RedHat Linux默认的语言编码是“zh_CN.UTF-8",这在X-windows桌面环境下的“终端”窗口操作是能正确显示汉字的,但是假如是通过SSH或Telnet等方式进行远程管理,就会发现任何的汉字变成乱码了,要解决这个问题,编辑文档/etc/sysconfig/i18n,将第1句LANG="zh_CN.UTF-8"改为LANG="zh_CN.GB18030"即可,完成后重新登陆,会发现现在任何的汉字忆经能正常显示了。
在linux RedHat 3 U8缺省是zh_CN.GB18030
2008年7月25日星期五
思科路由器常用配置命令大全(A-X)
Access-enable 允许路由器在动态访问列表中创建临时访问列表入口
Access-group 把访问控制列表(ACL)应用到接口上
Access-list 定义一个标准的IP ACL
Access-template 在连接的路由器上手动替换临时访问列表入口
Appn 向APPN子系统发送命令
Atmsig 执行ATM信令命令
B 手动引导操作系统
Bandwidth 设置接口的带宽
Banner motd 指定日期信息标语
Bfe 设置突发事件手册模式
Boot system 指定路由器启动时加载的系统映像
Calendar 设置硬件日历
Cd 更改路径
Cdp enable 允许接口运行CDP协议
Clear 复位功能
Clear counters 清除接口计数器
Clear interface 重新启动接口上的件逻辑
Clockrate 设置串口硬件连接的时钟速率,如网络接口模块和接口处理器能接受的速率
Cmt 开启/关闭FDDI连接管理功能
Config-register 修改配置寄存器设置
Configure 允许进入存在的配置模式,在中心站点上维护并保存配置信息
Configure memory 从NVRAM加载配置信息
Configure terminal 从终端进行手动配置
Connect 打开一个终端连接
Copy 复制配置或映像数据
Copy flash tftp 备份系统映像文件到TFTP服务器
Copy running-config startup-config 将RAM中的当前配置存储到NVRAM
Copy running-config tftp 将RAM中的当前配置存储到网络TFTP服务器上
Copy tftp flash 从TFTP服务器上下载新映像到Flash
Copy tftp running-config 从TFTP服务器上下载配置文件
Debug 使用调试功能
Debug dialer 显示接口在拨什么号及诸如此类的信息
Debug ip rip 显示RIP路由选择更新数据
Debug ipx routing activity 显示关于路由选择协议(RIP)更新数据包的信息
Debug ipx sap 显示关于SAP(业务通告协议)更新数据包信息
Debug isdn q921 显示在路由器D通道ISDN接口上发生的数据链路层(第2层)的访问过程
Debug ppp 显示在实施PPP中发生的业务和交换信息
Delete 删除文件
Deny 为一个已命名的IP ACL设置条件
Dialer idle-timeout 规定线路断开前的空闲时间的长度
Dialer map 设置一个串行接口来呼叫一个或多个地点
Dialer wait-for-carrier-time 规定花多长时间等待一个载体
Dialer-group 通过对属于一个特定拨号组的接口进行配置来访问控制
Dialer-list protocol 定义一个数字数据接受器(DDR)拨号表以通过协议或ACL与协议的组合来控制控制拨号
Dir 显示给定设备上的文件
Disable 关闭特许模式
Disconnect 断开已建立的连接
Enable 打开特许模式
Enable password 确定一个密码以防止对路由器非授权的访问
Enable password 设置本地口令控制不同特权级别的访问
Enable secret 为enable password命令定义额外一层安全性(强制安全,密码非明文显示)
Encapsulation frame-relay 启动帧中继封装
Encapsulation novell-ether 规定在网络段上使用的Novell独一无二的格式
Encapsulation PPP 把PPP设置为由串口或ISDN接口使用的封装方法
Encapsulation sap 规定在网络段上使用的以太网802.2格式Cisco的密码是sap
End 退出配置模式
Erase 删除闪存或配置缓存
Erase startup-config 删除NVRAM中的内容
Exec-timeout 配置EXEC命令解释器在检测到用户输入前所等待的时间
Exit 退出所有配置模式或者关闭一个激活的终端会话和终止一个EXEC
Exit 终止任何配置模式或关闭一个活动的对话和结束EXEC
format 格式化设备
Frame-relay local-dlci 为使用帧中继封装的串行线路启动本地管理接口(LMI)
Help 获得交互式帮助系统
History 查看历史记录
Hostname 使用一个主机名来配置路由器,该主机名以提示符或者缺省文件名的方式使用
Interface 设置接口类型并且输入接口配置模式
Interface 配置接口类型和进入接口配置模式
Interface serial 选择接口并且输入接口配置模式
Ip access-group 控制对一个接口的访问
Ip address 设定接口的网络逻辑地址
Ip address 设置一个接口地址和子网掩码并开始IP处理
Ip default-network 建立一条缺省路由
Ip domain-lookup 允许路由器缺省使用DNS
Ip host 定义静态主机名到IP地址映射
Ip name-server 指定至多6个进行名字-地址解析的服务器地址
Ip route 建立一条静态路由
Ip unnumbered 在为给一个接口分配一个明确的IP地址情况下,在串口上启动互联网协议(IP)的处理过程
Ipx delay 设置点计数
Ipx ipxwan 在串口上启动IPXWAN协议
Ipx maximum-paths 当转发数据包时设置Cisco IOS软件使用的等价路径数量
Ipx network 在一个特定接口上启动互联网数据包交换(IPX)的路由选择并且选择封装的类型(用帧封装)
Ipx router 规定使用的路由选择协议
Ipx routing 启动IPX路由选择
Ipx sap-interval 在较慢的链路上设置较不频繁的SAP(业务广告协议)更新
Ipx type-20-input-checks 限制对IPX20类数据包广播的传播的接受
Isdn spid1 在路由器上规定已经由ISDN业务供应商为B1信道分配的业务简介号(SPID)
Isdn spid2 在路由器上规定已经由ISDN业务供应商为B2信道分配的业务简介号(SPID)
Isdntch-type 规定了在ISDN接口上的中央办公区的交换机的类型
Keeplive 为使用帧中继封装的串行线路LMI(本地管理接口)机制
Lat 打开LAT连接
Line 确定一个特定的线路和开始线路配置
Line concole 设置控制台端口线路
Line vty 为远程控制台访问规定了一个虚拟终端
Lock 锁住终端控制台
Login 在终端会话登录过程中启动了密码检查
Login 以某用户身份登录,登录时允许口令验证
Logout 退出EXEC模式
Mbranch 向下跟踪组播地址路由至终端
Media-type 定义介质类型
Metric holddown 把新的IGRP路由选择信息与正在使用的IGRP路由选择信息隔离一段时间
Mrbranch 向上解析组播地址路由至枝端
Mrinfo 从组播路由器上获取邻居和版本信息
Mstat 对组播地址多次路由跟踪后显示统计数字
Mtrace 由源向目标跟踪解析组播地址路径
Name-connection 命名已存在的网络连接
Ncia 开启/关闭NCIA服务器
Network 把一个基于NIC的地址分配给一个与它直接相连的路由器把网络与一个IGRP的路由选择的过程联系起来在IPX路由器配置模式下,在网络上启动加强的IGRP
Network 指定一个和路由器直接相连的网络地址段
Network-number 对一个直接连接的网络进行规定
No shutdown 打开一个关闭的接口
Pad 开启一个X.29 PAD连接
Permit 为一个已命名的IP ACL设置条件
Ping 把ICMP响应请求的数据包发送网络上的另一个节点检查主机的可达性和网络的连通性对网络的基本连通性进行诊断
Ping 发送回声请求,诊断基本的网络连通性
Ppp 开始IETF点到点协议
Ppp authentication 启动Challenge握手鉴权协议(CHAP)或者密码验证协议(PAP)或者将两者都启动,并且对在接口上选择的CHAP和PAP验证的顺序进行规定
Ppp chap hostname 当用CHAP进行身份验证时,创建一批好像是同一台主机的拨号路由器
Ppp chap password 设置一个密码,该密码被发送到对路由器进行身份验证的主机命令对进入路由器的用户名/密码的数量进行了限制
Ppp pap sent-username 对一个接口启动远程PAP支持,并且在PAP对同等层请求数据包验证过程中使用sent-username和password
Protocol 对一个IP路由选择协议进行定义,该协议可以是RIP,内部网关路由选择协议(IGRP),开放最短路径优先(OSPF),还可以是加强的IGRP
Pwd 显示当前设备名
Reload 关闭并执行冷启动;重启操作系统
Rlogin 打开一个活动的网络连接
Router 由第一项定义的IP路由协议作为路由进程,例如:router rip 选择RIP作为路由协议
Router igrp 启动一个IGRP的路由选择过程
Router rip 选择RIP作为路由选择协议
Rsh 执行一个远程命令
Sdlc 发送SDLC测试帧
Send 在tty线路上发送消息
Service password-encryption 对口令进行加密
Setup 运行Setup命令
Show 显示运行系统信息
Show access-lists 显示当前所有ACL的内容
Show buffers 显示缓存器统计信息
Show cdp entry 显示CDP表中所列相邻设备的信息
Show cdp interface 显示打开的CDP接口信息
Show cdp neighbors 显示CDP查找进程的结果
Show dialer 显示为DDR(数字数据接受器)设置的串行接口的一般诊断信息
Show flash 显示闪存的布局和内容信息
Show frame-relay lmi 显示关于本地管理接口(LMI)的统计信息
Show frame-relay map 显示关于连接的当前映射入口和信息
Show frame-relay pvc 显示关于帧中继接口的永久虚电路(pvc)的统计信息
