鸿 网 互 联 www.68idc.cn

关于ISA防火墙中VPN服务的补充说明(图)

来源:互联网 作者:佚名 时间:2015-06-10 04:00
ISA防火墙中的VPN服务是基于Windows服务器系统中的路由和远程访问服务(RRAS) 并且提供了更好的安全和管理特性 在RRAS中 你可以分配两种地址范围的IP地址给VPN客户端 子网内地址范围 即把VPN服务器所连接的内部网络中的地址范围中的IP地址分配给VPN客户 这

  ISA防火墙中的VPN服务是基于Windows服务器系统中的路由和远程访问服务(RRAS)并且提供了更好的安全和管理特性在RRAS中你可以分配两种地址范围的IP地址给VPN客户端
  
  子网内地址范围
  
  即把VPN服务器所连接的内部网络中的地址范围中的IP地址分配给VPN客户这样的好处是当VPN客户需要访问内部网络时内部网络无需增加到VPN客户的路由但是会让内部网络中的IP地址难以区分
  
  子网外地址范围
  
  即分配和VPN服务器所连接的内部网络的地址范围不同的IP地址给VPN客户这样的好处便于识别VPN客户的IP地址缺点是需要在内部网络中添加到VPN客户的路由
  
  在ISA防火墙中对于VPN客户端的地址分配具有两种形式
  
  通过DHCP服务器获取
  
  指定静态IP地址范围
  
  在第一种地址分配形式通过DHCP服务器获取由RRAS服务器启动时从DHCP服务器获得满足VPN服务需求的的IP地址范围如果DHCP服务器在线但是没有为ISA防火墙分配足够数量的IP地址(包括仅仅是只分配了一个IP地址给ISA防火墙)那么当VPN客户拨入通过身份验证时由于ISA防火墙没有足够的IP地址进行分配会拒绝VPN客户的连接VPN客户端的错误警告如下图所示(远程计算机中断了控制协议)
  
 

  而如果DHCP不在线或者ISA防火墙无法从DHCP服务器获得有效的IP地址那么ISA防火墙将会随机使用自动专用IP地址范围(APIPA/)中的IP地址的来为VPN客户进行分配
  
  因此如果你想使用DHCP服务器来为VPN客户分配IP地址而又不愿意使用内部网络中的IP地址来为VPN客户进行分配你必须将DHCP服务器脱离内部子网即将DHCP服务器独立于内部子网具体部署可以参见如何实现VPN使用脱离内部网络的IP地址一文
  
  另外在第二种地址分配形式指定静态IP地址范围你指定的静态IP地址范围必须全部为有效的IP地址例如地址范围为而不能在地址范围中包含主机位为全和全的特殊IP地址例如地址范围为这是因为RRAS会同样将特殊的IP地址分配给VPN客户使用从而导致连接问题
  
  关于Windows系统中RRAS是如何进行VPN客户端的IP地址分配及不同方式的优劣请详见CableGuy的经典文章IP 地址分配与路由和远程访问服务这篇文章应该是部署Windows下VPN服务的管理员的必修课
  
  如果当前已连接的VPN客户数量达到了ISA防火墙VPN服务中所允许的最大数量那么当其他VPN客户再发起VPN连接时ISA防火墙会丢弃VPN客户端发送的连接请求并且不回复响应数据包此时VPN客户端的错误提示如下图所示(服务器无响应)
  
 

  另外你可以在用户的拨入属性中配置用户远程拨入时使用的IP地址此设置会覆盖ISA防火墙VPN服务中的VPN客户端IP地址分配策略中的设置在VPN客户端使用此用户拨入时会使用用户拨入属性中配置的IP地址作为VPN客户端的IP地址而不是按照ISA防火墙中的VPN客户端地址分配策略来进行分配如果已有VPN客户使用此用户账户拨入VPN并且尚未断开连接而其他VPN客户再次使用此用户账户拨入时则根据ISA防火墙VPN服务中的VPN客户端地址分配策略来进行VPN客户端IP地址的分配如果此时ISA防火墙没有足够的IP地址分配给VPN用户那么就会出现错误
  
  对于其他TCP/IP选项(DNS/WINS/其他DHCP选项)的分配也具有两种形式
  
  在ISA防火墙VPN服务地址分配属性的高级设置中手动指定VPN客户所使用的DNS/WINS服务器此时ISA防火墙会只将指定的DNS/WINS服务器分配给VPN客户使用
  
  通过DHCP中继代理从DHCP服务器获得DHCP作用域信息(DNS/WINS/其他DHCP作用域选项 由于VPN客户不能直接向其他网络中的DHCP服务器发送DHCP INFORM数据包来获取DHCP作用域选项必须通过ISA防火墙上的DHCP中继代理进行中转)此时ISA防火墙也会将用于获取DHCP信息的网络接口上配置的DNS/WINS服务器分配给VPN客户使用只是这样分配的DNS/WINS服务器优先级比 从DHCP服务器所获得的DNS/WINS服务器低但是无论VPN客户是否从DHCP服务器成功获取了DNS/WINS服务器信息这种方式分配的DNS/WINS服务器总会存在
  
  在建立VPN拨号连接的时候默认会将此VPN连接作为默认路由(启用了使用远程网络上的默认网关)
  

  这导致了VPN客户不能同时通过自己本地网络的网关访问Internet
  
  如果你取消选择了使用远程网络上的默认网关那么在建立VPN拨号连接时不会将此VPN连接作为默认路由但是会创建一个对应于VPN客户端所获得的IP地址的基于Internet地址类的网络ID的路由例如如果VPN客户端从VPN服务器获得的地址是那么基于Windows Windows XP和Windows Server 系统的VPN客户端将会创建一个路由项指明/的网络从VPN连接进行访问关于这种分离的VPN隧道问题CableGuy在针对并行访问Internet和Intranet的分割隧道功能一文中进行了详细的阐述也强烈建议大家认真的学习一下
网友评论
<