ISA Server 2004 支持使用 Internet 协议安全 (IPSec) 隧道协议的站点到站点虚拟专用网络 (VPN)。例如,如果您使用 ISA Server 2004 作为 VPN 服务器,并且要连接到的站点使用第三方产品或 ISA Server 2004 作为它的 VPN 服务器,则可以使用 IPSec 隧道协议。下图显示了 IPSec 隧道解决方案的一种可能的网络拓扑。
使用 IPSec 的 VPN 站点到站点网络
如上图所示,主办公室使用 ISA Server 2004 作为它的 VPN 服务器。ISA Server 2004 位于运行 Microsoft® Windows Server™ 2003 或 Windows® 2000 Server 的计算机上。
分支办公室可能运行多个第三方 VPN 服务器中的一个。或者,分支办公室可能使用 ISA Server 2004、Windows Server 2003 或 Windows 2000 Server 作为它的 VPN 服务器。
使用 IPSec 设置远程网络涉及以下几个常规步骤:
要在运行 Windows 2000 的计算机上使用 IPSec 协议隧道模式创建远程站点网络,必须安装 IPSecPol 工具,该工具可从 Microsoft 网站(http://www.microsoft.com/)获得。该工具必须安装在 ISA 服务器安装文件夹中。
当使用 IPSec 隧道协议创建远程站点网络时,如果重新启动防火墙服务,Microsoft 防火墙服务会修改计算机上的 IPSec 筛选器。该过程可能持续几分钟,这取决于网络的地址范围中包含的子网数。为了将影响降到最低,建议您定义排列在子网边界的 IP 地址范围。
如果停止或重新启动 IPSec PolicyAgent 服务,将丢失所有动态的 IPSec 配置信息,其中包括 ISA 服务器 VPN 站点到站点 IPSec 配置设置,并且客户端将断开连接。此外,当停止 PolicyAgent 服务并清除 IPSec 策略时,来自客户端的所有通讯都将以未加密的形式转发到 Internet。
要还原设置,请启动 PolicyAgent 服务并重新启动防火墙服务。或者,重新启动计算机。
ISA 服务器计算机通常不是域成员。在这种情况下,可以使用本地 IPSec 策略。但是,如果 ISA 服务器是域成员,而该域又为其所有成员应用了 IPSec 策略,则域 IPSec 策略会覆盖本地 IPSec 策略。与域管理员一起工作,以确保域 IPSec 策略不会与为远程站点网络配置的 IPSec 策略发生冲突。要查看远程站点网络的 IPSec 策略,请执行以下操作:
对于 IPSec 远程站点网络,将非主 IP 地址用作本地终结点时,将不支持下列情况:
将多个 IPSEC 远程站点网络连接到运行 Windows Server 2003 的同一 ISA 服务器计算机时,我们建议您为每个远程站点网络的本地终结点定义唯一的 IP 地址。
如果多个 IPSec 远程站点网络需要 NAT/HTTP 功能(从内部网络到远程站点网络),我们建议您针对每个远程站点网络使用专用的网络适配器(将网络适配器上的主 IP 地址用作本地终结点)。要标识主 IP 地址,请执行下列操作:
 请在 ISA Server Guides and Articles 获取最新的 ISA 服务器内容。
|