Show hosts 显示主机名和地址的缓存列表
Show interfaces 显示设置在路由器和访问服务器上所有接口的统计信息
Show interfaces 显示路由器上配置的所有接口的状态
Show interfaces serial 显示关于一个串口的信息
Show ip interface 列出一个接口的IP信息和状态的小结
Show ip interface 列出接口的状态和全局参数
Show ip protocols 显示活动路由协议进程的参数和当前状态
Show ip route 显示路由选择表的当前状态
Show ip router 显示IP路由表信息
Show ipx interface 显示Cisco IOS软件设置的IPX接口的状态以及每个接口中的参数
Show ipx route 显示IPX路由选择表的内容
Show ipx servers 显示IPX服务器列表
Show ipx traffic 显示数据包的数量和类型
Show isdn active 显示当前呼叫的信息,包括被叫号码、建立连接前所花费的时间、在呼叫期间使用的自动化操作控制(AOC)收费单元以及是否在呼叫期间和呼叫结束时提供AOC信息
Show isdn ststus 显示所有isdn接口的状态、或者一个特定的数字信号链路(DSL)的状态或者一个特定isdn接口的状态
Show memory 显示路由器内存的大小,包括空闲内存的大小
Show processes 显示路由器的进程
Show protocols 显示设置的协议
Show protocols 显示配置的协议。这条命令显示任何配置了的第3层协议的状态
Show running-config 显示RAM中的当前配置信息
Show spantree 显示关于虚拟局域网(VLAN)的生成树信息
Show stacks 监控和中断程序对堆栈的使用,并显示系统上一次重启的原因
Show startup-config 显示NVRAM中的启动配置文件
Show ststus 显示ISDN线路和两个B信道的当前状态
Show version 显示系统硬件的配置,软件的版本,配置文件的名称和来源及引导映像
Shutdown 关闭一个接口
Telnet 开启一个telect连接
Term ip 指定当前会话的网络掩码的格式
Term ip netmask-format 规定了在show命令输出中网络掩码显示的格式
Timers basic 控制着IGRP以多少时间间隔发送更新信息
Trace 跟踪IP路由
Username password 规定了在CHAP和PAP呼叫者身份验证过程中使用的密码
Verify 检验flash文件
Where 显示活动连接
Which-route OSI路由表查找和显示结果
Write 运行的配置信息写入内存,网络或终端
Write erase 现在由copy startup-config命令替换
X3 在PAD上设置X.3参数
Xremote 进入XRemote模式
Access-group 把访问控制列表(ACL)应用到接口上
Access-list 定义一个标准的IP ACL
Access-template 在连接的路由器上手动替换临时访问列表入口
Appn 向APPN子系统发送命令
Atmsig 执行ATM信令命令
B 手动引导操作系统
Bandwidth 设置接口的带宽
Banner motd 指定日期信息标语
Bfe 设置突发事件手册模式
Boot system 指定路由器启动时加载的系统映像
Calendar 设置硬件日历
Cd 更改路径
Cdp enable 允许接口运行CDP协议
Clear 复位功能
Clear counters 清除接口计数器
Clear interface 重新启动接口上的件逻辑
Clockrate 设置串口硬件连接的时钟速率,如网络接口模块和接口处理器能接受的速率
Cmt 开启/关闭FDDI连接管理功能
Config-register 修改配置寄存器设置
Configure 允许进入存在的配置模式,在中心站点上维护并保存配置信息
Configure memory 从NVRAM加载配置信息
Configure terminal 从终端进行手动配置
Connect 打开一个终端连接
Copy 复制配置或映像数据
Copy flash tftp 备份系统映像文件到TFTP服务器
Copy running-config startup-config 将RAM中的当前配置存储到NVRAM
Copy running-config tftp 将RAM中的当前配置存储到网络TFTP服务器上
Copy tftp flash 从TFTP服务器上下载新映像到Flash
Copy tftp running-config 从TFTP服务器上下载配置文件
Debug 使用调试功能
Debug dialer 显示接口在拨什么号及诸如此类的信息
Debug ip rip 显示RIP路由选择更新数据
Debug ipx routing activity 显示关于路由选择协议(RIP)更新数据包的信息
Debug ipx sap 显示关于SAP(业务通告协议)更新数据包信息
Debug isdn q921 显示在路由器D通道ISDN接口上发生的数据链路层(第2层)的访问过程
Debug ppp 显示在实施PPP中发生的业务和交换信息
Delete 删除文件
Deny 为一个已命名的IP ACL设置条件
Dialer idle-timeout 规定线路断开前的空闲时间的长度
Dialer map 设置一个串行接口来呼叫一个或多个地点
Dialer wait-for-carrier-time 规定花多长时间等待一个载体
Dialer-group 通过对属于一个特定拨号组的接口进行配置来访问控制
Dialer-list protocol 定义一个数字数据接受器(DDR)拨号表以通过协议或ACL与协议的组合来控制控制拨号
Dir 显示给定设备上的文件
Disable 关闭特许模式
Disconnect 断开已建立的连接
Enable 打开特许模式
Enable password 确定一个密码以防止对路由器非授权的访问
Enable password 设置本地口令控制不同特权级别的访问
Enable secret 为enable password命令定义额外一层安全性(强制安全,密码非明文显示)
Encapsulation frame-relay 启动帧中继封装
Encapsulation novell-ether 规定在网络段上使用的Novell独一无二的格式
Encapsulation PPP 把PPP设置为由串口或ISDN接口使用的封装方法
Encapsulation sap 规定在网络段上使用的以太网802.2格式Cisco的密码是sap
End 退出配置模式
Erase 删除闪存或配置缓存
Erase startup-config 删除NVRAM中的内容
Exec-timeout 配置EXEC命令解释器在检测到用户输入前所等待的时间
Exit 退出所有配置模式或者关闭一个激活的终端会话和终止一个EXEC
Exit 终止任何配置模式或关闭一个活动的对话和结束EXEC
format 格式化设备
Frame-relay local-dlci 为使用帧中继封装的串行线路启动本地管理接口(LMI)
Help 获得交互式帮助系统
History 查看历史记录
Hostname 使用一个主机名来配置路由器,该主机名以提示符或者缺省文件名的方式使用
Interface 设置接口类型并且输入接口配置模式
Interface 配置接口类型和进入接口配置模式
Interface serial 选择接口并且输入接口配置模式
Ip access-group 控制对一个接口的访问
Ip address 设定接口的网络逻辑地址
Ip address 设置一个接口地址和子网掩码并开始IP处理
Ip default-network 建立一条缺省路由
Ip domain-lookup 允许路由器缺省使用DNS
Ip host 定义静态主机名到IP地址映射
Ip name-server 指定至多6个进行名字-地址解析的服务器地址
Ip route 建立一条静态路由
Ip unnumbered 在为给一个接口分配一个明确的IP地址情况下,在串口上启动互联网协议(IP)的处理过程
Ipx delay 设置点计数
Ipx ipxwan 在串口上启动IPXWAN协议
Ipx maximum-paths 当转发数据包时设置Cisco IOS软件使用的等价路径数量
Ipx network 在一个特定接口上启动互联网数据包交换(IPX)的路由选择并且选择封装的类型(用帧封装)
Ipx router 规定使用的路由选择协议
Ipx routing 启动IPX路由选择
Ipx sap-interval 在较慢的链路上设置较不频繁的SAP(业务广告协议)更新
Ipx type-20-input-checks 限制对IPX20类数据包广播的传播的接受
Isdn spid1 在路由器上规定已经由ISDN业务供应商为B1信道分配的业务简介号(SPID)
Isdn spid2 在路由器上规定已经由ISDN业务供应商为B2信道分配的业务简介号(SPID)
Isdntch-type 规定了在ISDN接口上的中央办公区的交换机的类型
Keeplive 为使用帧中继封装的串行线路LMI(本地管理接口)机制
Lat 打开LAT连接
Line 确定一个特定的线路和开始线路配置
Line concole 设置控制台端口线路
Line vty 为远程控制台访问规定了一个虚拟终端
Lock 锁住终端控制台
Login 在终端会话登录过程中启动了密码检查
Login 以某用户身份登录,登录时允许口令验证
Logout 退出EXEC模式
Mbranch 向下跟踪组播地址路由至终端
Media-type 定义介质类型
Metric holddown 把新的IGRP路由选择信息与正在使用的IGRP路由选择信息隔离一段时间
Mrbranch 向上解析组播地址路由至枝端
Mrinfo 从组播路由器上获取邻居和版本信息
Mstat 对组播地址多次路由跟踪后显示统计数字
Mtrace 由源向目标跟踪解析组播地址路径
Name-connection 命名已存在的网络连接
Ncia 开启/关闭NCIA服务器
Network 把一个基于NIC的地址分配给一个与它直接相连的路由器把网络与一个IGRP的路由选择的过程联系起来在IPX路由器配置模式下,在网络上启动加强的IGRP
Network 指定一个和路由器直接相连的网络地址段
Network-number 对一个直接连接的网络进行规定
No shutdown 打开一个关闭的接口
Pad 开启一个X.29 PAD连接
Permit 为一个已命名的IP ACL设置条件
Ping 把ICMP响应请求的数据包发送网络上的另一个节点检查主机的可达性和网络的连通性对网络的基本连通性进行诊断
Ping 发送回声请求,诊断基本的网络连通性
Ppp 开始IETF点到点协议
