注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

欣宏胜科技,苏州赛格数码广场,苏州电脑城

组装电脑|IT外包|电脑维修|办公耗材|网络工程|门禁监控|综合布线|网站建设

 
 
 

日志

 
 

创建站点到站点VPN连接:ISA 2006  

2008-12-10 23:12:59|  分类: ISA server |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

 

发表于:2008年12月10日 23时6分30秒来源:权限: 公开阅读(0)评论(0) 举报本文链接:http://user.qzone.qq.com/272897237/blog/1228921590

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

创建站点到站点VPN连接:ISA 2006创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客在前面的博文中,我们已经介绍了如何用ISA2006创建VPN服务器,以及远程用户如何利用VPN服务器拨入内网。如果是个别用户在家办公或出差在外,用前文提到的VPN解决方案是可以圆满解决的。但如果是一群用户有互相访问的需求,例如某公司总部和分公司需要互相访问,那用VPN远程拨入的方式就显得效率不高了。试想一下,公司总部500人,分公司300人,如果要互相访问,800人都要拨叫对方的VPN服务器,这显然不是一个好的解决方案。  今天我们提供一种站点到站点的VPN解决方案,可以很好地解决这个问题。我们引入下面的拓扑图来说明这个方案的构思,某公司北京总部的内网IP范围是10.1.1.0,天津分公司的内网IP范围是10.2.1.0。北京分公司使用一台ISA服务器连接到互联网,天津分公司也使用一台ISA2006连到公网。站点到站点的VPN指的是在两个公司的ISA服务器上配置好VPN的拨入拨出参数,确保两个ISA服务器既可以拨叫对方的VPN服务器,也可以接受对方VPN服务器的拨叫。这样一来用户只要把默认网关指向自己的ISA服务器,就可以不用拨叫对方公司的VPN服务器了,全部由ISA代劳了。例如北京公司的Denver要访问天津公司的Istanbul,Denver只要把访问Istanbul的请求提交给自己的默认网关-Beijing,剩下的事就不用管了,Beijing会自动拨叫天津公司的ISA服务器Tianjin,然后在两个ISA服务器之间创建完成VPN隧道,接下来Denver的访问请求就被Beijing通过VPN隧道路由到天津公司的Istanbul上了。你看,这样一来两个公司员工互访时就很方便了,只要把网关指向自己的ISA服务器,然后就可以透明地访问对方公司的内网,效率是不是有很大的提高呢?

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

创建站点间的VPN需要在两个VPN服务器上都进行设置,两个ISA服务器上的操作具有对称性,我们先以Beijing上的操作为例进行详细讲解,目前Beijing已做了下列准备:  1、 防火墙策略中允许内网和本地主机任意访问。  2、 启用了VPN,允许使用PPTP和L2TP。  3、 VPN地址池的范围是192.168.100.1-192.168.100.200。  一 创建远程站点  创建远程站点是部署站点间VPN最重要的一步,远程站点其实是一个自定义的远程网络,具体到Beijing,其实就是要把天津分公司的内网10.2.1.0定义为一个远程网络。为什么需要把对方公司的内网定义成一个新的网络呢?因为我们知道网络是ISA进行访问控制的基本管理单元,ISA考察一个访问请求时首先要考虑源网络和目标网络的网络规则。如果不定义远程网络,天津分公司对Beijing来说属于外网范畴,而内网到外网的网络规则是NAT,因此Beijing不会允许从天津的Istanbul访问北京的Denver。这就是我们为什么要把天津公司的内网定义为一个新的网络,只有这样我们才可以重新定义北京内网和天津内网的网络规则,进而制定出符合要求的防火墙策略。  创建远程站点还涉及到创建VPN隧道的参数设定,例如Beijing把天津分公司的内网定义为远程网络,那Beijing上就必须定义好连接这个远程网络要通过哪个VPN服务器,两个VPN服务器使用哪种协议,如何进行身份验证等,下面我们就来具体看看如何在Beijing上创建远程站点。  在Beijing上打开ISA管理器,切换到虚拟专用网络,如下图所示,在“远程站点”标签下选择“创建VPN点对点连接”。创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

 出现创建VPN点对点连接向导,其实就是远程站点的创建向导,首先我们要为远程站点起个名字,如下图所示,我们为远程站点命名为Tianjin。这个远程站点的名字可不是随便取的,后面我们会知道ISA服务器上必须创建一个和远程站点同名的用户。创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  接下来要选择VPN站点间连接要使用的协议,如果两个VPN服务器都是ISA,那可以选择PPTP或L2TP,如果是ISA和硬件VPN组成站点间连接,那应该选择IPSEC。在这个实验中我们选择使用PPTP作为站点间VPN使用的隧道协议。创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  如下图所示,系统会弹出一个对话框提示你在ISA服务器上必须有一个和远程站点同名的用户,而且用户必须有拨入权限。也就是说Beijing创建了一个远程站点Tianjin后,Beijing服务器上必须有一个名为Tianjian的具有远程拨入权限的用户。如果Beijing隶属于域,那么Tianjin这个用户也可以在域控制器上创建。创建出的这个用户是为天津公司的VPN服务器拨叫北京公司的VPN服务器准备的,天津公司的用户通过他们的VPN服务器拨叫北京的VPN服务器时,如果天津用户源于tianjin这个远程网络,那天津的VPN服务器必须使用tianjin作为用户名进行身份验证。由于微软这么一个奇怪的规定,我们必须在北京的ISA服务器上准备好tianjin这个用户。创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

