集成ISA Server和RRAS实现站点间VPN（下）_中国IT运维网www.cnitom.com

　　设置Local ISA VPN Server
　　
　　通过Set up Local ISA VPN Server向导，在GZ-VPN-01设置Local ISA VPN Server：
　　
　　1、打开ISA Management；
　　
　　2、展开Servers and Arrays，展开GZ-VPN-01，右击Network Configuration，单击Set Up Local ISA VPN Server…，如图15：
　　　

　　3、出现Welcome to the Local ISA Server VPN Configuration Wizard页，单击NEXT按钮;
　　
　　4、出现是否允许RRAS启动，单击Yes；
　　
　　5、出现ISA Virtual Private Network [VPN] Identification页，在Type a short name to describe the local network输入GZ，在Type a short name to describe the remote network输入HK，然后单击Next>按钮；
　　
　　6、出现ISA Virtual Private Network [VPN] Protocol协议，选择Use L2TP over IPSec,if available.Otherwise,use PPTP协议，单击Next>按钮，如图16；
　　　

　　7、出现Two-way Communication页，选择Both the local and remote ISA VPN computers can initiate communication，在Type the fully qualified domain name or IP address of the remote VPN computer输入202.100.100.3，在Type the remote VPN computer name or the remote domain name输入HK-VPN-01，单击Next>按钮，如图17；
　　　

　　8、出现Remote Virtual Private Network[VPN] Network页，单击Add…按钮，在From：输入192.168.1.0，在To：输入192.168.1.255，单击OK按钮，如图18，单击Next>按钮；
　　　

　　9、出现Local Virtual Private Network [VPN] Network页，我们按默认设置，直接单击Next>按钮；
　　
　　10、出现ISA VPN Computer Configuration File页，在File name：输入a:GZ_HK.vpc，在Password：和Confirm password：输入密码,（注：密码设置８位以上，尽量复杂化），然后单击Next>按钮；
　　
　　11、出现Completing the ISA VPN Setup Wizard页，你可以单击Details按钮，查看刚才的配置，单击Finish按钮
　　
　　
　　--------------------------------------------------------------------------------
　　
　　设置Remote ISA VPN Server
　　
　　通过Set up Remote ISA VPN Server向导，在HK-VPN-01设置Remote ISA VPN Server：
　　
　　1、开ISA Management；展开Servers and Arrays，展开HK-VPN-01，右击Network Configuration，单击Set Up Remote ISA VPN Server…；
　　
　　2、出现Welcome to the Remote ISA Server VPN Configuration Wizard页，单击NEXT按钮;
　　
　　3、出现是否允许RRAS启动，单击Yes按钮；
　　
　　4、出现ISA VPN Computer Configuration File页，在File name输入A:GZ_HK.vpc（就是在GZ-VPN-01生成的那个文件），在Password输入密码（就是在GZ-VPN-01 Set up Local ISA VPN Server设置的密码）；如图19
　　　

　　5、出现Complete the ISA VPN Setup Wizard页，你可以单击Details按钮，查看详细配置，单击Finish按钮，设置完成。
　　
　　设置RRAS的IP
　　
　　在GZ-VPN-01和HK-VPN-01设置RRAS的IP
　　
　　1、在GZ-VPN-01单击Start，指向Programs，指向Administrative Tools，单击Routing and Remote Access；
　　
　　2、右击GZ-VPN-01(local)，单击Properties，单击IP，单击Static Address Pool，在Adapter选择Local Area Connection，然后，单击Add按钮，在Start IP address输入192.168.0.240，在End IP address输入192.168.0.250，单击OK按钮，单击OK按钮，如图20；
　　　

　　3、在HK-VPN-01同上面一样设置，只是Start IP address为192.168.1.240，End IP address为192.168.1.250，如图21；
　　　

　　PPTP连接
　　
　　现在在GZ-VPN-01，打开Routing And Remote Access，展开HK-VPN-01(local)，单击Routing Interfaces，在边窗口可以看见GZ_HK的Routing Interfaces，右击GZ_HK，单击Properties，单击Options，单击Persistent connection，单击OK按钮，如图22，在HK-VPN-01执行同样操作；
　　　

　　然后右击GZ_HK，单击Connect，然后会出现一个正在连接的窗口，连接成功之后，GZ_HK的Connection State会变成Connected。
　　
　　然后在GZ-DC-01测试是否可以Ping通HK-SRV-01，单击Start，单击Run，输入cmd，单击OK按钮，输入ping –t 192.168.1.2，如图23；
　　　

　　如果可以ping通，说明基于PPTP协议的VPN已经建立成功，但我们的最终目标是把VPN建立在L2TP/IPSec协议上。
　　
　　为HK-VPN-01申请证书
　　
　　1、在HK-VPN-01打开IE浏览器，输入http://192.168.0.3/certsrv；
　　
　　2、在Welcome页,选择Request a certificate，单击Next>按钮；在Choose Request Type页，选择Advanced request，单击Next>按钮；在Advanced Certificate Requests页，选择Submit a certificate request to this CA using a form. ，单击Next>按钮；在Advanced Certificate Request页中的Identifying Information:，填写详细料，如图24：
　　　

　　3、在Advanced Certificate Request页中的Key Options:，设置Key Size为512，并选择Mark keys as exportable和Use local machine store，同GZ-VPN-01申请证书设置一样，申请完成之后；