Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1203770
  • 博文数量: 94
  • 博客积分: 0
  • 博客等级: 民兵
  • 技术积分: 2958
  • 用 户 组: 普通用户
  • 注册时间: 2013-07-01 17:59
个人简介

关注微软私有云、公有云,虚拟化,项目经验丰富。商业合作请通过邮件联系,邮件地址a9y#foxmail.com(请替换#为@)。

文章分类

全部博文(94)

文章存档

2016年(3)

2015年(8)

2014年(14)

2013年(69)

分类: IT职场

2013-07-03 14:35:51

v\:* {behavior:url(#default#VML);} o\:* {behavior:url(#default#VML);} w\:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);}

 

  1. 本文通过微软的ISA2006和华硕的RT-N10+无线路由器结合。 
  2. 实现了一种廉价的外来访客与局域网用户内外隔离的方案。 
  3. 其中选用ISA2006是因为本案中需求简单,ISA2006系统开销也小,完全可以满足需求。 
  4. 选用华硕RT-N10+则是因为,它采用了Ralink的RT3050F方案,亮点是320Mhz高主频,
  5. 以及32M大内存,同时该机可以刷DD-WRT,扩展性也非常好。
  6. 经过测试,信号表现非常好,现在市售不含税价格在100RMB左右。 

目的:

随着公司业务的开展,不可避免的会遇到有外来用户(访客、合作伙伴等)来公司办公区域上网的情况。由于公司网康设备的存在,外来用户上网步骤非常繁琐,需要先提供自带设备的MAC地址,连入网络的IP地址,再由网络工程师对该IP进行免认证或其他相应权限的设置。同时外来用户来去自由,对这些IP资源不好监管。

更重要的是,外来用户接入网络后,可以直接访问公司的内部资源,如文件共享、打印共享,以及其他用户的计算机共享等,存在较大的安全隐患。

为此,急需一套解决方案来处理这种外来用户与内网隔离的问题。既要保证外来用户上网方便,又要保证内网资源不被外网用户轻易获取。

 

 

实践

实现该设置最简单和直观的方法是在核心交换上某个端口划分新的VLAN,实现内外网隔离,同时重新完成综合布线,在物理上与无线路由/AP进行连接。由于公司网络已近成型,这种方法耗时长,变动大,成本高,优点是可靠性高。

因此对以下的几种方法进行了尝试,寻求逻辑上解决的办法。

1首先是第一种方法,通过ISA2006作为内网的一台代理,为无线路由器提供网关功能,使其对外访问时先经过ISA.ISA2006的网关指向飞塔400A(新世纪主干网络接入)。

其中无线路由器使用NAT方式联网,即LANWIFIWAN不在同一网段,使用WIFI的网络设置代理上网时,ISA2006即可作为飞塔400A之前的又一道防火墙,强制对无线路由器进行规则限制。

由于在物理链路上,无线路由器网关被指定在ISA上,用户必须通过无线路由器NAT之后进行网络访问,不可能通过手动修改IP配置信息的方式跳过ISA的规则限制。


  

虚拟机中将ISA设置为单一网络适配器模式。

防火墙规则中默认是禁止所有访问,由于需要禁止所有内网访问,所以需要做一条规则禁止访问所有的内网网段地址(包含所有出站协议→从所有网络至特定网络组),ISA可以设置地址范围,如192.168.2.1-192.168.2.250,同时多个地址范围可以包含在一个地址组内。


再设置一条允许互联网访问的策略即可。(包含所有出站协议→从所有网络至所有网络,开放常用协议,如邮件、http等。)

缺点:测试环境将无线路由器和ISA2006放置在同一个网段,一切正常。然而在将服务器放到0段机房时,则无法正常使用。原因是客户在提交访问信息后,路由并没有从源地址→核心交换→0ISA→核心交换→外网,

而是源地址→核心交换→外网。

因此在跨网段的情况下,无法采用这种方案。尽管可以通过每个网段部署一台ISA来实现上述功能,但成本和管理性上不尽人意。

 

2上一种方法的弊端在于不适用于跨网段的环境使用。因此折中了一下,允许外来用户正常接入,但如果要上网,则需经过ISA设置的VPN出去。

设备结构如下。用户在手动拨VPN后,则被ISA的规则限制,无法访问内网,只允许访问Internet,如下方VPN线路所示。

  

用户未手动拨号,直接从上方线路通过,可以访问内网资源。但因为有内网审计系统,没有账号密码的情况下,无法访问互联网。

用户拨通VPN,逻辑上是先通过ISA,再上网,由于经过ISA,因此可受到规则限制。

缺点:物理上没有隔绝用户访问内网资源,外来用户要么访问互联网,要么访问局域网,不可同时进行,一定程度上降低风险,但还不完美。

 

 

3上一种方法还是有些美中不足,因此决定将VPN这个拨号动作交由路由器本身完成。无线路由RT-N10+在刷完DD-WRT固件后,已经有了VPN拨号的功能,同时拥有流量监控等简单的功能。

WAN进行必要的设置后,验证了确实可以通过无线路由器进行VPN的拨号动作。同时路由也按照预期的路径来完成了。

第一个地址为路由本身的地址,第二个地址为ISAVPN所提供的网关。

和上种方式一样,进入VPN后,受到ISA限制,不同的是,接入后不需要用户进行VPN拨号的动作。

缺点:由于WAN口需要使用PPTP进行拨号,不采用DHCP分配就无法连接成功,因此管理稍有不便。但依然可以由DHCP服务器绑定其IP

 

 

 

总结:

最终使用的资源如下:

相应个数的无线路由器RT-N10+,用以提供无线信号和VPN拨号动作;0网段部署的ISA虚拟机一台,用以实现VPN和代理路由的功能。

实现的功能如下:

无线路由器对外提供受控的网络访问,只允许访问外网,不允许访问内网。

无线路由器所提供的LAN口访问同样受限。

无线路由器经过一次设置后,可以在公司任何楼层使用,不需因为VLAN变换而作任何配置,即插即用。

优点如下:

不使用VLAN进行硬件端口物理隔绝,节省投资,实现效果相同。

部署方便,无线路由器可以根据来访客户实际情况,安装在公司内的任意地点。

 

阅读(1822) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~