近日給政府做網絡改造與升級的工程，在工程的后期，該政府分為“東院”與“西院”，原來東院與西院各有一條到網通的Internet線路，由于在本次網絡工程中，還增加了“內網”的網絡改造（現在大多數政府都有“外網—即連接到Internet的網絡”，還有“內網—不能連接到Internet的內部網絡”）。東院和西院只有不到2公里的距離，原來準備讓“網通”公司給拉一條“東院”到“西院”的光纖，但到了工程的后期，網通公司說只能和連接Internet一樣，租用他們提供的數字電路或者***，2M的鏈路每個月大約1200元的費用，這與我們的預算相差太大—原準備是讓網通工程人員一次性從東院到西院拉一條光纖，最大幾千元。而這樣下來，每年就得1萬4，長期使用費用太高。

考慮到內網的數據量并不大，而現在東院、西院各有8M的Internet連接，而每個地方都有剩余的IP地址（子網掩碼都是255.255.255.248），這樣，可以通過做***路由的方式，將東、西院的內網連接在一起，這樣只需要準備兩臺計算機或者兩個路由器的價錢，一次投資，免費使用。

如圖1所示，這是本次網絡改造的拓撲圖，分別在東、西院增加一臺服務器，做***路由。

圖1 組建***路由

相關網絡參數如下：

西院內網IP段劃分：192.168.10.0/24、192.168.11.0/24～192.168.16.0/24共7個VLAN；東院內網IP劃分為192.168.20.0/24、192.168.21.0/24、192.168.22.0/24、192.168.23.0/24共4個VLAN。

總體配置：在東、西院各配置一個雙網卡的Windows Server 2003服務器，安裝ISA Server做***路由，連接兩院內網。

下面介紹規劃、配置的步驟。

1 在東、西院內網交換機上配置靜態路由

因為要創建***路由，所以，分別在東、西院內網的核心交換機上，再各增加一個***，用來配置路由。在此，在西院交換機上，添加192.168.250.0/30的VLAN100,該VLAN100的IP地址設置為192.168.250.1,連接***服務器的網卡的IP地址設置為192.168.250.2/30（子網掩碼為255.255.255.252），在西院交換機上，添加到東院地址段的靜態路由：

ip route-static 192.168.20.0 255.255.255.0 192.168.250.2

ip route-static 192.168.21.0 255.255.255.0 192.168.250.2

ip route-static 192.168.22.0 255.255.255.0 192.168.250.2

ip route-static 192.168.23.0 255.255.255.0 192.168.250.2

在東院的交換機上，添加192.168.250.4/30的VLAN100,該VLAN100的IP地址設置為192.168.250.5,連接***服務器的網卡的IP地址設置為192.168.250.6/30,在東院核心交換機上，添加到西院內網地址段的靜態路由：

ip route-static 192.168.10.0 255.255.255.0 192.168.250.6

ip route-static 192.168.11.0 255.255.255.0 192.168.250.6

ip route-static 192.168.12.0 255.255.255.0 192.168.250.6

ip route-static 192.168.13.0 255.255.255.0 192.168.250.6

ip route-static 192.168.14.0 255.255.255.0 192.168.250.6

ip route-static 192.168.15.0 255.255.255.0 192.168.250.6

ip route-static 192.168.16.0 255.255.255.0 192.168.250.6

2 為***服務器添加靜態路由

分別在東、西院的***服務器上，安裝好Windows Server 2003,將網線連接好，一條連接到Internet，將連接到Internet的網卡重命名為“wan”，設置好網通分配的IP地址、子網掩碼、網關（可以不用設置DNS，因為不需要通過域名訪問Internet）；另一條連接到內網的核心交換機的VLAN100所在端口，設置好IP地址、子網掩碼，不要設置網關，重命名這個網卡為“lan”。

然后進入命令提示符，添加到所在交換機其他網段的靜態路由。其中，西院***服務器，內網網卡的IP地址為192.168.250.2,子網掩碼為255.255.255.252,進入命令提示符，添加到西院內網網段的靜態路由：

route add -p 192.168.10.0 mask 255.255.255.0 192.168.250.1

route add -p 192.168.11.0 mask 255.255.255.0 192.168.250.1

route add -p 192.168.12.0 mask 255.255.255.0 192.168.250.1

route add -p 192.168.13.0 mask 255.255.255.0 192.168.250.1

route add -p 192.168.14.0 mask 255.255.255.0 192.168.250.1

route add -p 192.168.15.0 mask 255.255.255.0 192.168.250.1

route add -p 192.168.16.0 mask 255.255.255.0 192.168.250.1

在東院的***服務器，內網網卡的IP地址為192.168.250.6,子網掩碼為255.255.255.252,進入命令提示符，添加到東院內網網段的靜態路由：

route add -p 192.168.20.0 mask 255.255.255.0 192.168.250.5

route add -p 192.168.21.0 mask 255.255.255.0 192.168.250.5

route add -p 192.168.22.0 mask 255.255.255.0 192.168.250.5

route add -p 192.168.23.0 mask 255.255.255.0 192.168.250.5

3 安裝ISA Server、創建***站點間路由

創建好靜態路由后，安裝ISA Server（過程略去，在安裝的過程中，選擇“內部網絡”時，選擇名為“lan”的網絡適配器），然后配置***站點間路由。

在西院的***服務器上，進入ISA Server管理控制臺，創建到東院的***站點間路由，主要步驟如下：

（1）在“虛擬專用網絡（***）→遠程站點”，在右側單擊“創建***點對點連接”，如圖2所示。

圖2 創建***點對點連接

（2）在“歡迎使用創建***點對點連接向導”頁中，在“點對點網絡名稱”處，鍵入一個名稱，此名稱與遠程撥號用戶名一致，所以最好創建一個英文的名稱。在本例中為RRAS，如圖3所示。

