在 ISA Server 2004 中发布 VPN 服务器
设为首页
加入收藏
联系站长
今天是:
| 首页 | 资讯中心 | 下载中心 | 社区论坛 |
您现在的位置: IT专家实验室 >> 资讯中心 >> Microsoft >> Microsoft网络技术教程 >> ISA Server >> 正文
用户登录 新用户注册
[组图] 在 ISA Server 2004 中发布 VPN 服务器
在 ISA Server 2004 中发布 VPN 服务器
作者:rare 文章来源:http://www.microsoft.com 点击数:
更新时间:2005-5-8
在 ISA Server 2004 中发布 VPN 服务器
发布日期: 2005年03月07日
本页内容
简介
情境
解决方案
发布 VPN 服务器演练
简介
Microsoft Internet Security and Acceleration (ISA) Server 2004 使用服务器发布规则来提供访问内部网络资源的能力,而不会危及内部网络的安全。ISA Server 2004 服务器发布规则包括一个新功能,允许发布虚拟专用网络 (VPN) 服务器。在内部专用网络上的 VPN 服务器现在可以是入站 VPN 连接的终结点。使用网络地址转换 (NAT) 遍历 (NAT-T),VPN 连接可以基于点对点隧道协议 (PPTP)、第 2 层隧道协议 (L2TP) 或 Internet 协议安全 (IPSec) 上的 L2TP。
返回页首
情境
ISA Server 充当 VPN 服务器。然而,您可能遇到需要发布 VPN 服务器(在 ISA Server 计算机之后的网络中)的情境。例如,您可能拥有一台正在工作的 VPN 服务器(也许是 Microsoft 之外的其他公司提供的产品),并且希望安全地发布该服务器。或者,您可能希望将 ISA Server 计算机的资源用于除承载 VPN 之外的其他功能。
本文档为以下 VPN 服务器发布情境提供了解决方案:
•
使用 PPTP 发布点对点虚拟专用网络服务器。
•
使用 NAT-T 发布 IPSec 上的 L2TP 网络地址转换遍历服务器。这种情境需要运行 Microsoft Windows Server 2003 的 VPN 服务器。
•
在不使用 IPSec 的情况下发布只基于 L2TP 的 VPN 服务器。
返回页首
解决方案
以下章节中讨论的解决方案提供了发布大多数基于 Windows 的操作系统所支持的三种最常见 VPN 连接类型的详细信息,如这些情境中所述。
网络拓扑
要想发布 VPN 服务器,您至少需要:
•
作为 ISA Server 计算机的计算机。ISA Server 计算机必须有两个网络适配器。一个适配器将连接到外部网络(代表 Internet),一个适配器将连接到内部网络。
•
外部网络适配器必须拥有静态 IP 地址,拥有到 Internet 的持续连接。
•
作为 VPN 终点的计算机。该计算机必须拥有至少一个连接到内部网络的网络适配器。除了通过 ISA Server 计算机之外,该计算机应没有任何其他到 Internet 的路由。
•
对于 L2TP over IPSec VPN 连接,必须将数字证书安装在 VPN 服务器上。证书颁发机构 (CA) 必须被所有将使用 IPSec VPN 连接上的 L2TP 的客户端信任。有关数字证书的详细信息,请参阅“面向 ISA Server 2004 的数字证书”。
•
所有 L2TP over IPSec 客户端必须已经安装了 NAT-T 更新。有关 NAT-T 更新的详细信息,请参阅 Microsoft 知识库中的文章 818043“面向 Windows XP 和 Windows 2000 的 L2TP/IPSec NAT-T 更新”( http://go.microsoft.com/fwlink/?LinkId=28084 )。
返回页首
发布 VPN 服务器演练
本演练指导您完成使用 ISA Server 2004 发布 VPN 服务器的必要步骤。
发布 VPN 服务器演练过程 1:配置 VPN 服务器
在发布 VPN 服务器之前,必须配置 VPN 服务器。此过程在 VPN 服务器上进行。要想配置 VPN 服务器,请遵循这些步骤。
1.
安装和配置 VPN 服务器。有关如何安装和配置 VPN 服务器的详细信息,请参阅 Microsoft 知识库中的文章 323441“HOW TO:在 Windows Server 2003 中安装和配置虚拟专用网络服务器”( http://go.microsoft.com/fwlink/?LinkId=28085 )。
2.
在 VPN 服务器上,将默认网关设置为 ISA Server 计算机的内部接口。
当配置完 VPN 服务器之后,根据您将发布的 VPN 服务器,执行以下过程之一:
•
发布 VPN 服务器演练过程 2a:发布 PPTP 上的 VPN
•
发布 VPN 服务器演练过程 2b:使用 NAT-T 发布 L2TP/IPSec 上的 VPN
•
发布 VPN 服务器演练过程 2c:发布 L2TP 服务器
发布 VPN 服务器演练过程 2a:发布 PPTP 上的 VPN
要想发布 VPN 服务器,必须在 ISA Server 计算机上创建服务器发布规则。要想创建服务器发布规则,请遵循以下步骤。
1.
在 Microsoft ISA Server 管理控制台树中,选择“防火墙策略”。
2.
