WINserver路由服务之多网段管控

  1. 云栖社区>
  2. 博客>
  3. 正文

WINserver路由服务之多网段管控

技术小胖子 2017-11-08 01:28:00 浏览1019
展开阅读全文

******************

前几天,看见了一个朋友写的一篇文章《实现win2003路由功能》。
看了之后的感觉是,只写了路由功能的安装部分,对于功能实现之后的应用,没怎么谈到。于是跟他交流了一下下。然后也建议他来看看我的那篇《没有ISA管控的时候》,因为那个就是win路由功能的一个应用。不过,看见他说“还是不明白”。呵呵,再看看自己的文章。的确,在他所需要的那部份上,我没怎么做说明。
所以,再写一篇咯。希望能小小的帮他一下下。
******************

 

一、搭建路由服务的前提:
1.公司规章制度
一家由于某种原因(多是因为业务数据方面)制定了保密协议的公司。
因为其业务数据的保密性,公司规定普通的员工(比如软件工程师)在一帮情况下,除内网资源(如内网服务器以及内网中的其他机器)及与业务相关的公网资源以外,不得访问其他任何网络资源。(自然,对于一些与敏感信息无关的行政人员以及公司领导,还是要允许访问“大多数”的网络资源的)
2.公司财政开销
由于某种原因,领导既要实现对网路的安全管控,有不愿意投资购买设备(如硬体防火墙)及相应较好的软体(如ISA)。

上面的前提,自然应该是要考虑启用多网段来实现公司的领导的意愿了。


二、搭建路由服务的准备:
1.至少有两台服务器(未必非要企业级的)吧,一台做DC,一个台做DHCP+路由服务咯。
/*用DC+DHCP是为了让活动目录授权DHCP服务器,不然,随便搭建一台DHCPserver出来,就能分配动态地址,岂不是会扰乱局域网。就算是再节省,这样的安全性也该要做的。而且,如果公司启用AD控制,也会对安全方面有更大的提高。而且,也对以后架设exchange邮件服务做了准备*/
2.做DHCP的server至少两块网卡。


DC与DHCP的服务架设,此处省略。

/*在DHCP中添加第二个作用域时,例如网关,DNS等访问,可不进行添加,完整之后,第二个作用域会自动跟从第一作用域。如果公司因为业务修要有两条公网访问线路的话,也可以在路由服务中的“静态路由”中制定,关于静态路由,本文会有简单的介绍*/

 

三、路由服务的建设:

 在这一步,最近的一次测试中,发现,会提示需要关闭掉防火墙服务,所以,请大家注意一下。

1.在管理工具中启动“路由与远程访问”。此时可以看到,路由服务并没启动。右键点击,并选择“配置并启动”。如图1

 图1

2.在配置组合选择界面中,选择“自定义配置”,然后选择“下一步”,如图2

 图2

3.在启用服务选项中,选择“LAN路由”,然后选择“下一步”,如图3

 图3

4.选择“完成”,并选择“是”,等待服务启动。如图5

图5

至此,路由服务安装完毕。


四、对于某内部网段访问网路的管控

/*本文中,受管制网段为2号网段,在路由服务中,表示为“本地连接2”*/

1.设定对2号网段的管控,展开路由服务-IP路由选择-常规,并选择画面右侧的“本地连接2”,如图6

 图6

2.双击图6中的“本地连接2”,并选择“入站筛选器”(2000中,为“输入筛选器”)如图7所示

 图7

3.在图7所示的“入站筛选器”中选择“新建”,并针对“源网络”与“目标网络”以及协议,端口等信息进行添加,如图8中所示,是为了使2号网段可以成功访问1号网段中“所有”的网络资源所进行的设置。

图8

在“协议”的选项中,如果选择tcp或者udp时,则可以对端口进行设置。

4.在对“添加IP筛选器”编辑完成之后,点击“确定”,并在“入站筛选器”中选择“丢弃所有的包(O)”这一项,再点击“确定”。如图9所示

 图9

5.在“本地连接2”的属性界面中,点击“应用”及“确定”。这样,一个真对1号网段访问的权限就开通了。依照此法,也可以真对公网IP或公网网段进行访问权限的开通。而针对公网开通的管制,已经在此前的《在没有ISA管控的时候》一文中有所介绍,这里就不再重复了。

/*如果,你发现2号网段中的工作站不能访问同网段的其他工作站的话,那就在筛选器里面加入一笔“目标地址为192.168.2.0”的记录咯。*/


五、静态路由的设置与管理

1.静态路由设置的前提:

公司访问公网有两条不同的线路,如一条光纤,一条adsl。公司希望有关业务方面的网络访问走专线,而一些非重要的网路访问则由adsl承载。

2.为静态路由实现做的准备:

分别为两条外出网路安装路由器,并分别设置不同的1号网段IP。(因为服务器也在1号网段上。)比如,此例中,HTTB的router设置为192.168.1.241,adsl的router设为192.168.1.240。

3.设置静态路由:

比如,X.APPLE.COM是公司业务所需,经常要访问并下载数据的一台服务器,所以,需要将访问此服务器的路由指向HTTB这条线路上。

3.1.右键点击“静态路由”,选择“新建静态路由”,如图10

 图10

3.2.在弹出的静态路由设置窗口中,填入相应信息,并选择“接口”为“本地连接”(及路由器所在的网段的网卡连接),如图11

 图11

3.3.设置完毕后,点击“确定”,这样,就添加完成了一笔静态路由的设置,自然,也可以将搜狐的网站IP或者有关sohu.com的网段的访问指向adsl。完成图,如图12

 图12

3.4.如此,当一条线路速度过慢时,可以将路由指向临时修改为另外一条备份线路中,并同时对故障线路进行恢复。这样才不会因为ISP方面的一条链路问题而彻底影响公司业务。

Tips:

如果在启动路由服务是产出了一个警报,如图13

图13

那么,要在服务中将“Windows Firewall/Internet Connection Sharing(ICS)”这个服务停止并禁用。

****************************

至此,关于win路由服务的相关内容,已经是我的所有经验总结了。

还希望能帮到luwenju。呵呵

同事,也希望能和有这方面经验的朋友好好交流一下咯。还请大家多多指点哟。

O(∩_∩)O哈哈~

****************************






     本文转自dennisxinyu 51CTO博客,原文链接:http://blog.51cto.com/dennisxinyu/121826,如需转载请自行联系原作者


网友评论

登录后评论
0/500
评论
技术小胖子
+ 关注