參考文獻(xiàn)虛擬專用網(wǎng)

1、摘 要本文首先介紹了的定義和研究意義，接著介紹了實(shí)現(xiàn)的（包括隧道技術(shù),加認(rèn)證技術(shù)，密鑰管理技術(shù)，控制技術(shù)）以及實(shí)現(xiàn)的主要安全協(xié)議，PPTP/ L2TP 協(xié)議、IPSec 協(xié)議，為組網(wǎng)提供了理論指導(dǎo)。最后通過構(gòu)建中小企業(yè)的虛擬網(wǎng)，全面介紹了在Windows server 2003 ISA 2004 環(huán)境下站點(diǎn)到站點(diǎn)和站點(diǎn)到客戶端的的配置，為企業(yè)的構(gòu)建提供參考和借鑒。：隧道，L2TP ，PPTP ，IPSecAbstractthe definition ofThis produrthe keyroduand its study implications. And thentechnologies

2、for implementing awhich includes the Tunneltechnology and its main secure protocols, PPTP/L2TP protocol, IPSEC protocol, SOCKSv5protocol, All these technologies provide the theoretical bases for building anetwork.Finally, by constructing an entof site to site and site to cntrise virtual private netw

3、ork, Iroduced the configurationunder the Windows server 2003 ISA 2004 environment,it provides the referential guideline to theconstruction in entrises.Key words: Tunnel, L2TP, PPTP, IPSec目錄1緒論的定義5的工作原理5的研究背景和意義62的應(yīng)用領(lǐng)域和設(shè)計(jì)目標(biāo)82.12.2的主要應(yīng)用領(lǐng)域8的設(shè)計(jì)目標(biāo)93實(shí)現(xiàn)的和主要協(xié)議113.1 實(shí)現(xiàn)3.2的. 11的主要安全協(xié)議.2PPT

4、P/L2TP13IPSec 協(xié)議144實(shí)例分析需求分析16方案達(dá)到的目的17組建方案網(wǎng)絡(luò)拓?fù)鋱D185設(shè)備的配置19各部分5.1 公司總部到分支機(jī)構(gòu)的ISA配置..4總部ISA支部 ISA配置21配置24連接26連接測(cè)試285.2 公司總部站點(diǎn)到移動(dòng)用戶端的配置2.2總部ISA移動(dòng)用戶端配置30配置325.2.3連接測(cè)試32致謝34參考文獻(xiàn)351緒論1.1的定義（ Virtual Private Network）被定義為通過一個(gè)公共網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過的公共網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。

5、虛擬網(wǎng)是對(duì)企業(yè)網(wǎng)的擴(kuò)展。虛擬網(wǎng)可以幫助用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的網(wǎng)絡(luò)建立的安全連接，數(shù)據(jù)的安全傳輸。通過將數(shù)據(jù)流轉(zhuǎn)移到低成本的網(wǎng)絡(luò)上，一個(gè)企業(yè)的虛擬網(wǎng)解決方案也將大幅度的減少用戶花費(fèi)在城域網(wǎng)和網(wǎng)絡(luò)連接上的費(fèi)用。同時(shí)，這將簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理，加速連接新的用戶和。另外，虛擬網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)投資。隨著用戶的商業(yè)服務(wù)不斷發(fā)展，企業(yè)的虛擬網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。虛擬網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)之間安全通信的虛擬線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬網(wǎng)。1.2的工作原理把因特網(wǎng)用作

6、廣域網(wǎng)，就要克服兩個(gè)主要。首先，網(wǎng)絡(luò)經(jīng)常使用多種協(xié)議如 IPX 和 NetBEUI 進(jìn)行通信，但因特網(wǎng)只能處理 IP 流量。所以，就需要提供法，將非 IP 的協(xié)議從一個(gè)網(wǎng)絡(luò)傳送到另一個(gè)網(wǎng)絡(luò)。其次，網(wǎng)上傳輸?shù)臄?shù)據(jù)包以明文格式傳輸，因而，只要看得到因特網(wǎng)的流量，就能包內(nèi)所含的數(shù)據(jù)。如果公司希望利用因特網(wǎng)傳輸重要的商業(yè)信息，這顯然是一個(gè)問題?？朔@些的辦法就是采用了隧道技術(shù)：數(shù)據(jù)包不是公開在網(wǎng)上傳輸，而是首先進(jìn)行加密以確保安全，然后由封裝成 IP 包的形式，通過隧道在網(wǎng)上傳輸，如圖 1-1 所示：圖 1-1工作原理圖源網(wǎng)絡(luò)的隧道發(fā)起器與目標(biāo)網(wǎng)絡(luò)上的隧道發(fā)起器進(jìn)行通信。兩者就加密方案達(dá)成一致，然后隧道

7、發(fā)起器對(duì)包進(jìn)行加密，確保安全（為了加強(qiáng)安全，應(yīng)采用驗(yàn)證過程，以確保連接用戶擁有進(jìn)入目標(biāo)網(wǎng)絡(luò)的相應(yīng)的權(quán)限。大多數(shù)現(xiàn)有的產(chǎn)品支持多種驗(yàn)證方式）。最后，發(fā)起器將整個(gè)加密包封裝成 IP 包。現(xiàn)在不管原先傳輸?shù)氖呛畏N協(xié)議，它都能在純 IP 因特網(wǎng)上傳輸。又因?yàn)榘M(jìn)行了加密，所以誰也無法原始數(shù)據(jù)。在目標(biāo)網(wǎng)絡(luò)這頭，隧道終結(jié)器收到包后去掉 IP 信息，然后根據(jù)達(dá)成一致的加密方案對(duì)包進(jìn)行，將隨后獲得的包發(fā)給接入服務(wù)器或本地路由器，他們?cè)诎央[藏的 IPX 包發(fā)到網(wǎng)絡(luò)，最終發(fā)往相應(yīng)目的地。1.3的研究背景和意義隨著網(wǎng)絡(luò)，尤其是網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，企業(yè)日益擴(kuò)張，客戶分布日益廣泛，合作伙伴日益增多，這種情況促使了企業(yè)的效益