Ppp authentication 启动Challenge握手鉴权协议(CHAP)或者密码验证协议(PAP)或者将两者都启动,并且对在接口上选择的CHAP和PAP验证的顺序进行规定
Ppp chap hostname 当用CHAP进行身份验证时,创建一批好像是同一台主机的拨号路由器
Ppp chap password 设置一个密码,该密码被发送到对路由器进行身份验证的主机命令对进入路由器的用户名/密码的数量进行了限制
Ppp pap sent-username 对一个接口启动远程PAP支持,并且在PAP对同等层请求数据包验证过程中使用sent-username和password
Protocol 对一个IP路由选择协议进行定义,该协议可以是RIP,内部网关路由选择协议(IGRP),开放最短路径优先(OSPF),还可以是加强的IGRP
Pwd 显示当前设备名
Reload 关闭并执行冷启动;重启操作系统
Rlogin 打开一个活动的网络连接
Router 由第一项定义的IP路由协议作为路由进程,例如:router rip 选择RIP作为路由协议
Router igrp 启动一个IGRP的路由选择过程
Router rip 选择RIP作为路由选择协议
Rsh 执行一个远程命令
Sdlc 发送SDLC测试帧
Send 在tty线路上发送消息
Service password-encryption 对口令进行加密
Setup 运行Setup命令
Show 显示运行系统信息
Show access-lists 显示当前所有ACL的内容
Show buffers 显示缓存器统计信息
Show cdp entry 显示CDP表中所列相邻设备的信息
Show cdp interface 显示打开的CDP接口信息
Show cdp neighbors 显示CDP查找进程的结果
Show dialer 显示为DDR(数字数据接受器)设置的串行接口的一般诊断信息
Show flash 显示闪存的布局和内容信息
Show frame-relay lmi 显示关于本地管理接口(LMI)的统计信息
Show frame-relay map 显示关于连接的当前映射入口和信息
Show frame-relay pvc 显示关于帧中继接口的永久虚电路(pvc)的统计信息
Show hosts 显示主机名和地址的缓存列表
Show interfaces 显示设置在路由器和访问服务器上所有接口的统计信息
Show interfaces 显示路由器上配置的所有接口的状态
Show interfaces serial 显示关于一个串口的信息
Show ip interface 列出一个接口的IP信息和状态的小结
Show ip interface 列出接口的状态和全局参数
Show ip protocols 显示活动路由协议进程的参数和当前状态
Show ip route 显示路由选择表的当前状态
Show ip router 显示IP路由表信息
Show ipx interface 显示Cisco IOS软件设置的IPX接口的状态以及每个接口中的参数
Show ipx route 显示IPX路由选择表的内容
Show ipx servers 显示IPX服务器列表
Show ipx traffic 显示数据包的数量和类型
Show isdn active 显示当前呼叫的信息,包括被叫号码、建立连接前所花费的时间、在呼叫期间使用的自动化操作控制(AOC)收费单元以及是否在呼叫期间和呼叫结束时提供AOC信息
Show isdn ststus 显示所有isdn接口的状态、或者一个特定的数字信号链路(DSL)的状态或者一个特定isdn接口的状态
Show memory 显示路由器内存的大小,包括空闲内存的大小
Show processes 显示路由器的进程
Show protocols 显示设置的协议
Show protocols 显示配置的协议。这条命令显示任何配置了的第3层协议的状态
Show running-config 显示RAM中的当前配置信息
Show spantree 显示关于虚拟局域网(VLAN)的生成树信息
Show stacks 监控和中断程序对堆栈的使用,并显示系统上一次重启的原因
Show startup-config 显示NVRAM中的启动配置文件
Show ststus 显示ISDN线路和两个B信道的当前状态
Show version 显示系统硬件的配置,软件的版本,配置文件的名称和来源及引导映像
Shutdown 关闭一个接口
Telnet 开启一个telect连接
Term ip 指定当前会话的网络掩码的格式
Term ip netmask-format 规定了在show命令输出中网络掩码显示的格式
Timers basic 控制着IGRP以多少时间间隔发送更新信息
Trace 跟踪IP路由
Username password 规定了在CHAP和PAP呼叫者身份验证过程中使用的密码
Verify 检验flash文件
Where 显示活动连接
Which-route OSI路由表查找和显示结果
Write 运行的配置信息写入内存,网络或终端
Write erase 现在由copy startup-config命令替换
X3 在PAD上设置X.3参数
Xremote 进入XRemote模式
电力系统VoIP通信解决方案
一、 概述
现在,VoIP/NGN在全世界正迅猛的发展,VoIP/NGN必将是下一代通信网络的发展方向,在这一大前提下,我国电力通信行业也正储蓄待发,迎接这一技术革新,同时,越来越多的电力通信部门在进行实验和应用VoIP系统。电力系统通信引入VoIP,是高效、多业务和低成本的结合,这些优越性,在电力系统通信中得以充分的发挥,并以其优越的性能、丰富的扩展接口、方便的组网等等,吸引更多的客户应用VoIP系统。
基于VoIP的优点,结合电力通信的实际应用,我们公司提出了一套完整的电力通信系统VoIP组网解决方案,推出了一系列自主产权、高性价比、高可靠性的VoIP软交换系统和组网设备,已在全国各地得以实施应用,并取得用户的一致好评。
二、 组网方案
由于传统的交换机已经广泛应用,也因为现阶段的VoIP/NGN技术还不能完全代替传统交换机的因素,因此,在接下来的一段时间内,将是VoIP/NGN与传统程控交换机技术互补的并存状态,也是逐渐替代的一个过程。目前在电力系统通信中,有很多地方都已铺设IP数据网,我们可以充分利用这一条件,进行VoIP组网,可作为行政和调度电话系统的VoIP备份路由和分布式远程接入组网。充分发挥VoIP的优势,在继承原有交换体系的性能基础上,优化网络结构,提升网络性能。
在全省的VoIP组网中,我们推出了如下的组网方式:
1) 控制层,采用EICP-S2000软交换平台;
2) 哈里斯交换机采用哈里斯嵌入式VoIP中继网关EEG进行组网;
3) 其它品牌的交换机通过采用外置的中继网关SEG1为交换机提供VoIP接口;
4) 新增的网点或没有使用交换机的地方,我们可以使用SAG32电信级模拟VoIP网关或IP话机进行组网;
5) 一些特殊的应用场合使用软电话进行组网,实现号码携带等功能;
6) 在哈里斯交换机配置一块EWG网络维护板,用户可以方便的通过IP网络对交换机进行维护。
1. 省电力系统通信VoIP架构图
2. 系统组件
● 软交换平台 EICP-S2000
● 电信级语音接入网关 SAG32
● 语音接入网关 SAG8
● 哈里斯E1中继IP网关板EEG
● 数字中继网关 SEG1
● IP终端
3. 方案特点
● 充分利用现有的IP网络,与原有的2M路由方式构成双路由方式,提高通信可靠性;
● 可拓展更多的业务如IP电话、IP视频调度、IP可视电话、移动办公、PC软电话、号码携带等使用电力专用数据网,带宽有保证,语音质量可与PSTN长途电话想媲美;
● 服务农网建设,为县、乡镇供电所、电力营业
现在,VoIP/NGN在全世界正迅猛的发展,VoIP/NGN必将是下一代通信网络的发展方向,在这一大前提下,我国电力通信行业也正储蓄待发,迎接这一技术革新,同时,越来越多的电力通信部门在进行实验和应用VoIP系统。电力系统通信引入VoIP,是高效、多业务和低成本的结合,这些优越性,在电力系统通信中得以充分的发挥,并以其优越的性能、丰富的扩展接口、方便的组网等等,吸引更多的客户应用VoIP系统。
基于VoIP的优点,结合电力通信的实际应用,我们公司提出了一套完整的电力通信系统VoIP组网解决方案,推出了一系列自主产权、高性价比、高可靠性的VoIP软交换系统和组网设备,已在全国各地得以实施应用,并取得用户的一致好评。
二、 组网方案
由于传统的交换机已经广泛应用,也因为现阶段的VoIP/NGN技术还不能完全代替传统交换机的因素,因此,在接下来的一段时间内,将是VoIP/NGN与传统程控交换机技术互补的并存状态,也是逐渐替代的一个过程。目前在电力系统通信中,有很多地方都已铺设IP数据网,我们可以充分利用这一条件,进行VoIP组网,可作为行政和调度电话系统的VoIP备份路由和分布式远程接入组网。充分发挥VoIP的优势,在继承原有交换体系的性能基础上,优化网络结构,提升网络性能。
在全省的VoIP组网中,我们推出了如下的组网方式:
1) 控制层,采用EICP-S2000软交换平台;
2) 哈里斯交换机采用哈里斯嵌入式VoIP中继网关EEG进行组网;
3) 其它品牌的交换机通过采用外置的中继网关SEG1为交换机提供VoIP接口;
4) 新增的网点或没有使用交换机的地方,我们可以使用SAG32电信级模拟VoIP网关或IP话机进行组网;
5) 一些特殊的应用场合使用软电话进行组网,实现号码携带等功能;
6) 在哈里斯交换机配置一块EWG网络维护板,用户可以方便的通过IP网络对交换机进行维护。
1. 省电力系统通信VoIP架构图
2. 系统组件
● 软交换平台 EICP-S2000
● 电信级语音接入网关 SAG32
● 语音接入网关 SAG8
● 哈里斯E1中继IP网关板EEG
● 数字中继网关 SEG1
● IP终端
3. 方案特点
● 充分利用现有的IP网络,与原有的2M路由方式构成双路由方式,提高通信可靠性;
● 可拓展更多的业务如IP电话、IP视频调度、IP可视电话、移动办公、PC软电话、号码携带等使用电力专用数据网,带宽有保证,语音质量可与PSTN长途电话想媲美;
● 服务农网建设,为县、乡镇供电所、电力营业
程控用户交换机远程维护的实现
我局通信采用HARRIS20-20综合业务数字交换系统,下属几个单位也均为HARRIS20-20交换机。由于局间距离较远,边远区域技术条件较差,维护管理很不方便,而远距离的数据通信一般靠调制解调器(Modem)来实现。它包含一个用于信号发送的调制器和一个用于信号接收的解调器,可以支持双向通信。在实际的信号传输过程中,调制和解调往往同时进行,如果给调制解调器增加拨号和应答功能,就可以通过电话线与远端的PABX连接,实现数据信号的交互传递。因此利用Modem就可以很方便地解决远程维护不方便的问题。现将实现过程介绍如下。 1 工作原理 HARRIS20-20程控交换机在安装时就已配备一维护终端,用于数据库的生成和近端维护。此维护终端连接于交换机串口上,交换机相当于服务器,而维护终端相当于客户机。因此我们可采用音频Modem,利用电话网来传递数据,在电话线和计算机、终端等数据终端通信设备之间提供通信链路,构成最简单的远程计算机网,延长PC机(终端)与交换机的距离,从而实现远程维护管理的目的。2 实现方法 实现方法的关键在于解决PC机(终端)与交换机的软硬件接口。2.1 硬件接口 硬件接口如图1所示。
