ISA 2000實戰入門之VPN的建立

預備知識

要使用好ISA Server的VPN功能，我們必須先對VPN有一個基本的了解。VPN的作用就是把分布不同地點的局域網通過Inte.net連接“虛擬”成一個大的“局域網”,在不同的局域網間實現文件、打印共享等服務。
VPN的實現原理是通過使用加密的IP隧道,實現私有IP包和其他網絡協議（IPX,NetBEUI等）數據包在Internet上的傳輸,從而實現位于不同局域網的各種協議虛擬連接。
下面我們就來看看在Windows 2000 Server下如何配置實現VPN連接，注意首先保證該服務器上要有兩個連接，一個是連接Internet的（采用Modem、ISDN、ADSL等都可以），另一個就是連接內部網的網卡。
打開“網絡和撥號連接”窗口，單擊“新建連接”圖標，打開“網絡連接向導”，單擊“下一步”按鈕，將彈出如圖1所示的“網絡連接類型”對話框。

圖1
在圖1中單擊選中“通過Internet連接到專用網絡”單選按鈕，單擊“下一步”按鈕，即可進入“目標地址”對話框，在這個對話框中可以填入計算機的主機名或者是IP地址（見圖2）。注意這里填的應該是目標網絡的主機DNS名或其公用IP地址。

圖2
隨后，完成設置連接的用戶、是否啟用Internet連接共享等操作，完成VPN連接的創建。而在對方服務器上的設置，則需要在圖1中選中“接受傳入的連接”單選按鈕，從而完成整個VPN的建立。

ISA Server下建立VPN

和VPN一起使用的時候，ISA Server安裝模式必須為Intergrated模式。通過ISA Server創建VPN連接，能夠很輕松地建立起各種情況下的VPN連接。當本地計算機要和遠程計算機通過ISA Server計算機進行通信時，數據封裝好后，將通過VPN信道進行收發。
幫助實現VPN的協議有三種，它們是L2TP(第二層隧道協議)、PPTP(點對點隧道協議)和IPSec(IP安全協議)，L2TP和PPTP最常用，而IPSec僅支持IP，它的智能包認證技術能保護隧道免受許多電子欺騙的攻擊。
在ISA Server中設置VPN的地方在“Network Configration”節點中。單擊打開該節點，在右側窗格將顯示如圖3所示內容，其中的“Configure a Local Virtual Private Network（VPN）”、“Configure a Remote Virtual Private Network（VPN）”、“Configure a Client Virtual Private Network（VPN）”這三個按鈕就是專門配置不同條件下的VPN連接。

圖3

ISA Server中的這三種條件是針對于不同的VPN環境，如連接到本地網絡的移動用戶；與其他分支機構連接的分支機構等情況。三個向導使用情況如下所述：
1.“Configure a Local Virtual Private Network（VPN）”可以建立接收VPN連接的本地ISA Server計算機，也可以配置本地的ISA VPN服務器來啟動對外部VPN服務器的連接。
2.“Configure a Remote Virtual Private Network（VPN）”向導可以建立啟動和接收連接的遠程ISA Server VPN計算機。
3.“Configure a Client Virtual Private Network（VPN）”向導允許漫游用戶連接到該VPN服務器。
要設置起一個有效的VPN連接，必須按照先配置“Local”本地的服務器，然后再配置“Remote”遠程服務器，也就是說，一個VPN連接涉及的是兩個服務器之間的問題，必須要在兩個服務器上做同樣的配置，然后它們才能連接成功。如果要接收通過Internet上客戶機的連接的話，那就必須通過配置“Client”客戶機來實現了。
下面我們開始配置VPN。單擊其中的“Configure a Local Virtual Private Network（VPN）”按鈕，即啟動VPN的配置程序，打開“Local ISA VPN”向導，單擊“下一步”按鈕，將彈出圖4所示的信息框。

圖4
它的意思是說“在開始配置VPN前，必須先啟動路由和遠程訪問服務，如果要繼續的話，必須單擊‘是’按鈕”，由于Windows 2000自帶的路由和遠程訪問服務是配置VPN的必要服務，所以這里點擊“是”。
隨后，系統將彈出該VPN連接的標識，以區別于其他VPN連接。單擊“下一步”將進入VPN協議的選擇對話框，（見圖5）。這里我們可以選擇是使用PPTP還是L2TP協議。