接下来要填写远程站点的VPN服务器的IP地址或域名,天津的VPN服务器IP是192.168.1.8。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  下面设定的是beijing拨叫天津的VPN服务器时进行身份验证的凭据,显然,tianjin上也要有个名为beijing的用户,在后续的操作中我们会在tianjin上创建这个用户。创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  接下来我们要定义远程站点的IP地址范围,如下图所示,远程站点的地址范围是10.2.1.0-10.2.1.255。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  接下来VPN创建向导建议创建一个网络规则,从远程站点到内网,网络规则是路由关系。这个提示很人性化,是ISA2006比ISA2004改进的地方。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  创建完网络规则后,向导又很贴心地建议我们创建一条访问规则,允许内网和远程站点互相访问。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  点击完成结束VPN创建向导。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

向导结束后再次提示我们要创建一个名为Tianjin的用户,而且要允许远程访问。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  远程站点创建完毕后,如下图所示,我们发现在向导的指引下,远程站点到内网的网络规则已经被创建了,而且网络关系是路由。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  如下图所示,向导还帮助我们创建了访问规则,允许远程站点和内网互相访问。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  如下图所示,向导还在路由和远程访问中创建了请求式拨号,当北京公司要访问天津公司时,Beijing会自动拨叫天津的VPN服务器,创建出VPN隧道,供用户访问使用。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  二 创建与远程站点同名的用户

  最后不要忘记创建与远程站点同名的用户,如果Beijing加入域,那么既可以在Beijing服务器上创建这个用户,也可以在域控制器上创建这个用户。由于本例中Beijing和Tianjin两个ISA服务器都在工作组中,因此我们只能在ISA服务器上创建这个远程访问用户了。如下图所示,在Beijing的计算机管理工具中选择新建一个名为Tianjin的用户。创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  用户创建完毕后不要忘记用户的远程访问权限,如下图所示,在用户属性的拨入标签中将用户的远程访问权限设为允许访问。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  OK,至此我们完成了在Beijing上的设置,总结如下:

  1、 将天津分公司的内网定义成远程站点  2、 创建远程站点和内网的网络规则  3、 创建远程站点和内网的访问规则  4、 创建与远程站点同名的用户  接下来轮到Tianjin服务器了,Tianjin上同样已进行了如下准备:  1、 允许内网和本地主机任意访问  2、 启用VPN  3、 VPN地址池的范围是192.168.200.1-192.168.200.200  一 创建远程站点  Tianjian服务器上的设置基本和Beijing完全对称,首先仍然是需要创建远程站点。如下图所示,在Tianjin的ISA管理器中选择“创建VPN点对点连接”。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  为远程站点命名为Beijing。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  站点间VPN连接使用的协议是PPTP,Tianjin选择的VPN协议要和Beijing完全一致.

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  连接到远程站点,需要经过192.168.1.254-北京公司的VPN服务器。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  Tianjin拨叫北京的VPN服务器时,进行身份验证时所输入的用户名和密码要匹配Beijing服务器上刚创建的用户账号。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  定义远程站点的地址范围,输入北京公司的内网范围10.1.1.0-10.1.1.255。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  接下来要创建远程站点和内网的网络规则,仍然是路由关系。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  然后创建访问规则允许内网和远程站点互相访问。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  点击完成结束远程站点创建。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

二 创建与远程站点同名的用户

  创建完远程站点后,接下来就该创建与远程站点同名的用户了,如下图所示,我们在Tianjin服务器上创建了用户Beijing。注意,在本次实验中为简单起见,Beijing和Tianjin两个ISA服务器都没有加入域,因此用户在ISA本机创建。如在生产环境中ISA已经加入了域,一般会在域控制器上创建这个用户。创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  最后别忘了设定用户的远程访问权限,相信在Beijing上做完一遍之后,大家在Tianjin上进行操作时已经是轻车熟路了。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  两端的VPN服务器配置完毕后,我们接下来要在内网的客户机上进行测试了,如下图所示,我们在北京的Denver上ping天津公司的Istanbul。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  Denver访问天津内网的Istanbul不需要自己进行VPN远程拨号,只要把访问请求提交给Beijing就可以了。这时打开Beijing的路由和远程访问,如下图所示,我们发现Tianjin这个请求式拨号的状态已经从断开变成了已连接。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  如下图所示,我们发现Denver已经可以ping到Istanbul了,实验成功。有一点要注意,有时请求式拨号连接的时间会稍长一些,可能前面的一些ping包会显示Time out,这是正常现象,稍等片刻即可正常。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  最后试试在Istanbul上访问Denver,如下图所示,访问成功,至此,实验顺利完成。

创建站点到站点VPN连接:ISA 2006 - 小波 - hubo.lovepc的博客

  创建站点间的VPN不是难度很大的技术问题,如果两端的VPN服务器中有硬件VPN,那就应该使用IPSEC。如果两端的VPN都是微软的ISA或路由与远程访问,那就推荐使用PPTP或L2TP。ISA间并非不能使用IPSEC,只是使用经验告诉我这种拓扑并不稳定,当然,ISA2006的SP1可能会解决这个问题,大家有兴趣可以测试一下。  本文出自 “岳雷的微软网络课堂” 博客,请务必保留此出处http://yuelei.blog.51cto.com/202879/96424

  评论这张
 
阅读(667)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017