【文章內容簡介】 部分VPN設備的配置　 公司總部和分支機構之間與公司總部和合作伙伴之間的VPN通信，都是站點對站點的方式，只是權限設置不一樣，公司總部和分支機構要實現(xiàn)的公司分支機構共享總部的資源，公司總部和合作伙伴要實現(xiàn)是資源共享和互訪。兩者之間的差別是合作伙伴的VPN接入上設置了可以總部可以訪問的操作。因為三個站點都采用ISA VPN作為安全網關，所以以下站點對站點的VPN配置就以公司總部到分支機構為例，說明在ISA上實現(xiàn)VPN的具體操作。模擬基本拓撲圖：圖51 實驗模擬網絡拓撲圖 公司總部到分支機構的ISA VPN配置各主機的TCP/IP為： 廈門總部外部網絡： u IP：u DG：內部網絡： u IP：u DG：None 分部外部網絡：u IP：u DG：內部網絡： u IP:u DG：None 在總部和支部之間建立一個基于IPSec的站點到站點的VPN連接，由支部向總部進行請求撥號，具體步驟如下： u 在總部ISA服務器上建立遠程站點； u 建立此遠程站點的網絡規(guī)則； u 建立此遠程站點的訪問規(guī)則； u 在總部為遠程站點的撥入建立用戶；u 在支部ISA服務器上建立遠程站點； u 建立此遠程站點的網絡規(guī)則； u 建立此遠程站點的訪問規(guī)則； u 測試VPN連接； 總部ISA VPN配置 1） 打開ISA Server 2004控制臺，點擊虛擬專用網絡，點擊右邊任務面板中的添加遠程站點網絡；2） 在歡迎使用網絡創(chuàng)建向導頁，輸入遠程站點的名字Branch，點擊下一步； 3） 在VPN協(xié)議頁，選擇IPSec上的第二層隧道協(xié)議（L2TP），點擊下一步； 4） 在遠程站點網關頁，輸入遠程VPN服務器的名稱或IP地址，如果輸入名稱，需確?？梢哉_解析，； 5） 在網絡地址頁，點擊添加輸入與此網卡關聯(lián)的IP地址范圍，點擊確定后，點擊下一步繼續(xù)； 6） 在正在完成新建網絡向導頁，點擊完成。 圖52 總部建立的遠程站點圖7） 打開VPN客戶端，點擊配置VPN客戶端訪問，在常規(guī)頁中，選擇啟用VPN客戶端訪問，填入允許的最大VPN客戶端數(shù)量20，在協(xié)議頁，選擇啟用PPTP（N）和啟用L2TP/IPSEC（E）點擊確定。8） 點擊選擇身份驗證方法，選擇Microsoft加密的身份驗證版本2（MSCHAPv2）（M）和允許L2TP連接自定義IPSec策略（L）,輸入預共享的密鑰main04jsja。9） 點擊定義地址分配，在地址分配頁，選擇靜態(tài)地址池，點擊添加，添加VPN連接后總部主機分配的給客戶端的IP地址段，點擊確定完成設置。（方便測試連接，可不添加）2．在總部上建立此遠程站點的網絡規(guī)則 接下來，我們需要建立一條網絡規(guī)則，為遠程站點和內部網絡間的訪問定義路由關系。1） 右鍵點擊配置下的網絡，然后點擊新建，選擇網絡規(guī)則； 2） 在新建網絡規(guī)則向導頁，輸入規(guī)則名字，在此命名為Internal to Branch，點擊下一步；3） 在網絡通訊源頁，點擊添加，選擇網絡目錄下的內部，點擊下一步； 4） 在網絡通訊目標頁，點擊添加，選擇網絡目錄下的Branch，點擊下一步； 5） 在網絡關系頁，選擇路由，然后點擊下一步； 6） 在正在完成新建網絡規(guī)則向導頁，點擊完成；圖53 總部網絡規(guī)則圖3．在總部上建立此遠程站點的訪問規(guī)則 現(xiàn)在，我們需要為遠程站點和內部網絡間的互訪建立訪問規(guī)則:1) 右鍵點擊防火墻策略，選擇新建，點擊訪問規(guī)則； 2) 在歡迎使用新建訪問規(guī)則向導頁，輸入規(guī)則名稱，在此命名為main to branch，點擊下一步； 3) 在規(guī)則操作頁，選擇允許，點擊下一步； 4) 在協(xié)議頁，選擇所選的協(xié)議，然后添加HTTP和Ping，(這里可以再根據(jù)實際需要添加協(xié)議)點擊下一步； 5) 在訪問規(guī)則源頁，點擊添加，選擇網絡目錄下的Branch和內部，點擊下一步； 6) 在訪問規(guī)則目標頁，點擊添加，選擇網絡目錄下的Branch和內部，點擊下一步；7) 在用戶集頁，接受默認的所有用戶，點擊下一步；在正在完成新建訪問規(guī)則向導頁，點擊完成； 8) 最后，點擊應用以保存修改和更新防火墻設置。 