关于ISA防火墙中VPN服务的补充说明(图)

　　 
　　ISA防火墙中的VPN服务是基于Windows服务器系统中的路由和远程访问服务（RRAS），并且提供了更好的安全和管理特性。在RRAS中，你可以分配两种地址范围的IP地址给VPN客户端：
　　
　　子网内地址范围
　　

　　即把VPN服务器所连接的内部网络中的地址范围中的IP地址分配给VPN客户，这样的好处是当VPN客户需要访问内部网络时，内部网络无需增加到VPN客户的路由；但是会让内部网络中的IP地址难以区分。
　　
　　子网外地址范围
　　
　　即分配和VPN服务器所连接的内部网络的地址范围不同的IP地址给VPN客户，这样的好处便于识别VPN客户的IP地址，缺点是需要在内部网络中添加到VPN客户的路由。
　　
　　在ISA防火墙中，对于VPN客户端的地址分配，具有两种形式：
　　
　　通过DHCP服务器获取；
　　
　　指定静态IP地址范围；
　　
　　在第一种地址分配形式“通过DHCP服务器获取”中，由RRAS服务器启动时，从DHCP服务器获得满足VPN服务需求的的IP地址范围，如果DHCP服务器在线但是没有为ISA防火墙分配足够数量的IP地址（包括仅仅是只分配了一个IP地址给ISA防火墙），那么当VPN客户拨入通过身份验证时，由于ISA防火墙没有足够的IP地址进行分配，会拒绝VPN客户的连接，VPN客户端的错误警告如下图所示（736：远程计算机中断了控制协议）：
　　　
　　而如果DHCP不在线或者ISA防火墙无法从DHCP服务器获得有效的IP地址，那么ISA防火墙将会随机使用自动专用IP地址范围（APIPA，169.254.0.0/16）中的IP地址的来为VPN客户进行分配。
　　
　　因此，如果你想使用DHCP服务器来为VPN客户分配IP地址而又不愿意使用内部网络中的IP地址来为VPN客户进行分配，你必须将DHCP服务器脱离内部子网，即将DHCP服务器独立于内部子网，具体部署可以参见如何实现VPN使用脱离内部网络的IP地址一文。
　　
　　另外在第二种地址分配形式“指定静态IP地址范围”中，你指定的静态IP地址范围必须全部为有效的IP地址，例如地址范围为192.168.0.1～192.168.0.254，而不能在地址范围中包含主机位为全“0”和全“1”的特殊IP地址，例如地址范围为192.168.0.0～192.168.0.255，这是因为RRAS会同样将特殊的IP地址192.168.0.0和192.168.0.255分配给VPN客户使用，从而导致连接问题。
　　
　　关于Windows系统中RRAS是如何进行VPN客户端的IP地址分配及不同方式的优劣，请详见CableGuy的经典文章“IP 地址分配与“路由和远程访问”服务”，这篇文章应该是部署Windows下VPN服务的管理员的必修课。
　　
　　如果当前已连接的VPN客户数量达到了ISA防火墙VPN服务中所允许的最大数量，那么当其他VPN客户再发起VPN连接时，ISA防火墙会丢弃VPN客户端发送的连接请求，并且不回复响应数据包，此时VPN客户端的错误提示如下图所示（651：服务器无响应）
　　　
　　另外，你可以在用户的拨入属性中配置用户远程拨入时使用的IP地址，此设置会覆盖ISA防火墙VPN服务中的VPN客户端IP地址分配策略中的设置。在VPN客户端使用此用户拨入时，会使用用户拨入属性中配置的IP地址作为VPN客户端的IP地址，而不是按照ISA防火墙中的VPN客户端地址分配策略来进行分配；如果已有VPN客户使用此用户账户拨入VPN并且尚未断开连接，而其他VPN客户再次使用此用户账户拨入时，则根据ISA防火墙VPN服务中的VPN客户端地址分配策略来进行VPN客户端IP地址的分配，如果此时ISA防火墙没有足够的IP地址分配给VPN用户，那么就会出现651错误。
　　
　　对于其他TCP/IP选项（DNS/WINS/其他DHCP选项）的分配，也具有两种形式：
　　
　　在ISA防火墙VPN服务地址分配属性的高级设置中手动指定VPN客户所使用的DNS/WINS服务器；此时，ISA防火墙会只将指定的DNS/WINS服务器分配给VPN客户使用；
　　
　　通过DHCP中继代理从DHCP服务器获得DHCP作用域信息（DNS/WINS/其他DHCP作用域选项 ，由于VPN客户不能直接向其他网络中的DHCP服务器发送DHCP INFORM数据包来获取DHCP作用域选项，必须通过ISA防火墙上的DHCP中继代理进行中转）；此时，ISA防火墙也会将用于获取DHCP信息的网络接口上配置的DNS/WINS服务器分配给VPN客户使用，只是这样分配的DNS/WINS服务器优先级比 从DHCP服务器所获得的DNS/WINS服务器低，但是无论VPN客户是否从DHCP服务器成功获取了DNS/WINS服务器信息，这种方式分配的DNS/WINS服务器总会存在。
　　
　　在建立VPN拨号连接的时候，默认会将此VPN连接作为默认路由（启用了使用远程网络上的默认网关），
　　
　　这导致了VPN客户不能同时通过自己本地网络的网关访问Internet。
　　
　　如果你取消选择了使用远程网络上的默认网关，那么在建立VPN拨号连接时，不会将此VPN连接作为默认路由，但是会创建一个对应于VPN客户端所获得的IP地址的基于Internet地址类的网络ID的路由。例如，如果VPN客户端从VPN服务器获得的地址是10.0.0.2，那么基于Windows 2000、Windows XP和Windows Server 2003系统的VPN客户端将会创建一个路由项，指明10.0.0.0/8的网络从VPN连接10.0.0.2进行访问。关于这种分离的VPN隧道问题，CableGuy在针对并行访问Internet和Intranet的分割隧道功能一文中进行了详细的阐述，也强烈建议大家认真的学习一下。

原文转自：http://www.ltesting.net