在本地交换机上取一串口接Modem的RS-232C接口,并赋予Modem一电话号码。在远端PC机(终端)的串口上也接一Modem,并赋予此Modem一电话号码,硬件连接即完成。 2.2 软件设置 1)交换机数据库作以下修改: 至此,本地交换机Modem的工作参数即被设为可传8位数据位、1位停止位,无校验位,速率为1200bit/s。 2)远程PC机或终端 a)利用维护终端实现远程维护。 以常州电子计算机厂所产的CJ925A中西文终端为例,进入SETUP参数设置,利用副键盘选择通信参数设置,通信口选择为RS232口,波特率与交换机Modem相同,数据位为8位,停止位为1位,无校验位,应答方式为XON/XOFF。 然后输入: AT 回车; OK 屏幕显示,则Modem自动跟踪终端参数; ATDTXXXXXXX利用音频拨交换机Modem电话号码;交换机Modem监测到振铃后,送出载波信号;终端Modem检测后,回送载波信号,双方“握手”。 CONNECT维护终端显示“CONNECT”,表明数据链路接通。然后按照HARRIS20-20交换机连接要求进行操作,即进入HARRIS20—20交换机数据库,从而实现远程维护管理。 b)利用计算机软件WIN3.X或WIN95实现远程维护管理 WIN3.X和WIN95是当前比较流行的软件,我们利用其中的终端机或拨号网络可以很方便地实现远程维护管理。其实现方法与利用终端设备基本相同。 启动WIN3.X后,用鼠标双击“附件”,再双击“终端仿真程序”,单击“设置”,在下拉菜单中的“终端仿真”选DEC VT—100(ANSI)。 利用设定菜单中的通信选项设定Modem的传输速率(波特率):9600;传送位:8;停止位:1;校验位:无;流程控制:XON/XOFF;MODEM连接的串口:COM1或COM2(根据实际连接而定);侦测载波:ON。 然后利用电话号码选项,输入远端交换机Modem的电话号码。 以上参数配置好后,单击“文件”,在下拉菜单中单击“保存”,给配置文件取名“远程维护”,单击“确定”。当我们需要进行远程维护时,只需打开“远程维护”文档,选择“电话”菜单中的“拨号”选项即可。当屏幕显示“CONNECT”时,即表示联机成功。其余操作与近端终端相同。若想结束这次远程维护,只需选择“电话”菜单中的“挂断”选项即可。 WIN95的配置与使用方法与WIN3.X类似。 此系统在我局开通以来,大大地降低了技术人员的劳动强度,使远端交换机的维护管理变得方便快捷。
在本地交换机上取一串口接Modem的RS-232C接口,并赋予Modem一电话号码。在远端PC机(终端)的串口上也接一Modem,并赋予此Modem一电话号码,硬件连接即完成。 2.2 软件设置 1)交换机数据库作以下修改: 至此,本地交换机Modem的工作参数即被设为可传8位数据位、1位停止位,无校验位,速率为1200bit/s。 2)远程PC机或终端 a)利用维护终端实现远程维护。 以常州电子计算机厂所产的CJ925A中西文终端为例,进入SETUP参数设置,利用副键盘选择通信参数设置,通信口选择为RS232口,波特率与交换机Modem相同,数据位为8位,停止位为1位,无校验位,应答方式为XON/XOFF。 然后输入: AT 回车; OK 屏幕显示,则Modem自动跟踪终端参数; ATDTXXXXXXX利用音频拨交换机Modem电话号码;交换机Modem监测到振铃后,送出载波信号;终端Modem检测后,回送载波信号,双方“握手”。 CONNECT维护终端显示“CONNECT”,表明数据链路接通。然后按照HARRIS20-20交换机连接要求进行操作,即进入HARRIS20—20交换机数据库,从而实现远程维护管理。 b)利用计算机软件WIN3.X或WIN95实现远程维护管理 WIN3.X和WIN95是当前比较流行的软件,我们利用其中的终端机或拨号网络可以很方便地实现远程维护管理。其实现方法与利用终端设备基本相同。 启动WIN3.X后,用鼠标双击“附件”,再双击“终端仿真程序”,单击“设置”,在下拉菜单中的“终端仿真”选DEC VT—100(ANSI)。 利用设定菜单中的通信选项设定Modem的传输速率(波特率):9600;传送位:8;停止位:1;校验位:无;流程控制:XON/XOFF;MODEM连接的串口:COM1或COM2(根据实际连接而定);侦测载波:ON。 然后利用电话号码选项,输入远端交换机Modem的电话号码。 以上参数配置好后,单击“文件”,在下拉菜单中单击“保存”,给配置文件取名“远程维护”,单击“确定”。当我们需要进行远程维护时,只需打开“远程维护”文档,选择“电话”菜单中的“拨号”选项即可。当屏幕显示“CONNECT”时,即表示联机成功。其余操作与近端终端相同。若想结束这次远程维护,只需选择“电话”菜单中的“挂断”选项即可。 WIN95的配置与使用方法与WIN3.X类似。 此系统在我局开通以来,大大地降低了技术人员的劳动强度,使远端交换机的维护管理变得方便快捷。
ISA Server实验环境搭建与企业VPN配置(四)
3、站到站的VPN连接
ISA Server 2006提供了强大的站到站的VPN连接,以实现对分支办公室VPN连接的支持,在配置站到站的VPN连接过程中,涉及到的选择项目很多,本文将简单介绍创建一个站到站的VPN连接的过程,介绍一些必备的选项。
更多更具技巧性的配置请读者在具体的实验中来发掘。以下是创建站到站VPN连接的详细过程:
1)、点开“远程站点”选项,选中“创建VPN站到站连接(Create VPN Site-to-Site Connection)”;
2)、在弹出的窗口中键入站到站网络名称,点“下一步”;
3)、在新窗口中选择要使用的VPN协议,有IPSec、L2TP(Layer Two Tunneling Protocol)和PPTP(Point-to-Point Tunneling Protocol)三个选项,选中ITSec,点“下一步”;
4)、配置连接设置:指定远程VPN网关IP地址和本地VPN网关IP地址,配置完毕后,点“下一步”;
5)、IPSec授权认证:指定IP安全协议的授权认证方法,如果没有指定的认证授权(Certificate Authority, CA),在可在预分享的Key一栏随便输入一个名字(如:test),点“下一步”;
6)、网络地址:指定远程站点的IP地址范围,可以做添加、修改、删除三个操作,如果没有修改,直接点“下一步”;如果只填写了远程站点网关的IP地址而没有机器IP的话,在进入“下一步”之前会有警告提示,笔者建议添加一台制定的机器的IP(如实验环境中名为Denver的虚拟机的IP);
7)、站到站网络规则:可以选择是否立即创建或稍后创建站到站的网络规则,选择“创建一个指定路由关系的网络规则”,然后点“添加”,进入网络实体的选择界面,在弹出的窗口中选中想要添加的网络实体,双击或者点“添加”都会在“站到站网络规则”窗口中显示出添加后的网络实体的名称,添加完毕点“下一步”则进入8的操作。选择“稍后创建站到站网络规则”,并点击“下一步”则进入8的操作,
8)、站到站网络访问规则:可以选择是否立即创建或稍后创建站到站的网络访问规则,选择“创建一个访问规则”,然后点“添加”,进入网络协议选择界面,在弹出的窗口中选择要添加的网络协议,双击或者点“添加”都会在“站到站网络访问规则”窗口中显示出添加后的网络协议的名称,添加完毕点“下一步”则进入9的操作;选择“稍后创建站到站的网络访问规则”,然后点击“下一步”则进入9的操作;
9)、完成站到站VPN连接向导:点“完成”退出配置;
10)、在“远程站点”中点“应用”,保存创建的站到站VPN连接的相关配置。
在完成创建以后,可以通过双击打开该项规则,然后浏览或修改相应的属性。
四、小 结
本文通过简介ISA Server产品家族,重点是ISA Server 2004和ISA Server 2006这两大产品的主要功能和属性,然后详细介绍了微软ISA Server 2006虚拟机实验环境和搭建过程,以及ISA Server 2006版中虚拟专用网络(VPN的配置过程),旨在通过详细的操作步骤使读者对微软ISA Server产品家族和其使用方法有一个清晰的认识,从而能够在指定企业边界防护解决方案的时候把ISA Server纳入到被考虑的范围之中。同时对希望了解ISA Server的专业技术人员提供可操作的参考指导。
ISA Server 2006提供了强大的站到站的VPN连接,以实现对分支办公室VPN连接的支持,在配置站到站的VPN连接过程中,涉及到的选择项目很多,本文将简单介绍创建一个站到站的VPN连接的过程,介绍一些必备的选项。
更多更具技巧性的配置请读者在具体的实验中来发掘。以下是创建站到站VPN连接的详细过程:
1)、点开“远程站点”选项,选中“创建VPN站到站连接(Create VPN Site-to-Site Connection)”;
2)、在弹出的窗口中键入站到站网络名称,点“下一步”;
3)、在新窗口中选择要使用的VPN协议,有IPSec、L2TP(Layer Two Tunneling Protocol)和PPTP(Point-to-Point Tunneling Protocol)三个选项,选中ITSec,点“下一步”;
4)、配置连接设置:指定远程VPN网关IP地址和本地VPN网关IP地址,配置完毕后,点“下一步”;
5)、IPSec授权认证:指定IP安全协议的授权认证方法,如果没有指定的认证授权(Certificate Authority, CA),在可在预分享的Key一栏随便输入一个名字(如:test),点“下一步”;
6)、网络地址:指定远程站点的IP地址范围,可以做添加、修改、删除三个操作,如果没有修改,直接点“下一步”;如果只填写了远程站点网关的IP地址而没有机器IP的话,在进入“下一步”之前会有警告提示,笔者建议添加一台制定的机器的IP(如实验环境中名为Denver的虚拟机的IP);
7)、站到站网络规则:可以选择是否立即创建或稍后创建站到站的网络规则,选择“创建一个指定路由关系的网络规则”,然后点“添加”,进入网络实体的选择界面,在弹出的窗口中选中想要添加的网络实体,双击或者点“添加”都会在“站到站网络规则”窗口中显示出添加后的网络实体的名称,添加完毕点“下一步”则进入8的操作。选择“稍后创建站到站网络规则”,并点击“下一步”则进入8的操作,
8)、站到站网络访问规则:可以选择是否立即创建或稍后创建站到站的网络访问规则,选择“创建一个访问规则”,然后点“添加”,进入网络协议选择界面,在弹出的窗口中选择要添加的网络协议,双击或者点“添加”都会在“站到站网络访问规则”窗口中显示出添加后的网络协议的名称,添加完毕点“下一步”则进入9的操作;选择“稍后创建站到站的网络访问规则”,然后点击“下一步”则进入9的操作;
