windows服務器系統的功能很強大，系統管理員利用windows服務器系統可以對大規模的局域網進行設置和管理，尤其可以實現跨網訪問控制。具體內容如下所述。

如果局域網規模較大，網絡管理人員往往會根據工作要求將網絡分成多個子網，以提高網絡的管理與維護效率。

現在我們以樓層為單位來劃分局域網子網，假設樓層1中的所有工作站被劃分到子網1中，并分配該子網的地址為10.176.1.x，樓層2中的所有工作站被劃分到子網2中，并分配該子網的地址為10.176.2.x；各個樓層中的工作站上網要求是不相同的，比方說樓層1中的所有工作站要求能夠訪問Internet網絡，樓層2中的所有工作站只能在本子網內進行訪問；此外，為了方便網絡管理人員查詢信息，我們希望樓層1中的所有工作站能與樓層2中的所有工作站進行相互訪問。要想實現上面的各種訪問控制要求，我們該如何管理局域網呢？

事實上，我們可以著眼Windows服務器系統，利用該Windows服務器系統自帶的“路由和遠程訪問”功能，就能輕松完成上面提出的各種訪問控制需求，特別是能夠輕松進行跨網訪問控制！

跨網訪問控制環境

假設局域網中有一臺安裝了WindowsServer2003系統的服務器，現在我們希望在這臺服務器中就能對局域網中的不同子網進行各種形式的控制。為了實現對樓層1和樓層2中所有工作站的控制目的，我們需要準備兩塊網卡設備，作為連接這兩個工作子網的網絡接口，此外考慮到局域網子網需要訪問Internet，因此我們可以使用集成服務器中的網卡設備作為Internet訪問接口，通過該網絡接口我們可以有效工作各個子網的Internet訪問權限。當在服務器系統中按照要求安裝并連接好各塊網卡設備后，我們會在服務器系統的網絡連接列表窗口中看到三個“本地連接”圖標，為了避免日后在管理網絡的過程中引起混淆，我們可以將這三個“本地連接”圖標的名稱取為“樓層1”、“樓層2”、“Internet”，然后根據實際連接情況將“樓層1”的網卡地址設置為“10.176.1.1”，將“樓層2”的網卡地址設置為“10.176.2.1”，將“Internet”的網卡地址設置為“10.176.3.1”。

控制子網訪問Internet

為了有效地進行跨網訪問控制，我們首先需要在服務器中啟用好“路由和遠程訪問”功能，并對該功能進行合適地設置。

在啟用“路由和遠程訪問”功能時，我們可以先以系統管理員身份登錄進WindowsServer2003服務器系統，并在該系統桌面中依次單擊“開始”/“程序”/“管理工具”命令，在彈出的管理工具列表窗口中，用鼠標雙擊其中的“路由和遠程訪問”選項，打開路由和遠程訪問列表窗口；

在該列表窗口的左側顯示區域，我們看到本地服務器的主機名稱為“YCCSGZS”，該名稱前面的紅色向下箭頭表示當前服務器的路由和遠程訪問功能還處于禁用狀態。為了啟用“路由和遠程訪問”功能，我們可以用鼠標右鍵單擊服務器的主機名稱，從彈出的快捷菜單中執行“配置并啟用路由和遠程訪問”命令，隨后系統會自動彈出路由和遠程訪問服務器安裝向導設置窗口，單擊“下一步”按鈕，打開如圖1所示的向導設置頁面，選中其中的“網絡地址轉換”項目，再單擊“下一步”按鈕，***單擊“完成”按鈕，這樣一來服務器中的“路由和遠程訪問”功能就被成功啟用了。

控制子網訪問Internet

重新返回到路由和遠程訪問列表窗口，此時我們會看到本地服務器主機名稱前面的紅色向下箭頭已經變成了綠色向上箭頭（如圖2所示），這表示當前服務器的“路由和遠程訪問”功能已經被成功啟用了。接著用鼠標展開“IP路由選擇”分支，從該分支下面的列表中用鼠標右鍵單擊“NAT/基本防火墻”選項，從彈出的快捷菜單中執行“新增接口”命令，打開新接口添加設置窗口；在該設置窗口中我們可以將“樓層1”接口選中，同時將該接口的類型設置為“專用接口連接到專用網絡”，再單擊一下“確定”按鈕，這樣一來樓層1中的所有工作站就能訪問Internet網絡了。如果我們還有其他接口需要訪問Internet網絡的話，那么我們只要在服務器系統中將對應的網絡接口添加到NAT/基本防火墻列表中；由于我們不希望樓層2中的所有工作站訪問Internet網絡，因此在這里我們不需要將“樓層2”接口添加到NAT/基本防火墻列表中。

