本实验室在虚拟计算机中使用以下六台计算机。:g;P3u3r1I*y)d
$n(b+a/F,?)R,~- 畅通网络 因为有我Florence(红色)和 Firenze(红色)运行 ISA Server 2004 Enterprise Edition。这两台计算机配备三个网卡,分别用于连接内部网络、外围网络和外部网络 (Internet)。Florence 和 Firenze 处于名为ITALY 的阵列中。只有 Florence 运行配置存储服务器 (CSS)。
bbs.54master.com%_.K+T.H-L:j
Denver.contoso.com(绿色)是内部网络上 contoso.com 域的域控制器。Denver 上运行 DNS、RADIUS 和 Exchange 2003,同时也是证书颁发机构 (CA)。
我是网管论坛9}"[6\0z$T4U,p8m
Perth.contoso.com(黄色)是 Web 服务器,它位于外围网络上。Perth 不是该域的成员。
bbs.54master.com)[6n.Q5d4])N+~![ q:{0J
Istanbul.fabrikam.com(紫色)是外部网络 (Internet) 上的 Web服务器和客户端计算机。
网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术$D0g/G&Z&?,w#Z
Istanbul 上运行 Outlook 2003。Istanbul不是某个域的成员。Berlin(红色)运行 ISA Server 2004 Enterprise Edition。这台计算机代表一个办事处。Berlin 处在名为 GERMANY 的阵列中。
bbs.54master.com!N6f$Q8S*Z2~8D7F
Berlin 也运行配置存储服务器 (CSS),但与 Florence 上的 CSS属于不同的企业。
;j%Z2E Y0{/K我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!这些计算机不能与主机通信。
6n4X'}'K8z6n N2M5i为便于检查和了解网络通讯,每台虚拟计算机上都安装了 Microsoft Network Monitor 5.2,它属于 Windows Server 2003 的一部分。
)x8l5e3k8Q&\3ibbs.54master.com
1U1`)Q,V2C!_我是网管论坛配置 ISA Server 接受传入的 VPN 连接
!]/f1B;m'q)F%q.U我是网管论坛在本练习中,您将对 ISA Server 进行配置,以接受来自 Internet上客户端计算机的传入VPN 连接。我是网管论坛&W5t-]8\"w(n
注意:本实验室练习使用以下计算机:Florence
(E:|-x2E'g7U-?&n5b7\'w我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!在 Florence 计算机上执行以下步骤。
bbs.54master.com9^0Q/\:U:D
1. 在 Florence 计算机上,检查“路由和远程访问”服务的状态。
我是网管论坛7I,I [8c#A+c2A
a. 在 Florence 计算机上,单击“开始”菜单中的“管理工具”,然后单击“路由和远程访问”。
-q;F:{#}/C7l:l2Zbbs.54master.comb. 在“路由和远程访问”控制台中,选择“FLORENCE(本地)”。
%q'^$o$P6}bbs.54master.com※“路由和远程访问”服务尚未启动,也没有配置该服务。在 VPN 连接得到批准后,ISA Server 使用“路由和远程访问”服务来处理 VPN 连接。
5F#D L/O:~.y0r3D- 畅通网络 因为有我※注意:所有 VPN 配置(用户和组的远程访问拨入权限除外)都是通过 ISA Server 控制台实现的。
)\&`#N9O$H2[+@
!d {5?7j*u;\9[#J- 畅通网络 因为有我2. 使用 ISA Server 控制台配置 VPN 地址范围。我是网管论坛1{5w,I$N1q(}
IP 地址范围:
我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!!Y'r:o:S+x7J
Florence
:\3}-E*x3\7V3?-N;b-^
10.3.1.1 - 10.3.1.100
网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术4X+{4Q"c2I/n7|4T*Z;^
Firenze
!A1t'{$m(A%^
10.3.1.101 -10.3.1.200
我是网管论坛8@1G.p-n-E
a. 在“开始”菜单上,依次单击“所有程序”和“Microsoft ISAServer”,然后单击“ISA 服务器管理”。