9)、完成站到站VPN连接向导:点“完成”退出配置;
10)、在“远程站点”中点“应用”,保存创建的站到站VPN连接的相关配置。
在完成创建以后,可以通过双击打开该项规则,然后浏览或修改相应的属性。
四、小 结
本文通过简介ISA Server产品家族,重点是ISA Server 2004和ISA Server 2006这两大产品的主要功能和属性,然后详细介绍了微软ISA Server 2006虚拟机实验环境和搭建过程,以及ISA Server 2006版中虚拟专用网络(VPN的配置过程),旨在通过详细的操作步骤使读者对微软ISA Server产品家族和其使用方法有一个清晰的认识,从而能够在指定企业边界防护解决方案的时候把ISA Server纳入到被考虑的范围之中。同时对希望了解ISA Server的专业技术人员提供可操作的参考指导。
ISA Server实验环境搭建与企业VPN配置(三)
三、ISA Server 虚拟VPN配置
VPN对于拥有分支办公室和大量在外办公人员的企业而言是必不可少的,而VPN客户端到服务器端的安全连接则成为重中之重,要实现保护企业资源不受外界侵害,同时保证在外的工作人员能够使用内部资源,灵活配置VPN具有更为现实的意义。本文将以VPN的配置和维护为切入点,在读者完成实验环境的搭建以后,带领读者体验ISA Server 2006的VPN概念和分支办公室VPN连接的强大支持。如图2所示,ISA Server 2006 VPN面板包含的内容:
图2:ISA Server 2006 VPN面板示意图
1、 ISA Server 2006中的VPN概念
ISA Server 2006主要支持以下两种VPN连接:
1)、远程访问VPN连接(主要为来自VPN客户端的连接);
2)、站到站的VPN连接(主要为分支机构网络和总部之间的连接)。
所有的到ISA Server阵列的VPN连接将会写入到防火墙日志当中,因此用户可以监控VPN的连接。
2、远程访问VPN连接
远程客户端可以通过创建一个到VPN服务器的连接来连接到一个专用网络。ISA Server提供了到整个VPN服务器所在网络的连接访问支持。通过在图2中,对应有VPN Clients和Remote Sites两个选项,在VPN Clients选项下,有以下五个功能性选项:
1)、配置地址分配方法和启用VPN客户端访问;
2)、指定Windows用户或选择一个RADIUS服务器;
3)、确认VPN属性和远程访问配置;
4)、浏览VPN针对客户端网络的防火墙策略;
5)、浏览网络规则。
下面将详细介绍每个功能性选项的详细配置方法:
1)、配置地址分配方法和启用VPN客户端访问
必须在完成地址分配方法的配置以后,才可以启用VPN客户端访问支持。点开配置地址分配方法,在弹出的窗口中将会有以下四个选项:
a、访问网络:选择可以访问的网络;
b、地址分配:指定可访问的IP地址范围;
c、授权认证:指定授权认证方法;
d、RADIUS:选择是否采用RADIUS作为授权认证和日志的方法。
在实验环境中,读者可以根据启动的三个虚拟机的IP地址和网络配置,指定相应的范围,或者用户也可以根据实际的网络环境,首先配置虚拟机的网络设置以模拟真实的网络环境,然后再根据实际的需求进行设定。
完成地址分配方法的配置以后,点开VPN客户端访问,在弹出的窗口中将有以下四个选项:
一般:选择是否启用VPN客户端访问以及最大连接数;
组:指定可以使用的连接组;
协议:指定连接可以使用的协议;
用户匹配:选择是否启用用户匹配功能。
2)、指定Windows用户或选择一个RADIUS服务器
与启用VPN客户端功能项类似,也有四个相同的选项,选择一个RADIUS服务器选项则是地址分配方法的子选项,读者可以保留最初的选择。
3)、确认VPN属性和远程访问配置
该选项是对步骤1)(配置地址分配方法和启用VPN客户端访问)中配置的内容进行复审和确认,所有可选的内容都一样。
4)、浏览VPN针对客户端网络的防火墙策略
点开此功能项,显示的默认的或当前应用中的属性,双击,在弹出的窗口中有以下多个选项:
一般:规则名称和描述;
动作:当满足条件的情况出现时采取的动作;
协议:要监听的所有的协议;
访问源:指定要监控的来源网络(默认为所有网络);
访问目的地:指定要监控的访问目的地网络(默认为所有网络);
用户:指定监控的用户(默认为全部用户);
日程表:制定监控日程表;
内容类型:指定要监控的内容类型。
5)、浏览网络规则
点开此功能项,在浏览网络规则中,有按顺序排列的五个网络规则,如图3所示:
图3:浏览网络规则
双击到内部网络的VPN客户端(VPN Clients to Internal Network),则出现图3中最下端的小窗口,有以下四个选项:
一般:规则的名称和描述;
源网络:指定源网络;
目标网络:指定目标网络;
网络关系:选择网络之间的关系(网络地址解析NAT或路由Route)。
以上是在VPN客户端远程连接的情况下,ISA Server所需要进行的配置项,可能由于实验环境部分功能项受限而无法修改,读者可以在允许的范围内体验其功能。
VPN对于拥有分支办公室和大量在外办公人员的企业而言是必不可少的,而VPN客户端到服务器端的安全连接则成为重中之重,要实现保护企业资源不受外界侵害,同时保证在外的工作人员能够使用内部资源,灵活配置VPN具有更为现实的意义。本文将以VPN的配置和维护为切入点,在读者完成实验环境的搭建以后,带领读者体验ISA Server 2006的VPN概念和分支办公室VPN连接的强大支持。如图2所示,ISA Server 2006 VPN面板包含的内容:
图2:ISA Server 2006 VPN面板示意图
1、 ISA Server 2006中的VPN概念
ISA Server 2006主要支持以下两种VPN连接:
1)、远程访问VPN连接(主要为来自VPN客户端的连接);
2)、站到站的VPN连接(主要为分支机构网络和总部之间的连接)。
所有的到ISA Server阵列的VPN连接将会写入到防火墙日志当中,因此用户可以监控VPN的连接。
2、远程访问VPN连接
远程客户端可以通过创建一个到VPN服务器的连接来连接到一个专用网络。ISA Server提供了到整个VPN服务器所在网络的连接访问支持。通过在图2中,对应有VPN Clients和Remote Sites两个选项,在VPN Clients选项下,有以下五个功能性选项:
1)、配置地址分配方法和启用VPN客户端访问;
2)、指定Windows用户或选择一个RADIUS服务器;
3)、确认VPN属性和远程访问配置;
4)、浏览VPN针对客户端网络的防火墙策略;
5)、浏览网络规则。
下面将详细介绍每个功能性选项的详细配置方法:
1)、配置地址分配方法和启用VPN客户端访问
必须在完成地址分配方法的配置以后,才可以启用VPN客户端访问支持。点开配置地址分配方法,在弹出的窗口中将会有以下四个选项:
a、访问网络:选择可以访问的网络;
b、地址分配:指定可访问的IP地址范围;
c、授权认证:指定授权认证方法;
d、RADIUS:选择是否采用RADIUS作为授权认证和日志的方法。
在实验环境中,读者可以根据启动的三个虚拟机的IP地址和网络配置,指定相应的范围,或者用户也可以根据实际的网络环境,首先配置虚拟机的网络设置以模拟真实的网络环境,然后再根据实际的需求进行设定。
完成地址分配方法的配置以后,点开VPN客户端访问,在弹出的窗口中将有以下四个选项:
一般:选择是否启用VPN客户端访问以及最大连接数;
组:指定可以使用的连接组;
协议:指定连接可以使用的协议;
用户匹配:选择是否启用用户匹配功能。
2)、指定Windows用户或选择一个RADIUS服务器
与启用VPN客户端功能项类似,也有四个相同的选项,选择一个RADIUS服务器选项则是地址分配方法的子选项,读者可以保留最初的选择。
3)、确认VPN属性和远程访问配置
该选项是对步骤1)(配置地址分配方法和启用VPN客户端访问)中配置的内容进行复审和确认,所有可选的内容都一样。
4)、浏览VPN针对客户端网络的防火墙策略
点开此功能项,显示的默认的或当前应用中的属性,双击,在弹出的窗口中有以下多个选项:
一般:规则名称和描述;
动作:当满足条件的情况出现时采取的动作;
协议:要监听的所有的协议;
访问源:指定要监控的来源网络(默认为所有网络);
访问目的地:指定要监控的访问目的地网络(默认为所有网络);
用户:指定监控的用户(默认为全部用户);
日程表:制定监控日程表;
内容类型:指定要监控的内容类型。
5)、浏览网络规则
点开此功能项,在浏览网络规则中,有按顺序排列的五个网络规则,如图3所示:
图3:浏览网络规则
双击到内部网络的VPN客户端(VPN Clients to Internal Network),则出现图3中最下端的小窗口,有以下四个选项:
一般:规则的名称和描述;
源网络:指定源网络;
目标网络:指定目标网络;
网络关系:选择网络之间的关系(网络地址解析NAT或路由Route)。
以上是在VPN客户端远程连接的情况下,ISA Server所需要进行的配置项,可能由于实验环境部分功能项受限而无法修改,读者可以在允许的范围内体验其功能。
ISA Server实验环境搭建与企业VPN配置(二)
二、ISAServer2006Hands-OnLabs部署
在一个应用软件(尤其是安全相关应用软件)引入到企业整体IT架构之前,安全架构师和安全实施人员必须要充分考虑所有可能潜在的风险以及应对方案,并在实际部署之前进行严格的测试和实验,并对相关的操作人员进行全面的技术培训,以期把潜在的威胁和风险降到最低。
直接把软件部署到生产环境无疑要面对很大的风险,而且本文读者的操作系统环境可能存在着较大的差异,而ISAServer与其对应的组件只能安装在Server版的操作系统上,因此本文采用虚拟机作为实验环境的搭建方式。
1、ISAServer2006Hands-OnLabs简介
微软提供了一整套的包括ISAServer2006企业版和标准版以及Exchange、SharePoint的虚拟机在内的虚拟机套件,用以简单搭建企业级的ISAServer实验环境。
1)、包含软件具体版本
在ISAServer2006Hands-On实验环境中,包含以下具体版本的软件:
a、ISAServer2006StandardEdition(RTM)
b、ISAServer2006EnterpriseEdition(RTM)
c、SharePointServices2.0
d、ExchangeServer2003SP2
e、Outlook2003
2)、提供的实验环境
按照测试环境进行划分,该套件包括以下三个测试环境:
a、出界访问和分支办公室测试环境(OutboundAccessandBranchOffice);
b、发布和VPN连接测试环境(PublishingandVPNconnections);
c、企业版测试环境三个实验环境(EnterpriseEditionFeatures)。
3)、包含的具体模块
按照模块进行划分,该实验环境包括以下九个模块:
模块A:ISAServer简介;
