给限制访问支“软”招儿

一、互访的尴尬 ---- 本实验室的机器均为486/25机型，运行的网络环境是Novell局域网，操作系统为NetWare 3.12。它主要用于计算机基础知识的教学，任课老师通常要求学生在一定时间内完成相应的上机内容。由于有一部分学生总是利用上机时间从校园网下载对硬件要求较高的软件，甚至安装游戏软件，影响了任课老师的教学工作，还给微机实验室的日常维护带来麻烦。为此，计算机教师希望通过采取某种办法限制学生访问校园网，但还要保证在公用机房上机的学生能够方便地访问实验室服务器。 

---- 通过分析，我们认为不能采用拔掉外线的简单方法，它会影响本系学生的正常上机，最好的方法是在本系局域网与校园网之间加一道网关，利用网关权限来控制学生用机。针对目前这种简单的应用，使用硬件路由器显然有点大材小用，现实的网络情况也不允许这样做，所以我们想到使用软件路由器来解决这一问题。 

二、软件路由担重任 ---- Microsoft Windows 2000 Server 的“路由和远程访问”是一个全功能的软件路由器，也是一个开放式路由和互联网络平台。它集成了Windows NT 4.0中独立的“路由和远程访问”服务，是 Windows NT 4.0“路由和远程访问”服务（也称为 RRAS）的增强版本，因此，运行Windows 2000及提供“路由和远程访问”服务的计算机又称之为 Windows 2000路由器。Windows 2000 路由器可实现基于IP和IPX协议的路由选择和数据包的过滤，利用此项功能，我们可以解决所面临的实际问题。图1所示的是我们做调整之后微机实验室的网络结构图。 

---- 局域网划分了bb01、bb02和bb03三个网段，其中，学生用机分别挂在Hub1、Hub2和Hub3上，可访问Novell服务器（名为CUPTMIS），教师用机挂在Hub1即b02网段上，可直接访问校园网。在局域网内的用户如果访问校园网必须通过Windows 2000路由器(名为HPW2K)，在校园网上的用户如果访问微机实验室的CUPTMIS服务器也会通过路由器，而因此只要在路由器上设置一定的规则，我们就可以达到限制学生访问的目的。在这里，我们设定服务器HPW2K上连接bb01网段的网卡为网卡1，连接b02网段的网卡为网卡2。 三、分步实施“管制” 

---- 1．安装和启用 ---- 要安装和配置Windows 2000路由器，必须以Administrators组的成员身份登录。在安装Windows 2000 服务器时，系统会自动安装路由组件。需要指出的是，“路由和远程访问服务”是在禁用状态被安装的，要启用此服务，必须进行如下操作。 

    （1） 先打开路由和远程访问（在管理工具中）；

    （2）在目录树中，右击要启用的服务器，再单击“配置并启用路由和远程访问”（如图2所示）。此后，如果关机再启动服务器，则它的“路由和远程访问服务”将自动启用。 

---- 2． 配置路由器 

---- 我们的目的虽然是限制局域网内的用户访问校园网，但同时也要保证校园网的用户能访问局域网内的服务器。下面我们以这个具体的例子来讲述路由器的配置。从图1中我们可以看出，要达到限制学生访问的目的，必须限制bb01、bb02和bb03网段的用户访问b02网段，但需要让b02网段的用户能够访问CUPTMIS。因此，我们必须利用Windows 2000 路由器的数据包筛选功能，将局域网内用户向外发送的IPX数据包筛选掉。 

---- Windows 2000 路由器的数据包筛选功能基于排除法，我们可以自己设置每个接口的数据包筛选器，其设置应为: 传递除筛选器禁止的数据包之外的所有通信，丢弃除筛选器允许的数据包之外的所有通信。在本例中，可设置网卡2的输出筛选器，将其设置为: 网卡2不输出来自bb01、bb02和bb03网段的IPX数据包。设置步骤如下所示。 

---- （1）在控制台目录树中，单击“IPX路由选择”的“常规”选项，然后在详细信息窗格中，右击要设置输入和输出筛选器的接口，然后单击“属性”（如图3所示）；

 ---- （2）在“属性”窗口中，先选中“在此接口上启用IPX”，然后单击“输出筛选器”； 

---- （3）在“IPX数据包筛选器配置”中选择“添加”，接着会弹出“添加IPX筛选器”（如图4所示）。 

---- （4）在数据包的源地址或目的地址中，我们必须填写“网络号”和“网络掩码”。图4所示的源地址“网络号”为“bb01”，“网络掩码”为“ffffffff”，即将位于bb01网段的工作站发往任何地址的IPX数据包都过滤掉，不能把它们往Windows 2000路由器外的网络传送。同样，我们还可以限制bb02 和bb03网段的工作站向外发送IPX数据包。设置完成后，结果如图5所示。 

---- 通过以上设置，Windows 2000路由器将不再向外转发局域网内的IPX数据包，因此，局域网内的用户就不能访问路由器外的Novell服务器，即不能访问校园网。 

---- 需要注意的是，在进行输入、输出筛选设置时，用户一定要弄清楚当前针对的是哪块网卡、哪个源地址和目的地址（因为它们很容易被混淆），否则用户设置的规则将起不到应有的作用。 

---- Windows 2000 路由器的数据包筛选功能不仅能够针对IPX协议进行数据包的过滤，还能够针对TCP/IP协议设置数据包筛选器，限制从一个IP地址到另一个IP地址的访问。用户可以根据自己的实际需要，灵活地设置规则，以达到路由选择的目的。 ----