创建基于PPTP的站点到站点VPN连接：ISA系列之十五.docVIP

创建基于PPTP的站点到站点VPN连接：ISA2006系列之二十五 构建基于PPTP的站点到站点的VPN连接 ? 在前面的博文中，我们已经介绍了如何用ISA2006创建VPN服务器，以及远程用户如何利用VPN服务器拨入内网。如果是个别用户在家办公或出差在外，用前文提到的VPN解决方案是可以圆满解决的。但如果是一群用户有互相访问的需求，例如某公司总部和分公司需要互相访问，那用VPN远程拨入的方式就显得效率不高了。试想一下，公司总部500人，分公司300人，如果要互相访问，800人都要拨叫对方的VPN服务器，这显然不是一个好的解决方案。 今天我们提供一种站点到站点的VPN解决方案，可以很好地解决这个问题。我们引入下面的拓扑图来说明这个方案的构思，某公司北京总部的内网IP范围是10.1.1.0，天津分公司的内网IP范围是10.2.1.0。北京分公司使用一台ISA服务器连接到互联网，天津分公司也使用一台ISA2006连到公网。站点到站点的VPN指的是在两个公司的ISA服务器上配置好VPN的拨入拨出参数，确保两个ISA服务器既可以拨叫对方的VPN服务器，也可以接受对方VPN服务器的拨叫。这样一来用户只要把默认网关指向自己的ISA服务器，就可以不用拨叫对方公司的VPN服务器了，全部由ISA代劳了。例如北京公司的Denver要访问天津公司的Istanbul，Denver只要把访问Istanbul的请求提交给自己的默认网关－Beijing，剩下的事就不用管了，Beijing会自动拨叫天津公司的ISA服务器Tianjin，然后在两个ISA服务器之间创建完成VPN隧道，接下来Denver的访问请求就被Beijing通过VPN隧道路由到天津公司的Istanbul上了。你看，这样一来两个公司员工互访时就很方便了，只要把网关指向自己的ISA服务器，然后就可以透明地访问对方公司的内网，效率是不是有很大的提高呢？ ? 创建站点间的VPN需要在两个VPN服务器上都进行设置，两个ISA服务器上的操作具有对称性，我们先以Beijing上的操作为例进行详细讲解，目前Beijing已做了下列准备： 1、 防火墙策略中允许内网和本地主机任意访问。 2、 启用了VPN，允许使用PPTP和L2TP。 3、? VPN地址池的范围是192.168.100.1－192.168.100.200。 ? 一 创建远程站点 创建远程站点是部署站点间VPN最重要的一步，远程站点其实是一个自定义的远程网络，具体到Beijing，其实就是要把天津分公司的内网10.2.1.0定义为一个远程网络。为什么需要把对方公司的内网定义成一个新的网络呢？因为我们知道网络是ISA进行访问控制的基本管理单元，ISA考察一个访问请求时首先要考虑源网络和目标网络的网络规则。如果不定义远程网络，天津分公司对Beijing来说属于外网范畴，而内网到外网的网络规则是NAT，因此Beijing不会允许从天津的Istanbul访问北京的Denver。这就是我们为什么要把天津公司的内网定义为一个新的网络，只有这样我们才可以重新定义北京内网和天津内网的网络规则，进而制定出符合要求的防火墙策略。 创建远程站点还涉及到创建VPN隧道的参数设定，例如Beijing把天津分公司的内网定义为远程网络，那Beijing上就必须定义好连接这个远程网络要通过哪个VPN服务器，两个VPN服务器使用哪种协议，如何进行身份验证等，下面我们就来具体看看如何在Beijing上创建远程站点。 在Beijing上打开ISA管理器，切换到虚拟专用网络，如下图所示，在“远程站点”标签下选择“创建VPN点对点连接”。 ? 出现创建VPN点对点连接向导，其实就是远程站点的创建向导，首先我们要为远程站点起个名字，如下图所示，我们为远程站点命名为Tianjin。这个远程站点的名字可不是随便取的，后面我们会知道ISA服务器上必须创建一个和远程站点同名的用户。 ? 接下来要选择VPN站点间连接要使用的协议，如果两个VPN服务器都是ISA，那可以选择PPTP或L2TP，如果是ISA和硬件VPN组成站点间连接，那应该选择IPSEC。在这个实验中我们选择使用PPTP作为站点间VPN使用的隧道协议。 ? 如下图所示，系统会弹出一个对话框提示你在ISA服务器上必须有一个和远程站点同名的用户，而且用户必须有拨入权限。也就是说Beijing创建了一个远程站点Tianjin后，Beijing服务器上必须有一个名为Tianjian的具有远程拨入权限的用户。如果Beijing隶属于域，那么Tianjin这个用户也可以在域控制器上创建。创建出的这个用户是为天津公司的VPN服务器拨叫北京公司的VPN服务器准备的，天津公司的用户通过他们的VPN服务器拨叫北京的VPN服务器时，如果天津用户源于ti