用户用isa_server做小区宽带运营的服务器

近期一个朋友接了个工程某小区物业准备为本小区的1200多名用户提供宽带接入服务该物业先期申请了10M的光纤以后根据需要进行扩容。朋友为每个楼层、每户布好了网线交换机也已经安装到位。原来准备用某硬件厂商提供的计费与拨号软件但算下来成本太高计费与拨号软件及相关设备得10万多元 。朋友让我给提供个“低成本”的解决方案。朋友的要求比较简单用户申请开通网络用户费用每年一交和ADSL类似 能管理用户不开通用户不能上网因为网线已经布到了每户门前 。

经过实地考核又与小区物业管理人员交流给出如下的解决方案

1核心交换机用的是华为5300系列该交换机支持4096个VLAN、支持DHCP服务器。为每栋楼每个楼层划分一个VLAN 大约划分300多个 并配置DHCP服务器为每个接入网络的计算机 自动分配IP地址、子网掩码与网关地址可以不分配DNS 。 DHCP服务器采用172. 16.0.0/27172. 16.40.0/27这样每个楼层有5户每个楼层可使用的IP地址是29个这样足以保证应用。这样接入用户的采用自动获得IP地址的方式只要接入网络就可以获得一个IP地址能连接到小区的网络中。但这时接入用户还不能访问Internet。2购买一台服务器安装Windows Server 2003与ISAServer使用ISAServer做VPN服务器在ISA Server中设置策略只允许VPN用户访问Internet。如果用户申请了开通宽带的服务“就在Wi”ndows Server 2003中为其创建一个用户并在用户属性中设置 允许拨入 权限。小区用户在自己的计算机中创建VPN拨号连接使用为其分配的用户名、密码、指定ISA Server服务器的地址拨号就可以上网。

规划后的网络拓扑图如下简化拓扑图更多交换机、光纤交换机没有列在图中 。

网络拓扑图

同时有几个问题需要注意

1静态路由与VPN地址分配问题

在ISA Server服务器上设置“内网”网卡的地址是192. 168.250.2/30,连接的华为5300系列交换机单独创建一个VLAN指定VLAN地址192. 168.250. 1,并在华为5300交换机上设置到ISA Server的静态路由。而在ISA Server服务器上添加到172. 16.0.0/16的静态路由。

为VPN用户分配172. 17.0. 1172. 17.7.254的地址段。

2用户速度限制问题初期可以在楼层交换机每个连接用户的端口设置端口速度为1 MB。

3用户多次拨入问题可以在“用户属性”中为每个用户指定静态IP地址例如为每个用户分配172. 18.0.0段的地址并修改ISAServer策略只允许

172. 18.0.0的地址段访问外网。而VPN用户如果第一次拨入是用户指定的IP地址如果第二次拨入第一个拨号没有断开 则使用VPN服务器自动分配的地址172. 17.0.0,这样在ISA Server策略中是不允许访问外网的。

4为了简化用户的操作使用AutoIT创建VPN拨号连接的脚本让用户从ISA Server服务器下载同时安装了IIS网站 。

5为了给用户提供更多的服务在ISA Server服务器安装NOD32杀毒软件为小区用户提供病毒库的升级。

下面介绍实现的主要步骤。

1安装配置Windows Server 2003

在一台双网卡的服务器上安装Windows Server 2003企业版 同时安装“Internet信息服务” 。

安装好系统后打“开“网络”连接” 重命名每个网卡对于连接到Internet的网卡重命名为 Internet 并设置IP地址、子网掩码、网关与DNS信息由ISP提供 。设置好后当前计算机应该能访问Internet。于另一个网卡连接到5300核心交换机设置IP地址为192. 168.250.2,子网掩码为

255.255.255.252不要设置网关地址。设置好后进入命令提示符添加到内网其他网段的静态路由route add –p 172. 16.0.0 mask 255.255.0.0 192. 168.250. 1

添加静态路由后使用ping命令测试网络是否正常可以ping其他VLAN的网关地址 。

然后打开“Internet信息服务” 删除默认的网站然后添加一个新的网站该网站使用192. 168.250.2的IP地址、启用“目录浏览”功能 网站目录为硬盘上的一个文件夹该文件夹内保存NOD32杀毒软件与小区用户创建拨号连接的“脚本”程序。安装好后在浏览器中键入http://192. 168.250.2可以列出小区拨号软件与其他要为用户提供的程序 如图2所示。

以后小区用户只要访问该网站就可以获得所需要的软件。用户下载该脚本程序并运行就可以自动完成VPN拨号连接的创建工作简化了管理人员的负担。附 AutoIT创建VPN拨号脚本内容如下你需要用AutoIT提供的工具“编译”成可执行程序提供给用户。如果你的ISA Server服务器的地址不是

