如果局域网规模较大,网络管理人员往往会根据工作要求将网络分成多个子网,以提高网络的管理与维护效率。现在我们以楼层为单位来划分局域网子网,假设楼层1中的所有工作站被划分到子网1中,并分配该子网的地址为10.176.1.x,楼层2中的所有工作站被划分到子网2中,并分配该子网的地址为10.176.2.x;各个楼层中的工作站上网要求是不相同的,比方说楼层1中的所有工作站要求能够访问Internet网络,楼层2中的所有工作站只能在本子网内进行访问;此外,为了方便网络管理人员查询信息,我们希望楼层1中的所有工作站能与楼层2中的所有工作站进行相互访问。要想实现上面的各种访问控制要求,我们该如何管理局域网呢?事实上,我们可以着眼Windows服务器系统,利用该系统自带的"路由和远程访问"功能,就能轻松完成上面提出的各种访问控制需求,特别是能够轻松进行跨网访问控制!
跨网访问控制环境
假设局域网中有一台安装了Windows Server 2003系统的服务器,现在我们希望在这台服务器中就能对局域网中的不同子网进行各种形式的控制。为了实现对楼层1和楼层2中所有工作站的控制目的,我们需要准备两块网卡设备,作为连接这两个工作子网的网络接口,此外考虑到局域网子网需要访问Internet,因此我们可以使用集成服务器中的网卡设备作为Internet访问接口,通过该网络接口我们可以有效工作各个子网的Internet访问权限。当在服务器系统中按照要求安装并连接好各块网卡设备后,我们会在服务器系统的网络连接列表窗口中看到三个"本地连接"图标,为了避免日后在管理网络的过程中引起混淆,我们可以将这三个"本地连接"图标的名称取为"楼层1"、"楼层2"、"Internet",然后根据实际连接情况将"楼层1"的网卡地址设置为"10.176.1.1",将"楼层2"的网卡地址设置为"10.176.2.1",将"Internet"的网卡地址设置为"10.176.3.1"。
启用路由和远程访问
为了有效地进行跨网访问控制,我们首先需要在服务器中启用好"路由和远程访问"功能,并对该功能进行合适地设置。
在启用"路由和远程访问"功能时,我们可以先以系统管理员身份登录进Windows Server 2003服务器系统,并在该系统桌面中依次单击"开始"/"程序"/"管理工具"命令,在弹出的管理工具列表窗口中,用鼠标双击其中的"路由和远程访问"选项,打开路由和远程访问列表窗口;
在该列表窗口的左侧显示区域,我们看到本地服务器的主机名称为"YCCSGZS",该名称前面的红色向下箭头表示当前服务器的路由和远程访问功能还处于禁用状态。为了启用"路由和远程访问"功能,我们可以用鼠标右键单击服务器的主机名称,从弹出的快捷菜单中执行"配置并启用路由和远程访问"命令,随后系统会自动弹出路由和远程访问服务器安装向导设置窗口,单击"下一步"按钮,打开如图1所示的向导设置页面,选中其中的"网络地址转换"项目,再单击"下一步"按钮,最后单击"完成"按钮,这样一来服务器中的"路由和远程访问"功能就被成功启用了。
控制子网访问Internet
重新返回到路由和远程访问列表窗口,此时我们会看到本地服务器主机名称前面的红色向下箭头已经变成了绿色向上箭头(如图2所示),这表示当前服务器的"路由和远程访问"功能已经被成功启用了。接着用鼠标展开"IP路由选择"分支,从该分支下面的列表中用鼠标右键单击"NAT/基本防火墙"选项,从弹出的快捷菜单中执行"新增接口"命令,打开新接口添加设置窗口;在该设置窗口中我们可以将"楼层1"接口选中,同时将该接口的类型设置为"专用接口连接到专用网络",再单击一下"确定"按钮,这样一来楼层1中的所有工作站就能访问Internet网络了。如果我们还有其他接口需要访问Internet网络的话,那么我们只要在服务器系统中将对应的网络接口添加到NAT/基本防火墙列表中;由于我们不希望楼层2中的所有工作站访问Internet网络,因此在这里我们不需要将"楼层2"接口添加到NAT/基本防火墙列表中。
当然,日后我们希望楼层1中的所有工作站不能访问Internet网络时,只需要在服务器中打开路由和远程访问列表窗口,然后依次展开"IP路由选择"/"NAT/基本防火墙"分支选项,在对应"NAT/基本防火墙"分支选项的右侧列表区域中,将"楼层1"接口选中并删除掉,这样就能禁止楼层1中的所有工作站访问Internet网络了。
控制子网相互访问
