使用ISA Server 2006構建站點到站點的×××鏈接

虛擬專用網絡概述

模擬點對點連接(封裝)

模擬專用連接(加密)

點對點隧道協議(PPTP)

基於Internet協議安全性(IPSec)的第2層隧道協議(L2TP)

Internet協議安全性(IPSec)隧道模式 

見下圖:

如何構建基於PPTP的站點到站點×××鏈接呢?

在前面的博文中，咱們已經介紹瞭如何用ISA2006建立×××服務器，以及遠程用戶如何利用×××服務器撥入內網。若是是個別用戶在家辦公或出差在外，用前文提到的×××解決方案是能夠圓滿解決的。但若是是一羣用戶有互相訪問的需求，例如某公司總部和分公司須要互相訪問，那用×××遠程撥入的方式就顯得效率不高了。試想一下，公司總部500人，分公司300人，若是要互相訪問，800人都要撥叫對方的×××服務器，這顯然不是一個好的解決方案。

今天咱們提供一種站點到站點的×××解決方案，能夠很好地解決這個問題。咱們引入下面的拓撲圖來講明這個方案的構思，某公司Florence總部的內網IP範圍是10.1.1.0，Berlin分公司的內網IP範圍是10.2.1.0。北京分公司使用一臺ISA服務器鏈接到互聯網，天津分公司也使用一臺ISA2006連到公網。站點到站點的×××指的是在兩個公司的ISA服務器上配置好×××的撥入撥出參數，確保兩個ISA服務器既能夠撥叫對方的×××服務器，也能夠接受對方×××服務器的撥叫。這樣一來用戶只要把默認網關指向本身的ISA服務器，就能夠不用撥叫對方公司的×××服務器了，所有由ISA代勞了。例如Florence公司的Denver要訪問Berlin公司的Istanbul，Denver只要把訪問Istanbul的請求提交給本身的默認網關－Florence，剩下的事就不用管了，Florence會自動撥叫Berlin公司的ISA服務器Berlin，而後在兩個ISA服務器之間建立完成×××隧道，接下來Denver的訪問請求就被Florence經過×××隧道路由到Berlin公司的Istanbul上了。你看，這樣一來兩個公司員工互訪時就很方便了，只要把網關指向本身的ISA服務器，而後就能夠透明地訪問對方公司的內網，效率是否是有很大的提升呢？

建立站點間的×××須要在兩個×××服務器上都進行設置，兩個ISA服務器上的操做具備對稱性，咱們先以Florence上的操做爲例進行詳細講解，目前Florence已作了下列準備：

一、 防火牆策略中容許內網和本地主機任意訪問。

二、 啓用了×××，容許使用PPTP和L2TP。

三、 ×××地址池的範圍是192.168.100.1－192.168.100.200。

一 建立遠程站點

建立遠程站點是部署站點間×××最重要的一步，遠程站點實際上是一個自定義的遠程網絡，具體到Florence，其實就是要把Berlin分公司的內網10.2.1.0定義爲一個遠程網絡。爲何須要把對方公司的內網定義成一個新的網絡呢？由於咱們知道網絡是ISA進行訪問控制的基本管理單元，ISA考察一個訪問請求時首先要考慮源網絡和目標網絡的網絡規則。若是不定義遠程網絡，Berlin分公司對Florence來講屬於外網範疇，而內網到外網的網絡規則是NAT，所以Florence不會容許從Berlin的Istanbul訪問Florence的Denver。這就是咱們爲何要把Berlin公司的內網定義爲一個新的網絡，只有這樣咱們才能夠從新定義Florence內網和Berlin內網的網絡規則，進而制定出符合要求的防火牆策略。

建立遠程站點還涉及到建立×××隧道的參數設定，例如Florence把Berlin分公司的內網定義爲遠程網絡，那Florence上就必須定義好鏈接這個遠程網絡要經過哪一個×××服務器，兩個×××服務器使用哪一種協議，如何進行身份驗證等，下面咱們就來具體看看如何在Florence上建立遠程站點。

