参考文献虚拟专用网

1、摘 要本文首先介绍了的定义和研究意义，接着介绍了实现的（包括隧道技术,加认证技术，密钥管理技术，控制技术）以及实现的主要安全协议，PPTP/ L2TP 协议、IPSec 协议，为组网提供了理论指导。最后通过构建中小企业的虚拟网，全面介绍了在Windows server 2003 ISA 2004 环境下站点到站点和站点到客户端的的配置，为企业的构建提供参考和借鉴。：隧道，L2TP ，PPTP ，IPSecAbstractthe definition ofThis produrthe keyroduand its study implications. And thentechnologies

2、for implementing awhich includes the Tunneltechnology and its main secure protocols, PPTP/L2TP protocol, IPSEC protocol, SOCKSv5protocol, All these technologies provide the theoretical bases for building anetwork.Finally, by constructing an entof site to site and site to cntrise virtual private netw

3、ork, Iroduced the configurationunder the Windows server 2003 ISA 2004 environment,it provides the referential guideline to theconstruction in entrises.Key words: Tunnel, L2TP, PPTP, IPSec目录1绪论的定义5的工作原理5的研究背景和意义62的应用领域和设计目标82.12.2的主要应用领域8的设计目标93实现的和主要协议113.1 实现3.2的. 11的主要安全协议.2PPT

4、P/L2TP13IPSec 协议144实例分析需求分析16方案达到的目的17组建方案网络拓扑图185设备的配置19各部分5.1 公司总部到分支机构的ISA配置..4总部ISA支部 ISA配置21配置24连接26连接测试285.2 公司总部站点到移动用户端的配置2.2总部ISA移动用户端配置30配置325.2.3连接测试32致谢34参考文献351绪论1.1的定义（ Virtual Private Network）被定义为通过一个公共网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过的公共网络的安全、稳定的隧道。

5、虚拟网是对企业网的扩展。虚拟网可以帮助用户、公司分支机构、商业伙伴及供应商同公司的网络建立的安全连接，数据的安全传输。通过将数据流转移到低成本的网络上，一个企业的虚拟网解决方案也将大幅度的减少用户花费在城域网和网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和。另外，虚拟网还可以保护现有的网络投资。随着用户的商业服务不断发展，企业的虚拟网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。虚拟网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业之间安全通信的虚拟线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟网。1.2的工作原理把因特网用作

6、广域网，就要克服两个主要。首先，网络经常使用多种协议如 IPX 和 NetBEUI 进行通信，但因特网只能处理 IP 流量。所以，就需要提供法，将非 IP 的协议从一个网络传送到另一个网络。其次，网上传输的数据包以明文格式传输，因而，只要看得到因特网的流量，就能包内所含的数据。如果公司希望利用因特网传输重要的商业信息，这显然是一个问题。克服这些的办法就是采用了隧道技术：数据包不是公开在网上传输，而是首先进行加密以确保安全，然后由封装成 IP 包的形式，通过隧道在网上传输，如图 1-1 所示：图 1-1工作原理图源网络的隧道发起器与目标网络上的隧道发起器进行通信。两者就加密方案达成一致，然后隧道

7、发起器对包进行加密，确保安全（为了加强安全，应采用验证过程，以确保连接用户拥有进入目标网络的相应的权限。大多数现有的产品支持多种验证方式）。最后，发起器将整个加密包封装成 IP 包。现在不管原先传输的是何种协议，它都能在纯 IP 因特网上传输。又因为包进行了加密，所以谁也无法原始数据。在目标网络这头，隧道终结器收到包后去掉 IP 信息，然后根据达成一致的加密方案对包进行，将随后获得的包发给接入服务器或本地路由器，他们在把隐藏的 IPX 包发到网络，最终发往相应目的地。1.3的研究背景和意义随着网络，尤其是网络经济的发展，企业日益扩张，客户分布日益广泛，合作伙伴日益增多，这种情况促使了企业的效益

