在上一篇中,我和大家分享了在JuniperNS50中建立×××的整个过程,对于本次实验环境还不是很清楚的朋友,请先查看《公司×××访问建立之一JuniperNS50实现远程×××(Only L2TP User)》一文中的相关说明。

然后,我们继续上次的内容,在实现了×××环境的开通之后,假设JuniperNS50的ethernet1口(IP10.0.0.1/255.255.255.0,现接ISA的WAN网卡)接的是一台普通的客户机或是接入了一台普通的交换机(交换机下接一些客户机),那么只要将这些客户机的IP设置为10.0.0.2~254/255.255.255.0/10.0.0.1后,通过Internet拨入的×××用户就可以直接的访问到这些局域网里的客户机了。

好吧,以上只是我个人的美好愿望,其实,此时JuniperNS50的ethernet1口(IP10.0.0.1/255.255.255.0)现在接入的是ISA2006的WAN网卡,而客户机都是接在ISA2006之后的核心交换机以后的普通交换机上的,那么,我们接下来的工作就是设法开通由JuniperNS50所建立的×××环境到ISA2006服务器之后的访问通道了。

这个部分的设置很简单,如果你看过并理解了风间子大大的《How to:允许外部的×××客户访问内部网络》,反正我当时是看了,但是没看懂,所以在绕了好久的弯路后又回归正途的那一刻,真的有种顶礼膜拜风大大的冲动,尤其是看到他发布这篇文章的日期后,更是“内牛满面”,高人哪!

当×××用户通过Internet拨入我们在JuniperNS50上构建的×××后,他会取得192.168.20.100~200/255.255.255.0(网关同IP)这段IP中的某一个作为他访问我公司内部局域网时使用的IP地址,而这个IP是无法直接访问到公司192.168.0.1~254/255.255.255.0或是192.168.2.1~254/255.255.255.0段内的电脑的,也许你会想说这是因为他所获得的IP地址与0或2段地址不在一个网段内,只要把这个×××地址池内的地址段改为和我公司内网相同的0或2网段就可以互相访问了,但我要说明的是这种不通其实并不能简单的理解为是网段的不同而造成的,因为就算把IP池内的地址段设为与局域网内的0或2一个网段同样也是无法互相访问的,这是为什么呢?因为设在JuniperNS50的×××地址池内的IP段和我们局域网内的IP段分属于两个不同的范畴,哪怕它们是属于同一个网段内的IP地址,在它们之间也是无法取得直接的联系的,这对于我们来说是透明不可见的,就像是有一堵透明的墙隔离了它们之间的通信,这时候它们在查找自身这个段内的地址时,也仅会在自己这个范畴内查找,是不可能互相找到对方的。

在走出了这个误区后,我重新回到风大大的文章中寻找答案,最终找到了要实现本次实验最终目的的关键:路由!

下面,就让我们开始具体的操作说明:

首先,拨号成功后的×××用户,我们通过在JuniperNS50上添加以下两条路由使得他们可以发现到达ISA2006内部的途径(网关),这里选择ethernet1是由于这个端口是JuniperNS50上连接Lan的端口

Network—Routing—Routing Entries—New

公司×××访问建立之二ISA2006服务器的设置_ISA2006 公司×××访问建立之二ISA2006服务器的设置_Juniper_02

然后,我们在ISA2006服务器上,将从内部网络到外部网络的联系方式改为Route,以及添加一条允许访问内部网络相关服务的访问规则,即可开通×××客户到内网的访问通道

以下为更改联系方式为Route

公司×××访问建立之二ISA2006服务器的设置_职场_03 公司×××访问建立之二ISA2006服务器的设置_VPN_04 公司×××访问建立之二ISA2006服务器的设置_ISA2006_05

这里新建一个名为"vpn access"的计算机集,用于限定访问ISA2006后局域网的×××用户范围

公司×××访问建立之二ISA2006服务器的设置_职场_06 公司×××访问建立之二ISA2006服务器的设置_休闲_07 公司×××访问建立之二ISA2006服务器的设置_VPN_08 公司×××访问建立之二ISA2006服务器的设置_VPN_09

然后,再新建一条具体的访问规则以作测试,这里举例开通×××用户到内网的ping服务

公司×××访问建立之二ISA2006服务器的设置_休闲_10 公司×××访问建立之二ISA2006服务器的设置_职场_11 公司×××访问建立之二ISA2006服务器的设置_职场_12 公司×××访问建立之二ISA2006服务器的设置_VPN_13

公司×××访问建立之二ISA2006服务器的设置_职场_14 公司×××访问建立之二ISA2006服务器的设置_VPN_15 公司×××访问建立之二ISA2006服务器的设置_VPN_16 公司×××访问建立之二ISA2006服务器的设置_休闲_17

最后,由于我们的内网分为192.168.0.1~254/255.255.255.0和192.168.2.1~254/255.255.255.0两个不同的网段,而×××用户对于这两个网段的访问路径是不同的:访问0段内网,首先通过JuniperNS50上设置的10.0.0.2路由网关到达ISA上的LAN192.168.0.11接口后即可经由设置在核心交换机上的VLAN1的0段网关192.168.0.3/255.255.255.0访问0段局域网;而访问2段内网,首先也需要通过JuniperNS50上设置的10.0.0.2路由网关,而后需要在ISA上再添加一条路由,使其能够通过ISA的LAN192.168.0.11接口,将发往核心交换机上的VLAN1的0段网关192.168.0.3/255.255.255.0的数据路由到VLAN2的2段网内,从而实现对2段局域网的访问。

在ISA2006上添加路由的命令是:route -p(永久添加) add 192.168.2.0(目的地) mask 255.255.255.0 192.168.0.3(经由网关)

公司×××访问建立之二ISA2006服务器的设置_VPN_18

特别说明:这条路由其实也是2段网内的客户机访问Internet时的回程路由。2段网内客户机向Internet发送访问请求,Internet上的服务器通过这条路由将反馈信息发送至2段网内的客户机,从而实现通信往来,即2段网内的用户要能访问Internet上的内容,在ISA2006上也必须要有这条路由。

OK,我们对于公司×××访问建立之二ISA2006服务器的设置方面的内容已全部说明完毕,至此,我们已开通了×××用户到0和2段内网的访问通道,以后可以简单的通过ISA2006的不同策略来控制和管理×××用户对于0和2段内网电脑的访问权限。

公司的×××访问建立方面的内容到这里已全部完成,而该系列的最后一篇文章《公司×××访问建立之三核心交换机Huawei Quidway S6502的设置》主要是针对0和2段内网的规划和设置,有兴趣的朋友可以去看看。