用WIN2003輕松實(shí)現(xiàn)雙網(wǎng)安全互連

問:本公司計(jì)算機(jī)數(shù)量不多，大概有50臺(tái)左右，總共分兩個(gè)部門。一個(gè)是培訓(xùn)部一個(gè)是工程部。網(wǎng)絡(luò)結(jié)構(gòu)要求這兩個(gè)部門的計(jì)算機(jī)分屬于不同的子網(wǎng)，這樣在管理和安全方面都有所保障，然而兩個(gè)子網(wǎng)之間又要求能夠互連，也就是說在工程部的計(jì)算機(jī)可以訪問到培訓(xùn)部，相應(yīng)的培訓(xùn)部門的計(jì)算機(jī)也可以訪問到工程部中的網(wǎng)絡(luò)設(shè)備。由于公司經(jīng)費(fèi)有限沒有購買路由器或三層交換機(jī)，有沒有辦法能夠?qū)崿F(xiàn)這個(gè)要求呢？馬上就要實(shí)施了！急！謝謝了！
    答:這個(gè)現(xiàn)象比較普遍，特別是在有機(jī)房的公司中，機(jī)房主要用于培訓(xùn)使用，這樣為了提高安全機(jī)房中計(jì)算機(jī)設(shè)置的IP地址所在子網(wǎng)和辦公室中的IP地址子網(wǎng)不同。然而實(shí)際中又希望機(jī)房和辦公室可以互連，這種現(xiàn)象和上面網(wǎng)友提出的問題是一樣的。
    如何解決這個(gè)問題呢？首先要介紹下使用路由器或三層交換機(jī)實(shí)現(xiàn)該要求的方法，如果公司有經(jīng)費(fèi)的話可以購買一臺(tái)路由交換設(shè)備，這樣為這個(gè)設(shè)備兩個(gè)以太網(wǎng)端口設(shè)置不同的IP地址，例如192.168.1.254和10.91.30.254。然后將10.91.30.0網(wǎng)段的計(jì)算機(jī)接入10.91.30.254接口，將192.168.1.0網(wǎng)段計(jì)算機(jī)連接到192.168.1.254接口上。由于默認(rèn)情況下路由器和三層交換機(jī)都具備端口和網(wǎng)絡(luò)識(shí)別的功能，所以不需要配置任何路由兩個(gè)接口就可以互相PING通了，訪問起共享資源來也沒有一絲問題。
    當(dāng)然如果公司沒有費(fèi)用購買路由交換設(shè)備的話，正如上面網(wǎng)友所問的一樣，如何解決呢？其實(shí)可以使用計(jì)算機(jī)自行建立路由的方法，也就是說找到一臺(tái)配置中等的計(jì)算機(jī)，安裝兩個(gè)網(wǎng)卡并添加路由及遠(yuǎn)程撥號(hào)訪問組件，接著配置路由及遠(yuǎn)程撥號(hào)訪問，讓這臺(tái)計(jì)算機(jī)起到路由功能，充當(dāng)路由器的角色。一個(gè)網(wǎng)卡接一個(gè)網(wǎng)段，從而實(shí)現(xiàn)了網(wǎng)友的要求。下面就請跟隨筆者一起一步步的設(shè)置路由及遠(yuǎn)程撥號(hào)訪問。實(shí)際環(huán)境中筆者是在windows server 2003下配置該服務(wù)，當(dāng)然windows 2000 server中的配置方法也是類似的。
    環(huán)境描述：公司要求兩個(gè)網(wǎng)絡(luò)，一個(gè)是10.91.30.*，一個(gè)是192.168.0.*，要求讓這兩個(gè)網(wǎng)絡(luò)互連，使用一臺(tái)計(jì)算機(jī)充當(dāng)路由器角色。
    第一步：找到兩塊網(wǎng)卡和一臺(tái)計(jì)算機(jī)，然后接在其PCI插槽中。安裝windows 2003操作系統(tǒng)，網(wǎng)卡的驅(qū)動(dòng)程序會(huì)自動(dòng)安裝。安裝完畢后會(huì)在“網(wǎng)上鄰居—>屬性—>本地連接”看到出現(xiàn)了“本地連接”和“本地連接2”，表明網(wǎng)卡安裝及工作正常。
    第二步：雙擊“本地連接”圖標(biāo)，然后點(diǎn)“屬性”按鈕。在常規(guī)標(biāo)簽中雙擊internet協(xié)議（TCP/IP），設(shè)置本地連接1對應(yīng)的IP地址等信息。其中IP地址設(shè)置為192.168.0.1，子網(wǎng)掩碼為255.255.255.0，默認(rèn)網(wǎng)關(guān)空著不填，DNS服務(wù)器也是192.168.0.1。
    第三步：接著配置“本地連接2”的屬性，雙擊“本地連接2”圖標(biāo)，然后點(diǎn)“屬性”按鈕。在常規(guī)標(biāo)簽中雙擊internet協(xié)議（TCP/IP），設(shè)置本地連接2對應(yīng)的IP地址等信息。其中IP地址設(shè)置為10.91.30.45，子網(wǎng)掩碼為255.255.255.0，網(wǎng)關(guān)仍然空著不填。DNS地址也為10.91.30.45。
