用ISA Server做小区宽带运营的服务器

用ISA Server做小区宽带运营的服务器

转自：http://wangchunhai.blog.51cto.com/225186/294017

 

近期一个朋友接了个工程：某小区物业，准备为本小区的1200多名用户提供宽带接入服务，该物业先期申请了10M的光纤，以后根据需要进行扩容。朋友为每个楼层、每户布好了网线，交换机也已经安装到位。原来准备用某硬件厂商提供的计费与拨号软件，但算下来成本太高（计费与拨号软件及相关设备得10万多元）。朋友让我给提供个“低成本”的解决方案。朋友的要求比较简单：用户申请开通网络（用户费用每年一交，和ADSL类似），能管理用户，不开通用户不能上网（因为网线已经布到了每户门前）。

  经过实地考核，又与小区物业管理人员交流，给出如下的解决方案：

 （1）核心交换机用的是华为5300系列，该交换机支持4096个VLAN、支持DHCP服务器。为每栋楼每个楼层划分一个VLAN（大约划分300多个），并配置DHCP服务器，为每个接入网络的计算机，自动分配IP地址、子网掩码与网关地址（可以不分配DNS）。DHCP服务器采用172.16.0.0/27～172.16.40.0/27，这样，每个楼层有5户，每个楼层可使用的IP地址是29个，这样足以保证应用。这样，接入用户的，采用自动获得IP地址的方式，只要接入网络，就可以获得一个IP地址，能连接到小区的网络中。但这时，接入用户还不能访问Internet。

（2）购买一台服务器，安装Windows Server 2003与ISA Server，使用ISA Server做VPN服务器，在ISA Server中设置策略，只允许VPN用户访问Internet。如果用户申请了开通宽带的服务，就在Windows Server 2003中，为其创建一个用户，并在用户属性中，设置“允许拨入”权限。小区用户，在自己的计算机中，创建VPN拨号连接，使用为其分配的用户名、密码、指定ISA Server服务器的地址，拨号就可以上网。

 规划后的网络拓扑图如下（简化拓扑图，更多交换机、光纤交换机没有列在图中）。

 

网络拓扑图

同时，有几个问题需要注意：

（1）静态路由与VPN地址分配问题

在ISA Server服务器上，设置“内网”网卡的地址是192.168.250.2/30,连接的华为5300系列交换机，单独创建一个VLAN，指定VLAN地址192.168.250.1,并在华为5300交换机上，设置到ISA Server的静态路由。而在ISA Server服务器上，添加到172.16.0.0/16的静态路由。

为VPN用户分配172.17.0.1～172.17.7.254的地址段。

（2）用户速度限制问题：初期可以在楼层交换机，每个连接用户的端口，设置端口速度为1MB。

（3）用户多次拨入问题：可以在“用户属性”中，为每个用户指定静态IP地址，例如，为每个用户分配172.18.0.0段的地址，并修改ISA Server策略，只允许172.18.0.0的地址段访问外网。而VPN用户如果第一次拨入，是用户指定的IP地址，如果第二次拨入（第一个拨号没有断开），则使用VPN服务器自动分配的地址172.17.0.0,这样在ISA Server策略中，是不允许访问外网的。

（4）为了简化用户的操作，使用AutoIT创建VPN拨号连接的脚本，让用户从ISA Server服务器下载（同时安装了IIS网站）。

（5）为了给用户提供更多的服务，在ISA Server服务器安装NOD32杀毒软件，为小区用户提供病毒库的升级。

下面介绍实现的主要步骤。

1 安装配置Windows Server 2003

安装好系统后，打开“网络连接”，重命名每个网卡，对于连接到Internet的网卡，重命名为“Internet”，并设置IP地址、子网掩码、网关与DNS信息（由ISP提供）。设置好后，当前计算机应该能访问Internet。于另一个网卡，连接到5300核心交换机，设置IP地址为192.168.250.2,子网掩码为255.255.255.252，不要设置网关地址。设置好后，进入命令提示符，添加到内网其他网段的静态路由：

route  add –p  172.16.0.0 mask 255.255.0.0  192.168.250.1

添加静态路由后，使用ping命令，测试网络是否正常（可以ping其他VLAN的网关地址）。

然后，打开“Internet信息服务”，删除默认的网站，然后添加一个新的网站，该网站使用192.168.250.2的IP地址、启用“目录浏览”功能，网站目录为硬盘上的一个文件夹，该文件夹内保存NOD32杀毒软件与小区用户创建拨号连接的“脚本”程序。安装好后，在浏览器中键入http://192.168.250.2，可以列出小区拨号软件（与其他要为用户提供的程序），如图2所示。

 

 

 

以后，小区用户只要访问该网站，就可以获得所需要的软件。用户下载该脚本程序并运行，就可以自动完成VPN拨号连接的创建工作，简化了管理人员的负担。

附：AutoIT创建VPN拨号脚本内容如下，你需要用AutoIT提供的工具“编译”成可执行程序提供给用户。如果你的ISA Server服务器的地址不是192.168.250.2,请将下面的192.168.250.2换成你所需要的地址即可。

Run("control.exe netconnections")

WinWaitActive("网络连接","")

WinActive("网络连接","")

send("!fn")

WinWaitActive("新建连接向导","")

WinActive("新建连接向导","")

send("!n")

WinWaitActive("新建连接向导","连接到 Internet")