8、日益增长，另一方面也越来越凸现传统企业网的功能缺陷：传统企业网基于固定物理地点的专线连接方式已难以适应现代企业的需求。于是企业对于自身的网络建设提出了更高的需求，主要表现在网络的灵活性、安全性、经济性、扩展性等方面。在这样的背景下，以其独具特色的优势赢得了越来越多的企业的青睐，令企业可以较少地关注网络的运行与，而地致力于企业的商业目标的实现。虽然在理解和应用方面都是高度复杂的技术，甚至确定其是否适用于本公司也一件复杂的事件，但在大多数情况下的各种实现方法都可以应用于每个公司。即使不需要使用加密数据，也可节省开支。因此，在未来几年里，客户和厂商很可能会使用，从而使电子商务重又获得生机，毕竟全球化

9、、信息化、电子化是大势所趋。的应用领域和设计目标22.1的主要应用领域利用技术几乎可以解决所有利用公共通信网络进行通信的虚拟网络连接。归纳起来，有以下几种主要应用领域。（1）移动用户通过技术可以在任何时间、任何地点采用拨号、ISDN、DSL、移动IP 和电缆技术与公司总部、公司内联网的设备建立起隧道或密道信，实现连接，此时的用户终端设备上必须加装相应的。推而广之用户可与任何一台主机或网络在相同策略下利用公共通信网络设施实现。这种应用类型也叫Ac应用类型。不难证明，其他类型的s(或都是Ac型)，这是基的组合、延s本的伸和扩展。（2）组建内联网机构的总部或中心网络与跨地域的分支机构网络在公共通信基

10、础设施上采用的隧道技术等技术组织机构“”的虚拟网络，当其将权的设备配置在各个公司网络与公共网络之间（即连接边界处）时，这样的内联网还具有管理上的可控、策略集中配置和分布式安全控制的安全特性。利用组建的内联网也叫ranet。ranet是解决内联网结构安全和连接安全、传输安全的主要方法。（3）组建外联网使用虚拟网络技术在公共通信基础设施上将合作伙伴和有共同利益的主机或网络与内联网连接起来，根据安全策略、资源共享约定规则实施内联网内的特定主机和网络资源与外部特定的主机和网络资源相互共享，这在业务机构和具有相互协作关系的内联网之间具有广泛的应用价值。这样组建的外联网也叫Extranet。Extrane

11、t是解决外联网结构安全和连接安全、传输安全的主要方法。若外联网的连接和传输中使用了加密技术，必须解决其中的分发、管理的一致性问题。2.2的设计目标在实际应用中，一般来说一个高效、成功的应具备以下几个特点：（1）安全保障虽然实现的技术和方式很多，但所有的均应保证通过公用网络平台传输数据的性和安全性。在非面向连接的公用 IP 网络上建立一个逻辑的、点对点的连接，称之为建立一个隧道，可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证了数据的私有性和安全性。在安全性方面，由于直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其

12、上传送的数据不被攻击者窥视和篡改，并且要防止用户对网络资源或私有信息的。Extranet将企业网扩展到合作伙伴和客户，对安全性提出了更高的要求。（2）服务质量保证（QoS）网络应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。如移动办公用户，提供广泛的连接和覆盖性是保证服务的一个主要；而对于拥有众多分支机构的专线网络，交互式的企业网应用则要求网络能提供良好的稳定性；对于其它应用（如等）则对网络提出了更明确的要求，如网络时延及误码率等。所有以上网络应用均要求网络根据需要提供不同等级的服务质量。在网络优化方面，构建的另一重要需求是充分有效地利用有限的广域网资源

13、，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS 通过流量与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。（3）可扩充性和灵活性必须能够支持通过ranet 和 Extranet 的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。（4）可管理性从用户角度和运营商的角度应可方便地进行管理、。在管理方面，要求企业将其网

14、络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成，企业自己仍需要完成许多网络管理任务。所以，一个完善的管理系统是必不可少的。管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，管理主要包括安全管理、设备管理、配置管理、控制列表管理、QoS 管理等内容。3实现的和主要协议3.1实现的（1）隧道技术隧道技术(Tunneling)是的底层支撑技术，所谓隧道，实际上是一种封装，就是将一种协议（协议 X）封装在另一种协议（协议 Y）中传输，从而实现协议X 对公用网络的透明性。这里协议 X 被称为被封装协议，协议 Y 被

