|
|
摘要
本文讲述了如何集成ISA Server和Windows 2000 Server的RRAS实现具有高可用性和高安全性的站点间的VPN。
目录
环境分析
方案优点
服务器W2K系统安装及配置
证书服务安装配置
安装ISA Server
设置Local ISA VPN Server
设置Remote ISA VPN Server
PPTP连接
设置使用L2TP/IPSec
参考信息
作者介绍
环境分析
____________________
公司TEST.COM(虚构),总部位于广州,内有局域网使用192.168.0.0/24网段,在香港有一分公司,内有局域网使用192.168.1.0/24网段,两地都是通过ADSL专线接入Internet,分别有两个固定IP地址;现需要通过Site to Site VPN使两地局域网互连,使得两地的局域网用户互相可以访问两地局域网的任何网络资源,并且要求维护管理简单方便、高可用性、高安全性。
根据实际情况,我们现在通过集成ISA Server和RRAS(Windows 2000中Router and Remote Access Service)并且使用L2TP/IPSec协议实现Gateway to Gateway方式VPN,来实现TEST.COM公司需求。
方案优点
投资少:不用购买任何VPN硬件设备,利用现有的ISA服务器就可以实现;
配置简单:传统的VPN设备配置复杂,而本方案所有配置全部GUI图形界面;
维护管理方便:全部GUI图形界面,查看当前VPN状态一目了然;
客户端设置简单:局域网内客户端不需要安装任何软件,只要把网关指向本地的ISA服务器内网网卡的IP地址,就可以使用;
高安全性:使用L2TP/IPSec保证数据加密及安全性,并且ISA防火墙只允许本公司拥有的Internet IP才能通过防火墙;
服务器W2K系统安装及配置
GZ-DC-01:
服务:
Active Directory
Domain Name:test.com
DNS
IP配置:
Host Name:GZ-DC-01
Primary DNS Suffix:test.com
DNS Suffix Search List:test.com
Ethernet adapter Local Area Connection:
IP Address: 192.168.0.2
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.0.1
DNS Server: 192.168.168.0.2
使用默认安装,使用Dcpromo提升为DC.
GZ-CA-01:
IP配置:
Host Name:GZ-CA-01
Primary DNS Suffix:test.com
DNS Suffix Search List:test.com
Ethernet adapter Local Area Connection:
IP Address: 192.168.0.3
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.0.1
DNS Server: 192.168.168.0.2
使用默认安装,并手动设置IP配置,加入到test.com域,作为成员服务器.
GZ-VPN-01:
服务:
IP配置:
Host Name:GZ-VPN-01
Primary DNS Suffix:
DNS Suffix Search List:
Ethernet adapter Local Area Connection:(内部网卡)
IP Address: 192.168.0.1
Subnet Mask: 255.255.255.0
Default Gateway:
DNS Server:
Ethernet adapter Local Area Connection:(外部网卡)
IP Address: 202.100.100.2
Subnet Mask: 255.255.255.0
Default Gateway: 202.100.100.1
DNS Server: 202.96.128.110 (ISP DNS)
使用默认安装,并手动设置IP配置,独立服务器.
HK-SRV-01:
IP配置:
Host Name:HK-SRV-01
Ethernet adapter Local Area Connection:
IP Address: 192.168.1.2
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.1.1
使用默认安装,并手动设置IP配置,作为成员服务器.
HK-VPN-01:
服务:
IP配置:
Host Name:HK-VPN-01
Ethernet adapter Local Area Connection:(内部网卡)
IP Address: 192.168.1.1
Subnet Mask: 255.255.255.0
Default Gateway:
DNS Server:
Ethernet adapter Local Area Connection:(外部网卡)
IP Address: 202.100.100.3
Subnet Mask: 255.255.255.0
Default Gateway: 202.100.100.1
DNS Server: 202.96.128.110 (ISP DNS)
使用默认安装,并手动设置IP配置,独立服务器.