8、日益增長(zhǎng)，另一方面也越來越凸現(xiàn)傳統(tǒng)企業(yè)網(wǎng)的功能缺陷：傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點(diǎn)的專線連接方式已難以適應(yīng)現(xiàn)代企業(yè)的需求。于是企業(yè)對(duì)于自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求，主要表現(xiàn)在網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面。在這樣的背景下，以其獨(dú)具特色的優(yōu)勢(shì)贏得了越來越多的企業(yè)的青睞，令企業(yè)可以較少地關(guān)注網(wǎng)絡(luò)的運(yùn)行與，而地致力于企業(yè)的商業(yè)目標(biāo)的實(shí)現(xiàn)。雖然在理解和應(yīng)用方面都是高度復(fù)雜的技術(shù)，甚至確定其是否適用于本公司也一件復(fù)雜的事件，但在大多數(shù)情況下的各種實(shí)現(xiàn)方法都可以應(yīng)用于每個(gè)公司。即使不需要使用加密數(shù)據(jù)，也可節(jié)省開支。因此，在未來幾年里，客戶和廠商很可能會(huì)使用，從而使電子商務(wù)重又獲得生機(jī)，畢竟全球化

9、、信息化、電子化是大勢(shì)所趨。的應(yīng)用領(lǐng)域和設(shè)計(jì)目標(biāo)22.1的主要應(yīng)用領(lǐng)域利用技術(shù)幾乎可以解決所有利用公共通信網(wǎng)絡(luò)進(jìn)行通信的虛擬網(wǎng)絡(luò)連接。歸納起來，有以下幾種主要應(yīng)用領(lǐng)域。（1）移動(dòng)用戶通過技術(shù)可以在任何時(shí)間、任何地點(diǎn)采用撥號(hào)、ISDN、DSL、移動(dòng)IP 和電纜技術(shù)與公司總部、公司內(nèi)聯(lián)網(wǎng)的設(shè)備建立起隧道或密道信，實(shí)現(xiàn)連接，此時(shí)的用戶終端設(shè)備上必須加裝相應(yīng)的。推而廣之用戶可與任何一臺(tái)主機(jī)或網(wǎng)絡(luò)在相同策略下利用公共通信網(wǎng)絡(luò)設(shè)施實(shí)現(xiàn)。這種應(yīng)用類型也叫Ac應(yīng)用類型。不難證明，其他類型的s(或都是Ac型)，這是基的組合、延s本的伸和擴(kuò)展。（2）組建內(nèi)聯(lián)網(wǎng)機(jī)構(gòu)的總部或中心網(wǎng)絡(luò)與跨地域的分支機(jī)構(gòu)網(wǎng)絡(luò)在公共通信基

10、礎(chǔ)設(shè)施上采用的隧道技術(shù)等技術(shù)組織機(jī)構(gòu)“”的虛擬網(wǎng)絡(luò)，當(dāng)其將權(quán)的設(shè)備配置在各個(gè)公司網(wǎng)絡(luò)與公共網(wǎng)絡(luò)之間（即連接邊界處）時(shí)，這樣的內(nèi)聯(lián)網(wǎng)還具有管理上的可控、策略集中配置和分布式安全控制的安全特性。利用組建的內(nèi)聯(lián)網(wǎng)也叫ranet。ranet是解決內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。（3）組建外聯(lián)網(wǎng)使用虛擬網(wǎng)絡(luò)技術(shù)在公共通信基礎(chǔ)設(shè)施上將合作伙伴和有共同利益的主機(jī)或網(wǎng)絡(luò)與內(nèi)聯(lián)網(wǎng)連接起來，根據(jù)安全策略、資源共享約定規(guī)則實(shí)施內(nèi)聯(lián)網(wǎng)內(nèi)的特定主機(jī)和網(wǎng)絡(luò)資源與外部特定的主機(jī)和網(wǎng)絡(luò)資源相互共享，這在業(yè)務(wù)機(jī)構(gòu)和具有相互協(xié)作關(guān)系的內(nèi)聯(lián)網(wǎng)之間具有廣泛的應(yīng)用價(jià)值。這樣組建的外聯(lián)網(wǎng)也叫Extranet。Extrane

11、t是解決外聯(lián)網(wǎng)結(jié)構(gòu)安全和連接安全、傳輸安全的主要方法。若外聯(lián)網(wǎng)的連接和傳輸中使用了加密技術(shù)，必須解決其中的分發(fā)、管理的一致性問題。2.2的設(shè)計(jì)目標(biāo)在實(shí)際應(yīng)用中，一般來說一個(gè)高效、成功的應(yīng)具備以下幾個(gè)特點(diǎn)：（1）安全保障雖然實(shí)現(xiàn)的技術(shù)和方式很多，但所有的均應(yīng)保證通過公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的性和安全性。在非面向連接的公用 IP 網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接，稱之為建立一個(gè)隧道，可以利用加密技術(shù)對(duì)經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面，由于直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問題也更為突出。企業(yè)必須確保其

12、上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止用戶對(duì)網(wǎng)絡(luò)資源或私有信息的。Extranet將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶，對(duì)安全性提出了更高的要求。（2）服務(wù)質(zhì)量保證（QoS）網(wǎng)絡(luò)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。如移動(dòng)辦公用戶，提供廣泛的連接和覆蓋性是保證服務(wù)的一個(gè)主要；而對(duì)于擁有眾多分支機(jī)構(gòu)的專線網(wǎng)絡(luò)，交互式的企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對(duì)于其它應(yīng)用（如等）則對(duì)網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時(shí)延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源

