集成ISA Server和RRAS实现具有高可用性和高安全性的站点间VPN.doc

摘要 本文讲述了如何集成ISA Server和Windows 2000 Server的RRAS实现具有高可用性和高安全性的站点间的VPN。 目录 环境分析 方案优点 服务器W2K系统安装及配置 证书服务安装配置 安装ISA Server 设置Local ISA VPN Server 设置Remote ISA VPN Server PPTP连接 设置使用L2TP/IPSec 参考信息 作者介绍 环境分析 公司TEST.COM（虚构），总部位于广州，内有局域网使用/24网段，在香港有一分公司，内有局域网使用/24网段，两地都是通过ＡＤＳＬ专线接入Internet，分别有两个固定IP地址；现需要通过Site to Site VPN使两地局域网互连，使得两地的局域网用户互相可以访问两地局域网的任何网络资源，并且要求维护管理简单方便、高可用性、高安全性。 根据实际情况，我们现在通过集成ISA Server和RRAS（Windows 2000中Router and Remote Access Service）并且使用L2TP/IPSec协议实现Gateway to Gateway方式VPN，来实现TEST.COM公司需求。 方案优点 投资少：不用购买任何VPN硬件设备，利用现有的ISA服务器就可以实现； 配置简单：传统的VPN设备配置复杂，而本方案所有配置全部GUI图形界面； 维护管理方便：全部GUI图形界面，查看当前VPN状态一目了然； 客户端设置简单：局域网内客户端不需要安装任何软件，只要把网关指向本地的ISA服务器内网网卡的IP地址，就可以使用； 高安全性：使用L2TP/IPSec保证数据加密及安全性，并且ISA防火墙只允许本公司拥有的Internet IP才能通过防火墙； 服务器W2K系统安装及配置 GZ-DC-01： 服务： Active Directory Domain Name： DNS IP配置： Host Name：GZ-DC-01 Primary DNS Suffix： DNS Suffix Search List： Ethernet adapter Local Area Connection： IP Address： Subnet Mask： Default Gateway： DNS Server： .2 使用默认安装，使用Dcpromo提升为ＤＣ． GZ-CA-01： IP配置： Host Name：GZ-CA-01 Primary DNS Suffix： DNS Suffix Search List： Ethernet adapter Local Area Connection： IP Address： Subnet Mask： Default Gateway： DNS Server： .2 使用默认安装，并手动设置ＩＰ配置，加入到域，作为成员服务器． GZ-VPN-01： 服务： IP配置： Host Name：GZ-VPN-01 Primary DNS Suffix： DNS Suffix Search List： Ethernet adapter Local Area Connection：（内部网卡） IP Address： Subnet Mask： Default Gateway： DNS Server： Ethernet adapter Local Area Connection：（外部网卡） IP Address： Subnet Mask： Default Gateway： DNS Server： 10　（ISP DNS) 使用默认安装，并手动设置ＩＰ配置，独立服务器． HK-SRV-01： IP配置： Host Name：HK-SRV-01 Ethernet adapter Local Area Connection： IP Address： Subnet Mask： Default Gateway： 使用默认安装，并手动设置ＩＰ配置，作为成员服务器． HK-VPN-01： 服务： IP配置： Host Name：HK-VPN-01 Ethernet adapter Local Area Connection：（内部网卡） IP Address： Subnet Mask： Default Gateway： DNS Server： Ethernet adapter Local Area Connection：（外部网卡） IP Address： Subnet Mask： Default Gateway： DNS Server： 10　（ISP DNS） 使用默认安装，并手动设置ＩＰ配置，独立服务器． 证书服务安装配置 在GZ-DC-01域控制