证书服务安装配置
在GZ-DC-01域控制器上安装Certificate Services(证书服务)
单击Start,指向Settings,单击Control Panel;打开Add/Remove Programs,单击Add/Remove Windows Components按钮;选择Certificate Services,然后你将看到警告对话框,单击Yes按钮。(如图2)
单击NEXT按扭,在Certification Authority Type页,选择Enterprise root CA;单击NEXT按钮,
在CA Identifying Information页,输入相关的信息;如图3:
 "
单击NEXT按钮,选择Store configuration information in a shared folder,输入共享目录(\\GZ-DC-01\certconfig先自己建立好),单击NEXT按钮,如图4:
你将看到一个警告提示框,单击OK按钮,单击Finish按钮,Certificate Services安装完成。
设置通过组策略自动获取证书
在GZ-DC-01单击Start,指向Programs,指向Administrative Tools,单击Active Directory Users and Computers;右击test.com,单击Properties,选择Group Policy,选择Default Domain Policy,单击EDIT按扭;在Computer Configuration展开Security Settings,展开Public Key Policies;右击Automatic Certificate Request Settings,指向New,单击Automatic Certificate Request;如图5:
然后会出现Welcome to Automatic Certificate Request Setup Wizard,单击NEXT,在Certificate Template页,选择Computer,单击NEXT按钮;在Certificate Authority页,单击NEXT,最后单击Finish按钮。
确定GZ-CA-01已经自动获取了证书
在GZ-CA-01 运行Secedit /refreshpolicy machine_policy /enforce,让GZ-CA-01立即套用Machine组策略,自动获取证书。
然后,单击Start,单击Run,输入mmc,单击Console菜单,单击Add/Remove Snap-in,在Add/Remove Snap-in窗口单击Add按钮,单击Certificates,单击Add按钮,在Certificates snap-in窗口中选择Computer account,单击NEXT按钮,在Select Computer窗口中,单击Finish按钮,单击Close按钮,单击OK按钮;
展开Certificates(Local Computer),展开Personal,单击Certificates,在右边窗口中你将可以看到一张已颁发的证书(如图6),你可以双击这张证书查看证书的详细资料。
安装Stand-alone Root CA
在GZ-CA-01电脑安装Stand-alone Root CA。
单击Start,指向Settings,单击Control Panel;打开Add/Remove Programs,单击Add/Remove Windows Components按钮;选择Certificate Services,然后你将看到警告对话框,单击Yes按钮。
单击NEXT按扭,在Certification Authority Type页,选择Stand-alone Root CA;单击NEXT按钮,
在CA Identifying Information页,输入相关的信息;如图7:
单击NEXT按钮,选择Store configuration information in a shared folder,输入共享目录(\\GZ-CA-01\certconfig先自己建立好),单击NEXT按钮,你将看到一个警告提示框,单击OK按钮,单击Finish按钮,Certificate Services安装完成。
通过WEB从Standlone Root申请证书
在GZ-VPN-01电脑打开IE浏览器,输入http://GZ-CA-01/certsrv,如图8:
在Welcome页,选择Request" a certificate,单击Next>按钮;在Choose Request Type页,选择Advanced request,单击Next>按钮;在Advanced Certificate Requests页,选择Submit a certificate request to this CA using a form. ,单击Next>按钮;在Advanced Certificate Request页中的Identifying Information:,填写详细料,如图9:
在Advanced Certificate Request页中的Key Options:,设置Key Size为512,并选择Mark keys as exportable和Use local machine store,如图10:
 "
单击Submit>按钮,你将看到Certificate Pending页。
然后到GZ-CA-01电脑给GZ-VPN-01颁发刚刚申请的证书,在GZ-CA-01单击Start,指向Programs,指向Administrative,单击Certificate Authority;
在Certificate Authority中,展开Certificate Authority(Local),单击Pending Request,在右边的窗口你可以看到一张正在等待审核的证书,你右击那张证书,指向All Tasks,单击Issue,如图11:
 "
然后再回到GZ-VPN-01的IE浏览器,单击右上角的Home,回到Welcome页,在Welcome页,选择Check on a pending certificate,单击NEXT>按钮,在Check On A Pending Certificate Request页,选择NEXT>按钮(如图12),在 Certificate Issued页,单击Install this certificate,然后这张新的证书将被完全安装。
 "
安装ISA Server
在GZ-VPN-01和HK-VPN-01安装ISA Server。按下面步骤执行:
1. 放入ISA 2000光盘自动运行或运行光盘中的ISAAutorun.exe程序;
2. 单击安装Install ISA Server;
3. 在Welcome页,单击Continue;
4. 输入CD KEY,单击OK;
5. 单击I Agree;
6. 选择Full Installation
7. 出现"This computer cannot join an array….."对话框,单击YES按钮,
8. 在Select the mode for this server页,选择Integrated mode,单击Continue;
9. 出现"Setup has stopped your IIS…",单击OK;
10. 出现Cache设置页,单击OK;
11. 出现LAT Construct设置页,单击Construct Table…按钮;
12. 出现Local Address Table页,选择192.168.0.1那块网卡,单击Add the following private ranges…不选择它,然后单击OK按钮。如下图13:(注:HK-VPN-01设置见下图14)
13. 出现Setup Message页,单击OK按钮,回到LAT Construct设置页,单击OK按钮;
14. 出现Launch ISA Management Tool页,单击OK按钮;
15. 出现ISA Server Setup was completed successfully页,单击OK;
16. ISA Management将打开,单击View菜单,单击Advanced;
17. 重新启动GZ-VPN-01和HK-VPN-01。
|
|
