近日给政府做网络改造与升级的工程,在工程的后期,该政府分为“东院”与“西院”,原来东院与西院各有一条到网通的Internet线路,由于在本次网络工程中,还增加了“内网”的网络改造(现在大多数政府都有“外网—即连接到Internet的网络”,还有“内网—不能连接到Internet的内部网络”)。东院和西院只有不到2公里的距离,原来准备让“网通”公司给拉一条“东院”到“西院”的光纤,但到了工程的后期,网通公司说只能和连接Internet一样,租用他们提供的数字电路或者×××,2M的链路每个月大约1200元的费用,这与我们的预算相差太大—原准备是让网通工程人员一次性从东院到西院拉一条光纤,最大几千元。而这样下来,每年就得1万4,长期使用费用太高。
考虑到内网的数据量并不大,而现在东院、西院各有8M的Internet连接,而每个地方都有剩余的IP地址(子网掩码都是255.255.255.248),这样,可以通过做×××路由的方式,将东、西院的内网连接在一起,这样只需要准备两台计算机或者两个路由器的价钱,一次投资,免费使用。
如图1所示,这是本次网络改造的拓扑图,分别在东、西院增加一台服务器,做×××路由。
图1 组建×××路由
相关网络参数如下:
西院内网IP段划分:192.168.10.0/24、192.168.11.0/24~192.168.16.0/24共7个VLAN;东院内网IP划分为192.168.20.0/24、192.168.21.0/24、192.168.22.0/24、192.168.23.0/24共4个VLAN。
总体配置:在东、西院各配置一个双网卡的Windows Server 2003服务器,安装ISA Server做×××路由,连接两院内网。
下面介绍规划、配置的步骤。
1 在东、西院内网交换机上配置静态路由
因为要创建×××路由,所以,分别在东、西院内网的核心交换机上,再各增加一个×××,用来配置路由。在此,在西院交换机上,添加192.168.250.0/30的VLAN100,该VLAN100的IP地址设置为192.168.250.1,连接×××服务器的网卡的IP地址设置为192.168.250.2/30(子网掩码为255.255.255.252),在西院交换机上,添加到东院地址段的静态路由:
ip route-static 192.168.20.0 255.255.255.0 192.168.250.2
ip route-static 192.168.21.0 255.255.255.0 192.168.250.2
ip route-static 192.168.22.0 255.255.255.0 192.168.250.2
ip route-static 192.168.23.0 255.255.255.0 192.168.250.2
在东院的交换机上,添加192.168.250.4/30的VLAN100,该VLAN100的IP地址设置为192.168.250.5,连接×××服务器的网卡的IP地址设置为192.168.250.6/30,在东院核心交换机上,添加到西院内网地址段的静态路由:
ip route-static 192.168.10.0 255.255.255.0 192.168.250.6
ip route-static 192.168.11.0 255.255.255.0 192.168.250.6
ip route-static 192.168.12.0 255.255.255.0 192.168.250.6
ip route-static 192.168.13.0 255.255.255.0 192.168.250.6
ip route-static 192.168.14.0 255.255.255.0 192.168.250.6
ip route-static 192.168.15.0 255.255.255.0 192.168.250.6
ip route-static 192.168.16.0 255.255.255.0 192.168.250.6
2 为×××服务器添加静态路由
分别在东、西院的×××服务器上,安装好Windows Server 2003,将网线连接好,一条连接到Internet,将连接到Internet的网卡重命名为“wan”,设置好网通分配的IP地址、子网掩码、网关(可以不用设置DNS,因为不需要通过域名访问Internet);另一条连接到内网的核心交换机的VLAN100所在端口,设置好IP地址、子网掩码,不要设置网关,重命名这个网卡为“lan”。
然后进入命令提示符,添加到所在交换机其他网段的静态路由。其中,西院×××服务器,内网网卡的IP地址为192.168.250.2,子网掩码为255.255.255.252,进入命令提示符,添加到西院内网网段的静态路由:
route add -p 192.168.10.0 mask 255.255.255.0 192.168.250.1
route add -p 192.168.11.0 mask 255.255.255.0 192.168.250.1
route add -p 192.168.12.0 mask 255.255.255.0 192.168.250.1
route add -p 192.168.13.0 mask 255.255.255.0 192.168.250.1
route add -p 192.168.14.0 mask 255.255.255.0 192.168.250.1
route add -p 192.168.15.0 mask 255.255.255.0 192.168.250.1
route add -p 192.168.16.0 mask 255.255.255.0 192.168.250.1