圖5
接著我們就是選擇VPN連接的方式，是二者相互間都能啟動和接收連接呢？還是只有一方能接收另一方的連接。再就是選擇本地能夠訪問VPN服務器的計算機了，隨后按照屏幕上的指示完成整個配置。
在上述“Local ISA Server VPN”向導中建立了一個接收遠程連接的本地ISA VPN服務器，創建了接收連接的按需撥號接口，選擇了特定的連接協議，還配置了IP數據包篩選器，這樣實現了保護連接的安全，并把通信從本地網絡轉發到遠程主機上的目的。
注意在本過程中創建的VPN配置設置(.vpc)文件，是在遠程ISA Server上使用“Configure a Remote Virtual Private Network（VPN）”建立遠程ISA VPN服務器時，需要用到的文件。所以要將其加上密碼，并且發送給遠程ISA服務器。
在動手配置“Local ISA VPN”之前，應該清楚以下兩點：
1. 在輸入VPN連接的遠程服務器域名或計算機名時，注意如果該計算機是一個域控制器，那么要輸入它的域名，否則可以輸入計算機的NetBIOS名稱。
2. 如果ISA Server是以Cache模式安裝的，將發生不能建立VPN的情況。
本地的VPN服務器配置好了，就要配置與之對應的遠程VPN服務器了。Remote ISA VPN向導就是在遠程服務器上建立一個與本地VPN連接的工具。在使用該向導前，必須拿到與之相對的“Local”服務器上用“Local ISA Server VPN”連接向導創建的.vpc文件，以發起對本地服務器的連接。具體創建ISA Server VPN的步驟如下：
1.在ISA Management控制臺樹上，右擊Network Configuration節點。
2.右擊Set up Remote ISA VPN Server菜單選項。出現Remote ISA Server VPN Configuration向導，單擊“下一步”，將彈出如圖6所示窗口。

圖6
3.在圖6中，指定.vpc文件的位置，并填入保存時設置的密碼，然后按照屏幕上的指示進行操作，即可完成設置操作。
在實際的環境中，除了有要配置網對網ISA服務器之間VPN連接的情況外，還有很多時候在外移動用戶有通過VPN連接公司的需要?！癈onfigure a Client Virtual Private Network（VPN）”向導就是配置遠程客戶與ISA Server計算機建立VPN連接的工具。
ISA VPN服務器支持PPTP和IP安全/第二層隧道協議(IPSec/L2TP)，在ISA Server計算機上開放相應的端口就能允許遠程客戶端連接到VPN服務。按如下步驟建立ISA Server接收遠程客戶的VPN請求：
1.在ISA Management控制臺樹上，右擊Network Configuration節點。
2.單擊“Allow VPN Client Connections”菜單選項，將彈出“ISA Client Virtual Private Network Configuration向導。
3.按照屏幕上的指示重新啟動路由和遠程訪問服務，然后按照要求完成操作。
按照如上的設置操作，我們就可以在公司網絡中建立起ISA VPN了。在建立了ISA VPN服務器之后，我們可能還需要添加其他協議的支持?？梢园慈缦虏襟E修改ISA Server使用的協議。
打開Windows 2000中的“路由和遠程訪問”控制臺，確定VPN連接使用的相應網絡接口。然后打開ISA Management中的“Networking屬性”對話框，在其中選擇相關的協議。
如果要增加PPTP支持，可以使用ISA Management創建一個IP數據包篩選器，允許PPTP協議。該IP數據包篩選器應按如下參數進行配置：
 使用兩個預定義的篩選器，PPTP Call和PPTP Receive。
◆ Local Computer設置配置為本地ISA VPN服務器的外部IP地址。
◆ Remote Computer設置配置為遠程ISA VPN服務器的IP地址。
如果要增加L2TP支持，也必須創建兩個IP數據包篩選器，并將其中一個IP數據包篩選器按如下參數配置：
◆篩選器只應用于本地服務器，模式是Allow，類型為Custom，在端口500上使用UDP。
◆Local Computer設置配置為本地ISA VPN服務器的外部IP地址。
◆Remote Computer設置配置為遠程ISA VPN服務器的IP地址。
將另一個IP數據數據包篩選器按如下參數配置：
 篩選器只應用于本地服務器，模式是Allow，類型是Custom，在端口1701上使用UDP。
◆Local Computer設置配置為本地ISA VPN服務器的外部IP地址。
◆Remote Computer設置配置為遠程ISA VPN服務器的IP地址。
這樣就可以完成對所用協議的修改和配置，隨后我們還可以對ISA Server和IPSec的關系做一個詳細的了解。當我們將ISA Server配置為IPSec/L2TP VPN服務器時，ISA Server計算機上的IPSec驅動就會自動被啟用。
在啟用IPSec以后，驗證報頭(AH)和封裝安全有效荷載(ESP)由IPSec驅動程序控制，而不是ISA Server的數據包篩選器驅動程序。在這種情況下，IPSec驅動程序將控制通過隧道的通信，保證了只有有效的AH和ESP保護的通信才容許進入網絡，這樣就能夠防止很多電子欺騙。
注意當IPSec沒有啟用時，是由ISA Server策略來控制哪些數據包容許通過，而哪些數據包應該被阻止。它會對所有經過ISA Server的通信進行記錄，包括IPSec AH和ESP協議，而且如果ISA Server策略被配置成阻止IP片段，那么所有的IP片段都會被阻止，包括AH和ESP片段，即使啟用IPSec了也是這樣。

