WINserver路由服务之多网段管控

简介:

******************

前几天,看见了一个朋友写的一篇文章《实现win2003路由功能》。
看了之后的感觉是,只写了路由功能的安装部分,对于功能实现之后的应用,没怎么谈到。于是跟他交流了一下下。然后也建议他来看看我的那篇《没有ISA管控的时候》,因为那个就是win路由功能的一个应用。不过,看见他说“还是不明白”。呵呵,再看看自己的文章。的确,在他所需要的那部份上,我没怎么做说明。
所以,再写一篇咯。希望能小小的帮他一下下。
******************

 

一、搭建路由服务的前提:
1.公司规章制度
一家由于某种原因(多是因为业务数据方面)制定了保密协议的公司。
因为其业务数据的保密性,公司规定普通的员工(比如软件工程师)在一帮情况下,除内网资源(如内网服务器以及内网中的其他机器)及与业务相关的公网资源以外,不得访问其他任何网络资源。(自然,对于一些与敏感信息无关的行政人员以及公司领导,还是要允许访问“大多数”的网络资源的)
2.公司财政开销
由于某种原因,领导既要实现对网路的安全管控,有不愿意投资购买设备(如硬体防火墙)及相应较好的软体(如ISA)。

上面的前提,自然应该是要考虑启用多网段来实现公司的领导的意愿了。


二、搭建路由服务的准备:
1.至少有两台服务器(未必非要企业级的)吧,一台做DC,一个台做DHCP+路由服务咯。
/*用DC+DHCP是为了让活动目录授权DHCP服务器,不然,随便搭建一台DHCPserver出来,就能分配动态地址,岂不是会扰乱局域网。就算是再节省,这样的安全性也该要做的。而且,如果公司启用AD控制,也会对安全方面有更大的提高。而且,也对以后架设exchange邮件服务做了准备*/
2.做DHCP的server至少两块网卡。


DC与DHCP的服务架设,此处省略。

/*在DHCP中添加第二个作用域时,例如网关,DNS等访问,可不进行添加,完整之后,第二个作用域会自动跟从第一作用域。如果公司因为业务修要有两条公网访问线路的话,也可以在路由服务中的“静态路由”中制定,关于静态路由,本文会有简单的介绍*/

 

三、路由服务的建设:

 在这一步,最近的一次测试中,发现,会提示需要关闭掉防火墙服务,所以,请大家注意一下。

1.在管理工具中启动“路由与远程访问”。此时可以看到,路由服务并没启动。右键点击,并选择“配置并启动”。如图1

 图1

2.在配置组合选择界面中,选择“自定义配置”,然后选择“下一步”,如图2

 图2

3.在启用服务选项中,选择“LAN路由”,然后选择“下一步”,如图3

 图3

4.选择“完成”,并选择“是”,等待服务启动。如图5

图5

至此,路由服务安装完毕。


四、对于某内部网段访问网路的管控

/*本文中,受管制网段为2号网段,在路由服务中,表示为“本地连接2”*/

1.设定对2号网段的管控,展开路由服务-IP路由选择-常规,并选择画面右侧的“本地连接2”,如图6

 图6

2.双击图6中的“本地连接2”,并选择“入站筛选器”(2000中,为“输入筛选器”)如图7所示

 图7

3.在图7所示的“入站筛选器”中选择“新建”,并针对“源网络”与“目标网络”以及协议,端口等信息进行添加,如图8中所示,是为了使2号网段可以成功访问1号网段中“所有”的网络资源所进行的设置。

图8

在“协议”的选项中,如果选择tcp或者udp时,则可以对端口进行设置。

4.在对“添加IP筛选器”编辑完成之后,点击“确定”,并在“入站筛选器”中选择“丢弃所有的包(O)”这一项,再点击“确定”。如图9所示

 图9

5.在“本地连接2”的属性界面中,点击“应用”及“确定”。这样,一个真对1号网段访问的权限就开通了。依照此法,也可以真对公网IP或公网网段进行访问权限的开通。而针对公网开通的管制,已经在此前的《在没有ISA管控的时候》一文中有所介绍,这里就不再重复了。

/*如果,你发现2号网段中的工作站不能访问同网段的其他工作站的话,那就在筛选器里面加入一笔“目标地址为192.168.2.0”的记录咯。*/


五、静态路由的设置与管理

1.静态路由设置的前提:

公司访问公网有两条不同的线路,如一条光纤,一条adsl。公司希望有关业务方面的网络访问走专线,而一些非重要的网路访问则由adsl承载。

2.为静态路由实现做的准备:

