在VPN网络中实现互访网上邻居

在VPN网络中实现互访网上邻居

适合读者：网络管理员

前置知识：VP N基本组建

刘流：去年第11期的黑防上曾经发表过一篇文章《架设Windows到Linux的P PTP VPN》，后来有朋友在论坛上问，怎样使得两个用VP N连接起来的网络实现网上邻居中的互访，也就是要使大家都能够在网上邻居中看到对方，并通过网上邻

适合读者：网络管理员

前置知识：VPN基本组建

刘流：去年第11期的黑防上曾经发表过一篇文章《架设Windows到Linux的PPTP VPN》，后来有朋友在论坛上问，怎样使得两个用VPN连接起来的网络实现网上邻居中的互访，也就是要使大家都能够在网上邻居中看到对方，并通过网上邻居进行资源访问。由于一线的电脑操作人员通常都是通过网上邻居来访问共享文件的，所以这个问题很有实际意义，这也是大家在实际工作中遇到的一个常见问题，今天特别对此策划本文，在阅读前建议大家先看看去年11期的黑防。

在VPN网络中实现互访网上邻居

文/图朱宏志

应黑防论坛上热心读者的点名要求，特写此文，希望能对大家有所帮助。

本文的网络环境如图1所示，总部网络为192.168.0.0/24，是一个Windows2000域网络：，而分公司网络为192.168.254.0/24，是一个工作组网络：workgroup，它们的网关都是ISA SERVER 2004防火墙，同时它也是VPN服务器，ISA SERVER是利用的系统自身的VPN功能。

图1

连接总部网络与分公司网络

我们首先要做的事情是用VPN的方式把这两个网络连接起来，以实现它们之间的互访，这里将以PPTP VPN的方式将两个网络连接起来。具体步骤如下：1．在总部ISA SERVER2004上的操作

1)创建远程VPN站点网络

在ISA管理窗口中选中“虚拟专用网络”，然后在中间窗格中选择“远程站点”标签，并在右边的“任务”栏下点击“添加远程站点网络”，出现网络创建向导，如图2所示，在“网络名”栏给远程网络取个名字，由于这里的远程网络实际上就是分公司网络，所以就叫branch吧，

图2

点击下一步，在“VPN协议”窗口选择最后一项PPTP，然后进入“远程站点网关”设置窗口，在里面填入分公司VPN服务器的域名或IP地址，接着就是“远程身份验证”窗口，如图3所示。

图3

这里是设置初始化拨入分公司VPN服务器时应该提供的帐户信息，勾选上“本地站点可以使用这些凭据来初始化到远程站点的连接”，然后在用户名栏填入分公司VPN服务器上创建的允许拨入的用户名，注意这个用户名是不能随意取的，它必须与在分公司VPN服务器上创建的对应的远程站点网络同名（后面将讲到），这里是main。在域栏填入分公司VPN服务器的NETBIOS名，密码当然填用户名对应的密码。完成后进入“本地身份验证”窗口，在这个窗口并没有具体设置，只是提示如果允许远程网络初始化VPN连接时需要做的事情，也就是要创建一个与远程站点同名的用户（这里是branch），并给予其拨入的权限，这里的“本地身份验证”是与前一个“远程身份验证”窗口相对应的，“远程身份验证”是配置以便能主动连接到远程，从方向上来看是Outbound，“本地身份验证”是配置以允许远程连过来，是Inbound。最后一步是配置远程站点网络的地址范围，根据图1，这里是192.168.254.0/24（如图4所示）。

图4

刘流：上面的操作不但在ISA中创建了一个新的网络branch（可以在“配置/网络/网络”下看到），而且它也同步了RRAS中的相关设置（甚至到branch的路由都创建好了），因为ISA本身就是利用的RRAS中的VPN功能，所以如果要修改与VPN相关的设置，请直接在ISA中进行，不要在RRAS进行，因为ISA 会同步RRAS的设置，但RRAS并不会同步ISA中的设置。

2)创建允许拨入的用户

根据上面“本地身份验证”窗口的要求，我们在ISA Server服务器的计算机管理窗口中创建一个名为branch的用户（注意这个用户名必须与上面创建的远程站点网络同名），并在其属性中允许远程拨入，如图5所示。

图5

3)创建网络规则

我们通过VPN把总部网络和分公司网络连接起来了，但由于ISA SERVER 的防火墙作用，它们之间还不能自由访问，还必须创建相应的网络规则和访问规则才行，首先创建相应的网络规则，这里就是创建branch网络与内网之间的网络规则。方法是在ISA管理窗口右击“配置/网络”，选择“新建/网络规则”，各项参数如下：

网络规则名称：branch与内网

网络通讯源：brach

网络通讯目标：内部

网络关系：路由

4)创建访问规则

访问规则是各种防火墙控制通信的依据，这里我们允许总部网络与分公司网络可以自由互访。需要创建两条访问规则，一条是允许分公司访问总公司，参数如下：

访问规则名称：允许branch访问内网

规则操作：允许

协议：所有出站通讯

访问规则源：branch

访问规则目标：内部

用户集：所有

另外一条访问规则是允许总公司访问分公司，参数如下：

访问规则名称：允许内网访问branch

规则操作：允许

协议：所有出站通讯

访问规则源：内部

访问规则目标：bracnch

用户集：所有

2．在分公司ISA SERVER2004上的操作

我们还需要在分公司的ISA SERVER 2004上进行与总公司类似的操作，只是某些参数需要改变，下面简单说一下：

1)同样创建一个远程站点网络，参数如下：

网络名：main

VPN协议：PPTP

远程站点网关：（总公司VPN服务器域名）

远程身份验证：

用户名：branch

域：cc2 （总公司VPN服务器NETBIOS名）

密码：*******

网络地址：192.168.0.0-192.168.0.255

2)在计算机管理窗口中创建用户main并允许其远程拨入；

3)创建远程站点网络main与内网的网络规则，网络关系为路由；

4)创建两条访问规则，允许main访问内网和允许内网访问main。

此时你就可以使用PING命令测试两个网络的互通性了，如果一切无误，Ping将成功。

在总部网络安装WINS服务器并配置

要让两个网络都能够在网上邻居中看到对方，我们需要借助WINS的帮助，所以如果总部网络没有WINS服务器，请安装一台。安装好之后请把WINS服务器本身、总部网络及分公司网络客户机的WINS都指向它，方法是在TCP/IP 的高级设置窗口中进行配置，如图6所示。