4N9M4i0I;B-Q我是网管论坛b. 在 ISA Server 控制台中,依次展开“阵列”、“ITALY”,然后选择“虚拟专用网络(VPN)”。
我是网管论坛+W%H'R(h+R5X2p7H+Y$d
c. 在右窗格中,确保选择“VPN 客户端”选项卡。
- 畅通网络 因为有我4r9o4c,}5{"Y)Y5j
※ISA Server 支持以下两种类型的 VPN 连接:
!s'k)^(O'm
● 远程访问 VPN - Internet 上的客户端计算机建立到ISA Server 的 VPN 连接。此类型在“VPN 客户端”选项卡上配置。
1o2V;q)F#l:v6s我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!● 站点到站点 VPN – 两个专用网络或办事处通过VPN 连接相连。此类型在“远程站点”选项卡上配置。
1?;a4`;t0j:L9Z9D7Y;f我是网管论坛
.f/Q6g;I:\(b/?5}2w- 畅通网络 因为有我d. 在任务窗格的“任务”选项卡上,单击“定义地址分配”。
&|"s#N;Q%v(x'?.Y1N"J- 畅通网络 因为有我※注意:在 ISA Server 2004 Enterprise Edition 中,使用DHCP 服务器为 VPN 客户端分配 IP 地址只限于只
0V!^/|9?#?&\;Q我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!包含单个 ISA Server 的阵列。这是为了避免阵列内通讯以及当 VPN 客户端连接时每个阵列成员需要进行路由表更新。
K${:a#s:F4p我是网管论坛※如果阵列中包含多个 ISA Server,那么首先必须定义每个服务器的静态 IP 地址范围,然后再启用 VPN访问。
我是网管论坛4B9f9A n'{9p%})m
e. 在“虚拟专用网络(VPN)属性”对话框中的“地址分配”选项卡上,单击“添加”。
我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!"~0O+A(i$N6L#c
f. 在“服务器 IP 地址范围属性”对话框中,填写以下信息:
我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!/C9s4Q-{%`3M;L-z
● 选择服务器:Florence
-@0D,p9m2s.W$h,]● 起始地址:10.3.1.1
bbs.54master.com;i2k$L)A:t7n,R,e1{!|8t&?6e
● 结束地址:10.3.1.100
5F"l)i&U-B2O!@"u4Ebbs.54master.com 然后单击“确定”。
bbs.54master.com:a j9r%H:b(y&r
※这一 IP 地址范围最大允许:
:v-q6P(a8n8D6k"Dbbs.54master.com● Florence 上的 1 个目标 VPN IP 地址 (10.3.1.1)
- 畅通网络 因为有我'N%O7C3L!a
● 99 VPN 客户端地址 (10.3.1.2-10.3.1.100)。
我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!/F(D+S;o-B2N/A#X
g. 在“地址分配”选项卡上,单击“添加”。
bbs.54master.com9U)M2~.G,z#|
h. 在“服务器 IP 地址范围属性”对话框中,填写以下信息:
0W9v&w$b8Ibbs.54master.com● 选择服务器:Firenze
我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!.{%C-b.c6Y$] {!o1q
● 起始地址:10.3.1.101
'e:E'Z,X1I)p'}- 畅通网络 因为有我● 结束地址:10.3.1.200
- 畅通网络 因为有我-y @;\$J4D*f%x&\3A!z
然后单击“确定”。
%C1W;K"v7y'^/d网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术i 单击“确定”以关闭“虚拟专用网络(VPN)属性”对话框。
- 畅通网络 因为有我6p2O4g ^7e7V-m.Z$H5Q#z
我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!#n0^8e(B3y'a'N:o
3.启用和配置 VPN 客户端访问。
%A(k6v4V$U&u&gbbs.54master.com最大客户端数:5
- 畅通网络 因为有我9w#l:E']3J6e9^#i8Q
协议:PPTP
- 畅通网络 因为有我!b#d(`-y#I0k3H
