用ISAServer做小区宽带运营的服务器.docx

用ISAServer做小区宽带运营的服务器.docx

《用ISAServer做小区宽带运营的服务器.docx》由会员分享，可在线阅读，更多相关《用ISAServer做小区宽带运营的服务器.docx（11页珍藏版）》请在冰豆网上搜索。

用ISAServer做小区宽带运营的服务器

近期一个朋友接了个工程：

某小区物业，准备为本小区的1200多名用户提供宽带接入服务，该物业先期申请了10M的光纤，以后根据需要进行扩容。

朋友为每个楼层、每户布好了网线，交换机也已经安装到位。

原来准备用某硬件厂商提供的计费与拨号软件，但算下来成本太高（计费与拨号软件及相关设备得10万多元）。

朋友让我给提供个“低成本”的解决方案。

朋友的要求比较简单：

用户申请开通网络（用户费用每年一交，和ADSL类似），能管理用户，不开通用户不能上网（因为网线已经布到了每户门前）。

 经过实地考核，又与小区物业管理人员交流，给出如下的解决方案：

（1）核心交换机用的是华为5300系列，该交换机支持4096个VLAN、支持DHCP服务器。

为每栋楼每个楼层划分一个VLAN（大约划分300多个），并配置DHCP服务器，为每个接入网络的计算机，自动分配IP地址、子网掩码与网关地址（可以不分配DNS）。

DHCP服务器采用172.16.0.0/27～172.16.40.0/27，这样，每个楼层有5户，每个楼层可使用的IP地址是29个，这样足以保证应用。

这样，接入用户的，采用自动获得IP地址的方式，只要接入网络，就可以获得一个IP地址，能连接到小区的网络中。

但这时，接入用户还不能访问Internet。

（2）购买一台服务器，安装WindowsServer2003与ISAServer，使用ISAServer做VPN服务器，在ISAServer中设置策略，只允许VPN用户访问Internet。

如果用户申请了开通宽带的服务，就在WindowsServer2003中，为其创建一个用户，并在用户属性中，设置“允许拨入”权限。

小区用户，在自己的计算机中，创建VPN拨号连接，使用为其分配的用户名、密码、指定ISAServer服务器的地址，拨号就可以上网。

 规划后的网络拓扑图如下（简化拓扑图，更多交换机、光纤交换机没有列在图中）。

网络拓扑图

同时，有几个问题需要注意：

（1）静态路由与VPN地址分配问题

在ISAServer服务器上，设置“内网”网卡的地址是192.168.250.2/30,连接的华为5300系列交换机，单独创建一个VLAN，指定VLAN地址192.168.250.1,并在华为5300交换机上，设置到ISAServer的静态路由。

而在ISAServer服务器上，添加到172.16.0.0/16的静态路由。

为VPN用户分配172.17.0.1～172.17.7.254的地址段。

（2）用户速度限制问题：

初期可以在楼层交换机，每个连接用户的端口，设置端口速度为1MB。

（3）用户多次拨入问题：

可以在“用户属性”中，为每个用户指定静态IP地址，例如，为每个用户分配172.18.0.0段的地址，并修改ISAServer策略，只允许172.18.0.0的地址段访问外网。

而VPN用户如果第一次拨入，是用户指定的IP地址，如果第二次拨入（第一个拨号没有断开），则使用VPN服务器自动分配的地址172.17.0.0,这样在ISAServer策略中，是不允许访问外网的。

（4）为了简化用户的操作，使用AutoIT创建VPN拨号连接的脚本，让用户从ISAServer服务器下载（同时安装了IIS网站）。

（5）为了给用户提供更多的服务，在ISAServer服务器安装NOD32杀毒软件，为小区用户提供病毒库的升级。

下面介绍实现的主要步骤。

1安装配置WindowsServer2003

在一台双网卡的服务器上，安装WindowsServer2003企业版，同时安装“Internet信息服务”。

安装好系统后，打开“网络连接”，重命名每个网卡，对于连接到Internet的网卡，重命名为“Internet”，并设置IP地址、子网掩码、网关与DNS信息（由ISP提供）。

设置好后，当前计算机应该能访问Internet。

于另一个网卡，连接到5300核心交换机，设置IP地址为192.168.250.2,子网掩码为255.255.255.252，不要设置网关地址。

设置好后，进入命令提示符，添加到内网其他网段的静态路由：

routeadd–p172.16.0.0mask255.255.0.0192.168.250.1

添加静态路由后，使用ping命令，测试网络是否正常（可以ping其他VLAN的网关地址）。

然后，打开“Internet信息服务”，删除默认的网站，然后添加一个新的网站，该网站使用192.168.250.2的IP地址、启用“目录浏览”功能，网站目录为硬盘上的一个文件夹，该文件夹内保存NOD32杀毒软件与小区用户创建拨号连接的“脚本”程序。

安装好后，在浏览器中键入http:

//192.168.250.2，可以列出小区拨号软件（与其他要为用户提供的程序），如图2所示。

以后，小区用户只要访问该网站，就可以获得所需要的软件。

用户下载该脚本程序并运行，就可以自动完成VPN拨号连接的创建工作，简化了管理人员的负担。

附：

AutoIT创建VPN拨号脚本内容如下，你需要用AutoIT提供的工具“编译”成可执行程序提供给用户。

如果你的ISAServer服务器的地址不是192.168.250.2,请将下面的192.168.250.2换成你所需要的地址即可。

Run（"control.exenetconnections"）

WinWaitActive（"网络连接",""）

WinActive（"网络连接",""）

send（"!

