用ISAServer做小区宽带运营的服务器.docx
《用ISAServer做小区宽带运营的服务器.docx》由会员分享,可在线阅读,更多相关《用ISAServer做小区宽带运营的服务器.docx(11页珍藏版)》请在冰豆网上搜索。
用ISAServer做小区宽带运营的服务器
近期一个朋友接了个工程:
某小区物业,准备为本小区的1200多名用户提供宽带接入服务,该物业先期申请了10M的光纤,以后根据需要进行扩容。
朋友为每个楼层、每户布好了网线,交换机也已经安装到位。
原来准备用某硬件厂商提供的计费与拨号软件,但算下来成本太高(计费与拨号软件及相关设备得10万多元)。
朋友让我给提供个“低成本”的解决方案。
朋友的要求比较简单:
用户申请开通网络(用户费用每年一交,和ADSL类似),能管理用户,不开通用户不能上网(因为网线已经布到了每户门前)。
经过实地考核,又与小区物业管理人员交流,给出如下的解决方案:
(1)核心交换机用的是华为5300系列,该交换机支持4096个VLAN、支持DHCP服务器。
为每栋楼每个楼层划分一个VLAN(大约划分300多个),并配置DHCP服务器,为每个接入网络的计算机,自动分配IP地址、子网掩码与网关地址(可以不分配DNS)。
DHCP服务器采用172.16.0.0/27~172.16.40.0/27,这样,每个楼层有5户,每个楼层可使用的IP地址是29个,这样足以保证应用。
这样,接入用户的,采用自动获得IP地址的方式,只要接入网络,就可以获得一个IP地址,能连接到小区的网络中。
但这时,接入用户还不能访问Internet。
(2)购买一台服务器,安装WindowsServer2003与ISAServer,使用ISAServer做VPN服务器,在ISAServer中设置策略,只允许VPN用户访问Internet。
如果用户申请了开通宽带的服务,就在WindowsServer2003中,为其创建一个用户,并在用户属性中,设置“允许拨入”权限。
小区用户,在自己的计算机中,创建VPN拨号连接,使用为其分配的用户名、密码、指定ISAServer服务器的地址,拨号就可以上网。
规划后的网络拓扑图如下(简化拓扑图,更多交换机、光纤交换机没有列在图中)。
网络拓扑图
同时,有几个问题需要注意:
(1)静态路由与VPN地址分配问题
在ISAServer服务器上,设置“内网”网卡的地址是192.168.250.2/30,连接的华为5300系列交换机,单独创建一个VLAN,指定VLAN地址192.168.250.1,并在华为5300交换机上,设置到ISAServer的静态路由。
而在ISAServer服务器上,添加到172.16.0.0/16的静态路由。
为VPN用户分配172.17.0.1~172.17.7.254的地址段。
(2)用户速度限制问题:
初期可以在楼层交换机,每个连接用户的端口,设置端口速度为1MB。
(3)用户多次拨入问题:
可以在“用户属性”中,为每个用户指定静态IP地址,例如,为每个用户分配172.18.0.0段的地址,并修改ISAServer策略,只允许172.18.0.0的地址段访问外网。
而VPN用户如果第一次拨入,是用户指定的IP地址,如果第二次拨入(第一个拨号没有断开),则使用VPN服务器自动分配的地址172.17.0.0,这样在ISAServer策略中,是不允许访问外网的。
(4)为了简化用户的操作,使用AutoIT创建VPN拨号连接的脚本,让用户从ISAServer服务器下载(同时安装了IIS网站)。
(5)为了给用户提供更多的服务,在ISAServer服务器安装NOD32杀毒软件,为小区用户提供病毒库的升级。
下面介绍实现的主要步骤。
1安装配置WindowsServer2003
在一台双网卡的服务器上,安装WindowsServer2003企业版,同时安装“Internet信息服务”。
安装好系统后,打开“网络连接”,重命名每个网卡,对于连接到Internet的网卡,重命名为“Internet”,并设置IP地址、子网掩码、网关与DNS信息(由ISP提供)。
设置好后,当前计算机应该能访问Internet。
于另一个网卡,连接到5300核心交换机,设置IP地址为192.168.250.2,子网掩码为255.255.255.252,不要设置网关地址。
设置好后,进入命令提示符,添加到内网其他网段的静态路由:
routeadd–p172.16.0.0mask255.255.0.0192.168.250.1
添加静态路由后,使用ping命令,测试网络是否正常(可以ping其他VLAN的网关地址)。
然后,打开“Internet信息服务”,删除默认的网站,然后添加一个新的网站,该网站使用192.168.250.2的IP地址、启用“目录浏览”功能,网站目录为硬盘上的一个文件夹,该文件夹内保存NOD32杀毒软件与小区用户创建拨号连接的“脚本”程序。
安装好后,在浏览器中键入http:
//192.168.250.2,可以列出小区拨号软件(与其他要为用户提供的程序),如图2所示。
以后,小区用户只要访问该网站,就可以获得所需要的软件。
用户下载该脚本程序并运行,就可以自动完成VPN拨号连接的创建工作,简化了管理人员的负担。
附:
AutoIT创建VPN拨号脚本内容如下,你需要用AutoIT提供的工具“编译”成可执行程序提供给用户。
如果你的ISAServer服务器的地址不是192.168.250.2,请将下面的192.168.250.2换成你所需要的地址即可。
Run("control.exenetconnections")
WinWaitActive("网络连接","")
WinActive("网络连接","")
send("!
