VPN是虛擬專用網(wǎng)絡的縮寫，屬于遠程訪問技術，簡單地說就是利用公網(wǎng)鏈路架設似有網(wǎng)絡。例如公司員工出差到外地，他想訪問企業(yè)內網(wǎng)的服務器資源，這種訪問就屬于遠程訪問。怎么才能讓外地員工訪問到內網(wǎng)資源呢？VPN的解決方法是在內網(wǎng)中架設一臺VPN服務器，VPN服務器有兩塊網(wǎng)卡，一塊連接內網(wǎng)，一塊連接公網(wǎng)。外地員工在當?shù)剡B上互聯(lián)網(wǎng)后，通過互聯(lián)網(wǎng)找到VPN服務器，然后利用VPN服務器作為跳板進入企業(yè)內網(wǎng)。為了保證數(shù)據(jù)安全，VPN服務器和客戶機之間的通訊數(shù)據(jù)都進行了加密處理。有了數(shù)據(jù)加密，我們可以認為數(shù)據(jù)是在一條專用的數(shù)據(jù)鏈路上進行安全傳輸，就好像我們專門架設了一個專用網(wǎng)絡一樣。但實際上VPN使用的是互聯(lián)網(wǎng)上的公用鏈路，因此只能稱為虛擬專用網(wǎng)。這下您肯定明白了，VPN實質上就是利用加密技術在公網(wǎng)上封裝出一個數(shù)據(jù)通訊隧道。有了VPN技術，用戶無論是在外地出差還是在家中辦公，只要能上互聯(lián)網(wǎng)就能利用VPN非常方便地訪問內網(wǎng)資源，這就是為什么VPN在企業(yè)中應用得如此廣泛。上述介紹的VPN應用屬于VPN用戶的單點撥入，VPN還有一種常見的應用是在兩個內網(wǎng)之間架設站點到站點的VPN，我們今天先介紹如何創(chuàng)建單點撥入的VPN，站點到站點的VPN架設我們在后續(xù)博文中介紹。

實驗拓撲如下，Denver是內網(wǎng)的域控制器，DNS服務器，CA服務器，Beijing是ISA2006服務器，Istanbul模擬外網(wǎng)的客戶機。

ISA2006調用了Win2003中的路由和遠程訪問組件來實現(xiàn)VPN功能，但我們并不需要事先對ISA服務器上的路由和遠程訪問進行配置，ISA2006會自動實現(xiàn)對路由和遠程訪問的調用。我們先來看看ISA2006如果要實現(xiàn)VPN功能需要進行哪些設置？

一 定義VPN地址池

配置VPN服務器的第一步就是為VPN用戶分配一個地址范圍，這里有個誤區(qū)，很多人認為既然要讓VPN用戶能訪問內網(wǎng)資源，那就給VPN用戶直接分配一個內網(wǎng)地址就行了。例如本次實驗的內網(wǎng)地址范圍是10.1.1.1－10.1.1.254，那VPN用戶的地址池就放在10.1.1.100－10.1.1.150吧。如果你的VPN服務器是用Win2003的路由和遠程實現(xiàn)的，那這么做是可以的，路由和遠程訪問本身就只提供了VPN的基本功能，對地址管理并不嚴格。但這么做在ISA上是不可以的，因為ISA是基于網(wǎng)絡進行管理的！內網(wǎng)是一個網(wǎng)絡，VPN用戶是另一個網(wǎng)絡，兩個網(wǎng)絡的地址范圍是不能重疊的！雖然我們使用DHCP技術可以使VPN用戶也獲得內網(wǎng)地址，但絕不推薦這么做！因為在后期的管理中我們會發(fā)現(xiàn)，把VPN用戶放到一個單獨的網(wǎng)絡中，對管理員實現(xiàn)精確控制是非常有利的，管理員可以單獨設定VPN用戶所在網(wǎng)絡與其他網(wǎng)絡的網(wǎng)絡關系，訪問策略，如果把VPN用戶和內網(wǎng)用戶混在一起，就享受不到這種管理的便利了。因此直接給VPN用戶分配內網(wǎng)地址并不可取，我們本次實驗中為VPN用戶設置的地址池是192.168.100.1－192.168.100.200，雖然這個地址范圍和內網(wǎng)大不相同，但不用擔心，ISA會自動在兩個網(wǎng)絡之間進行路由。

如下圖所示，在ISA服務器中定位到虛擬專用網(wǎng)絡，點擊右側任務面板中的“定義地址分配”。

分配地址可以使用靜態(tài)地址，也可以使用DHCP，在此我們使用靜態(tài)地址池來為VPN用戶分配地址，點擊添加按鈕，為VPN用戶分配的地址范圍是192.168.100.1－192.168.100.200，如下圖所示。

您正在閱讀：ISA教程：用ISA2006搭建VPN服務器

【編輯推薦】

1. 使用IPMI工具實現(xiàn)對服務器的遠程管理
2. 掃描服務器上的人性化設計：細節(jié)見實力
3. 實現(xiàn)文件雙向傳輸 搭建FTP服務器