13、，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量時(shí)引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS 通過流量與流量控制策略，可以按照優(yōu)先級(jí)分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。（3）可擴(kuò)充性和靈活性必須能夠支持通過ranet 和 Extranet 的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。（4）可管理性從用戶角度和運(yùn)營(yíng)商的角度應(yīng)可方便地進(jìn)行管理、。在管理方面，要求企業(yè)將其網(wǎng)

14、絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個(gè)完善的管理系統(tǒng)是必不可少的。管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，管理主要包括安全管理、設(shè)備管理、配置管理、控制列表管理、QoS 管理等內(nèi)容。3實(shí)現(xiàn)的和主要協(xié)議3.1實(shí)現(xiàn)的（1）隧道技術(shù)隧道技術(shù)(Tunneling)是的底層支撐技術(shù)，所謂隧道，實(shí)際上是一種封裝，就是將一種協(xié)議（協(xié)議 X）封裝在另一種協(xié)議（協(xié)議 Y）中傳輸，從而實(shí)現(xiàn)協(xié)議X 對(duì)公用網(wǎng)絡(luò)的透明性。這里協(xié)議 X 被稱為被封裝協(xié)議，協(xié)議 Y 被

15、稱為封裝協(xié)議，封裝時(shí)一般還要加上特定的隧道控制信息，因此隧道協(xié)議的一般形式為（協(xié)議 Y）隧道頭（協(xié)議X）。在公用網(wǎng)絡(luò)（一般指因特網(wǎng)）上傳輸過程中，只有端口或網(wǎng)關(guān)的IP 地址在外邊。隧道解決了專網(wǎng)與公網(wǎng)的兼容問題，其優(yōu)點(diǎn)是能夠隱藏發(fā)送者、接受者的IP 地址以及其它協(xié)議信息。采用隧道技術(shù)向用戶提供了無縫的、安全的、端到端的連接服務(wù)，以確保信息資源的安全。隧道是由隧道協(xié)議形成的。隧道協(xié)議分為第二、第三層隧道協(xié)議，第二層隧道協(xié)議如 L2TP、PPTP、L2F 等，他們工作在 OSI 體系結(jié)構(gòu)的第二層（即數(shù)據(jù)鏈路層）；第三層隧道協(xié)議如 IPSec，GRE 等，工作在 OSI 體系結(jié)構(gòu)的第三層（即網(wǎng)絡(luò)層）

16、。第二層隧道和第三層隧道的本質(zhì)區(qū)別在于：用戶的 IP 數(shù)據(jù)包被封裝在不同的數(shù)據(jù)包中在隧道中傳輸。第二層隧道協(xié)議是建立在點(diǎn)對(duì)點(diǎn)協(xié)議 PPP 的基礎(chǔ)上，充分利用 PPP 協(xié)議支持多協(xié)議的特點(diǎn)，先把各種網(wǎng)絡(luò)協(xié)議（如 IP、IPX 等）封裝到 PPP 幀中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議。PPTP 和 L2TP 協(xié)議主要用于虛擬網(wǎng)。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠網(wǎng)絡(luò)層協(xié)議進(jìn)行傳輸。無論從可擴(kuò)充性，還是安全性、可靠性方面，第三層隧道協(xié)議均優(yōu)于第二層隧道協(xié)議。IPSec 即 IP 安全協(xié)議是目前實(shí)現(xiàn)功能的最佳選擇。（2）加認(rèn)證技術(shù)加技術(shù)是的另一技術(shù)。為了保證數(shù)據(jù)在傳輸過程中

17、的安全性，不被的用戶竊取或篡改，一般都在傳輸之前進(jìn)行加密，在接受方再對(duì)其進(jìn)行。技術(shù)是保證數(shù)據(jù)安全傳輸?shù)?，以密鑰為標(biāo)準(zhǔn)，可將系統(tǒng)分為單鑰（又稱為對(duì)稱或私鑰）和雙鑰（又稱為非對(duì)稱或公鑰）。單鑰的特點(diǎn)是加密和都使用同一個(gè)密鑰，因此，單鑰體制的安全性就是密鑰的安全。其優(yōu)點(diǎn)是加速度快。最有影響的單鑰就是局頒布的 DES 算法（56 比特密鑰）。而 3DES（112 比特密鑰）被認(rèn)為是目前不可破譯的。雙鑰體制下，加密密鑰與密鑰不同，加密密鑰公開，而密鑰，相比單鑰體制，其算法復(fù)雜且加密速度慢。所以現(xiàn)在的大都采用單鑰的 DES 和 3DES 作為加的主要技術(shù)，而以公鑰和單鑰的混合加密體制(即加采用單鑰，而密鑰

18、傳送采鑰)來進(jìn)行網(wǎng)絡(luò)上密鑰交換和管理，不但可以提高了傳輸速度，還具有良好的功能。認(rèn)證技術(shù)可以防止來自第的主動(dòng)。一般用戶和設(shè)備雙方在交換數(shù)據(jù)之前，先核對(duì)證書，如果準(zhǔn)確無誤，雙方才開始交換數(shù)據(jù)。用戶認(rèn)證最常用的技術(shù)是用戶名和方式。而設(shè)備認(rèn)證則需要依賴由 CA 所頒發(fā)的電子。目前主要有的認(rèn)證方式有：簡(jiǎn)單口令如質(zhì)詢握手驗(yàn)證協(xié)議 CHAP 和驗(yàn)證協(xié)議 PAP 等；動(dòng)態(tài)口令如動(dòng)態(tài)令牌和 X.509 數(shù)字等。簡(jiǎn)單口令認(rèn)證方式的優(yōu)點(diǎn)是實(shí)施簡(jiǎn)單、技術(shù)成熟、互操作性好，且支持動(dòng)態(tài)地加載設(shè)備，可擴(kuò)展性強(qiáng)。（3）密鑰管理技術(shù)密鑰管理的主要任務(wù)就是保證在開放的網(wǎng)絡(luò)環(huán)境中安全地傳遞密鑰，而不被竊取。目前密鑰管理的協(xié)議包括

