摘要
　　
　　本文講述了如何集成ISA Server和Windows 2000 Server的RRAS實現具有高可用性和高安全性的站點間的VPN。
　　
　　目錄
　　
　　環境分析
　　
　　方案優點
　　
　　服務器W2K系統安裝及配置
　　
　　證書服務安裝配置
　　
　　安裝ISA Server
　　
　　設置Local ISA VPN Server
　　
　　設置Remote ISA VPN Server
　　
　　PPTP連接
　　
　　設置使用L2TP/IPSec
　　
　　參考信息
　　
　　作者介紹
　　
　　環境分析
　　____________________
　　
　　　
　　公司TEST.COM（虛構），總部位于廣州，內有局域網使用192.168.0.0/24網段，在香港有一分公司，內有局域網使用192.168.1.0/24網段，兩地都是通過ＡＤＳＬ專線接入Internet，分別有兩個固定IP地址；現需要通過Site to Site VPN使兩地局域網互連，使得兩地的局域網用戶互相可以訪問兩地局域網的任何網絡資源，并且要求維護管理簡單方便、高可用性、高安全性。
　　
　　根據實際情況，我們現在通過集成ISA Server和RRAS（Windows 2000中Router and Remote Access Service）并且使用L2TP/IPSec協議實現Gateway to Gateway方式VPN，來實現TEST.COM公司需求。
　　
　　方案優點
　　
　　投資少：不用購買任何VPN硬件設備，利用現有的ISA服務器就可以實現；
　　
　　配置簡單：傳統的VPN設備配置復雜，而本方案所有配置全部GUI圖形界面；
　　
　　維護管理方便：全部GUI圖形界面，查看當前VPN狀態一目了然；
　　
　　客戶端設置簡單：局域網內客戶端不需要安裝任何軟件，只要把網關指向本地的ISA服務器內網網卡的IP地址，就可以使用；
　　
　　高安全性：使用L2TP/IPSec保證數據加密及安全性，并且ISA防火墻只允許本公司擁有的Internet IP才能通過防火墻；
　　
　　服務器W2K系統安裝及配置
　　
　　GZ-DC-01：
　　
　　服務：
　　
　　Active Directory
　　
　　Domain Name：test.com
　　
　　DNS
　　
　　IP配置：
　　
　　Host Name：GZ-DC-01
　　
　　Primary DNS Suffix：test.com
　　
　　DNS Suffix Search List：test.com
　　
　　Ethernet adapter Local Area Connection：
　　
　　IP Address： 192.168.0.2
　　
　　Subnet Mask： 255.255.255.0
　　
　　Default Gateway： 192.168.0.1
　　
　　DNS Server： 192.168.168.0.2
　　
　　使用默認安裝，使用Dcpromo提升為ＤＣ．
　　
　　GZ-CA-01：
　　
　　IP配置：
　　
　　Host Name：GZ-CA-01
　　
　　Primary DNS Suffix：test.com
　　
　　DNS Suffix Search List：test.com
　　
　　Ethernet adapter Local Area Connection：
　　
　　IP Address： 192.168.0.3
　　
　　Subnet Mask： 255.255.255.0
　　
　　Default Gateway： 192.168.0.1
　　
　　DNS Server： 192.168.168.0.2
　　
　　使用默認安裝，并手動設置ＩＰ配置，加入到test.com域，作為成員服務器．
　　
　　GZ-VPN-01：
　　
　　服務：
　　
　　IP配置：
　　
　　Host Name：GZ-VPN-01
　　
　　Primary DNS Suffix：
　　
　　DNS Suffix Search List：
　　
　　Ethernet adapter Local Area Connection：（內部網卡）
　　
　　IP Address： 192.168.0.1
　　
　　Subnet Mask： 255.255.255.0
　　
　　Default Gateway：
　　
　　DNS Server：
　　
　　Ethernet adapter Local Area Connection：（外部網卡）
　　
　　IP Address： 202.100.100.2
　　
　　Subnet Mask： 255.255.255.0
　　
　　Default Gateway： 202.100.100.1
　　
　　DNS Server： 202.96.128.110　（ISP DNS)
　　
　　使用默認安裝，并手動設置ＩＰ配置，獨立服務器．
　　
　　HK-SRV-01：
　　
　　IP配置：
　　
　　Host Name：HK-SRV-01
　　
　　Ethernet adapter Local Area Connection：
　　
　　IP Address： 192.168.1.2
　　
　　Subnet Mask： 255.255.255.0
　　
　　Default Gateway： 192.168.1.1
　　
　　使用默認安裝，并手動設置ＩＰ配置，作為成員服務器．
　　
　　HK-VPN-01：
　　
　　服務：
　　
　　IP配置：
　　
　　Host Name：HK-VPN-01
　　
　　Ethernet adapter Local Area Connection：（內部網卡）
　　
　　IP Address： 192.168.1.1
　　
　　Subnet Mask： 255.255.255.0
　　
　　Default Gateway：