分别为两条外出网路安装路由器,并分别设置不同的1号网段IP。(因为服务器也在1号网段上。)比如,此例中,HTTB的router设置为192.168.1.241,adsl的router设为192.168.1.240。

3.设置静态路由:

比如,X.APPLE.COM是公司业务所需,经常要访问并下载数据的一台服务器,所以,需要将访问此服务器的路由指向HTTB这条线路上。

3.1.右键点击“静态路由”,选择“新建静态路由”,如图10

 图10

3.2.在弹出的静态路由设置窗口中,填入相应信息,并选择“接口”为“本地连接”(及路由器所在的网段的网卡连接),如图11

 图11

3.3.设置完毕后,点击“确定”,这样,就添加完成了一笔静态路由的设置,自然,也可以将搜狐的网站IP或者有关sohu.com的网段的访问指向adsl。完成图,如图12

 图12

3.4.如此,当一条线路速度过慢时,可以将路由指向临时修改为另外一条备份线路中,并同时对故障线路进行恢复。这样才不会因为ISP方面的一条链路问题而彻底影响公司业务。

Tips:

如果在启动路由服务是产出了一个警报,如图13

图13

那么,要在服务中将“Windows Firewall/Internet Connection Sharing(ICS)”这个服务停止并禁用。

****************************

至此,关于win路由服务的相关内容,已经是我的所有经验总结了。

还希望能帮到luwenju。呵呵

同事,也希望能和有这方面经验的朋友好好交流一下咯。还请大家多多指点哟。

O(∩_∩)O哈哈~

****************************






     本文转自dennisxinyu 51CTO博客,原文链接:http://blog.51cto.com/dennisxinyu/121826,如需转载请自行联系原作者


相关文章
|
12天前
|
Linux 调度
路由管家指南:服务器中路由命令的完全解读
路由管家指南:服务器中路由命令的完全解读
18 2
|
1月前
|
网络协议 网络性能优化 网络虚拟化
【亮剑】介绍了华为三层交换机的配置命令,包括基本配置(系统启动、接口配置、基础设置)、路由协议(OSPF、BGP)配置和高级功能(VLAN、ACL、QoS)配置
【4月更文挑战第30天】本文介绍了华为三层交换机的配置命令,包括基本配置(系统启动、接口配置、基础设置)、路由协议(OSPF、BGP)配置和高级功能(VLAN、ACL、QoS)配置。通过这些命令,网络工程师可以有效地管理设备、优化网络性能并解决网络问题。熟练掌握这些命令对于提升网络运行效率至关重要。
|
1月前
|
监控 网络协议 安全
【亮剑】当设备IP能ping通但无法上网时,可能是DNS解析、网关/路由设置、防火墙限制、网络配置错误或ISP问题
【4月更文挑战第30天】当设备IP能ping通但无法上网时,可能是DNS解析、网关/路由设置、防火墙限制、网络配置错误或ISP问题。解决步骤包括检查网络配置、DNS设置、网关路由、防火墙规则,以及联系ISP。预防措施包括定期备份配置、更新固件、监控网络性能和实施网络安全策略。通过排查和维护,可确保网络稳定和安全。
|
1月前
|
网络虚拟化 数据安全/隐私保护 数据中心
【专栏】对比了思科与华为网络设备的基本配置、接口、VLAN、路由、访问控制列表及其它关键命令
【4月更文挑战第28天】本文对比了思科与华为网络设备的基本配置、接口、VLAN、路由、访问控制列表及其它关键命令。尽管两者在很多操作上相似,如设备命名(思科:`hostname`,华为:`sysname`)、查看版本信息(思科:`show version`,华为:`display version`),但在某些方面存在差异,如接口速率设置(两者都使用`speed`和`duplex`,但命令结构略有不同)和VLAN配置(华为的`port hybrid`命令)。
|
12月前
|
算法 网络架构
网络管理怎么配置路由
上一篇文章学习了连接不同交换机的主机之间的通信,在工作环境中如果需要实现不同网段之间的通信,这个时候需要路由器才可以做到,本篇文章将具体学习IP和子网掩码的作用,最后实现本篇文章的目标,实现不同网段主机之间的通信。
158 0
|
网络协议 网络虚拟化 数据安全/隐私保护
华为—DHCP(中继)、路由引入,ACL综合实验
华为—DHCP(中继)、路由引入,ACL综合实验
283 1
华为—DHCP(中继)、路由引入,ACL综合实验