解决方案
使用ISA Server 2004,配置一个site-to-site的VPN连接需要以下四个步骤:
1、配置本地VPN服务器,在这里是ISA Server计算机。这儿包括选择VPN连接使用的协议。
2、配置ISA Server网络规则和访问策略。例如,对于L2TP over IPSec和PPTP,你必须根据连接是远程VPN站点发起的来配置VPN的属性,因为ISA Server把远程站点也视作VPN客户。
3、如果ISA Server计算机通过拨号网络连接到Internet,配置自动拨号。
4、配置远程VPN服务器。
你可以使用以下三种协议来建立VPN连接:
?IPSEC隧道模式;
?L2TP over IPSec模式;
?PPTP;
下表比较了这三种协议:
下面提供了对于每个协议的直通理解:
IPSec Tunnel Solution - 直通理解
当在你使用ISA Server 2004作为你的VPN服务器,而且想连接的站点使用第三方的VPN服务器或者ISA Server 2004,那么可以使用IPSec隧道解决方案。网络结构如下图所示。
IPSec Tunnel Solution 网络拓朴
下图展示了使用IPSec隧道解决方案时的网络拓朴结构:
IPSec Tunnel 直通过程一: 添加一个远程站点网络
当你在ISA Server配置一个site-to-site的VPN,你在建立一个新的网络:远程站点,它被ISA Server认为是一个远程VPN。下列步骤将建立那个网络:
1. 打开ISA管理控制台;
2.在控制台树目录中,选择 Virtual Private Networks (VPN);
3.在细节面板中,选择 Remote Sites标签;
4.在任务面板中,在Tasks标签下,点击 Add Remote Site Network开始新网络向导;
5.输入新建网络的名字,此例中,我们命名为 Washington Sales Office IPSec Tunnel,然后点击 Next,这个网络名字限制在200字以内。
6.在VPN协议页,选择 IP Security protocol (IPSec) tunnel mode,然后点击 Next。
7.在连接设置页,你必须输入远程和本地VPN服务器的IP,在 Remote VPN gateway IP address中输入远程VPN服务器的IP地址。
8.点击 Networks打开 Allowed Networks对话框,选择属于ISA Server计算机的VPN网关的网络。典型的,默认是外部网络,因为VPN通过Internet进行连接。在Allowed Networks上点击OK。
9.在Local VPN gateway IP address,选择ISA Server连接到刚才你选择网络的网络接口的IP地址(注:即为ISA Server的外部接口)
10.在IPSec Authentication 页,选择Use pre-shared key for authentication,这是IPSec隧道方案默认的IPSec认证方式,输入一个预定义的共享密钥,然后点击 Next。
11.在网络地址页,点击 Add并且加入远程网络的地址范围,你可以从远程网络的管理员获得此一信息。
12.在总结页,回顾设置,然后点击 Finish。
13.最后在ISA控制台,点击 Apply 保存修改和更新防火墙策略。
IPSec Tunnel 直通过程二:建立网络规则和防火墙策略
在你建立远程VPN网络之后,ISA Server就像其他连接到它的网络一样来对待VPN网络,所以你需要建立:
1、VPN网络使用NAT还是路由方式来和其他网络进行连接;
2、控制远程网络访问的访问策略。你建立了访问策略后,你可以选择是否写入ISA Server的日志。
关于网络规则和访问策略的更多信息,请参阅本站中的其他文章。
IPSec Tunnel 直通过程三:配置自动拨号
如果你ISA Server计算机通过拨号网络来连接到Internet,你需要设置ISA Server在客户访问远程网络时使用自动拨号。这个过程位于本文档的附录 A : Configuring Automatic Dialing。
IPSec Tunnel 直通过程四:配置远程VPN服务器
你必须设置远程VPN服务器通过IPSec隧道模式连接到ISA Server计算机,ISA Server提供了需要配置远程服务器的一些信息,你可以通过以下步骤获取:
1.打开ISA管理控制台;
2.在控制树,选择 Virtual Private Networks (VPN);
3. 在细节面板,选择 Remote Sites标签;
4.选择你在过程一中建立的网络;
5.在任务面板的 Tasks标签,点击 View Remote Site IPSec Policy,这个对话框中显示了远程VPN服务器管理员需要的信息,他可以按照这个进行配置。
IPSec Tunnel 直通过程五:测试和监视连接
测试和监视连接在本文档的 附录 B: 测试和监视VPN连接。
IPSec Tunnel 直通过程六:配置高级IPSec设置
