入門 硬件知識 電腦基礎 上網入門 故障 電腦修護 電腦健康 精通電腦 網站 DIV+CSS 建站知識 SEO知識
教程 電腦操作 平面設計 路由設置 技巧 Word Excel QQ技巧 壁紙 自然風景 酷車美女 系統桌面
系統 安裝系統 系統技巧 系統設置 安全 木馬查殺 黑客防御 安全資訊 美女 明星寫真 清純美女 性感美女

主頁 > 服務器 > ISA2006 > INTRODUCE

ISA2006創建基于PPTP的站點到站點VPN連接:ISA教程之二十五

發布時間:2013-11-06 作者:電腦知識網 來源:www.2994509.live 字號:

在前面的文中,我們已經介紹了如何用ISA2006創建VPN服務器,以及遠程用戶如何利用VPN服務器撥入內網。如果是個別用戶在家辦公或出差在外,用前文提到的VPN解決方案是可以圓滿解決的。但如果是一群用戶有互相訪問的需求,例如某公司總部和分公司需要互相訪問,那用VPN遠程撥入的方式就顯得效率不高了。試想一下,公司總部500人,分公司300人,如果要互相訪問,800人都要撥叫對方的VPN服務器,這顯然不是一個好的解決方案。

今天我們提供一種站點到站點的VPN解決方案,可以很好地解決這個問題。我們引入下面的拓撲圖來說明這個方案的構思,某公司北京總部的內網IP范圍是10.1.1.0,天津分公司的內網IP范圍是10.2.1.0。北京分公司使用一臺ISA服務器連接到互聯網,天津分公司也使用一臺ISA2006連到公網。站點到站點的VPN指的是在兩個公司的ISA服務器上配置好VPN的撥入撥出參數,確保兩個ISA服務器既可以撥叫對方的VPN服務器,也可以接受對方VPN服務器的撥叫。這樣一來用戶只要把默認網關指向自己的ISA服務器,就可以不用撥叫對方公司的VPN服務器了,全部由ISA代勞了。例如北京公司的Denver要訪問天津公司的Istanbul,Denver只要把訪問Istanbul的請求提交給自己的默認網關-Beijing,剩下的事就不用管了,Beijing會自動撥叫天津公司的ISA服務器Tianjin,然后在兩個ISA服務器之間創建完成VPN隧道,接下來Denver的訪問請求就被Beijing通過VPN隧道路由到天津公司的Istanbul上了。你看,這樣一來兩個公司員工互訪時就很方便了,只要把網關指向自己的ISA服務器,然后就可以透明地訪問對方公司的內網,效率是不是有很大的提高呢?

 

 

創建站點間的VPN需要在兩個VPN服務器上都進行設置,兩個ISA服務器上的操作具有對稱性,我們先以Beijing上的操作為例進行詳細講解,目前Beijing已做了下列準備:

1、 防火墻策略中允許內網和本地主機任意訪問。

2、 啟用了VPN,允許使用PPTP和L2TP。

3、  VPN地址池的范圍是192.168.100.1-192.168.100.200。

 

創建遠程站點

創建遠程站點是部署站點間VPN最重要的一步,遠程站點其實是一個自定義的遠程網絡,具體到Beijing,其實就是要把天津分公司的內網10.2.1.0定義為一個遠程網絡。為什么需要把對方公司的內網定義成一個新的網絡呢?因為我們知道網絡是ISA進行訪問控制的基本管理單元,ISA考察一個訪問請求時首先要考慮源網絡和目標網絡的網絡規則。如果不定義遠程網絡,天津分公司對Beijing來說屬于外網范疇,而內網到外網的網絡規則是NAT,因此Beijing不會允許從天津的Istanbul訪問北京的Denver。這就是我們為什么要把天津公司的內網定義為一個新的網絡,只有這樣我們才可以重新定義北京內網和天津內網的網絡規則,進而制定出符合要求的防火墻策略。

