ISA Server 2000实战入门之VPN的建立（2）

　　 
　　在ISA Server 2000 上建立VPN
    ISA Server下建立VPN

和VPN一起使用的时候，ISA Server安装模式必须为Intergrated模式。通过ISA Server创建VPN连接，能够很轻松地建立起各种情况下的VPN连接。当本地计算机要和远程计算机通过ISA Server计算机进行通信时，数据封装好后，将通过VPN信道进行收发。
帮助实现VPN的协议有三种，它们是L2TP(第二层隧道协议)、PPTP(点对点隧道协议)和IPSec(IP安全协议)，L2TP和PPTP最常用，而IPSec仅支持IP，它的智能包认证技术能保护隧道免受许多电子欺骗的攻击。
在ISA Server中设置VPN的地方在“Network Configration”节点中。单击打开该节点，在右侧窗格将显示如图3所示内容，其中的“Configure a Local Virtual Private Network（VPN）”、“Configure a Remote Virtual Private Network（VPN）”、“Configure a Client Virtual Private Network（VPN）”这三个按钮就是专门配置不同条件下的VPN连接。

图3

ISA Server中的这三种条件是针对于不同的VPN环境，如连接到本地网络的移动用户；与其他分支机构连接的分支机构等情况。三个向导使用情况如下所述：
1.“Configure a Local Virtual Private Network（VPN）”可以建立接收VPN连接的本地ISA Server计算机，也可以配置本地的ISA VPN服务器来启动对外部VPN服务器的连接。
2.“Configure a Remote Virtual Private Network（VPN）”向导可以建立启动和接收连接的远程ISA Server VPN计算机。
3.“Configure a Client Virtual Private Network（VPN）”向导允许漫游用户连接到该VPN服务器。
要设置起一个有效的VPN连接，必须按照先配置“Local”本地的服务器，然后再配置“Remote”远程服务器，也就是说，一个VPN连接涉及的是两个服务器之间的问题，必须要在两个服务器上做同样的配置，然后它们才能连接成功。如果要接收通过Internet上客户机的连接的话，那就必须通过配置“Client”客户机来实现了。
下面我们开始配置VPN。单击其中的“Configure a Local Virtual Private Network（VPN）”按钮，即启动VPN的配置程序，打开“Local ISA VPN”向导，单击“下一步”按钮，将弹出图4所示的信息框。

图4

它的意思是说“在开始配置VPN前，必须先启动路由和远程访问服务，如果要继续的话，必须单击‘是'按钮”，由于Windows 2000自带的路由和远程访问服务是配置VPN的必要服务，所以这里点击“是”。
随后，系统将弹出该VPN连接的标识，以区别于其他VPN连接。单击“下一步”将进入VPN协议的选择对话框，（见图5）。这里我们可以选择是使用PPTP还是L2TP协议。

图5

接着我们就是选择VPN连接的方式，是二者相互间都能启动和接收连接呢？还是只有一方能接收另一方的连接。再就是选择本地能够访问VPN服务器的计算机了，随后按照屏幕上的指示完成整个配置。
在上述“Local ISA Server VPN”向导中建立了一个接收远程连接的本地ISA VPN服务器，创建了接收连接的按需拨号接口，选择了特定的连接协议，还配置了IP数据包筛选器，这样实现了保护连接的安全，并把通信从本地网络转发到远程主机上的目的。
注意在本过程中创建的VPN配置设置(.vpc)文件，是在远程ISA Server上使用“Configure a Remote Virtual Private Network（VPN）”建立远程ISA VPN服务器时，需要用到的文件。所以要将其加上密码，并且发送给远程ISA服务器。
在动手配置“Local ISA VPN”之前，应该清楚以下两点：
1. 在输入VPN连接的远程服务器域名或计算机名时，注意如果该计算机是一个域控制器，那么要输入它的域名，否则可以输入计算机的NetBIOS名称。
2. 如果ISA Server是以Cache模式安装的，将发生不能建立VPN的情况。
本地的VPN服务器配置好了，就要配置与之对应的远程VPN服务器了。Remote ISA VPN向导就是在远程服务器上建立一个与本地VPN连接的工具。在使用该向导前，必须拿到与之相对的“Local”服务器上用“Local ISA Server VPN”连接向导创建的.vpc文件，以发起对本地服务器的连接。具体创建ISA Server VPN的步骤如下：
1.在ISA Management控制台树上，右击Network Configuration节点。
2.右击Set up Remote ISA VPN Server菜单选项。出现Remote ISA Server VPN Configuration向导，单击“下一步”，将弹出如图6所示窗口。

