VPN技术在局域网中的应用毕业论文.doc

毕业设计（论文）题目 vpn技术在局域网中的应用 中文摘要摘 要虚拟专用网络(virtual private network ，简称vpn)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个vpn网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路， 而是架构在公用网络服务商所提 供的网络平台，如internet、atm(异步传输模式 、frame relay （帧中继）等之上 的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、 加密和身份验证链接的专用网络的扩展。vpn主要采用了彩隧道技术、加解密技术、 密钥管理技术和使用者与设备身份认证技术。 关键词：vpn, l2tp, pptp, ipsec 绪 论目 录中文摘要1 绪 论11.1 vpn的定义11.2 vpn的工作原理11.3 vpn的研究背景和意义22 vpn的应用领域和目标32.1 vpn的主要应用领域32.2 vpn的设计目标33 实现vpn的关键技术和主要协议53.1 实现vpn的关键技术53.2 vpn的主要安全协议63.2.1 pptp/l2tp错误！未定义书签。3.2.2 ipsec协议84 实例分析84.1 需求分析94.2 方案达到的目的104.3 vpn组建方案网络拓扑图105 各部分vpn设备的配置125.1 公司总部到分支机构的isa vpn配置125.1.1 总部isa vpn配置135.1.2 支部 isa vpn配置165.1.3 vpn连接195.1.4 连接测试205.2 公司总部站点到移动用户端的vpn配置215.2.1 总部isa vpn配置225.2.2 移动用户端vpn配置245.2.3 连接测试24结 论26致 谢 27参 考 文 献.28。 1 绪 论 1.1 vpn的定义vpn（ virtual private network）被定义为通过一个公共网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公共网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网络建立可信的安全连接，并保证数据的安全传输。通过将数据流转移到低成本的网络上，一个企业的虚拟专用网解决方案也将大幅度的减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站。另外，虚拟专用网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。 1.2 vpn的工作原理 把因特网用作专用广域网，就要克服两个主要障碍。首先，网络经常使用多种协议如ipx和netbeui进行通信，但因特网只能处理ip流量。所以，vpn就需要提供一种方法，将非ip的协议从一个网络传送到另一个网络。其次，网上传输的数据包以明文格式传输，因而，只要看得到因特网的流量，就能读取包内所含的数据。如果公司希望利用因特网传输重要的商业机密信息，这显然是一个问题。vpn克服这些障碍的办法就是采用了隧道技术：数据包不是公开在网上传输，而是首先进行加密以确保安全，然后由vpn封装成ip包的形式，通过隧道在网上传输，如图1-1所示：图1-1 vpn工作原理图源网络的vpn隧道发起器与目标网络上的vpn隧道发起器进行通信。两者就加密方案达成一致，然后隧道发起器对包进行加密，确保安全（为了加强安全，应采用验证过程，以确保连接用户拥有进入目标网络的相应的权限。大多数现有的vpn产品支持多种验证方式）。最后，vpn发起器将整个加密包封装成ip包。现在不管原先传输的是何种协议，它都能在纯ip因特网上传输。又因为包进行了加密，所以谁也无法读取原始数据。在目标网络这头，vpn隧道终结器收到包后去掉ip信息，然后根据达成一致的加密方案对包进行解密，将随后获得的包发给远程接入服务器或本地路由器，他们在把隐藏的ipx包发到网络，最终发往相应目的地。1.3 vpn的研究背景和意义随着网络，尤其是网络经济的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益日益增长，另一方面也越来越凸现传统企业网的功能缺陷：传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下，vpn以其独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与维护，而更多地致力于企业的商业目标的实现。