19、 ISAKMP、SKIP、MKMP 等。ernet 密鑰交換協(xié)議 IKE 是ernet 安全關(guān)聯(lián)和密鑰管理協(xié)議ISAKMP 語言來定義密鑰的交換，綜合了 Oakley 和 SKEME 的密鑰交換方案，通過協(xié)商安全策略，形成各自的驗(yàn)證加密參數(shù)。IKE 交換的最終目的是提供一個(gè)通過驗(yàn)證的密鑰以及建立在雙方同意基礎(chǔ)上的安全服務(wù)。SKIP 主要是利用 Diffie-man 的演算法則，在網(wǎng)絡(luò)上傳輸密鑰。IKE 協(xié)議是目前首選的密鑰管理標(biāo)準(zhǔn)，較 SKIP 而言，其主要優(yōu)勢(shì)在于定義更靈活，能適應(yīng)不同的加密密鑰。IKE 協(xié)議的缺點(diǎn)是它雖然提供了強(qiáng)大的主機(jī)級(jí)認(rèn)證，但同時(shí)卻只能支持有限的用戶級(jí)認(rèn)證，并且不支持非

20、對(duì)稱的用戶認(rèn)證。（4）控制技術(shù)虛擬網(wǎng)的基本功能就是不同的用戶對(duì)不同的主機(jī)或服務(wù)器的權(quán)限是不一樣的。由服務(wù)的提供者與最終網(wǎng)絡(luò)信息資源的提供者共同來協(xié)商確定特定用戶對(duì)特定資源的權(quán)限，以此實(shí)現(xiàn)基于用戶的細(xì)粒度控制，以實(shí)現(xiàn)對(duì)信息資源的最大限度的保護(hù)?？刂撇呗钥梢约?xì)分為選擇性控制和強(qiáng)制性控制。選擇性控制是基于主體或主體所在組的，一般被內(nèi)置于許多操作系統(tǒng)當(dāng)中。強(qiáng)制性訪問控制是基于被信息的敏感性。3.2的主要安全協(xié)議在實(shí)施的過程中，為了給通過非信任網(wǎng)絡(luò)的私有數(shù)據(jù)提供安全保護(hù)，通訊的雙方首先進(jìn)行認(rèn)證，這中間要經(jīng)過大量的協(xié)商，在此基礎(chǔ)上，發(fā)送方將數(shù)據(jù)加密后發(fā)出，接受對(duì)數(shù)據(jù)進(jìn)行完整性檢查，然后，使用。這要求雙方事

21、先確定要使用的加密和完整性檢查算法。由此可見，整個(gè)過程必須在雙方共同遵守的規(guī)范( 協(xié)議) 下進(jìn)行。區(qū)別于一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵是隧道的建立，數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進(jìn)行封裝、傳送以保證安全性。一般，在數(shù)據(jù)鏈路層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第二層隧道協(xié)議，常用的有 PPTP , L2TP 等;在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)封裝的協(xié)議叫第三層隧道協(xié)議，如 IPSec。另外，SOCKSv5 協(xié)議則在 TCP 層實(shí)現(xiàn)數(shù)據(jù)安全。3.2.1PPTP/L2TP1996 年，和 Ascend 等在 PPP 協(xié)議的基礎(chǔ)上開發(fā)了 PPTP ， 它集成于 Windows NTServer4.0 中，Windows NT Worksion

22、 和 Windows 9.X 也提供相應(yīng)的客戶端。PPP 支持多種網(wǎng)絡(luò)協(xié)議，可把 IP 、IPX、AppleTalk 或NetBEUI 的數(shù)據(jù)包封裝在 PPP 包中，再將整個(gè)報(bào)文封裝在 PPTP 隧道協(xié)議包中，最后，再嵌入 IP 報(bào)文或幀中繼或 ATM 中進(jìn)行傳輸。PPTP 提供流量控制，減少擁塞的可能性，避免由于包丟棄而包重傳的數(shù)量。PPTP 的加密方法采用點(diǎn)對(duì)點(diǎn)加密(MPPE:Po-to- Po) 算法，可以選用較弱的 40 位密鑰或強(qiáng)度較大的 128 位密鑰。1996 年， Cisco 提出 L2F(Layer 2Forwarding)隧道協(xié)議，它也支持多協(xié)議，但其主要用于 Cisco

23、的路由器和撥號(hào)服務(wù)器。1997 年底，和 Cisco 公司把 PPTP 協(xié)議和 L2F 協(xié)議的優(yōu)點(diǎn)結(jié)合在一起，形成了 L2TP 協(xié)議。L2TP 支持多協(xié)議，利用公共網(wǎng)絡(luò)封裝 PPP 幀，可以實(shí)現(xiàn)和企業(yè)原有非 IP 網(wǎng)的兼容。還繼承了 PPTP 的流量控制， 支持MP(Multilink Protocol)，把多個(gè)物理通道為單一邏輯信道。L2TP 使用 PPP可靠性發(fā)送(RFC 1663)實(shí)現(xiàn)數(shù)據(jù)包的可靠發(fā)送。L2TP 隧道在兩端的服務(wù)器之間采用口令握手協(xié)議 CHAP 來驗(yàn)證對(duì)方的.L2TP 受到了許多大公司的支持.PPTP/L2TP 協(xié)議的優(yōu)點(diǎn): PPTP/L2TP 對(duì)用微軟操作系統(tǒng)的 用戶來