創建遠程站點還涉及到創建VPN隧道的參數設定,例如Beijing把天津分公司的內網定義為遠程網絡,那Beijing上就必須定義好連接這個遠程網絡要通過哪個VPN服務器,兩個VPN服務器使用哪種協議,如何進行身份驗證等,下面我們就來具體看看如何在Beijing上創建遠程站點。

在Beijing上打開ISA管理器,切換到虛擬專用網絡,如下圖所示,在“遠程站點”標簽下選擇“創建VPN點對點連接”。

 

 

出現創建VPN點對點連接向導,其實就是遠程站點的創建向導,首先我們要為遠程站點起個名字,如下圖所示,我們為遠程站點命名為Tianjin。這個遠程站點的名字可不是隨便取的,后面我們會知道ISA服務器上必須創建一個和遠程站點同名的用戶。

 

 

接下來要選擇VPN站點間連接要使用的協議,如果兩個VPN服務器都是ISA,那可以選擇PPTP或L2TP,如果是ISA和硬件VPN組成站點間連接,那應該選擇IPSEC。在這個實驗中我們選擇使用PPTP作為站點間VPN使用的隧道協議。

 

 

如下圖所示,系統會彈出一個對話框提示你在ISA服務器上必須有一個和遠程站點同名的用戶,而且用戶必須有撥入權限。也就是說Beijing創建了一個遠程站點Tianjin后,Beijing服務器上必須有一個名為Tianjian的具有遠程撥入權限的用戶。如果Beijing隸屬于域,那么Tianjin這個用戶也可以在域控制器上創建。創建出的這個用戶是為天津公司的VPN服務器撥叫北京公司的VPN服務器準備的,天津公司的用戶通過他們的VPN服務器撥叫北京的VPN服務器時,如果天津用戶源于tianjin這個遠程網絡,那天津的VPN服務器必須使用tianjin作為用戶名進行身份驗證。由于微軟這么一個奇怪的規定,我們必須在北京的ISA服務器上準備好tianjin這個用戶。

 

 

接下來要填寫遠程站點的VPN服務器的IP地址或域名,天津的VPN服務器IP是192.168.1.8。

 

 

下面設定的是beijing撥叫天津的VPN服務器時進行身份驗證的憑據,顯然,tianjin上也要有個名為beijing的用戶,在后續的操作中我們會在tianjin上創建這個用戶。

 

 

接下來我們要定義遠程站點的IP地址范圍,如下圖所示,遠程站點的地址范圍是10.2.1.0-10.2.1.255。

 

 

接下來VPN創建向導建議創建一個網絡規則,從遠程站點到內網,網絡規則是路由關系。這個提示很人性化,是ISA2006比ISA2004改進的地方。

 

 

創建完網絡規則后,向導又很貼心地建議我們創建一條訪問規則,允許內網和遠程站點互相訪問。

 

 

點擊完成結束VPN創建向導。

 

 

向導結束后再次提示我們要創建一個名為Tianjin的用戶,而且要允許遠程訪問。

 

 

遠程站點創建完畢后,如下圖所示,我們發現在向導的指引下,遠程站點到內網的網絡規則已經被創建了,而且網絡關系是路由。

 

 

如下圖所示,向導還幫助我們創建了訪問規則,允許遠程站點和內網互相訪問。

 

 

如下圖所示,向導還在路由和遠程訪問中創建了請求式撥號,當北京公司要訪問天津公司時,Beijing會自動撥叫天津的VPN服務器,創建出VPN隧道,供用戶訪問使用。

 

 

創建與遠程站點同名的用戶

最后不要忘記創建與遠程站點同名的用戶,如果Beijing加入域,那么既可以在Beijing服務器上創建這個用戶,也可以在域控制器上創建這個用戶。由于本例中Beijing和Tianjin兩個ISA服務器都在工作組中,因此我們只能在ISA服務器上創建這個遠程訪問用戶了。如下圖所示,在Beijing的計算機管理工具中選擇新建一個名為Tianjin的用戶。

 

 

用戶創建完畢后不要忘記用戶的遠程訪問權限,如下圖所示,在用戶屬性的撥入標簽中將用戶的遠程訪問權限設為允許訪問。

 