虽然vpn在理解和应用方面都是高度复杂的技术，甚至确定其是否适用于本公司也一件复杂的事件，但在大多数情况下vpn的各种实现方法都可以应用于每个公司。即使不需要使用加密数据，也可节省开支。因此，在未来几年里，客户和厂商很可能会使用vpn，从而使电子商务重又获得生机，毕竟全球化、信息化、电子化是大势所趋。2 vpn的应用领域和目标 2 vpn的应用领域和目标2.1 vpn的主要应用领域利用vpn技术几乎可以解决所有利用公共通信网络进行通信的虚拟专用网络连接的问题。归纳起来，有以下几种主要应用领域。（1）远程访问远程移动用户通过vpn技术可以在任何时间、任何地点采用拨号、isdn、dsl、移动ip和电缆技术与公司总部、公司内联网的vpn设备建立起隧道或密道信，实现访问连接，此时的远程用户终端设备上必须加装相应的vpn软件。推而广之，远程用户可与任何一台主机或网络在相同策略下利用公共通信网络设施实现远程vpn访问。这种应用类型也叫access vpn(或访问型vpn)，这是基本的vpn应用类型。不难证明，其他类型的vpn都是access vpn的组合、延伸和扩展。（2）组建内联网一个组织机构的总部或中心网络与跨地域的分支机构网络在公共通信基础设施上采用的隧道技术等vpn技术构成组织机构“内部”的虚拟专用网络，当其将公司所有权的vpn设备配置在各个公司网络与公共网络之间（即连接边界处）时，这样的内联网还具有管理上的自主可控、策略集中配置和分布式安全控制的安全特性。利用vpn组建的内联网也叫intranet vpn。intranet vpn是解决内联网结构安全和连接安全、传输安全的主要方法。（3）组建外联网 使用虚拟专用网络技术在公共通信基础设施上将合作伙伴和有共同利益的主机或网络与内联网连接起来，根据安全策略、资源共享约定规则实施内联网内的特定主机和网络资源与外部特定的主机和网络资源相互共享，这在业务机构和具有相互协作关系的内联网之间具有广泛的应用价值。这样组建的外联网也叫extranet vpn。extranet vpn是解决外联网结构安全和连接安全、传输安全的主要方法。若外联网vpn的连接和传输中使用了加密技术，必须解决其中的密码分发、管理的一致性问题。2.2 vpn的设计目标在实际应用中，一般来说一个高效、成功的vpn应具备以下几个特点：（1） 安全保障 虽然实现vpn的技术和方式很多，但所有的vpn均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用ip网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于vpn直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其vpn上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。extranet vpn将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。 （2）服务质量保证（qos）vpn网络应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证vpn服务的一个主要因素；而对于拥有众多分支机构的专线vpn网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其它应用（如视频等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建vpn的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。qos通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。（3）可扩充性和灵活性vpn必须能够支持通过intranet和extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。（4）可管理性从用户角度和运营商的角度应可方便地进行管理、维护。在vpn管理方面，vpn要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的vpn管理系统是必不可少的。vpn管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，vpn管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、qos管理等内容。