15、称为封装协议，封装时一般还要加上特定的隧道控制信息，因此隧道协议的一般形式为（协议 Y）隧道头（协议X）。在公用网络（一般指因特网）上传输过程中，只有端口或网关的IP 地址在外边。隧道解决了专网与公网的兼容问题，其优点是能够隐藏发送者、接受者的IP 地址以及其它协议信息。采用隧道技术向用户提供了无缝的、安全的、端到端的连接服务，以确保信息资源的安全。隧道是由隧道协议形成的。隧道协议分为第二、第三层隧道协议，第二层隧道协议如 L2TP、PPTP、L2F 等，他们工作在 OSI 体系结构的第二层（即数据链路层）；第三层隧道协议如 IPSec，GRE 等，工作在 OSI 体系结构的第三层（即网络层）

16、。第二层隧道和第三层隧道的本质区别在于：用户的 IP 数据包被封装在不同的数据包中在隧道中传输。第二层隧道协议是建立在点对点协议 PPP 的基础上，充分利用 PPP 协议支持多协议的特点，先把各种网络协议（如 IP、IPX 等）封装到 PPP 帧中，再把整个数据包装入隧道协议。PPTP 和 L2TP 协议主要用于虚拟网。第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠网络层协议进行传输。无论从可扩充性，还是安全性、可靠性方面，第三层隧道协议均优于第二层隧道协议。IPSec 即 IP 安全协议是目前实现功能的最佳选择。（2）加认证技术加技术是的另一技术。为了保证数据在传输过程中

17、的安全性，不被的用户窃取或篡改，一般都在传输之前进行加密，在接受方再对其进行。技术是保证数据安全传输的，以密钥为标准，可将系统分为单钥（又称为对称或私钥）和双钥（又称为非对称或公钥）。单钥的特点是加密和都使用同一个密钥，因此，单钥体制的安全性就是密钥的安全。其优点是加速度快。最有影响的单钥就是局颁布的 DES 算法（56 比特密钥）。而 3DES（112 比特密钥）被认为是目前不可破译的。双钥体制下，加密密钥与密钥不同，加密密钥公开，而密钥，相比单钥体制，其算法复杂且加密速度慢。所以现在的大都采用单钥的 DES 和 3DES 作为加的主要技术，而以公钥和单钥的混合加密体制(即加采用单钥，而密钥

18、传送采钥)来进行网络上密钥交换和管理，不但可以提高了传输速度，还具有良好的功能。认证技术可以防止来自第的主动。一般用户和设备双方在交换数据之前，先核对证书，如果准确无误，双方才开始交换数据。用户认证最常用的技术是用户名和方式。而设备认证则需要依赖由 CA 所颁发的电子。目前主要有的认证方式有：简单口令如质询握手验证协议 CHAP 和验证协议 PAP 等；动态口令如动态令牌和 X.509 数字等。简单口令认证方式的优点是实施简单、技术成熟、互操作性好，且支持动态地加载设备，可扩展性强。（3）密钥管理技术密钥管理的主要任务就是保证在开放的网络环境中安全地传递密钥，而不被窃取。目前密钥管理的协议包括

19、 ISAKMP、SKIP、MKMP 等。ernet 密钥交换协议 IKE 是ernet 安全关联和密钥管理协议ISAKMP 语言来定义密钥的交换，综合了 Oakley 和 SKEME 的密钥交换方案，通过协商安全策略，形成各自的验证加密参数。IKE 交换的最终目的是提供一个通过验证的密钥以及建立在双方同意基础上的安全服务。SKIP 主要是利用 Diffie-man 的演算法则，在网络上传输密钥。IKE 协议是目前首选的密钥管理标准，较 SKIP 而言，其主要优势在于定义更灵活，能适应不同的加密密钥。IKE 协议的缺点是它虽然提供了强大的主机级认证，但同时却只能支持有限的用户级认证，并且不支持非

20、对称的用户认证。（4）控制技术虚拟网的基本功能就是不同的用户对不同的主机或服务器的权限是不一样的。由服务的提供者与最终网络信息资源的提供者共同来协商确定特定用户对特定资源的权限，以此实现基于用户的细粒度控制，以实现对信息资源的最大限度的保护。控制策略可以细分为选择性控制和强制性控制。选择性控制是基于主体或主体所在组的，一般被内置于许多操作系统当中。强制性访问控制是基于被信息的敏感性。3.2的主要安全协议在实施的过程中，为了给通过非信任网络的私有数据提供安全保护，通讯的双方首先进行认证，这中间要经过大量的协商，在此基础上，发送方将数据加密后发出，接受对数据进行完整性检查，然后，使用。这要求双方事

