WINserver路由服务之多网段管控

******************

前几天，看见了一个朋友写的一篇文章《实现win2003路由功能》。
看了之后的感觉是，只写了路由功能的安装部分，对于功能实现之后的应用，没怎么谈到。于是跟他交流了一下下。然后也建议他来看看我的那篇《没有ISA管控的时候》，因为那个就是win路由功能的一个应用。不过，看见他说“还是不明白”。呵呵，再看看自己的文章。的确，在他所需要的那部份上，我没怎么做说明。
所以，再写一篇咯。希望能小小的帮他一下下。
******************

 

一、搭建路由服务的前提：
1.公司规章制度
一家由于某种原因（多是因为业务数据方面）制定了保密协议的公司。
因为其业务数据的保密性，公司规定普通的员工（比如软件工程师）在一帮情况下，除内网资源（如内网服务器以及内网中的其他机器）及与业务相关的公网资源以外，不得访问其他任何网络资源。（自然，对于一些与敏感信息无关的行政人员以及公司领导，还是要允许访问“大多数”的网络资源的）
2.公司财政开销
由于某种原因，领导既要实现对网路的安全管控，有不愿意投资购买设备（如硬体防火墙）及相应较好的软体（如ISA）。

上面的前提，自然应该是要考虑启用多网段来实现公司的领导的意愿了。

二、搭建路由服务的准备：
1.至少有两台服务器（未必非要企业级的）吧，一台做DC，一个台做DHCP+路由服务咯。
/*用DC+DHCP是为了让活动目录授权DHCP服务器，不然，随便搭建一台DHCPserver出来，就能分配动态地址，岂不是会扰乱局域网。就算是再节省，这样的安全性也该要做的。而且，如果公司启用AD控制，也会对安全方面有更大的提高。而且，也对以后架设exchange邮件服务做了准备*/
2.做DHCP的server至少两块网卡。

DC与DHCP的服务架设，此处省略。

/*在DHCP中添加第二个作用域时，例如网关，DNS等访问，可不进行添加，完整之后，第二个作用域会自动跟从第一作用域。如果公司因为业务修要有两条公网访问线路的话，也可以在路由服务中的“静态路由”中制定，关于静态路由，本文会有简单的介绍*/

 

三、路由服务的建设：

 在这一步，最近的一次测试中，发现，会提示需要关闭掉防火墙服务，所以，请大家注意一下。

1.在管理工具中启动“路由与远程访问”。此时可以看到，路由服务并没启动。右键点击，并选择“配置并启动”。如图1

 图1

2.在配置组合选择界面中，选择“自定义配置”，然后选择“下一步”，如图2

 图2

3.在启用服务选项中，选择“LAN路由”，然后选择“下一步”，如图3

 图3

4.选择“完成”，并选择“是”，等待服务启动。如图5

图5

至此，路由服务安装完毕。

四、对于某内部网段访问网路的管控

/*本文中，受管制网段为2号网段，在路由服务中，表示为“本地连接2”*/

1.设定对2号网段的管控，展开路由服务-IP路由选择-常规，并选择画面右侧的“本地连接2”，如图6

 图6

2.双击图6中的“本地连接2”，并选择“入站筛选器”（2000中，为“输入筛选器”）如图7所示

 图7

3.在图7所示的“入站筛选器”中选择“新建”，并针对“源网络”与“目标网络”以及协议，端口等信息进行添加，如图8中所示，是为了使2号网段可以成功访问1号网段中“所有”的网络资源所进行的设置。

图8

在“协议”的选项中，如果选择tcp或者udp时，则可以对端口进行设置。

4.在对“添加IP筛选器”编辑完成之后，点击“确定”，并在“入站筛选器”中选择“丢弃所有的包（O）”这一项，再点击“确定”。如图9所示

 图9

5.在“本地连接2”的属性界面中，点击“应用”及“确定”。这样，一个真对1号网段访问的权限就开通了。依照此法，也可以真对公网IP或公网网段进行访问权限的开通。而针对公网开通的管制，已经在此前的《在没有ISA管控的时候》一文中有所介绍，这里就不再重复了。

/*如果，你发现2号网段中的工作站不能访问同网段的其他工作站的话，那就在筛选器里面加入一笔“目标地址为192.168.2.0”的记录咯。*/

五、静态路由的设置与管理

1.静态路由设置的前提：

公司访问公网有两条不同的线路，如一条光纤，一条adsl。公司希望有关业务方面的网络访问走专线，而一些非重要的网路访问则由adsl承载。

2.为静态路由实现做的准备：

分别为两条外出网路安装路由器，并分别设置不同的1号网段IP。（因为服务器也在1号网段上。）比如，此例中，HTTB的router设置为192.168.1.241，adsl的router设为192.168.1.240。

3.设置静态路由：

比如，X.APPLE.COM是公司业务所需，经常要访问并下载数据的一台服务器，所以，需要将访问此服务器的路由指向HTTB这条线路上。

3.1.右键点击“静态路由”，选择“新建静态路由”，如图10

 图10

3.2.在弹出的静态路由设置窗口中，填入相应信息，并选择“接口”为“本地连接”（及路由器所在的网段的网卡连接），如图11

 图11

3.3.设置完毕后，点击“确定”，这样，就添加完成了一笔静态路由的设置，自然，也可以将搜狐的网站IP或者有关sohu.com的网段的访问指向adsl。完成图，如图12

 图12

3.4.如此，当一条线路速度过慢时，可以将路由指向临时修改为另外一条备份线路中，并同时对故障线路进行恢复。这样才不会因为ISP方面的一条链路问题而彻底影响公司业务。

Tips：

如果在启动路由服务是产出了一个警报，如图13

图13

那么，要在服务中将“Windows Firewall/Internet Connection Sharing(ICS)”这个服务停止并禁用。

****************************

至此，关于win路由服务的相关内容，已经是我的所有经验总结了。

还希望能帮到luwenju。呵呵

同事，也希望能和有这方面经验的朋友好好交流一下咯。还请大家多多指点哟。

O(∩_∩)O哈哈~

****************************

     本文转自dennisxinyu 51CTO博客，原文链接：http://blog.51cto.com/dennisxinyu/121826，如需转载请自行联系原作者