此時在警報里面有提示，需要重啟ISA服務器，所以，我們需要重啟ISA計算機。圖54 總部訪問控制圖4. 在總部上為遠程站點的撥入建立用戶 1） 在重啟總部ISA服務器后，以管理員身份登錄，2） 在我的電腦上點擊右鍵，選擇管理，選擇在本地用戶和組里面，右擊用戶，選擇新用戶，這個VPN撥入用戶的名字一定要和遠程站點的名字一致，在此是main，輸入密碼main，選中用戶不能修改密碼和密碼永不過期，取消勾選用戶必須在下次登錄時修改密碼，點擊創(chuàng)建； 3） 右擊此用戶，選擇屬性；在用戶屬性的撥入標簽，選擇允許訪問，點擊確定。圖55 總部用戶創(chuàng)建圖此時，遠程客戶端撥入總部的用戶賬號就建好了。 支部 ISA VPN配置1．在支部ISA服務器上添加遠程站點1)打開ISA Server 2004控制臺，點擊虛擬專用網絡，點擊右邊任務面板中的添加遠程站點網絡；2)在歡迎使用網絡創(chuàng)建向導頁，輸入遠程站點的名字Main，點擊下一步； 3)在VPN協(xié)議頁，選擇IPSec上的第二層隧道協(xié)議（L2TP），點擊下一步； 4)在遠程站點網關頁，輸入遠程VPN服務器的名稱或IP地址，如果輸入名稱，需確?？梢哉_解析，點擊下一步； 5)在遠程身份驗證頁，輸入用戶名main，輸入密碼main，點擊下一步繼續(xù)； 6)在網絡地址頁，點擊添加輸入與此網卡關聯(lián)的IP地址范圍，點擊確定后，點擊下一步繼續(xù)； 7)在正在完成新建網絡向導頁，點擊完成。圖56 支部建立的遠程站點圖2. 建立此遠程站點的網絡規(guī)則 接下來，我們需要建立一條網絡規(guī)則，為遠程站點和內部網絡間的訪問定義路由關系。1) 右擊配置下的網絡，然后點擊新建，選擇網絡規(guī)則；2) 在新建網絡規(guī)則向導頁，輸入規(guī)則名字，在此我命名為內部Main，點擊下一步；3) 在網絡通訊源頁，點擊添加，選擇網絡目錄下的內部，點擊下一步；4) 在網絡通訊目標頁，點擊添加，選擇網絡目錄下的Main，點擊下一步；5) 在網絡關系頁，選擇路由，然后點擊下一步；6) 在正在完成新建網絡規(guī)則向導頁，點擊完成；圖57 支部的網絡規(guī)則圖3. 建立此遠程站點的訪問規(guī)則 在創(chuàng)建完遠程站點和遠程站點的網絡規(guī)則之后，我們需要為遠程站點和內部網絡間的互訪建立訪問規(guī)則:1) 右擊防火墻策略，選擇新建，點擊訪問規(guī)則；2) 在歡迎使用新建訪問規(guī)則向導頁，輸入規(guī)則名稱，在此我命名為branch to main ，點擊下一步；3) 在規(guī)則操作頁，選擇允許，點擊下一步；4) 在協(xié)議頁，選擇所選的協(xié)議，然后添加HTTP和Ping，點擊下一步；5) 在訪問規(guī)則源頁，點擊添加，選擇網絡目錄下的Main和內部，點擊下一步；6) 在訪問規(guī)則目標頁，點擊添加，選擇網絡目錄下的Main和內部，點擊下一步；7) 在用戶集頁，接受默認的所有用戶，點擊下一步；在正在完成新建訪問規(guī)則向導頁，點擊完成；8) 最后，點擊應用以保存修改和更新防火墻設置。圖58 支部的訪問控制圖此時在警報里面有提示，需要重啟ISA服務器，所以，我們需要重啟支部ISA計算機。 VPN連接在支部的路由和遠程訪問控制臺中，展開服務器 1)點擊網絡接口，這時就會出現(xiàn)我們創(chuàng)建的main網絡撥號接口，右鍵點擊屬 性，在安全頁選擇高級設置下的IPSec設置，在使用預共享的密鑰作身份驗證（U）的選框里打勾，并輸入密鑰main04jsja, 點擊兩次確定，完成密鑰設置。 2)右鍵點擊設置憑據(jù)，在接口憑據(jù)頁，輸入此接口連接到遠程路由器使用的憑 據(jù)，因為在遠程ISA端我們設置為main 所以這里輸入的用戶密碼為main，點擊確定。圖59 連接驗證圖1） 右鍵main點擊連接圖510 正在進行連接示意圖圖511 已連接上示意圖 到此為止站點到站點的VPN已經構建好了，在上面的設置中，遠程的支部不允許總部進行訪問，如果要設成可以互相訪問，支部的配置只要參照總部的配置就可以實現(xiàn)了。 