×××是虚拟专用网络的缩写,属于远程访问技术,简单地说就是利用公网链路架设似有网络。例如公司员工出差到外地,他想访问企业内网的服务器资源,这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢?×××的解决方法是在内网中架设一台×××服务器,×××服务器有两块网卡,一块连接内网,一块连接公网。外地员工在当地连上互联网后,通过互联网找到×××服务器,然后利用×××服务器作为跳板进入企业内网。为了保证数据安全,×××服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密,我们可以认为数据是在一条专用的数据链路上进行安全传输,就好像我们专门架设了一个专用网络一样。但实际上×××使用的是互联网上的公用链路,因此只能称为虚拟专用网。这下您肯定明白了,×××实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了×××技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用×××非常方便地访问内网资源,这就是为什么×××在企业中应用得如此广泛。上述介绍的×××应用属于×××用户的单点拨入,×××还有一种常见的应用是在两个内网之间架设站点到站点的×××,我们今天先介绍如何创建单点拨入的×××,站点到站点的×××架设我们在后续博文中介绍。实验拓扑还是我之前博客里的那个,也就是在工作组环境下。
ISA2006调用了Win2003中的路由和远程访问组件来实现×××功能,但我们并不需要事先对ISA服务器上的路由和远程访问进行配置,ISA2006会自动实现对路由和远程访问的调用。我们先来看看ISA2006如果要实现×××功能需要进行哪些设置?
一 定义×××地址池
配置×××服务器的第一步就是为×××用户分配一个地址范围,这里有个误区,很多人认为既然要让×××用户能访问内网资源,那就给×××用户直接分配一个内网地址就行了。例如本次实验的内网地址范围是10.1.1.1-10.1.1.254,那×××用户的地址池就放在10.1.1.100-10.1.1.150吧。如果你的×××服务器是用Win2003的路由和远程实现的,那这么做是可以的,路由和远程访问本身就只提供了×××的基本功能,对地址管理并不严格。但这么做在ISA上是不可以的,因为ISA是基于网络进行管理的!内网是一个网络,×××用户是另一个网络,两个网络的地址范围是不能重叠的!虽然我们使用DHCP技术可以使×××用户也获得内网地址,但绝不推荐这么做!因为在后期的管理中我们会发现,把×××用户放到一个单独的网络中,对管理员实现精确控制是非常有利的,管理员可以单独设定×××用户所在网络与其他网络的网络关系,访问策略,如果把×××用户和内网用户混在一起,就享受不到这种管理的便利了。因此直接给×××用户分配内网地址并不可取,我们本次实验中为×××用户设置的地址池是192.168.100.1-192.168.100.200,虽然这个地址范围和内网大不相同,但不用担心,ISA会自动在两个网络之间进行路由。
一 定义×××地址池
配置×××服务器的第一步就是为×××用户分配一个地址范围,这里有个误区,很多人认为既然要让×××用户能访问内网资源,那就给×××用户直接分配一个内网地址就行了。例如本次实验的内网地址范围是10.1.1.1-10.1.1.254,那×××用户的地址池就放在10.1.1.100-10.1.1.150吧。如果你的×××服务器是用Win2003的路由和远程实现的,那这么做是可以的,路由和远程访问本身就只提供了×××的基本功能,对地址管理并不严格。但这么做在ISA上是不可以的,因为ISA是基于网络进行管理的!内网是一个网络,×××用户是另一个网络,两个网络的地址范围是不能重叠的!虽然我们使用DHCP技术可以使×××用户也获得内网地址,但绝不推荐这么做!因为在后期的管理中我们会发现,把×××用户放到一个单独的网络中,对管理员实现精确控制是非常有利的,管理员可以单独设定×××用户所在网络与其他网络的网络关系,访问策略,如果把×××用户和内网用户混在一起,就享受不到这种管理的便利了。因此直接给×××用户分配内网地址并不可取,我们本次实验中为×××用户设置的地址池是192.168.100.1-192.168.100.200,虽然这个地址范围和内网大不相同,但不用担心,ISA会自动在两个网络之间进行路由。
