|
|
| http://www.hbdxs.com 2006-8-18 13:45:41 来源:网络收集 点击 |
|
|
ISA防火墙中的VPN服务是基于Windows服务器系统中的路由和远程访问服务(RRAS),并且提供了更好的安全和管理特性。在RRAS中,你可以分配两种地址范围的IP地址给VPN客户端:
子网内地址范围
即把VPN服务器所连接的内部网络中的地址范围中的IP地址分配给VPN客户,这样的好处是当VPN客户需要访问内部网络时,内部网络无需增加到VPN客户的路由;但是会让内部网络中的IP地址难以区分。
子网外地址范围
即分配和VPN服务器所连接的内部网络的地址范围不同的IP地址给VPN客户,这样的好处便于识别VPN客户的IP地址,缺点是需要在内部网络中添加到VPN客户的路由。
在ISA防火墙中,对于VPN客户端的地址分配,具有两种形式:
通过DHCP服务器获取;
指定静态IP地址范围;
在第一种地址分配形式“通过DHCP服务器获取”中,由RRAS服务器启动时,从DHCP服务器获得满足VPN服务需求的的IP地址范围,如果DHCP服务器在线但是没有为ISA防火墙分配足够数量的IP地址(包括仅仅是只分配了一个IP地址给ISA防火墙),那么当VPN客户拨入通过身份验证时,由于ISA防火墙没有足够的IP地址进行分配,会拒绝VPN客户的连接,VPN客户端的错误警告如下图所示(736:远程计算机中断了控制协议):
而如果DHCP不在线或者ISA防火墙无法从DHCP服务器获得有效的IP地址,那么ISA防火墙将会随机使用自动专用IP地址范围(APIPA,169.254.0.0/16)中的IP地址的来为VPN客户进行分配。
因此,如果你想使用DHCP服务器来为VPN客户分配IP地址而又不愿意使用内部网络中的IP地址来为VPN客户进行分配,你必须将DHCP服务器脱离内部子网,即将DHCP服务器独立于内部子网,具体部署可以参见如何实现VPN使用脱离内部网络的IP地址一文。
另外在第二种地址分配形式“指定静态IP地址范围”中,你指定的静态IP地址范围必须全部为有效的IP地址,例如地址范围为192.168.0.1~192.168.0.254,而不能在地址范围中包含主机位为全“0”和全“1”的特殊IP地址,例如地址范围为192.168.0.0~192.168.0.255,这是因为RRAS会同样将特殊的IP地址192.168.0.0和192.168.0.255分配给VPN客户使用,从而导致连接问题。
关于Windows系统中RRAS是如何进行VPN客户端的IP地址分配及不同方式的优劣,请详见CableGuy的经典文章“IP 地址分配与“路由和远程访问”服务”,这篇文章应该是部署Windows下VPN服务的管理员的必修课。
如果当前已连接的VPN客户数量达到了ISA防火墙VPN服务中所允许的最大数量,那么当其他VPN客户再发起VPN连接时,ISA防火墙会丢弃VPN客户端发送的连接请求,并且不回复响应数据包,此时VPN客户端的错误提示如下图所示(651:服务器无响应)
另外,你可以在用户的拨入属性中配置用户远程拨入时使用的IP地址,此设置会覆盖ISA防火墙VPN服务中的VPN客户端IP地址分配策略中的设置。在VPN客户端使用此用户拨入时,会使用用户拨入属性中配置的IP地址作为VPN客户端的IP地址,而不是按照ISA防火墙中的VPN客户端地址分配策略来进行分配;如果已有VPN客户使用此用户账户拨入VPN并且尚未断开连接,而其他VPN客户再次使用此用户账户拨入时,则根据ISA防火墙VPN服务中的VPN客户端地址分配策略来进行VPN客户端IP地址的分配,如果此时ISA防火墙没有足够的IP地址分配给VPN用户,那么就会出现651错误。
对于其他TCP/IP选项(DNS/WINS/其他DHCP选项)的分配,也具有两种形式:
在ISA防火墙VPN服务地址分配属性的高级设置中手动指定VPN客户所使用的DNS/WINS服务器;此时,ISA防火墙会只将指定的DNS/WINS服务器分配给VPN客户使用;
通过DHCP中继代理从DHCP服务器获得DHCP作用域信息(DNS/WINS/其他DHCP作用域选项 ,由于VPN客户不能直接向其他网络中的DHCP服务器发送DHCP INFORM数据包来获取DHCP作用域选项,必须通过ISA防火墙上的DHCP中继代理进行中转);此时,ISA防火墙也会将用于获取DHCP信息的网络接口上配置的DNS/WINS服务器分配给VPN客户使用,只是这样分配的DNS/WINS服务器优先级比 从DHCP服务器所获得的DNS/WINS服务器低,但是无论VPN客户是否从DHCP服务器成功获取了DNS/WINS服务器信息,这种方式分配的DNS/WINS服务器总会存在。
在建立VPN拨号连接的时候,默认会将此VPN连接作为默认路由(启用了使用远程网络上的默认网关),
这导致了VPN客户不能同时通过自己本地网络的网关访问Internet。
如果你取消选择了使用远程网络上的默认网关,那么在建立VPN拨号连接时,不会将此VPN连接作为默认路由,但是会创建一个对应于VPN客户端所获得的IP地址的基于Internet地址类的网络ID的路由。例如,如果VPN客户端从VPN服务器获得的地址是10.0.0.2,那么基于Windows 2000、Windows XP和Windows Server 2003系统的VPN客户端将会创建一个路由项,指明10.0.0.0/8的网络从VPN连接10.0.0.2进行访问。关于这种分离的VPN隧道问题,CableGuy在针对并行访问Internet和Intranet的分割隧道功能一文中进行了详细的阐述,也强烈建议大家认真的学习一下。
|
|
|
|
|
|
