用WIN2003轻松实现双网安全互连
2005-12-15   小虫网络技术

　　问:本公司计算机数量不多，大概有50台左右，总共分两个部门。一个是培训部一个是工程部。网络结构要求这两个部门的计算机分属于不同的子网，这样在管理和安全方面都有所保障，然而两个子网之间又要求能够互连，也就是说在工程部的计算机可以访问到培训部，相应的培训部门的计算机也可以访问到工程部中的网络设备。由于公司经费有限没有购买路由器或三层交换机，有没有办法能够实现这个要求呢？马上就要实施了！急！谢谢了！
　　
　　答:这个现象比较普遍，特别是在有机房的公司中，机房主要用于培训使用，这样为了提高安全机房中计算机设置的IP地址所在子网和办公室中的IP地址子网不同。然而实际中又希望机房和办公室可以互连，这种现象和上面网友提出的问题是一样的。
　　
　　如何解决这个问题呢？首先要介绍下使用路由器或三层交换机实现该要求的方法，如果公司有经费的话可以购买一台路由交换设备，这样为这个设备两个以太网端口设置不同的IP地址，例如192.168.1.254和10.91.30.254。然后将10.91.30.0网段的计算机接入10.91.30.254接口，将192.168.1.0网段计算机连接到192.168.1.254接口上。由于默认情况下路由器和三层交换机都具备端口和网络识别的功能，所以不需要配置任何路由两个接口就可以互相PING通了，访问起共享资源来也没有一丝问题。
　　
　　当然如果公司没有费用购买路由交换设备的话，正如上面网友所问的一样，如何解决呢？其实可以使用计算机自行建立路由的方法，也就是说找到一台配置中等的计算机，安装两个网卡并添加路由及远程拨号访问组件，接着配置路由及远程拨号访问，让这台计算机起到路由功能，充当路由器的角色。一个网卡接一个网段，从而实现了网友的要求。下面就请跟随笔者一起一步步的设置路由及远程拨号访问。实际环境中笔者是在windows server 2003下配置该服务，当然windows 2000 server中的配置方法也是类似的。
　　
　　环境描述：公司要求两个网络，一个是10.91.30.*，一个是192.168.0.*，要求让这两个网络互连，使用一台计算机充当路由器角色。
　　
　　第一步：找到两块网卡和一台计算机，然后接在其PCI插槽中。安装windows 2003操作系统，网卡的驱动程序会自动安装。安装完毕后会在“网上邻居—>属性—>本地连接”看到出现了“本地连接”和“本地连接2”，表明网卡安装及工作正常。（如图1）
　　

　 screen.width-500)this.style.width=screen.width-500;">
　　
图1
　　
　　第二步：双击“本地连接”图标，然后点“属性”按钮。在常规标签中双击internet协议（TCP/IP），设置本地连接1对应的IP地址等信息。其中IP地址设置为192.168.0.1，子网掩码为255.255.255.0，默认网关空着不填，DNS服务器也是192.168.0.1。（如图2）
　　 　screen.width-500)this.style.width=screen.width-500;">
　　
图2
　　
　　第三步：接着配置“本地连接2”的属性，双击“本地连接2”图标，然后点“属性”按钮。在常规标签中双击internet协议（TCP/IP），设置本地连接2对应的IP地址等信息。其中IP地址设置为10.91.30.45，子网掩码为255.255.255.0，网关仍然空着不填。DNS地址也为10.91.30.45。
　　
　　小提示：由于笔者所在公司10.91.30.*网段的10.91.30.1和10.91.30.254是另外两台提供数据库服务的服务器，所以这台路由服务器网卡2只能设置IP地址为10.91.30.45了。当然对于大多数情况来说如果要互连两个网段最好还是使用10.91.30.1以及10.91.30.254这样的形式。
　　
　　第四步：然后我们查询配置是否正确，通过任务栏的“开始->运行->输入CMD”，进入命令行模式，然后输入ipconfig。你会看到刚才配置的所有信息，包括网卡1和网卡2的网络参数。（如图3）
　　
　screen.width-500)this.style.width=screen.width-500;">
　　
图3
　　
　　第五步：这时将连接192.168.0.*的网线接到网卡1上，将连接10.91.30.*的网线接到网卡2上，我们通过ping这两个网段计算机的IP来查询连接情况，如果在充当路由器那台计算机上ping两个网段的计算机都通的话就表明线路连接没有问题，我们可以继续下面的操作了。（如图4）
　　 　 screen.width-500)this.style.width=screen.width-500;">
　　
图4
　　
　　第六步：在windows2003中通过任务栏的“开始->运行->管理工具->路由和远程访问”来进一步配置。（如图5）
　　 　screen.width-500)this.style.width=screen.width-500;">
　　
图5
　　
　　第七步：可能你会发现路由和远程访问中“本地”计算机的图标是红色的，也就是说没有启用或者配置。（如图6）这是因为服务在捣鬼，我们通过“开始->运行->输入services.msc”进入服务设置窗口，你会发现原来routing and remote access服务被禁用了。（如图7）将其设置为自动启动后就能解决上面的问题。（如图9）
　　 　screen.width-500)this.style.width=screen.width-500;">
　　
图6
　　 　screen.width-500)this.style.width=screen.width-500;">
　　
图7
　　
screen.width-500)this.style.width=screen.width-500;">
　　
图8

　　
　　第八步：再次来到“路由和远程访问”设置窗口，在“softer本地”上点鼠标右键，选择“配置并启用路由和远程访问”。开始设置路由和远程访问。（如图9）

　 screen.width-500)this.style.width=screen.width-500;">

　　

图9
　　
　　第九步：首先出现欢迎使用路由和远程访问服务器安装向导。我们点“下一步”继续。（如图10）
　　 　screen.width-500)this.style.width=screen.width-500;">

　　

图10

　　
　　第十步：在配置窗口中我们选择“两个专用网络之间的安全连接”。然后点“下一步”继续。（如图11）
　　

　screen.width-500)this.style.width=screen.width-500;">

　　

图11

　　
　　第十一步：系统将自动启用路由和远程访问服务。（如图12）
　　

　screen.width-500)this.style.width=screen.width-500;">

　　

图12

　　
　　第十二步：启用而我们就可以在192.168.0.*网络中的计算机ping通10.91.30.*网络中的计算机了，访问共享资源也没有任何问题。（如图13）
　　

　 screen.width-500)this.style.width=screen.width-500;">

　　

图13
　　
　　小提示：实际上当互连两个网络时可以不在路由和远程访问服务中启用动态路由发现协议，因为组件会自动找到直连的两个网络。当互连网络多或者网络跳跃点比较多的时候就需要在路由和远程访问中启用相应的动态路由协议了，例如rip等。
　　
　　当然我们在路由和远程访问服务器安装向导出现配置窗口时不选择“两个专用网络之间的安全连接”也是可以的，例如选择“自定义配置”。（如图14）然而勾选LAN路由即可。（如图15）这个方法和上面提到的方法效果是一样的，两个网络互访都是没有问题的。另外在设置网卡网络参数时可以将网关地址设置为自己，同样不影响使用。例如本地连接处的默认网关也填写192.168.0.1。
　　 　screen.width-500)this.style.width=screen.width-500;">

　　

图14

　　

screen.width-500)this.style.width=screen.width-500;">

　　

图15

　　
　　总结：
　　
　　路由和远程拨号访问使用的范围还是相当广泛的，可以互连两个网段或者三个网段，可以启用NAT功能保护内网计算机的安全，也可以设置VPN保证企业多子部门安全连接。感兴趣的读者可以自行研究，我们IT168服务器频道也会做相关的后续报道。