用ISA Server做小区宽带运营的服务器

用ISA Server做小区宽带运营的服务器

转自：http://wangchunhai.blog.51cto.com/225186/294017

近期一个朋友接了个工程：某小区物业，准备为本小区的1200多名用户提供宽带接入服务，该物业先期申请了10M的光纤，以后根据需要进行扩容。朋友为每个楼层、每户布好了网线，交换机也已经安装到位。原来准备用某硬件厂商提供的计费与拨号软件，但算下来成本太高（计费与拨号软件及相关设备得10万多元）。朋友让我给提供个“低成本”的解决方案。朋友的要求比较简单：用户申请开通网络（用户费用每年一交，和ADSL类似），能管理用户，不开通用户不能上网（因为网线已经布到了每户门前）。

  经过实地考核，又与小区物业管理人员交流，给出如下的解决方案：

 （ 1 ）核心交换机用的是华为 5300 系列，该交换机支持 4096 个 VLAN 、支持 DHCP 服务器。为每栋楼每个楼层划分一个 VLAN （大约划分 300 多个），并配置 DHCP 服务器，为每个接入网络的计算机，自动分配 IP 地址、子网掩码与网关地址（可以不分配 DNS ）。 DHCP 服务器采用 172.16.0.0/27 ～ 172.16.40.0/27 ，这样，每个楼层有 5 户，每个楼层可使用的 IP 地址是 29 个，这样足以保证应用。这样，接入用户的，采用自动获得 IP 地址的方式，只要接入网络，就可以获得一个 IP 地址，能连接到小区的网络中。但这时，接入用户还不能访问 Internet 。

（ 2 ）购买一台服务器，安装 Windows Server 2003 与 ISA Server ，使用 ISA Server 做 VPN 服务器，在 ISA Server 中设置策略，只允许 VPN 用户访问 Internet 。如果用户申请了开通宽带的服务，就在 Windows Server 2003 中，为其创建一个用户，并在用户属性中，设置“允许拨入”权限。小区用户，在自己的计算机中，创建 VPN 拨号连接，使用为其分配的用户名、密码、指定 ISA Server 服务器的地址，拨号就可以上网。

 规划后的网络拓扑图如下（简化拓扑图，更多交换机、光纤交换机没有列在图中）。

 

网络拓扑图

同时，有几个问题需要注意：

（ 1 ）静态路由与 VPN 地址分配问题

在 ISA Server 服务器上，设置“内网”网卡的地址是 192.168.250.2/30, 连接的华为 5300 系列交换机，单独创建一个 VLAN ，指定 VLAN 地址 192.168.250.1, 并在华为 5300 交换机上，设置到 ISA Server 的静态路由。而在 ISA Server 服务器上，添加到 172.16.0.0/16 的静态路由。

为 VPN 用户分配 172.17.0.1 ～ 172.17.7.254 的地址段。

（ 2 ）用户速度限制问题：初期可以在楼层交换机，每个连接用户的端口，设置端口速度为 1MB 。

（ 3 ）用户多次拨入问题：可以在“用户属性”中，为每个用户指定静态 IP 地址，例如，为每个用户分配 172.18.0.0 段的地址，并修改 ISA Server 策略，只允许 172.18.0.0 的地址段访问外网。而 VPN 用户如果第一次拨入，是用户指定的 IP 地址，如果第二次拨入（第一个拨号没有断开），则使用 VPN 服务器自动分配的地址 172.17.0.0, 这样在 ISA Server 策略中，是不允许访问外网的。

（ 4 ）为了简化用户的操作，使用 AutoIT 创建 VPN 拨号连接的脚本，让用户从 ISA Server 服务器下载（同时安装了 IIS 网站）。

（ 5 ）为了给用户提供更多的服务，在 ISA Server 服务器安装 NOD32 杀毒软件，为小区用户提供病毒库的升级。

下面介绍实现的主要步骤。

1 安装配置 Windows Server 2003

安装好系统后，打开“网络连接”，重命名每个网卡，对于连接到 Internet 的网卡，重命名为“ Internet ”，并设置 IP 地址、子网掩码、网关与 DNS 信息（由 ISP 提供）。设置好后，当前计算机应该能访问 Internet 。于另一个网卡，连接到 5300 核心交换机，设置 IP 地址为 192.168.250.2, 子网掩码为 255.255.255.252 ，不要设置网关地址。设置好后，进入命令提示符，添加到内网其他网段的静态路由：

route  add –p  172.16.0.0 mask 255.255.0.0  192.168.250.1

添加静态路由后，使用 ping 命令，测试网络是否正常（可以 ping 其他 VLAN 的网关地址）。

然后，打开“ Internet 信息服务”，删除默认的网站，然后添加一个新的网站，该网站使用 192.168.250.2 的 IP 地址、启用“目录浏览”功能，网站目录为硬盘上的一个文件夹，该文件夹内保存 NOD32 杀毒软件与小区用户创建拨号连接的“脚本”程序。安装好后，在浏览器中键入 http://192.168.250.2 ，可以列出小区拨号软件（与其他要为用户提供的程序），如图 2 所示。

 

 

 

以后，小区用户只要访问该网站，就可以获得所需要的软件。用户下载该脚本程序并运行，就可以自动完成VPN拨号连接的创建工作，简化了管理人员的负担。

附：AutoIT创建VPN拨号脚本内容如下，你需要用AutoIT提供的工具“编译”成可执行程序提供给用户。如果你的ISA Server服务器的地址不是192.168.250.2,请将下面的192.168.250.2换成你所需要的地址即可。

Run("control.exe netconnections")

WinWaitActive("网络连接","")

WinActive("网络连接","")

send("!fn")

WinWaitActive("新建连接向导","")

WinActive("新建连接向导","")

send("!n")