24、說很方便，因?yàn)槲④浖喊阉鳛槁酚傻囊徊糠?。PPTP/ L2TP 支持其它網(wǎng)絡(luò)協(xié)議。如NOWELL 的 IPX,NETBEUI 和 APPLETALK 協(xié)議,還支持流量控制。 它通過減少丟棄包來改善網(wǎng)絡(luò)性能，這樣可減少重傳。PPTP/ L2TP 協(xié)議的缺點(diǎn):PM 和L2TP 將不安全的 IP 包封裝在安全的 IP 包內(nèi)，它們用 IP 幀在兩臺(tái)計(jì)算機(jī)之間創(chuàng)建和打開數(shù)據(jù)通道，一旦通道打開，源和目的用戶就不再需要，這樣可能帶來問題，它不對(duì)兩個(gè)節(jié)點(diǎn)間的信息傳輸進(jìn)行監(jiān)視或控制。PPTP 和 L2TP 限制同時(shí)最多只能連接 255 個(gè)用戶，端點(diǎn)用戶需要在連接前手工建立加密信道，認(rèn)證和加密受到限制，沒有強(qiáng)加密

25、和認(rèn)證支持。PPTP/ L2TP 最適合于.3.2.2IPSec 協(xié)議IPSec 是 IETF(ernet Engineer Task Force) 正在完善的安全標(biāo)準(zhǔn)，它把幾種安全技術(shù)結(jié)合在一起形成一個(gè)較為完整的體系，受到了眾多廠商的關(guān)注和支持。通過對(duì)數(shù)據(jù)加密、認(rèn)證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和性。IPSec 由 IP 認(rèn)證頭 AH(Authentication Header)、IP 安全載荷封載ESP(Encapsulated Security Payload)和密鑰管理協(xié)議組成。IPSec 協(xié)議是一個(gè)范圍廣泛、開放的虛擬網(wǎng)安全協(xié)議。IPSec 適應(yīng)向IPv6 遷移， 它提供

26、所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，提供透明的安全通信。IPSec用技術(shù)從三個(gè)方面來保證數(shù)據(jù)的安全。即:認(rèn)證：用于對(duì)主機(jī)和端點(diǎn)進(jìn)行鑒別。完整性檢查：用于保證數(shù)據(jù)在通過網(wǎng)絡(luò)傳輸時(shí)沒有被修改。加密：加密 IP 地址和數(shù)據(jù)以保證私有性。IPSec 協(xié)議可以設(shè)置成在兩種模式下運(yùn)行:一種是隧道模式，一種是傳輸模式。 在隧道模式下，IPSec 把 IPv4 數(shù)據(jù)包封裝在安全的 IP 幀 中,這樣保護(hù)從一個(gè)到另一個(gè)時(shí)的安全性。在隧道模式下，信息封裝是為了保護(hù)端到端的安全性，即在這種模式下不會(huì)隱藏路由信息。隧道模式是最安全的，但會(huì)帶來較大的系統(tǒng)開銷。IPSec 現(xiàn)在還不完全成熟，但它得到了一些路由器廠商和硬件廠商的大力

27、支持。預(yù)計(jì)它今后將成為虛擬網(wǎng)的主要標(biāo)準(zhǔn)。IPSec 有擴(kuò)展能力以適應(yīng)未來商業(yè)的需要。在 1997 年底，IETF組完成了 IPSec 的擴(kuò)展， 在 IPSec 協(xié)議中加上 ISAKMP(ernet Security Assotion and KayManagement Protocol) 協(xié)議， 其中還包括一個(gè)密鑰分配協(xié)議 Oakley 。ISAKMP/Oakley 支持自動(dòng)建立加密信道，密鑰的自動(dòng)安全分發(fā)和更新。IPSec 也可用于連接其它層己存在的通信協(xié)議，如支持安全電子交易(SET:SecureElectronic Tranion)協(xié)議和 SSL（Secure Socket layer）

28、協(xié)議。即使不用SET 或 SSL,IPSec 都能提供認(rèn)證和加密以保證信息的傳輸。4實(shí)例分析的具體實(shí)現(xiàn)方案有很多，實(shí)際應(yīng)用中應(yīng)根據(jù)用戶的需求、用戶資源現(xiàn)狀、承載網(wǎng)絡(luò)資源現(xiàn)狀、投資效益以及相關(guān)技術(shù)比較等多種綜合考慮，選擇一種主流的方案。在本文中就以一個(gè)中小型企業(yè)為例模擬實(shí)際環(huán)境建立一個(gè)基于ISA 的企業(yè)網(wǎng)絡(luò)以滿足辦公、和合作伙伴的要求。這個(gè)實(shí)驗(yàn)在理論的指導(dǎo)下實(shí)現(xiàn)了一種的實(shí)際應(yīng)用，為中小企業(yè)設(shè)計(jì)網(wǎng)絡(luò)提供參考和借鑒。4.1需求分析隨著公司的發(fā)展壯門某公司在開辦了來進(jìn)一步發(fā)展業(yè)務(wù)，公司希望總部和、總部與合作伙伴可以隨時(shí)的進(jìn)行安全的信息溝通，而外出辦公可以到企業(yè)關(guān)鍵數(shù)據(jù)，隨時(shí)隨地共享商業(yè)信息，提高工作效

29、率。一些大型公司解決這個(gè)問題的方法，就是在各個(gè)公司之間租用運(yùn)營(yíng)商的線路。這個(gè)辦法雖然能解決問題，但是費(fèi)用昂貴，對(duì)于中小企業(yè)來說是無法負(fù)擔(dān)的，而技術(shù)能解決這個(gè)問題。根據(jù)該公司用戶的需求，遵循著方便實(shí)用、高效低成本、安全可靠、網(wǎng)絡(luò)架構(gòu)彈性大等相關(guān)原則決定采用 ISA Server安全方案，以 ISA 作為網(wǎng)絡(luò)的安全控制。ISA Server 集成了 Windowsserver服務(wù)，提供一個(gè)完善的和解決方案。以 ISA作為連接ernet 的安全網(wǎng)關(guān)，并使網(wǎng)卡，隔開內(nèi)，增加性。ISA具備了基于策略的安全性，并且能夠加速和管理對(duì)ernet 的。能對(duì)數(shù)據(jù)包層、鏈路層和應(yīng)用層進(jìn)行數(shù)據(jù)過濾、對(duì)穿過的數(shù)據(jù)進(jìn)行狀