现在,要想让楼层1中的所有工作站能与楼层2中的所有工作站进行相互访问时,我们必须先按上面的操作,在服务器系统中将连接各个楼层工作站的网络接口全部添加到"NAT/基本防火墙"列表中,之后再将服务器系统中的路由功能启用起来,这么一来楼层1和楼层2中的工作站就能通过网上邻居窗口相互进行跨网访问了,而且这两个子网中的所有工作站都能同时访问Internet。
在实际访问网络过程中,要是希望楼层1中的所有工作站都能访问Internet网络,楼层2中的所有工作站不能访问Internet网络,并且希望这两个楼层中的工作站还能通过网上邻居窗口进行跨网段相互访问时,那么我们只要在服务器系统中展开"NAT/基本防火墙"分支选项,并将该选项下面的"楼层2"接口选中并删除掉,这样一来楼层2中的工作站就不能访问Internet网络了,但是这两个子网还是能通过服务器的路由功能进行相互访问的。
假设,我们希望楼层2中的所有工作站不但不能够访问Internet网络,而且还不允许跨网访问楼层1中的工作站共享资源时,那么我们除了要在"NAT/基本防火墙"列表中删除"楼层2"接口,而且还要在服务器系统的路由和远程访问列表窗口中,依次展开"IP路由选择"/"常规"分支选项,在对应"常规"分支选项的右侧显示区域中,用鼠标双击"楼层2"接口,打开如图3所示的网络连接接口属性设置对话框,检查其中的"启用IP路由管理器"选项是否处于选中状态,一旦发现该选项已经被选中的话,我们必须及时取消它的选中状态,最后依次单击"应用"、"确定"按钮,这样一来就能实现楼层2中的所有工作站不能跨网访问楼层1中的工作站目的了。
现在,要想让楼层1中的所有工作站能与楼层2中的所有工作站进行相互访问时,我们必须先按上面的操作,在服务器系统中将连接各个楼层工作站的网络接口全部添加到"NAT/基本防火墙"列表中,之后再将服务器系统中的路由功能启用起来,这么一来楼层1和楼层2中的工作站就能通过网上邻居窗口相互进行跨网访问了,而且这两个子网中的所有工作站都能同时访问Internet。
在实际访问网络过程中,要是希望楼层1中的所有工作站都能访问Internet网络,楼层2中的所有工作站不能访问Internet网络,并且希望这两个楼层中的工作站还能通过网上邻居窗口进行跨网段相互访问时,那么我们只要在服务器系统中展开"NAT/基本防火墙"分支选项,并将该选项下面的"楼层2"接口选中并删除掉,这样一来楼层2中的工作站就不能访问Internet网络了,但是这两个子网还是能通过服务器的路由功能进行相互访问的。
假设,我们希望楼层2中的所有工作站不但不能够访问Internet网络,而且还不允许跨网访问楼层1中的工作站共享资源时,那么我们除了要在"NAT/基本防火墙"列表中删除"楼层2"接口,而且还要在服务器系统的路由和远程访问列表窗口中,依次展开"IP路由选择"/"常规"分支选项,在对应"常规"分支选项的右侧显示区域中,用鼠标双击"楼层2"接口,打开如图3所示的网络连接接口属性设置对话框,检查其中的"启用IP路由管理器"选项是否处于选中状态,一旦发现该选项已经被选中的话,我们必须及时取消它的选中状态,最后依次单击"应用"、"确定"按钮,这样一来就能实现楼层2中的所有工作站不能跨网访问楼层1中的工作站目的了。
工作站中的参数设置
要完成上面的控制访问目的,我们除了要在服务器系统中进行正确设置外,还需要在不同子网工作站中进行不同设置。例如,要想让工作站能够访问Internet网络,同时能够进行跨网段访问时,必须要正确设置好工作站的IP地址、网关地址以及DNS服务器地址等参数。在这里,我们以楼层1中的某台工作站为例,来详细向各位介绍一下工作站的上网参数配置步骤:
首先以系统管理员身份登录进工作站系统,并在系统桌面中依次单击"开始"/"设置"/"网络连接"命令,在弹出的网络连接列表窗口中,用鼠标双击本地连接图标,再单击其后界面中的"属性"按钮,打开对应工作站的本地连接属性设置窗口;
其次在该设置窗口的"常规"标签页面中,选中"Internet协议(TCP/IP)"选项,同时单击"属性"按钮进入到TCP/IP属性设置对话框,如图4所示;选中其中的"使用下面的IP地址"项目,然后将该工作站的IP地址设置为"10.176.1.116",将网关地址设置为"10.176.1.1",将DNS服务器地址设置为本地ISP服务商提供的真实DNS地址,最后单击"确定"按钮就可以了。
需要提醒各位注意的是,在设置楼层2中的工作站网关地址时,我们必须将它设置为"10.176.2.1",并且确保该工作站的IP地址位于"10.176.2.x"网段内。
到了这里,所有的设置操作都算完成了。此时,我们就能实现既定的跨网访问控制目的了!
