How to ：配置 ISA Server 2006 中的站点到站点 VPN 连接

在 VPN 功能方面和 ISA Server 2004 相比， ISA Server 2006 主要在站点到站点 VPN 连接方面进行了改进，主要体现在以下方面： 网管联盟bitsCN_com

• 无需启用远程访问 VPN 服务：在 ISA Server 2004 中，配置 L2TP/IPSec 和 PPTP 模式的站点到站点 VPN 需要同时启用远程访问 VPN 服务，而在 ISA Server 2006 中，配置站点到站点 VPN 无需同时启用远程访问 VPN 服务。当然，常规的远程访问 VPN 属性（如 VPN 客户地址分配等）还是需要配置的；

  网管联盟bitsCN@com

• 集成远程访问 VPN 配置：在配置基于 PPTP 和 L2TP/IPSec 模式的站点到站点 VPN 连接时，需要预先配置远程访问 VPN 服务，而 ISA Server 2006 中在配置站点到站点 VPN 连接时，在向导中集成了远程访问 VPN 服务的配置； 网管bitscn_com

• 集成网络规则和访问规则配置：在 ISA Server 2004 中，在创建站点到站点 VPN 连接后，还需要创建对应的网络规则和访问规则以允许客户访问，很多管理员会忽略这一点，从而造成配置失败。在 ISA Server 2006 中，在创建站点到站点 VPN 连接时，在向导中集成了相应网络规则和访问规则的配置，从而简化了配置过程。 网管网www.bitscn.com

• 智能提醒向导：在站点到站点 VPN 连接创建完成后，向导会提醒你成功配置站点到站点 VPN 连接所需要的额外步骤，从而避免配置遗漏所造成的配置失败。

  中国网管联盟bitsCN.com

• 分支办公室 VPN 连接向导和应答文件创建向导： 为了简化分支办公室中 ISA Server 的部署，在 ISA Server 2006 企业版中新增了两个组件：分支办公室 VPN 连接向导和应答文件创建向导。应答文件创建向导允许企业总部的 IT 管理员根据某个分支办公室的远程站点创建一个应答文件， 而分支办公室 VPN 连接向导则可以根据此应答文件将对应分支办公室的 ISA Server 迁移到企业总部的配置存储服务器上。关于这两个组件的使用，请参见How to ：使用分支办公室 VPN 连接向导配置分支办公室与企业总部之间的连接一文。 网管论坛bbs_bitsCN_com

在其他方面， ISA Server 2006 和 ISA Server 2004 并没有太大区别，配置和操作步骤基本一致，只是在 ISA Server 2006 中进行配置更为轻松和人性化，从而更能避免配置失败。并且希望在你阅读本文之前，先阅读How to ：配置 ISA Server 2004 企业版中的站点到站点的VPN连接一文，这样你才能对站点到站点 VPN 连接有更好的认识。另外标准版和企业版间配置站点到站点VPN并没有太大区别，因此在这篇文章中，我使用企业版来为大家进行介绍。

本文中的试验环境如下图所示，企业总部网络中部署了一个 ISA Server 2006 企业版阵列（包含两台 ISA Server 服务器 Florence 和 Firenze，位于工作组环境，其中 Florence 作为配置存储服务器）位于作为边缘防火墙，连接Internet和内部网络；内部网络的IP地址范围为10.1.1.0/24。分公司网络同样部署了一个 ISA Server 2006 企业版阵列，不过此阵列只包含一台 ISA Server 服务器 Istanbul，同时作为配置存储服务器，分公司网络地址范围为 10.2.1.0/24。在这个试验中，我将在总部网络和分公司网络之间部署基于PPTP、L2TP/IPSec 和 IPSec Tunnel的站点到站点 VPN 连接。 网管网www_bitscn_com

中国网管论坛bbs.bitsCN.com

各计算机的TCP/IP配置如下所示： 网管bitscn_com

Florence：

网管网www.bitscn.com

内部网络接口：

网管u家u.bitscn@com

• IP：10.1.1.1/24 中国网管论坛bbs.bitsCN.com

• DG：None

  网管网www_bitscn_com

• DNS：10.1.1.8 网管网www_bitscn_com

外部网络接口：

• IP：61.139.1.1/24 中国网管联盟bitsCN.com

• DG：61.139.1.1 网管bitscn_com

• DNS：None 网管网www.bitscn.com

阵列通信网络接口： 网管联盟bitsCN_com

• IP：172.18.6.1/24 网管论坛bbs_bitsCN_com

• DG：None

  网管联盟bitsCN_com

• DNS：None

  中国网管论坛bbs.bitsCN.com

Firenze：

网管u家u.bitscn@com

内部网络接口：

中国网管联盟bitsCN.com

• IP：10.1.1.2/24 网管联盟bitsCN_com

• DG：None

  网管联盟bitsCN_com

• DNS：10.1.1.8 网管联盟bitsCN@com

外部网络接口：

• IP：61.139.1.2/24

  网管u家u.bitsCN.com

• DG：61.139.1.2

  网管网www.bitscn.com

• DNS：None 网管u家u.bitscn@com

阵列通信网络接口：

中国网管联盟bitsCN.com

• IP：172.18.6.2/24

  网管u家u.bitsCN.com

• DG：None

  网管论坛bbs_bitsCN_com

• DNS：None

  中国网管论坛bbs.bitsCN.com

　 网管下载dl.bitscn.com

在此阵列上针对内部网络和外部网络启用NLB，其中内部虚拟IP地址为 10.1.1.254 ，外部虚拟IP地址为 61.139.1.3 和 61.139.1.4 ，此步骤非必需；在部署IPSec隧道模式时，我会采用NLB部署。 中国网管论坛bbs.bitsCN.com

Berlin：

内部网络接口：

• IP：10.1.1.8/24

  网管u家u.bitscn@com

• DG：10.1.1.254

  网管网www.bitscn.com

• DNS：10.1.1.8 网管联盟bitsCN_com

Istanbul： 中国网管联盟bitsCN.com

内部网络接口： 网管网www_bitscn_com

• IP：10.2.1.1/24 网管bitscn_com

• DG：None 网管联盟bitsCN@com

• DNS：None

  网管下载dl.bitscn.com

外部网络接口： 网管联盟bitsCN@com

• IP：61.139.1.5/24 网管论坛bbs_bitsCN_com

• DG：61.139.1.5 网管bitscn_com

• DNS：None

  网管论坛bbs_bitsCN_com

测试客户机：

中国网管联盟bitsCN.com

内部网络接口：

网管论坛bbs_bitsCN_com

• IP：10.2.1.254/24 网管网www.bitscn.com

• DG：10.2.1.1 中国网管论坛bbs.bitsCN.com

• DNS：None 网管联盟bitsCN@com