1、通过 ISA 实现 VPN 的功能 EASY(ACCESS) VPNSITE TO SITE VPN类型一:easy VPNVPN 隧道上所有使用的 IP 不能与网络上已经存放的 IP 冲突设置分配在隧道的地址为:100.1.1.1-100.1.1.20(一)建立的隧道使用的协议:PPTP1、 在“虚拟专用网络(VPN)”节点右侧任务栏定义地址分配静态地址池:100.1.1.1-100.1.1.202、 访问网络:选择外部3、 在右侧任务栏选择“配置 VPN 客户端访问”4、 勾选“启用 VPN 客户端”(二)利用预共享密码建立 IPSEC VPN将已经建立的 PPTP 修改为预共享密钥方式服
2、务器端的修改虚拟专用网络节点右侧任务栏编辑身份验证方法勾选 “允许 L2TP 连接自定义IPSEC 策略 密钥 123配置 VPN 客户端访问 协议标签将连接协议改为 L2TP客户端的修改:拨号连接属性安全标签IPSEC 设置使用预共享的密钥作身份验证 123(三)利用证书实现 IPSEC VPNISA 和客户端信任同一 CA,下载并安装 CA 的证书链,安装到计算机账号受信任的根证书颁发机构ISA 和客户端向同一信任的 CA,申请 IPSec 保护证书(设置密钥可导出),并安装计算机账号个人节点客户端在申请证书,可以先利用以前的 VPN 连接先拨入到公司内部。然后申请好证书再安装当客户端申请
3、好证书,进行颁发Site TO Site VPN一、在总部建立 允许分部拨入的 VPN 设置包括设置拨入用户,即让分支站点以哪个用户的身份拨入,用户名必须设置总部的 ISA 上(如果是 radius,则用户就设置在该身份验证服务器上) Beijing1、 在虚拟专用网络(VPN)节点中间切换到远程站点标签右侧的任务栏创建点对点连接名称:beijing协议:PPTP远程身份验证:取消勾选 远程网络的内部地址:192.168.10.0-192.168.10.255远程站点 VPN 服务器:192.168.1.212取消:已为网络负载平衡启用了远程站点创建网络规则:默认为远程网络通过隧道与本地内部网
4、络以路由方式连接协议:所选协议创建一个名为 beijing 的用户(即该用户名与连接名称一致)2、 在分支建立拨出到总部的 VPN 设置名称:suzhou协议:PPTP远程网络的内部地址:192.168.0.0-192.168.0.255远程站点 VPN 服务器:192.168.1.211远程身份验证:Beijing/123取消:已为网络负载平衡启用了远程站点创建网络规则:默认为远程网络通过隧道与本地内部网络以路由方式连接协议:所选协议被隔离的 VPN 客户端假设在 C:必须存在 access.txt,如果没即被隔离1、 在 ISA 上启用 VPN 隔离功能 网络节点被隔离的 VPN 客户端属
5、性隔离标签启用隔离控制2、 安装远程访问隔离服务添加删除 windows 组件网络服务远程访问隔离服务3、 安装检测 RQSUtils.exe 可以从微软网站下载,自解压到 D:修改*.vbs,找到如下的部分fpcRqsRuleName = “Remote Access Quarantine (RQS)“fpcRqsRuleDescription = “Allow Network Quarantine traffic from roaming clients“fpcRqsRuleProtocol = “RQS“fpcLocalHostName = “Local host“fpcAllUsers
6、 = “All Users“fpcVpnClientsNetworkName = “VPN Clients“fpcQuarantinedVpnClientsNetworkName = “Quarantined VPN Clients“修改为fpcRqsRuleName = “Remote Access Quarantine (RQS)“fpcRqsRuleDescription = “Allow Network Quarantine traffic from roaming clients“fpcRqsRuleProtocol = “RQS“fpcLocalHostName = “本地主机“f
7、pcAllUsers = “所有用户“fpcVpnClientsNetworkName = “VPN 客户端“fpcQuarantinedVpnClientsNetworkName = “被隔离的 VPN 客户端“cscript configureRQSforias.vbs /install passed即建立一条用于限制隔离 VPN 客户端的策略4、 通过 ISA 安装连接管理嚣,生成客户端连接程序(1)安装接管理器:管理和监视工具连接管理器管理工具包(2)在管理工具中打开连接管理器管理工具包(3)在向导中:服务名:公司外网 IP 192.168.1.211领域名:默认合并配置文件:留空勾选“此配置文件的电话簿“VPN 服务器或 IP 地址:192.168.1.211VPN 项目:编辑安全标签:高级安全设置:取消 microsoft CHAP 的两个选项VPN 战略:只使用点对点隧道协议(PPTP)取消“自动下载电话簿更新自定义操作在其他文件选择:添加 c:program filescmaksupportrqc.exe勾选 “高级自定义“段络名:Connection Manager项目名称:Dialup值:0此时我们即生成一个 C:Program FilesCmakProfilesabcabc.exe 文件
