用ISA Server做小区宽带运营的服务器

近期一个朋友接了个工程：某小区物业，准备为本小区的1200多名用户提供宽带接入服务，该物业先期申请了10M的光纤，以后根据需要进行扩容。朋友为每个楼层、每户布好了网线，交换机也已经安装到位。原来准备用某硬件厂商提供的计费与拨号软件，但算下来成本太高（计费与拨号软件及相关设备得10万多元）。朋友让我给提供个“低成本”的解决方案。朋友的要求比较简单：用户申请开通网络（用户费用每年一交，和ADSL类似），能管理用户，不开通用户不能上网（因为网线已经布到了每户门前）。

经过实地考核，又与小区物业管理人员交流，给出如下的解决方案：

（1）核心交换机用的是华为5300系列，该交换机支持4096个VLAN、支持DHCP服务器。为每栋楼每个楼层划分一个VLAN（大约划分300多个），并配置DHCP服务器，为每个接入网络的计算机，自动分配IP地址、子网掩码与网关地址（可以不分配DNS）。DHCP服务器采用172.16.0.0/27～172.16.40.0/27，这样，每个楼层有5户，每个楼层可使用的IP地址是29个，这样足以保证应用。这样，接入用户的，采用自动获得IP地址的方式，只要接入网络，就可以获得一个IP地址，能连接到小区的网络中。但这时，接入用户还不能访问Internet。

（2）购买一台服务器，安装Windows Server 2003与ISA Server，使用ISA Server做VPN服务器，在ISA Server中设置策略，只允许VPN用户访问Internet。如果用户申请了开通宽带的服务，就在Windows Server 2003中，为其创建一个用户，并在用户属性中，设置“允许拨入”权限。小区用户，在自己的计算机中，创建VPN拨号连接，使用为其分配的用户名、密码、指定ISA Server服务器的地址，拨号就可以上网。