當然，日后我們希望樓層1中的所有工作站不能訪問Internet網絡時，只需要在服務器中打開路由和遠程訪問列表窗口，然后依次展開“IP路由選擇”/“NAT/基本防火墻”分支選項，在對應“NAT/基本防火墻”分支選項的右側列表區域中，將“樓層1”接口選中并刪除掉，這樣就能禁止樓層1中的所有工作站訪問Internet網絡了。

#p#

控制子網相互訪問

現在，要想讓樓層1中的所有工作站能與樓層2中的所有工作站進行相互訪問時，我們必須先按上面的操作，在服務器系統中將連接各個樓層工作站的網絡接口全部添加到“NAT/基本防火墻”列表中，之后再將服務器系統中的路由功能啟用起來，這么一來樓層1和樓層2中的工作內容來自中國站長資訊網(www.chinahtml.com)站就能通過網上鄰居窗口相互進行跨網訪問了，而且這兩個子網中的所有工作站都能同時訪問Internet。

在實際訪問網絡過程中，要是希望樓層1中的所有工作站都能訪問Internet網絡，樓層2中的所有工作站不能訪問Internet網絡，并且希望這兩個樓層中的工作站還能通過網上鄰居窗口進行跨網段相互訪問時，那么我們只要在服務器系統中展開“NAT/基本防火墻”分支選項，并將該選項下面的“樓層2”接口選中并刪除掉，這樣一來樓層2中的工作站就不能訪問Internet網絡了，但是這兩個子網還是能通過服務器的路由功能進行相互訪問的。

假設，我們希望樓層2中的所有工作站不但不能夠訪問Internet網絡，而且還不允許跨網訪問樓層1中的工作站共享資源時，那么我們除了要在“NAT/基本防火墻”列表中刪除“樓層2”接口，而且還要在服務器系統的路由和遠程訪問列表窗口中，依次展開“IP路由選擇”/“常規”分支選項，在對應“常規”分支選項的右側顯示區域中，用鼠標雙擊“樓層2”接口，打開如圖3所示的網絡連接接口屬性設置對話框，檢查其中的“啟用IP路由管理器”選項是否處于選中狀態，一旦發現該選項已經被選中的話，我們必須及時取消它的選中狀態，***依次單擊“應用”、“確定”按鈕，這樣一來就能實現樓層2中的所有工作站不能跨網訪問樓層1中的工作站目的了。

工作站中的參數設置

要完成上面的控制訪問目的，我們除了要在服務器系統中進行正確設置外，還需要在不同子網工作站中進行不同設置。例如，要想讓工作站能夠訪問Internet網絡，同時能夠進行跨網段訪問時，必須要正確設置好工作站的IP地址、網關地址以及DNS服務器地址等參數。在這里，我們以樓層1中的某臺工作站為例，來詳細向各位介紹一下工作站的上網參數配置步驟：

首先以系統管理員身份登錄進工作站系統，并在系統桌面中依次單擊“開始”/“設置”/“網絡連接”命令，在彈出的網絡連接列表窗口中，用鼠標雙擊本地連接圖標，內容來自中國站長資訊網(www.chinahtml.com)再單擊其后界面中的“屬性”按鈕，打開對應工作站的本地連接屬性設置窗口；

其次在該設置窗口的“常規”標簽頁面中，選中“Internet協議（TCP/IP）”選項，同時單擊“屬性”按鈕進入到TCP/IP屬性設置對話框，如圖4所示；選中其中的“使用下面的IP地址”項目，然后將該工作站的IP地址設置為“10.176.1.116”，將網關地址設置為“10.176.1.1”，將DNS服務器地址設置為本地ISP服務商提供的真實DNS地址，***單擊“確定”按鈕就可以了。

需要提醒各位注意的是，在設置樓層2中的工作站網關地址時，我們必須將它設置為“10.176.2.1”，并且確保該工作站的IP地址位于“10.176.2.x”網段內。

到了這里，所有的設置操作都算完成了。此時，我們就能實現既定的跨網訪問控制目的了！

總結：

利用windows服務器系統自帶的“路由和遠程訪問”功能實現跨網訪問控制，讓我們實現更大程度的局域網內資源共享。希望本文能夠對讀者有所幫助，更多有關操作系統的知識還有待于讀者去探索和學習。

【編輯推薦】

1. 個人服務器如何架設？
2. 如何管理Web和FTP服務器？
3. DNS服務器如何管理與配置？
4. Windows服務器管理經驗技巧
5. 如何使Windows 2008服務器實現數據安全 ？