邮件服务器-邮件系统-邮件技术论坛(BBS)

标题: 谁有ISA2004 SITE-TO-SITE VPN的设置吗? [打印本页]

作者: zjhahaha    时间: 2004-9-24 11:08
标题: 谁有ISA2004 SITE-TO-SITE VPN的设置吗?
基于PPTP的,有没有相关的文章?
作者: tang    时间: 2004-10-17 22:39
标题: re:你用GOGO找找吧
你用GOGO找找吧
作者: 北京唐僧    时间: 2004-10-31 11:52
标题: re:microsoft technet 中文...
microsoft technet 中文站点刚刚翻译了那篇文章,你可以去看一下,有问题我可能可以帮到你,我刚刚部署完:)
作者: acm    时间: 2004-11-29 11:52
标题: re:希望对你有用!!!!在ISA 200...
希望对你有用!!!!<br>
在ISA 2004和ISA 2000之间配置站点到站点的VPN <br><br><br><br>
作者:未知 网络文章来源: 点击数:51 更新时间:2004-11-2 <br><br><br><br>
译自Thomas W Shinder,“Configuring a Site to Site VPN between an 2004 ISA firewall and ISA Server 2000” <br>
  <br>
<br>
  <br>
<br>
下图描述了试验环境的网络拓朴结构: <br>
<br>
<br><br>
<br>
  <br>
<br>
ISA Server的IP地址信息如下表所示: <br>
<br>
ISALOCAL <br>
<br>
IP地址 External: 192.168.1.70/24 <br>
<br>
Internal: 10.0.0.1/24 <br>
<br>
默认网关 External: None* <br>
<br>
Internal: None <br>
<br>
DNSExternal: None <br>
<br>
Internal: 10.0.0.2 <br>
<br>
WINSExternal: None <br>
<br>
Internal: 10.0.0.2 <br>
<br>
VPN客户IP地址范围 10.0.3.0/24 (static address pool) <br>
<br>
操作系统 Windows Server 2003 <br>
<br>
ISA防火墙软件版本 ISA Server 2004 <br>
<br>
<br>
<br>
<br>
REMOTEVPNISA <br>
<br>
IP地址External: 192.168.1.71/24 <br>
<br>
Internal: 10.0.2.0/24 <br>
<br>
默认网关 External: None* <br>
<br>
Internal: None <br>
<br>
DNSExternal: None <br>
<br>
Internal: 10.0.2.2 <br>
<br>
WINSExternal: None <br>
<br>
Internal: 10.0.2.2 <br>
<br>
VPN客户IP地址范围 10.0.0.0 /24 (via DHCP) <br>
<br>
操作系统 Windows Server 2003 <br>
<br>
ISA防火墙软件版本 ISA 2000 <br>
<br>
  <br>
<br>
我们将执行以下步骤: <br>
<br>
·在ISA Server 2000上运行本地VPN向导; <br>
<br>
·修改通过本地VPN向导建立的远程VPN用户账户的密码; <br>
<br>
·修改ISA Server 2000使用的凭证,以便它可以使用请求拨号来连接到位于总部的ISA防火墙; <br>
<br>
·在ISA Server 2000 VPN网关上,修改请求拨号接口的空闲属性; <br>
<br>
·在位于总部的ISA防火墙上运行远程站点向导; <br>
<br>
·建立一个定义总部和分公司之间的路由关系的网络规则; <br>
<br>
·建立一个允许总部到分公司的通讯的访问规则; <br>
<br>
·为远程VPN路由器建立用户账户; <br>
<br>
·测试连接; <br>
<br>
在这篇文章中,我们使用PPTP进行VPN的连接,站点间的访问使用“All open”的访问规则。 <br>
<br>
  <br>
<br>
在ISA Server 2000上运行本地VPN向导<br>
首先是在分公司的ISA Server 2000 VPN网关上运行本地VPN向导,执行以下步骤: <br>
<br>
在ISA Server管理控制台,展开Servers and Arrays节点,然后展开server节点,点击 Network Configuration节点; <br>
右击Network Configuration节点,然后点击Set Up Local ISA VPN Server; <br>
在Welcome to the Local ISA Server VPN Configuration页,点击Next; <br>
在 ISA Virtual Private Network (VPN) Wizard对话框上点击Yes; <br>
在ISA Virtual Private Network (VPN) Identification页,在Type a short name to describe the local network文本框中输入 Branch;然后在Type a short name to describe the remote network文本框内输入Main,点击Next; <br>
<br><br>
<br>
在ISA Virtual Private Network (VPN) Protocol页,选择 Use PPTP选项,然后点击 Next; <br>
在Two-way Communication页,勾选 Both the local and remote ISA VPN computer can initiate the connection。在Type the fully qualified domain name or IP address of the remote VPN computer文本框,输入总部ISA防火墙的IP地址,在此例中,我们输入192.168.1.70。在Type the remote VPN computer name or the remote domain name 文本框,输入总部ISA防火墙的计算机名字,在此例中是ISALOCAL。点击 Next。 <br>
