利用ISA Srver实现具有高可用性的站点间VPN和边界安全.pptVIP

利用ISA Server实现具有高可用性的站点间VPN和边界安全 陈爱东 微软全球技术中心 目标 认识到VPN的重要性 展示为什么建立一个面向微软的VPN网络是可行的;这是保护基于微软架构网络的最佳选择! 剖析微软VPN系统 通过演示 – 展示如何通过VPN, 动态路由协议和ISA连接站点 议程 为什么使用VPN? 为什么使用 RRAS 和 ISA Server? 为什么使用VPN? VPN技术已经得到了证明, 但是… 通常的VPN产品仅仅致力于连接”少量”的站点 很少包括网络工程的概念, 例如动态路由 大部分VPN产品的价格很高;而且, 许可证是个很麻烦的问题 为什么使用VPN? 点对点的技术将驱动VPN的发展 任意两个网络设备间的直接连接 用传统链路创建一个整合的网络费用高而且复杂 为什么使用 RRAS 和 ISA Server? ISA server概要… 为Internet访问提供透明的Cache 为发布的资源提供应用层的过滤 强大的传输层[及更下层]的防火墙能力 易用 – 快速的配置和维护 支持LT2P/IPSec 和 基于证书的认证 支持 OSPF, RIP 动态路由! 体系结构及组件 一个典型的VPN架构… 创建站点到站点VPN 体系结构及组件 我们已经有了ISA和RRAS的站点间连接 现在, 我们必须处理 “路由问题” 传统上, 通过静态路由实现; 这”不是”我们想要的!! 2 个失败的典型案例… 体系结构及组件 问题 #1 内部路由器设置静态路由 源点向本地路由器发送报文 本地路由器将报文静态路由至VPN 服务器 VPN服务器发生故障 体系结构及组件 问题#2 VPN 隧道故障 源点向本地路由器发送报文 本地路由器将报文静态路由至VPN 服务器 ISP #1 and VPN隧道故障, 报文丢失 体系结构及组件 我们怎样解决这些典型问题 确保基于隧道的可用性调整路由 新技术? 不! --- 在传统的企业网络内部已经广泛应用 在内部的路由发现中广泛使用OSPF和RIP等动态路由 使用2个 ISP 依然是个便宜的选择 和大部分VPN产品不同, Microsoft RRAS可以将协议绑定到每个接口! 体系结构及组件使用 OSPF 获得高可用性 体系结构及组件OSPF 概要 OSPF 要点 “开放” 协议 使用链路状态算法 链路状态广播 每个节点维护一份网络有向拓扑图 Dijkstra (最小生成树) 算法 每个 OSPF 路由器广播状态信息 公告在整个自治系统(AS)中广播 体系结构及组件OSPF 概要 3 阶段同步过程 “Hello phase” –发现与它连接的邻节点 “Database exchange” –和邻节点交换链路状态信息 “Flooding” –所有路由器会通过一种被称为刷新（Flooding）的方法来交换链路状态数据。 OSPF 是一个自适应的路由协议… LSA(链路状态广播信息)每30分钟交换一次 ISA 集成 打住! 这些RRAS就可以实现! ISA带来了什么? 透明的数据缓存;节省带宽 演示 利用ISA 建立站点到站点VPN 更多信息 ISA Server Web Site /isaserver Third Party Web Site 参考信息 Avanade Deployment Case Study /servers/evaluation/casestudies/avanade.asp Detailed VPN Architecture Whitepaper /isaserver/techinfo/deployment/2000/avanadevpn.asp Cisco OSPF Design Guide /warp/public/104/1.html Windows 2000 Magazine OSPF Article /Articles/Index.cfm?ArticleID=495pg=2 (old, but very good!) ISAS VPN Tutorial /shinder/tutorials/gateway_to_gateway_part1.htm Discussion 如果您有任何问题，请加入微软中文新闻组继续讨论 加入微软中文新闻组 /china/community 体系结构及组件 VPN失败的典型案例 OSPF 概要 演示 讨论 Internet servers ROUTER VPN Gateway #1 VPN Gateway #2 ROUTER users VPN Gateway #1 VPN Gateway #2 ROUTER users VPN Gateway #1 VPN G