WinWaitActive("新建连接向导","连接到 Internet")

WinActive("新建连接向导","连接到 Internet")

send("!on")

WinWaitActive("新建连接向导","虚拟专用网络连接")

WinActive("新建连接向导","虚拟专用网络连接")

send("!vn")

WinWaitActive("新建连接向导","公司名")

WinActive("新建连接向导","公司名")

send("!aADSL!n")

sleep(1000)

if WinActivate("新建连接向导","不拨初始连接") then send("!dn")

WinWaitActive("新建连接向导","主机名")

WinActive("新建连接向导","主机名")

send("!h192.168.250.2!n")

sleep(1000)

if WinActivate("新建连接向导","") then send("!mn")

WinWaitActive("新建连接向导","正在完成新建连接向导")

WinActive("新建连接向导","正在完成新建连接向导")

send("!s")

send("{ENTER}")

sleep(1000)

if winactive("网络连接","") Then

         winwaitactive("网络连接","")

         send("{enter}")

EndIf

2 在ISA Server上启用VPN服务

 

在配置好 Windows Server 2003 后，安装 ISA Server 。有关 ISA Server 的安装不做过多介绍，在此只介绍将 ISA Server 配置成 VPN 服务器、拨号用户设置、 ISA Server 策略的注意事项，关键步骤如下：

（ 1 ）为 VPN 客户端分配地址：在“ ISA Server 管理控制台”中，在“虚拟专用网络（ VPN ）”选项中，在右侧的“任务”中单击“定义地址分配”链接，在弹出的“虚拟专用网络（ VPN ）属性”对话框中，在“地址分配”选项卡中，选择“静态地址池”，单击“添加”按钮，添加 172.17.0.1 ～ 172.17.7.254 的地址范围，如图 3 所示。

 

 

图 3  定义地址

 

（ 2 ）在定义地址后，在“虚拟专用网络（ VPN ）属性”对话框中，单击“高级”按钮，在弹出的“名称解析”对话框中，选中“使用下面的 DNS 服务器地址”，然后添加 ISP 提供的 DNS 地址，否则， VPN 客户端将不能解析域名，如图 4 所示。

 

 

为 VPN 地址

（ 3 ）单击“访问网络”选项卡，去掉“外部”，选中“内部”，这样， VPN 用户就只能通过“内部”网络拨号，而不是通过 Internet 接口拨号，如图 5 所示。

 

 

只能从“内部”拨号

（ 3 ）然后单击“启用 VPN 客户端访问”链接，启用 VPN 服务器，最后单击“应用”按钮，让 ISA Server 策略生效。然后重新启动计算机。

3 创建防火墙策略

再次进入系统后，配置以下 ISA Server 防火墙策略：

（ 1 ）允许“ VPN 客户端”以“所有出站通讯”协议访问“外部”，即允许 VPN 客户端访问 Internet 。

（ 2 ）允许“内部”以“ HTTP 协议”访问“本地计算机”，这样，内网用户就可以从 ISA Server 的 Web 服务器上浏览并下载拨号脚本与其他软件。

（ 3 ）允许“内部” ping “本地计算机”，这样用户就可以测试能否访问网关。

设置之后，让策略生效。

4 创建用户并允许拨入权限

 

当 ISA Server 设置完毕后，进入“计算机管理→用户”，为开通宽带的用户，创建用户名、密码，并设置拨入权限，主要步骤如下：

（ 1 ）在创建新用户时，设置用户名，并填写“描述”信息，设置初始密码 1234, 并且选择“用户下次登录时须更改密码”，这样，当用户第一次用 VPN 拨号成功后，会弹出对话框，提示用户更改密码，这样防止其他人盗用帐号。如图 6 所示。

 

 

创建帐户

（ 2 ）然后进入帐户属性页，在“拨入”选项卡中，选中“允许访问”。如图 7 所示。

 

 

设置拨入权限

如果要限制每个用户“只能拨号一次”，则选中“分配静态 IP 地址”，并且为用户分配 172.18.0.0 之后的地址，例如为其分配 172.19.0.0 段的 IP 地址，需要注意，每个用户的地址不能相同，同时还要修改 ISA Server 的策略“禁用 VPN 用户访问外网功能，并创建只允许 172.19.0.0 的计算机访问外网”的策略。

5 客户端策略

当服务器配置后好，并且给用户“开通”后，告诉用户从 http://192.168.250.2 下载软件，运行脚本程序后，自动在桌面创建名为“ ADSL ”的拨号连接，用户需要上网时，双击该链接，用户输入自己的帐户与初始密码 1234, 开始连接 VPN 服务器，如图 8 所示。

 

 

拨号

第一次拨叫成功后，会弹出“更改密码”的对话框，用户设置新的密码后，单击“确定”按钮，即可以访问外网。如图 9 所示。等用户下次拨号时，需要用新设置的密码。

 

  更改密码

 

6 其他问题

   在为每个用户创建帐户时，要记录用户名与开通日期，并且在用户到期前催要费用。如果用户到期没有续费，或者办理“暂停”业务，只需要进入“计算机管理→用户”中，禁用对应的帐户即可。

    如果要想“自动禁用”到期帐户，可以将 Windows Server 2003 升级到“ Active Directory ”，在“ Active Directory 用户和计算机”中，可以设置每个帐户的到期时间。但只为这一功能而配置 Active Directory 服务器，并不是很好的选择。

    另外，考虑到用户习惯使用“ 360 ”升级补丁，如果为了近一步减少出口带宽的浪费，可以在配置一台 WSUS 服务器，为小区的用户提供升级服务，这样，即方便了用户、加快了用户下载补丁的速度，还节约了出口带宽。

在一台双网卡的服务器上，安装 Windows Server 2003 企业版，同时安装“ Internet 信息服务”。