答案:使用ISA Server的VPN向导可以极大地简化公司VPN(虚拟专用网)网络的连接配置操作,并且有效地提高了网络的安全性。预备知识
要使用好ISA Server的VPN功能,我们必须先对VPN有一个基本的了解。VPN的作用就是把分布不同地点的局域网通过Internet连接“虚拟”成一个大的“局域网”,在不同的局域网间实现文件、打印共享等服务。
VPN的实现原理是通过使用加密的IP隧道,实现私有IP包和其他网络协议(IPX,NetBEUI等)数据包在Internet上的传输,从而实现位于不同局域网的各种协议虚拟连接。
下面我们就来看看在Windows 2000 Server下如何配置实现VPN连接,注意首先保证该服务器上要有两个连接,一个是连接Internet的(采用Modem、ISDN、ADSL等都可以),另一个就是连接内部网的网卡。
打开“网络和拨号连接”窗口,单击“新建连接”图标,打开“网络连接向导”,单击“下一步”按钮,将弹出如图1所示的“网络连接类型”对话框。
图1
在图1中单击选中“通过Internet连接到专用网络”单选按钮,单击“下一步”按钮,即可进入“目标地址”对话框,在这个对话框中可以填入计算机的主机名或者是IP地址(见图2)。注意这里填的应该是目标网络的主机DNS名或其公用IP地址。
图2
随后,完成设置连接的用户、是否启用Internet连接共享等操作,完成VPN连接的创建。而在对方服务器上的设置,则需要在图1中选中“接受传入的连接”单选按钮,从而完成整个VPN的建立。ISA Server下建立VPN
和VPN一起使用的时候,ISA Server安装模式必须为Intergrated模式。通过ISA Server创建VPN连接,能够很轻松地建立起各种情况下的VPN连接。当本地计算机要和远程计算机通过ISA Server计算机进行通信时,数据封装好后,将通过VPN信道进行收发。
帮助实现VPN的协议有三种,它们是L2TP(第二层隧道协议)、PPTP(点对点隧道协议)和IPSec(IP安全协议),L2TP和PPTP最常用,而IPSec仅支持IP,它的智能包认证技术能保护隧道免受许多电子欺骗的攻击。
在ISA Server中设置VPN的地方在“Network Configration”节点中。单击打开该节点,在右侧窗格将显示如图3所示内容,其中的“Configure a Local Virtual Private Network(VPN)”、“Configure a Remote Virtual Private Network(VPN)”、“Configure a Client Virtual Private Network(VPN)”这三个按钮就是专门配置不同条件下的VPN连接。
图3
ISA Server中的这三种条件是针对于不同的VPN环境,如连接到本地网络的移动用户;与其他分支机构连接的分支机构等情况。三个向导使用情况如下所述:
1.“Configure a Local Virtual Private Network(VPN)”可以建立接收VPN连接的本地ISA Server计算机,也可以配置本地的ISA VPN服务器来启动对外部VPN服务器的连接。
2.“Configure a Remote Virtual Private Network(VPN)”向导可以建立启动和接收连接的远程ISA Server VPN计算机。
3.“Configure a Client Virtual Private Network(VPN)”向导允许漫游用户连接到该VPN服务器。
要设置起一个有效的VPN连接,必须按照先配置“Local”本地的服务器,然后再配置“Remote”远程服务器,也就是说,一个VPN连接涉及的是两个服务器之间的问题,必须要在两个服务器上做同样的配置,然后它们才能连接成功。如果要接收通过Internet上客户机的连接的话,那就必须通过配置“Client”客户机来实现了。
下面我们开始配置VPN。单击其中的“Configure a Local Virtual Private Network(VPN)”按钮,即启动VPN的配置程序,打开“Local ISA VPN”向导,单击“下一步”按钮,将弹出图4所示的信息框。
图4
它的意思是说“在开始配置VPN前,必须先启动路由和远程访问服务,如果要继续的话,必须单击‘是’按钮”,由于Windows 2000自带的路由和远程访问服务是配置VPN的必要服务,所以这里点击“是”。
随后,系统将弹出该VPN连接的标识,以区别于其他VPN连接。单击“下一步”将进入VPN协议的选择对话框,(见图5)。这里我们可以选择是使用PPTP还是L2TP协议。
图5
接着我们就是选择VPN连接的方式,是二者相互间都能启动和接收连接呢?还是只有一方能接收另一方的连接。再就是选择本地能够访问VPN服务器的计算机了,随后按照屏幕上的指示完成整个配置。
