成本的政府东院与西院内网互联的方法，避免了高昂的光纤租赁费用。利用现有Internet连接和ISAServer搭建***，实现了两院间的数据互通。

近日给政府做网络改造与升级的工程，在工程的后期，该政府分为“东院”与“西院”，原来东院与西院各有一条到网通的Internet线路，由于在本次网络工程中，还增加了“内网”的网络改造（现在大多数政府都有“外网—即连接到Internet的网络”，还有“内网—不能连接到Internet的内部网络”）。东院和西院只有不到2公里的距离，原来准备让“网通”公司给拉一条“东院”到“西院”的光纤，但到了工程的后期，网通公司说只能和连接Internet一样，租用他们提供的数字电路或者***，2M的链路每个月大约1200元的费用，这与我们的预算相差太大—原准备是让网通工程人员一次性从东院到西院拉一条光纤，最大几千元。而这样下来，每年就得1万4，长期使用费用太高。

考虑到内网的数据量并不大，而现在东院、西院各有8M的Internet连接，而每个地方都有剩余的IP地址（子网掩码都是255.255.255.248），这样，可以通过做***路由的方式，将东、西院的内网连接在一起，这样只需要准备两台计算机或者两个路由器的价钱，一次投资，免费使用。

如图1所示，这是本次网络改造的拓扑图，分别在东、西院增加一台服务器，做***路由。

图1 组建***路由

1 在东、西院内网交换机上配置静态路由

因为要创建***路由，所以，分别在东、西院内网的核心交换机上，再各增加一个***，用来配置路由。在此，在西院交换机上，添加192.168.250.0/30的VLAN100,该VLAN100的IP地址设置为192.168.250.1,连接***服务器的网卡的IP地址设置为192.168.250.2/30（子网掩码为255.255.255.252），在西院交换机上，添加到东院地址段的静态路由：

ip route-static 192.168.20.0 255.255.255.0 192.168.250.2

ip route-static 192.168.21.0 255.255.255.0 192.168.250.2

ip route-static 192.168.22.0 255.255.255.0 192.168.250.2

ip route-static 192.168.23.0 255.255.255.0 192.168.250.2

在东院的交换机上，添加192.168.250.4/30的VLAN100,该VLAN100的IP地址设置为192.168.250.5,连接***服务器的网卡的IP地址设置为192.168.250.6/30,在东院核心交换机上，添加到西院内网地址段的静态路由：

ip route-static 192.168.10.0 255.255.255.0 192.168.250.6

ip route-static 192.168.11.0 255.255.255.0 192.168.250.6

ip route-static 192.168.12.0 255.255.255.0 192.168.250.6

ip route-static 192.168.13.0 255.255.255.0 192.168.250.6

ip route-static 192.168.14.0 255.255.255.0 192.168.250.6

ip route-static 192.168.15.0 255.255.255.0 192.168.250.6

ip route-static 192.168.16.0 255.255.255.0 192.168.250.6

2 为***服务器添加静态路由

分别在东、西院的***服务器上，安装好Windows Server 2003,将网线连接好，一条连接到Internet，将连接到Internet的网卡重命名为“wan”，设置好网通分配的IP地址、子网掩码、网关（可以不用设置DNS，因为不需要通过域名访问Internet）；另一条连接到内网的核心交换机的VLAN100所在端口，设置好IP地址、子网掩码，不要设置网关，重命名这个网卡为“lan”。

然后进入命令提示符，添加到所在交换机其他网段的静态路由。其中，西院***服务器，内网网卡的IP地址为192.168.250.2,子网掩码为255.255.255.252,进入命令提示符，添加到西院内网网段的静态路由：

route add -p 192.168.10.0 mask 255.255.255.0 192.168.250.1

route add -p 192.168.11.0 mask 255.255.255.0 192.168.250.1

route add -p 192.168.12.0 mask 255.255.255.0 192.168.250.1

route add -p 192.168.13.0 mask 255.255.255.0 192.168.250.1

route add -p 192.168.14.0 mask 255.255.255.0 192.168.250.1

route add -p 192.168.15.0 mask 255.255.255.0 192.168.250.1

route add -p 192.168.16.0 mask 255.255.255.0 192.168.250.1

在东院的***服务器，内网网卡的IP地址为192.168.250.6,子网掩码为255.255.255.252,进入命令提示符，添加到东院内网网段的静态路由：

route add -p 192.168.20.0 mask 255.255.255.0 192.168.250.5

route add -p 192.168.21.0 mask 255.255.255.0 192.168.250.5

route add -p 192.168.22.0 mask 255.255.255.0 192.168.250.5

route add -p 192.168.23.0 mask 255.255.255.0 192.168.250.5

3 安装ISA Server、创建***站点间路由

创建好静态路由后，安装ISA Server（过程略去，在安装的过程中，选择“内部网络”时，选择名为“lan”的网络适配器），然后配置***站点间路由。

在西院的***服务器上，进入ISA Server管理控制台，创建到东院的***站点间路由，主要步骤如下：

（1）在“虚拟专用网络（***）→远程站点”，在右侧单击“创建***点对点连接”，如图2所示。

图2 创建***点对点连接

（2）在“欢迎使用创建***点对点连接向导”页中，在“点对点网络名称”处，键入一个名称，此名称与远程拨号用户名一致，所以最好创建一个英文的名称。在本例中为RRAS，如图3所示。

