（二）  划分VLAN
要把安全网与办公网从物理上隔开就需要划分VLAN，当你划分了VLAN之后，即使用户把自己的IP改成另一个VLAN子网内的IP，它也是无法访问那个子网内的计算机的。这里把端口24单独设置成一个VLAN，即安全网所连接的端口，其余端口划分为一个VLAN，这里的关键是要把ISA内网卡连接的端口划在两个VLAN中，这里ISA内网卡连接的端口是Port 4，从图6可以看出，我把它划在了两个VLAN中，内网卡第一IP 192.168.6.1对应办公网，第二IP 192.168.0.222对应原来的安全网。

（三）   在域控制器上安装ISA Server 2004标准版
ISA Server 2004标准版的安装很简单，《在线技术》以前的文章也已经详细讲过，所以这里只提一下需要注意的地方，就是在进入“内部网络”配置窗口时，请点击添加按钮，在弹出窗口中点击“选择网卡”按钮，然后在新窗口中清除上面一个复选框，选中“基于windows路由表添加地址范围”，在下面的网卡中选择内网卡，也就是你这里配置的内网应该包括192.168.6.0/24和192.168.0.0/24这两个子网，不然后面的通讯会有问题，在ISA server 2004中，不管一块网卡有多少个IP，它们都只能属于一个相同的网络，切记！

（四）  配置ISA服务器

默认情况下，当ISA server安装好后，它会阻断所有经过它的网络通信。要让网络之间进行通讯，需要创建相应的规则：网络规则和访问规则，二者缺一不可。
1，  配置拨号首选项
由于这里使用的是ADSL连接，首先需要在ISA管理窗口中为它配置拨号首选项，进入ISA管理窗口，定位到configuration/General下，然后点击右窗格中的specify Dial-up Preferences项，在弹出的窗口中选择allow automatic dialing to this network，然后选择External项，并选中下面的configure this dial-up conncetion as the default gateway，接着在Dial-up connection中选择你创建好的ADSL连接（需要你预先在系统的“网络连接”窗口中使用“新建连接向导”创建好），选择之后在下面的dial-up account栏设置好你ADSL拨号使用的帐户和密码，以便ISA自动拨号，如图7。
2，  配置办公网访问ISA上的域服务（包括WINS服务）
由于ISA服务器同时又是域控制器，所以需要创建相应的访问规则办公网的客户端才能登录域。各项参数如下：
Rule Action:Allow
Protocols:（ISA中的名字）
       DNS
kerberos-sec(TCP)
kerberos-sec(UDP)
LDAP
LDAP(UDP)
LDAP(Global catalog)
Microsoft CIFS(TCP)
Netbios Datagram
Netbios Name Service
Netbios Session
NTP(UDP)
RPC(all interfaces)
Access Rule Sources:新建一个subnet，IP范围为192.168.6.0/24，如图8；
Access Rule Destinationsocal Host
User set:All Users
3，  配置办公网上网进行WEB浏览
配置办公网上网与上面一样，只是协议和目标需要改变一下，由于上面已经允许了DNS，所以协议就只需要HTTP和HTTPS协议，Access Rule Destinations变为External即可。
4，  配置安全网访问办公网的文件共享
安全网访问办公网是通过ISA路由的，虽然对ISA来说它们都被定义在一个内网中，但它们之间的通讯仍然要通过ISA（因为有VLAN隔离），所以也要创建相应的访问规则，具体参数如下：
Rule Action:Allow
Protocol: Microsoft CIFS(TCP)
Netbios Datagram
Netbios Name Service
Netbios Session
Access Rule Source:新建一个subnet，IP范围是192.168.0.0/24
Access Rule Destinations:subnet 192.168.6.0/24
user set: All Users
5，  配置调度机上网
从图1可以看出，调度机位于子网192.168.5.0/24中，它不属于内网，它是与ISA外网卡相关联的网络，要让调度机上网，我们需要先创建相应的网络和网络规则，步骤如下：
（1）       调度机的IP配置（不加入域）
IP：192.168.5.3/24
网关：192.168.5.1
DNS:221.5.203.98
（2）       在ISA上创建调度机所在的网络，方法是右击configuration/networks，选择新建/Network，各项参数如下：
Network type:External network
Network Addresses:192.168.5.0/24
（3）创建此网络与External网络的网络规则，关系为NAT，要访问内网的话，还要创建与内网的网络规则为Route，与本地主机的网络规则默认就为路由，不能再创建。
（4）创建访问规则，各项参数如下：
Rule Action:Allow
Protocols: DNS、HTTP、HTTPS
Access Rule Sources:新建一个computer，IP为192.168.5.3
Access Rule Destinations:External
User set:All Users

（五）配置ISA自动开机和自动关机
配置ISA服务器自动开机，这很简单，因为BIOS支持在某个时间自动开机，比如是每天早上8：00开机，在BIOS中作相应配置就行，BIOS可以设置自动开机，但可惜不能配置自动关机，比如需要每天下午6：00钟自动关机，这时可以下载一个专门的关机软件来实现，比如我这里就是使用的阿达自动关机，它可以配置每天在指定的时间自动关机，具体使用大家一看就知道，这里不再细说。
（六）配置调度机自动拨号和自动断线
ISA的自动拨号前面已经介绍了，现在来看看调度机（192.168.5.3）怎样实现自动拨号和自动断线，我们理想的情况是当ISA关机后调度机就自动拨号上网，而每天早上8点在ISA开机后它又应该自动断开连接，以让ISA拨号，这个我们可以通过系统的内置功能实现，也就是由任务计划和系统的rasdial命令一起来实现，实现自动拨号的步骤如下：
1，  在调度机上运行“任务计划向导”，然后在程序中选择windows\system32系统目录下的rasdial.exe程序；
2，  然后在下一步定义好运行时间，比如18:01，
3，  接下来输入运行此程序的用户名和密码，通常就是当前登录用户，在最后的完成窗口中选中“在单击完成时，打开此任务的高级属性”，然后我们需要在弹出窗口的运行栏中rasdial.exe命令后加入adsl user password参数，其中的ADSL是你为ADSL连接创建的拨号名，如果不清楚，可以到“开始/设置/网络连接”中找到，user是你ADSL的帐户名，Password就是拨号的密码了，如图9。

与上面实现自动拨号相似，要实现早上8:00钟自动断开连接也可以使用任务计划加rasdial，只是图中rasdial后参数变成adsl /disconnect就行了，这里就不再多说了，自己变动一下即可。

（七）  客户端配置
办公网的IP范围是192.168.6.0/24，客户端全部加入ISA所在域CJGG.COM，DNS、网关和Wins都指向ISA的内网卡192.168.6.1。
安全网的IP范围是192.168.0.0/24，属于另外一个域CYCW.COM，所以DNS要指向此域的DNS服务器，然后在这个域的DNS服务器上启用转发，而网关指向192.168.0.222，WINS指向192.168.6.1。这里注意要将此域的域控制器的网关也指向192.168.0.222，WINS也要指向192.168.6.1，这样可以在网上邻居中看到两个子网的计算机列表，不过也只是能够看到列表，要想在网上邻居中访问另一个子网中的计算机，还需要像上面第四部分第4节一样配置相应的访问规则才行。
另外现在朋友的网络都是基于IP地址来限制访问的，还没有基于用户限制，所以客户端现在也没有安装防火墙客户端，而且如果要基于用户来限制的话，由于安全网属于另外一个域（非同一个森林），所以还需要手动建立两个域之间的信任关系才能实现基于用户限制，这又是另外一篇文章的内容了，如果可能，下次再谈吧。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=7912&categ_code=10041003