配置阵列ITALY的VPN服务
在ISA Server 2004企业版中,不支持在对具有多个服务器的阵列配置VPN时使用DHCP来分配VPN客户端IP地址,因为这样会导致阵列服务器间通信的增加和路由表的频繁更新。所以,对于多服务器的阵列,你必须使用静态IP地址池给VPN客户分配IP地址,并且,你必须在启用VPN前定义好静态IP地址池。
设置静态地址池时,不同的服务器所配置的静态地址池范围不能重复,并且为此服务器独享,当此服务器不能使用时,你为此服务器定义的静态地址IP也将不会使用。另外,你给每台服务器定义的静态地址池中的IP地址数量至少必须比你想允许的远程VPN连接的数目多一个,此连接数目包括远程VPN站点和漫游的VPN客户端连接。
在任何一台阵列服务器上打开ISA管理控制台,展开ITALY阵列,点击虚拟专用网节点,在右边的任务面板中点击启用VPN客户访问链接;
此时,弹出一个错误对话框,提示你需要先配置静态地址池,在此对话框上点击确定;
点击任务面板下面的定义地址分配链接;
在弹出的VPN属性对话框的地址分配标签,点击添加;
首先我们为Florence定义静态地址池,选择服务器为Florence,然后在起止IP地址中分别输入192.168.0.1和192.168.0.50,然后点击确定;
再次点击添加;
这次为Firenze定义静态地址池,选择服务器为Firenze,然后起止IP分别输入192.168.0.51和192.168.0.100,点击确定;
在VPN属性对话框上点击确定;
再次点击启用VPN客户访问链接;
此时,链接变为禁止VPN客户访问,表明已经允许了VPN客户访问。点击配置VPN客户访问进行配置;
在VPN客户端属性对话框,首先在常规标签,修改你需要的最大同时连接的VPN客户数量。由于我们设置每个服务器的静态地址池为50个IP,每段IP的第一个IP将会给ISA服务器使用,所以给客户使用的IP数为49,在此我们输入的数量就不能超过49。在此我输入为10;
然后在协议标签,勾选启用PPTP和启用L2TP/IPSec,点击确定;
点击应用保存修改和更新防火墙策略,等到全部阵列服务器的配置同步后,你会看到ISA的警告,提示你需要重启服务器。
重启阵列中的两台服务器,然后在Florence上以管理员身份登录Windows。
在Florence上创建VPN拨号用户
现在,我们需要创建一个具有拨入权限的用户,以让外部客户拨入VPN。在Florence上点击开始菜单中的运行,输入lusrmgr.msc,
在弹出的本地用户和组对话框,右击用户,选择新建用户;
在新建用户对话框,输入用户名为vpnuser,输入密码,勾选用户不能修改密码和密码永不过期,点击创建;
双击新建的vpnuser,然后在vpnuser属性对话框的拨入标签,在远程访问权限下选择允许访问,点击确定;
此时,用户就创建好了。
在外部客户Istanbul上建立到Florence的PPTP模式的VPN连接
在Istanbul上的网络连接文件夹中点击创建一个新的连接,在弹出的欢迎使用新建连接向导页,点击下一步;
在网络连接类型页,选择连接到我的工作场所的网络,点击下一步;
在网络连接页,选择虚拟专用网络连接,点击下一步;
在连接名字页,输入公司名为Connect to contoso.com,点击下一步;
在选择VPN服务器页,输入Florence的外部IP地址39.1.1.1,然后点击下一步;如果你对外部网络使用了NLB,在此你可以输入NLB的虚拟IP地址,这样也可以实现VPN服务的NLB。
在正在完成新建连接向导页,勾选在我的桌面上添加此连接的快捷方式,然后点击完成;
双击桌面上的连接,在弹出的连接窗口,输入用户名vpnuser和对应的密码,点击连接;
很快的,连接成功,
点击连接的图标,在细节标签,你可以看到,连接是使用的PPTP模式;
在Florence上看看VPN客户的会话,如下图所示,同样指出是PPTP模式的VPN连接。
在Istanbul上看看当前的IP地址,在CMD下运行命令:
/*查看当前的IP地址*/
C:/Documents and Settings/Administrator>ipconfig /all
Windows IP Configuration
Host Name . . . . . . . . . . . . : Istanbul
Primary Dns Suffix . . . . . . . : fabrikam.com
Node Type . . . . . . . . . . . . : Unknown
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : fabrikam.com
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel 21140-Based PCI Fast Ethernet Adapt
er (Generic)
Physical Address. . . . . . . . . : 00-03-FF-B3-5E-C2
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 39.1.1.7
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 39.1.1.1
PPP adapter Connect to contoso.com:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physical Address. . . . . . . . . : 00-53-45-00-00-00
DHCP Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.4
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 192.168.0.4
/*Ping ISA Server的VPN网络的IP地址*/
C:/Documents and Settings/Administrator>ping 192.168.0.1 -n 1
Pinging 192.168.0.1 with 32 bytes of data:
Reply from 192.168.0.1: bytes=32 time=2ms TTL=128
Ping statistics for 192.168.0.1:
Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 2ms, Average = 2ms
/*Ping 内部网络中的Denver的IP地址*/
C:/Documents and Settings/Administrator>ping 10.1.1.5 -n 1
Pinging 10.1.1.5 with 32 bytes of data:
Reply from 10.1.1.5: bytes=32 time=5ms TTL=127
Ping statistics for 10.1.1.5:
Packets: Sent = 1, Received = 1, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 5ms, Maximum = 5ms, Average = 5ms
测试均通过,使用IE浏览器访问Denver试试,如下图所示,同样成功。注意,此时是使用Denver的IP地址10.1.1.5直接进行访问的;
在外部客户Istanbul上建立到Florence的L2TP/IPSec模式的VPN连接
断开上面连接好的VPN连接,再次双击此连接,在弹出的连接对话框上,点击属性;
在属性对话框的网络标签,在VPN类型栏,选择为L2TP IPSec VPN,点击确定;
在连接对话框上点击连接;
由于L2TP会进行安全性协商,连接速度比PPTP稍慢,等一会后,连接成功;
点击连接图标查看连接状态,在细节标签,你可以清楚的看到是使用的L2TP模式的连接;
在Florence上看看VPN客户的会话,如下图所示,同样指出是L2TP/IPSec模式的VPN连接。
再次访问Denver上的Web页面,同样成功。
【转自世纪安全网 http://www.21safe.com】
|
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)