在任务窗格的“任务”选项卡上,选择“创建新的服务器发布规则”以启动“新建服务器发布规则向导”。
3.
在“欢迎”页面上,键入新服务器发布规则的名称。使用说明性的名称(如“使用 PPTP 在 Internet 网络中发布 VPN 服务器”),然后单击“下一步”。
4.
在“选择服务器”页面上,提供您要发布的服务器的 IP 地址,然后单击“下一步”。
5.
在“选择协议”页面上的“已选择协议”中,选择“PPTP 服务器”,然后单击“下一步”。
6.
在“IP 地址”页面上,选择将侦听针对已发布服务器的请求的网络 IP 地址。由于是将服务器发布到 Internet 上,请选择“外部”。单击“下一步”。
注意: 默认情况下,ISA Server 将侦听 VPN 连接的所有外部 IP 地址。如果 ISA Server 计算机的外部接口上有多个 IP 地址,而您希望控制为 VPN 访问所发布的 IP 地址,请单击“地址”按钮以打开“外部网络侦听器 IP 选择”对话框,您可以从中选择侦听特定的 IP 地址。
7.
查看向导摘要页面上的信息,然后单击“完成”。
8.
在“防火墙策略”详细信息窗格中,单击“应用”以应用新的服务器发布规则。
注意: 您可以通过双击“防火墙策略”详细信息窗格中的规则,打开规则属性对话框,在其中修改任何规则的属性。
发布 VPN 服务器演练过程 2b:使用 NAT-T 发布 L2TP/IPSec 上的 VPN
ISA Server 将在所有传入数据包上执行 NAT,所以当您使用 L2TP 时,必须同时使用 NAT 遍历 (NAT-T)。所有 IPSec 上的 L2TP 客户端必须安装了 NAT-T 更新。有关 NAT-T 更新的详细信息,请参阅 Microsoft 知识库中的文章 818043“面向 Windows XP 和 Windows 2000 的 L2TP/IPSec NAT-T 更新”( http://go.microsoft.com/fwlink/?LinkId=28084 )。此外,VPN 终结点服务器必须运行 Windows Server 2003。
L2TP 上的 IPSec 需要两个发布规则。一个规则将用于发布 Internet 密钥交换 (IKE) 协商,另一个规则将发布 NAT-T。
这个过程假定您已经完成了 VPN 配置。“发布 VPN 服务器演练过程 1:配置 VPN 服务器”中介绍了 VPN 配置。
创建发布 IKE 协商的规则
要想创建发布 IKE 协商的规则,请遵循这些步骤。
1.
在 Microsoft ISA Server 管理控制台树中,选择“防火墙策略”。
2.
在任务窗格中的“任务”选项卡上,选择“创建新的服务器发布规则”以启动“新建服务器发布规则向导”。
3.
在“欢迎”页面上,键入新服务器发布规则的名称。使用说明性的名称(如“发布面向 L2TP/IPSec 的 IKE”),然后单击“下一步”。
4.
在“选择服务器”页面上,提供您要发布的服务器的 IP 地址,然后单击“下一步”。
5.
在“选择协议”页面上的“已选择协议”中,选择“IKE 服务器”,然后单击“下一步”。
6.
在“IP 地址”页面上,选择将侦听针对已发布服务器的请求的网络 IP 地址。由于是将服务器发布到 Internet 上,请选择“外部”。单击“下一步”。
注意 :默认情况下,ISA Server 将侦听 VPN 连接的所有外部 IP 地址。如果 ISA Server 计算机的外部接口上有多个 IP 地址,而您希望控制为 VPN 访问所发布的 IP 地址,请单击“地址”按钮以打开“外部网络侦听器 IP 选择”对话框,您可以从中选择侦听特定的 IP 地址。
7.
查看向导摘要页面上的信息,然后单击“完成”。
8.
在“防火墙策略”详细信息窗格中,单击“应用”以应用新的服务器发布规则。
注意 :您可以通过双击“防火墙策略”详细信息窗格中的规则,打开规则属性对话框,在其中修改任何规则的属性。
创建发布 NAT-T 的规则
要想创建发布 NAT-T 的规则,请遵循这些步骤。
1.
在 Microsoft ISA Server 管理控制台树中,选择“防火墙策略”。
2.
在任务窗格中的“任务”选项卡上,选择“创建新的服务器发布规则”以启动“新建服务器发布规则向导”。
3.
在“欢迎”页面上,键入新服务器发布规则的名称。使用说明性的名称(如“面向 L2TP/IPSec 的 NAT-T VPN 发布”),然后单击“下一步”。
4.
在“选择服务器”页面上,提供您要发布的服务器的 IP 地址,然后单击“下一步”。
5.
在“选择协议”页面上的“已选择协议”中,选择“IPSec NAT-T 服务器”,然后单击“下一步”。
6.
在“IP 地址”页面上,选择将侦听针对所发布的服务器的请求的网络 IP 地址。由于是将服务器发布到 Internet 上,请选择“外部”。单击“下一步”。
注意 :默认情况下,ISA Server 将侦听 VPN 连接的所有外部 IP 地址。如果 ISA Server 计算机的外部接口上有多个 IP 地址,而您希望控制为 VPN 访问所发布的 IP 地址,请单击“地址”按钮以打开“外部网络侦听器 IP 选择”对话框,您可以从中选择侦听特定的 IP 地址。
7.