29 实现vpn的关键技术和主要协议3 实现vpn的关键技术和主要协议3.1 实现vpn的关键技术（1）隧道技术隧道技术(tunneling)是vpn的底层支撑技术，所谓隧道，实际上是一种封装，就是将一种协议（协议x）封装在另一种协议（协议y）中传输，从而实现协议x对公用网络的透明性。这里协议x被称为被封装协议，协议y被称为封装协议，封装时一般还要加上特定的隧道控制信息，因此隧道协议的一般形式为（协议y）隧道头（协议x）。在公用网络（一般指因特网）上传输过程中，只有vpn端口或网关的ip地址暴露在外边。隧道解决了专网与公网的兼容问题，其优点是能够隐藏发送者、接受者的ip地址以及其它协议信息。vpn采用隧道技术向用户提供了无缝的、安全的、端到端的连接服务，以确保信息资源的安全。隧道是由隧道协议形成的。隧道协议分为第二、第三层隧道协议，第二层隧道协议如l2tp、pptp、l2f等，他们工作在osi体系结构的第二层（即数据链路层）；第三层隧道协议如ipsec，gre等，工作在osi体系结构的第三层（即网络层）。第二层隧道和第三层隧道的本质区别在于：用户的ip数据包被封装在不同的数据包中在隧道中传输。第二层隧道协议是建立在点对点协议ppp的基础上，充分利用ppp协议支持多协议的特点，先把各种网络协议（如ip、ipx等）封装到ppp帧中，再把整个数据包装入隧道协议。pptp和l2tp协议主要用于远程访问虚拟专用网。第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠网络层协议进行传输。无论从可扩充性，还是安全性、可靠性方面，第三层隧道协议均优于第二层隧道协议。ipsec即ip安全协议是目前实现vpn功能的最佳选择。（2）加解密认证技术加解密技术是vpn的另一核心技术。为了保证数据在传输过程中的安全性，不被非法的用户窃取或篡改，一般都在传输之前进行加密，在接受方再对其进行解密密码技术是保证数据安全传输的关键技术，以密钥为标准，可将密码系统分为单钥密码（又称为对称密码或私钥密码）和双钥密码（又称为非对称密码或公钥密码）。单钥密码的特点是加密和解密都使用同一个密钥，因此，单钥密码体制的安全性就是密钥的安全。其优点是加解密速度快。最有影响的单钥密码就是美国国家标准局颁布的des算法（56比特密钥）。而3des（112比特密钥）被认为是目前不可破译的。双钥密码体制下，加密密钥与解密密钥不同，加密密钥公开，而解密密钥保密，相比单钥体制，其算法复杂且加密速度慢。所以现在的vpn大都采用单钥的des和3des作为加解密的主要技术，而以公钥和单钥的混合加密体制(即加解密采用单钥密码，而密钥传送采用双钥密码)来进行网络上密钥交换和管理，不但可以提高了传输速度，还具有良好的保密功能。认证技术可以防止来自第三方的主动攻击。一般用户和设备双方在交换数据之前，先核对证书，如果准确无误，双方才开始交换数据。用户身份认证最常用的技术是用户名和密码方式。而设备认证则需要依赖由ca所颁发的电子证书。 目前主要有的认证方式有：简单口令如质询握手验证协议chap和密码身份验证协议pap等；动态口令如动态令牌和x.509数字证书等。简单口令认证方式的优点是实施简单、技术成熟、互操作性好，且支持动态地加载vpn设备，可扩展性强。（3）密钥管理技术密钥管理的主要任务就是保证在开放的网络环境中安全地传递密钥，而不被窃取。目前密钥管理的协议包括isakmp、skip、mkmp等。internet密钥交换协议ike是internet安全关联和密钥管理协议isakmp语言来定义密钥的交换，综合了oakley和skeme的密钥交换方案，通过协商安全策略，形成各自的验证加密参数。ike交换的最终目的是提供一个通过验证的密钥以及建立在双方同意基础上的安全服务。skip主要是利用diffie-hellman的演算法则，在网络上传输密钥。ike协议是目前首选的密钥管理标准，较skip而言，其主要优势在于定义更灵活，能适应不同的加密密钥。ike协议的缺点是它虽然提供了强大的主机级身份认证，但同时却只能支持有限的用户级身份认证，并且不支持非对称的用户认证。（4）访问控制技术虚拟专用网的基本功能就是不同的用户对不同的主机或服务器的访问权限是不一样的。由vpn服务的提供者与最终网络信息资源的提供者共同来协商确定特定用户对特定资源的访问权限，以此实现基于用户的细粒度访问控制，以实现对信息资源的最大限度的保护。 访问控制策略可以细分为选择性访问控制和强制性访问控制。选择性访问控制是基于主体或主体所在组的身份，一般被内置于许多操作系统当中。强制性访问控制是基于被访问信息的敏感性。3.2 vpn的主要安全协议在实施信息安全的过程中，为了给通过非信任网络的私有数据提供安全保护，通讯的双方首先进行身份认证，这中间要经过大量的协商，在此基础上，发送方将数据加密后发出，接受端先对数据进行完整性检查，然后解密，使用。