192. "168.250.2,请将下面的192. 168".250.2换成你所需要的地址即可。

Run( control. ex"e netconn"ec"t"ions )

WinWaitAct"ive(网络连"接"" , )

WinAct"ive"(网络连接, )send( !fn )

WinWaitAct"ive("新建连接"向导"", "")

WinAct"ive"(新建连接向导, )send( !n )

WinWaitAct"ive("新建连接"向"导", "连接到Inter"net")

WinAct"ive"(新建连接向导,连接到Internet )send( !on )

WinWaitAct"ive("新建连接"向导 ", "虚拟专用网络连"接")

WinAct"ive"(新建连接向导,虚拟专用网络连接)send( !vn )

WinWaitAct"ive("新建连接"向导 ", "公"司名")

WinAct"ive(新建"连接向导, 公司名)send( !aADSL!n )sleep(1000)if WinActivate"("新建连接向导"",""不拨初"始连接") then send("!dn")WinWaitAct"ive(新建连接"向导 ,主机"名)

WinActive(新建连接向导,主机名)

send("!h192. 168.250.2!n")sleep(1000)if WinActivate"("新建连接向导"",""") then send("!mn")"

WinWaitAct"ive(新建连接"向导 ,正在完成新建连接"向导)

WinAct"ive"(新建连接向导,正在完成新建连接向导)send("!s )send( {ENTER}")sleep(1000)if winactive("网络"连接", "")"T"h"enwinwa"itactive"(网络连接, )send( {enter} )

EndIf

2在ISA Server上启用VPN服务

在配置好Windows Server 2003后安装ISA Server。有关ISA Server的安装不做过多介绍在此只介绍将ISA Server配置成VPN服务器、拨号用户设置、ISA Server策略的注意事项关键步骤如下

1为VPN客户端分配地址在“ISA Server管理控制台”中在“虚拟专用网络VPN ”选项中在右侧的“任务”中单击“定义地址分配”链接在弹出的“虚拟专用网络VPN属性”对话框中在“地址分配”选项卡中选择“静态地址池” 单击“添加”按钮添加172. 17.0. 1172. 17.7.254的地址范围如图3所示。

图3 定义地址

2在定义地址“后在“虚”拟专用网络VPN“属性”对话框中单击“高级” ”按钮在弹出的 名称解析 对话框中选中 使用下面的DNS服务器地址 然后添加ISP提供的DNS地址否则 VPN客户端将不能解析域名如图4所示。

为VPN地址

3单击“访问网络”选项卡去掉“外部” 选中“内部” 这样 VPN用户就只能通过“内部”网络拨号而不是通过Internet接口拨号如图5所示。

只能从“内部”拨号

3”然后单击“启用VPN客户端访问”链接启用VPN服务器最后单击“应用 按钮让ISA Server策略生效。然后重新启动计算机。

3创建防火墙策略

再次进入系统后配置以下ISA Server防火墙策略

1允许“VPN客户端”以“所有出站通讯”协议访问“外部”  即允许VPN客户端访问Internet。

2允许“内部”以“HTTP协议”访问“本地计算机” 这样 内网用户就可以从ISA Server的Web服务器上浏览并下载拨号脚本与其他软件。

3允许“内部” ping “本地计算机” 这样用户就可以测试能否访问网关。设置之后让策略生效。

4创建用户并允许拨入权限

当ISA Server设置完毕后进入“计算机管理→用户” 为开通宽带的用户创建用户名、密码并设置拨入权限主要步骤如下

1在创建新用户时设置用户名并填写“描述”信息设置初始密码1234,并且选择“用户下次登录时须更改密码” 这样当用户第一次用VPN拨号成功后会弹出对话框提示用户更改密码这样防止其他人盗用帐号。如图6所示。

创建帐户

2然后进入帐户属性页在“拨入”选项卡中选中“允许访问” 。如图7所示。

设置拨入权限

如果要限制每个用户“只能拨号一次” 则选中“分配静态IP地址” 并且为用户分配172. 18.0.0之后的地址例如为其分配172. 19.0.0段的IP地址需要注意每个用户的地址不能相同同时还要修改ISA Server的策略“禁用VPN用户访问外网功能并创建只允许172. 19.0.0的计算机访问外网”的策略。5客户端策略

当服务器配置后好并且给用户“开通”后告诉用户从http://192. 168.250.2下载软件运行脚本程序后 自动在桌面创建名为“ADSL”的拨号连接用户需要上网时双击该链接用户输入自己的帐户与初始密码1234,开始连接VPN服务器如图8所示。