21、先确定要使用的加密和完整性检查算法。由此可见，整个过程必须在双方共同遵守的规范( 协议) 下进行。区别于一般网络互联的关键是隧道的建立，数据包经过加密后，按隧道协议进行封装、传送以保证安全性。一般，在数据链路层实现数据封装的协议叫第二层隧道协议，常用的有 PPTP , L2TP 等;在网络层实现数据封装的协议叫第三层隧道协议，如 IPSec。另外，SOCKSv5 协议则在 TCP 层实现数据安全。3.2.1PPTP/L2TP1996 年，和 Ascend 等在 PPP 协议的基础上开发了 PPTP ， 它集成于 Windows NTServer4.0 中，Windows NT Worksion

22、 和 Windows 9.X 也提供相应的客户端。PPP 支持多种网络协议，可把 IP 、IPX、AppleTalk 或NetBEUI 的数据包封装在 PPP 包中，再将整个报文封装在 PPTP 隧道协议包中，最后，再嵌入 IP 报文或帧中继或 ATM 中进行传输。PPTP 提供流量控制，减少拥塞的可能性，避免由于包丢弃而包重传的数量。PPTP 的加密方法采用点对点加密(MPPE:Po-to- Po) 算法，可以选用较弱的 40 位密钥或强度较大的 128 位密钥。1996 年， Cisco 提出 L2F(Layer 2Forwarding)隧道协议，它也支持多协议，但其主要用于 Cisco

23、的路由器和拨号服务器。1997 年底，和 Cisco 公司把 PPTP 协议和 L2F 协议的优点结合在一起，形成了 L2TP 协议。L2TP 支持多协议，利用公共网络封装 PPP 帧，可以实现和企业原有非 IP 网的兼容。还继承了 PPTP 的流量控制， 支持MP(Multilink Protocol)，把多个物理通道为单一逻辑信道。L2TP 使用 PPP可靠性发送(RFC 1663)实现数据包的可靠发送。L2TP 隧道在两端的服务器之间采用口令握手协议 CHAP 来验证对方的.L2TP 受到了许多大公司的支持.PPTP/L2TP 协议的优点: PPTP/L2TP 对用微软操作系统的 用户来

24、说很方便，因为微软己把它作为路由的一部分。PPTP/ L2TP 支持其它网络协议。如NOWELL 的 IPX,NETBEUI 和 APPLETALK 协议,还支持流量控制。 它通过减少丢弃包来改善网络性能，这样可减少重传。PPTP/ L2TP 协议的缺点:PM 和L2TP 将不安全的 IP 包封装在安全的 IP 包内，它们用 IP 帧在两台计算机之间创建和打开数据通道，一旦通道打开，源和目的用户就不再需要，这样可能带来问题，它不对两个节点间的信息传输进行监视或控制。PPTP 和 L2TP 限制同时最多只能连接 255 个用户，端点用户需要在连接前手工建立加密信道，认证和加密受到限制，没有强加密

25、和认证支持。PPTP/ L2TP 最适合于.3.2.2IPSec 协议IPSec 是 IETF(ernet Engineer Task Force) 正在完善的安全标准，它把几种安全技术结合在一起形成一个较为完整的体系，受到了众多厂商的关注和支持。通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和性。IPSec 由 IP 认证头 AH(Authentication Header)、IP 安全载荷封载ESP(Encapsulated Security Payload)和密钥管理协议组成。IPSec 协议是一个范围广泛、开放的虚拟网安全协议。IPSec 适应向IPv6 迁移， 它提供

26、所有在网络层上的数据保护，提供透明的安全通信。IPSec用技术从三个方面来保证数据的安全。即:认证：用于对主机和端点进行鉴别。完整性检查：用于保证数据在通过网络传输时没有被修改。加密：加密 IP 地址和数据以保证私有性。IPSec 协议可以设置成在两种模式下运行:一种是隧道模式，一种是传输模式。 在隧道模式下，IPSec 把 IPv4 数据包封装在安全的 IP 帧 中,这样保护从一个到另一个时的安全性。在隧道模式下，信息封装是为了保护端到端的安全性，即在这种模式下不会隐藏路由信息。隧道模式是最安全的，但会带来较大的系统开销。IPSec 现在还不完全成熟，但它得到了一些路由器厂商和硬件厂商的大力