圖3 設置點對點網絡名稱

（3）在“***協議”頁中，選擇“點對點隧道協議（PPTP）”，如圖4所示。

圖4 選擇PPTP協議

此時，連接向導會發出提示：“要啟用連接性，必須有匹配網絡名稱的用戶帳戶”，如圖5所示。

圖5 提示信息

（4）在“本地網絡***設置”頁中，為傳入的***客戶端分配IP地址，此處分配的地方不應該與兩端內網地址、***服務器地址重合，在此添加192.168.250.100～192.168.250.110（地址太多也沒用，一般設置10個地址卻可），如圖6所示。

圖6 設置***客戶端地址

（5）在“遠程站點網關”頁中，在“遠程站點***服務器”地址框中，鍵入對方（此處為東院）***服務器的廣域網的地址，本例為202.206.197.198,如圖7所示。

圖7 鍵入對端***服務器的IP地址

（6）在“遠程身份驗證”處，添加對方***服務器為本方***服務器創建的遠程連接用戶名及密碼，為了簡化配置，雙方的用戶名與密碼都相同，所以，在本例中，設置用戶名為rras，設置密碼為a1b2c#dF（注意大小寫，在實際中設置其他復雜密碼），如圖8所示。

圖8 設置對端***服務器創建的遠程撥入用戶名與密碼

（7）在“網絡地址”頁中，單擊“添加”按鈕，添加對方（東院內網）***服務器所連接的內網地址，本例為192.168.20.1～192.168.23.254，如圖9所示。

圖9 添加對方內網地址

（8）在“點對點網絡規則”頁中，創建指定的路由關系規則，在此添加名為“RRAS”的網絡，并創建“RRAS”與“內部”網絡之間的關系，如圖10所示。

圖10 創建網絡關系

（9）在“點對點網絡訪問規則”頁中，在ISA Server中添加“RRAS網絡與內部網絡”之間的訪問規則，在“將規則應用于這些協議”下拉列表中選擇合適的協議，在本例中為“所有出站通訊”，如圖11所示。

圖11 允許所有協議

【說明】如果兩個內網之間，需要一些非規則的端口，例如TCP的1234、8080等，則需要在雙方ISA Server中，添加這些協議。

（10）在“正在完成新建***點對點網絡向導”頁中，單擊“完成”按鈕，如圖12所示。

圖12 創建點對點連接完成

（11）向導會提示剩余的***任務“必須定義具有撥入權限的用戶帳戶，用戶帳戶名稱必須是RRAS”，如圖13所示。

圖13 剩余任務

返回到ISA Server，單擊“應用”按鈕，讓設置生效，如圖14所示。

圖14 讓設置生效

接下來，在“計算機管理”中，創建名為RRAS的用戶，設置密碼為a1b2c#dF，并允許撥入權限，如圖15～17所示。

圖15 新建用戶

圖16 指定用戶信息

圖17 允許撥入

設置完成后，重新啟動計算機，讓設置生效。

同樣，在東院的***服務器上，也做這些設置，只是注意其中的地址：

（1）在類似圖5的圖中，添加西院***服務器的外網地址。

（2）在類似圖6的圖中，添加192.168.250.111～192.168.250.121；

（3）在類似圖9的圖中，添加西院內網的地址192.168.10.1～192.168.16.254。

其他完全一致。最后，重新啟動東院的***服務器。

以后，當東院、西院的計算機，有訪問對方網段計算機的時候，***服務器會自動撥號，并完成***路由的建立，讓兩個網絡間計算機可以直接通信。

4 與網通組建***的異同

如果由網通來建***路由，則網絡拓撲如圖18所示。

圖18 網通***路由

只不過，這是用的網通的***設備而己。

后記：現在許多單位組建網絡，言必稱“內、外網物理隔離”。在我認為，嚴格意義上的物理隔離是不存在的。就是通過運營商來組建“內網”，運營商也不會單獨為用戶“拉”一條或多條線路，單獨為某個用戶服務，它們也是通過技術手段（設備的或者管理的），從現有的鏈路中“分離”出一部分為，給用戶使用，所以，從這點上來說，完全意義上的物理隔離是不會存在的。另外，一個完全不設防的內網網絡，任何一點被“***”或“攻破”，造成的損失或者后果，比一個處處加密的外網網絡，會更加安全。現在網絡技術、網絡安全已經比較可靠的今天，完全可以通過技術手段，例如***、證書、IPSEC，或者RMS（權限管理）等方法，在公共網絡（例如Internet），組建完全極高的***網絡，這一點也不亞于“物理隔離”的專線。

總結

以上是生活随笔為你收集整理的用ISA Server做***路由代替专线的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。