【文章內(nèi)容簡(jiǎn)介】 US 與殺毒軟件服務(wù)器 —— 單塊網(wǎng)卡、一臺(tái) Active Directory 與企業(yè)證書服務(wù)器 —— 單塊網(wǎng)卡，其中 WSUS 與 Active Directory 服務(wù)器接在三層交換機(jī)上）。 除了要調(diào)試新增的三層交換機(jī)外，還需要調(diào)整雙 WAN 口的路由器，將 VPN 服務(wù)器所需要的端口（ TCP 的 1723 與 UDP 的 4500）映射到 VPN 服務(wù)器所使用的 IP地址上。 政 府 在 線內(nèi) ：3 . 3 7 . 1 3 3 . 2 5 0O A3 . 3 7 . 1 3 3 .1三 層 交換 機(jī)工 作 站 ：3 . 3 7 . 0 . 0 / 1 6網(wǎng)關(guān) 。 3 . 3 7 . 1 3 4 . 2 5 4工 作 站 ：3 . 3 7 . 0 . 0 / 1 6網(wǎng) 關(guān) ：3 . 3 7 . 1 3 4 . 2 5 4政 府 大 院A D S LA D S LD : 某 下 級(jí) 鄉(xiāng) 政 府 、 政 府外 機(jī) 關(guān) 根 據(jù) A D S L 分 配鄉(xiāng) 鎮(zhèn)鄉(xiāng) 鎮(zhèn)電 信 線路網(wǎng) 通 線路I n t e r n e t網(wǎng) 絡(luò)上 級(jí) 政府 機(jī) 關(guān)A : 雙 W A N 口 寬帶 路 由 器內(nèi) ：1 0 . 1 0 . 1 0 . 1 0/ 2 4B : 防 火 墻 與 代 理服 務(wù) 器 外 ：1 0 . 1 0 . 1 0 . 2 0 / 2 4內(nèi) ：3 . 3 7 . 1 3 4 . 2 5 4 / 1 6到 上 級(jí) 市 路 由器3 . 3 7 . 1 3 3 . 2 5 4到 省 委 省政 府 市 委市 政 府（ 內(nèi) 網(wǎng) 專線 ）防 火墻 外網(wǎng)防 火墻 內(nèi)網(wǎng)V P N 外網(wǎng)V P N 內(nèi) 網(wǎng)E : V P N 服 務(wù) 器外 ：1 0 . 1 0 . 1 0 . 1 0 . 3 0 / 24內(nèi) ：1 9 2 . 1 6 8 . 1 3 3 . 8 / 2 4D M Z ：3 . 3 7 . 1 3 3 . 2 5 0 / 2 4A c t i v e D i r e c t o r y 企 業(yè)證 書 服 務(wù) 器1 9 2 . 1 6 8 . 1 3 3 . 30W S U S 升 級(jí) 補(bǔ) 丁殺 毒 軟 件 服 務(wù)器圖 1 2 改 造 后 的 網(wǎng) 絡(luò) 拓 撲 第 四 章 網(wǎng)絡(luò)改造具體方案 在具體改造中，涉及 Inter 的出口（雙 WAN 路由器）的調(diào)試、三層交換機(jī)的調(diào)試以及 VPN 服務(wù)器的調(diào)試。因?yàn)橹匦抡{(diào)整二流內(nèi)網(wǎng)的地址，所以原來(lái)的防火墻與代理服務(wù)器的地址也要做改動(dòng)。之所以修改原來(lái)的內(nèi)網(wǎng)地址 ，原因有；兩個(gè)，一是 并不是私有的內(nèi)網(wǎng)地址，這個(gè)地址在 Inter 上是存在的，在內(nèi)網(wǎng)中推薦使用 、 ；第二個(gè)原因是 劃分ＶＬＡＮ后，為了與省、市政務(wù)網(wǎng)通信，使用私有的內(nèi)網(wǎng)地址，可以方便三層交換機(jī)、路由器的調(diào)試。 三層交換機(jī)的配置 見附錄 A 代碼是華為 3600 系列三層交換機(jī)的配置。