在现实生活中许多公司因为业务需求的扩大、公司合并等等原因使得公司不再同一个地区,而各分部之间又需要又业务上的往来。早期公司之间通过架设专用链路来实现通讯,这种办法价格贵而起速度慢,在那时是不得已而为之,自从有了 ××× 以后,这个问题变得很简单。 ××× 的 意思是虚拟专用网,它是通过走电信网通搭建的公用线路来实现与分公司的通讯,又人就会问既然它是在公用链路上进行通讯,那为什么叫专用网呢?其实在通讯过 程中首先要建立一个加密隧道,而数据就在隧道里面传输,这看起来就像是在一个专用网络传输数据。那我们今天就来模拟一下两个分公司如可实现点对点的连接, 试验场景如下
clip_p_w_picpath002
实现 ××× 有多种方法,有专门的硬件 ××× Cisco 的路由器 PIX 防火墙,今天我作的是通过 ISA 来实现 ××× ,首先我们要搭建两个 ISA 防火墙
ISA 实现 ××× 的原理是这样的,它把远端公司定义成一个网络,通过 Windows 自带的那个路由和远程访问实现路由,在定义过程中要创建网络规则和访问策略,我们知道 ISA 是基于网络进行隔离的,所以我们还要创建网络规则和访问策略,在 ISA2004 中这是要自己手工作的,而在 ISA2006 中定义过程中 ISA 会提示我们进行创建。
首先我们在北京上定义上海为一个远程网路,定义的名字就叫 SH( 这个名字客不是随便起的,等上海拨入北京时,上海需提供 SH 用的密码 ) ,所以我们要在北京上建一个名字是 SH 的用户,同样在上海的 ISA 服务器上也要创建一个名为 BJ 的用户 ( 假设我们在上海上定义北京为 BJ)
点击创建 ××× 点对点连接
clip_p_w_picpath003
定义远程网络,这个用户一定要和用户名一样
clip_p_w_picpath004
提示我们一定要创建同名用户
clip_p_w_picpath005
指定远程 ××× 服务器的 IP ,在这个试验中我把两个 ISA 的外网网卡设置成一个网段,在公网中则通过电信网通强有力的路由能力
clip_p_w_picpath006
允许北京以这个用户连接到远程网络, BJ 是远程网络定义北京的名字,这里面有点绕,头脑一定要清醒!!!
clip_p_w_picpath007
定义远程网路的内网地址范围
clip_p_w_picpath008
ISA2006 ISA 会帮助我们来创建网络规则和访问策略,在 ISA2004 中则需手工创建,我们也不能辜负了它的好意,点击创建吧
clip_p_w_picpath009clip_p_w_picpath010
再次提示我们要有用户名为 SH 的用户,且有拨入权限
clip_p_w_picpath011clip_p_w_picpath012clip_p_w_picpath013
OK 在北京上完成工作,我们开始转到上海上
同样要创建点对点连接,首先创建 ××× 地址池,其实就是远程用户拨入了以后分配 IP 地址,第一个是留给 ××× 服务器的,所以第一个用户拨入上海了以后分得的 IP 192.168.22.2
clip_p_w_picpath014clip_p_w_picpath015
上海的 ××× 服务器以这个用户拨入北京网络
clip_p_w_picpath016
添加对端的内网地址
clip_p_w_picpath017
clip_p_w_picpath019
北京已经拨入了上海的 ××× 服务器,可见 windows 的产品结合的真是天衣无缝啊