a. 在“任务”选项卡上,单击“启用 VPN 客户端访问”。
"V7Z:m$](J9c,?bbs.54master.com※这一步骤启用对于 ISA Server 的 VPN 访问。此时将启用系统策略规则,且配置“路由和远程访问”服务。
bbs.54master.com*\2m7T K"v0x'R.`
※片刻之后,将出现一个警告消息框。由于 Firenze 不可用,ISA Server 控制台无法验证其配置。如果 ISA
!B2})S'g2o- 畅通网络 因为有我服务器处于域中,则计算机帐户将添加到“RAS 和IAS 服务器”组中。
bbs.54master.com'm9y(V3E(r)U L
By RickyFang 此时,我也打开了FIRENZE
+y'A3J#K)Y网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术b. 单击“确定”以关闭警告消息框。
:E4n9e,?;f$rc. 在“任务”选项卡上,单击“配置 VPN 客户端访问”。
网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术.E-x8z N5x!R2W
d. 在“VPN 客户端属性”对话框“常规”选项卡上的“允许的最大 VPN 客户端数量”文本框中,保留默认值 5。
I-D/N(j7\2j2q0a※可同时连接的最大 VPN 客户端数量取决于 ISAServer 的容量以及可用的 IP 地址数。
(F8J(L(A'i3U
'Q%B2s7F#K5M"q
e. 在“协议”选项卡上,确保只选择“启用 PPTP”。
d)e X6O4O4o6a※在本练习中,只使用 PPTP 协议。
)J.Z'x2M7X*c-W$Z'G%Z#B5h+u我是网管论坛f. 单击“确定”以关闭“VPN 客户端属性”对话框。
(e:_&U+k3X6s6c1Ibbs.54master.com※注意,此时尚未应用 VPN 连接。
bbs.54master.com {*l8D/^&a/b7q,h)b;q
4.考察 VPN 连接设置。
-x!w8K,S*V(S!l&q网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术访问网络:外部
8@1u![%t(H:q/r我是网管论坛身份验证:MS-CHAPv2
- 畅通网络 因为有我2W3~ I0X0~-S
a. 在左窗格中,右键单击“虚拟专用网络(VPN)”,然后单击“属性”。
bbs.54master.com&c%[(|)\,^9@
※也可以从任务窗格中访问“虚拟专用网络(VPN)属性”对话框的四个选项卡。
- 畅通网络 因为有我$w$o!P2Z1G$c5S
b. 在“虚拟专用网络(VPN)属性”对话框中,选择“访问网络”选项卡。
$O5p2Q,N%s3_;M7_bbs.54master.com※ISA Server 目前已配置为只接受来自“外部”网络的传入 VPN 连接。
我是网管论坛(Y F%o-t$D:N,t)]2E
c. 选择“身份验证”选项卡。
网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术.O4D%X/q7H
※ISA Server 当前配置为只允许对传入的 VPN 连接进行 MS CHAPv2 身份验证。
我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!%h,D;x6}2D5^4H1N
d. 单击“确定”以关闭“虚拟专用网络(VPN)属性”对话框。
2S&j!X+m&C4a'e我是网管论坛
e9i1o0M5P9W5g5. 考察 VPN 访问规则。bbs.54master.com-F R+Y5y7k5C%}
系统策略规则:允许 VPN 客户端到ISA 服务器的通讯(规则 12)。
2Y:e0x&T%K/\:T我是网管论坛a. 在左窗格中,选择“防火墙策略(ITALY)”。
"M8G$G"W$_"`(^
b. 在任务窗格的“任务”选项卡上,单击“显示系统策略规则”。
网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术1^'p!a*Q/s'e)K
c. 在右窗格中,选择“允许 VPN 客户端到 ISA 服务器的通讯”系统策略规则(规则 12)。
网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术.a8@2Z0q)l8`,{5v2z
※这一系统策略规则允许通过 PPTP 协议从“外部”网络向“本地主机”网络 (ISA Server) 进行访问。
*S4?#Q(k%}&`2a8]/|/L我是网管论坛如果同时启用 L2TP/IPSec VPN 协议来支持 VPN客户端访问,则会使用所需的 L2TP/IPSec 协议(IKE、