根據(jù)樓層、部門的數(shù)量，將政府大院網(wǎng)絡(luò)劃分為 18 個(gè) VLAN，其中 ~工作站使用； ； ，劃分在一個(gè)千兆端口上，專門接防火墻；防火墻的內(nèi)網(wǎng)地址改為；另一個(gè)千兆端口接 VPN 服務(wù) 器區(qū)。 路由器與防火墻代理服務(wù)器的調(diào)試 由于在 VPN 服務(wù)器中新增加了一個(gè) DMZ 接口，該接口繼續(xù)使用原來(lái)的 IP 地址，因此到上級(jí)市路由器不需要設(shè)置。需要設(shè)置的是雙 WAN 口寬帶路由器，因?yàn)閂PN 服務(wù)器要對(duì) Inter 上的用戶提供服務(wù)（主要是鄉(xiāng)鎮(zhèn)、政府大院以外的其他部門），所以需要在雙 WAN口寬帶路由器上映射 VPN服務(wù)器所需要的端口到 VPN服務(wù)器的“外網(wǎng)”地址，即 。 VPN 服務(wù)器所需要的端口如表 11 所示。 表 11 VPN 服務(wù)器所有端口一覽表 服務(wù)描述 協(xié)議 端口 方向 PPTP 服務(wù)器 TCP 1723 入站 IPSec NATT 服務(wù)器 UDP 4500 接收發(fā)送 IKE 服務(wù)器 UDP 500 接收發(fā)送 L2TP 服務(wù)器 UDP 1701 接收發(fā)送 表 11 中的協(xié)議并不都是必需的。例如，如果客戶端使用 PPTP 方式撥入，只需要映射“ PPTP 服務(wù)器”與“ IPSec NATT 服務(wù)器”即可。如果客戶端使用L2TP 方式撥入，需要映射“ L2TP 服務(wù)器”、“ IKE 服務(wù)器”與“ IPSec NAT1T 服務(wù)器”。如果不清楚 VPN 服務(wù)器的類型，發(fā)布上面的這 4 個(gè)端口即可。在一些防火墻與路由器中 ，端口的“方向”可能不容易掌握，這時(shí)做端口的完全映射即可。 第 五 章 VPN 服務(wù)器的組建 VPN 服務(wù)器的組建包括 Active Directory 服務(wù)器、企業(yè)證書服務(wù)器和 VPN服務(wù)器的安裝及配置。 服務(wù)器的總體設(shè)置 為了更容易說(shuō)明問(wèn)題，將圖 12 簡(jiǎn)化為圖 13，這便是需要設(shè)置的兩臺(tái)服務(wù)器。在 13 中，需要兩臺(tái)服務(wù)器，一臺(tái)服務(wù)器用作 Active Directory 與企業(yè)證書服務(wù)器，另一臺(tái)用作 VPN 服務(wù)器。還需要一臺(tái)工作站進(jìn)行測(cè)試，當(dāng)這臺(tái)工作站需要模擬內(nèi)網(wǎng)環(huán)境時(shí)，設(shè)置為內(nèi)網(wǎng)地址，撥號(hào) VPN 服務(wù)器的“內(nèi)網(wǎng)”地 址；當(dāng)需要模擬 Inter 網(wǎng)絡(luò)環(huán)境時(shí)，設(shè)置成公網(wǎng)地址，撥叫 VPN 服務(wù)器的“外網(wǎng)”地址。個(gè)計(jì)算機(jī)的具體參數(shù)及配置順序如表 12. V P N 外 網(wǎng)V P N 內(nèi) 網(wǎng)E : V P N 服 務(wù) 器外 ： 1 0 . 1 0 . 1 0 . 1 0 . 3 0 / 2 4內(nèi) ： 1 9 2 . 1 6 8 . 1 3 3 . 8 / 2 4D M Z ： 3 . 3 7 . 1 3 3 . 2 5 0 / 2 4A c t i v e D i r e c t o r y企 業(yè) 證 書 服 務(wù) 器1 9 2 . 1 6 8 . 1 3 3 . 