用ISA2006搭建***服務器
***服務器在目前的網絡中應用得越來越廣泛,正在成爲企業網絡中不可或缺的角色。下面就利用ISA2006來搭建一個***服務器。
簡介說明:
***是虛擬專用網絡的縮寫,屬於遠程訪問技術,簡單地說就是利用公網鏈路架設私有網絡。例如公司員工出差到外地,他想訪問企業內網的服務器資源,這種訪問就屬於遠程訪問。怎麼才能讓外地員工訪問到內網資源呢?***的解決方法是在內網中架設一臺***服務器,***服務器有兩塊網卡,一塊連接內網,一塊連接公網。外地員工在當地連上互聯網後,通過互聯網找到***服務器,然後利用***服務器作爲跳板進入企業內網。爲了保證數據安全,***服務器和客戶機之間的通訊數據都進行了加密處理。有了數據加密,我們可以認爲數據是在一條專用的數據鏈路上進行安全傳輸,就好像我們專門架設了一個專用網絡一樣。但實際上***使用的是互聯網上的公用鏈路,因此只能稱爲虛擬專用網。這下您肯定明白了,***實質上就是利用加密技術在公網上封裝出一個數據通訊隧道。有了***技術,用戶無論是在外地出差還是在家中辦公,只要能上互聯網就能利用***非常方便地訪問內網資源,這就是爲什麼***在企業中應用得如此廣泛。下面介紹的***應用屬於***用戶的單點撥入。
實驗拓撲如下,qwhaaz是內網的域控制器,DNS服務器,isa2006test是ISA2006服務器,study2003模擬外網的客戶機。
ISA2006調用了Win2003中的路由和遠程訪問組件來實現***功能,但我們並不需要事先對ISA服務器上的路由和遠程訪問進行配置,ISA2006會自動實現對路由和遠程訪問的調用。我們先來看看ISA2006如果要實現***功能需要進行哪些設置?
一、域控制器中的操作:
在活動目錄中創建一個用戶(exchange)和創建一個組(***),將用戶(exchange)加入組(***)中。如何創建用戶和組我就不詳寫了。然後在exchange屬性中找到“撥入”對話框,把“允許訪問”勾上,如圖所示:
二、定義***地址池
配置***服務器的第一步就是爲***用戶分配一個地址範圍,這裏有個誤區,很多人認爲既然要讓***用戶能訪問內網資源,那就給***用戶直接分配一個內網地址就行了。例如本次實驗的內網地址範圍是192.168.3.1-192.168.3.254,那***用戶的地址池就放在192.168.3.1-192.168.3.254吧。如果你的***服務器是用Win2003的路由和遠程實現的,那這麼做是可以的,路由和遠程訪問本身就只提供了***的基本功能,對地址管理並不嚴格。但這麼做在ISA上是不可以的,因爲ISA是基於網絡進行管理的!內網是一個網絡,***用戶是另一個網絡,兩個網絡的地址範圍是不能重疊的!雖然我們使用DHCP技術可以使***用戶也獲得內網地址,但絕不推薦這麼做!因爲在後期的管理中我們會發現,把***用戶放到一個單獨的網絡中,對管理員實現精確控制是非常有利的,管理員可以單獨設定***用戶所在網絡與其他網絡的網絡關係,訪問策略,如果把***用戶和內網用戶混在一起,就享受不到這種管理的便利了。因此直接給***用戶分配內網地址並不可取,我們本次實驗中爲***用戶設置的地址池是192.168.100.1-192.168.100.200,雖然這個地址範圍和內網大不相同,但不用擔心,ISA會自動在兩個網絡之間進行路由。
如下圖所示,在ISA服務器中定位到虛擬專用網絡,點擊右側任務面板中的“定義地址分配”。
分配地址可以使用靜態地址,也可以使用DHCP,在此我們使用靜態地址池來爲***用戶分配地址,點擊添加按鈕,爲***用戶分配的地址範圍是192.168.100.1-192.168.100.200,如下圖所示。
三、配置***服務器
設置好了***地址池後,我們來配置***服務器的客戶端設置。如下圖所示,點擊虛擬專用網絡右側任務面板中的“配置***客戶端訪問”。在常規標籤中,我們勾選“啓用***客戶端訪問”,同時設置允許最大的***客戶端數量爲100.,注意***客戶端的最大數量不能超過地址池中的地址數。
切換到***客戶端屬性的“組”標籤,配置允許遠程訪問的域組,一般情況下,管理員會事先創建好一個允許遠程訪問的組,然後將***用戶加入這個組,本次實驗中直接允許Domain Users組和***組進行遠程訪問。
接下來選擇***使用的隧道協議,默認選擇是PPTP協議,我們把L2TP也選擇上。設置完***客戶端訪問後,我們應重啓ISA服務器,讓設置生效。
重啓ISA服務器之後,如下圖所示,我們發現ISA服務器的路由和遠程訪問已經自動啓動了。
四、 網絡規則
想讓***用戶訪問內網,一定要設置網絡規則和防火牆策略,ISA默認已經對網絡規則進行了定義,如下圖所示,從***客戶端到內網是路由關係,這意味着***客戶端和內網用戶互相訪問是有可能的。
五、防火牆策略
既然網絡規則已經爲***用戶訪問內網開了綠燈,那我們就可以在防火牆策略中創建一個訪問規則允許***用戶訪問內網了。當然,如果需要的話,也可以在訪問規則中允許內網訪問***用戶。如下圖所示,在防火牆策略中選擇新建“訪問規則”。
爲訪問規則取個名字。
當訪問請求匹配規則時允許操作。
此規則可以應用到所選協議。
規則的訪問源是***客戶端網絡。
訪問規則的目標是內網。
此規則適用於所有用戶。
完成嚮導,好了,現在ISA已經允許***用戶撥入了。
至此爲止,***服務器已經配置完畢了,接下來我們用客戶機來測試一下,看看能否通過***服務器撥入內網。ISA支持PPTP和L2TP兩種隧道協議,今天我們在客戶機上先對PPTP協議進行測試。
在study2003客戶機上打開網上鄰居的屬性,如下圖所示,點擊新建連接嚮導。
出現新建連接嚮導,點擊下一步。
網絡連接類型選擇“連接到我的工作場所的網絡”。
選擇創建“虛擬專用網絡連接”。
在***連接中輸入公司名稱。
輸入***服務器的域名或外網IP,此例中我們使用域名,注意此域名應該解析到ISA的外網IP:192.168.10.100。
選擇此連接“只是我使用”,點擊下一步後結束連接嚮導創建。
右擊isa屬性,把***網絡類型改爲PPTP ***類型,如圖所示:
雙擊執行剛創建出來的***連接,如下圖所示,輸入用戶名和密碼,點擊“連接”。
注意:此時還不能進行連接,由於DNS的解析問題,會造成無法找到目標地址,如圖所示:
故需要在study客戶端上修改hosts文件(路徑很清楚),如圖所示:
雙擊執行剛創建出來的***連接,如下圖所示,輸入用戶名和密碼,點擊“連接”。
輸入的用戶名和口令通過了身份驗證,***連接成功,查看***連接的屬性,如下圖所示,我們可以看到當前使用的隧道協議是PPTP,***客戶機分配到的IP地址是192.168.100.2,地址池中的第一個地址總是保留給***服務器,這個地址被成爲隧道終點,也是***用戶連接內網所使用的網關。
至此,實驗成功。