VPN服務的實現有很多種方式,如現在的一些網絡操作系統本身可以實現VPN,也可以購買專門的VPN設備,ISA Server防火墻也可以實現VPN。所以最終使用哪一種,完全可以根據實際情況來進行選擇,在此我們出於成本和安全性方面的考慮,準備在ISA 2006上啟用VPN功能。
下面,咱們就通過實例來看一下,如何通過ISA 2006實現單點的撥入VPN,以實現員工在外網也能連接到企業內網,以實現在傢辦公、遠程打印等需求。
同為微軟的產品,因此ISA2006非常巧妙地調用瞭Win2003中的路由和遠程訪問組件來實現VPN功能,但用戶並不需要事先服務器上的路由和遠程訪問進行配置,ISA2006會自動實現對路由和遠程訪問的調用。
在開始配置之前,有兩點要說明的地方:
1、用戶環境:
方案一: 內網和ISA Server服務器同在域的環境內,推薦做法,好處是不需要RADIUS 服務器,降低瞭網絡的復雜性。
方案二:工作組環境,這樣的話,可以使用RADIUS驗證或是鏡像帳號,
2、VPN服務器支持協議
PPTP:PPTP 是用於在中間網絡上傳輸點對點協議(PPP)幀的一種隧道機制。PPTP隻考慮瞭對VPN用戶的身份驗證,不支持對計算機身份進行驗證。
L2TP/IPSEC:L2TP/IPSEC從字面上理解是在IPSEC上運行L2TP,IPSEC負責數據的封裝加密,L2TP的作用和PPTP類似,負責在IP網絡上做出VPN隧道。從理論上分析L2TP協議應該比PPTP更安全一些,因為L2TP不但能在用戶級別實現PPP驗證,還能實現計算機級別的身份驗證。
至於用戶環境,網絡管理員可以根據實際情況進行相應的選擇,一般來說,如果在集中管理的環境中,也就是說已經有域環境的話,推薦使用方案一,這樣的好處是在用戶身份驗證方面就簡單多瞭,如果沒有域環境的話,可以考慮使用RADIUS技術(RADIUS技術以後有機會再做介紹)。但不推薦使用鏡像帳戶。至於協議方面,如果安全性要求不是很高的情況下可以使用PPTP,好處是簡單方便,如果對安全性方面有很高的要求的情況下,可以考慮結合PKI機制使用L2TP。
在此案例中,我們就在域環境下使用PPTP協議實現單點撥入VPN。
環境準備:
域環境的搭建:
1、 創建DC
我們準備在內網192.168.1.10上安裝AD,使其成為一臺DC,方法是運行:Dcpromo。如下圖所示:
點擊下一步之後,然後依次選擇 新域的域控制器 ----- 在新林中的域 ,再輸入相應的域名,如下圖所示:
當點擊下一步之後,如果沒有重名的話,則會為此域名生成一個NetBIOS名,如下圖所示:
然後會要求指定數據庫文件、日志文件以及Sysvol的存放文件夾, 在此例中,我就直接默認瞭,緊接著會彈出DNS診斷的提示,如果已經安裝有DNS,可以選擇第一項,如果沒有的話,則選擇第二項,系統自動安裝並配置DNS,如下圖所示:
接下來,還需要選擇用戶和組對台中商標權申請象的默認權限及目錄服務還原模式的管理員密碼,根據需要進行相應的設置。最後就靜等AD的安裝。
台中商標註冊
2、 將ISA Server這臺機器加入到域中,成為域中的一臺成員服務器。方法如下所示:
台中商標註冊查詢
在 我的電腦 ---屬性中----選擇域:jimi.com,然後輸入DC上管理員的用戶名和密碼,並重新啟動計算機,即可加入到域中。
下面咱們就可以看一下VPN的具體設置瞭,關於PPTP的配置還是很簡單的:
文章標籤
全站熱搜