图6

3.在图6中，指定.vpc文件的位置，并填入保存时设置的密码，然后按照屏幕上的指示进行操作，即可完成设置操作。
在实际的环境中，除了有要配置网对网ISA服务器之间VPN连接的情况外，还有很多时候在外移动用户有通过VPN连接公司的需要。“Configure a Client Virtual Private Network（VPN）”向导就是配置远程客户与ISA Server计算机建立VPN连接的工具。
ISA VPN服务器支持PPTP和IP安全/第二层隧道协议(IPSec/L2TP)，在ISA Server计算机上开放相应的端口就能允许远程客户端连接到VPN服务。按如下步骤建立ISA Server接收远程客户的VPN请求：
1.在ISA Management控制台树上，右击Network Configuration节点。
2.单击“Allow VPN Client Connections”菜单选项，将弹出“ISA Client Virtual Private Network Configuration向导。
3.按照屏幕上的指示重新启动路由和远程访问服务，然后按照要求完成操作。
按照如上的设置操作，我们就可以在公司网络中建立起ISA VPN了。在建立了ISA VPN服务器之后，我们可能还需要添加其他协议的支持。可以按如下步骤修改ISA Server使用的协议。
打开Windows 2000中的“路由和远程访问”控制台，确定VPN连接使用的相应网络接口。然后打开ISA Management中的“Networking属性”对话框，在其中选择相关的协议。
如果要增加PPTP支持，可以使用ISA Management创建一个IP数据包筛选器，允许PPTP协议。该IP数据包筛选器应按如下参数进行配置：
使用两个预定义的筛选器，PPTP Call和PPTP Receive。
◆ Local Computer设置配置为本地ISA VPN服务器的外部IP地址。
◆ Remote Computer设置配置为远程ISA VPN服务器的IP地址。
如果要增加L2TP支持，也必须创建两个IP数据包筛选器，并将其中一个IP数据包筛选器按如下参数配置：
◆筛选器只应用于本地服务器，模式是Allow，类型为Custom，在端口500上使用UDP。
◆Local Computer设置配置为本地ISA VPN服务器的外部IP地址。
◆Remote Computer设置配置为远程ISA VPN服务器的IP地址。
将另一个IP数据数据包筛选器按如下参数配置：
筛选器只应用于本地服务器，模式是Allow，类型是Custom，在端口1701上使用UDP。
◆Local Computer设置配置为本地ISA VPN服务器的外部IP地址。
◆Remote Computer设置配置为远程ISA VPN服务器的IP地址。
这样就可以完成对所用协议的修改和配置，随后我们还可以对ISA Server和IPSec的关系做一个详细的了解。当我们将ISA Server配置为IPSec/L2TP VPN服务器时，ISA Server计算机上的IPSec驱动就会自动被启用。
在启用IPSec以后，验证报头(AH)和封装安全有效荷载(ESP)由IPSec驱动程序控制，而不是ISA Server的数据包筛选器驱动程序。在这种情况下，IPSec驱动程序将控制通过隧道的通信，保证了只有有效的AH和ESP保护的通信才容许进入网络，这样就能够防止很多电子欺骗。
注意当IPSec没有启用时，是由ISA Server策略来控制哪些数据包容许通过，而哪些数据包应该被阻止。它会对所有经过ISA Server的通信进行记录，包括IPSec AH和ESP协议，而且如果ISA Server策略被配置成阻止IP片段，那么所有的IP片段都会被阻止，包括AH和ESP片段，即使启用IPSec了也是这样。

原文转自：http://www.ltesting.net