模块B:配置出界Internet访问;
模块C:发布Web服务器和其它服务器;
模块D:发布Exchange服务器;
模块E:启用VPN连接;
模块F:采用ISAServer2006作为分支办公室网管;
模块G:ISAServer的企业级管理;
模块H:配置负载平衡;
模块I:使用监控、警报和日志。
本文采用的是发布和VPN连接测试环境,将介绍虚拟VPN相关的配置,需要运行的三个虚拟机的命名分别为:Denver、Paris和Istanbul,如图一所示实验环境网络拓扑图。
图1:ISA Server发布和VPN配置
该图中的主要组件与虚拟机套件中虚拟机的关系为:
Denver:
Exchange Server 2003 SP2;
Publishing Exchange 2007 OWA;
Web Server:
SharePoint Portal site;
两个模拟Web Farm的Web Servers。
Terminal Server:
运行终端服务。
Paris:
ISA Server 2006 Standard Edition。
Istanbul:
Outlook 2003;
VPN客户端。
以下是实现该虚拟实验环境的具体过程:
2、下载文件
在启动虚拟机之前,必须下载安装了虚拟机应用软件:Virtual PC,笔者采用的版本为:Virtual PC 2007,读者可以通过以下链接获得:下载链接。
所有的虚拟机及相关的安装脚本,可以通过以下下载链接获得:下载链接。笔者建议读者下载套件中的全部五个文件:
Install-ISA2006-Lab.vbe;
ISA 2006 Lab Manual.doc;
ISA2006-lab-VMs.1.exe;
ISA2006-lab-VMs.2.rar;
Readme-ISA2006-Lab.txt。
3、安装虚拟机
下载完所有的文件以后,安装过程非常简单,运行脚本:Install-ISA2006-Lab.vbe,在所有的弹出窗口中点OK,它将完成以下操作:
1)、解压所有的虚拟机到安装目录(默认为C:\ISA2006lab);
2)、注册虚拟机到Virtual PC(或者Virtual Server);
3)、对于Virtual PC,配置附加的选项到options.xml;
4)、在桌面上创建链接到安装目录的快捷方式;
5)、在Host机上把ISA Server图片设置为墙纸(可选项)。
在桌面上双击链接到安装目录的快捷方式,即可以看到所有的虚拟机文件和运行脚本,本实验中,我们只需要运行Start All SE-3x.vbs即可,该脚本将逐次启动所有和Standard Edition相关的虚拟机。
通过以上简单的介绍和操作,即可体验ISA Server 2006的强大功能了。
同时运行多个虚拟机对系统硬件的要求比较高,笔者建议在进行实验时,选择配置和性能较高的硬件设备,以达到最佳的效果。
在一个应用软件(尤其是安全相关应用软件)引入到企业整体IT架构之前,安全架构师和安全实施人员必须要充分考虑所有可能潜在的风险以及应对方案,并在实际部署之前进行严格的测试和实验,并对相关的操作人员进行全面的技术培训,以期把潜在的威胁和风险降到最低。
直接把软件部署到生产环境无疑要面对很大的风险,而且本文读者的操作系统环境可能存在着较大的差异,而ISAServer与其对应的组件只能安装在Server版的操作系统上,因此本文采用虚拟机作为实验环境的搭建方式。
1、ISAServer2006Hands-OnLabs简介
微软提供了一整套的包括ISAServer2006企业版和标准版以及Exchange、SharePoint的虚拟机在内的虚拟机套件,用以简单搭建企业级的ISAServer实验环境。
1)、包含软件具体版本
在ISAServer2006Hands-On实验环境中,包含以下具体版本的软件:
a、ISAServer2006StandardEdition(RTM)
b、ISAServer2006EnterpriseEdition(RTM)
c、SharePointServices2.0
d、ExchangeServer2003SP2
e、Outlook2003
2)、提供的实验环境
按照测试环境进行划分,该套件包括以下三个测试环境:
a、出界访问和分支办公室测试环境(OutboundAccessandBranchOffice);
b、发布和VPN连接测试环境(PublishingandVPNconnections);
c、企业版测试环境三个实验环境(EnterpriseEditionFeatures)。
3)、包含的具体模块
按照模块进行划分,该实验环境包括以下九个模块:
模块A:ISAServer简介;
模块B:配置出界Internet访问;
模块C:发布Web服务器和其它服务器;
模块D:发布Exchange服务器;
模块E:启用VPN连接;
模块F:采用ISAServer2006作为分支办公室网管;
模块G:ISAServer的企业级管理;
模块H:配置负载平衡;
模块I:使用监控、警报和日志。
本文采用的是发布和VPN连接测试环境,将介绍虚拟VPN相关的配置,需要运行的三个虚拟机的命名分别为:Denver、Paris和Istanbul,如图一所示实验环境网络拓扑图。
图1:ISA Server发布和VPN配置
该图中的主要组件与虚拟机套件中虚拟机的关系为:
Denver:
Exchange Server 2003 SP2;
Publishing Exchange 2007 OWA;
Web Server:
SharePoint Portal site;
两个模拟Web Farm的Web Servers。
Terminal Server:
运行终端服务。
Paris:
ISA Server 2006 Standard Edition。
Istanbul:
Outlook 2003;
VPN客户端。
以下是实现该虚拟实验环境的具体过程:
2、下载文件
在启动虚拟机之前,必须下载安装了虚拟机应用软件:Virtual PC,笔者采用的版本为:Virtual PC 2007,读者可以通过以下链接获得:下载链接。
所有的虚拟机及相关的安装脚本,可以通过以下下载链接获得:下载链接。笔者建议读者下载套件中的全部五个文件:
Install-ISA2006-Lab.vbe;
ISA 2006 Lab Manual.doc;
ISA2006-lab-VMs.1.exe;
ISA2006-lab-VMs.2.rar;
Readme-ISA2006-Lab.txt。
3、安装虚拟机
下载完所有的文件以后,安装过程非常简单,运行脚本:Install-ISA2006-Lab.vbe,在所有的弹出窗口中点OK,它将完成以下操作:
1)、解压所有的虚拟机到安装目录(默认为C:\ISA2006lab);
2)、注册虚拟机到Virtual PC(或者Virtual Server);
3)、对于Virtual PC,配置附加的选项到options.xml;
4)、在桌面上创建链接到安装目录的快捷方式;
5)、在Host机上把ISA Server图片设置为墙纸(可选项)。
在桌面上双击链接到安装目录的快捷方式,即可以看到所有的虚拟机文件和运行脚本,本实验中,我们只需要运行Start All SE-3x.vbs即可,该脚本将逐次启动所有和Standard Edition相关的虚拟机。
通过以上简单的介绍和操作,即可体验ISA Server 2006的强大功能了。
同时运行多个虚拟机对系统硬件的要求比较高,笔者建议在进行实验时,选择配置和性能较高的硬件设备,以达到最佳的效果。
ISA Server实验环境搭建与企业VPN配置(一)
ISAServer是微软在企业网络边界防护上的代表产品。从ISAServer2000到现在被广泛应用的ISAServer2004和ISAServer2006以及即将推出的ISAServer2008,都标志着ISAServer在企业边界安全防护上的技术积累和不断成熟。
本文将通过详细介绍如何部署一个企业级的基于微软发布的ISAServer2006Hands-OnLabs的多虚拟机实验环境,并通过该实验环境详细描述企业VPN的配置过程,希望能够给想要应用微软ISAServer的安全架构师和安全实施人员在产品选择、实验环境搭建以及实际应用上以详细的指导。
一、ISAServer产品概述
微软已形成了较为完善的ISAServer产品家族以及相应的技术支持,而且以非常开放的姿态提供了ISAServer2004和ISAServer2006的评估版本软件的下载,并在微软官方技术支持网站TechNet上提供了从ISAServer起步、计划和架构、开发、部署、运营、安全和防护以及技术参考七大方面的技术支持。通过详尽的技术文档和与评估版产品配套的操作手册,给希望了解和应用ISAServer以进行企业网络边界安全防护的技术人员以可操作的指导。
本文将简单介绍ISAServer产品家族中的ISAServer2004和ISAServer2006在企业网络边界防护上的主要功能,企业安全架构师和安全实施人员可以根据企业在网络边界防护上的具体需求和产品的功能进行有针对性的选择:
1、ISAServer2004
ISAServer2004是一款集高级应用层防火墙、虚拟专用网络(VPN)和网络缓存于一体的解决方案,它能够通过提高网络安全和性能来最大化IT投资收益,ISAServer2004具有以下功能或改进:
1)、高级防护
a、应用层过滤
增强的对HTTP协议和FTP协议以及FPC(RemoteProcessCall)连接的过滤与控制;
b、安全性和防火墙
在此功能上ISAServer2004提供了扩展的协议支持、增强的用户认证、增强的对用户和用户组的支持、增强的FTP支持、增强的网络发布等功能。
2)、简单使用
a、多网络环境
提供了多网络环境配置、制定网络策略、路由和NAT网络关系以及网络模板、网络负载平衡(仅针对企业版)等新功能;
b、监控和报告
提供了实时日志监控、构建的日志查询、实时监控和防火墙会话过滤、连接重定向、报告发布、邮件提醒、定制日志时间以及写入日志到MSDE数据库等新功能,增强了定制报告和SQLServer日志功能;
c、安全管理
提供了导入导出、定制授权向导、集中存储防火墙策略(只针对企业版)、自动化阵列配置(只针对企业版)等新功能,以及增强的管理、集中式日志、针对MicrosoftOperationsManager的管理包。
3)、快速安全连接
a、对基于微软服务器的快速安全的远程访问
提供了基于表单授权的防火墙表单生成、使用SSL到终端服务的远程连接两大新功能;
b、虚拟专用网络(VPN)
提供了全状态的VPN过滤和视察、安全的NAT到ISAServer2004VPN连接支持、全状态的基于站到站VPN通道交流过滤和监控、VPN治理、VPN服务器发布、IPSec模式下的站到站VPN链接支持等新功能,以及增强的VPN管理。
c、Web缓存和Web代理
提供了对网络代理客户端授权的RADIUS支持、基本授权策略、Web发布规则中的源IP保存、实现CARP的Web缓存阵列(只针对企业版)等新功能,以及增强的缓存规则、Web发布规则路径匹配功能。