<br><br>
<br>
在Remote Virtual Private Network (VPN) Network页,点击 Add。在ISA Virtual Private Network (VPN) Wizard对话框,输入总部网络的开始IP地址和结束IP地址,根据我们的网络,我们在From输入10.0.0.0,在To输入10.0.0.255,点击OK,点击Next。 <br>
在Local Virtual Private Network (VPN) Network页,分公司网络的IP地址将会自动添加,你可以点击Add按钮来添加更多的地址。点击 Next; <br>
在ISA VPN Computer Configuration File页,在File name文本框中输入文件名,在此我们输入 C:\main,输入并确认密码。主持,虽然我们建立了这个文件,但是我们并不会使用它,点击 Next。 <br>
在Completing the ISA VPN Setup Wizard页,点击完成; <br>
注意: <br>
ISA Server 2000不会对VPN远程访问和VPN站点到站点的连接执行状态监测和应用层识别<br>
<br><br>
<br>
修改通过本地VPN向导建立的远程VPN用户账户的密码<br>
现在我们来修改本地VPN向导建立的用户账户的密码。本地VPN向导建立了一个总部ISA Server用于通过分公司ISA Server认证的用户账户,但是,我们不知道本地VPN向导分配给它的密码,所以我们需要修改它。 <br>
<br>
执行以下步骤: <br>
<br>
右击 My Computer,然后点击 Manage; <br>
在Computer Management控制台,展开 System Tools,然后展开 Local Users and Groups节点; <br>
在右面板,右击 Branch_Main用户,然后点击 Set Password。在Set Password for Branch_Main对话框中点击 Proceed。 <br>
在Set Password for Branch_Main对话框中输入并确认新的密码,然后点击OK; <br>
在提示你新的密码已经设置的对话框上点击 OK; <br>
  <br>
<br>
  <br>
<br>
修改ISA Server 2000用于请求拨号的凭证<br>
本地VPN向导会建立一个请求拨号接口,用于拨往总部的VPN网关,但是它只是假设你使用的请求拨号接口的命名惯例,在此,我们需要修改ISA Server 2000 VPN网关用于请求拨号的凭证。 <br>
<br>
执行以下步骤以进行修改: <br>
<br>
打开Routing and Remote Access控制台,展开服务器名,点击Network Interfaces节点; <br>
右击 Branch_Main请求拨号接口,然后点击 Set Credentials; <br>
在Interface Credentials对话框,修改User name为 Branch,输入并确认密码(这个Branch用户是我们将会在总部的ISA防火墙上建立的)。点击 OK; <br>
重启RRAS服务; <br>
 <br>
  <br>
<br>
修改ISA Server 2000 VPN网关上的请求拨号接口的空闲属性<br>
ISA Server 2000的请求拨号接口的默认设置是在5分钟空闲时间后,自动断开连接。我们不想让此接口断开,执行以下步骤进行修改: <br>
<br>
在RRAS控制台,展开服务器名,然后点击 Network Interfaces节点; <br>
右击Branch_Main请求拨号接口,然后点击 Properties; <br>
在Branch_Main Properties对话框,点击Options标签,修改 Idle time before hanging up为never,点击OK。 <br>
<br><br>
<br>
 <br>
  <br>
<br>
  <br>
<br>
在位于总部的ISA防火墙上运行远程站点向导<br>
现在我们将目光移到总部的ISA防火墙上,执行以下步骤来建立远程网络: <br>
<br>
在Microsoft Internet Security and Acceleration Server 2004管理控制台,展开服务器名,然后点击 Virtual Private Networks (VPN) 节点; <br>
点击 Remote Sites标签,然后在任务面板点击 Tasks标签,然后点击 Add Remote Site Network链接; <br>
在Welcome to the New Network Wizard页,在Network name文本框中输入 Branch,这个名字将分配给请求拨号接口,然后点击Next。 <br>
在VPN Protocol页,选择Point-to-Point Tunneling Protocol (PPTP)选项,然后点击Next; <br>
在Remote Site Gateway页,输入分公司ISA Server 2000外部接口的FQDN或者IP地址,在此我们输入192.68.1.71,点击Next; <br>
在Remote Authentication页,勾选Local site can initiate connections to remote site using these credentials,输入用于验证的用户名和密码,这个用户和应该和我们在分公司ISA Server请求拨号接口上使用的用户一致,在此例中是Branch_Main。在Domain文本框中输入分公司ISA Server 2000 VPN网关的计算机名字,在此例中是REMOTEVPNISA。点击Next; <br>
<br><br>
<br>
在Local Authentication页提示你你需要建立一个用户以便让分公司的ISA Server 2000 VPN网关可以使用来验证。稍后我们可以建立这个用户,这个用户必须和我们在总部ISA防火墙上的请求拨号接口上建立的用户一致,此例中是Branch,点击Next。 <br>
在 Network Addresses页,输入分公司网络的IP地址,在此例中,分公司使用10.0.2.0/24的子网,点击Add按钮,输入10.0.2.0和10.0.2.255,点击OK,点击Next。 <br>
在Completing the New Network Wizard页,点击Finish。 <br>
<br>
建立一个定义总部和分公司之间的路由关系的网络规则 <br>
<br>
和其他状态识别的防火墙一样,ISA Server 2004允许你控制源网络和目的网络之间的路由关系。在站点到站点间的VPN中,我总是建议你使用路由关系。 <br>
