使用ISA Server 2006構建站點到站點的***連接

虛擬專用網絡概述

模擬點對點鏈接(封裝)

模擬專用鏈接(加密)

點對點隧道協議(PPTP)

基於Internet協議安全性(IPSec)的第2層隧道協議(L2TP)

Internet協議安全性(IPSec)隧道模式

見下圖:

如何構建基於PPTP的站點到站點***連接呢?

在前面的博文中，我們已經介紹瞭如何用ISA2006創建***服務器，以及遠程用戶如何利用***服務器撥入內網。如果是個別用戶在家辦公或出差在外，用前文提到的***解決方案是可以圓滿解決的。但如果是一羣用戶有互相訪問的需求，例如某公司總部和分公司需要互相訪問，那用***遠程撥入的方式就顯得效率不高了。試想一下，公司總部500人，分公司300人，如果要互相訪問，800人都要撥叫對方的***服務器，這顯然不是一個好的解決方案。

今天我們提供一種站點到站點的***解決方案，可以很好地解決這個問題。我們引入下面的拓撲圖來說明這個方案的構思，某公司Florence總部的內網IP範圍是10.1.1.0，Berlin分公司的內網IP範圍是10.2.1.0。北京分公司使用一臺ISA服務器連接到互聯網，天津分公司也使用一臺ISA2006連到公網。站點到站點的***指的是在兩個公司的ISA服務器上配置好***的撥入撥出參數，確保兩個ISA服務器既可以撥叫對方的***服務器，也可以接受對方***服務器的撥叫。這樣一來用戶只要把默認網關指向自己的ISA服務器，就可以不用撥叫對方公司的***服務器了，全部由ISA代勞了。例如Florence公司的Denver要訪問Berlin公司的Istanbul，Denver只要把訪問Istanbul的請求提交給自己的默認網關－Florence，剩下的事就不用管了，Florence會自動撥叫Berlin公司的ISA服務器Berlin，然後在兩個ISA服務器之間創建完成***隧道，接下來Denver的訪問請求就被Florence通過***隧道路由到Berlin公司的Istanbul上了。你看，這樣一來兩個公司員工互訪時就很方便了，只要把網關指向自己的ISA服務器，然後就可以透明地訪問對方公司的內網，效率是不是有很大的提高呢？

創建站點間的***需要在兩個***服務器上都進行設置，兩個ISA服務器上的操作具有對稱性，我們先以Florence上的操作爲例進行詳細講解，目前Florence已做了下列準備：

1、防火牆策略中允許內網和本地主機任意訪問。

2、啓用了***，允許使用PPTP和L2TP。

3、 ***地址池的範圍是192.168.100.1－192.168.100.200。

一創建遠程站點

創建遠程站點是部署站點間***最重要的一步，遠程站點其實是一個自定義的遠程網絡，具體到Florence，其實就是要把Berlin分公司的內網10.2.1.0定義爲一個遠程網絡。爲什麼需要把對方公司的內網定義成一個新的網絡呢？因爲我們知道網絡是ISA進行訪問控制的基本管理單元，ISA考察一個訪問請求時首先要考慮源網絡和目標網絡的網絡規則。如果不定義遠程網絡，Berlin分公司對Florence來說屬於外網範疇，而內網到外網的網絡規則是NAT，因此Florence不會允許從Berlin的Istanbul訪問Florence的Denver。這就是我們爲什麼要把Berlin公司的內網定義爲一個新的網絡，只有這樣我們纔可以重新定義Florence內網和Berlin內網的網絡規則，進而制定出符合要求的防火牆策略。

創建遠程站點還涉及到創建***隧道的參數設定，例如Florence把Berlin分公司的內網定義爲遠程網絡，那Florence上就必須定義好連接這個遠程網絡要通過哪個***服務器，兩個***服務器使用哪種協議，如何進行身份驗證等，下面我們就來具體看看如何在Florence上創建遠程站點。

在Florence上打開ISA管理器，切換到虛擬專用網絡，如下圖所示，在“遠程站點”標籤下選擇“創建***點對點連接”。

出現創建***點對點連接嚮導，其實就是遠程站點的創建嚮導，首先我們要爲遠程站點起個名字，如下圖所示，我們爲遠程站點命名爲Berlin。這個遠程站點的名字可不是隨便取的，後面我們會知道ISA服務器上必須創建一個和遠程站點同名的用戶。

接下來要選擇***站點間連接要使用的協議，如果兩個***服務器都是ISA，那可以選擇PPTP或L2TP，如果是ISA和硬件***組成站點間連接，那應該選擇IPSEC。在這個實驗中我們選擇使用PPTP作爲站點間***使用的隧道協議。見下圖:

