ISA与华硕无线路由低成本完成来访客户与局域网内用户阻隔51CTO博客 - 凯时娱乐

ISA与华硕无线路由低成本完成来访客户与局域网内用户阻隔51CTO博客

2019年02月28日09时36分26秒 | 作者: 惜蕊 | 标签: 用户,无线,线路 | 浏览: 1380

 

  1. 本文通过微软的ISA2006和华硕的RT-N10+无线路由器结合。 
  2. 完结了一种廉价的外来访客与局域网用户表里阻隔的计划。 
  3. 其间选用ISA2006是由于本案中需求简略,ISA2006体系开支也小,完全能够满意需求。 
  4. 选用华硕RT-N10+则是由于,它选用了Ralink的RT3050F计划,亮点是320Mhz高主频,
  5. 以及32M大内存,一起该机能够刷DD-WRT,扩展性也十分好。
  6. 通过测验,信号体现十分好,现在市售不含税价格在100RMB左右。 

意图:

跟着公司事务的展开,不行避免的会遇到有外来用户(访客、合作伙伴等)来公司工作区域上网的状况。由于公司网康设备的存在,外来用户上网过程十分繁琐,需求先供给自带设备的MAC地址,连入网络的IP地址,再由网络工程师对该IP进行免认证或其他相应权限的设置。一起外来用户来去自由,对这些IP资源欠好监管。

更重要的是,外来用户接入网络后,能够直接拜访公司的内部资源,如文件同享、打印同享,以及其他用户的计算机同享等,存在较大的安全隐患。

为此,急需一套处理计划来处理这种外来用户与内网阻隔的问题。既要确保外来用户上网便利,又要确保内网资源不被外网用户容易获取。

 

 

实践

完结该设置最简略和直观的办法是在中心交流上某个端口区分新的VLAN,完结表里网阻隔,一起从头完结归纳布线,在物理上与无线路由/AP进行衔接。由于公司网络已近成型,这种办法耗时长,变化大,本钱高,长处是可靠性高。

因而对以下的几种办法进行了测验,寻求逻辑上处理的办法。

1、首先是榜首种办法,通过ISA2006作为内网的一台署理,为无线路由器供给网关功用,使其对外拜访时先通过ISA.。ISA2006的网关指向飞塔400A(新世纪骨干网络接入)。

其间无线路由器运用NAT办法联网,即LAN和WIFI与WAN不在同一网段,运用WIFI的网络设置署理上网时,ISA2006即可作为飞塔400A之前的又一道防火墙,强制对无线路由器进行规矩约束。

由于在物理链路上,无线路由器网关被指定在ISA上,用户有必要通过无线路由器NAT之后进行网络拜访,不行能通过手动修正IP装备信息的办法越过ISA的规矩约束。


  

虚拟机中将ISA设置为单一网络适配器形式。

防火墙规矩中默许是制止一切拜访,由于需求制止一切内网拜访,所以需求做一条规矩制止拜访一切的内网网段地址(包括一切出站协议→从一切网络至特定网络组),ISA能够设置地址规模,如192.168.2.1-192.168.2.250,一起多个地址规模能够包括在一个地址组内。


再设置一条答应互联网拜访的战略即可。(包括一切出站协议→从一切网络至一切网络,敞开常用协议,如邮件、http等。)

缺陷:测验环境将无线路由器和ISA2006放置在同一个网段,一切正常。然而在将服务器放到0段机房时,则无法正常运用。原因是客户在提交拜访信息后,路由并没有从源地址→中心交流→0段ISA→中心交流→外网,

而是源地址→中心交流→外网。

因而在跨网段的状况下,无法选用这种计划。虽然能够通过每个网段布置一台ISA来完结上述功用,但本钱和办理性上不尽人意。

 

2、上一种办法的坏处在于不适用于跨网段的环境运用。因而折中了一下,答应外来用户正常接入,但假如要上网,则需通过ISA设置的***出去。

设备结构如下。用户在手动拨***后,则被ISA的规矩约束,无法拜访内网,只答应拜访Internet,如下方***线路所示。

  

用户未手动拨号,直接从上方线路通过,能够拜访内网资源。但由于有内网审计体系,没有账号密码的状况下,无法拜访互联网。


用户拨通***,逻辑上是先通过ISA,再上网,由于通过ISA,因而可遭到规矩约束。

缺陷:物理上没有阻隔用户拜访内网资源,外来用户要么拜访互联网,要么拜访局域网,不行一起进行,必定程度上下降危险,但还不完美。

 

 

3、上一种办法仍是有些美中不足,因而决定将***这个拨号动作交由路由器自身完结。无线路由RT-N10+在刷完DD-WRT固件后,已经有了***拨号的功用,一起具有流量监控等简略的功用。

对WAN进行必要的设置后,验证了的确能够通过无线路由器进行***的拨号动作。一起路由也依照预期的途径来完结了。

榜首个地址为路由自身的地址,第二个地址为ISA的***所供给的网关。

和上种办法相同,进入***后,遭到ISA约束,不同的是,接入后不需求用户进行***拨号的动作。

缺陷:由于WAN口需求运用PPTP进行拨号,不选用DHCP分配就无法衔接成功,因而办理稍有不便利。但仍然能够由DHCP服务器绑定其IP。

 

 

 

总结:

终究运用的资源如下:

相应个数的无线路由器RT-N10+,用以供给无线信号和***拨号动作;0网段布置的ISA虚拟机一台,用以完结***和署理路由的功用。

完结的功用如下:

无线路由器对外供给受控的网络拜访,只答应拜访外网,不答应拜访内网。

无线路由器所供给的LAN口拜访相同受限。

无线路由器通过一次设置后,能够在公司任何楼层运用,不需由于VLAN改换而作任何装备,即插即用。

长处如下:

不运用VLAN进行硬件端口物理阻隔,节约出资,完结作用相同。

布置便利,无线路由器能够依据来访客户实际状况,安装在公司内的恣意地址。

 

 

 

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表凯时娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章