首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-企业版 > How to :配置ISA Server 2004企业版中的站点到站点的VPN连接
现在时间是: 2019-01-18 21:52
How to :配置ISA Server 2004企业版中的站点到站点的VPN连接

(2005-04-24 20:32)
来源:ISA中文站

How to :配置ISA Server 2004企业版中的站点到站点的VPN连接

非常感谢我的老师Ronald Beekelaar,作为微软Virtual PC的MVP,他创建的ISA LAB是如此的精致,使用起来真是一种享受;同时,作为一个脚本大师,他所设计的配置同步状态查询程序也是如此的精巧好用。

 

内容概要:在ISA Server 2004企业版中配置站点到站点的VPN和标准版几乎一致,也建议你先看看How To:配置基于PPTP模式的站点到站点的VPN连接How to :配置ISA Server 2004企业版中的VPN服务这两篇文章,这样可以让你对部署站点到站点的VPN连接有更多的了解。在这篇文章中,我给大家介绍如何配置ISA Server 2004企业版中的PPTP、L2TP/IPSec和IPSec三种模式的站点到站点的VPN连接。

 

在ISA Server 2004企业版中配置站点到站点的VPN和标准版几乎一致,也建议你先看看How To:配置基于PPTP模式的站点到站点的VPN连接How to :配置ISA Server 2004企业版中的VPN服务这两篇文章,这样可以让你对部署站点到站点的VPN连接有更多的了解。在这篇文章中,我给大家介绍如何配置ISA Server 2004企业版中的PPTP、L2TP/IPSec和IPSec三种模式的站点到站点的VPN连接。

这篇文章是How to :配置ISA Server 2004企业版中的VPN服务一文的进阶,并且本文中的试验环境已经在这篇文章中预先做好了一些部署,希望你在学习这篇文章前先进行阅读,这样你可以更好的了解VPN服务。

在ISA Server 2004企业版中配置PPTP、L2TP/IPSec和IPSec三种模式的站点到站点的VPN涉及以下步骤:

  • 如果是PPTP和L2TP/IPSec这两种模式的连接,你需要创建用于VPN拨入的用户账户;

  • 如果是L2TP/IPSec和IPSec这两种模式的连接, 你需要安装相应的证书;

  • 创建远程站点网络,选择PPTP、L2TP/IPSec或IPSec作为隧道协议;

  • 对于PPTP和L2TP/IPSec模式的远程站点,你需要启用ISA防火墙的VPN客户端访问,因为ISA防火墙将这两种模式的远程访问站点看作普通的远程VPN客户端;

  • 配置ISA防火墙的网络规则和防火墙策略。

你必须根据VPN站点访问的方式在站点到站点的VPN连接的两端ISA防火墙进行上述的部分或全部配置。

 

本文的试验环境如下图所示,公司总部网络地址范围为10.1.1.0/24,FlorenceFirence是位于公司总部的两台ISA Server,同属于阵列ITALY,使用安装在Florence上的配置存储服务器;Denver为内部网络中的一台DC,提供Web服务和证书权威服务;公司分部的网络地址范围为10.2.1.0/24,Berlin为公司分部的一台ISA Server,同时安装了配置存储服务器和ISA Server服务,属于阵列GERMANClient为公司分部网络中的一台客户机。所有计算机的操作系统均为Windows Server 2003企业版。

 

各计算机的TCP/IP设置如下:

FlorenceISA 2004 EE)

LAN:

  • IP:10.1.1.1/24

  • DG:None

  • DNS:None

Internet:

  • IP:39.1.1.1/24

  • DG:39.1.1.1

  • DNS:None

FirenzeISA 2004 EE)

LAN:

  • IP:10.1.1.2/24

  • DG:None

  • DNS:None

Internet:

  • IP:39.1.1.2/24

  • DG:39.1.1.2

  • DNS:None

Denver(Web/CA)

  • IP:10.1.1.5/24

  • DG:10.1.1.1

  • DNS:10.1.1.5

Berlin(ISA 2004 EE)

LAN:

  • IP:10.2.1.8/24

  • DG:None

  • DNS:None

Internet:

