用ISA2006搭建VPN服务器VPN服务器在目前的网络中应用得越来越广泛正在成为企业网络中不可或缺的角色如何才能创建出自己的VPN服务器？怎么才能管理好VPN服务器？从今天起我们将组织一个VPN专题系统地为大家介绍VPN服务器的配置和管理内容包括VPN服务器的单点拨入站点到站点的VPNVPN用户隔离VPN结合Radius验证VPN接合智能卡和证书等。今天先就为大家介绍一下如何利用ISA2006来搭建一个自己的VPN服务器。VPN是虚拟专用网络的缩写属于远程访问技术简单地说就是利用公网链路架设似有网络。例如公司员工出差到外地他想访问企业内网的服务器资源这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢？VPN的解决方法是在内网中架设一台VPN服务器VPN服务器有两块网卡一块连接内网一块连接公网。外地员工在当地连上互联网后通过互联网找到VPN服务器然后利用VPN服务器作为跳板进入企业内网。为了保证数据安全VPN服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密我们可以认为数据是在一条专用的数据链路上进行安全传输就好像我们专门架设了一个专用网络一样。但实际上VPN使用的是互联网上的公用链路因此只能称为虚拟专用网。这下您肯定明白了VPN实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术用户无论是在外地出差还是在家中办公只要能上互联网就能利用VPN非常方便地访问内网资源这就是为什么VPN在企业中应用得如此广泛。上述介绍的VPN应用属于VPN用户的单点拨入VPN还有一种常见的应用是在两个内网之间架设站点到站点的VPN我们今天先介绍如何创建单点拨入的VPN站点到站点的VPN架设我们在后续博文中介绍。实验拓扑如下Denver是内网的域控制器DNS服务器CA服务器Beijing是ISA2006服务器Istanbul模拟外网的客户机。ISA2006调用了Win2003中的路由和远程访问组件来实现VPN功能但我们并不需要事先对ISA服务器上的路由和远程访问进行配置ISA2006会自动实现对路由和远程访问的调用。我们先来看看ISA2006如果要实现VPN功能需要进行哪些设置？一、定义VPN地址池配置VPN服务器的第一步就是为VPN用户分配一个地址范围这里有个误区很多人认为既然要让VPN用户能访问内网资源那就给VPN用户直接分配一个内网地址就行了。例如本次实验的内网地址范围是10.1.1.1－10.1.1.254那VPN用户的地址池就放在10.1.1.100－10.1.1.150吧。如果你的VPN服务器是用Win2003的路由和远程实现的那这么做是可以的路由和远程访问本身就只提供了VPN的基本功能对地址管理并不严格。但这么做在ISA上是不可以的因为ISA是基于网络进行管理的！内网是一个网络VPN用户是另一个网络两个网络的地址范围是不能重叠的！虽然我们使用DHCP技术可以使VPN用户也获得内网地址但绝不推荐这么做！因为在后期的管理中我们会发现把VPN用户放到一个单独的网络中对管理员实现精确控制是非常有利的管理员可以单独设定VPN用户所在网络与其他网络的网络关系访问策略如果把VPN用户和内网用户混在一起就享受不到这种管理的便利了。因此直接给VPN用户分配内网地址并不可取我们本次实验中为VPN用户设置的地址池是192.168.100.1－192.168.100.200虽然这个地址范围和内网大不相同但不用担心ISA会自动在两个网络之间进行路由。如下图所示在ISA服务器中定位到虚拟专用网络点击右侧任务面板中的“定义地址分配”。分配地址可以使用静态地址也可以使用DHCP在此我们使用静态地址池来为VPN用户分配地址点击添加按钮为VPN用户分配的地址范围是192.168.100.1－192.168.100.200如下图所示。二、配置VPN服务器设置好了VPN地址池后我们来配置VPN服务器的客户端设置。如下图所示点击虚拟专用网络右侧任务面板中的“配置VPN客户端访问”。在常规标签中我们勾选“启用VPN客户端访问”同时设置允许最大的VPN客户端数量为100.注意VPN客户端的最大数量不能超过地址池中的地址数。切换到VPN客户端属性的“组”标签配置允许远程访问的域组一般情况下管理员会事先创建好一个允许远程访问的组然后将VPN用户加入这个组本次实验中我们就简单一些直接允许DomainUsers组进行远程访问。接下来选择VPN使用的隧道协议默认选择是PPTP协议我们把L2TP也选择上。设置完VPN客户端访问后我们应重启ISA服务器让设置生效。重启ISA服务器之后如下图所示我们发现ISA服务器的路由和远程访问已经自动启动了。三