首页业界动态通用技术技术文章-ISA技术文章-ISA 2006ForeFront TMG相关下载 登录论坛 @联系我们
ISA中文站 > 信息 > 技术文章-ISA > ISA-VPN > 关于ISA防火墙中VPN服务的一些补充说明
现在时间是: 2019-02-19 18:51
关于ISA防火墙中VPN服务的一些补充说明

(2005-10-16 21:19)
来源:ISA中文站

关于ISA防火墙中VPN服务的一些补充说明

 

ISA防火墙中的VPN服务是基于Windows服务器系统中的路由和远程访问服务(RRAS),并且提供了更好的安全和管理特性。在RRAS中,你可以分配两种地址范围的IP地址给VPN客户端:

  • 子网内地址范围
    即把VPN服务器所连接的内部网络中的地址范围中的IP地址分配给VPN客户,这样的好处是当VPN客户需要访问内部网络时,内部网络无需增加到VPN客户的路由;但是会让内部网络中的IP地址难以区分。

  • 子网外地址范围
    即分配和VPN服务器所连接的内部网络的地址范围不同的IP地址给VPN客户,这样的好处便于识别VPN客户的IP地址,缺点是需要在内部网络中添加到VPN客户的路由。

在ISA防火墙中,对于VPN客户端的地址分配,具有两种形式:

  • 通过DHCP服务器获取;

  • 指定静态IP地址范围;

在第一种地址分配形式“通过DHCP服务器获取”中,由RRAS服务器启动时,从DHCP服务器获得满足VPN服务需求的的IP地址范围,如果DHCP服务器在线但是没有为ISA防火墙分配足够数量的IP地址(包括仅仅是只分配了一个IP地址给ISA防火墙),那么当VPN客户拨入通过身份验证时,由于ISA防火墙没有足够的IP地址进行分配,会拒绝VPN客户的连接,VPN客户端的错误警告如下图所示(736:远程计算机中断了控制协议):

而如果DHCP不在线或者ISA防火墙无法从DHCP服务器获得有效的IP地址,那么ISA防火墙将会随机使用自动专用IP地址范围(APIPA,169.254.0.0/16)中的IP地址的来为VPN客户进行分配。

因此,如果你想使用DHCP服务器来为VPN客户分配IP地址而又不愿意使用内部网络中的IP地址来为VPN客户进行分配,你必须将DHCP服务器脱离内部子网,即将DHCP服务器独立于内部子网,具体部署可以参见如何实现VPN使用脱离内部网络的IP地址一文。

另外在第二种地址分配形式“指定静态IP地址范围”中,你指定的静态IP地址范围必须全部为有效的IP地址,例如地址范围为192.168.0.1~192.168.0.254,而不能在地址范围中包含主机位为全“0”和全“1”的特殊IP地址,例如地址范围为192.168.0.0~192.168.0.255,这是因为RRAS会同样将特殊的IP地址192.168.0.0和192.168.0.255分配给VPN客户使用,从而导致连接问题。

关于Windows系统中RRAS是如何进行VPN客户端的IP地址分配及不同方式的优劣,请详见CableGuy的经典文章“IP 地址分配与“路由和远程访问”服务”,这篇文章应该是部署Windows下VPN服务的管理员的必修课。



作者:风间子
责任编辑:webmaster

[1] [2] 下一页>>
上一篇:为VPN客户启用DHCP中继
下一篇:How to :让VPN客户解析内部网络中的计算机名
相关信息:

ISA Server 2004的远程管理
为DMZ网段启用DHCP中继
[更新]ISA Server 2004中文帮助下载
ISA Server 2004 SP2 使用指南 v 1.06
[敬请期待]ISA Server 2004 beta2、RC已知的BUG

热点信息 TOP 10
How To:配置基于PPTP模式的站点到站点的VPN连接
启用ISA Server 2004 的VPN服务
How to :让VPN客户解析内部网络中的计算机名
使用RADIUS来认证VPN用户
ISA Server 2004中的Site-to-Site VPN
在背靠背ISA防火墙中配置远程VPN访问
配置VPN服务器使用智能卡身份验证
为VPN客户启用DHCP中继
关于L2TP站点到站点VPN连接中的证书的配置
关于ISA防火墙中VPN服务的一些补充说明

搜索 SEARCH
关键字:
包含:
搜索于:


Copyright © ISACN.ORG 2004-2019 All Rights Reserved..