WinActive("新建连接向导","连接到 Internet")

send("!on")

WinWaitActive("新建连接向导","虚拟专用网络连接")

WinActive("新建连接向导","虚拟专用网络连接")

send("!vn")

WinWaitActive("新建连接向导","公司名")

WinActive("新建连接向导","公司名")

send("!aADSL!n")

sleep(1000)

if WinActivate("新建连接向导","不拨初始连接") then send("!dn")

WinWaitActive("新建连接向导","主机名")

WinActive("新建连接向导","主机名")

send("!h192.168.250.2!n")

sleep(1000)

if WinActivate("新建连接向导","") then send("!mn")

WinWaitActive("新建连接向导","正在完成新建连接向导")

WinActive("新建连接向导","正在完成新建连接向导")

send("!s")

send("{ENTER}")

sleep(1000)

if winactive("网络连接","") Then

         winwaitactive("网络连接","")

         send("{enter}")

EndIf

2 在ISA Server上启用VPN服务

 

在配置好Windows Server 2003后，安装ISA Server。有关ISA Server的安装不做过多介绍，在此只介绍将ISA Server配置成VPN服务器、拨号用户设置、ISA Server策略的注意事项，关键步骤如下：

（1）为VPN客户端分配地址：在“ISA Server管理控制台”中，在“虚拟专用网络（VPN）”选项中，在右侧的“任务”中单击“定义地址分配”链接，在弹出的“虚拟专用网络（VPN）属性”对话框中，在“地址分配”选项卡中，选择“静态地址池”，单击“添加”按钮，添加172.17.0.1～172.17.7.254的地址范围，如图3所示。

 

 

图3  定义地址

 

（2）在定义地址后，在“虚拟专用网络（VPN）属性”对话框中，单击“高级”按钮，在弹出的“名称解析”对话框中，选中“使用下面的DNS服务器地址”，然后添加ISP提供的DNS地址，否则，VPN客户端将不能解析域名，如图4所示。

 

 

为VPN地址

（3）单击“访问网络”选项卡，去掉“外部”，选中“内部”，这样，VPN用户就只能通过“内部”网络拨号，而不是通过Internet接口拨号，如图5所示。

 

 

只能从“内部”拨号

（3）然后单击“启用VPN客户端访问”链接，启用VPN服务器，最后单击“应用”按钮，让ISA Server策略生效。然后重新启动计算机。

3 创建防火墙策略

再次进入系统后，配置以下ISA Server防火墙策略：

（1）允许“VPN客户端”以“所有出站通讯”协议访问“外部”，即允许VPN客户端访问Internet。

（2）允许“内部”以“HTTP协议”访问“本地计算机”，这样，内网用户就可以从ISA Server的Web服务器上浏览并下载拨号脚本与其他软件。

（3）允许“内部”ping“本地计算机”，这样用户就可以测试能否访问网关。

设置之后，让策略生效。

4 创建用户并允许拨入权限

 

当ISA Server设置完毕后，进入“计算机管理→用户”，为开通宽带的用户，创建用户名、密码，并设置拨入权限，主要步骤如下：

（1）在创建新用户时，设置用户名，并填写“描述”信息，设置初始密码1234,并且选择“用户下次登录时须更改密码”，这样，当用户第一次用VPN拨号成功后，会弹出对话框，提示用户更改密码，这样防止其他人盗用帐号。如图6所示。

 

 

创建帐户

（2）然后进入帐户属性页，在“拨入”选项卡中，选中“允许访问”。如图7所示。

 

 

设置拨入权限

如果要限制每个用户“只能拨号一次”，则选中“分配静态IP地址”，并且为用户分配172.18.0.0之后的地址，例如为其分配 172.19.0.0段的IP地址，需要注意，每个用户的地址不能相同，同时还要修改ISA Server的策略“禁用 VPN用户访问外网功能，并创建只允许 172.19.0.0的计算机访问外网”的策略。

5 客户端策略

当服务器配置后好，并且给用户“开通”后，告诉用户从http://192.168.250.2下载软件，运行脚本程序后，自动在桌面创建名为“ADSL”的拨号连接，用户需要上网时，双击该链接，用户输入自己的帐户与初始密码1234,开始连接VPN服务器，如图8所示。

 

 

拨号

第一次拨叫成功后，会弹出“更改密码”的对话框，用户设置新的密码后，单击“确定”按钮，即可以访问外网。如图9所示。等用户下次拨号时，需要用新设置的密码。

 

 更改密码

 

6 其他问题

   在为每个用户创建帐户时，要记录用户名与开通日期，并且在用户到期前催要费用。如果用户到期没有续费，或者办理“暂停”业务，只需要进入“计算机管理→用户”中，禁用对应的帐户即可。

    如果要想“自动禁用”到期帐户，可以将Windows Server 2003升级到“Active Directory”，在“Active Directory用户和计算机”中，可以设置每个帐户的到期时间。但只为这一功能而配置Active Directory服务器，并不是很好的选择。

    另外，考虑到用户习惯使用“360”升级补丁，如果为了近一步减少出口带宽的浪费，可以在配置一台WSUS服务器，为小区的用户提供升级服务，这样，即方便了用户、加快了用户下载补丁的速度，还节约了出口带宽。

在一台双网卡的服务器上，安装Windows Server 2003企业版，同时安装“Internet信息服务”。