    小提示：由于筆者所在公司10.91.30.*網(wǎng)段的10.91.30.1和10.91.30.254是另外兩臺(tái)提供數(shù)據(jù)庫服務(wù)的服務(wù)器，所以這臺(tái)路由服務(wù)器網(wǎng)卡2只能設(shè)置IP地址為10.91.30.45了。當(dāng)然對于大多數(shù)情況來說如果要互連兩個(gè)網(wǎng)段好還是使用10.91.30.1以及10.91.30.254這樣的形式。
    第四步：然后我們查詢配置是否正確，通過任務(wù)欄的“開始->運(yùn)行->輸入CMD”，進(jìn)入命令行模式，然后輸入ipconfig。你會(huì)看到剛才配置的所有信息，包括網(wǎng)卡1和網(wǎng)卡2的網(wǎng)絡(luò)參數(shù)。
    第五步：這時(shí)將連接192.168.0.*的網(wǎng)線接到網(wǎng)卡1上，將連接10.91.30.*的網(wǎng)線接到網(wǎng)卡2上，我們通過ping這兩個(gè)網(wǎng)段計(jì)算機(jī)的IP來查詢連接情況，如果在充當(dāng)路由器那臺(tái)計(jì)算機(jī)上ping兩個(gè)網(wǎng)段的計(jì)算機(jī)都通的話就表明線路連接沒有問題，我們可以繼續(xù)下面的操作了。
    第六步：在windows2003中通過任務(wù)欄的“開始->運(yùn)行->管理工具->路由和遠(yuǎn)程訪問”來進(jìn)一步配置。
    第七步：可能你會(huì)發(fā)現(xiàn)路由和遠(yuǎn)程訪問中“本地”計(jì)算機(jī)的圖標(biāo)是紅色的，也就是說沒有啟用或者配置。這是因?yàn)榉?wù)在搗鬼，我們通過“開始->運(yùn)行->輸入services.msc”進(jìn)入服務(wù)設(shè)置窗口，你會(huì)發(fā)現(xiàn)原來routing and remote access服務(wù)被禁用了。將其設(shè)置為自動(dòng)啟動(dòng)后就能解決上面的問題。
    第八步：再次來到“路由和遠(yuǎn)程訪問”設(shè)置窗口，在“softer本地”上點(diǎn)鼠標(biāo)右鍵，選擇“配置并啟用路由和遠(yuǎn)程訪問”。開始設(shè)置路由和遠(yuǎn)程訪問。
    第九步：首先出現(xiàn)歡迎使用路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)?。我們點(diǎn)“下一步”繼續(xù)。
    第十步：在配置窗口中我們選擇“兩個(gè)專用網(wǎng)絡(luò)之間的安全連接”。然后點(diǎn)“下一步”繼續(xù)。
    第十一步：系統(tǒng)將自動(dòng)啟用路由和遠(yuǎn)程訪問服務(wù)。
    第十二步：啟用而我們就可以在192.168.0.*網(wǎng)絡(luò)中的計(jì)算機(jī)ping通10.91.30.*網(wǎng)絡(luò)中的計(jì)算機(jī)了，訪問共享資源也沒有任何問題。
    小提示：實(shí)際上當(dāng)互連兩個(gè)網(wǎng)絡(luò)時(shí)可以不在路由和遠(yuǎn)程訪問服務(wù)中啟用動(dòng)態(tài)路由發(fā)現(xiàn)協(xié)議，因?yàn)榻M件會(huì)自動(dòng)找到直連的兩個(gè)網(wǎng)絡(luò)。當(dāng)互連網(wǎng)絡(luò)多或者網(wǎng)絡(luò)跳躍點(diǎn)比較多的時(shí)候就需要在路由和遠(yuǎn)程訪問中啟用相應(yīng)的動(dòng)態(tài)路由協(xié)議了，例如rip等。
    當(dāng)然我們在路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)С霈F(xiàn)配置窗口時(shí)不選擇“兩個(gè)專用網(wǎng)絡(luò)之間的安全連接”也是可以的，例如選擇“自定義配置”。然而勾選LAN路由即可。這個(gè)方法和上面提到的方法效果是一樣的，兩個(gè)網(wǎng)絡(luò)互訪都是沒有問題的。另外在設(shè)置網(wǎng)卡網(wǎng)絡(luò)參數(shù)時(shí)可以將網(wǎng)關(guān)地址設(shè)置為自己，同樣不影響使用。例如本地連接處的默認(rèn)網(wǎng)關(guān)也填寫192.168.0.1。
    總結(jié)：
    路由和遠(yuǎn)程撥號(hào)訪問使用的范圍還是相當(dāng)廣泛的，可以互連兩個(gè)網(wǎng)段或者三個(gè)網(wǎng)段，可以啟用NAT功能保護(hù)內(nèi)網(wǎng)計(jì)算機(jī)的安全，也可以設(shè)置VPN保證企業(yè)
    多子部門安全連接。感興趣的讀者可以自行研究，我們IT168服務(wù)器頻道也會(huì)做相關(guān)的后續(xù)報(bào)道。