30、態(tài)檢查、對(duì)策略進(jìn)行控制并對(duì)網(wǎng)絡(luò)通信進(jìn)行路由。對(duì)于各種規(guī)模的企業(yè)來說，ISAServer 都可以增強(qiáng)性、一致的ernet 使用策略、加速ernet并實(shí)現(xiàn)員工工作效率最大化。在ISA 中可以使用以下三種協(xié)議來建立連接：IPSEC 隧道模式；L2TP over IPSec 模式；PPTP；下表比較了這三種協(xié)議：表 4-1ISA 中三種協(xié)議對(duì)比表三個(gè)站點(diǎn)都采用ISA作為安全網(wǎng)關(guān)，且L2TP over IPSec 結(jié)合了L2TP和IPSec 的優(yōu)點(diǎn)，所以在這里采用L2TP over IPSec 作為實(shí)施方案。4.2方案達(dá)到的目的1)廈門總部和之間以及廈門總部和合作伙伴之間透過聯(lián)機(jī)采用IPSec 協(xié)定，確

31、保傳輸數(shù)據(jù)的安全；2)在外出差或想要連回總部或的用戶也可使用 IPSec 方式連回企業(yè)網(wǎng)路；3)對(duì)總部?jī)?nèi)網(wǎng)實(shí)施上網(wǎng)的控制，通過設(shè)備的控制策略，對(duì)的PC 進(jìn)行嚴(yán)格的控制。4)對(duì)可以抵御的，起到 Firewall 作用。具有控制和限制的安全機(jī)制和措施，具備和抗等功能；協(xié)議何時(shí)使用安全等級(jí)備注IPSec 隧道模式連接到第的服務(wù)器高這是唯一一種可以連接到非微軟服務(wù)器的方式L2TP over IPSec連接到 ISA Server 2000、 ISA Server 2004 或者 Windows服務(wù)器高使用 RRAS。比 IPSec 隧道模式更容易理解，但是要求服務(wù)器是 ISA Server 或者Win

32、dows服務(wù)器。PPTP連接到 ISA Server 2000、 ISA Server 2004 或者 Windows服務(wù)器中等使用 RRAS，和 L2TP 具有同樣的限制，但是更容易配置。因?yàn)槭褂?IPSec 加密，L2TP 更認(rèn)為更安全。5) 部署靈活，方便，提供強(qiáng)大的管理功能，以減少系統(tǒng)的量以適應(yīng)大規(guī)模組網(wǎng)需要。4.3組建方案網(wǎng)絡(luò)拓?fù)鋱D圖 4-1組建網(wǎng)絡(luò)拓?fù)鋱D5各部分設(shè)備的配置公司總部和分支機(jī)構(gòu)之間與公司總部和合作伙伴之間的通信，都是站點(diǎn)對(duì)站點(diǎn)的方式，只是權(quán)限設(shè)置不一樣，公司總部和分支機(jī)構(gòu)要實(shí)現(xiàn)的公司分支機(jī)構(gòu)共享總部的資源，公司總部和合作伙伴要實(shí)現(xiàn)是資源共享和互訪。兩者之間的差別是合作伙

33、伴的接入上設(shè)置了可以總部可以的操作。因?yàn)槿齻€(gè)站點(diǎn)都采用ISA作為安全網(wǎng)關(guān)，所以以下站點(diǎn)對(duì)站點(diǎn)的配置就以公司總部到分支機(jī)構(gòu)為例，說明在ISA 上實(shí)現(xiàn)模擬基本拓?fù)鋱D：的具體操作。圖 5-1 實(shí)驗(yàn)?zāi)M網(wǎng)絡(luò)拓?fù)鋱D5.1公司總部到分支機(jī)構(gòu)的 ISA配置各主機(jī)的 TCP/IP 為：廈門總部外部網(wǎng)絡(luò)：IP：DG：網(wǎng)絡(luò)：IP：67DG：None分部外部網(wǎng)絡(luò)：IP：DG：網(wǎng)絡(luò)：IP:DG：None在總部和支部之間建立一個(gè)基于 IPSec 的站點(diǎn)到站點(diǎn)的連接，由支部向總部進(jìn)行請(qǐng)求撥號(hào)，具體步驟如下：在總部 ISA 服務(wù)器上建立站點(diǎn)；建立此站點(diǎn)的網(wǎng)絡(luò)規(guī)則；建立此站點(diǎn)的規(guī)則；在總部為站點(diǎn)的撥入建立用戶；在支部 ISA

34、 服務(wù)器上建立站點(diǎn)；建立此站點(diǎn)的網(wǎng)絡(luò)規(guī)則；建立此站點(diǎn)的規(guī)則；測(cè)試連接；5.1.1總部ISA配置1、在總部 ISA 服務(wù)器上建立分支機(jī)構(gòu)站點(diǎn)1)打開 ISA Server 2004 控制臺(tái)，點(diǎn)擊虛擬網(wǎng)絡(luò)，點(diǎn)擊右邊任務(wù)面板中的添加站點(diǎn)網(wǎng)絡(luò)；2)在歡迎使用網(wǎng)絡(luò)創(chuàng)建向?qū)ы?，輸入站點(diǎn)的名字 Branch，點(diǎn)擊下一步；3)在協(xié)議頁，選擇 IPSec 上的第二層隧道協(xié)議（L2TP），點(diǎn)擊下一步；4)在站點(diǎn)網(wǎng)關(guān)頁，輸入服務(wù)器的名稱或 IP 地址，如果輸入名稱，需確?？梢哉_，在這里輸入 點(diǎn)擊下一步；5)在網(wǎng)絡(luò)地址頁，點(diǎn)擊添加輸入與此網(wǎng)卡關(guān)聯(lián)的 IP 地址范圍，在此輸入 和 55，點(diǎn)擊確定后，點(diǎn)擊下一步繼續(xù)；6