这要求双方事先确定要使用的加密和完整性检查算法。由此可见，整个过程必须在双方共同遵守的规范( 协议) 下进行。vpn区别于一般网络互联的关键是隧道的建立，数据包经过加密后，按隧道协议进行封装、传送以保证安全性。一般，在数据链路层实现数据封装的协议叫第二层隧道协议，常用的有pptp , l2tp 等;在网络层实现数据封装的协议叫第三层隧道协议，如ipsec。另外，socksv5协议则在tcp层实现数据安全。 3.2.1 pptp/l2tp1996年，microsoft和ascend等在ppp 协议的基础上开发了pptp ， 它集成于windows nt server4.0中，windows nt workstation 和windows 9.x也提供相应的客户端软件。ppp支持多种网络协议，可把ip 、ipx、appletalk或netbeui的数据包封装在ppp包中，再将整个报文封装在pptp隧道协议包中，最后，再嵌入ip报文或帧中继或atm中进行传输。pptp提供流量控制，减少拥塞的可能性，避免由于包丢弃而引发包重传的数量。pptp的加密方法采用microsoft点对点加密(mppe: microsoft point-to- point) 算法，可以选用较弱的40位密钥或强度较大的128位密钥。1996年，cisco提出l2f(layer 2 forwarding)隧道协议，它也支持多协议，但其主要用于cisco的路由器和拨号访问服务器。1997年底，microsoft 和cisco公司把pptp 协议和l2f协议的优点结合在一起，形成了l2tp协议。l2tp支持多协议，利用公共网络封装ppp帧，可以实现和企业原有非ip网的兼容。还继承了pptp的流量控制，支持mp(multilink protocol)，把多个物理通道捆绑为单一逻辑信道。l2tp使用ppp可靠性发送(rfc 1663)实现数据包的可靠发送。l2tp隧道在两端的vpn服务器之间采用口令握手协议chap来验证对方的身份，l2tp受到了许多大公司的支持。pptp/l2tp协议的优点: pptp/l2tp对用微软操作系统的 用户来说很方便，因为微软己把它作为路由软件的一部分。pptp/ l2tp支持其它网络协议。如nowell的ipx,netbeui和appletalk协议,还支持流量控制。 它通过减少丢弃包来改善网络性能，这样可减少重传。pptp/ l2tp协议的缺点：pm和l2tp 将不安全的ip包封装在安全的ip包内，它们用ip帧在两台计算机之间创建和打开数据通道，一旦通道打开，源和目的用户身份就不再需要，这样可能带来问题，它不对两个节点间的信息传输进行监视或控制。pptp和l2tp限制同时最多只能连接255个用户，端点用户需要在连接前手工建立加密信道，认证和加密受到限制，没有强加密和认证支持。pptp/ l2tp最适合于远程访问vpn。 3.2.2 ipsec协议ipsec是ietf(internet engineer task force) 正在完善的安全标准，它把几种安全技术结合在一起形成一个较为完整的体系，受到了众多厂商的关注和支持。通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。ipsec由ip认证头ah(authentication header)、ip安全载荷封载esp(encapsulated security payload)和密钥管理协议组成。ipsec协议是一个范围广泛、开放的虚拟专用网安全协议。ipsec 适应向ipv6迁移， 它提供所有在网络层上的数据保护，提供透明的安全通信。ipsec用密码技术从三个方面来保证数据的安全。即:u 认证：用于对主机和端点进行身份鉴别。u 完整性检查：用于保证数据在通过网络传输时没有被修改。u 加密：加密ip地址和数据以保证私有性。ipsec协议可以设置成在两种模式下运行:一种是隧道模式，一种是传输模式。 在隧道模式下，ipsec把ipv4数据包封装在安全的ip帧 中,这样保护从一个防火墙到另一个防火墙时的安全性。在隧道模式下，信息封装是为了保护端到端的安全性，即在这种模式下不会隐藏路由信息。隧道模式是最安全的，但会带来较大的系统开销。ipsec现在还不完全成熟，但它得到了一些路由器厂商和硬件厂商的大力支持。预计它今后将成为虚拟专用网的主要标准。ipsec有扩展能力以适应未来商业的需要。在1997年底，ietf安全工作组完成了ipsec 的扩展， 在ipsec协议中加上isakmp(internet security association and kay management protocol)协议，其中还包括一个密钥分配协议oakley。