2、ISAServer2006
与ISAServer2004类似,ISAServer2006也提供了企业版和标准版两个版本,在ISAServer2004提供的功能的基础上,ISAServer2006提供了以下新增或增强的功能:
1)、对内部基于微软服务器的安全远程访问
提供了SharePoint服务器发布向导和对Exchange2007集成的支持两大新功能,以及增强的OutlookWeb访问发布向导;
2)、虚拟专用网络(VPN)
提供了分支办公室VPN连接向导新功能;
3)、安全管理
增强的简单使用向导、认证管理、基于硬件的ISAServer连接、企业范围内的策略拷贝等功能;
4)、高级防火墙防护
提供了峰值弹性、攻击救助等新功能,以及增强的防火墙规则向导;
5)、授权认证
提供了单点登录功能(SSO)、LDAP授权支持等新功能,以及增强的授权认证、基于表单的授权认证、会话管理等功能;
6)、服务器发布
提供了跨阵列链接传输新功能和增强的链接传输功能;
7)、性能
提供了BITS缓存、Web发布负载平衡、HTTP压缩、Diffserv(QoS)等新功能。
本文将通过详细介绍如何部署一个企业级的基于微软发布的ISAServer2006Hands-OnLabs的多虚拟机实验环境,并通过该实验环境详细描述企业VPN的配置过程,希望能够给想要应用微软ISAServer的安全架构师和安全实施人员在产品选择、实验环境搭建以及实际应用上以详细的指导。
一、ISAServer产品概述
微软已形成了较为完善的ISAServer产品家族以及相应的技术支持,而且以非常开放的姿态提供了ISAServer2004和ISAServer2006的评估版本软件的下载,并在微软官方技术支持网站TechNet上提供了从ISAServer起步、计划和架构、开发、部署、运营、安全和防护以及技术参考七大方面的技术支持。通过详尽的技术文档和与评估版产品配套的操作手册,给希望了解和应用ISAServer以进行企业网络边界安全防护的技术人员以可操作的指导。
本文将简单介绍ISAServer产品家族中的ISAServer2004和ISAServer2006在企业网络边界防护上的主要功能,企业安全架构师和安全实施人员可以根据企业在网络边界防护上的具体需求和产品的功能进行有针对性的选择:
1、ISAServer2004
ISAServer2004是一款集高级应用层防火墙、虚拟专用网络(VPN)和网络缓存于一体的解决方案,它能够通过提高网络安全和性能来最大化IT投资收益,ISAServer2004具有以下功能或改进:
1)、高级防护
a、应用层过滤
增强的对HTTP协议和FTP协议以及FPC(RemoteProcessCall)连接的过滤与控制;
b、安全性和防火墙
在此功能上ISAServer2004提供了扩展的协议支持、增强的用户认证、增强的对用户和用户组的支持、增强的FTP支持、增强的网络发布等功能。
2)、简单使用
a、多网络环境
提供了多网络环境配置、制定网络策略、路由和NAT网络关系以及网络模板、网络负载平衡(仅针对企业版)等新功能;
b、监控和报告
提供了实时日志监控、构建的日志查询、实时监控和防火墙会话过滤、连接重定向、报告发布、邮件提醒、定制日志时间以及写入日志到MSDE数据库等新功能,增强了定制报告和SQLServer日志功能;
c、安全管理
提供了导入导出、定制授权向导、集中存储防火墙策略(只针对企业版)、自动化阵列配置(只针对企业版)等新功能,以及增强的管理、集中式日志、针对MicrosoftOperationsManager的管理包。
3)、快速安全连接
a、对基于微软服务器的快速安全的远程访问
提供了基于表单授权的防火墙表单生成、使用SSL到终端服务的远程连接两大新功能;
b、虚拟专用网络(VPN)
提供了全状态的VPN过滤和视察、安全的NAT到ISAServer2004VPN连接支持、全状态的基于站到站VPN通道交流过滤和监控、VPN治理、VPN服务器发布、IPSec模式下的站到站VPN链接支持等新功能,以及增强的VPN管理。
c、Web缓存和Web代理
提供了对网络代理客户端授权的RADIUS支持、基本授权策略、Web发布规则中的源IP保存、实现CARP的Web缓存阵列(只针对企业版)等新功能,以及增强的缓存规则、Web发布规则路径匹配功能。
2、ISAServer2006
与ISAServer2004类似,ISAServer2006也提供了企业版和标准版两个版本,在ISAServer2004提供的功能的基础上,ISAServer2006提供了以下新增或增强的功能:
1)、对内部基于微软服务器的安全远程访问
提供了SharePoint服务器发布向导和对Exchange2007集成的支持两大新功能,以及增强的OutlookWeb访问发布向导;
2)、虚拟专用网络(VPN)
提供了分支办公室VPN连接向导新功能;
3)、安全管理
增强的简单使用向导、认证管理、基于硬件的ISAServer连接、企业范围内的策略拷贝等功能;
4)、高级防火墙防护
提供了峰值弹性、攻击救助等新功能,以及增强的防火墙规则向导;
5)、授权认证
提供了单点登录功能(SSO)、LDAP授权支持等新功能,以及增强的授权认证、基于表单的授权认证、会话管理等功能;
6)、服务器发布
提供了跨阵列链接传输新功能和增强的链接传输功能;
7)、性能
提供了BITS缓存、Web发布负载平衡、HTTP压缩、Diffserv(QoS)等新功能。
如何配置ISA Server 的网络环境
很多朋友提出在他的网络环境中是否有必要安装ISA、是否可以安装ISA、安装前ISA后内部的客户如何进行配置、安装后的访问规则如何设置等问题,我在这篇文章阐述一下。
ISA Server 2004是目前世界上最好的路由级软件防火墙,它可以让你的企业安全、快速的连接到Internet,性能可以和硬件防火墙媲美,并且深层的应用层识别功能是很多基于包过滤的硬件防火墙都不具有的。你可以在网络的任何地方,如两个或多个网络的边缘层(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到VPN等等)、单个主机上配置ISA Server 2004来对你的网络或主机进行防护。
ISA Server 2004对于安装的要求非常低,可以说,目前的服务器对于ISA Server 2004是绰绰有余,具体的系统要求见“ISA Server 2004完全上手指南”一文。
ISA Server作为一个路由级的软件防火墙,要求管理员要熟悉网络中的路由设置、TCP/IP设置、代理设置等等,它并不像其他单机防火墙一样,只需安装一下就可以很好的使用了。在安装ISA Server时,你需要对你内部网络中的路由及TCP/IP设置进行预先的规划和设置,这样才能做到安装ISA Server后即可很容易的使用,而不会出现内部客户不能访问外部网络的问题。
再谈谈对在单机上安装ISA Server 2004的看法。ISA Server 2004可以安装在单网络适配器计算机上,它将会自动配置为Cache only的防火墙,同时,通过ISA Server 2004强大的IDS和应用层识别机制,对本机提供了很好的防护。但是,ISA Server 2004的核心是多网络,它最适合的配置环境是作为网络边缘的防火墙;并且作为单机防火墙,它太过于庞大了,这样会为服务器带来不必要的性能消耗。所以,我不推荐在单机上安装ISA Server 2004。对于单机防火墙,我推荐Sygate Personal Firewall Pro(SPF Pro)、Zonealarm、Blackice、NetPatrol等,它们都是非常好的单机防火墙。不过对于需要提供服务的主机,最好安装Zonealarm或者Blackice,SPF Pro和NetPatrol因为太过于强大,反而不适合作为服务器使用。对于基于IIS的Web服务器,你还可以安装IISLockdown和UrlScan工具,这样就可以做到比较安全了。对于单网络适配器的ISA Server,我会在后面的实例中介绍。
至于安装ISA Server前内部的客户如何进行配置,我以几个实例来进行介绍:
1、边缘防火墙模型
如下图,ISA Server 2004上安装有两个网络适配器,它作为边缘防火墙,让内部客户安全快速的连接到Internet,内部的Lan我以192.168.0.0/24为例,不考虑接入Internet的方式(拨号或固定IP均可)。
ISA Server 2004上的内部网络适配器作为内部客户的默认网关,根据惯例,它的IP地址要么设置为子网最前的IP(如192.168.0.1),或者设置为最末的IP(192.168.0.254),在此我设置为192.168.0.1;对于DNS服务器,只要内部网络中没有域,那么内部可以不建立DNS服务器,不过推荐你建立,具体介绍可以见“建立内部的DNS服务器”一文。在此例中,我们假设外部网卡(或拨号连接)上已经设置了DNS服务器,所以我们在此不设置DNS服务器的IP地址;还有默认网关,内部网卡上切忌不要设置默认网关,因为Windows主机同时只能使用一个默认网关,如果在外部和内部网络适配器上都设置了默认网关,那么ISA Server可能会出现路由错误。
接下来是客户机的TCP/IP设置和代理设置。SNAT客户和Web代理客户有些区别,防火墙客户兼容SNAT客户和Web代理客户的设置。在身份验证不是必需的情况下,请尽量考虑使用SNAT客户,因为它是标准的网络路由,兼容性是最好的。
SNAT客户的TCP/IP配置要求:
1、必须和ISA Server的内部接口在同个子网;在此,我可以使用192.168.0.2/24~192.168.0.254/24;
2、配置ISA Server的内部接口为默认网关;此时默认网关是192.168.0.1;
3、DNS根据你的网络环境来设置,可以使用ISP的DNS服务器或者你自己在内部建立一个。但是,DNS服务器是必需的。
Web代理客户和SNAT客户相比,则要复杂一些:
1、必须和ISA Server的内部接口在同个子网;在此,我可以使用192.168.0.2/24~192.168.0.254/24;
2、默认网关和DNS服务器地址都可以不配置;
3、必须在IE的代理属性中配置ISA Server的代理,默认是内部接口的8080端口,在此是192.168.0.1:8080;
4、对于其他需要访问网络的程序,必须设置HTTP代理(ISA Server),否则是不能访问网络;
至于关闭SNAT客户的访问,在ISA Server的访问规则中不要允许“所有用户”访问,改为“所有通过验证的用户”即可。
防火墙客户默认会配置IE为web代理客户,然后对其他不能使用代理的应用程序基于SNAT的方式进行转换,所以,对于防火墙客户,你最好按照SNAT客户进行设置,然后安装防火墙客户端后,它会自动配置客户为Web代理客户。
在安装ISA Server时,内部网络配置为192.168.0.0/24。安装好后,你可以根据你的需要,自行配置访问规则。ISA Server中带了五个网络模型的模板,可以让你只是点几下鼠标就可以设置好访问规则,但是希望你能手动设置规则,这样可以让你有更深的认识,具体操作可以参见ISA中文站其他的文章。
