ISA Server实验环境搭建与企业VPN配置(三)

三、ISA Server 虚拟VPN配置
VPN对于拥有分支办公室和大量在外办公人员的企业而言是必不可少的，而VPN客户端到服务器端的安全连接则成为重中之重，要实现保护企业资源不受外界侵害，同时保证在外的工作人员能够使用内部资源，灵活配置VPN具有更为现实的意义。本文将以VPN的配置和维护为切入点，在读者完成实验环境的搭建以后，带领读者体验ISA Server 2006的VPN概念和分支办公室VPN连接的强大支持。如图2所示，ISA Server 2006 VPN面板包含的内容：
图2：ISA Server 2006 VPN面板示意图

1、 ISA Server 2006中的VPN概念
ISA Server 2006主要支持以下两种VPN连接：
1）、远程访问VPN连接（主要为来自VPN客户端的连接）；
2）、站到站的VPN连接（主要为分支机构网络和总部之间的连接）。
所有的到ISA Server阵列的VPN连接将会写入到防火墙日志当中，因此用户可以监控VPN的连接。
2、远程访问VPN连接
远程客户端可以通过创建一个到VPN服务器的连接来连接到一个专用网络。ISA Server提供了到整个VPN服务器所在网络的连接访问支持。通过在图2中，对应有VPN Clients和Remote Sites两个选项，在VPN Clients选项下，有以下五个功能性选项：
1）、配置地址分配方法和启用VPN客户端访问；
2）、指定Windows用户或选择一个RADIUS服务器；
3）、确认VPN属性和远程访问配置；
4）、浏览VPN针对客户端网络的防火墙策略；
5）、浏览网络规则。
下面将详细介绍每个功能性选项的详细配置方法：
1）、配置地址分配方法和启用VPN客户端访问
必须在完成地址分配方法的配置以后，才可以启用VPN客户端访问支持。点开配置地址分配方法，在弹出的窗口中将会有以下四个选项：
a、访问网络：选择可以访问的网络；
b、地址分配：指定可访问的IP地址范围；
c、授权认证：指定授权认证方法；
d、RADIUS：选择是否采用RADIUS作为授权认证和日志的方法。
在实验环境中，读者可以根据启动的三个虚拟机的IP地址和网络配置，指定相应的范围，或者用户也可以根据实际的网络环境，首先配置虚拟机的网络设置以模拟真实的网络环境，然后再根据实际的需求进行设定。
完成地址分配方法的配置以后，点开VPN客户端访问，在弹出的窗口中将有以下四个选项：
一般：选择是否启用VPN客户端访问以及最大连接数；
组：指定可以使用的连接组；
协议：指定连接可以使用的协议；
用户匹配：选择是否启用用户匹配功能。
2）、指定Windows用户或选择一个RADIUS服务器
与启用VPN客户端功能项类似，也有四个相同的选项，选择一个RADIUS服务器选项则是地址分配方法的子选项，读者可以保留最初的选择。
3）、确认VPN属性和远程访问配置
该选项是对步骤1）（配置地址分配方法和启用VPN客户端访问）中配置的内容进行复审和确认，所有可选的内容都一样。
4）、浏览VPN针对客户端网络的防火墙策略
点开此功能项，显示的默认的或当前应用中的属性，双击，在弹出的窗口中有以下多个选项：
一般：规则名称和描述；
动作：当满足条件的情况出现时采取的动作；
协议：要监听的所有的协议；
访问源：指定要监控的来源网络（默认为所有网络）；
访问目的地：指定要监控的访问目的地网络（默认为所有网络）；
用户：指定监控的用户（默认为全部用户）；
日程表：制定监控日程表；
内容类型：指定要监控的内容类型。
5）、浏览网络规则
点开此功能项，在浏览网络规则中，有按顺序排列的五个网络规则，如图3所示：
图3：浏览网络规则
双击到内部网络的VPN客户端（VPN Clients to Internal Network），则出现图3中最下端的小窗口，有以下四个选项：
一般：规则的名称和描述；
源网络：指定源网络；
目标网络：指定目标网络；
网络关系：选择网络之间的关系（网络地址解析NAT或路由Route）。
以上是在VPN客户端远程连接的情况下，ISA Server所需要进行的配置项，可能由于实验环境部分功能项受限而无法修改，读者可以在允许的范围内体验其功能。