ISA2006企业版站点到站点VPN连接.pdf

站点到站点的VPN 连接 (PPTP) ISA Server 2006 企业版实验手册 1、实验环境 1) 拓朴图： 2) 相关说明： 计算机mainISA 为企业总部边缘防火墙及VPN 服务器，系统平台为Windows Server 2003 R2 企业 版， ISA Server 2006 企业版。 计算机southISA 为企业南方分部边缘防火墙及VPN 服务器，系统平台为Windows Server 2003 R2 企业版， ISA Server 2006 企业版。 客户端操作系统为Window XP SP2 。 mainISA 与Client01 处于一个站点main, 工作组环境。 southISA 与Client02 处于一个站点south, 工作组环境。 本实验未涉及DNS 解析，故未设置，如有需要请根据实际进行设置。 2、实验要求 公司总部与南方分部建立基于PPTP 的站点到站点的VPN 连接 连接建立成功后，两站的内网客户端Client01 与Client02 能互访彼此资源。 3、实验前确认网络连接正常 准备好了，让我们开始吧…… 4、实验步骤 mainISA 操作： 1) 定义地址分配: 打开ISA 服务器管理-阵列-服务器（mainISA）-虚拟专用网络-远程站点标签下，右侧任务标签下，找到定 义地址分配。 如下图所示： 点击定义地址分配，打开定义地址分配属性对话框，如下图所示： 在选择IP 地址分配方法下，选择静态地址池，点击添加按钮，为远程站点拨入分配一个IP 地址范围， 如下图所示： 选择服务器下我们选择mainISA，指定地址范围我们添加到00之间的地址范围， 注意，这个地址范围要不同于实验环境下所指出的任何一段IP网络，也就是在最上图中所没有出现过的IP 网络，也必须是私有的一段IP范围，不能是公网的IP地址范围。 在这特别说明一下，很多人认为既然要让VPN用户能访问内网资源，那就给VPN用户直接分配一个内网地 址就行了。例如本次实验的内网地址范围是－54，那VPN用户的地址池就放在 00－50吧。如果你的VPN服务器是用Win2003 的路由和远程实现的，那这么做是可 以的，路由和远程访问本身就只提供了VPN 的基本功能，对地址管理并不严格。但这么做在ISA上是不可 以的，因为ISA是基于网络进行管理的！内网是一个网络，VPN用户是另一个网络，两个网络的地址范围 是不能重叠的！虽然我们使用DHCP技术可以使VPN用户也获得内网地址，但绝不推荐这么做！因为在后 期的管理中我们会发现，把VPN用户放到一个单独的网络中，对管理员实现精确控制是非常有利的，管理 员可以单独设定VPN用户所在网络与其他网络的网络关系，访问策略，如果把VPN用户和内网用户混在一 起，就享受不到这种管理的便利了。因此直接给VPN用户分配内网地址并不可取，本次实验中为VPN用户 设置的地址池是－00，虽然这个地址范围和内网大不相同，但不用担心，ISA 会自动在两个网络之间进行路由。 添加完成后我们点击确定，完成定义地址范围。不要忘记点击应用而使配置生效，如下图所示： 2) 创建VPN点对点连接。 根据向导完成VPN点对点连接的创建在远程站点任务下点击创建VPN点对点连接，打开创建VPN点对点连 接向导，如下图所示： 在点对点网络名称下，我们输入south，注意：这个名称很重要，这个名称也是远程站点需要拨号到mainISA 上所要使用的用户名。这个名称与远程站点拨号时所要用到的用户名一定要一致，如果不一致，实验不会 成功，真实环境也一样，做实验的朋友要好好理解此段文字了。切记！ 如下图所示： 点击下一步，根据向导继续我们的配置，如下图所示： 因为我们要创建的是基于PPTP的 VPN连接，这里我们选择第三项点对点隧道协议(PPTP)，点击下一步， 会弹出一个警告信息。 如下图所示： 具体意思跟上面的注意所写的是一个道理，提示中另一个含义是拨号所用的帐户必须要有拨入的权限，这 个等到下面的步骤在提出。点击确定。出现下图： 连接所有者中我们选择mainISA，也就是企业总部的ISA Server服务器，默认已经选定了。 点击下一步，如下图所示： 远程站点VPN服务器里我们输入对方VPN服务器公网的IP地址，试验拓扑图中已经标出，我们填写 99。 点击下一步，出现下图所示： 这里的用户名是在远程VPN服务器(southISA)里创建的用户(同样该用户要有拨入权限)，也就是我们在 mainISA