isakmp/oakley支持自动建立加密信道，密钥的自动安全分发和更新。ipsec也可用于连接其它层己存在的通信协议，如支持安全电子交易(set:secure electronic transaction)协议和ssl（secure socket layer）协议。即使不用set或ssl，ipsec 都能提供认证和加密手段以保证信息的传输。 实例分析4 实例分析vpn的具体实现方案有很多，实际应用中应根据用户的需求、用户资源现状、承载网络资源现状、投资效益以及相关技术比较等多种因素综合考虑，选择一种主流的方案。在本文中就以一个中小型企业为例模拟实际环境建立一个基于isa的企业vpn网络以满足远程办公、分公司和合作伙伴远程访问的要求。这个实验在理论的指导下实现了一种vpn的实际应用，为中小企业设计vpn网络提供参考和借鉴。4.1 需求分析随着公司的发展壮大，厦门某公司在上海开办了分公司来进一步发展业务，公司希望总部和分公司、总部与合作伙伴可以随时的进行安全的信息沟通，而外出办公人员可以访问到企业内部关键数据，随时随地共享商业信息，提高工作效率。一些大型跨国公司解决这个问题的方法，就是在各个公司之间租用运营商的专用线路。这个办法虽然能解决问题，但是费用昂贵，对于中小企业来说是无法负担的，而vpn技术能解决这个问题。根据该公司用户的需求，遵循着方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则决定采用isa server vpn安全方案，以isa作为网络访问的安全控制。isa server集成了windows server vpn服务，提供一个完善的防火墙和vpn解决方案。以 isa vpn作为连接internet的安全网关，并使用双网卡，隔开内外网，增加网络安全性。isa具备了基于策略的安全性，并且能够加速和管理对internet的访问。防火墙能对数据包层、链路层和应用层进行数据过滤、对穿过防火墙的数据进行状态检查、对访问策略进行控制并对网络通信进行路由。对于各种规模的企业来说，isa server 都可以增强网络安全性、贯彻一致的internet 使用策略、加速internet 访问并实现员工工作效率最大化。在isa中可以使用以下三种协议来建立vpn连接： u ipsec隧道模式； u l2tp over ipsec模式； u pptp； 下表比较了这三种协议： 表4-1 isa中三种协议对比表协议何时使用安全等级备注ipsec隧道模式连接到第三方的vpn服务器高这是唯一一种可以连接到非微软vpn服务器的方式l2tp over ipsec连接到isa server 2000、isa server 2004或者windows vpn服务器高使用rras。比ipsec隧道模式更容易理解，但是要求远程vpn服务器是isa server或者windows vpn服务器。pptp连接到isa server 2000、isa server 2004或者windows vpn服务器中等使用rras，和l2tp具有同样的限制，但是更容易配置。因为使用ipsec加密，l2tp更认为更安全。三个站点都采用isa vpn作为安全网关，且l2tp over ipsec结合了l2tp 和 ipsec的优点，所以在这里采用l2tp over ipsec作为vpn实施方案。4.2 方案达到的目的1) 厦门总部和分公司之间以及厦门总部和合作伙伴之间透过vpn联机采用ipsec协定，确保传输数据的安全；2) 在外出差或想要连回总部或分公司的用户也可使用ipsec方式连回企业网路；3) 对总部内网实施上网的访问控制，通过vpn设备的访问控制策略，对访问的pc进行严格的访问控制；4) 对外网可以抵御黑客的入侵，起到firewall作用。具有控制和限制的安全机制和措施，具备防火墙和抗攻击等功能；5) 部署灵活，维护方便，提供强大的管理功能，以减少系统的维护量以适应大规模组网需要。4.3 vpn组建方案网络拓扑图图4-1 vpn组建网络拓扑图 各部分vpn设备的配置5 各部分vpn设备的配置 公司总部和分支机构之间与公司总部和合作伙伴之间的vpn通信，都是站点对站点的方式，只是权限设置不一样，公司总部和分支机构要实现的公司分支机构共享总部的资源，公司总部和合作伙伴要实现是资源共享和互访。两者之间的差别是合作伙伴的vpn接入上设置了可以总部可以访问的操作。因为三个站点都采用isa vpn作为安全网关，所以以下站点对站点的vpn配置就以公司总部到分支机构为例，说明在isa上实现vpn的具体操作。