用ISAServer做小区宽带运营的服务器.docx

1、用ISAServer做小区宽带运营的服务器近期一个朋友接了个工程：某小区物业，准备为本小区的1200多名用户提供宽带接入服务，该物业先期申请了10M的光纤，以后根据需要进行扩容。朋友为每个楼层、每户布好了网线，交换机也已经安装到位。原来准备用某硬件厂商提供的计费与拨号软件，但算下来成本太高（计费与拨号软件及相关设备得10万多元）。朋友让我给提供个“低成本”的解决方案。朋友的要求比较简单：用户申请开通网络（用户费用每年一交，和ADSL类似），能管理用户，不开通用户不能上网（因为网线已经布到了每户门前）。 经过实地考核，又与小区物业管理人员交流，给出如下的解决方案： （1）核心交换机用的是华为53

2、00系列，该交换机支持4096个VLAN、支持DHCP服务器。为每栋楼每个楼层划分一个VLAN（大约划分300多个），并配置DHCP服务器，为每个接入网络的计算机，自动分配IP地址、子网掩码与网关地址（可以不分配DNS）。DHCP服务器采用172.16.0.0/27172.16.40.0/27，这样，每个楼层有5户，每个楼层可使用的IP地址是29个，这样足以保证应用。这样，接入用户的，采用自动获得IP地址的方式，只要接入网络，就可以获得一个IP地址，能连接到小区的网络中。但这时，接入用户还不能访问Internet。 （2）购买一台服务器，安装Windows Server 2003与ISA Se

3、rver，使用ISA Server做VPN服务器，在ISA Server中设置策略，只允许VPN用户访问Internet。如果用户申请了开通宽带的服务，就在Windows Server 2003中，为其创建一个用户，并在用户属性中，设置“允许拨入”权限。小区用户，在自己的计算机中，创建VPN拨号连接，使用为其分配的用户名、密码、指定ISA Server服务器的地址，拨号就可以上网。 规划后的网络拓扑图如下（简化拓扑图，更多交换机、光纤交换机没有列在图中）。 网络拓扑图 同时，有几个问题需要注意： （1）静态路由与VPN地址分配问题 在ISA Server服务器上，设置“内网”网卡的地址是192

4、.168.250.2/30,连接的华为5300系列交换机，单独创建一个VLAN，指定VLAN地址192.168.250.1,并在华为5300交换机上，设置到ISA Server的静态路由。而在ISA Server服务器上，添加到172.16.0.0/16的静态路由。 为VPN用户分配172.17.0.1172.17.7.254的地址段。 （2）用户速度限制问题：初期可以在楼层交换机，每个连接用户的端口，设置端口速度为1MB。 （3）用户多次拨入问题：可以在“用户属性”中，为每个用户指定静态IP地址，例如，为每个用户分配172.18.0.0段的地址，并修改ISA Server策略，只允许172.

5、18.0.0的地址段访问外网。而VPN用户如果第一次拨入，是用户指定的IP地址，如果第二次拨入（第一个拨号没有断开），则使用VPN服务器自动分配的地址172.17.0.0,这样在ISA Server策略中，是不允许访问外网的。 （4）为了简化用户的操作，使用AutoIT创建VPN拨号连接的脚本，让用户从ISA Server服务器下载（同时安装了IIS网站）。 （5）为了给用户提供更多的服务，在ISA Server服务器安装NOD32杀毒软件，为小区用户提供病毒库的升级。 下面介绍实现的主要步骤。 1 安装配置Windows Server 2003 在一台双网卡的服务器上，安装Windows S

6、erver 2003企业版，同时安装“Internet信息服务”。 安装好系统后，打开“网络连接”，重命名每个网卡，对于连接到Internet的网卡，重命名为“Internet”，并设置IP地址、子网掩码、网关与DNS信息（由ISP提供）。设置好后，当前计算机应该能访问Internet。于另一个网卡，连接到5300核心交换机，设置IP地址为192.168.250.2,子网掩码为255.255.255.252，不要设置网关地址。设置好后，进入命令提示符，添加到内网其他网段的静态路由： route add p 172.16.0.0 mask 255.255.0.0 192.168.250.1 添加

7、静态路由后，使用ping命令，测试网络是否正常（可以ping其他VLAN的网关地址）。然后，打开“Internet信息服务”，删除默认的网站，然后添加一个新的网站，该网站使用192.168.250.2的IP地址、启用“目录浏览”功能，网站目录为硬盘上的一个文件夹，该文件夹内保存NOD32杀毒软件与小区用户创建拨号连接的“脚本”程序。安装好后，在浏览器中键入http:/192.168.250.2，可以列出小区拨号软件（与其他要为用户提供的程序），如图2所示。 以后，小区用户只要访问该网站，就可以获得所需要的软件。用户下载该脚本程序并运行，就可以自动完成VPN拨号连接的创建工作，简化了管理人员的负

8、担。附：AutoIT创建VPN拨号脚本内容如下，你需要用AutoIT提供的工具“编译”成可执行程序提供给用户。如果你的ISA Server服务器的地址不是192.168.250.2,请将下面的192.168.250.2换成你所需要的地址即可。Run(control.exe netconnections) WinWaitActive(网络连接,)WinActive(网络连接,)send(!fn)WinWaitActive(新建连接向导,)WinActive(新建连接向导,)send(!n)WinWaitActive(新建连接向导,连接到 Internet)WinActive(新建连接向导,连接到

