朋友公司的网线早在几年前装修时就已经布好了,布线也相当规范,每个房间都拉了两根线,以作备份,所有的线都由机柜引出来,在机柜中接在配线架上,房间中则全部做在模块里,现在是只差一台交换机,所有计算机就可以联网了(在这之前,只有某个安全部门实现了几台机器联网),但由于一些原因,直到现在才准备使用,于是我叫他提出要求,然后我再根据要求进行网络设计及具体实施。他的要求是:
1, 调度室的一台计算机需要24小时都能上网,而上网服务器只在每天的上午8点到下午6点开机;
2, 可以根据用户、IP等限制客户端上网;
3, 原网络(以后就叫安全网)的某些计算机能够访问新网络(以后就叫办公网)的某些计算机,而办公网不能访问安全网;
4, 网上邻居中大家都能看到;
网络规划
于是我根据他的要求和网络的实际情况,作出了如图1所示的网络规划,划分了三个子网,下面先大致解释一下是怎样处理上面提到的要求的,具体实现后面将详细讲述。
1, 为了满足第一个要求,我把ADSL猫先接在一台小交换机上,然后调度室的计算机和上网服务器的外网卡再接在这台交换机上,这样当上网服务器关机后,调度机就可自行拨号上网,而当上网服务器开机后,调度机就断线让它拨号上网,然后再通过上网服务器访问因特网,具体配置后面将讲到。
2, 为了更好控制上网行为,这里将使用ISA Server 2004标准版作上网服务器和防火墙,为了方便管理和以后能够在用户级控制上网,这台ISA服务器也将是一台域控制器,当然不建议大家把ISA装在DC上,这里是没有办法的办法,因为没有多余的计算机;
3, 为了物理隔离安全网与办公网,这里使用了支持VLAN的交换机,原安全网不作变动,直接连接到VLAN交换机的一个端口上,并把这个端口单独定义成一个VLAN,其他的端口属于另一个VLAN,不过这里的网络环境有个特殊情况,由于每个房间只布了两根网线,而这里在ISA的房间中只有一根网线能够接在ISA的机器上,这就有了一个问题,因为这里要划分两个VLAN,那么按传统方法,ISA就必须准备两张网卡,然后分别与各自的VLAN相连,但这里却只有一根网线可用,那一个好的办法就是把ISA这个内网卡所连接的端口划分在两个VLAN中,即说这个端口属于两个VLAN,是两个VLAN的公共通道,这还需要交换机的支持,还好这里的交换机支持,不过这也需要在ISA的内网卡配置两个IP,以对应不同的VLAN,这个windows是支持的,所以不成问题,具体配置后面讲到。安全网与办公网之间如果互访则通过ISA的访问规则进行控制。
4, 因为安全网是另外一个域,也属于另外一个子网,网上邻居需要NetBios的支持,而NetBios的名称解析如果使用广播是不能跨越子网的,所以我们需要架设WINS服务器,这样网上邻居中才能看到两个子网的计算机。
具体实施
(一) 安装与配置域控制器
为了方便管理,新网络(办公网)192.168.6.0/24将以一个域网络的形式出现,这里首先要做的就是安装一台域控制器,并且这台域控制器也将作为ISA服务器,再次强调一下,不建议你将ISA安装在域控制器上,这里是因为计算机不够用才走的下策。安装的具体步骤我想就必细说了,这里大致提一下(假设已经安装好了windows server 2003):
1,配置网卡
ISA外网卡(请与图1对照):
IP:192.168.5.1/24
网关:无
DNS:无
禁用“TCP/IP上的NetBIOS”,如图2,
ISA内网卡:
第一IP:192.168.6.1/24
第二IP:192.168.0.222/24(如图3)
网关:无
DNS:192.168.6.1
WINS: 192.168.6.1
2,在运行框中输入Dcpromo命令把这台服务器提升为域控制器,在提升过程中的“DNS注册诊断”窗口选择第二项“在这台计算机上安装并配置DNS服务器,并将这台DNS服务器设为计算机的首选DNS服务器”,如图4,大家一定要注意,DNS是域的重要组成部分,没有正确配置的DNS你的域将会出现很多问题!
3,安装完成后打开DNS管理控制台,右击服务器图标,进入其属性窗口,然后切换到转发器标签,添加要转发到的DNS服务器,这里也就是ISP提供的DNS服务器,如图5。这样配置之后客户端进行内部访问(如域登录)时就使用内部的DNS服务,访问因特网时就由此DNS进行转发解析。
4,域控制器安装完成后请将这台服务器也安装成WINS服务器,可以从“添加/删除程序”下“添加删除WINDOWS组件”中选择“网络服务”下的WINS安装。
一次ISA Server 2004防火墙的部署经历
0
相关文章
关注我们