  • IP:39.1.1.8/24

  • DG:39.1.1.8

  • DNS:None

Client(Branch)

  • IP:10.2.1.9/24

  • DG:10.2.1.8

  • DNS:None

 

对于PPTP模式的VPN连接,是不需要在服务器端和客户端安装任何证书的,只需要在站点到站点VPN连接的被拨入端创建具有拨入权限的用户账户,然后 配置拨入端使用此账户进行连接即可;对于L2TP/IPSec模式的VPN连接,除了创建拨入账户外,你还需要在服务器端(被拨入端)安装服务器身份验证证书,在客户端 (拨入端)安装客户端身份验证证书;对于IPSec模式的VPN站点到站点的连接,你需要在站点到站点VPN连接的两端站点上安装IPSec证书。

在此试验中,我们将在公司总部的Florence和公司分部的Berlin之间创建这三种模式的站点到站点VPN连接,并且将站点到站点的两端站点都配置为可初始化连接(可以拨号)的。因此,对于PPTP模式的VPN连接,我们需要在VPN连接的两端站点上都创建对应的VPN拨入用户;对于L2TP/IPSec模式的VPN连接,除了创建用户外,我们还需要在两端站点上都安装服务器身份验证证书和客户端身份验证证书;对于IPSec模式的VPN连接,我们只需要在两端站点上安装IPSec证书。

本文中的重点在于VPN的配置,配置过程中所需要的访问规则和Web发布规则等具体细节可能会忽略。虽然在本文中的公司总部具有两台阵列服务器,但是在本文中并不会创建到ISA防火墙Firenze的VPN连接,但是这并不是意味你就可以把Firenze忽略不计。由于阵列的配置唯一性及互操作性,你同样需要为Firenze申请证书,而且在你修改任何配置时,请保证两台服务器的配置文件都进行了同步。

本文的试验步骤如下,在试验之前已经确认网络连接工作正常:

1、为公司总部的ISA防火墙Florence和Firenze、公司分部的ISA防火墙Berlin申请证书;

2、在Florence和Berlin上分别创建VPN拨入用户;

3、在公司总部阵列ITALY上配置分部的PPTP模式的远程访问站点;

4、创建公司总部到分部远程访问站点的网络规则和防火墙策略;

5、在公司分部阵列GERMAN上配置总部的PPTP模式的远程访问站点;

6、创建公司分部到总部远程访问站点的网络规则和防火墙策略;

7、测试PPTP模式下的站点到站点的VPN连接;

8、修改VPN连接模式为L2TP/IPSec后进行测试;

9、在公司总部阵列ITALY上配置分部的IPSec模式的远程访问站点、相应的网络规则和防火墙策略;

10、在公司分部阵列GERMAN上配置总部的IPSec模式的远程访问站点、相应的网络规则和防火墙策略;

11、测试IPSec模式下的站点到站点的VPN连接;



作者:风间子
责任编辑:风间子

[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] 下一页>>
上一篇:How to :配置ISA Server 2004企业版中的VPN服务 v 1.1
下一篇:How to :实现ISA防火墙网络负载均衡的故障转移
相关信息:

How to : 配置ISA Server 2004企业版中的网络负载均衡
[最新公告]ISA Server 2004 企业版正式发布 v4.0
How to :实现ISA防火墙网络负载均衡的故障转移
ISA Server 2004企业版Beta安装指南
How to :在ISA Server 2004企业版中实现内部网络的网络负载均衡

热点信息 TOP 10
How to:在域环境中部署ISA Server 2004企业版
ISA Server 2004企业版Beta安装指南
How to :配置ISA Server 2004企业版中的站点到站点的VPN连接
How to :配置ISA Server 2004企业版中的VPN服务 v 1.1
How to :在域环境中实现内部网络的网络负载平衡
How to :实现ISA防火墙网络负载均衡的故障转移
How to : 配置ISA Server 2004企业版中的网络负载均衡
How to :在ISA Server 2004企业版中实现内部网络的网络负载均衡
ISA Server 2004企业版中的企业级策略 v1.1
你需要ISA Server 2004的标准版还是企业版?

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..