模拟基本拓扑图：图5-1 实验模拟网络拓扑图5.1 公司总部到分支机构的isa vpn配置各主机的tcp/ip为： 厦门总部外部网络： u ip：u dg：内部网络： u ip：67u dg：none 分部外部网络：u ip：u dg：内部网络： u ip:u dg：none 在总部和支部之间建立一个基于ipsec的站点到站点的vpn连接，由支部向总部进行请求拨号，具体步骤如下： u 在总部isa服务器上建立远程站点； u 建立此远程站点的网络规则； u 建立此远程站点的访问规则； u 在总部为远程站点的拨入建立用户；u 在支部isa服务器上建立远程站点； u 建立此远程站点的网络规则； u 建立此远程站点的访问规则； u 测试vpn连接； 5.1.1 总部isa vpn配置1.在总部isa服务器上建立远程分支机构站点 1） 打开isa server 2004控制台，点击虚拟专用网络，点击右边任务面板中的添加远程站点网络；2） 在欢迎使用网络创建向导页，输入远程站点的名字branch，点击下一步； 3） 在vpn协议页，选择ipsec上的第二层隧道协议（l2tp），点击下一步； 4） 在远程站点网关页，输入远程vpn服务器的名称或ip地址，如果输入名称，需确保可以正确解析，在这里输入点击下一步； 5） 在网络地址页，点击添加输入与此网卡关联的ip地址范围，在此输入和55，点击确定后，点击下一步继续； 6） 在正在完成新建网络向导页，点击完成。 图5-2 总部建立的远程站点图7） 打开vpn客户端，点击配置vpn客户端访问，在常规页中，选择启用vpn客户端访问，填入允许的最大vpn客户端数量20，在协议页，选择启用pptp（n）和启用l2tp/ipsec（e）点击确定。8） 点击选择身份验证方法，选择microsoft加密的身份验证版本2（ms-chapv2）（m）和允许l2tp连接自定义ipsec策略（l）,输入预共享的密钥main04jsja。9） 点击定义地址分配，在地址分配页，选择静态地址池，点击添加，添加vpn连接后总部主机分配的给客户端的ip地址段，在这里输入-55，点击确定完成设置。（方便测试连接，可不添加）2在总部上建立此远程站点的网络规则 接下来，我们需要建立一条网络规则，为远程站点和内部网络间的访问定义路由关系。1） 右键点击配置下的网络，然后点击新建，选择网络规则； 2） 在新建网络规则向导页，输入规则名字，在此命名为internal to branch，点击下一步；3） 在网络通讯源页，点击添加，选择网络目录下的内部，点击下一步； 4） 在网络通讯目标页，点击添加，选择网络目录下的branch，点击下一步； 5） 在网络关系页，选择路由，然后点击下一步； 6） 在正在完成新建网络规则向导页，点击完成；图5-3 总部网络规则图3在总部上建立此远程站点的访问规则 现在，我们需要为远程站点和内部网络间的互访建立访问规则:1) 右键点击防火墙策略，选择新建，点击访问规则； 2) 在欢迎使用新建访问规则向导页，输入规则名称，在此命名为main to branch，点击下一步； 3) 在规则操作页，选择允许，点击下一步； 4) 在协议页，选择所选的协议，然后添加http和ping，(这里可以再根据实际需要添加协议)点击下一步； 5) 在访问规则源页，点击添加，选择网络目录下的branch和内部，点击下一步； 6) 在访问规则目标页，点击添加，选择网络目录下的branch和内部，点击下一步；7) 在用户集页，接受默认的所有用户，点击下一步；在正在完成新建访问规则向导页，点击完成； 8) 最后，点击应用以保存修改和更新防火墙设置。 此时在警报里面有提示，需要重启isa服务器，所以，我们需要重启isa计算机。图5-4 总部访问控制图4. 在总部上为远程站点的拨入建立用户 1） 在重启总部isa服务器后，以管理员身份登录，2） 在我的电脑上点击右键，选择管理，选择在本地用户和组里面，右击用户，选择新用户，这个vpn拨入用户的名字一定要和远程站点的名字一致，在此是main，输入密码main，选中用户不能修改密码和密码永不过期，取消勾选用户必须在下次登录时修改密码，点击创建； 3） 右击此用户，选择属性；在用户属性的拨入标签，选择允许访问，点击确定。图5-5 总部用户创建图此时，远程客户端拨入总部的用户账号就建好了。5.1.2 支部 isa vpn配置1在支部isa服务器上添加远程站点1)打开isa server 2004控制台，点击虚拟专用网络，点击右边任务面板中的添加远程站点网络；2)在欢迎使用网络创建向导页，输入远程站点的名字main，点击下一步； 3)在vpn协议页，选择ipsec上的第二层隧道协议（l2tp），点击下一步； 4)在远程站点网关页，输入远程vpn服务器的名称或ip地址，如果输入名称，需确保可以正确解析，在这里输入，点击下一步； 5)在远程身份验证页，输入用户名main，输入密码main，点击下一步继续； 6)在网络地址页，点击添加输入与此网卡关联的ip地址范围，在此输入和55，点击确定后，点击下一步继续； 7)在正在完成新建网络向导页，点击完成。