ISA VPN網絡設置實戰

為了讓大家更好地了解用ISA Server配置地理上分散的網絡如何組建VPN。下面我們實際進入一個場景，某公司在北京有一個總部，有兩個分支機構，一個在上海，一個在廣州。必須保證公司有安全的Internet訪問。
由北京的總部決定的Internet訪問策略，應該在整個公司中一致采用。所有的員工允許訪問所有的站點，使用常用的Web協議：HTTP、HTTPS以及FTP；廣州分公司應該有附加的防火墻安全保障、要能夠緩存來自Web服務器的內容；上海也必須有緩存服務器，方便地訪問內容，減少Internet通信量。

規劃
為了滿足該公司的上述要求，我們首先在所有的分公司中安裝ISA Server計算機時，應該把它們作為陣列成員進行安裝。ISA Server陣列服務器必須配置兩個網絡適配器：一個適配器連接到內部網上；另一個連接到Internet上。
上海分公司的ISA Server計算機應緩存Web內容以減少Web通信量，從而減少總部的ISA Server的部分工作。這樣，上海分部的ISA Server計算機需要用Cache模式進行安裝，并與北京總部ISA Server相連。
廣州的ISA Server陣列安裝為Ingegrated模式，作為廣州分部的防火墻和緩存服務器，ISA Server計算機通過VPN連接到總部的陣列。

安裝和配置
在北京總公司安裝了ISA Server之后，我們可以用ISA Management在總部完成企業策略配置，并應用到企業中的所有陣列中—上海分公司、廣州分公司和北京總部。
要配置網絡并應用企業策略，企業管理員必須在總部完成如下工作：
1.按照如下規則創建一個名為Corporate Policy的企業策略：
◆允許每個人訪問所有站點的站點和內容規則。
◆允許每個人使用如下協議的協議規則：FTP、HTTP和HTTPS。
2.將Corporate Policy 設定為將由所有分公司繼承的默認企業策略。
3.將廣州分公司配置為通過VPN連接到總部的ISA Server陣列。在北京的ISA Server計算機中至少有一臺必須配置為VPN服務器。
4.在北京的ISA Server上配置LAT， 添加廣州的網絡IP地址范圍。
5.使用Local ISA Server VPN Configuration向導為VPN連接安裝ISA Server VPN。并根據所選擇的協議（L2TP或著是PPTP），創建IP數據包篩選器。再把靜態路由設置為通過隧道把通信從本地網絡轉發到遠程網絡的主機。最后，保存創建的.vpc文件，在配置其他ISA Server時，遠程VPN服務器會使用該文件。
上海分公司的ISA Server計算機要在總部的網絡上，就必須要一個外部網絡適配器連接到總部的ISA Server計算機上。
因為名為Corporate Policy的企業策略已經被設為默認值，它會自動應用到上海的ISA Server計算機上，所以不需要為上海分公司配置特別的策略規則。
設置緩存的定時內容下載項，從而預緩存指定內容，進一步提高網絡性能。上海分公司的網絡管理員可以按如下步驟配置本地ISA Server計算機：
1.配置路由策略，將來自Web Proxy服務器的請求重定向到總部的上游ISA Server計算機。
2.創建定時內容下載作業，把經常訪問的對象下載到本地緩存中。如果該對象已經在總部的緩存中，就從那里下載。否則，總部的ISA Server計算機會將請求轉發到Internet。
廣州的分公司通過Internet，以VPN的方式連接到北京的總部。廣州分公司的網絡管理員應執行如下步驟來將ISA Server計算機配置為VPN服務器：
1.在本地網絡上安裝一個DNS服務器，幫助解析經常被訪問的公司網絡域名。DNS服務器應該用一個Internet上的DNS服務器作為轉發器，幫助解析所有其他的名稱請求。
2.在本地ISA Server上配置LAT，增加公司網絡的地址范圍(在北京)。任何外部(Internet)IP地址必須排除在外。
3.使用由企業管理員在總部創建的.vpc文件，用Remote ISA Server VPN Configuration向導為VPN連接建立網絡的ISA Server。Remote ISA Server VPN Configuration向導可以建立了一ISA VPN服務器，啟動到遠程ISA VPN服務器的連接。
4.創建一個路由規則，將在廣州的所有對Internet對象的請求直接發送到Internet。然后創建一個路由規則將所有其他請求發送到總部的上游ISA Server陣列。

原文轉自：http://www.kjueaiud.com