你可以配置高级的IPSec设置,如IKE(Phase I and Phase II Internet Key Exchange)协议设置,执行以下步骤来建立:
1.打开ISA 管理控制台;
2.在控制树,选择 Virtual Private Networks (VPN);
3.在细节面板,选择 Remote Sites标签,双击你想配置IKE设置的远程站点,打开它的属性;
4.在Connection标签,点击 IPSec settings打开 IPSec Configuration对话框。在这个对话框,你可以选择 Phase I和 Phase II标签并且修改它们的设置。
5.在 IPSec Configuration上点击 OK,然后点击 OK关闭网络属性对话框。
L2TP over IPSec Solution - 直通理解
在你使用ISA Server 2004作为你的VPN服务器,而且你连接到使用Windows2000 Server、 Windows Server2003、 ISA Server2000或者ISA Server2004的时候,你可以使用 L2TP over IPSec 解决方案。ISA Server 2004使用Windows的路由和远程服务来建立 L2TP over IPSec VPN连接。
L2TP over IPSec Solution 网络拓朴
下图展示了L2TP over IPSec 解决方案的网络拓朴结构:
注意:此时位于Main Office的ISA Server 2004是位于一台Windows 2000或者Windows 2003 Server上。
L2TP over IPSec 直通过程一:添加一个远程站点网络
主要过程和“IPSec Tunnel 直通过程一: 添加一个远程站点网络”一样,不同的地方:
网络命名为 Washington Sales Office L2TP over IPSec,VPN协议选择为 Layer Two Tunneling Protocol (L2TP) over IPSec。
在远程站点网关页,输入远程VPN服务器的IP地址;在远程认证页,你可以选择允许本地连接到远程站点的出站连接,如果你这样选择,你必须提供连接使用的用户名和域名。如果你不提供,你将不能向远程的VPN站点建立出站的连接,不过你可以接受进入的连接。
本地认证页提醒你必须在本地网络中为远程网络配置一个具有拨入权限的用户来为从它连接到本地网络进行初始化,这个用户账户必须和远程网络中的一样。
在L2TP/IPSec认证页,你也可以选择预定义的密钥作为备份认证方式。主要的认证方式是数字证书,这要求本地和远程VPN服务器都安装了同一个证书权威授权的数字证书。
L2TP over IPSec 直通过程二:设置通用VPN属性
ISA Server认为VPN连接是由远程站点进行初始化的,因为它是由远程VPN客户进行连接的。为了保证可以建立安全的连接,你必须配置通用VPN属性。当你在Virtual Private Networks properties对话框中设置了通用VPN属性后,这个设置将应用到由远程客户发起的所有VPN连接,不管这个VPN客户是漫游客户还是远程站点。
1.在任务面板的 Tasks标签,在 General VPN Configuration下选择 VPN Access Points,打开了 Virtual Private Networks properties对话框,点击Allowed Networks标签。选择你建立的远程站点,这样远程网络可以初始化到到本地VPN服务器的连接。
2.选择 Address Assignment标签,我们推荐你选择 Dynamic Host Configuration Protocol来使用DHCP服务器来为VPN客户分配IP地址。在Use the following network to obtain DHCP, DNS and WINS的下拉菜单,选择连接到内部网络的 Internal,然后点击 OK,再次点击 OK。
3.选择 Authentication标签,然后选择进入连接所使用的认证方式,如果是使用预定义的共享密钥,那么同样的也要选择 Allow custom IPSec policy for L2TP connection并且输入密钥。
4.如果你使用RADIUS来认证远程VPN连接所使用的用户,选择 RADIUS标签,并且配置RADIUS。
5.在Virtual Private Networks properties对话框上点击 OK 。
6.点击 Apply 保存修改和更新防火墙策略。
L2TP over IPSec 直通过程三:建立网络规则和访问策略
和IPSec Tunnel 直通过程二一样。
L2TP over IPSec 直通过程四:配置自动拨号
和IPSec Tunnel 直通过程三:配置自动拨号一样。
L2TP over IPSec 直通过程五:配置远程VPN服务器
配置远程VPN服务器使用L2TP over IPSec方式连接到ISA Server计算机。
L2TP over IPSec 直通过程六:测试和监视VPN连接
测试和监视连接