如下图所示,在ISA服务器中定位到虚拟专用网络,点击右侧任务面板中的“定义地址分配”。
分配地址可以使用静态地址,也可以使用DHCP,在此我们使用静态地址池来为×××用户分配地址,点击添加按钮,为×××用户分配的地址范围是192.168.100.1-192.168.100.200,如下图所示。
二 配置×××服务器
设置好了×××地址池后,我们来配置×××服务器的客户端设置。如下图所示,点击虚拟专用网络右侧任务面板中的“配置×××客户端访问”。在常规标签中,我们勾选“启用×××客户端访问”,同时设置允许最大的×××客户端数量为100.,注意×××客户端的最大数量不能超过地址池中的地址数。
设置好了×××地址池后,我们来配置×××服务器的客户端设置。如下图所示,点击虚拟专用网络右侧任务面板中的“配置×××客户端访问”。在常规标签中,我们勾选“启用×××客户端访问”,同时设置允许最大的×××客户端数量为100.,注意×××客户端的最大数量不能超过地址池中的地址数。
切换到×××客户端属性的“组”标签,配置允许远程访问的域组,一般情况下,管理员会事先创建好一个允许远程访问的组,然后将×××用户加入这个组,本次实验中我们就简单一些,直接允许××× Users组进行远程访问。
接下来选择×××使用的隧道协议,默认选择是PPTP协议,我们把L2TP也选择上。设置完×××客户端访问后,我们应重启ISA服务器,让设置生效。
重启ISA服务器之后,如下图所示,我们发现ISA服务器的路由和远程访问已经自动启动了。
三 网络规则
想让×××用户访问内网,一定要设置网络规则和防火墙策略,ISA默认已经对网络规则进行了定义,如下图所示,从×××客户端到内网是路由关系,这意味着×××客户端和内网用户互相访问是有可能的。
想让×××用户访问内网,一定要设置网络规则和防火墙策略,ISA默认已经对网络规则进行了定义,如下图所示,从×××客户端到内网是路由关系,这意味着×××客户端和内网用户互相访问是有可能的。
四 防火墙策略
既然网络规则已经为×××用户访问内网开了绿灯,那我们就可以在防火墙策略中创建一个访问规则允许×××用户访问内网了。当然,如果需要的话,也可以在访问规则中允许内网访问×××用户。如下图所示,在防火墙策略中选择新建“访问规则”。
为访问规则取个名字。
当访问请求匹配规则时允许操作。
此规则可以应用到所有的通讯协议。
规则的访问源是×××客户端网络。
访问规则的目标是内网。
此规则适用于所有用户。
完成向导,好了,现在ISA已经允许×××用户拨入了。
既然网络规则已经为×××用户访问内网开了绿灯,那我们就可以在防火墙策略中创建一个访问规则允许×××用户访问内网了。当然,如果需要的话,也可以在访问规则中允许内网访问×××用户。如下图所示,在防火墙策略中选择新建“访问规则”。
为访问规则取个名字。
当访问请求匹配规则时允许操作。
此规则可以应用到所有的通讯协议。
规则的访问源是×××客户端网络。
访问规则的目标是内网。
此规则适用于所有用户。
完成向导,好了,现在ISA已经允许×××用户拨入了。
最终结果如下图所示:
五 用户拨入权限
最后一步不要忘记,注意,工作组下面不需要做这一步,域用户默认是没有远程拨入权限的,我们准备以域管理员的身份拨入,如下图所示,在Active Directory用户和计算机中打开administrator的属性,切换到“拨入”标签,如下图所示,设置拨入权限为“允许访问”。这样,我们一下单点拔入的×××就建立完成了!
最后一步不要忘记,注意,工作组下面不需要做这一步,域用户默认是没有远程拨入权限的,我们准备以域管理员的身份拨入,如下图所示,在Active Directory用户和计算机中打开administrator的属性,切换到“拨入”标签,如下图所示,设置拨入权限为“允许访问”。这样,我们一下单点拔入的×××就建立完成了!
