isa vpn.docx
《isa vpn.docx》由会员分享,可在线阅读,更多相关《isa vpn.docx(14页珍藏版)》请在冰豆网上搜索。
isavpn
配置ISAServer以创建站点到站点VPN连接之一
作者:
admin日期:
2006-09-12
字体大小:
小中大
在本练习中,您将对两个ISAServer阵列进行配置以创建站点到站点VPN连接。
注意:
本实验室练习使用以下计算机:
Denver-Florence-Berlin-Istanbul
注意:
在以下任务中,您将配置ITALY阵列以使用站点到站点VPN连接来与GERMANY阵列相连。
此过程包含6个步骤,必须按照正确的顺序执行这些步骤。
●步骤1–使用ISAServer控制台配置VPN地址范围。
●步骤2–创建远程站点网络。
●步骤3–为远程站点网络创建网络规则。
●步骤4–为远程站点网络创建访问规则。
●步骤5–启用VPN客户端访问。
●步骤6–创建与远程站点网络同名的用户帐户。
在Florence计算机上执行以下步骤。
1.在Florence计算机上,使用ISAServer控制台配置VPN地址范围。
IP地址范围:
Florence -10.3.1.1-10.3.1.100
Firenze -10.3.1.101-10.3.1.200
(步骤1)
a.在Florence计算机上,在ISAServer控制台的左窗格中,
选择“虚拟专用网络(VPN)”。
b.在任务窗格的“任务”选项卡上,单击“定义地址分配”。
※如果在之前的练习中已经建立了Florence和Firenze的IP地址范围,那么可以单击“取消”跳过此任务。
※如果阵列中包含多个ISAServer,那么首先必须定义每个服务器的静态IP地址范围。
c.在“虚拟专用网络(VPN)属性”对话框的“地址分配”选项卡
上,单击“添加”。
d.在“服务器IP地址范围属性”对话框中,填写以下信息:
●选择服务器:
Florence
●起始地址:
10.3.1.1
●结束地址:
10.3.1.100
然后单击“确定”。
※Florence上的VPNIP地址是地址范围中的第一个IP地址(10.3.1.1)。
※注意:
站点到站点VPN连接只要求每个站点一个IP地址,不过远程访问VPN客户端也使用相同的IP地址范围。
e.在“地址分配”选项卡上,单击“添加”。
f.在“服务器IP地址范围属性”对话框中,填写以下信息:
●选择服务器:
Firenze
●起始地址:
10.3.1.101
●结束地址:
10.3.1.200
然后单击“确定”。
g.单击“确定”以关闭“虚拟专用网络(VPN)属性”对话框。
2.创建远程站点网络:
名称:
GermanySite
VPN协议:
PPTP
连接所有者:
Floren
远程VPN服务器:
39.1.1.8
远程用户帐户:
–名称:
ItalySite-密码:
password4 IP地址范围:
10.2.1.0-10.2.1.255
(步骤2)
a.在右窗格中,选择“远程站点”选项卡。
b.在任务窗格的“任务”选项卡上,单击“添加远程站点网络”。
c.在“新建站点到站点网络向导”对话框中的“网络名称”文本框中,键入GermanySite,然后单击“下一步”。
※请认真选择网络名称。
站点到站点VPN连接在“路由和远程访问”中将使用同名的请求拨号接口。
这也要求拨入用户帐户使用相同的名称。
d.在“VPN协议”页面上,选择“点到点隧道协议(PPTP)”,然后单击“下一步”。
※对于站点到站点VPN连接,ISAServer2004支持三种不同的VPN协议。
此时将显示一个警告消息框,提醒您必须创建与网络名称同名的用户帐户。
e.单击“确定”以关闭警告消息框。
f.在“连接所有者”页面上的“选择连接所有者”列表框中,选择“Florence”,然后单击“下一步”。
※为避免两个站点之间分别建立两个VPN连接,必须选择一个连接所有者。
如果启用NLB集成,则将自动管理连接所有者,因而不需要此步骤。
g.在“远程站点网关”页面上的“远程VPN服务器名称或IP地址”文本框中,键入39.1.1.8,然后单击“下一步”。
※39.1.1.8是Berlin的“外部”网络的IP地址。
※如果在远程站点上启用NLB,则必须在此指定NLB虚拟IP地址。
h.在“远程身份验证”页面上,填写以下信息:
●本地站点可以发动与远程站点的连接:
启用
●用户名:
ItalySite
●域:
(留空)
●密码:
password4
●确认密码:
password4
然后单击“下一步”。
※Florence使用这些凭据来创建与Berlin上的“ItalySite”网络的VPN连接。
本练习稍后将创建“ItalySite”网络。
i.在“网络地址”页面上,单击“添加范围”。
j.在“IP地址范围属性”对话框中,填写以下信息:
●起始地址:
10.2.1.0
●结束地址:
10.2.1.255
