摘要
　　
　　本文讲述了如何集成ISA Server和Windows 2000 Server的RRAS实现具有高可用性和高安全性的站点间的VPN。
　　
　　目录
　　
　　环境分析
　　
　　方案优点
　　
　　服务器W2K系统安装及配置
　　
　　证书服务安装配置
　　
　　安装ISA Server
　　
　　设置Local ISA VPN Server
　　
　　设置Remote ISA VPN Server
　　
　　PPTP连接
　　
　　设置使用L2TP/IPSec
　　
　　参考信息
　　
　　作者介绍
　　
　　环境分析
　　____________________
　　
　　　
　　公司TEST.COM（虚构），总部位于广州，内有局域网使用192.168.0.0/24网段，在香港有一分公司，内有局域网使用192.168.1.0/24网段，两地都是通过ＡＤＳＬ专线接入Internet，分别有两个固定IP地址；现需要通过Site to Site VPN使两地局域网互连，使得两地的局域网用户互相可以访问两地局域网的任何网络资源，并且要求维护管理简单方便、高可用性、高安全性。
　　
　　根据实际情况，我们现在通过集成ISA Server和RRAS（Windows 2000中Router and Remote Access Service）并且使用L2TP/IPSec协议实现Gateway to Gateway方式VPN，来实现TEST.COM公司需求。
　　
　　方案优点
　　
　　投资少：不用购买任何VPN硬件设备，利用现有的ISA服务器就可以实现；
　　
　　配置简单：传统的VPN设备配置复杂，而本方案所有配置全部GUI图形界面；
　　
　　维护管理方便：全部GUI图形界面，查看当前VPN状态一目了然；
　　
　　客户端设置简单：局域网内客户端不需要安装任何软件，只要把网关指向本地的ISA服务器内网网卡的IP地址，就可以使用；
　　
　　高安全性：使用L2TP/IPSec保证数据加密及安全性，并且ISA防火墙只允许本公司拥有的Internet IP才能通过防火墙；
　　
　　服务器W2K系统安装及配置
　　
　　GZ-DC-01：
　　
　　服务：
　　
　　Active Directory
　　
　　Domain Name：test.com
　　
　　DNS
　　
　　IP配置：
　　
　　Host Name：GZ-DC-01
　　
　　Primary DNS Suffix：test.com
　　
　　DNS Suffix Search List：test.com
　　
　　Ethernet adapter Local Area Connection：
　　
　　IP Address： 192.168.0.2
　　
　　Subnet Mask： 255.255.255.0
　　
　　Default Gateway： 192.168.0.1
　　
　　DNS Server： 192.168.168.0.2
　　
　　使用默认安装，使用Dcpromo提升为ＤＣ．
　　
　　GZ-CA-01：
　　
　　IP配置：
　　
　　Host Name：GZ-CA-01
　　
　　Primary DNS Suffix：test.com
　　
　　DNS Suffix Search List：test.com
　　
　　Ethernet adapter Local Area Connection：
　　
　　IP Address： 192.168.0.3
　　
　　Subnet Mask： 255.255.255.0
　　
　　Default Gateway： 192.168.0.1
　　
　　DNS Server： 192.168.168.0.2
　　
　　使用默认安装，并手动设置ＩＰ配置，加入到test.com域，作为成员服务器．
　　
　　GZ-VPN-01：
　　
　　服务：
　　
　　IP配置：
　　
　　Host Name：GZ-VPN-01
　　
　　Primary DNS Suffix：
　　
　　DNS Suffix Search List：
　　
　　Ethernet adapter Local Area Connection：（内部网卡）
　　
　　IP Address： 192.168.0.1
　　
　　Subnet Mask： 255.255.255.0
　　
　　Default Gateway：
　　
　　DNS Server：
　　
　　Ethernet adapter Local Area Connection：（外部网卡）
　　
　　IP Address： 202.100.100.2
　　
　　Subnet Mask： 255.255.255.0
　　
　　Default Gateway： 202.100.100.1
　　
　　DNS Server： 202.96.128.110　（ISP DNS)
　　
　　使用默认安装，并手动设置ＩＰ配置，独立服务器．
　　
　　HK-SRV-01：
　　
　　IP配置：
　　
　　Host Name：HK-SRV-01
　　
　　Ethernet adapter Local Area Connection：
　　
　　IP Address： 192.168.1.2
　　
　　Subnet Mask： 255.255.255.0
　　
　　Default Gateway： 192.168.1.1
　　
　　使用默认安装，并手动设置ＩＰ配置，作为成员服务器．
　　
　　HK-VPN-01：
　　
　　服务：
　　
　　IP配置：
　　
　　Host Name：HK-VPN-01
　　
　　Ethernet adapter Local Area Connection：（内部网卡）
　　
　　IP Address： 192.168.1.1
　　
　　Subnet Mask： 255.255.255.0
　　
　　Default Gateway：
　　
　　DNS Server：
　　
　　Ethernet adapter Local Area Connection：（外部网卡）
　　
　　IP Address： 202.100.100.3
　　
　　Subnet Mask： 255.255.255.0
　　
　　Default Gateway： 202.100.100.1
　　
　　DNS Server： 202.96.128.110　（ISP DNS）
　　
　　使用默认安装，并手动设置ＩＰ配置，独立服务器．
　　
　　证书服务安装配置
　　
　　在GZ-DC-01域控制器上安装Certificate Services（证书服务）
　　
　　单击Start，指向Settings，单击Control Panel；打开Add/Remove Programs，单击Add/Remove Windows Components按钮；选择Certificate Services，然后你将看到警告对话框，单击Yes按钮。（如图2）