35、)在正在完成新建網(wǎng)絡(luò)向?qū)ы?，點(diǎn)擊完成。圖 5-2總部建立的站點(diǎn)圖7)打開客戶端，點(diǎn)擊配置客戶端，在常規(guī)頁中，選擇啟用客戶端，填入允許的最大客戶端數(shù)量 20，在協(xié)議頁，選擇啟用 PPTP（N）和啟用 L2TP/IPSEC（E）點(diǎn)擊確定。8)點(diǎn)擊選擇驗(yàn)證方法，選擇加密的驗(yàn)證版本 2（MS-CHAPv2）（M）和允許L2TP 連接自定義IPSec 策略（L）,輸入預(yù)共享的密鑰main04jsja.9)點(diǎn)擊定義地址分配，在地址分配頁，選擇靜態(tài)地址池，點(diǎn)擊添加，添加連接后總部主機(jī)分配的給客戶端的 IP 地址段，在這里輸入-55，點(diǎn)擊確定完成設(shè)置。（方便測(cè)試連接，可不添加）2、在總部上建立此站點(diǎn)的網(wǎng)絡(luò)規(guī)則

36、接下來，路由關(guān)系。需要建立一條網(wǎng)絡(luò)規(guī)則，為站點(diǎn)和網(wǎng)絡(luò)間的定義1)配置下的網(wǎng)絡(luò)，然后點(diǎn)擊新建，選擇網(wǎng)絡(luò)規(guī)則；2)在新建網(wǎng)絡(luò)規(guī)則向?qū)ы?，輸入?guī)則名字，在此命名為ernal to Branch，點(diǎn)擊下一步;3)在網(wǎng)絡(luò)通訊源頁，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的，點(diǎn)擊下一步；4)在網(wǎng)絡(luò)通訊目標(biāo)頁，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的 Branch，點(diǎn)擊下一步；5)在網(wǎng)絡(luò)關(guān)系頁，選擇路由，然后點(diǎn)擊下一步；6)在正在完成新建網(wǎng)絡(luò)規(guī)則向?qū)ы?，點(diǎn)擊完成；圖 5-3 總部網(wǎng)絡(luò)規(guī)則圖3、在總部上建立此站點(diǎn)的規(guī)則現(xiàn)在，需要為站點(diǎn)和網(wǎng)絡(luò)間的互訪建立規(guī)則，1)策略，選擇新建，點(diǎn)擊規(guī)則；2)在歡迎使用新建規(guī)則向?qū)ы?，輸入?guī)則名稱，在此命名

37、為 maobranch，點(diǎn)擊下一步；3)在規(guī)則操作頁，選擇允許，點(diǎn)擊下一步；4)在協(xié)議頁，選擇所選的協(xié)議，然后添加 HTTP 和，(這里可以再根據(jù)實(shí)際需要添加協(xié)議)點(diǎn)擊下一步；5)在規(guī)則源頁，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的 Branch 和，點(diǎn)擊下一步；6)在規(guī)則目標(biāo)頁，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的 Branch 和，點(diǎn)擊下一步；7)在用戶集頁，接受默認(rèn)的所有用戶，點(diǎn)擊下一步；在正在完成新建規(guī)則向?qū)ы?，點(diǎn)擊完成；8)最后，點(diǎn)擊應(yīng)用以保存修改和更新設(shè)置。此時(shí)在警報(bào)里面有提示，需要重啟 ISA 服務(wù)器，所以，需要重啟 ISA 計(jì)算機(jī)。圖 5-4 總部控制圖4、在總部上為站點(diǎn)的撥入建立用戶1)在重啟總部

38、ISA 服務(wù)器后，以管理員登錄，2)在電腦上點(diǎn)擊右鍵，選擇管理，選擇在本地用戶和組里面，右擊用戶，選擇新用戶，這個(gè)撥入用戶的名字一定要和站點(diǎn)的名字一致，在此是 main，輸入main，選中用戶不能修改和永不過期，取消勾選用戶必須在下次登錄時(shí)修改，點(diǎn)擊創(chuàng)建；3)右擊此用戶，選擇屬性；在用戶屬性的撥入，選擇允許，點(diǎn)擊確定。圖 5-5 總部用戶創(chuàng)建圖此時(shí)，客戶端撥入總部的用戶賬號(hào)就建好了。5.1.2支部 ISA配置1、在支部 ISA 服務(wù)器上添加站點(diǎn)1)打開 ISA Server 2004 控制臺(tái)，點(diǎn)擊虛擬網(wǎng)絡(luò)，點(diǎn)擊右邊任務(wù)面板中的添加站點(diǎn)網(wǎng)絡(luò)；2)在歡迎使用網(wǎng)絡(luò)創(chuàng)建向?qū)ы?，輸入站點(diǎn)的名字 Main

39、，點(diǎn)擊下一步；3)在協(xié)議頁，選擇 IPSec 上的第二層隧道協(xié)議（L2TP），點(diǎn)擊下一步；4)在站點(diǎn)網(wǎng)關(guān)頁，輸入服務(wù)器的名稱或 IP 地址，如果輸入名稱，需確保可以正確，在這里輸入 ，點(diǎn)擊下一步；5)在驗(yàn)證頁，輸入用戶名 main，輸入main，點(diǎn)擊下一步繼續(xù)；6)在網(wǎng)絡(luò)地址頁，點(diǎn)擊添加輸入與此網(wǎng)卡關(guān)聯(lián)的 IP 地址范圍，在此輸入 和 55，點(diǎn)擊確定后，點(diǎn)擊下一步繼續(xù)；7)在正在完成新建網(wǎng)絡(luò)向?qū)ы?，點(diǎn)擊完成。圖 5-6 支部建立的站點(diǎn)圖2、建立此站點(diǎn)的網(wǎng)絡(luò)規(guī)則接下來，需要建立一條網(wǎng)絡(luò)規(guī)則，為站點(diǎn)和網(wǎng)絡(luò)間的定義路由關(guān)系。1)右擊配置下的網(wǎng)絡(luò)，然后點(diǎn)擊新建，選擇網(wǎng)絡(luò)規(guī)則；2)在新建網(wǎng)絡(luò)規(guī)則向?qū)ы摚?/p>