在上述“Local ISA Server VPN”向导中建立了一个接收远程连接的本地ISA VPN服务器,创建了接收连接的按需拨号接口,选择了特定的连接协议,还配置了IP数据包筛选器,这样实现了保护连接的安全,并把通信从本地网络转发到远程主机上的目的。
注意在本过程中创建的VPN配置设置(.vpc)文件,是在远程ISA Server上使用“Configure a Remote Virtual Private Network(VPN)”建立远程ISA VPN服务器时,需要用到的文件。所以要将其加上密码,并且发送给远程ISA服务器。
在动手配置“Local ISA VPN”之前,应该清楚以下两点:
1. 在输入VPN连接的远程服务器域名或计算机名时,注意如果该计算机是一个域控制器,那么要输入它的域名,否则可以输入计算机的NetBIOS名称。
2. 如果ISA Server是以Cache模式安装的,将发生不能建立VPN的情况。
本地的VPN服务器配置好了,就要配置与之对应的远程VPN服务器了。Remote ISA VPN向导就是在远程服务器上建立一个与本地VPN连接的工具。在使用该向导前,必须拿到与之相对的“Local”服务器上用“Local ISA Server VPN”连接向导创建的.vpc文件,以发起对本地服务器的连接。具体创建ISA Server VPN的步骤如下:
1.在ISA Management控制台树上,右击Network Configuration节点。
2.右击Set up Remote ISA VPN Server菜单选项。出现Remote ISA Server VPN Configuration向导,单击“下一步”,将弹出如图6所示窗口。
图6
3.在图6中,指定.vpc文件的位置,并填入保存时设置的密码,然后按照屏幕上的指示进行操作,即可完成设置操作。
在实际的环境中,除了有要配置网对网ISA服务器之间VPN连接的情况外,还有很多时候在外移动用户有通过VPN连接公司的需要。“Configure a Client Virtual Private Network(VPN)”向导就是配置远程客户与ISA Server计算机建立VPN连接的工具。
ISA VPN服务器支持PPTP和IP安全/第二层隧道协议(IPSec/L2TP),在ISA Server计算机上开放相应的端口就能允许远程客户端连接到VPN服务。按如下步骤建立ISA Server接收远程客户的VPN请求:
1.在ISA Management控制台树上,右击Network Configuration节点。
2.单击“Allow VPN Client Connections”菜单选项,将弹出“ISA Client Virtual Private Network Configuration向导。
3.按照屏幕上的指示重新启动路由和远程访问服务,然后按照要求完成操作。
按照如上的设置操作,我们就可以在公司网络中建立起ISA VPN了。在建立了ISA VPN服务器之后,我们可能还需要添加其他协议的支持。可以按如下步骤修改ISA Server使用的协议。
打开Windows 2000中的“路由和远程访问”控制台,确定VPN连接使用的相应网络接口。然后打开ISA Management中的“Networking属性”对话框,在其中选择相关的协议。
如果要增加PPTP支持,可以使用ISA Management创建一个IP数据包筛选器,允许PPTP协议。该IP数据包筛选器应按如下参数进行配置:
使用两个预定义的筛选器,PPTP Call和PPTP Receive。
◆ Local Computer设置配置为本地ISA VPN服务器的外部IP地址。
◆ Remote Computer设置配置为远程ISA VPN服务器的IP地址。
如果要增加L2TP支持,也必须创建两个IP数据包筛选器,并将其中一个IP数据包筛选器按如下参数配置:
◆筛选器只应用于本地服务器,模式是Allow,类型为Custom,在端口500上使用UDP。
◆Local Computer设置配置为本地ISA VPN服务器的外部IP地址。
◆Remote Computer设置配置为远程ISA VPN服务器的IP地址。
将另一个IP数据数据包筛选器按如下参数配置:
筛选器只应用于本地服务器,模式是Allow,类型是Custom,在端口1701上使用UDP。
◆Local Computer设置配置为本地ISA VPN服务器的外部IP地址。
◆Remote Computer设置配置为远程ISA VPN服务器的IP地址。
这样就可以完成对所用协议的修改和配置,随后我们还可以对ISA Server和IPSec的关系做一个详细的了解。当我们将ISA Server配置为IPSec/L2TP VPN服务器时,ISA Server计算机上的IPSec驱动就会自动被启用。
在启用IPSec以后,验证报头(AH)和封装安全有效荷载(ESP)由IPSec驱动程序控制,而不是ISA Server的数据包筛选器驱动程序。在这种情况下,IPSec驱动程序将控制通过隧道的通信,保证了只有有效的AH和ESP保护的通信才容许进入网络,这样就能够防止很多电子欺骗。