fn")
WinWaitActive("新建连接向导","")
WinActive("新建连接向导","")
send("!
n")
WinWaitActive("新建连接向导","连接到Internet")
WinActive("新建连接向导","连接到Internet")
send("!
on")
WinWaitActive("新建连接向导","虚拟专用网络连接")
WinActive("新建连接向导","虚拟专用网络连接")
send("!
vn")
WinWaitActive("新建连接向导","公司名")
WinActive("新建连接向导","公司名")
send("!
aADSL!
n")
sleep(1000)
ifWinActivate("新建连接向导","不拨初始连接")thensend("!
dn")
WinWaitActive("新建连接向导","主机名")
WinActive("新建连接向导","主机名")
send("!
h192.168.250.2!
n")
sleep(1000)
ifWinActivate("新建连接向导","")thensend("!
mn")
WinWaitActive("新建连接向导","正在完成新建连接向导")
WinActive("新建连接向导","正在完成新建连接向导")
send("!
s")
send("{ENTER}")
sleep(1000)
ifwinactive("网络连接","")Then
winwaitactive("网络连接","")
send("{enter}")
EndIf
2在ISAServer上启用VPN服务
在配置好WindowsServer2003后,安装ISAServer。
有关ISAServer的安装不做过多介绍,在此只介绍将ISAServer配置成VPN服务器、拨号用户设置、ISAServer策略的注意事项,关键步骤如下:
(1)为VPN客户端分配地址:
在“ISAServer管理控制台”中,在“虚拟专用网络(VPN)”选项中,在右侧的“任务”中单击“定义地址分配”链接,在弹出的“虚拟专用网络(VPN)属性”对话框中,在“地址分配”选项卡中,选择“静态地址池”,单击“添加”按钮,添加172.17.0.1~172.17.7.254的地址范围,如图3所示。
图3定义地址
(2)在定义地址后,在“虚拟专用网络(VPN)属性”对话框中,单击“高级”按钮,在弹出的“名称解析”对话框中,选中“使用下面的DNS服务器地址”,然后添加ISP提供的DNS地址,否则,VPN客户端将不能解析域名,如图4所示。
为VPN地址
(3)单击“访问网络”选项卡,去掉“外部”,选中“内部”,这样,VPN用户就只能通过“内部”网络拨号,而不是通过Internet接口拨号,如图5所示。
只能从“内部”拨号
(3)然后单击“启用VPN客户端访问”链接,启用VPN服务器,最后单击“应用”按钮,让ISAServer策略生效。
然后重新启动计算机。
3创建防火墙策略
再次进入系统后,配置以下ISAServer防火墙策略:
(1)允许“VPN客户端”以“所有出站通讯”协议访问“外部”,即允许VPN客户端访问Internet。
(2)允许“内部”以“HTTP协议”访问“本地计算机”,这样,内网用户就可以从ISAServer的Web服务器上浏览并下载拨号脚本与其他软件。
(3)允许“内部”ping“本地计算机”,这样用户就可以测试能否访问网关。
设置之后,让策略生效。
4创建用户并允许拨入权限
当ISAServer设置完毕后,进入“计算机管理→用户”,为开通宽带的用户,创建用户名、密码,并设置拨入权限,主要步骤如下:
(1)在创建新用户时,设置用户名,并填写“描述”信息,设置初始密码1234,并且选择“用户下次登录时须更改密码”,这样,当用户第一次用VPN拨号成功后,会弹出对话框,提示用户更改密码,这样防止其他人盗用帐号。
如图6所示。
创建帐户
(2)然后进入帐户属性页,在“拨入”选项卡中,选中“允许访问”。
如图7所示。
设置拨入权限
如果要限制每个用户“只能拨号一次”,则选中“分配静态IP地址”,并且为用户分配172.18.0.0之后的地址,例如为其分配172.19.0.0段的IP地址,需要注意,每个用户的地址不能相同,同时还要修改ISAServer的策略“禁用VPN用户访问外网功能,并创建只允许172.19.0.0的计算机访问外网”的策略。
5客户端策略
当服务器配置后好,并且给用户“开通”后,告诉用户从http:
//192.168.250.2下载软件,运行脚本程序后,自动在桌面创建名为“ADSL”的拨号连接,用户需要上网时,双击该链接,用户输入自己的帐户与初始密码1234,开始连接VPN服务器,如图8所示。
拨号
第一次拨叫成功后,会弹出“更改密码”的对话框,用户设置新的密码后,单击“确定”按钮,即可以访问外网。
如图9所示。
等用户下次拨号时,需要用新设置的密码。
更改密码
6其他问题
在为每个用户创建帐户时,要记录用户名与开通日期,并且在用户到期前催要费用。
如果用户到期没有续费,或者办理“暂停”业务,只需要进入“计算机管理→用户”中,禁用对应的帐户即可。
如果要想“自动禁用”到期帐户,可以将WindowsServer2003升级到“ActiveDirectory”,在“ActiveDirectory用户和计算机”中,可以设置每个帐户的到期时间。
但只为这一功能而配置ActiveDirectory服务器,并不是很好的选择。
另外,考虑到用户习惯使用“360”升级补丁,如果为了近一步减少出口带宽的浪费,可以在配置一台WSUS服务器,为小区的用户提供升级服务,这样,即方便了用户、加快了用户下载补丁的速度,还节约了出口带宽。