3 0V P N D M Z工 作 站 V P N 客 戶 端圖 6 3 網(wǎng) 絡(luò) 拓 撲 的 簡(jiǎn) 化 圖 表 12 圖 13 中各計(jì)算機(jī)的具體參數(shù)及配置順序 順序 計(jì)算機(jī)名 IP 地址 /24 DNS 地址 DNS 域名 描述 1 adserver 域控制器、證書服務(wù)器 2 vpnserver 內(nèi)網(wǎng)網(wǎng)卡 — — 外網(wǎng)網(wǎng)卡 — — DMZ 區(qū)網(wǎng)卡 3 XP — — VPN 客戶端 Active Directory 服務(wù)器與企業(yè)證書服務(wù)器的安裝、配置 在將要用作 Active Directory 服務(wù)器與企業(yè)證書服務(wù)器的計(jì)算機(jī)上，主要進(jìn)行如下操作。 （ 1） 安裝 Windows Server 2021 企業(yè)版。 （ 2） 修改計(jì)算機(jī)名稱。 （ 3） 設(shè)置 Inter 協(xié)議屬性。 （ 4） 升級(jí)到 Active Directory。 （ 5） 安裝企業(yè)證書服務(wù)器。 詳細(xì)步驟如下。 （ 1） 修改計(jì)算機(jī)名稱 adserver，并重新啟動(dòng)計(jì)算機(jī)。 （ 2） 設(shè)置 IP 地址為 ，子網(wǎng)掩碼為 ， DNS 為（代表本機(jī)地址）下圖 14 所示。 圖 14 設(shè)置 Inter 協(xié)議屬性 （ 3） 接下來(lái)要將計(jì)算機(jī)升級(jí)到 Active Directory（活動(dòng)目錄），并設(shè)置域名為，如圖 15 與圖 16 所示。在開始中輸入：“ dcpromo”升級(jí)到Active Directory 后，在彈出的對(duì)話框中單擊“立即重新啟動(dòng)”按鈕，重新啟動(dòng)計(jì)算機(jī)，完成 Active Directory 的安裝。 圖 15 指定域名 圖 16 域的NetBIOS 名稱 （ 4） 在重新啟動(dòng)計(jì)算機(jī)后，在“添加 /刪除 Windows 組建”對(duì)話框中，安裝 和 Inter 信息服務(wù)，如圖 17 所示。 圖 17 安裝 與 IIS 然后再安裝企業(yè)根證書服務(wù)，并在彈出的對(duì)話框中點(diǎn)擊“下一步”按鈕，彈出“ CA 類型”界面，選擇“企業(yè) CA”單擊按鈕，如圖 18 所示。 在“ CA 識(shí)別信息”界面的“此 CA 的公用名稱”文本框中輸入該企業(yè)根證書的信息“ ”。這個(gè)信息將在使用 IE 申請(qǐng)證書時(shí)出現(xiàn)在證書申請(qǐng)首頁(yè)中，最好將這個(gè)域名注冊(cè)為 DNS 域名，用來(lái)對(duì)外提供服務(wù)。然后選擇該證書服務(wù)的有效期限，默認(rèn)為 5 年，也可以根據(jù)需要修改，如圖 19 所示。 圖 18 企業(yè)根 CA 圖 19CA 信息識(shí)別信息 （ 5） 企 業(yè) 根 證 書 安 裝 完 成 后 ， 在 IE 瀏 覽 器 地 址 欄 中 輸 入“ 是企業(yè)證書服務(wù)器的 IP 地址），然后俺 Enter 鍵。輸入驗(yàn)證信息，就會(huì)出現(xiàn)如圖 1圖 110 所示的信息 圖 110 企業(yè)證書申請(qǐng)頁(yè)面 至此， Active Directory 服務(wù)器與企業(yè)證書服務(wù)器的配置基本完成。 第 六 章 準(zhǔn)備 VPN 服務(wù)器 在準(zhǔn)備用作 VPN 服務(wù)器的計(jì)算機(jī)上，經(jīng)過(guò)一系列的配置，才可以使用智能卡進(jìn)行身份驗(yàn)證。其主要步驟如下。 （ 1） 修改計(jì)算機(jī)名稱并重新啟動(dòng)計(jì)算機(jī)。 （ 2） 設(shè)置 Inter 協(xié)議屬性 （ 3） 將計(jì)算機(jī)加到 Active Directory 服務(wù)器。 （ 4） 安裝 ISA Server。 （ 5） 申請(qǐng)證書。 （ 6） 啟動(dòng) VPN 服務(wù)。 VPN 服務(wù)器基本設(shè)置 在準(zhǔn)備用作 VPN 服務(wù)器的計(jì)算機(jī)上，首先設(shè)置內(nèi)網(wǎng)網(wǎng)卡的 IP 地址為，設(shè)置 DNS 地址為 ，設(shè)置該網(wǎng)卡名稱為 lan；然后設(shè)置外網(wǎng)網(wǎng)卡的 IP 地址為 ，設(shè)置網(wǎng)關(guān)地址為 ，將外網(wǎng)網(wǎng)卡重命名為 inter；再設(shè)置第三塊網(wǎng)卡，其 IP 地址為 ，設(shè)置該網(wǎng)卡名稱為 dmz，如圖 611~圖 613 所示。 然后重命名計(jì)算機(jī)為 vpnserver，并重新啟動(dòng)計(jì) 算機(jī)。然后確定該計(jì)算機(jī)沒(méi)有安裝 IIS、沒(méi)有啟動(dòng) Windows 內(nèi)置的防火墻與“路由和遠(yuǎn)程訪問(wèn)”服務(wù)。 圖 611 內(nèi)網(wǎng)網(wǎng)卡參數(shù) 圖 612 外網(wǎng)網(wǎng)卡參數(shù) 圖 613 DMZ 區(qū)網(wǎng)卡 將計(jì)算機(jī)加入到 Active Directory 接下來(lái)將計(jì)算機(jī)加入到 Active Directory，作為域 ，主要步驟如下。 （ 1） 進(jìn)入 “ 命令提示符 ” 窗口，使用 ping 命令測(cè)試到 Active Directory 服務(wù)器（ ）的連通性，如圖 114 所示。當(dāng)連接正常時(shí)，繼續(xù)后面的操作。 圖 114 測(cè)試 Active Directory 服務(wù)器的連通性 （ 2） 右擊 “ 我的電腦 ” 圖標(biāo)，在彈出的快捷菜單中選中 “ 屬性 ” 命令。 （ 3） 打開 “ 系統(tǒng)屬性 ” 對(duì)話框切換至 “ 計(jì)算機(jī)名 ” 選項(xiàng)卡，單擊 “ 更改 ” 按鈕。彈出 “ 計(jì)算機(jī)名稱更改 ” 對(duì)話框，在 “ 隸屬于 ” 選項(xiàng)組中選擇 “ 域 ”單擊按鈕，并在其下的文本框中輸入要加入的 Active Directory 的域名，即 “” ，然后單擊 “ 確定 ” 按鈕。彈出 “ 計(jì)算機(jī)名更改 ” 對(duì)話 框，輸入 Active Directory 域服務(wù)器的管理員賬戶密 碼，然后單擊 “ 確定 ” 按鈕，如圖 115 所示 圖 115 將計(jì)算機(jī)加入到域 （ 4） 在以后彈出的對(duì)話框中按照提示機(jī)械牛操作即可。成功添加到域后重啟計(jì)算機(jī) ISA Server 當(dāng)再次登錄計(jì)算機(jī)時(shí)，應(yīng)以管理員的身份登錄到域，如圖 116 所示。 圖 116 登錄到域 在安裝 ISA Server 之前，要添加到內(nèi)網(wǎng)、 DMZ 區(qū)的靜態(tài)路由，因?yàn)樵诰钟蚓W(wǎng)中使用的網(wǎng)段是 ~，到 DMZ 區(qū)（上級(jí)政務(wù)網(wǎng)）包括、 、 、 、 “命令提示符”窗口中使用 route 命令添加到這些網(wǎng)段的靜態(tài)路由，命令如下： route add –p mask route add –p mask route add –p mask route add –p mask route add –p mask route add –p mask 在添加靜態(tài)路由之后，使用 route print 命令檢查，如圖 117 所示。 圖 117 檢查靜態(tài)路由然后開始安裝 ISA Server 2021。 （ 1） 選擇 lan 網(wǎng)卡為內(nèi)部網(wǎng)絡(luò)，如圖 118 所示。選擇 lan 時(shí)