連接測試之前在靜態(tài)地址池里設置了VPN連接后分配的IP地址，因此測試是否連接時只要查支部主機的IP地址就可以了，在測試的結果中，說明VPN已成功連接上總部的ISA VPN服務器。圖512 支部主機VPN連接后的ipconfig圖在支部的主機上ping總部內部的某一主機，如下所示，雖然第一次連接時間超時，沒有回應，但是接下來的三個連接都可以ping通，說明VPN已經成功連接，并可以訪問到總部內網的其他主機。圖513 支部PING通總部內部網絡圖 公司總部站點到移動用戶端的VPN配置總部外部網絡： IP： DG：內部網絡： IP： DG：None移動用戶 IP：在總部和移動用戶之間建立一個基于IPSec的VPN連接，具體步驟如下： 在總部ISA服務器上建立網絡規(guī)則 建立此遠程站點的訪問規(guī)則； 在總部為遠程站點的撥入建立用戶； 在客戶端建立撥號連接測試VPN連接； 總部ISA VPN配置1)打開ISA Server 2004控制臺，點擊虛擬專用網絡，點擊右邊任務面板中常規(guī)VPN配置中的選擇訪問網絡2)在虛擬專用網絡（VPN）屬性頁 選擇訪問網絡,選中外部和所有網絡（和本地主機）3)選擇地址分配頁，這里需要在靜態(tài)地址池里面添加分給VPN撥入用戶的IP地址，因為在站點對站點的設置里已經配置過，所以這里直接點確定點擊確定；4)點擊VPN客戶端任務里的配置VPN客戶端訪問選項，點擊啟用VPN客戶端訪問，設置允許的最大VPN客戶端數(shù)量20。5)點擊協(xié)議選項，選擇啟用PPTP（N）和啟用L2TP/IPSEC（E）點擊確定。2. 創(chuàng)建移動客戶端的訪問規(guī)則現(xiàn)在，我們需要為遠程站點和內部網絡間的互訪建立訪問規(guī)則， 1)右鍵點擊防火墻策略，在任務面板上選擇創(chuàng)建新的訪問規(guī)則； 2)在歡迎使用新建訪問規(guī)則向導頁，輸入規(guī)則名稱Allow move VPN，點擊下一步； 3)在規(guī)則操作頁，選擇允許，點擊下一步； 4)在協(xié)議頁，選擇所選的協(xié)議，然后添加HTTP 和PING，點擊下一步； 5)在訪問規(guī)則源頁，點擊添加，選擇網絡目錄下的外部，點擊下一步； 6)在訪問規(guī)則目標頁，點擊添加，選擇網絡集目錄下的所有網絡（和本地主機），點擊下一步； 7)在用戶集頁，接受默認的所有用戶，點擊下一步；在正在完成新建訪問規(guī)則向導頁，點擊完成； 8)最后，點擊應用以保存修改和更新防火墻設置。圖514 總部移動用戶訪問控制圖3. 在總部上為移動用戶創(chuàng)建撥入建立帳號1)在重啟總部ISA服務器后，以管理員身份登錄； 2)在我的電腦上點擊右鍵，選擇管理，選擇在本地用戶和組里面，右擊用戶，選擇新用戶，輸入用戶名movevpn，輸入密碼movevpn，選擇用戶必須在下次登錄時修改密碼，點擊創(chuàng)建； 3)右擊此用戶，選擇屬性；在用戶屬性的撥入標簽，選擇允許訪問，點擊確定。圖515 總部移動用戶創(chuàng)建圖 移動用戶端VPN配置1. VPN 客戶端的配置1)點擊 開始所有程序附件通訊新建連接向導； 2)在新建連接向導頁，點擊下一步；3）在網絡連接類型頁，選擇連接到我的工作場所的網絡點擊下一步4）在網絡連接頁，選擇虛擬專用網連接點擊下一步5）在連接名頁面，輸入連接的名稱，如“XMUT”，點擊下一步6）在公用網絡頁，選擇不撥初始連接，點擊下一步 7）在VPN服務器選擇頁，, 點擊下一步8）在可用連接頁，根據(jù)需要進行選擇，然后單擊下一步按鈕繼續(xù)。 9）在完成網絡連接向導頁，勾選中在我的桌面添加快捷方式復選框，然后單擊完成按鈕。2．設置XUMT的連接屬性 右鍵XMUT連接，點擊屬性，在安全頁選擇高級設置下的IPSEC設置，在使用預共享的密鑰作身份驗證（U）的選框里打勾，并輸入密鑰main04jsja, 點擊兩次確定。 到此為止，站點對站點的VPN和站點對客戶端的VPN已經都建立好了，具體的訪問控制和網絡規(guī)則都可以隨實際的應用而更改。 連接測試在VPN客戶端主機上輸入ipconfig,，說明已連接成功。