27、支持。预计它今后将成为虚拟网的主要标准。IPSec 有扩展能力以适应未来商业的需要。在 1997 年底，IETF组完成了 IPSec 的扩展， 在 IPSec 协议中加上 ISAKMP(ernet Security Assotion and KayManagement Protocol) 协议， 其中还包括一个密钥分配协议 Oakley 。ISAKMP/Oakley 支持自动建立加密信道，密钥的自动安全分发和更新。IPSec 也可用于连接其它层己存在的通信协议，如支持安全电子交易(SET:SecureElectronic Tranion)协议和 SSL（Secure Socket layer）

28、协议。即使不用SET 或 SSL,IPSec 都能提供认证和加密以保证信息的传输。4实例分析的具体实现方案有很多，实际应用中应根据用户的需求、用户资源现状、承载网络资源现状、投资效益以及相关技术比较等多种综合考虑，选择一种主流的方案。在本文中就以一个中小型企业为例模拟实际环境建立一个基于ISA 的企业网络以满足办公、和合作伙伴的要求。这个实验在理论的指导下实现了一种的实际应用，为中小企业设计网络提供参考和借鉴。4.1需求分析随着公司的发展壮门某公司在开办了来进一步发展业务，公司希望总部和、总部与合作伙伴可以随时的进行安全的信息沟通，而外出办公可以到企业关键数据，随时随地共享商业信息，提高工作效

29、率。一些大型公司解决这个问题的方法，就是在各个公司之间租用运营商的线路。这个办法虽然能解决问题，但是费用昂贵，对于中小企业来说是无法负担的，而技术能解决这个问题。根据该公司用户的需求，遵循着方便实用、高效低成本、安全可靠、网络架构弹性大等相关原则决定采用 ISA Server安全方案，以 ISA 作为网络的安全控制。ISA Server 集成了 Windowsserver服务，提供一个完善的和解决方案。以 ISA作为连接ernet 的安全网关，并使网卡，隔开内，增加性。ISA具备了基于策略的安全性，并且能够加速和管理对ernet 的。能对数据包层、链路层和应用层进行数据过滤、对穿过的数据进行状

30、态检查、对策略进行控制并对网络通信进行路由。对于各种规模的企业来说，ISAServer 都可以增强性、一致的ernet 使用策略、加速ernet并实现员工工作效率最大化。在ISA 中可以使用以下三种协议来建立连接：IPSEC 隧道模式；L2TP over IPSec 模式；PPTP；下表比较了这三种协议：表 4-1ISA 中三种协议对比表三个站点都采用ISA作为安全网关，且L2TP over IPSec 结合了L2TP和IPSec 的优点，所以在这里采用L2TP over IPSec 作为实施方案。4.2方案达到的目的1)厦门总部和之间以及厦门总部和合作伙伴之间透过联机采用IPSec 协定，确

31、保传输数据的安全；2)在外出差或想要连回总部或的用户也可使用 IPSec 方式连回企业网路；3)对总部内网实施上网的控制，通过设备的控制策略，对的PC 进行严格的控制。4)对可以抵御的，起到 Firewall 作用。具有控制和限制的安全机制和措施，具备和抗等功能；协议何时使用安全等级备注IPSec 隧道模式连接到第的服务器高这是唯一一种可以连接到非微软服务器的方式L2TP over IPSec连接到 ISA Server 2000、 ISA Server 2004 或者 Windows服务器高使用 RRAS。比 IPSec 隧道模式更容易理解，但是要求服务器是 ISA Server 或者Win

32、dows服务器。PPTP连接到 ISA Server 2000、 ISA Server 2004 或者 Windows服务器中等使用 RRAS，和 L2TP 具有同样的限制，但是更容易配置。因为使用 IPSec 加密，L2TP 更认为更安全。5) 部署灵活，方便，提供强大的管理功能，以减少系统的量以适应大规模组网需要。4.3组建方案网络拓扑图图 4-1组建网络拓扑图5各部分设备的配置公司总部和分支机构之间与公司总部和合作伙伴之间的通信，都是站点对站点的方式，只是权限设置不一样，公司总部和分支机构要实现的公司分支机构共享总部的资源，公司总部和合作伙伴要实现是资源共享和互访。两者之间的差别是合作伙