在Florence上打開ISA管理器，切換到虛擬專用網絡，以下圖所示，在「遠程站點」標籤下選擇「建立×××點對點鏈接」。

出現建立×××點對點鏈接嚮導，其實就是遠程站點的建立嚮導，首先咱們要爲遠程站點起個名字，以下圖所示，咱們爲遠程站點命名爲Berlin。這個遠程站點的名字可不是隨便取的，後面咱們會知道ISA服務器上必須建立一個和遠程站點同名的用戶。

接下來要選擇×××站點間鏈接要使用的協議，若是兩個×××服務器都是ISA，那能夠選擇PPTP或L2TP，若是是ISA和硬件×××組成站點間鏈接，那應該選擇IPSEC。在這個實驗中咱們選擇使用PPTP做爲站點間×××使用的隧道協議。見下圖:

以下圖所示，系統會彈出一個對話框提示你在ISA服務器上必須有一個和遠程站點同名的用戶，並且用戶必須有撥入權限。也就是說Florence建立了一個遠程站點Berlin後，Florence服務器上必須有一個名爲Berlin的具備遠程撥入權限的用戶。若是Florence隸屬於域，那麼Berlin這個用戶也能夠在域控制器上建立。建立出的這個用戶是爲Berlin公司的×××服務器撥叫Florence公司的×××服務器準備的，Berlin公司的用戶經過他們的×××服務器撥叫Florence的×××服務器時，若是Berlin用戶源於Berlin這個遠程網絡，那Berlin的×××服務器必須使用Berlin做爲用戶名進行身份驗證。因爲微軟這麼一個奇怪的規定，咱們必須在Florence的ISA服務器上準備好Berlin這個用戶。

接下來要填寫遠程站點的×××服務器的IP地址或域名，Berlin的×××服務器IP是192.168.1.8。見下圖:

下面設定的是Florence撥叫Berlin的×××服務器時進行身份驗證的憑據，顯然，Berlin上也要有個名爲Florence的用戶，在後續的操做中咱們會在Berlin上建立這個用戶。見下圖:

接下來咱們要定義遠程站點的IP地址範圍，以下圖所示，遠程站點的地址範圍是10.2.1.0－10.2.1.255。

接下來×××建立嚮導建議建立一個網絡規則，從遠程站點到內網，網絡規則是路由關係。這個提示很人性化，是ISA2006比ISA2004改進的地方。見下圖:

建立完網絡規則後，嚮導又很貼心地建議咱們建立一條訪問規則，容許內網和遠程站點互相訪問。見下圖:

點擊完成結束×××建立嚮導。見下圖:

嚮導結束後再次提示咱們要建立一個名爲Berlin的用戶，並且要容許遠程訪問。見下圖:

遠程站點建立完畢後，以下圖所示，咱們發如今嚮導的指引下，遠程站點到內網的網絡規則已經被建立了，並且網絡關係是路由。

以下圖所示，嚮導還幫助咱們建立了訪問規則，容許遠程站點和內網互相訪問。

以下圖所示，嚮導還在路由和遠程訪問中建立了請求式撥號，當Florence公司要訪問Berlin公司時，Florence會自動撥叫Berlin的×××服務器，建立出×××隧道，供用戶訪問使用。

二 建立與遠程站點同名的用戶

最後不要忘記建立與遠程站點同名的用戶，若是Florence加入域，那麼既能夠在Florence服務器上建立這個用戶，也能夠在域控制器上建立這個用戶。因爲本例中Florence和Berlin兩個ISA服務器都在工做組中，所以咱們只能在ISA服務器上建立這個遠程訪問用戶了。以下圖所示，在Florence的計算機管理工具中選擇新建一個名爲Berlin的用戶。

用戶建立完畢後不要忘記用戶的遠程訪問權限，以下圖所示，在用戶屬性的撥入標籤中將用戶的遠程訪問權限設爲容許訪問。

OK，至此咱們完成了在Florence上的設置，總結以下：

一、 將Berlin分公司的內網定義成遠程站點

二、 建立遠程站點和內網的網絡規則

三、 建立遠程站點和內網的訪問規則

四、 建立與遠程站點同名的用戶

接下來輪到Berlin服務器了，Berlin上一樣已進行了以下準備：

一、 容許內網和本地主機任意訪問

二、 啓用×××，容許使用PPTP和L2TP。

三、 ×××地址池的範圍是192.168.200.1－192.168.200.200

一 建立遠程站點

Berlin服務器上的設置基本和Florence徹底對稱，首先仍然是須要建立遠程站點。以下圖所示，在Berlin的ISA管理器中選擇「建立×××點對點鏈接」。

爲遠程站點命名爲Florence。見下圖:

站點間×××鏈接使用的協議是PPTP，Berlin選擇的×××協議要和Florence徹底一致。見下圖:

鏈接到遠程站點，須要通過192.168.1.254－Florence公司的×××服務器。見下圖:

Berlin撥叫Florence的×××服務器時，進行身份驗證時所輸入的用戶名和密碼要匹配Florence服務器上剛建立的用戶帳號。見下圖:

定義遠程站點的地址範圍，輸入Florence公司的內網範圍10.1.1.0－10.1.1.255。見下圖:

接下來要建立遠程站點和內網的網絡規則，仍然是路由關係。見下圖:

而後建立訪問規則容許內網和遠程站點互相訪問。見下圖:

點擊完成結束遠程站點建立。見下圖:

二 建立與遠程站點同名的用戶

建立完遠程站點後，接下來就該建立與遠程站點同名的用戶了，以下圖所示，咱們在Berlin服務器上建立了用戶Florence。注意，在本次實驗中爲簡單起見，Florence和Berlin兩個ISA服務器都沒有加入域，所以用戶在ISA本機建立。如在生產環境中ISA已經加入了域，通常會在域控制器上建立這個用戶。

最後別忘了設定用戶的遠程訪問權限，相信在Florence上作完一遍以後，你們在Berlin上進行操做時已是輕車熟路了。見下圖:

兩端的×××服務器配置完畢後，咱們接下來要在內網的客戶機上進行測試了，以下圖所示，咱們在Florence的Denver上pingBerlin公司的Istanbul

Denver訪問Berlin內網的Istanbul不須要本身進行×××遠程撥號，只要把訪問請求提交給Florence就能夠了。這時打開Florence的路由和遠程訪問，以下圖所示，咱們發現Berlin這個請求式撥號的狀態已經從斷開變成了已鏈接。

此時你打開Berlin的路由和遠程訪問，以下圖所示，咱們發現Florence這個請求式撥號的狀態也從斷開變成已鏈接了。

以下圖所示，咱們發現Denver已經能夠ping到Istanbul了，實驗成功。有一點要注意，有時請求式撥號鏈接的時間會稍長一些，可能前面的一些ping包會顯示Time out，這是正常現象，稍等片刻便可正常。

最後試試在Istanbul上訪問Denver，以下圖所示，訪問成功，至此，實驗順利完成。

建立站點間的×××不是難度很大的技術問題，若是兩端的×××服務器中有硬件×××，那就應該使用IPSEC。若是兩端的×××都是微軟的ISA或路由與遠程訪問，那就推薦使用PPTP或L2TP。ISA間並不是不能使用IPSEC，只是使用經驗告訴我這種拓撲並不穩定，固然，ISA2006的SP1可能會解決這個問題，你們有興趣能夠測試一下。

如何建立基於L2TP的站點到站點的×××鏈接呢?

L2TP和PPTP相比，增長了對計算機的身份驗證，從理論上分析應該比PPTP更安全一些。L2TP驗證計算機身份可使用預共享密鑰，也可使用證書，咱們把兩種方式都嘗試一下。

一 使用預共享密鑰

使用預共享密鑰實現L2TP的過程是是比較簡單的，咱們在×××站點兩端的×××服務器上配置一個相同的預共享密鑰，就能夠用於L2TP協議中驗證計算機身份。以下圖所示，咱們在Florence上定位到「虛擬專用網絡」，右鍵點擊遠程站點Berlin，選擇「屬性」。

咱們在遠程站點Berlin的屬性中切換到「協議」標籤，勾選使用「L2TP/IPSEC」，同時勾選使用預共享密鑰，並設置預共享密鑰爲yejunsheng。這裏的設置會致使Florence撥叫Berlin時，使用預共享密鑰yejunsheng來證實本身的身份。見下圖:

在「常規×××配置」中點擊「選擇身份驗證方法」，以下圖所示，勾選「容許L2TP鏈接自定義IPSEC策略」，並設置預共享密鑰爲yejunsheng。這個設置則是告訴Florence，接受×××客戶端使用預共享密鑰驗證計算機身份。這樣咱們分別設置了Florence做爲×××服務器和×××客戶端都使用預共享密鑰驗證計算機身份，至此，Florence服務器設置完畢。

接下來咱們在Berlin服務器上如法炮製，以下圖所示，選擇遠程站點Florence的屬性。

在遠程站點的屬性中切換到「協議」標籤，以下圖所示，選擇使用L2TP做爲×××協議，並配置預共享密鑰爲yejunsheng。

而後在「常規×××配置」中點擊「選擇身份驗證方法」，以下圖所示，勾選「容許L2TP鏈接自定義IPSEC策略」，並設置預共享密鑰爲yejunsheng。至此，Berlin服務器也設置完畢。

這時咱們來看看站點間×××配置的成果，以下圖所示，在Florence內網的Denver上ping Berlin內網的Istanbul。第一個包沒有ping通，這是由於兩個ISA服務器正在建立×××隧道，接下來的包均可以順利往返，這證實咱們的配置起做用了。

二 使用證書驗證

使用證書驗證比預共享密鑰驗證更加安全，只是實現起來要麻煩一些，咱們須要有CA的配合。在咱們的實驗環境中，Denver是一個被全部的實驗計算機都信任的CA，Denver的CA類型是獨立根。有了CA以後，×××服務器須要向CA申請證書以證實本身的身份，因爲站點間×××中每一個×××服務器既是服務器又充當客戶機角色，所以每一個×××服務器都須要申請兩個證書，一個是服務器證書，一個是客戶機證書。

一、 在Florence上進行配置

首先咱們要先爲Florence申請兩個證書，一個是服務器證書，一個是客戶機證書。以下圖所示，在Florence上咱們在IE中輸入[url]http://10.1.1.5/certsrv[/url]，在CA主頁中選擇「申請一個證書」。

選擇「提交一個高級證書申請」。見下圖:

選擇「建立並向此CA提交一個申請」。見下圖:

以下圖所示，咱們在證書申請的表單中選擇申請一個客戶機證書，而且把證書存儲在計算機存儲中。

提交證書申請後，以下圖所示，咱們發現Florence申請的證書已經被CA發放了，點擊安裝此證書便可完成任務。

接下來如法炮製爲Florence申請服務器證書，以下圖所示，此次爲Florence申請的是服務器證書，仍然存儲在本地計算機存儲中，接下來的證書發放以及安裝就再也不贅述。

以下圖所示，咱們能夠看到Florence的計算機存儲中已經有了剛申請的兩個證書，

接下來在遠程站點屬性中取消使用預共享密鑰驗證身份。見下圖:

而後在×××常規配置的選擇身份驗證方法中一樣取消使用預共享密鑰驗證身份，至此，咱們在Florence上配置完畢。見下圖:

二、 在Berlin上進行配置

在Berlin上進行配置基本和Florence是同樣的，首先也是先從Denver申請證書，以下圖所示，Berlin先申請的是一個客戶機證書。

申請完客戶機證書後，以下圖所示，Berlin又申請了一個服務器證書。

接下來就是在遠程站點中取消使用預共享密鑰。見下圖:

最後在×××常規配置的身份驗證方法中取消使用預共享密鑰。見下圖:

OK，兩個×××服務器都進行了對稱配置，這下他們在進行身份驗證時只能使用證書了。用客戶機測試一下效果吧，以下圖所示，在Berlin的Istanbul上ping Florence的Denver，結果仍是使人滿意的，咱們用證書實現L2TP的身份驗證得到了成功！

這時打開Florence的路由和遠程訪問，以下圖所示，咱們發現Berlin這個請求式撥號的狀態已經從斷開變成了已鏈接。

此時你打開Berlin的路由和遠程訪問，以下圖所示，咱們發現Florence這個請求式撥號的狀態也從斷開變成已鏈接了。這個時候說明咱們使用PPTP和L2TP這兩種協議構建站點到站點的×××鏈接已經成功了。

用L2TP實現站點間×××並不難，尤爲是預共享密鑰的實現是很簡單的，若是是證書驗證，要注意對CA的信任，切記，只有從一個被全部機器都承認的CA申請證書纔是有意義的！