如下圖所示，系統會彈出一個對話框提示你在ISA服務器上必須有一個和遠程站點同名的用戶，而且用戶必須有撥入權限。也就是說Florence創建了一個遠程站點Berlin後，Florence服務器上必須有一個名爲Berlin的具有遠程撥入權限的用戶。如果Florence隸屬於域，那麼Berlin這個用戶也可以在域控制器上創建。創建出的這個用戶是爲Berlin公司的***服務器撥叫Florence公司的***服務器準備的，Berlin公司的用戶通過他們的***服務器撥叫Florence的***服務器時，如果Berlin用戶源於Berlin這個遠程網絡，那Berlin的***服務器必須使用Berlin作爲用戶名進行身份驗證。由於微軟這麼一個奇怪的規定，我們必須在Florence的ISA服務器上準備好Berlin這個用戶。

接下來要填寫遠程站點的***服務器的IP地址或域名，Berlin的***服務器IP是192.168.1.8。見下圖:

下面設定的是Florence撥叫Berlin的***服務器時進行身份驗證的憑據，顯然，Berlin上也要有個名爲Florence的用戶，在後續的操作中我們會在Berlin上創建這個用戶。見下圖:

接下來我們要定義遠程站點的IP地址範圍，如下圖所示，遠程站點的地址範圍是10.2.1.0－10.2.1.255。

接下來***創建嚮導建議創建一個網絡規則，從遠程站點到內網，網絡規則是路由關係。這個提示很人性化，是ISA2006比ISA2004改進的地方。見下圖:

創建完網絡規則後，嚮導又很貼心地建議我們創建一條訪問規則，允許內網和遠程站點互相訪問。見下圖:

點擊完成結束***創建嚮導。見下圖:

嚮導結束後再次提示我們要創建一個名爲Berlin的用戶，而且要允許遠程訪問。見下圖:

遠程站點創建完畢後，如下圖所示，我們發現在嚮導的指引下，遠程站點到內網的網絡規則已經被創建了，而且網絡關係是路由。

如下圖所示，嚮導還幫助我們創建了訪問規則，允許遠程站點和內網互相訪問。

如下圖所示，嚮導還在路由和遠程訪問中創建了請求式撥號，當Florence公司要訪問Berlin公司時，Florence會自動撥叫Berlin的***服務器，創建出***隧道，供用戶訪問使用。

二創建與遠程站點同名的用戶

最後不要忘記創建與遠程站點同名的用戶，如果Florence加入域，那麼既可以在Florence服務器上創建這個用戶，也可以在域控制器上創建這個用戶。由於本例中Florence和Berlin兩個ISA服務器都在工作組中，因此我們只能在ISA服務器上創建這個遠程訪問用戶了。如下圖所示，在Florence的計算機管理工具中選擇新建一個名爲Berlin的用戶。

用戶創建完畢後不要忘記用戶的遠程訪問權限，如下圖所示，在用戶屬性的撥入標籤中將用戶的遠程訪問權限設爲允許訪問。

OK，至此我們完成了在Florence上的設置，總結如下：

1、將Berlin分公司的內網定義成遠程站點

2、創建遠程站點和內網的網絡規則

3、創建遠程站點和內網的訪問規則

4、創建與遠程站點同名的用戶

接下來輪到Berlin服務器了，Berlin上同樣已進行了如下準備：

1、允許內網和本地主機任意訪問

2、啓用***，允許使用PPTP和L2TP。

3、 ***地址池的範圍是192.168.200.1－192.168.200.200

一創建遠程站點

Berlin服務器上的設置基本和Florence完全對稱，首先仍然是需要創建遠程站點。如下圖所示，在Berlin的ISA管理器中選擇“創建***點對點連接”。

爲遠程站點命名爲Florence。見下圖:

站點間***連接使用的協議是PPTP，Berlin選擇的***協議要和Florence完全一致。見下圖:

連接到遠程站點，需要經過192.168.1.254－Florence公司的***服務器。見下圖:

Berlin撥叫Florence的***服務器時，進行身份驗證時所輸入的用戶名和密碼要匹配Florence服務器上剛創建的用戶賬號。見下圖:

定義遠程站點的地址範圍，輸入Florence公司的內網範圍10.1.1.0－10.1.1.255。見下圖:

接下來要創建遠程站點和內網的網絡規則，仍然是路由關係。見下圖:

然後創建訪問規則允許內網和遠程站點互相訪問。見下圖:

點擊完成結束遠程站點創建。見下圖:

二創建與遠程站點同名的用戶

創建完遠程站點後，接下來就該創建與遠程站點同名的用戶了，如下圖所示，我們在Berlin服務器上創建了用戶Florence。注意，在本次實驗中爲簡單起見，Florence和Berlin兩個ISA服務器都沒有加入域，因此用戶在ISA本機創建。如在生產環境中ISA已經加入了域，一般會在域控制器上創建這個用戶。