33、伴的接入上设置了可以总部可以的操作。因为三个站点都采用ISA作为安全网关，所以以下站点对站点的配置就以公司总部到分支机构为例，说明在ISA 上实现模拟基本拓扑图：的具体操作。图 5-1 实验模拟网络拓扑图5.1公司总部到分支机构的 ISA配置各主机的 TCP/IP 为：厦门总部外部网络：IP：DG：网络：IP：67DG：None分部外部网络：IP：DG：网络：IP:DG：None在总部和支部之间建立一个基于 IPSec 的站点到站点的连接，由支部向总部进行请求拨号，具体步骤如下：在总部 ISA 服务器上建立站点；建立此站点的网络规则；建立此站点的规则；在总部为站点的拨入建立用户；在支部 ISA

34、 服务器上建立站点；建立此站点的网络规则；建立此站点的规则；测试连接；5.1.1总部ISA配置1、在总部 ISA 服务器上建立分支机构站点1)打开 ISA Server 2004 控制台，点击虚拟网络，点击右边任务面板中的添加站点网络；2)在欢迎使用网络创建向导页，输入站点的名字 Branch，点击下一步；3)在协议页，选择 IPSec 上的第二层隧道协议（L2TP），点击下一步；4)在站点网关页，输入服务器的名称或 IP 地址，如果输入名称，需确保可以正确，在这里输入 点击下一步；5)在网络地址页，点击添加输入与此网卡关联的 IP 地址范围，在此输入 和 55，点击确定后，点击下一步继续；6

35、)在正在完成新建网络向导页，点击完成。图 5-2总部建立的站点图7)打开客户端，点击配置客户端，在常规页中，选择启用客户端，填入允许的最大客户端数量 20，在协议页，选择启用 PPTP（N）和启用 L2TP/IPSEC（E）点击确定。8)点击选择验证方法，选择加密的验证版本 2（MS-CHAPv2）（M）和允许L2TP 连接自定义IPSec 策略（L）,输入预共享的密钥main04jsja.9)点击定义地址分配，在地址分配页，选择静态地址池，点击添加，添加连接后总部主机分配的给客户端的 IP 地址段，在这里输入-55，点击确定完成设置。（方便测试连接，可不添加）2、在总部上建立此站点的网络规则

36、接下来，路由关系。需要建立一条网络规则，为站点和网络间的定义1)配置下的网络，然后点击新建，选择网络规则；2)在新建网络规则向导页，输入规则名字，在此命名为ernal to Branch，点击下一步;3)在网络通讯源页，点击添加，选择网络目录下的，点击下一步；4)在网络通讯目标页，点击添加，选择网络目录下的 Branch，点击下一步；5)在网络关系页，选择路由，然后点击下一步；6)在正在完成新建网络规则向导页，点击完成；图 5-3 总部网络规则图3、在总部上建立此站点的规则现在，需要为站点和网络间的互访建立规则，1)策略，选择新建，点击规则；2)在欢迎使用新建规则向导页，输入规则名称，在此命名

37、为 maobranch，点击下一步；3)在规则操作页，选择允许，点击下一步；4)在协议页，选择所选的协议，然后添加 HTTP 和，(这里可以再根据实际需要添加协议)点击下一步；5)在规则源页，点击添加，选择网络目录下的 Branch 和，点击下一步；6)在规则目标页，点击添加，选择网络目录下的 Branch 和，点击下一步；7)在用户集页，接受默认的所有用户，点击下一步；在正在完成新建规则向导页，点击完成；8)最后，点击应用以保存修改和更新设置。此时在警报里面有提示，需要重启 ISA 服务器，所以，需要重启 ISA 计算机。图 5-4 总部控制图4、在总部上为站点的拨入建立用户1)在重启总部

38、ISA 服务器后，以管理员登录，2)在电脑上点击右键，选择管理，选择在本地用户和组里面，右击用户，选择新用户，这个拨入用户的名字一定要和站点的名字一致，在此是 main，输入main，选中用户不能修改和永不过期，取消勾选用户必须在下次登录时修改，点击创建；3)右击此用户，选择属性；在用户属性的拨入，选择允许，点击确定。图 5-5 总部用户创建图此时，客户端拨入总部的用户账号就建好了。5.1.2支部 ISA配置1、在支部 ISA 服务器上添加站点1)打开 ISA Server 2004 控制台，点击虚拟网络，点击右边任务面板中的添加站点网络；2)在欢迎使用网络创建向导页，输入站点的名字 Main