 

OK,至此我們完成了在Beijing上的設置,總結如下:

1、  將天津分公司的內網定義成遠程站點

2、  創建遠程站點和內網的網絡規則

3、  創建遠程站點和內網的訪問規則

4、  創建與遠程站點同名的用戶

 

接下來輪到Tianjin服務器了,Tianjin上同樣已進行了如下準備:

1、 允許內網和本地主機任意訪問

2、 啟用VPN

3、 VPN地址池的范圍是192.168.200.1-192.168.200.200

 

創建遠程站點

Tianjian服務器上的設置基本和Beijing完全對稱,首先仍然是需要創建遠程站點。如下圖所示,在Tianjin的ISA管理器中選擇“創建VPN點對點連接”。

 

 

為遠程站點命名為Beijing。

 

 

站點間VPN連接使用的協議是PPTP,Tianjin選擇的VPN協議要和Beijing完全一致。

 

 

連接到遠程站點,需要經過192.168.1.254-北京公司的VPN服務器。

 

 

Tianjin撥叫北京的VPN服務器時,進行身份驗證時所輸入的用戶名和密碼要匹配Beijing服務器上剛創建的用戶賬號。

 

 

定義遠程站點的地址范圍,輸入北京公司的內網范圍10.1.1.0-10.1.1.255。

 

 

接下來要創建遠程站點和內網的網絡規則,仍然是路由關系。

 

 

然后創建訪問規則允許內網和遠程站點互相訪問。

 

 

點擊完成結束遠程站點創建。

 

 

創建與遠程站點同名的用戶

創建完遠程站點后,接下來就該創建與遠程站點同名的用戶了,如下圖所示,我們在Tianjin服務器上創建了用戶Beijing。注意,在本次實驗中為簡單起見,Beijing和Tianjin兩個ISA服務器都沒有加入域,因此用戶在ISA本機創建。如在生產環境中ISA已經加入了域,一般會在域控制器上創建這個用戶。

 

 

最后別忘了設定用戶的遠程訪問權限,相信在Beijing上做完一遍之后,大家在Tianjin上進行操作時已經是輕車熟路了。

 

 

 

兩端的VPN服務器配置完畢后,我們接下來要在內網的客戶機上進行測試了,如下圖所示,我們在北京的Denver上ping天津公司的Istanbul。

 

 

Denver訪問天津內網的Istanbul不需要自己進行VPN遠程撥號,只要把訪問請求提交給Beijing就可以了。這時打開Beijing的路由和遠程訪問,如下圖所示,我們發現Tianjin這個請求式撥號的狀態已經從斷開變成了已連接。

 

 

如下圖所示,我們發現Denver已經可以ping到Istanbul了,實驗成功。有一點要注意,有時請求式撥號連接的時間會稍長一些,可能前面的一些ping包會顯示Time out,這是正,F象,稍等片刻即可正常。

 

 

最后試試在Istanbul上訪問Denver,如下圖所示,訪問成功,至此,實驗順利完成。

 

 

創建站點間的VPN不是難度很大的技術問題,如果兩端的VPN服務器中有硬件VPN,那就應該使用IPSEC。如果兩端的VPN都是微軟的ISA或路由與遠程訪問,那就推薦使用PPTP或L2TP。ISA間并非不能使用IPSEC,只是使用經驗告訴我這種拓撲并不穩定,當然,ISA2006的SP1可能會解決這個問題,大家有興趣可以測試一下。


文章: ISA2006創建基于PPTP的站點到站點VPN連接:ISA教程之二十五
地址:http://www.2994509.live/server/201311/8134.html
------分隔線----------------------------
------分隔線----------------------------
熱門ISA2006文章推薦
神武菜农怎么赚钱 股票大宗交易规则 股城模拟炒股 博彩通百乐坊 河北11选5遗漏任三 股票投资技术分析 股票推荐平台 华东15选5今晚胆号预测 免费安徽快3计划工具 pk10赛车3码技巧 青海体彩11任选5