!@+d L&R!p"y+u7R+`1U- 畅通网络 因为有我IPSec、L2TP)来扩展此规则。
我是网管论坛,D,m7Q5h5p0b4C(`!P0_!c
※如果在“虚拟专用网络(VPN)属性”对话框的“访问网络”选项卡上启用了其他网络,则会使用这些网络来扩展此规则。
网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术9y u8G-s:d1r1X4A:f2Q
d. 在任务窗格的“任务”选项卡上,单击“隐藏系统策略规则”。
我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!"j1h/k7w3h5_*x:k$W$U
- 畅通网络 因为有我#u%I$L1d$z(W8G
6. 启动“阵列状态监视器”以迅速查看当前的CSS 状态。我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!;w8J:i/j;`2u,J4m'K'J
文件:C:\Tools\Status\ArrayStatus.hta
-[0m2Z#l.c网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术a. 使用 Windows 资源管理器(或“我的电脑”)打开C:\Tools\Status 文件夹。
,q,B*c4q4\+['n,J我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!b. 在 Status 文件夹中,右键单击 ArrayStatus.hta,然后单击“打开”。
;u;~$A:p N3U#L8}我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!※“阵列状态监视器”是一个用于此实验室的 HTML 应用程序。它可持续显示阵列的 CSS 同步状态和 NLB
bbs.54master.com*b%d1O-O6m)~5S
状态。
网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术)e#Q)X!C5Z
※这些信息与“监视”节点处 ISA Server 控制台中“配置”选项卡(CSS 状态)和“服务”选项卡(NLB 状态)上所显示的信息是相同的。
bbs.54master.com$N,N(\0O+R9[&l.Z"]1@:[
c. 关闭 Status 文件夹。
%?/R2K4n9i$S$?-e0s4n
网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术*`5n"[,D7N(s
7. 应用 VPN 配置。
&K7U-N+m,w;Fa. 在 ISA Server 控制台中,单击“应用”以应用 VPN 配置,然后单击“确定”。等待,直到 CSS 状态变为“已同步”。
- 畅通网络 因为有我%c$A&y,i&a3r T
※此步骤将在 ISA Server 上配置和启用 VPN 连接,并配置和启动 ISA Server 计算机上的“路由和远程访
- 畅通网络 因为有我5m2X,]$d1@:C
问”服务。
我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!3~9W h0p%@ c9S
等待 30 秒,ISA Server 将配置和启动“路由和远程访问”服务,然后执行下面的任务。
bbs.54master.com$b1x4O(E&D&Y7X(Y,K#S4a
6W,_4m*k3T5\网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术
我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!"W-D(Z6}.A1U9~"C
(_!@!`%t)Z2I
8.考察“路由和远程访问”控制台的配置。
*s4C;k4O+q&lbbs.54master.coma. 在“路由和远程访问”控制台的左窗格中,右键单击 “FLORENCE(本地)”,然后单击“刷新”。
- 畅通网络 因为有我8M3S0U%u5m;`&C;?
※用户界面将更新,以显示已配置和启动“路由和远程访问”服务。
bbs.54master.com&q3s#Q4V;b7G4A
b. 右键单击“FLORENCE(本地)”,然后单击“属性”。
#i7i8T$]5W6U(L- 畅通网络 因为有我c. 在“FLORENCE(本地)属性”对话框中,选择“IP”选项卡。
我是网管论坛8v7N5_ W9p5e/U5D8r
※此时,ISA Server 已配置“路由和远程访问”服务来使用 IP 地址的静态地址池。
bbs.54master.com0],Z'Q0T7V+~4n9J0?