图5-6 支部建立的远程站点图2. 建立此远程站点的网络规则 接下来，我们需要建立一条网络规则，为远程站点和内部网络间的访问定义路由关系。1) 右击配置下的网络，然后点击新建，选择网络规则；2) 在新建网络规则向导页，输入规则名字，在此我命名为内部-main，点击下一步；3) 在网络通讯源页，点击添加，选择网络目录下的内部，点击下一步；4) 在网络通讯目标页，点击添加，选择网络目录下的main，点击下一步；5) 在网络关系页，选择路由，然后点击下一步；6) 在正在完成新建网络规则向导页，点击完成；图5-7 支部的网络规则图3. 建立此远程站点的访问规则 在创建完远程站点和远程站点的网络规则之后，我们需要为远程站点和内部网络间的互访建立访问规则:1) 右击防火墙策略，选择新建，点击访问规则；2) 在欢迎使用新建访问规则向导页，输入规则名称，在此我命名为branch to main ，点击下一步；3) 在规则操作页，选择允许，点击下一步；4) 在协议页，选择所选的协议，然后添加http和ping，点击下一步；5) 在访问规则源页，点击添加，选择网络目录下的main和内部，点击下一步；6) 在访问规则目标页，点击添加，选择网络目录下的main和内部，点击下一步；7) 在用户集页，接受默认的所有用户，点击下一步；在正在完成新建访问规则向导页，点击完成；8) 最后，点击应用以保存修改和更新防火墙设置。图5-8 支部的访问控制图此时在警报里面有提示，需要重启isa服务器，所以，我们需要重启支部isa计算机。5.1.3 vpn连接在支部的路由和远程访问控制台中，展开服务器 1)点击网络接口，这时就会出现我们创建的main网络拨号接口，右键点击属 性，在安全页选择高级设置下的ipsec设置，在使用预共享的密钥作身份验证（u）的选框里打勾，并输入密钥main04jsja, 点击两次确定，完成密钥设置。 2)右键点击设置凭据，在接口凭据页，输入此接口连接到远程路由器使用的凭 据，因为在远程isa端我们设置为main 所以这里输入的用户密码为main，点击确定。图5-9 连接验证图1） 右键main点击连接图5-10 正在进行连接示意图图5-11 已连接上示意图 到此为止站点到站点的vpn已经构建好了，在上面的设置中，远程的支部不允许总部进行访问，如果要设成可以互相访问，支部的配置只要参照总部的配置就可以实现了。5.1.4 连接测试之前在静态地址池里设置了vpn连接后分配的ip地址，因此测试是否连接时只要查支部主机的ip地址就可以了，在测试的结果中，出现了这个vpn分配的ip地址，说明vpn已成功连接上总部的isa vpn服务器。图5-12 支部主机vpn连接后的ipconfig图在支部的主机上ping总部内部的某一主机，如下所示，虽然第一次连接时间超时，没有回应，但是接下来的三个连接都可以ping通，说明vpn已经成功连接，并可以访问到总部内网的其他主机。图5-13 支部ping通总部内部网络图5.2 公司总部站点到移动用户端的vpn配置总部外部网络： ip： dg：内部网络： ip：67 dg：none移动用户 ip：在总部和移动用户之间建立一个基于ipsec的vpn连接，具体步骤如下： 在总部isa服务器上建立网络规则 建立此远程站点的访问规则； 在总部为远程站点的拨入建立用户； 在客户端建立拨号连接测试vpn连接；5.2.1 总部isa vpn配置1.创建远程访问移动客户端1)打开isa server 2004控制台，点击虚拟专用网络，点击右边任务面板中常规vpn配置中的选择访问网络2)在虚拟专用网络（vpn）属性页 选择访问网络,选中外部和所有网络（和本地主机）3)选择地址分配页，这里需要在静态地址池里面添加分给vpn拨入用户的ip地址，因为在站点对站点的设置里已经配置过，所以这里直接点确定点击确定；4)点击vpn客户端任务里的配置vpn客户端访问选项，点击启用vpn客户端访问，设置允许的最大vpn客户端数量20。5)点击协议选项，选择启用pptp（n）和启用l2tp/ipsec（e）点击确定。2. 创建移动客户端的访问规则现在，我们需要为远程站点和内部网络间的互访建立访问规则， 1)右键点击防火墙策略，在任务面板上选择创建新的访问规则； 2)在欢迎使用新建访问规则向导页，输入规则名称allow move vpn，点击下一步； 3)在规则操作页，选择允许，点击下一步； 4)在协议页，选择所选的协议，然后添加http 和ping，点击下一步； 5)在访问规则源页，点击添加，