近期一個朋友接了個工程:某小區物業,準備爲本小區的1200多名用戶提供寬帶接入服務,該物業先期申請了10M的光纖,以後根據需要進行擴容。朋友爲每個樓層、每戶布好了網線,交換機也已經安裝到位。原來準備用某硬件廠商提供的計費與撥號軟件,但算下來成本太高(計費與撥號軟件及相關設備得10萬多元)。朋友讓我給提供個“低成本”的解決方案。朋友的要求比較簡單:用戶申請開通網絡(用戶費用每年一交,和ADSL類似),能管理用戶,不開通用戶不能上網(因爲網線已經布到了每戶門前)。
經過實地考覈,又與小區物業管理人員交流,給出如下的解決方案:
(1)核心交換機用的是華爲5300系列,該交換機支持4096個VLAN、支持DHCP服務器。爲每棟樓每個樓層劃分一個VLAN(大約劃分300多個),並配置DHCP服務器,爲每個接入網絡的計算機,自動分配IP地址、子網掩碼與網關地址(可以不分配DNS)。DHCP服務器採用172.16.0.0/27~172.16.40.0/27,這樣,每個樓層有5戶,每個樓層可使用的IP地址是29個,這樣足以保證應用。這樣,接入用戶的,採用自動獲得IP地址的方式,只要接入網絡,就可以獲得一個IP地址,能連接到小區的網絡中。但這時,接入用戶還不能訪問Internet。
(2)購買一臺服務器,安裝Windows Server 2003與ISA Server,使用ISA Server做***服務器,在ISA Server中設置策略,只允許***用戶訪問Internet。如果用戶申請了開通寬帶的服務,就在Windows Server 2003中,爲其創建一個用戶,並在用戶屬性中,設置“允許撥入”權限。小區用戶,在自己的計算機中,創建***撥號連接,使用爲其分配的用戶名、密碼、指定ISA Server服務器的地址,撥號就可以上網。
規劃後的網絡拓撲圖如下(簡化拓撲圖,更多交換機、光纖交換機沒有列在圖中)。 ![]()
網絡拓撲圖
同時,有幾個問題需要注意:
(1)靜態路由與***地址分配問題
在ISA Server服務器上,設置“內網”網卡的地址是192.168.250.2/30,連接的華爲5300系列交換機,單獨創建一個VLAN,指定VLAN地址192.168.250.1,並在華爲5300交換機上,設置到ISA Server的靜態路由。而在ISA Server服務器上,添加到172.16.0.0/16的靜態路由。
爲***用戶分配172.17.0.1~172.17.7.254的地址段。
(2)用戶速度限制問題:初期可以在樓層交換機,每個連接用戶的端口,設置端口速度爲1MB。
(3)用戶多次撥入問題:可以在“用戶屬性”中,爲每個用戶指定靜態IP地址,例如,爲每個用戶分配172.18.0.0段的地址,並修改ISA Server策略,只允許172.18.0.0的地址段訪問外網。而***用戶如果第一次撥入,是用戶指定的IP地址,如果第二次撥入(第一個撥號沒有斷開),則使用***服務器自動分配的地址172.17.0.0,這樣在ISA Server策略中,是不允許訪問外網的。
(4)爲了簡化用戶的操作,使用AutoIT創建***撥號連接的腳本,讓用戶從ISA Server服務器下載(同時安裝了IIS網站)。
(5)爲了給用戶提供更多的服務,在ISA Server服務器安裝NOD32殺毒軟件,爲小區用戶提供病毒庫的升級。
下面介紹實現的主要步驟。
1 安裝配置Windows Server 2003
![clip_image004]( "clip_image004")
本文出自 51CTO.COM技術博客在一臺雙網卡的服務器上,安裝Windows Server 2003企業版,同時安裝“Internet信息服務”。
安裝好系統後,打開“網絡連接”,重命名每個網卡,對於連接到Internet的網卡,重命名爲“Internet”,並設置IP地址、子網掩碼、網關與DNS信息(由ISP提供)。設置好後,當前計算機應該能訪問Internet。於另一個網卡,連接到5300核心交換機,設置IP地址爲192.168.250.2,子網掩碼爲255.255.255.252,不要設置網關地址。設置好後,進入命令提示符,添加到內網其他網段的靜態路由:
route add –p 172.16.0.0 mask 255.255.0.0 192.168.250.1
添加靜態路由後,使用ping命令,測試網絡是否正常(可以ping其他VLAN的網關地址)。
然後,打開“Internet信息服務”,刪除默認的網站,然後添加一個新的網站,該網站使用192.168.250.2的IP地址、啓用“目錄瀏覽”功能,網站目錄爲硬盤上的一個文件夾,該文件夾內保存NOD32殺毒軟件與小區用戶創建撥號連接的“腳本”程序。安裝好後,在瀏覽器中鍵入http://192.168.250.2,可以列出小區撥號軟件(與其他要爲用戶提供的程序),如圖2所示。
以後,小區用戶只要訪問該網站,就可以獲得所需要的軟件。用戶下載該腳本程序並運行,就可以自動完成***撥號連接的創建工作,簡化了管理人員的負擔。
附:AutoIT創建***撥號腳本內容如下,你需要用AutoIT提供的工具“編譯”成可執行程序提供給用戶。如果你的ISA Server服務器的地址不是192.168.250.2,請將下面的192.168.250.2換成你所需要的地址即可。
Run("control.exe netconnections")
WinWaitActive("網絡連接","")
WinActive("網絡連接","")
send("!fn")
WinWaitActive("新建連接嚮導","")
WinActive("新建連接嚮導","")
send("!n")
WinWaitActive("新建連接嚮導","連接到 Internet")
WinActive("新建連接嚮導","連接到 Internet")
send("!on")
WinWaitActive("新建連接嚮導","虛擬專用網絡連接")