注意当IPSec没有启用时,是由ISA Server策略来控制哪些数据包容许通过,而哪些数据包应该被阻止。它会对所有经过ISA Server的通信进行记录,包括IPSec AH和ESP协议,而且如果ISA Server策略被配置成阻止IP片段,那么所有的IP片段都会被阻止,包括AH和ESP片段,即使启用IPSec了也是这样。ISA VPN网络设置实战
为了让大家更好地了解用ISA Server配置地理上分散的网络如何组建VPN。下面我们实际进入一个场景,某公司在北京有一个总部,有两个分支机构,一个在上海,一个在广州。必须保证公司有安全的Internet访问。
由北京的总部决定的Internet访问策略,应该在整个公司中一致采用。所有的员工允许访问所有的站点,使用常用的Web协议:HTTP、HTTPS以及FTP;广州分公司应该有附加的防火墙安全保障、要能够缓存来自Web服务器的内容;上海也必须有缓存服务器,方便地访问内容,减少Internet通信量。规划
为了满足该公司的上述要求,我们首先在所有的分公司中安装ISA Server计算机时,应该把它们作为阵列成员进行安装。ISA Server阵列服务器必须配置两个网络适配器:一个适配器连接到内部网上;另一个连接到Internet上。
上海分公司的ISA Server计算机应缓存Web内容以减少Web通信量,从而减少总部的ISA Server的部分工作。这样,上海分部的ISA Server计算机需要用Cache模式进行安装,并与北京总部ISA Server相连。
广州的ISA Server阵列安装为Ingegrated模式,作为广州分部的防火墙和缓存服务器,ISA Server计算机通过VPN连接到总部的阵列。安装和配置
,
在北京总公司安装了ISA Server之后,我们可以用ISA Management在总部完成企业策略配置,并应用到企业中的所有阵列中—上海分公司、广州分公司和北京总部。
要配置网络并应用企业策略,企业管理员必须在总部完成如下工作:
1.按照如下规则创建一个名为Corporate Policy的企业策略:
◆允许每个人访问所有站点的站点和内容规则。
◆允许每个人使用如下协议的协议规则:FTP、HTTP和HTTPS。
2.将Corporate Policy 设定为将由所有分公司继承的默认企业策略。
3.将广州分公司配置为通过VPN连接到总部的ISA Server阵列。在北京的ISA Server计算机中至少有一台必须配置为VPN服务器。
4.在北京的ISA Server上配置LAT, 添加广州的网络IP地址范围。
5.使用Local ISA Server VPN Configuration向导为VPN连接安装ISA Server VPN。并根据所选择的协议(L2TP或着是PPTP),创建IP数据包筛选器。再把静态路由设置为通过隧道把通信从本地网络转发到远程网络的主机。最后,保存创建的.vpc文件,在配置其他ISA Server时,远程VPN服务器会使用该文件。
上海分公司的ISA Server计算机要在总部的网络上,就必须要一个外部网络适配器连接到总部的ISA Server计算机上。
因为名为Corporate Policy的企业策略已经被设为默认值,它会自动应用到上海的ISA Server计算机上,所以不需要为上海分公司配置特别的策略规则。
设置缓存的定时内容下载项,从而预缓存指定内容,进一步提高网络性能。上海分公司的网络管理员可以按如下步骤配置本地ISA Server计算机:
1.配置路由策略,将来自Web Proxy服务器的请求重定向到总部的上游ISA Server计算机。
2.创建定时内容下载作业,把经常访问的对象下载到本地缓存中。如果该对象已经在总部的缓存中,就从那里下载。否则,总部的ISA Server计算机会将请求转发到Internet。
广州的分公司通过Internet,以VPN的方式连接到北京的总部。广州分公司的网络管理员应执行如下步骤来将ISA Server计算机配置为VPN服务器:
1.在本地网络上安装一个DNS服务器,帮助解析经常被访问的公司网络域名。DNS服务器应该用一个Internet上的DNS服务器作为转发器,帮助解析所有其他的名称请求。
2.在本地ISA Server上配置LAT,增加公司网络的地址范围(在北京)。任何外部(Internet)IP地址必须排除在外。
3.使用由企业管理员在总部创建的.vpc文件,用Remote ISA Server VPN Configuration向导为VPN连接建立网络的ISA Server。Remote ISA Server VPN Configuration向导可以建立了一ISA VPN服务器,启动到远程ISA VPN服务器的连接。
4.创建一个路由规则,将在广州的所有对Internet对象的请求直接发送到Internet。然后创建一个路由规则将所有其他请求发送到总部的上游ISA Server阵列。