然后单击“确定”。
※IP地址范围与Berlin的“内部”网络的IP地址匹配。
※注意:
在ISAServer2004EnterpriseEdition中,为了轻松地管理IP地址范围,您可以为每个办事处定义“企业网络”,并使用它在该对话框中指定地址范围。
k.在“网络地址”页面上,单击“下一步”。
l.在“正在完成新建网络向导”页面上,单击“完成”。
※片刻之后,将出现一个警告消息框。
由于Firenze不可用,ISAServer控制台无法验证其配置。
如果ISA服务器处于域中,则计算机帐户将添加到“RAS和IAS服务器”组中。
m.单击“确定”以关闭警告消息框。
※此时建立了名为“GermanySite”的新的远程站点。
ISAServer还启用系统策略规则13(至ISAServer的VPN站点到站点通讯)和系统策略规则14(来自ISAServer的VPN站点到站点通讯)。
3.考察“GermanySite”属性。
a.在右窗格中,右键单击“GermanySite”,然后单击“属性”。
b.在“GermanySite”对话框中,选择“连接”选项卡。
※您可以指定多长时间以后自动断开不活动的VPN连接。
默认值为“从不”。
※远程网关IP地址为39.1.1.8。
c.选择“远程NLB”选项卡。
※在远程站点上启用NLB时,指定NLB虚拟IP地址作为远程网关IP地址。
最初的VPN连接将连接到此IP地址。
不过,将从远程站点上某个专用的IP地址建立VPN隧道。
您必须在此选项卡上指定这些专用的IP地址。
d.单击“取消”以关闭“GermanySite属性”对话框。
4.考察VPN访问网络。
a.在任务窗格的“任务”选项卡上,单击“选择访问网络”。
※注意:
即使新的“GermanySite”网络作为现有网络列出,也不要将网络启用为VPN访问网络。
VPN站点到站点连接将从“外部”网络建立。
b.单击“取消”以关闭“虚拟专用网络(VPN)属性”对话框。
5.创建新的网络规则
名称:
GermanySite访问
源网络:
GermanySite
目标网络:
内部
关系:
路由
(步骤3)
a.在左窗格中,选择“网络”。
b.在右窗格中,选择“网络规则”选项卡。
c.选择第一个网络规则以指定新的网络规则添加到列表中的
位置。
※注意:
本地主机访问网络规则始终位于最前面。
新的网络规则将位列其后。
d.在任务窗格的“任务”选项卡上,单击“创建网络规则”。
e.在“新建网络规则向导”对话框中的“网络规则名称”文本框中,键入“GermanySite访问”。
f.在“网络通讯源”页面上,单击“添加”。
g.在“添加网络实体”对话框中,
●依次单击“网络”、“GermanySite”和“添加”,
然后单击“关闭”以关闭“添加网络实体”对话框。
h.在“网络通讯源”页面上,单击“下一步”。
i.在“网络通讯目标”页面上,单击“添加”。
j.在“添加网络实体”对话框中,
●依次单击“网络”、“内部”和“添加”,
然后单击“关闭”以关闭“添加网络实体”对话框。
k.在“网络通讯目标”页面上,单击“下一步”。
l.在“网络关系”页面上,选择“路由”,然后单击“下一步”。
m.在“正在完成新建网络规则向导”页面上,单击“完成”。
※此时建立了名为“GermanySite访问”的网络规则。
远程站点网络与“内部”网络的关系为“路由”。
6.创建新的访问规则。
名称:
允许站点:
Germany至内部网络
应用于:
所有通讯
源网络:
GermanySite
目标网络:
内部
(步骤4)
a.在左窗格中,选择“防火墙策略(ITALY)”。
b.在右窗格中,选择第一个规则,以指示新规则将添加到规则列表中的位置。
c.在任务窗格的“任务”选项卡上,单击“创建阵列访问规则”。
d.在“新建访问规则向导”对话框中的“访问规则名称”文本框中,键入“允许站点:
Germany至内部网络”,然后单击“下一步”。
e.在“规则操作”页面上,单击“允许”,然后单击“下一步”。
f.在“协议”页面上的“此规则应用到”列表框中,选择“所有出
站通讯”,然后单击“下一步”。
g.在“访问规则源”页面上,单击“添加”。
h.在“添加网络实体”对话框中,
●依次单击“网络”、“GermanySite”和“添加”,
然后单击“关闭”以关闭“添加网络实体”对话框。
i.在“访问规则源”页面上,单击“下一步”。
j.在“访问规则目标”页面上,单击“添加”。
k.在“添加网络实体”对话框中,
●依次单击“网络”、“内部”和“添加”,
然后单击“关闭”以关闭“添加网络实体”对话框。
l.在“访问规则目标”页面上,单击“下一步”。
m.在“用户集”页面上,单击“下一步”。
n.在“正在完成新建访问规则向导”页面上,单击“完成”。
※此时建立了一个新的防火墙策略规则,该规则允许从“GermanySite”网络上的客户端到“内部”网络的所有网络通讯。
7.创建另一个访问规则(上一规则的反向)