<br>
在此例中,我们在总部和分公司网络间建立路由关系。执行以下步骤: <br>
<br>
在Microsoft Internet Security and Acceleration Server 2004管理控制台,展开服务器名,然后展开Configuration节点,点击Networks网络节点; <br>
在Networks节点,点击Network Rules标签,点击任务面板的Tasks标签,然后点击Create a New Network Rule链接; <br>
在Welcome to the New Network Rule Wizard页,在Network rule name文本框中输入规则的名字,在此我们输入Main to Branch,点击Next; <br>
在Network Traffic Sources页,点击Add按钮,在Add Network Entities对话框,点击Networks目录,然后双击Internal,点击Close; <br>
在Network Traffic Sources页点击Next; <br>
在Network Traffic Destinations页,点击Add按钮,在Add Network Entities对话框,点击Networks目录,然后双击Branch,点击Close; <br>
在Network Traffic Destinations页点击Next; <br>
在Network Relationship页,选择Route,然后点击Next; <br>
<br><br>
<br>
在Completing the New Network Rule Wizard页,点击Finish。 <br>
  <br>
<br>
  <br>
<br>
建立一个允许总部到分公司的通讯的访问规则<br>
现在,我们需要建立一个访问规则,以允许分公司和总部网络之间的互访,执行以下步骤来建立: <br>
<br>
在Microsoft Internet Security and Acceleration Server 2004管理控制台,展开服务器名,然后点击Firewall Policy节点; <br>
点击任务面板的Tasks标签,然后点击Create New Access Rule链接; <br>
在Welcome to the New Access Rule Wizard页,在Access Rule name文本框输入规则名字,在此,我们命名为All Open Main-Branch,点击Next; <br>
在Rule Action页,选择Allow,然后点击Next; <br>
在Protocols页,接受默认的设置,然后点击Next; <br>
在Access Rule Sources页,点击Add按钮,在Add Network Entities对话框,点击Networks目录,双击Internal,然后点击Close。在Access Rule Sources页点击 Next; <br>
在Access Rule Destinations页,点击Add按钮,在Add Network Entities对话框,点击Networks目录,双击Branch,然后点击Close。在Access Rule Destinations页点击 Next; <br>
在User Sets页点击Next; <br>
在Completing the New Access Rule Wizard页,点击Finish; <br>
右击 All Open Main-Branch规则,然后点击Copy; <br>
右击 All Open Main-Branch规则,然后点击Paste; <br>
右击All Open Main-Branch(1)规则; <br>
在All Open Main-Branch(1) Properties对话框,点击General标签,然后修改名字为All Open Branch-Main; <br>
点击From标签,点击Internal<, , SPAN style="FONT-SIZE: 10pt">项,然后点击Remove,点击Add,在添加Add Network Entities对话框,点击Networks目录,双击Branch项,点击Close; <br>
点击To标签,点击Branch项,然后点击Remove,点击Add,在添加Add Network Entities对话框,点击Networks目录,双击Internal项,点击Close; <br>
点击Apply,然后点击OK; <br>
点击Apply 保存修改和更新防火墙策略; <br>
在Apply New Configuration对话框上点击OK; <br>
你现在的防火墙策略应该如下图所示: <br>
<br><br>
<br>
重启总部的ISA防火墙计算机; <br>
 <br>
  <br>
<br>
为远程VPN路由器建立用户账户<br>
远程站点向导不会为分公司的ISA Server 2000建立通过总部ISA防火墙认证的用户,所以我们需要手动建立,执行以下步骤: <br>
<br>
右击My Computer,然后点击 Manage; <br>
在Computer Management控制台,展开System Tools节点,然后展开Local Users and Groups节点; <br>
右击Users节点,然后点击New User; <br>
在New User对话框,输入总部ISA防火墙请求拨号接口的名字,在此例中,是Branch,输入并确认密码。取消勾选User must change password at next logon,勾选User cannot change password和Password never expires,点击Create然后点击关闭Close。 <br>
  <br>
<br>
  <br>
<br>
测试连接<br>
现在我们测试这个连接。从总部网络的一台主机上,ping分公司网络的主机。你可以看见,在几个没有响应的提示后,显示了成功的回应,因为请求拨号需要初始化。在Ping成功后,我们使用Telnet来连接位于远程网络的SMTP服务器。下图显示了两次测试的日志: <br>
<br>
<br>
<br><br><br>

作者: xiaohan    时间: 2009-7-3 11:17
不错 学习




















大众搬场||锁具|十字绣线|驾校
作者: Xiao鱼    时间: 2012-8-25 13:36
呵呵,非常感谢,很好很强大




欢迎光临 邮件服务器-邮件系统-邮件技术论坛(BBS) (http://5dmail.net/BBS/) Powered by Discuz! X3.2