39、，点击下一步；3)在协议页，选择 IPSec 上的第二层隧道协议（L2TP），点击下一步；4)在站点网关页，输入服务器的名称或 IP 地址，如果输入名称，需确保可以正确，在这里输入 ，点击下一步；5)在验证页，输入用户名 main，输入main，点击下一步继续；6)在网络地址页，点击添加输入与此网卡关联的 IP 地址范围，在此输入 和 55，点击确定后，点击下一步继续；7)在正在完成新建网络向导页，点击完成。图 5-6 支部建立的站点图2、建立此站点的网络规则接下来，需要建立一条网络规则，为站点和网络间的定义路由关系。1)右击配置下的网络，然后点击新建，选择网络规则；2)在新建网络规则向导页，

40、输入规则名字，在此我命名为-Main，点击下一步；3)在网络通讯源页，点击添加，选择网络目录下的，点击下一步；4)在网络通讯目标页，点击添加，选择网络目录下的 Main，点击下一步；5)在网络关系页，选择路由，然后点击下一步；6)在正在完成新建网络规则向导页，点击完成；图 5-7 支部的网络规则图3、建立此站点的规则在创建完站点和站点的网络规则之后需要为站点和网络间的互访建立规则，1)右击策略，选择新建，点击规则；2)在欢迎使用新建规则向导页，输入规则名称，在此我命名为 branch tomain ，点击下一步；3)在规则操作页，选择允许，点击下一步；4)在协议页，选择所选的协议，然后添加 H

41、TTP 和，点击下一步；5)在规则源页，点击添加，选择网络目录下的 Main 和，点击下一步；6)在规则目标页，点击添加，选择网络目录下的 Main 和，点击下一步；7) 在用户集页，接受默认的所有用户，点击下一步；在正在完成新建规则向导页，点击完成；8) 最后，点击应用以保存修改和更新设置。图 5-8 支部的控制图此时在警报里面有提示，需要重启 ISA 服务器，所以，ISA 计算机。需要重启支部5.1.3连接在支部的路由和控制台中，展开服务器，1) 点击网络接口，这时就会出现创建的 main 网络拨号接口，属性，在安全页选择高级设置下的 IPSec 设置，在使用预共享的密钥作验证（U）的选框

42、里打勾，并输入密钥 main04jsja, 点击两次确定，完成密钥设置。2)设置凭据，在接口凭据页，输入此接口连接到路由器使用的凭据，因为在ISA 端设置为 main 所以这里输入的用户为 main，点击确定。图 5-9 连接验证图3)右键 main 点击连接图 5-10 正在进行连接示意图图 5-11 已连接上示意图到此为止站点到站点的已经构建好了，在上面的设置中，的支部不允许总部进行，如果要设成可以互相，支部的配置只要参照总部的配置就可以实现了。5.1.4连接测试之前在静态地址池里设置了连接后分配的 IP 地址，因此测试是否连接时只要查支部主机的 IP 地址就可以了，在测试的结果中，出现了

43、 这个分配的 IP 地址，说明已成功连接上总部的 ISA服务器。图 5-12 支部主机连接后的 ipconfig 图在支部的主机上总部的某一主机，如下所示，虽然第一次连接时间超时，没有回应，但是接下来的三个连接都可以通，说明已经成功连接，并可以到总部内网的其他主机。图 5-13 支部通总部网络图5.2公司总部站点到移动用户端的配置总部外部网络：IP：DG：网络：IP：67DG：None移动用户IP：在总部和移动用户之间建立一个基于 IPSec 的连接，具体步骤如下：在总部 ISA 服务器上建立网络规则建立此站点的规则；在总部为站点的拨入建立用户；在客户端建立拨号连接测试连接；5.2.1总部ISA配置1、创建移动客户端1)打开 ISA Server 2004 控制台，点击虚拟网络，点击右边任务面板中常规配置中的选择网络2)在虚拟网络（）属性页 选择网络,选中外部和所有网络（和本机）3)选择地址分配页，这里需要在静态地址池里面添