在东院的×××服务器,内网网卡的IP地址为192.168.250.6,子网掩码为255.255.255.252,进入命令提示符,添加到东院内网网段的静态路由:
route add -p 192.168.20.0 mask 255.255.255.0 192.168.250.5
route add -p 192.168.21.0 mask 255.255.255.0 192.168.250.5
route add -p 192.168.22.0 mask 255.255.255.0 192.168.250.5
route add -p 192.168.23.0 mask 255.255.255.0 192.168.250.5
3 安装ISA Server、创建×××站点间路由
创建好静态路由后,安装ISA Server(过程略去,在安装的过程中,选择“内部网络”时,选择名为“lan”的网络适配器),然后配置×××站点间路由。
在西院的×××服务器上,进入ISA Server管理控制台,创建到东院的×××站点间路由,主要步骤如下:
(1)在“虚拟专用网络(×××)→远程站点”,在右侧单击“创建×××点对点连接”,如图2所示。
图2 创建×××点对点连接
(2)在“欢迎使用创建×××点对点连接向导”页中,在“点对点网络名称”处,键入一个名称,此名称与远程拨号用户名一致,所以最好创建一个英文的名称。在本例中为RRAS,如图3所示。
图3 设置点对点网络名称
(3)在“×××协议”页中,选择“点对点隧道协议(PPTP)”,如图4所示。
图4 选择PPTP协议
此时,连接向导会发出提示:“要启用连接性,必须有匹配网络名称的用户帐户”,如图5所示。
图5 提示信息
(4)在“本地网络×××设置”页中,为传入的×××客户端分配IP地址,此处分配的地方不应该与两端内网地址、×××服务器地址重合,在此添加192.168.250.100~192.168.250.110(地址太多也没用,一般设置10个地址却可),如图6所示。
图6 设置×××客户端地址
(5)在“远程站点网关”页中,在“远程站点×××服务器”地址框中,键入对方(此处为东院)×××服务器的广域网的地址,本例为202.206.197.198,如图7所示。
图7 键入对端×××服务器的IP地址
(6)在“远程身份验证”处,添加对方×××服务器为本方×××服务器创建的远程连接用户名及密码,为了简化配置,双方的用户名与密码都相同,所以,在本例中,设置用户名为rras,设置密码为a1b2c#dF(注意大小写,在实际中设置其他复杂密码),如图8所示。
图8 设置对端×××服务器创建的远程拨入用户名与密码
(7)在“网络地址”页中,单击“添加”按钮,添加对方(东院内网)×××服务器所连接的内网地址,本例为192.168.20.1~192.168.23.254,如图9所示。
图9 添加对方内网地址
(8)在“点对点网络规则”页中,创建指定的路由关系规则,在此添加名为“RRAS”的网络,并创建“RRAS”与“内部”网络之间的关系,如图10所示。
图10 创建网络关系
(9)在“点对点网络访问规则”页中,在ISA Server中添加“RRAS网络与内部网络”之间的访问规则,在“将规则应用于这些协议”下拉列表中选择合适的协议,在本例中为“所有出站通讯”,如图11所示。
图11 允许所有协议
【说明】如果两个内网之间,需要一些非规则的端口,例如TCP的1234、8080等,则需要在双方ISA Server中,添加这些协议。
(10)在“正在完成新建×××点对点网络向导”页中,单击“完成”按钮,如图12所示。
图12 创建点对点连接完成
(11)向导会提示剩余的×××任务“必须定义具有拨入权限的用户帐户,用户帐户名称必须是RRAS”,如图13所示。
图13 剩余任务
返回到ISA Server,单击“应用”按钮,让设置生效,如图14所示。
图14 让设置生效
接下来,在“计算机管理”中,创建名为RRAS的用户,设置密码为a1b2c#dF,并允许拨入权限,如图15~17所示。
图15 新建用户
图16 指定用户信息
图17 允许拨入
设置完成后,重新启动计算机,让设置生效。
同样,在东院的×××服务器上,也做这些设置,只是注意其中的地址:
(1)在类似图5的图中,添加西院×××服务器的外网地址。
(2)在类似图6的图中,添加192.168.250.111~192.168.250.121;
(3)在类似图9的图中,添加西院内网的地址192.168.10.1~192.168.16.254。
其他完全一致。最后,重新启动东院的×××服务器。
以后,当东院、西院的计算机,有访问对方网段计算机的时候,×××服务器会自动拨号,并完成×××路由的建立,让两个网络间计算机可以直接通信。
4 与网通组建×××的异同
如果由网通来建×××路由,则网络拓扑如图18所示。
图18 网通×××路由
只不过,这是用的网通的×××设备而己。
后记:现在许多单位组建网络,言必称“内、外网物理隔离”。在我认为,严格意义上的物理隔离是不存在的。就是通过运营商来组建“内网”,运营商也不会单独为用户“拉”一条或多条线路,单独为某个用户服务,它们也是通过技术手段(设备的或者管理的),从现有的链路中“分离”出一部分为,给用户使用,所以,从这点上来说,完全意义上的物理隔离是不会存在的。另外,一个完全不设防的内网网络,任何一点被“入侵”或“攻破”,造成的损失或者后果,比一个处处加密的外网网络,会更加安全。现在网络技术、网络安全已经比较可靠的今天,完全可以通过技术手段,例如×××、证书、IPSEC,或者RMS(权限管理)等方法,在公共网络(例如Internet),组建完全极高的×××网络,这一点也不亚于“物理隔离”的专线。