VPN是虛擬專用網(wǎng)絡(luò)的縮寫，屬于遠(yuǎn)程訪問(wèn)技術(shù)，簡(jiǎn)單地說(shuō)就是利用公網(wǎng)鏈路架設(shè)似有網(wǎng)絡(luò)。例如公司員工出差到外地，他想訪問(wèn)企業(yè)內(nèi)網(wǎng)的服務(wù)器資源，這種訪問(wèn)就屬于遠(yuǎn)程訪問(wèn)。怎么才能讓外地員工訪問(wèn)到內(nèi)網(wǎng)資源呢？VPN的解決方法是在內(nèi)網(wǎng)中架設(shè)一臺(tái)VPN服務(wù)器，VPN服務(wù)器有兩塊網(wǎng)卡，一塊連接內(nèi)網(wǎng)，一塊連接公網(wǎng)。外地員工在當(dāng)?shù)剡B上互聯(lián)網(wǎng)后，通過(guò)互聯(lián)網(wǎng)找到VPN服務(wù)器，然后利用VPN服務(wù)器作為跳板進(jìn)入企業(yè)內(nèi)網(wǎng)。為了保證數(shù)據(jù)安全，VPN服務(wù)器和客戶機(jī)之間的通訊數(shù)據(jù)都進(jìn)行了加密處理。有了數(shù)據(jù)加密，我們可以認(rèn)為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進(jìn)行安全傳輸，就好像我們專門架設(shè)了一個(gè)專用網(wǎng)絡(luò)一樣。但實(shí)際上VPN使用的是互聯(lián)網(wǎng)上的公用鏈路，因此只能稱為虛擬專用網(wǎng)。這下您肯定明白了，VPN實(shí)質(zhì)上就是利用加密技術(shù)在公網(wǎng)上封裝出一個(gè)數(shù)據(jù)通訊隧道。有了VPN技術(shù)，用戶無(wú)論是在外地出差還是在家中辦公，只要能上互聯(lián)網(wǎng)就能利用VPN非常方便地訪問(wèn)內(nèi)網(wǎng)資源，這就是為什么VPN在企業(yè)中應(yīng)用得如此廣泛。上述介紹的VPN應(yīng)用屬于VPN用戶的單點(diǎn)撥入，VPN還有一種常見的應(yīng)用是在兩個(gè)內(nèi)網(wǎng)之間架設(shè)站點(diǎn)到站點(diǎn)的VPN，我們今天先介紹如何創(chuàng)建單點(diǎn)撥入的VPN，站點(diǎn)到站點(diǎn)的VPN架設(shè)我們?cè)诤罄m(xù)博文中介紹。

實(shí)驗(yàn)拓?fù)淙缦?，Denver是內(nèi)網(wǎng)的域控制器，DNS服務(wù)器，CA服務(wù)器，Beijing是ISA2006服務(wù)器，Istanbul模擬外網(wǎng)的客戶機(jī)。

ISA2006調(diào)用了Win2003中的路由和遠(yuǎn)程訪問(wèn)組件來(lái)實(shí)現(xiàn)VPN功能，但我們并不需要事先對(duì)ISA服務(wù)器上的路由和遠(yuǎn)程訪問(wèn)進(jìn)行配置，ISA2006會(huì)自動(dòng)實(shí)現(xiàn)對(duì)路由和遠(yuǎn)程訪問(wèn)的調(diào)用。我們先來(lái)看看ISA2006如果要實(shí)現(xiàn)VPN功能需要進(jìn)行哪些設(shè)置？

一 定義VPN地址池

配置VPN服務(wù)器的第一步就是為VPN用戶分配一個(gè)地址范圍，這里有個(gè)誤區(qū)，很多人認(rèn)為既然要讓VPN用戶能訪問(wèn)內(nèi)網(wǎng)資源，那就給VPN用戶直接分配一個(gè)內(nèi)網(wǎng)地址就行了。例如本次實(shí)驗(yàn)的內(nèi)網(wǎng)地址范圍是10.1.1.1－10.1.1.254，那VPN用戶的地址池就放在10.1.1.100－10.1.1.150吧。如果你的VPN服務(wù)器是用Win2003的路由和遠(yuǎn)程實(shí)現(xiàn)的，那這么做是可以的，路由和遠(yuǎn)程訪問(wèn)本身就只提供了VPN的基本功能，對(duì)地址管理并不嚴(yán)格。但這么做在ISA上是不可以的，因?yàn)镮SA是基于網(wǎng)絡(luò)進(jìn)行管理的！內(nèi)網(wǎng)是一個(gè)網(wǎng)絡(luò)，VPN用戶是另一個(gè)網(wǎng)絡(luò)，兩個(gè)網(wǎng)絡(luò)的地址范圍是不能重疊的！雖然我們使用DHCP技術(shù)可以使VPN用戶也獲得內(nèi)網(wǎng)地址，但絕不推薦這么做！因?yàn)樵诤笃诘墓芾碇形覀儠?huì)發(fā)現(xiàn)，把VPN用戶放到一個(gè)單獨(dú)的網(wǎng)絡(luò)中，對(duì)管理員實(shí)現(xiàn)精確控制是非常有利的，管理員可以單獨(dú)設(shè)定VPN用戶所在網(wǎng)絡(luò)與其他網(wǎng)絡(luò)的網(wǎng)絡(luò)關(guān)系，訪問(wèn)策略，如果把VPN用戶和內(nèi)網(wǎng)用戶混在一起，就享受不到這種管理的便利了。因此直接給VPN用戶分配內(nèi)網(wǎng)地址并不可取，我們本次實(shí)驗(yàn)中為VPN用戶設(shè)置的地址池是192.168.100.1－192.168.100.200，雖然這個(gè)地址范圍和內(nèi)網(wǎng)大不相同，但不用擔(dān)心，ISA會(huì)自動(dòng)在兩個(gè)網(wǎng)絡(luò)之間進(jìn)行路由。

如下圖所示，在ISA服務(wù)器中定位到虛擬專用網(wǎng)絡(luò)，點(diǎn)擊右側(cè)任務(wù)面板中的“定義地址分配”。

分配地址可以使用靜態(tài)地址，也可以使用DHCP，在此我們使用靜態(tài)地址池來(lái)為VPN用戶分配地址，點(diǎn)擊添加按鈕，為VPN用戶分配的地址范圍是192.168.100.1－192.168.100.200，如下圖所示。

您正在閱讀：ISA教程：用ISA2006搭建VPN服務(wù)器

【編輯推薦】

1. 使用IPMI工具實(shí)現(xiàn)對(duì)服務(wù)器的遠(yuǎn)程管理
2. 掃描服務(wù)器上的人性化設(shè)計(jì)：細(xì)節(jié)見實(shí)力
3. 實(shí)現(xiàn)文件雙向傳輸 搭建FTP服務(wù)器