查看向导摘要页面上的信息,然后单击“完成”。
8.
在“防火墙策略”详细信息窗格中,单击“应用”以应用新的服务器发布规则。
注意 :您可以通过双击“防火墙策略”详细信息窗格中的规则,打开规则属性对话框,在其中修改任何规则的属性。
发布 VPN 服务器演练过程 2c:发布 L2TP 服务器
当使用不带 IPSec 的 L2TP 时,因为不使用 IPSec,所以无需 NAT 遍历。L2TP 不提供任何数据加密,从而数据将遍历未加密的 VPN。ISA Server 2004 还要求创建面向出站 L2TP 连接的访问策略规则。
除了如“发布 VPN 服务器演练过程 1:配置 VPN 服务器”中说明的那样配置 VPN 服务器配置之外,您必须如 Microsoft 知识库中的文章 310109“HOW TO:禁用自动 L2TP/IPSec 策略”( http://go.microsoft.com/fwlink/?LinkId=28086 ) 所述那样禁用自动 L2TP/IPSec 策略。禁用自动 IPSec 上的 L2TP 策略将需要您向 VPN 服务器和所有客户端添加注册表项。
创建服务器发布规则
要想创建服务器发布规则,请遵循这些步骤。
1.
在 Microsoft ISA Server 管理控制台树中,选择“防火墙策略”。
2.
在任务窗格中的“任务”选项卡上,选择“创建新的服务器发布规则”以启动“新建服务器发布规则向导”。
3.
在“欢迎”页面上,键入新服务器发布规则的名称。使用说明性的名称(如“没有 IPSec 的 L2TP VPN 发布”),然后单击“下一步”。
4.
在“选择服务器”页面上,提供您要发布的服务器的 IP 地址,然后单击“下一步”。
5.
在“选择协议”页面上的“已选择协议”中,选择“L2TP 服务器”,然后单击“下一步”。
6.
在“IP 地址”页面上,选择将侦听针对已发布服务器的请求的网络 IP 地址。 由于是将服务器发布到 Internet 上,请选择“外部”。单击“下一步”。
注意 :默认情况下,ISA Server 将侦听 VPN 连接的所有外部 IP 地址。如果 ISA Server 计算机的外部接口上有多个 IP 地址,而您希望控制为 VPN 访问所发布的 IP 地址,请单击“地址”按钮以打开“外部网络侦听器 IP 选择”对话框,您可以从中选择侦听特定的 IP 地址。
7.
查看向导摘要页面上的信息,然后单击“完成”。
注意 :您可以在“防火墙策略”详细信息窗格中双击规则,以打开规则属性对话框,从中修改任何规则的属性。
创建访问规则
要想创建访问规则,请遵循以下步骤。
1.
在 Microsoft ISA Server 管理控制台树中,选择“防火墙策略”。
2.
在任务窗格中的“任务”选项卡上,选择“创建新的访问规则”以启动“新建访问规则向导”。
3.
在向导的“欢迎”页面上,输入访问规则的名称。使用说明性的名称(如“允许来自 L2TP VPN 服务器的 L2TP”),然后单击“下一步”。
4.
在“规则操作”页面上,选择“允许”,然后单击“下一步”。
5.
在“协议”页面上的“本规则应用于”中,选择“选定的协议”,然后使用“添加”按钮以打开“添加协议”对话框。
6.
在“添加协议”对话框中,展开“所有协议”,选择“L2TP 客户端”。单击“添加”,然后单击“关闭”来关闭“添加协议”对话框。
7.
在“协议”页面上,单击“下一步”。
8.
在“访问规则来源”页面上,单击“添加”以打开“添加网络实体”对话框。
9.
在“添加网络实体”对话框中,单击“新建”,然后单击“计算机”。
10.
在“新建计算机规则元素”对话框中,提供新建计算机的名称“L2TP VPN 服务器”及其 IP 地址,然后单击“确定”。
11.
在“添加网络实体”对话框中,展开“计算机”,选择“L2TP VPN 服务器”,单击“添加”,然后单击“关闭”。在“访问规则来源”页面上,单击“下一步”。
12.
在“访问规则目标”页面上,单击“添加”以打开“添加网络实体”对话框,单击“网络”,选择“外部”,单击“添加”,然后单击“关闭”。在“访问规则目标”页面上,单击“下一步”。
13.
在“用户集”页面上,保留默认用户集“所有用户”,然后单击“下一步”。
14.
查看向导摘要页面上的信息,然后单击“完成”。
15.
在“防火墙策略”详细信息窗格中,单击“应用”以应用您前面创建的新访问规则和服务器发布规则。
资讯录入: rare 责任编辑:rare
上一篇资讯: 微软中国培训ISA Server 2000的讲义
下一篇资讯: 没有了
【字体: 小
大 】【 发表评论 】【 告诉好友 】【 打印此文 】【 关闭窗口 】
[组图]