9、 Internet)send(!on)WinWaitActive(新建连接向导,虚拟专用网络连接)WinActive(新建连接向导,虚拟专用网络连接)send(!vn)WinWaitActive(新建连接向导,公司名)WinActive(新建连接向导,公司名)send(!aADSL!n)sleep(1000)if WinActivate(新建连接向导,不拨初始连接) then send(!dn)WinWaitActive(新建连接向导,主机名)WinActive(新建连接向导,主机名)send(!h192.168.250.2!n)sleep(1000)if WinActivate(新建连接向导

10、,) then send(!mn)WinWaitActive(新建连接向导,正在完成新建连接向导)WinActive(新建连接向导,正在完成新建连接向导)send(!s)send(ENTER)sleep(1000)if winactive(网络连接,) Then winwaitactive(网络连接,) send(enter)EndIf2 在ISA Server上启用VPN服务 在配置好Windows Server 2003后，安装ISA Server。有关ISA Server的安装不做过多介绍，在此只介绍将ISA Server配置成VPN服务器、拨号用户设置、ISA Server策略的注意事

11、项，关键步骤如下： （1）为VPN客户端分配地址：在“ISA Server管理控制台”中，在“虚拟专用网络（VPN）”选项中，在右侧的“任务”中单击“定义地址分配”链接，在弹出的“虚拟专用网络（VPN）属性”对话框中，在“地址分配”选项卡中，选择“静态地址池”，单击“添加”按钮，添加172.17.0.1172.17.7.254的地址范围，如图3所示。 图3 定义地址 （2）在定义地址后，在“虚拟专用网络（VPN）属性”对话框中，单击“高级”按钮，在弹出的“名称解析”对话框中，选中“使用下面的DNS服务器地址”，然后添加ISP提供的DNS地址，否则，VPN客户端将不能解析域名，如图4所示。 为V

12、PN地址 （3）单击“访问网络”选项卡，去掉“外部”，选中“内部”，这样，VPN用户就只能通过“内部”网络拨号，而不是通过Internet接口拨号，如图5所示。 只能从“内部”拨号 （3）然后单击“启用VPN客户端访问”链接，启用VPN服务器，最后单击“应用”按钮，让ISA Server策略生效。然后重新启动计算机。 3 创建防火墙策略 再次进入系统后，配置以下ISA Server防火墙策略： （1）允许“VPN客户端”以“所有出站通讯”协议访问“外部”，即允许VPN客户端访问Internet。 （2）允许“内部”以“HTTP协议”访问“本地计算机”，这样，内网用户就可以从ISA Server

13、的Web服务器上浏览并下载拨号脚本与其他软件。 （3）允许“内部”ping“本地计算机”，这样用户就可以测试能否访问网关。 设置之后，让策略生效。 4 创建用户并允许拨入权限 当ISA Server设置完毕后，进入“计算机管理用户”，为开通宽带的用户，创建用户名、密码，并设置拨入权限，主要步骤如下： （1）在创建新用户时，设置用户名，并填写“描述”信息，设置初始密码1234,并且选择“用户下次登录时须更改密码”，这样，当用户第一次用VPN拨号成功后，会弹出对话框，提示用户更改密码，这样防止其他人盗用帐号。如图6所示。 创建帐户 （2）然后进入帐户属性页，在“拨入”选项卡中，选中“允许访问”。如

14、图7所示。 设置拨入权限 如果要限制每个用户“只能拨号一次”，则选中“分配静态IP地址”，并且为用户分配172.18.0.0之后的地址，例如为其分配 172.19.0.0段的IP地址，需要注意，每个用户的地址不能相同，同时还要修改ISA Server的策略“禁用 VPN用户访问外网功能，并创建只允许 172.19.0.0的计算机访问外网”的策略。 5 客户端策略 当服务器配置后好，并且给用户“开通”后，告诉用户从http:/192.168.250.2下载软件，运行脚本程序后，自动在桌面创建名为“ADSL”的拨号连接，用户需要上网时，双击该链接，用户输入自己的帐户与初始密码1234,开始连接VP

15、N服务器，如图8所示。 拨号 第一次拨叫成功后，会弹出“更改密码”的对话框，用户设置新的密码后，单击“确定”按钮，即可以访问外网。如图9所示。等用户下次拨号时，需要用新设置的密码。 更改密码 6 其他问题 在为每个用户创建帐户时，要记录用户名与开通日期，并且在用户到期前催要费用。如果用户到期没有续费，或者办理“暂停”业务，只需要进入“计算机管理用户”中，禁用对应的帐户即可。 如果要想“自动禁用”到期帐户，可以将Windows Server 2003升级到“Active Directory”，在“Active Directory用户和计算机”中，可以设置每个帐户的到期时间。但只为这一功能而配置Active Directory服务器，并不是很好的选择。 另外，考虑到用户习惯使用“360”升级补丁，如果为了近一步减少出口带宽的浪费，可以在配置一台WSUS服务器，为小区的用户提供升级服务，这样，即方便了用户、加快了用户下载补丁的速度，还节约了出口带宽。