WinActive("新建連接嚮導","虛擬專用網絡連接")
send("!vn")
WinWaitActive("新建連接嚮導","公司名")
WinActive("新建連接嚮導","公司名")
send("!aADSL!n")
sleep(1000)
if WinActivate("新建連接嚮導","不撥初始連接") then send("!dn")
WinWaitActive("新建連接嚮導","主機名")
WinActive("新建連接嚮導","主機名")
send("!h192.168.250.2!n")
sleep(1000)
if WinActivate("新建連接嚮導","") then send("!mn")
WinWaitActive("新建連接嚮導","正在完成新建連接嚮導")
WinActive("新建連接嚮導","正在完成新建連接嚮導")
send("!s")
send("{ENTER}")
sleep(1000)
if winactive("網絡連接","") Then
winwaitactive("網絡連接","")
send("{enter}")
EndIf
2 在ISA Server上啓用***服務
![clip_image006]( "clip_image006")
![clip_image008]( "clip_image008")
![clip_image010]( "clip_image010")
在配置好Windows Server 2003後,安裝ISA Server。有關ISA Server的安裝不做過多介紹,在此只介紹將ISA Server配置成***服務器、撥號用戶設置、ISA Server策略的注意事項,關鍵步驟如下:
(1)爲***客戶端分配地址:在“ISA Server管理控制檯”中,在“虛擬專用網絡(***)”選項中,在右側的“任務”中單擊“定義地址分配”鏈接,在彈出的“虛擬專用網絡(***)屬性”對話框中,在“地址分配”選項卡中,選擇“靜態地址池”,單擊“添加”按鈕,添加172.17.0.1~172.17.7.254的地址範圍,如圖3所示。
圖3 定義地址
(2)在定義地址後,在“虛擬專用網絡(***)屬性”對話框中,單擊“高級”按鈕,在彈出的“名稱解析”對話框中,選中“使用下面的DNS服務器地址”,然後添加ISP提供的DNS地址,否則,***客戶端將不能解析域名,如圖4所示。
爲***地址
(3)單擊“訪問網絡”選項卡,去掉“外部”,選中“內部”,這樣,***用戶就只能通過“內部”網絡撥號,而不是通過Internet接口撥號,如圖5所示。
只能從“內部”撥號
(3)然後單擊“啓用***客戶端訪問”鏈接,啓用***服務器,最後單擊“應用”按鈕,讓ISA Server策略生效。然後重新啓動計算機。
3 創建防火牆策略
再次進入系統後,配置以下ISA Server防火牆策略:
(1)允許“***客戶端”以“所有出站通訊”協議訪問“外部”,即允許***客戶端訪問Internet。
(2)允許“內部”以“HTTP協議”訪問“本地計算機”,這樣,內網用戶就可以從ISA Server的Web服務器上瀏覽並下載撥號腳本與其他軟件。
(3)允許“內部”ping“本地計算機”,這樣用戶就可以測試能否訪問網關。
設置之後,讓策略生效。
4 創建用戶並允許撥入權限
![clip_image012]( "clip_image012")
![clip_image014]( "clip_image014")
![clip_image016]( "clip_image016")
![clip_image018]( "clip_image018")
當ISA Server設置完畢後,進入“計算機管理→用戶”,爲開通寬帶的用戶,創建用戶名、密碼,並設置撥入權限,主要步驟如下:
(1)在創建新用戶時,設置用戶名,並填寫“描述”信息,設置初始密碼1234,並且選擇“用戶下次登錄時須更改密碼”,這樣,當用戶第一次用***撥號成功後,會彈出對話框,提示用戶更改密碼,這樣防止其他人盜用帳號。如圖6所示。
創建帳戶
(2)然後進入帳戶屬性頁,在“撥入”選項卡中,選中“允許訪問”。如圖7所示。
設置撥入權限
如果要限制每個用戶“只能撥號一次”,則選中“分配靜態IP地址”,並且爲用戶分配172.18.0.0之後的地址,例如爲其分配 172.19.0.0段的IP地址,需要注意,每個用戶的地址不能相同,同時還要修改ISA Server的策略“禁用 ***用戶訪問外網功能,並創建只允許 172.19.0.0的計算機訪問外網”的策略。
5 客戶端策略
當服務器配置後好,並且給用戶“開通”後,告訴用戶從http://192.168.250.2下載軟件,運行腳本程序後,自動在桌面創建名爲“ADSL”的撥號連接,用戶需要上網時,雙擊該鏈接,用戶輸入自己的帳戶與初始密碼1234,開始連接***服務器,如圖8所示。
撥號
第一次撥叫成功後,會彈出“更改密碼”的對話框,用戶設置新的密碼後,單擊“確定”按鈕,即可以訪問外網。如圖9所示。等用戶下次撥號時,需要用新設置的密碼。
更改密碼
6 其他問題
在爲每個用戶創建帳戶時,要記錄用戶名與開通日期,並且在用戶到期前催要費用。如果用戶到期沒有續費,或者辦理“暫停”業務,只需要進入“計算機管理→用戶”中,禁用對應的帳戶即可。
如果要想“自動禁用”到期帳戶,可以將Windows Server 2003升級到“Active Directory”,在“Active Directory用戶和計算機”中,可以設置每個帳戶的到期時間。但只爲這一功能而配置Active Directory服務器,並不是很好的選擇。
另外,考慮到用戶習慣使用“360”升級補丁,如果爲了近一步減少出口帶寬的浪費,可以在配置一臺WSUS服務器,爲小區的用戶提供升級服務,這樣,即方便了用戶、加快了用戶下載補丁的速度,還節約了出口帶寬。