ISA Server 2000实战入门之VPN的建立（3）

　　 
　　在ISA Server 2000 上建立VPN
    ISA VPN网络设置实战

为了让大家更好地了解用ISA Server配置地理上分散的网络如何组建VPN。下面我们实际进入一个场景，某公司在北京有一个总部，有两个分支机构，一个在上海，一个在广州。必须保证公司有安全的Inte.net访问。
由北京的总部决定的Internet访问策略，应该在整个公司中一致采用。所有的员工允许访问所有的站点，使用常用的Web协议：HTTP、HTTPS以及FTP；广州分公司应该有附加的防火墙安全保障、要能够缓存来自Web服务器的内容；上海也必须有缓存服务器，方便地访问内容，减少Internet通信量。

规划
为了满足该公司的上述要求，我们首先在所有的分公司中安装ISA Server计算机时，应该把它们作为阵列成员进行安装。ISA Server阵列服务器必须配置两个网络适配器：一个适配器连接到内部网上；另一个连接到Internet上。
上海分公司的ISA Server计算机应缓存Web内容以减少Web通信量，从而减少总部的ISA Server的部分工作。这样，上海分部的ISA Server计算机需要用Cache模式进行安装，并与北京总部ISA Server相连。
广州的ISA Server阵列安装为Ingegrated模式，作为广州分部的防火墙和缓存服务器，ISA Server计算机通过VPN连接到总部的阵列。

安装和配置
在北京总公司安装了ISA Server之后，我们可以用ISA Management在总部完成企业策略配置，并应用到企业中的所有阵列中—上海分公司、广州分公司和北京总部。
要配置网络并应用企业策略，企业管理员必须在总部完成如下工作：
1.按照如下规则创建一个名为Corporate Policy的企业策略：
◆允许每个人访问所有站点的站点和内容规则。
◆允许每个人使用如下协议的协议规则：FTP、HTTP和HTTPS。
2.将Corporate Policy 设定为将由所有分公司继承的默认企业策略。
3.将广州分公司配置为通过VPN连接到总部的ISA Server阵列。在北京的ISA Server计算机中至少有一台必须配置为VPN服务器。
4.在北京的ISA Server上配置LAT， 添加广州的网络IP地址范围。
5.使用Local ISA Server VPN Configuration向导为VPN连接安装ISA Server VPN。并根据所选择的协议（L2TP或着是PPTP），创建IP数据包筛选器。再把静态路由设置为通过隧道把通信从本地网络转发到远程网络的主机。最后，保存创建的.vpc文件，在配置其他ISA Server时，远程VPN服务器会使用该文件。
上海分公司的ISA Server计算机要在总部的网络上，就必须要一个外部网络适配器连接到总部的ISA Server计算机上。
因为名为Corporate Policy的企业策略已经被设为默认值，它会自动应用到上海的ISA Server计算机上，所以不需要为上海分公司配置特别的策略规则。
设置缓存的定时内容下载项，从而预缓存指定内容，进一步提高网络性能。上海分公司的网络管理员可以按如下步骤配置本地ISA Server计算机：
1.配置路由策略，将来自Web Proxy服务器的请求重定向到总部的上游ISA Server计算机。
2.创建定时内容下载作业，把经常访问的对象下载到本地缓存中。如果该对象已经在总部的缓存中，就从那里下载。否则，总部的ISA Server计算机会将请求转发到Internet。
广州的分公司通过Internet，以VPN的方式连接到北京的总部。广州分公司的网络管理员应执行如下步骤来将ISA Server计算机配置为VPN服务器：
1.在本地网络上安装一个DNS服务器，帮助解析经常被访问的公司网络域名。DNS服务器应该用一个Internet上的DNS服务器作为转发器，帮助解析所有其他的名称请求。
2.在本地ISA Server上配置LAT，增加公司网络的地址范围(在北京)。任何外部(Internet)IP地址必须排除在外。
3.使用由企业管理员在总部创建的.vpc文件，用Remote ISA Server VPN Configuration向导为VPN连接建立网络的ISA Server。Remote ISA Server VPN Configuration向导可以建立了一ISA VPN服务器，启动到远程ISA VPN服务器的连接。
4.创建一个路由规则，将在广州的所有对Internet对象的请求直接发送到Internet。然后创建一个路由规则将所有其他请求发送到总部的上游ISA Server阵列。 （完）

原文转自：http://www.ltesting.net