　　
　　DNS Server：
　　
　　Ethernet adapter Local Area Connection：（外部網卡）
　　
　　IP Address： 202.100.100.3
　　
　　Subnet Mask： 255.255.255.0
　　
　　Default Gateway： 202.100.100.1
　　
　　DNS Server： 202.96.128.110　（ISP DNS）
　　
　　使用默認安裝，并手動設置ＩＰ配置，獨立服務器．
　　
　　證書服務安裝配置
　　
　　在GZ-DC-01域控制器上安裝Certificate Services（證書服務）
　　
　　單擊Start，指向Settings，單擊Control Panel；打開Add/Remove Programs，單擊Add/Remove Windows Components按鈕；選擇Certificate Services，然后你將看到警告對話框，單擊Yes按鈕。（如圖2）
　　　 #p#分頁標題#e#
　　
　　單擊NEXT按扭，在Certification Authority Type頁，選擇Enterprise root CA；單擊NEXT按鈕，
　　
　　在CA Identifying Information頁，輸入相關的信息；如圖3：
　　　
　　單擊NEXT按鈕，選擇Store configuration information in a shared folder，輸入共享目錄（GZ-DC-01certconfig先自己建立好），單擊NEXT按鈕，如圖4：
　　　
　　你將看到一個警告提示框，單擊OK按鈕，單擊Finish按鈕，Certificate Services安裝完成。
　　
　　設置通過組策略自動獲取證書
　　
　　在GZ-DC-01單擊Start，指向Programs，指向Administrative Tools，單擊Active Directory Users and Computers；右擊test.com，單擊Properties，選擇Group Policy，選擇Default Domain Policy，單擊EDIT按扭；在Computer Configuration展開Security Settings，展開Public Key Policies；右擊Automatic Certificate Request Settings，指向New，單擊Automatic Certificate Request；如圖5：
　　　
　　然后會出現Welcome to Automatic Certificate Request Setup Wizard，單擊NEXT，在Certificate Template頁，選擇Computer，單擊NEXT按鈕；在Certificate Authority頁，單擊NEXT，最后單擊Finish按鈕。
　　
　　確定GZ-CA-01已經自動獲取了證書
　　
　　在GZ-CA-01 運行Secedit /refreshpolicy machine_policy /enforce，讓GZ-CA-01立即套用Machine組策略，自動獲取證書。
　　
　　然后，單擊Start，單擊Run，輸入mmc，單擊Console菜單，單擊Add/Remove Snap-in，在Add/Remove Snap-in窗口單擊Add按鈕，單擊Certificates，單擊Add按鈕，在Certificates snap-in窗口中選擇Computer account，單擊NEXT按鈕，在Select Computer窗口中，單擊Finish按鈕，單擊Close按鈕，單擊OK按鈕；
　　
　　展開Certificates(Local Computer)，展開Personal，單擊Certificates，在右邊窗口中你將可以看到一張已頒發的證書（如圖6），你可以雙擊這張證書查看證書的詳細資料。
　　　
　　安裝Stand-alone Root CA
　　
　　在GZ-CA-01電腦安裝Stand-alone Root CA。
　　
　　單擊Start，指向Settings，單擊Control Panel；打開Add/Remove Programs，單擊Add/Remove Windows Components按鈕；選擇Certificate Services，然后你將看到警告對話框，單擊Yes按鈕。
　　
　　單擊NEXT按扭，在Certification Authority Type頁，選擇Stand-alone Root CA；單擊NEXT按鈕，
　　
　　在CA Identifying Information頁，輸入相關的信息；如圖7：
　　　
　　單擊NEXT按鈕，選擇Store configuration information in a shared folder，輸入共享目錄（GZ-CA-01certconfig先自己建立好），單擊NEXT按鈕，你將看到一個警告提示框，單擊OK按鈕，單擊Finish按鈕，Certificate Services安裝完成。
　　
　　通過WEB從Standlone Root申請證書
　　
　　在GZ-VPN-01電腦打開IE瀏覽器，輸入http://GZ-CA-01/certsrv，如圖8：
　　　
　　在Welcome頁,選擇Request a certificate，單擊Next>按鈕；在Choose Request Type頁，選擇Advanced request，單擊Next>按鈕；在Advanced Certificate Requests頁，選擇Submit a certificate request to this CA using a form. ，單擊Next>按鈕；在Advanced Certificate Request頁中的Identifying Information:，填寫詳細料，如圖9：