d. 单击“取消”以关闭“FLORENCE(本地)属性”对话框中。
我是网管论坛:y7H)Q ].h#a:B
e. 展开“FLORENCE(本地)”,然后选择“远程访问策略”。
网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术,G7p"n&u5y*}:b*G:e
f. 在右窗格中,右键单击“ISA 服务器默认策略”远程访问策略,然后单击“属性”。
1G!F*N;n'C"U3I0u"I
※此时,ISA Server 添加了一个新的远程访问策略。
0|;Z:`$x2_2T%g3C7X0i-U6_我是网管论坛● 该策略位于列表中的第一位,并应用于“所有”传入的远程访问连接(日期和时间限制符合 7x
.`)a2J.{$q&b:Y2L!L4i网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术"00:00-24:00")。
bbs.54master.com2m2p4j6`'N;Z'u
● 相关的配置文件指定这些连接所允许的“身份验证”方法。
1n$S7H!m:E)O1h我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!● 除非在用户配置文件中指定了单独的访问权限(下一个任务),否则将“拒绝”远程访问。
bbs.54master.com/D9H9t5p,x*B#X7a o C7L
- 畅通网络 因为有我$o,a%q$h6A1m+Z*r.c+^6g+o
g. 单击“取消”以关闭“ISA 服务器默认策略属性”对话框。
bbs.54master.com'P0A(u4o9H!R
h. 在左窗格中,选择“IP 路由”。在右窗格中,右键单击“静态路由”,然后单击“显示 IP 路由表”。
网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术#R.h.A"O#Z9s)j/m9N+r
※在 Florence 上,ISA Server 为 Firenze 上的 VPN 地址范围 (10.3.1.101-10.3.1.200) 添加了路由。
7D3Q;T8`'ebbs.54master.comFirenze 上 VPN 客户端(甚至可能来自其他 VPN 客户端)的网络通讯将在阵列内正确路由。
我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!*E8`9n#g*}2?$E,e2@
i. 关闭“FLORENCE - IP 路由表”窗口。
%{ j+w$d-b$L- 畅通网络 因为有我j. 关闭“路由和远程访问”控制台。
网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术'c9[+o#v&@)X2@)q8W.v
9a%y1m2X/Y/`9.配置 Administrator帐户的用户配置文件以允许拨入。网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术%V#|#U'h4w8[7E
a. 在“开始”菜单上,单击“管理工具”,然后单击“计算机管理”。
我是网管论坛1A;H!B/[/g6l K
b. 在“计算机管理”控制台的左窗格中,展开“本地用户和组”,然后选择“用户”。
网管论坛,网管软件,企业网管论坛,企业网管软件,企业网管教程,网吧网管论坛,网吧网管软件,网吧网管技术*\%W9]6_/]$h5l#@6q2[
c. 在右窗格中,右键单击“Administrator”,然后单击“属性”。
5T6z9M:[+E,r(j5B
d. 在“Administrator 属性”对话框中的“拨入”选项卡上,选择“允许访问”,然后单击“确定”。
3[8`&t/B7h)pbbs.54master.come. 关闭“计算机管理”控制台。
0P(D6G"T(q5i- 畅通网络 因为有我
&V/L8V!G5J/z我是网管论坛,企业网管的天堂,网吧网管的乐园。网管软件下载、网管教程下载。中国最大的网管交流论坛!※出于演示需要,在本练习中使用本地 Administrator 帐户来创建 VPN 连接。通常,应使用域用户帐户来创建 VPN 连接。
(U(q,F9i \2?-f8c我是网管论坛※注意:ISA Server 现在可以接受从“外部”网络上的客户端计算机传入的 VPN 连接。这样,这些客户端计算机将自动进入“VPN 客户端”网络。
在后面的练习中,您将创建允许“VPN 客户端”网络访问“内部”网络的访问规则。
!D.I8|-f!p#Y8K- 畅通网络 因为有我(z;P0?$M9L5A
[
本帖最后由 rickyfang 于 2007-11-10 15:40 编辑 ]