名称:
允许站点:
内部网络至Germany
应用于:
所有通讯
源网络:
内部
目标网络:
GermanySite
a.在右窗格中,选择第一个规则,以指示新规则将添加到规则列表中的位置。
b.在任务窗格的“任务”选项卡上,单击“创建阵列访问规则”。
c.在“新建访问规则向导”对话框中的“访问规则名称”文本框中,键入“允许站点:
内部网络至Germany”,然后单击“下一步”。
d.在“规则操作”页面上,单击“允许”,然后单击“下一步”。
e.在“协议”页面上的“此规则应用到”列表框中,选择“所有出站通讯”,然后单击“下一步”。
f.在“访问规则源”页面上,单击“添加”。
g.在“添加网络实体”对话框中,
●依次单击“网络”、“内部”和“添加”,
然后单击“关闭”以关闭“添加网络实体”对话框。
h.在“访问规则源”页面上,单击“下一步”。
i.在“访问规则目标”页面上,单击“添加”。
j.在“添加网络实体”对话框中,
●依次单击“网络”、“GermanySite”和“添加”,
然后单击“关闭”以关闭“添加网络实体”对话框。
k.在“访问规则目标”页面上,单击“下一步”。
l.在“用户集”页面上,单击“下一步”。
m.在“正在完成新建访问规则向导”页面上,单击“完成”。
※此时建立了一个新的防火墙策略规则,该规则允许从“内部”网络上的客户端到“GermanySite”网络的所有网络通讯。
8.启用VPN客户端访问。
(步骤5)
a.在左窗格中,选择“虚拟专用网络(VPN)”。
b.在右窗格中,选择“VPN客户端”选项卡,然后在任务窗格的“任务”选项卡上,单击“启用VPN客户端”。
※ISAServer将远程站点网关视为通用的远程访问客户端。
c.单击“确定”以确认“路由和远程访问”服务已重新启动。
由于Firenze不可用,片刻之后将显示一条警告消息。
d.单击“确定”以关闭警告消息框。
9.应用VPN配置。
a.在ISAServer控制台中,单击“应用”以应用VPN配置,然后单击“确定”。
等待,直到CSS状态变为“已同步”。
※此步骤将在ISAServer上配置和启用VPN连接,并配置和启动ISAServer计算机上的“路由和远程访问”服务。
等待30秒,ISAServer将配置和启动“路由和远程访问”服务,然后执行下面的任务。
10.考察“路由和远程访问”控制台的配置。
a.在“开始”菜单上,单击“管理工具”,然后单击“路由和远程访问”。
b.展开“FLORENCE(本地)”,然后选择“网络接口”。
※此时ISAServer创建了一个名为“GermanySite”的新的请求拨号接口。
c.在右窗格中,右键单击“GermanySite”,然后单击“属性”。
※请求拨号接口的目标IP地址为39.1.1.8。
d.选择“选项”选项卡。
※VPN连接并不是持续型连接。
这表明,当“路由和远程访问”服务启动时,连接不会自动启动。
但是在使用请求拨号静态路由时,连接将启动。
e.单击“取消”以关闭“GermanySite属性”对话框。
f.在左窗格中,展开“IP路由”,然后选择“静态路由”。
※ISAServer为“GermanySite”网络上的所有IP地址(10.2.1.1-10.2.1.255)配置了请求拨号静态路由。
g.在右窗格中,右键单击任意请求拨号静态路由,然后单击“属性”。
※请注意,此路由中的任意目标地址均可发动与“GermanySite”网络的请求拨号连接。
h.单击“取消”以关闭“静态路由”对话框。
i.关闭“路由和远程访问”控制台。
11.创建新的用户帐户:
名称:
GermanySite
密码:
password5
拨入:
允许访问
(步骤6)
a.在“开始”菜单上,单击“管理工具”,然后单击“计算机管
理”。
b.在“计算机管理”控制台的左窗格中,展开“本地用户和组”,
然后选择“用户”。
c.右键单击“用户”,然后选择“新建用户”。
d.在“新建用户”对话框中,填写以下信息:
●用户名:
GermanySite
●密码:
password5
●确认密码:
password5
●用户下次登录时须更改密码:
禁用
●密码永不过期:
启用
然后单击“创建”。
※此时建立了名为“GermanySite”的新的用户帐户。
e.单击“关闭”以关闭“新建用户”对话框。
f.在右窗格中,右键单击“GermanySite”,然后单击“属性”。
g.在“GermanySite属性”对话框中的“拨入”选项卡上,选择“允许访问”,然后单击“确定”。
h.关闭“计算机管理”控制台。
※Berlin使用“GermanySite”用户帐户创建与Florence的VPN连接。
拨入凭据和请求拨号接口采用相同的名称可以确保“路由和远程访问”不会试图分别使用两个独立的VPN连接传入和传出网络通讯。
※注意:
如果必要,您还必须在Firenze上创建相同的用户帐户,以便Firenze也可以作为VPN连接所有者。