最後別忘了設定用戶的遠程訪問權限，相信在Florence上做完一遍之後，大家在Berlin上進行操作時已經是輕車熟路了。見下圖:

兩端的***服務器配置完畢後，我們接下來要在內網的客戶機上進行測試了，如下圖所示，我們在Florence的Denver上pingBerlin公司的Istanbul

Denver訪問Berlin內網的Istanbul不需要自己進行***遠程撥號，只要把訪問請求提交給Florence就可以了。這時打開Florence的路由和遠程訪問，如下圖所示，我們發現Berlin這個請求式撥號的狀態已經從斷開變成了已連接。

此時你打開Berlin的路由和遠程訪問，如下圖所示，我們發現Florence這個請求式撥號的狀態也從斷開變成已連接了。

如下圖所示，我們發現Denver已經可以ping到Istanbul了，實驗成功。有一點要注意，有時請求式撥號連接的時間會稍長一些，可能前面的一些ping包會顯示Time out，這是正常現象，稍等片刻即可正常。

最後試試在Istanbul上訪問Denver，如下圖所示，訪問成功，至此，實驗順利完成。

創建站點間的***不是難度很大的技術問題，如果兩端的***服務器中有硬件***，那就應該使用IPSEC。如果兩端的***都是微軟的ISA或路由與遠程訪問，那就推薦使用PPTP或L2TP。ISA間並非不能使用IPSEC，只是使用經驗告訴我這種拓撲並不穩定，當然，ISA2006的SP1可能會解決這個問題，大家有興趣可以測試一下。

如何創建基於L2TP的站點到站點的***連接呢?

L2TP和PPTP相比，增加了對計算機的身份驗證，從理論上分析應該比PPTP更安全一些。L2TP驗證計算機身份可以使用預共享密鑰，也可以使用證書，我們把兩種方式都嘗試一下。

一使用預共享密鑰

使用預共享密鑰實現L2TP的過程是是比較簡單的，我們在***站點兩端的***服務器上配置一個相同的預共享密鑰，就可以用於L2TP協議中驗證計算機身份。如下圖所示，我們在Florence上定位到“虛擬專用網絡”，右鍵點擊遠程站點Berlin，選擇“屬性”。

我們在遠程站點Berlin的屬性中切換到“協議”標籤，勾選使用“L2TP/IPSEC”，同時勾選使用預共享密鑰，並設置預共享密鑰爲yejunsheng。這裏的設置會導致Florence撥叫Berlin時，使用預共享密鑰yejunsheng來證明自己的身份。見下圖:

在“常規***配置”中點擊“選擇身份驗證方法”，如下圖所示，勾選“允許L2TP連接自定義IPSEC策略”，並設置預共享密鑰爲yejunsheng。這個設置則是告訴Florence，接受***客戶端使用預共享密鑰驗證計算機身份。這樣我們分別設置了Florence作爲***服務器和***客戶端都使用預共享密鑰驗證計算機身份，至此，Florence服務器設置完畢。

接下來我們在Berlin服務器上如法炮製，如下圖所示，選擇遠程站點Florence的屬性。

在遠程站點的屬性中切換到“協議”標籤，如下圖所示，選擇使用L2TP作爲***協議，並配置預共享密鑰爲yejunsheng。

然後在“常規***配置”中點擊“選擇身份驗證方法”，如下圖所示，勾選“允許L2TP連接自定義IPSEC策略”，並設置預共享密鑰爲yejunsheng。至此，Berlin服務器也設置完畢。

這時我們來看看站點間***配置的成果，如下圖所示，在Florence內網的Denver上ping Berlin內網的Istanbul。第一個包沒有ping通，這是因爲兩個ISA服務器正在創建***隧道，接下來的包都可以順利往返，這證明我們的配置起作用了。

二使用證書驗證

使用證書驗證比預共享密鑰驗證更加安全，只是實現起來要麻煩一些，我們需要有CA的配合。在我們的實驗環境中，Denver是一個被所有的實驗計算機都信任的CA，Denver的CA類型是獨立根。有了CA之後，***服務器需要向CA申請證書以證明自己的身份，由於站點間***中每個***服務器既是服務器又充當客戶機角色，因此每個***服務器都需要申請兩個證書，一個是服務器證書，一個是客戶機證書。

1、在Florence上進行配置

首先我們要先爲Florence申請兩個證書，一個是服務器證書，一個是客戶機證書。如下圖所示，在Florence上我們在IE中輸入[url]http://10.1.1.5/certsrv[/url]，在CA主頁中選擇“申請一個證書”。