fn"）

WinWaitActive（"新建连接向导",""）

WinActive（"新建连接向导",""）

send（"!

n"）

WinWaitActive（"新建连接向导","连接到Internet"）

WinActive（"新建连接向导","连接到Internet"）

send（"!

on"）

WinWaitActive（"新建连接向导","虚拟专用网络连接"）

WinActive（"新建连接向导","虚拟专用网络连接"）

send（"!

vn"）

WinWaitActive（"新建连接向导","公司名"）

WinActive（"新建连接向导","公司名"）

send（"!

aADSL!

n"）

sleep（1000）

ifWinActivate（"新建连接向导","不拨初始连接"）thensend（"!

dn"）

WinWaitActive（"新建连接向导","主机名"）

WinActive（"新建连接向导","主机名"）

send（"!

h192.168.250.2!

n"）

sleep（1000）

ifWinActivate（"新建连接向导",""）thensend（"!

mn"）

WinWaitActive（"新建连接向导","正在完成新建连接向导"）

WinActive（"新建连接向导","正在完成新建连接向导"）

send（"!

s"）

send（"{ENTER}"）

sleep（1000）

ifwinactive（"网络连接",""）Then

winwaitactive（"网络连接",""）

send（"{enter}"）

EndIf

2在ISAServer上启用VPN服务

在配置好WindowsServer2003后，安装ISAServer。

有关ISAServer的安装不做过多介绍，在此只介绍将ISAServer配置成VPN服务器、拨号用户设置、ISAServer策略的注意事项，关键步骤如下：

（1）为VPN客户端分配地址：

在“ISAServer管理控制台”中，在“虚拟专用网络（VPN）”选项中，在右侧的“任务”中单击“定义地址分配”链接，在弹出的“虚拟专用网络（VPN）属性”对话框中，在“地址分配”选项卡中，选择“静态地址池”，单击“添加”按钮，添加172.17.0.1～172.17.7.254的地址范围，如图3所示。

图3定义地址

（2）在定义地址后，在“虚拟专用网络（VPN）属性”对话框中，单击“高级”按钮，在弹出的“名称解析”对话框中，选中“使用下面的DNS服务器地址”，然后添加ISP提供的DNS地址，否则，VPN客户端将不能解析域名，如图4所示。

为VPN地址

（3）单击“访问网络”选项卡，去掉“外部”，选中“内部”，这样，VPN用户就只能通过“内部”网络拨号，而不是通过Internet接口拨号，如图5所示。

只能从“内部”拨号

（3）然后单击“启用VPN客户端访问”链接，启用VPN服务器，最后单击“应用”按钮，让ISAServer策略生效。

然后重新启动计算机。

3创建防火墙策略

再次进入系统后，配置以下ISAServer防火墙策略：

（1）允许“VPN客户端”以“所有出站通讯”协议访问“外部”，即允许VPN客户端访问Internet。

（2）允许“内部”以“HTTP协议”访问“本地计算机”，这样，内网用户就可以从ISAServer的Web服务器上浏览并下载拨号脚本与其他软件。

（3）允许“内部”ping“本地计算机”，这样用户就可以测试能否访问网关。

设置之后，让策略生效。

4创建用户并允许拨入权限

当ISAServer设置完毕后，进入“计算机管理→用户”，为开通宽带的用户，创建用户名、密码，并设置拨入权限，主要步骤如下：

（1）在创建新用户时，设置用户名，并填写“描述”信息，设置初始密码1234,并且选择“用户下次登录时须更改密码”，这样，当用户第一次用VPN拨号成功后，会弹出对话框，提示用户更改密码，这样防止其他人盗用帐号。

如图6所示。

创建帐户

（2）然后进入帐户属性页，在“拨入”选项卡中，选中“允许访问”。

如图7所示。

设置拨入权限

如果要限制每个用户“只能拨号一次”，则选中“分配静态IP地址”，并且为用户分配172.18.0.0之后的地址，例如为其分配172.19.0.0段的IP地址，需要注意，每个用户的地址不能相同，同时还要修改ISAServer的策略“禁用VPN用户访问外网功能，并创建只允许172.19.0.0的计算机访问外网”的策略。

5客户端策略

当服务器配置后好，并且给用户“开通”后，告诉用户从http:

//192.168.250.2下载软件，运行脚本程序后，自动在桌面创建名为“ADSL”的拨号连接，用户需要上网时，双击该链接，用户输入自己的帐户与初始密码1234,开始连接VPN服务器，如图8所示。

拨号

第一次拨叫成功后，会弹出“更改密码”的对话框，用户设置新的密码后，单击“确定”按钮，即可以访问外网。

如图9所示。

等用户下次拨号时，需要用新设置的密码。

 更改密码

6其他问题

  在为每个用户创建帐户时，要记录用户名与开通日期，并且在用户到期前催要费用。

如果用户到期没有续费，或者办理“暂停”业务，只需要进入“计算机管理→用户”中，禁用对应的帐户即可。

   如果要想“自动禁用”到期帐户，可以将WindowsServer2003升级到“ActiveDirectory”，在“ActiveDirectory用户和计算机”中，可以设置每个帐户的到期时间。

但只为这一功能而配置ActiveDirectory服务器，并不是很好的选择。

   另外，考虑到用户习惯使用“360”升级补丁，如果为了近一步减少出口带宽的浪费，可以在配置一台WSUS服务器，为小区的用户提供升级服务，这样，即方便了用户、加快了用户下载补丁的速度，还节约了出口带宽。