40、輸入規(guī)則名字，在此我命名為-Main，點(diǎn)擊下一步；3)在網(wǎng)絡(luò)通訊源頁，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的，點(diǎn)擊下一步；4)在網(wǎng)絡(luò)通訊目標(biāo)頁，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的 Main，點(diǎn)擊下一步；5)在網(wǎng)絡(luò)關(guān)系頁，選擇路由，然后點(diǎn)擊下一步；6)在正在完成新建網(wǎng)絡(luò)規(guī)則向?qū)ы?，點(diǎn)擊完成；圖 5-7 支部的網(wǎng)絡(luò)規(guī)則圖3、建立此站點(diǎn)的規(guī)則在創(chuàng)建完站點(diǎn)和站點(diǎn)的網(wǎng)絡(luò)規(guī)則之后需要為站點(diǎn)和網(wǎng)絡(luò)間的互訪建立規(guī)則，1)右擊策略，選擇新建，點(diǎn)擊規(guī)則；2)在歡迎使用新建規(guī)則向?qū)ы?，輸入?guī)則名稱，在此我命名為 branch tomain ，點(diǎn)擊下一步；3)在規(guī)則操作頁，選擇允許，點(diǎn)擊下一步；4)在協(xié)議頁，選擇所選的協(xié)議，然后添加 H

41、TTP 和，點(diǎn)擊下一步；5)在規(guī)則源頁，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的 Main 和，點(diǎn)擊下一步；6)在規(guī)則目標(biāo)頁，點(diǎn)擊添加，選擇網(wǎng)絡(luò)目錄下的 Main 和，點(diǎn)擊下一步；7) 在用戶集頁，接受默認(rèn)的所有用戶，點(diǎn)擊下一步；在正在完成新建規(guī)則向?qū)ы?，點(diǎn)擊完成；8) 最后，點(diǎn)擊應(yīng)用以保存修改和更新設(shè)置。圖 5-8 支部的控制圖此時(shí)在警報(bào)里面有提示，需要重啟 ISA 服務(wù)器，所以，ISA 計(jì)算機(jī)。需要重啟支部5.1.3連接在支部的路由和控制臺(tái)中，展開服務(wù)器，1) 點(diǎn)擊網(wǎng)絡(luò)接口，這時(shí)就會(huì)出現(xiàn)創(chuàng)建的 main 網(wǎng)絡(luò)撥號(hào)接口，屬性，在安全頁選擇高級(jí)設(shè)置下的 IPSec 設(shè)置，在使用預(yù)共享的密鑰作驗(yàn)證（U）的選框

42、里打勾，并輸入密鑰 main04jsja, 點(diǎn)擊兩次確定，完成密鑰設(shè)置。2)設(shè)置憑據(jù)，在接口憑據(jù)頁，輸入此接口連接到路由器使用的憑據(jù)，因?yàn)樵贗SA 端設(shè)置為 main 所以這里輸入的用戶為 main，點(diǎn)擊確定。圖 5-9 連接驗(yàn)證圖3)右鍵 main 點(diǎn)擊連接圖 5-10 正在進(jìn)行連接示意圖圖 5-11 已連接上示意圖到此為止站點(diǎn)到站點(diǎn)的已經(jīng)構(gòu)建好了，在上面的設(shè)置中，的支部不允許總部進(jìn)行，如果要設(shè)成可以互相，支部的配置只要參照總部的配置就可以實(shí)現(xiàn)了。5.1.4連接測(cè)試之前在靜態(tài)地址池里設(shè)置了連接后分配的 IP 地址，因此測(cè)試是否連接時(shí)只要查支部主機(jī)的 IP 地址就可以了，在測(cè)試的結(jié)果中，出現(xiàn)了

43、 這個(gè)分配的 IP 地址，說明已成功連接上總部的 ISA服務(wù)器。圖 5-12 支部主機(jī)連接后的 ipconfig 圖在支部的主機(jī)上總部的某一主機(jī)，如下所示，雖然第一次連接時(shí)間超時(shí)，沒有回應(yīng)，但是接下來的三個(gè)連接都可以通，說明已經(jīng)成功連接，并可以到總部?jī)?nèi)網(wǎng)的其他主機(jī)。圖 5-13 支部通總部網(wǎng)絡(luò)圖5.2公司總部站點(diǎn)到移動(dòng)用戶端的配置總部外部網(wǎng)絡(luò)：IP：DG：網(wǎng)絡(luò)：IP：67DG：None移動(dòng)用戶IP：在總部和移動(dòng)用戶之間建立一個(gè)基于 IPSec 的連接，具體步驟如下：在總部 ISA 服務(wù)器上建立網(wǎng)絡(luò)規(guī)則建立此站點(diǎn)的規(guī)則；在總部為站點(diǎn)的撥入建立用戶；在客戶端建立撥號(hào)連接測(cè)試連接；5.2.1總部ISA配置1、創(chuàng)建移動(dòng)客戶端1)打開 ISA Server 2004 控制臺(tái)，點(diǎn)擊虛擬網(wǎng)絡(luò)，點(diǎn)擊右邊任務(wù)面板中常規(guī)配置中的選擇網(wǎng)絡(luò)2)在虛擬網(wǎng)絡(luò)（）屬性頁 選擇網(wǎng)絡(luò),選中外部和所有網(wǎng)絡(luò)（和本機(jī)）3)選擇地址分配頁，這里需要在靜態(tài)地址池里面添