v\:* {behavior:url(#default#VML);} o\:* {behavior:url(#default#VML);} w\:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);}

 

	
	

		本文通过微软的ISA2006和华硕的RT-N10+无线路由器结合。  
		

			实现了一种廉价的外来访客与局域网用户内外隔离的方案。  
			

				其中选用ISA2006是因为本案中需求简单，ISA2006系统开销也小，完全可以满足需求。  
				

					选用华硕RT-N10+则是因为，它采用了Ralink的RT3050F方案，亮点是320Mhz高主频，  
					

						以及32M大内存，同时该机可以刷DD-WRT，扩展性也非常好。  
						

							经过测试，信号表现非常好，现在市售不含税价格在100RMB左右。  
						

							

目的：

随着公司业务的开展，不可避免的会遇到有外来用户（访客、合作伙伴等）来公司办公区域上网的情况。由于公司网康设备的存在，外来用户上网步骤非常繁琐，需要先提供自带设备的MAC地址，连入网络的IP地址，再由网络工程师对该IP进行免认证或其他相应权限的设置。同时外来用户来去自由，对这些IP资源不好监管。

更重要的是，外来用户接入网络后，可以直接访问公司的内部资源，如文件共享、打印共享，以及其他用户的计算机共享等，存在较大的安全隐患。

为此，急需一套解决方案来处理这种外来用户与内网隔离的问题。既要保证外来用户上网方便，又要保证内网资源不被外网用户轻易获取。

 

 

实践

实现该设置最简单和直观的方法是在核心交换上某个端口划分新的VLAN，实现内外网隔离，同时重新完成综合布线，在物理上与无线路由/AP进行连接。由于公司网络已近成型，这种方法耗时长，变动大，成本高，优点是可靠性高。

因此对以下的几种方法进行了尝试，寻求逻辑上解决的办法。

1、首先是第一种方法，通过ISA2006作为内网的一台代理，为无线路由器提供网关功能，使其对外访问时先经过ISA.。ISA2006的网关指向飞塔400A（新世纪主干网络接入）。

其中无线路由器使用NAT方式联网，即LAN和WIFI与WAN不在同一网段，使用WIFI的网络设置代理上网时，ISA2006即可作为飞塔400A之前的又一道防火墙，强制对无线路由器进行规则限制。

由于在物理链路上，无线路由器网关被指定在ISA上，用户必须通过无线路由器NAT之后进行网络访问，不可能通过手动修改IP配置信息的方式跳过ISA的规则限制。

  

虚拟机中将ISA设置为单一网络适配器模式。

防火墙规则中默认是禁止所有访问，由于需要禁止所有内网访问，所以需要做一条规则禁止访问所有的内网网段地址（包含所有出站协议→从所有网络至特定网络组），ISA可以设置地址范围，如192.168.2.1-192.168.2.250，同时多个地址范围可以包含在一个地址组内。

再设置一条允许互联网访问的策略即可。（包含所有出站协议→从所有网络至所有网络，开放常用协议，如邮件、http等。）

缺点：测试环境将无线路由器和ISA2006放置在同一个网段，一切正常。然而在将服务器放到0段机房时，则无法正常使用。原因是客户在提交访问信息后，路由并没有从源地址→核心交换→0段ISA→核心交换→外网，

而是源地址→核心交换→外网。

因此在跨网段的情况下，无法采用这种方案。尽管可以通过每个网段部署一台ISA来实现上述功能，但成本和管理性上不尽人意。

 

2、上一种方法的弊端在于不适用于跨网段的环境使用。因此折中了一下，允许外来用户正常接入，但如果要上网，则需经过ISA设置的VPN出去。

设备结构如下。用户在手动拨VPN后，则被ISA的规则限制，无法访问内网，只允许访问Internet，如下方VPN线路所示。

  

用户未手动拨号，直接从上方线路通过，可以访问内网资源。但因为有内网审计系统，没有账号密码的情况下，无法访问互联网。

用户拨通VPN，逻辑上是先通过ISA，再上网，由于经过ISA，因此可受到规则限制。

缺点：物理上没有隔绝用户访问内网资源，外来用户要么访问互联网，要么访问局域网，不可同时进行，一定程度上降低风险，但还不完美。

 

 

3、上一种方法还是有些美中不足，因此决定将VPN这个拨号动作交由路由器本身完成。无线路由RT-N10+在刷完DD-WRT固件后，已经有了VPN拨号的功能，同时拥有流量监控等简单的功能。

对WAN进行必要的设置后，验证了确实可以通过无线路由器进行VPN的拨号动作。同时路由也按照预期的路径来完成了。

第一个地址为路由本身的地址，第二个地址为ISA的VPN所提供的网关。

和上种方式一样，进入VPN后，受到ISA限制，不同的是，接入后不需要用户进行VPN拨号的动作。

缺点：由于WAN口需要使用PPTP进行拨号，不采用DHCP分配就无法连接成功，因此管理稍有不便。但依然可以由DHCP服务器绑定其IP。

 

 

 

总结：

最终使用的资源如下：

相应个数的无线路由器RT-N10+，用以提供无线信号和VPN拨号动作；0网段部署的ISA虚拟机一台，用以实现VPN和代理路由的功能。

实现的功能如下：

无线路由器对外提供受控的网络访问，只允许访问外网，不允许访问内网。

无线路由器所提供的LAN口访问同样受限。

无线路由器经过一次设置后，可以在公司任何楼层使用，不需因为VLAN变换而作任何配置，即插即用。

优点如下：

不使用VLAN进行硬件端口物理隔绝，节省投资，实现效果相同。

部署方便，无线路由器可以根据来访客户实际情况，安装在公司内的任意地点。