对于ISA Server的这三种客户更详细的描述,请见“ISA Server客户端类型”一文。
下图中是一种特殊的情况,在内部网络中还有子网的内部客户。此时,你首先得将这些子网的地址包含在ISA Server的内部网络中,然后在ISA Server上配置到这些子网的路由,其他的就和单内部网络的配置一致了。具体可以见“浅谈ISA Server 2004、KWF中的路由”一文。
2、多网络模型中的边缘防火墙
如下图,我只是简单的设计了一个三周长的多网络模型。ISA Server 2004是专为多网络而设计的,所以,对于这种环境,配置起来非常得心应手。
在这种环境中,LAN(192.168.0.0)的客户和ISA Server上连接LAN的网络适配器,按照上面的方法进行配置,在此我重点给大家讲解一下DMZ网络的配置。
DMZ中的客户以及ISA Server上连接DMZ网络的网络适配器,也按照上面的办法进行配置,但是,对于DMZ中的服务器,请配置为SNAT客户,这样可以得到最好的性能,配置为Web代理客户可能会让它不能正常工作,配置为防火墙客户会导致它性能的降低。
在安装ISA Server时,内部网络只是选择192.168.0.0,安装好后,在ISA管理控制台的配置的网络中,新建一个DMZ网络,选择172.16.0.0网段。另外对于多网络,你还需要设置网络规则。另外你利用ISA
Server自带的三周长网络模板就可以很方便的实现DMZ网络的配置。其他访问则根据你的需要来自行设置。
3、单网络适配器的环境
如下图,ISA Server 2004安装在一台只有一个网络适配器的Internet主机上,此时,ISA Server将自动配置为Cache only的防火墙,可以用做Web代理、缓存、Web发布、OWA发布等等,由于ISA Server 2004强大的IDS系统,它也可以为主机提供非常强大的保护。Thomas Shinder在他的文章“The ISA 2004 Firewall ISP Co-location Configuration”中,,专门介绍在此情况下,如何发布Web服务器,主要方法是通过安装Microsoft Loopback网络适配器,然后将IIS的Web服务器绑定在此网络适配器的地址上,ISA占用外部接口的IP地址来发布侦听在Loopback网络适配器上的Web服务器。
在安装ISA Server的时候,会自动在内部网络中包含所有的IP地址,所以在你建立访问规则时,一定要注意允许内部访问本地主机和允许本地主机访问内部(此时,外部网络已经没有实际作用了)。同样的,通过ISA Server自带的单一网络适配器模板,你也可以很轻松的完成单网络适配器模型的ISA Server 2004的配置。
ISA Server 2004是目前世界上最好的路由级软件防火墙,它可以让你的企业安全、快速的连接到Internet,性能可以和硬件防火墙媲美,并且深层的应用层识别功能是很多基于包过滤的硬件防火墙都不具有的。你可以在网络的任何地方,如两个或多个网络的边缘层(Lan到Internet、Lan到Lan、Lan到DMZ、Lan到VPN等等)、单个主机上配置ISA Server 2004来对你的网络或主机进行防护。
ISA Server 2004对于安装的要求非常低,可以说,目前的服务器对于ISA Server 2004是绰绰有余,具体的系统要求见“ISA Server 2004完全上手指南”一文。
ISA Server作为一个路由级的软件防火墙,要求管理员要熟悉网络中的路由设置、TCP/IP设置、代理设置等等,它并不像其他单机防火墙一样,只需安装一下就可以很好的使用了。在安装ISA Server时,你需要对你内部网络中的路由及TCP/IP设置进行预先的规划和设置,这样才能做到安装ISA Server后即可很容易的使用,而不会出现内部客户不能访问外部网络的问题。
再谈谈对在单机上安装ISA Server 2004的看法。ISA Server 2004可以安装在单网络适配器计算机上,它将会自动配置为Cache only的防火墙,同时,通过ISA Server 2004强大的IDS和应用层识别机制,对本机提供了很好的防护。但是,ISA Server 2004的核心是多网络,它最适合的配置环境是作为网络边缘的防火墙;并且作为单机防火墙,它太过于庞大了,这样会为服务器带来不必要的性能消耗。所以,我不推荐在单机上安装ISA Server 2004。对于单机防火墙,我推荐Sygate Personal Firewall Pro(SPF Pro)、Zonealarm、Blackice、NetPatrol等,它们都是非常好的单机防火墙。不过对于需要提供服务的主机,最好安装Zonealarm或者Blackice,SPF Pro和NetPatrol因为太过于强大,反而不适合作为服务器使用。对于基于IIS的Web服务器,你还可以安装IISLockdown和UrlScan工具,这样就可以做到比较安全了。对于单网络适配器的ISA Server,我会在后面的实例中介绍。
至于安装ISA Server前内部的客户如何进行配置,我以几个实例来进行介绍:
1、边缘防火墙模型
如下图,ISA Server 2004上安装有两个网络适配器,它作为边缘防火墙,让内部客户安全快速的连接到Internet,内部的Lan我以192.168.0.0/24为例,不考虑接入Internet的方式(拨号或固定IP均可)。
ISA Server 2004上的内部网络适配器作为内部客户的默认网关,根据惯例,它的IP地址要么设置为子网最前的IP(如192.168.0.1),或者设置为最末的IP(192.168.0.254),在此我设置为192.168.0.1;对于DNS服务器,只要内部网络中没有域,那么内部可以不建立DNS服务器,不过推荐你建立,具体介绍可以见“建立内部的DNS服务器”一文。在此例中,我们假设外部网卡(或拨号连接)上已经设置了DNS服务器,所以我们在此不设置DNS服务器的IP地址;还有默认网关,内部网卡上切忌不要设置默认网关,因为Windows主机同时只能使用一个默认网关,如果在外部和内部网络适配器上都设置了默认网关,那么ISA Server可能会出现路由错误。
接下来是客户机的TCP/IP设置和代理设置。SNAT客户和Web代理客户有些区别,防火墙客户兼容SNAT客户和Web代理客户的设置。在身份验证不是必需的情况下,请尽量考虑使用SNAT客户,因为它是标准的网络路由,兼容性是最好的。
SNAT客户的TCP/IP配置要求:
1、必须和ISA Server的内部接口在同个子网;在此,我可以使用192.168.0.2/24~192.168.0.254/24;
2、配置ISA Server的内部接口为默认网关;此时默认网关是192.168.0.1;
3、DNS根据你的网络环境来设置,可以使用ISP的DNS服务器或者你自己在内部建立一个。但是,DNS服务器是必需的。
Web代理客户和SNAT客户相比,则要复杂一些:
1、必须和ISA Server的内部接口在同个子网;在此,我可以使用192.168.0.2/24~192.168.0.254/24;
2、默认网关和DNS服务器地址都可以不配置;
3、必须在IE的代理属性中配置ISA Server的代理,默认是内部接口的8080端口,在此是192.168.0.1:8080;
4、对于其他需要访问网络的程序,必须设置HTTP代理(ISA Server),否则是不能访问网络;
至于关闭SNAT客户的访问,在ISA Server的访问规则中不要允许“所有用户”访问,改为“所有通过验证的用户”即可。
防火墙客户默认会配置IE为web代理客户,然后对其他不能使用代理的应用程序基于SNAT的方式进行转换,所以,对于防火墙客户,你最好按照SNAT客户进行设置,然后安装防火墙客户端后,它会自动配置客户为Web代理客户。
在安装ISA Server时,内部网络配置为192.168.0.0/24。安装好后,你可以根据你的需要,自行配置访问规则。ISA Server中带了五个网络模型的模板,可以让你只是点几下鼠标就可以设置好访问规则,但是希望你能手动设置规则,这样可以让你有更深的认识,具体操作可以参见ISA中文站其他的文章。
对于ISA Server的这三种客户更详细的描述,请见“ISA Server客户端类型”一文。
下图中是一种特殊的情况,在内部网络中还有子网的内部客户。此时,你首先得将这些子网的地址包含在ISA Server的内部网络中,然后在ISA Server上配置到这些子网的路由,其他的就和单内部网络的配置一致了。具体可以见“浅谈ISA Server 2004、KWF中的路由”一文。
2、多网络模型中的边缘防火墙
如下图,我只是简单的设计了一个三周长的多网络模型。ISA Server 2004是专为多网络而设计的,所以,对于这种环境,配置起来非常得心应手。
在这种环境中,LAN(192.168.0.0)的客户和ISA Server上连接LAN的网络适配器,按照上面的方法进行配置,在此我重点给大家讲解一下DMZ网络的配置。
DMZ中的客户以及ISA Server上连接DMZ网络的网络适配器,也按照上面的办法进行配置,但是,对于DMZ中的服务器,请配置为SNAT客户,这样可以得到最好的性能,配置为Web代理客户可能会让它不能正常工作,配置为防火墙客户会导致它性能的降低。
在安装ISA Server时,内部网络只是选择192.168.0.0,安装好后,在ISA管理控制台的配置的网络中,新建一个DMZ网络,选择172.16.0.0网段。另外对于多网络,你还需要设置网络规则。另外你利用ISA
Server自带的三周长网络模板就可以很方便的实现DMZ网络的配置。其他访问则根据你的需要来自行设置。
3、单网络适配器的环境
如下图,ISA Server 2004安装在一台只有一个网络适配器的Internet主机上,此时,ISA Server将自动配置为Cache only的防火墙,可以用做Web代理、缓存、Web发布、OWA发布等等,由于ISA Server 2004强大的IDS系统,它也可以为主机提供非常强大的保护。Thomas Shinder在他的文章“The ISA 2004 Firewall ISP Co-location Configuration”中,,专门介绍在此情况下,如何发布Web服务器,主要方法是通过安装Microsoft Loopback网络适配器,然后将IIS的Web服务器绑定在此网络适配器的地址上,ISA占用外部接口的IP地址来发布侦听在Loopback网络适配器上的Web服务器。
在安装ISA Server的时候,会自动在内部网络中包含所有的IP地址,所以在你建立访问规则时,一定要注意允许内部访问本地主机和允许本地主机访问内部(此时,外部网络已经没有实际作用了)。同样的,通过ISA Server自带的单一网络适配器模板,你也可以很轻松的完成单网络适配器模型的ISA Server 2004的配置。
订阅:
博文 (Atom)