图3 设置点对点网络名称

（3）在“***协议”页中，选择“点对点隧道协议（PPTP）”，如图4所示。

图4 选择PPTP协议

此时，连接向导会发出提示：“要启用连接性，必须有匹配网络名称的用户帐户”，如图5所示。

图5 提示信息

（4）在“本地网络***设置”页中，为传入的***客户端分配IP地址，此处分配的地方不应该与两端内网地址、***服务器地址重合，在此添加192.168.250.100～192.168.250.110（地址太多也没用，一般设置10个地址却可），如图6所示。

图6 设置***客户端地址

（5）在“远程站点网关”页中，在“远程站点***服务器”地址框中，键入对方（此处为东院）***服务器的广域网的地址，本例为202.206.197.198,如图7所示。

图7 键入对端***服务器的IP地址

（6）在“远程身份验证”处，添加对方***服务器为本方***服务器创建的远程连接用户名及密码，为了简化配置，双方的用户名与密码都相同，所以，在本例中，设置用户名为rras，设置密码为a1b2c#dF（注意大小写，在实际中设置其他复杂密码），如图8所示。

图8 设置对端***服务器创建的远程拨入用户名与密码

（7）在“网络地址”页中，单击“添加”按钮，添加对方（东院内网）***服务器所连接的内网地址，本例为192.168.20.1～192.168.23.254，如图9所示。

图9 添加对方内网地址

（8）在“点对点网络规则”页中，创建指定的路由关系规则，在此添加名为“RRAS”的网络，并创建“RRAS”与“内部”网络之间的关系，如图10所示。

图10 创建网络关系

（9）在“点对点网络访问规则”页中，在ISA Server中添加“RRAS网络与内部网络”之间的访问规则，在“将规则应用于这些协议”下拉列表中选择合适的协议，在本例中为“所有出站通讯”，如图11所示。

图11 允许所有协议

【说明】如果两个内网之间，需要一些非规则的端口，例如TCP的1234、8080等，则需要在双方ISA Server中，添加这些协议。

（10）在“正在完成新建***点对点网络向导”页中，单击“完成”按钮，如图12所示。

图12 创建点对点连接完成

（11）向导会提示剩余的***任务“必须定义具有拨入权限的用户帐户，用户帐户名称必须是RRAS”，如图13所示。

图13 剩余任务

返回到ISA Server，单击“应用”按钮，让设置生效，如图14所示。

图14 让设置生效

接下来，在“计算机管理”中，创建名为RRAS的用户，设置密码为a1b2c#dF，并允许拨入权限，如图15～17所示。

图15 新建用户

图16 指定用户信息

图17 允许拨入

设置完成后，重新启动计算机，让设置生效。

同样，在东院的***服务器上，也做这些设置，只是注意其中的地址：

（1）在类似图5的图中，添加西院***服务器的外网地址。

（2）在类似图6的图中，添加192.168.250.111～192.168.250.121；

（3）在类似图9的图中，添加西院内网的地址192.168.10.1～192.168.16.254。

其他完全一致。最后，重新启动东院的***服务器。

以后，当东院、西院的计算机，有访问对方网段计算机的时候，***服务器会自动拨号，并完成***路由的建立，让两个网络间计算机可以直接通信。

4 与网通组建***的异同

如果由网通来建***路由，则网络拓扑如图18所示。

图18 网通***路由

只不过，这是用的网通的***设备而己。

后记：现在许多单位组建网络，言必称“内、外网物理隔离”。在我认为，严格意义上的物理隔离是不存在的。就是通过运营商来组建“内网”，运营商也不会单独为用户“拉”一条或多条线路，单独为某个用户服务，它们也是通过技术手段（设备的或者管理的），从现有的链路中“分离”出一部分为，给用户使用，所以，从这点上来说，完全意义上的物理隔离是不会存在的。另外，一个完全不设防的内网网络，任何一点被“***”或“攻破”，造成的损失或者后果，比一个处处加密的外网网络，会更加安全。现在网络技术、网络安全已经比较可靠的今天，完全可以通过技术手段，例如***、证书、IPSEC，或者RMS（权限管理）等方法，在公共网络（例如Internet），组建完全极高的***网络，这一点也不亚于“物理隔离”的专线。