×××连接需求:

    XX商业集团位于北京总部,并有总部和分部两个园区网,另外北京还有一个分支办公处。总部和分部采用×××连接。

×××规划:

     本项目需要在总部和分部之间采用×××连接,总部和分部两个园区网之间属于远程连接,因此提供一种站点到站点的×××连接是解决问题的方法,而我们的总公司和分公司都安装了ISA软件防火墙,我们可以利用ISA软件防火墙的×××功能就可以实现,站点到站点×××连接指的是在两个公司的ISA服务器上面配置好×××的拨入拨出参数,确保两个ISA服务器既可以拨叫对方的×××服务器,又允许对方拨叫自己的×××服务器。这样在两个公司之间就创建完成了×××隧道。创建好隧道之后,只要在两个公司之间成功连接,内网用户就可以互相访问通信。

下面是两个防火墙的***配置参数;

总部TMG 2010 软件防火墙:

配置

参数

点对点网络名称

Fenbu

隧道协议

PPTP

远程站点×××服务器的ip地址

172.168.1.107

远程身份验证

用户名:zongbu

域:fb

密码:P@ssw0rd

远程站点网络的ip地址范围

192.168.4.0~192.168.4.255

远程NLB

没有

点对点网络规则

名称:Fenbu 到 内部网络

在新网络和这些目标网络路由通讯:内部

点对点网络访问规则

将规则应用于这些协议:所有出站通讯

 

分部TMG 2010 软件防火墙:

配置

参数

点对点网络名称

Zongbu

隧道协议

PPTP

远程站点×××服务器的ip地址

172.168.1.103

远程身份验证

用户名:fenbu

域:kg

密码:P@ssw0rd

远程站点网络的ip地址范围

192.168.1.0~192.168.1.255

远程NLB

没有

点对点网络规则

名称:zongbu 到 内部网络

在新网络和这些目标网络路由通讯:内部

点对点网络访问规则

将规则应用于这些协议:所有出站通讯

 

 

 

搭建站点到站点的×××连接:

    在本项目中,我设置了总部内网的ip地址范围是192.168.1.0/24 .分部的地址范围是192.168.4.0/24 .我们在两个园区网都分别使用一台 TMG 2010 连到Internet 。项目规定总部和分部使用 ××× 连接,因此我们在总部和分部之间搭建 站点到站点的×××连接。这样在总部访问分部内网就不用每台机都要使用×××连接,而是由 TMG 代理拨到分布去,同样在分部内网访问总部的内网也是有TMG代理。

 

在总部防火墙上搭建×××服务器:

 

1.         首先打开 配置×××属性

clip_image002

2.         防火墙策略中允许内网和本地主机任意访问,×××地址池的范围是: 192.168.100.1~192.168.100.200

clip_image004

3.         启用×××并允许使用 PPTP L2TP .

clip_image006

4.         创建点对点网络,首先输入点对点网络名称,这里输入fenbu 。这个名称是分部访问总部的凭据,也就是所在总部要有这样一个用户,是允许分部连接过来的,之后是选择×××站点间连接要使用的协议。这里选择PPTP 点对点隧道协议。

clip_image008

5.         输入 fenbu ip地址,创建一个 总部访问分部的用户 ,同样道理,在分部要有这样一个用户允许总部 访问的。

clip_image010

6.         指定远程站点网络的ip地址范围。也就是分部内网 ip地址范围。下一步,不启用NLB 网络负载平衡。

clip_image012

7.         点对点网络规则,这里是 创建了 分部到内部网络是路由规则,我们按照默认就可以,下一步,是允许站点间往返式可以使用的协议,我们这里选择 所有出站通讯。之后完成创建。

clip_image014

clip_image016

8.         创建完之后,我们打开 路由和远程访问 ,我们看到 路由和远程访问 处于开启状态,并且在网络接口里,添加了一个名称为 fenbu 的请求拨号

clip_image018

9.         KG-DC 上创建一个与 远程站点同名的用户,并设置网络访问权限为 允许访问

clip_image020

 

在分部防火墙上搭建×××服务器:

 

10.     配置×××属性里,允许内网和本地主机任意访问,设置×××地址池的范围 192.168.200.1~192.168.200.200

clip_image022

11.     启用××× 允许使用 PPTP L2TP 访问。

clip_image024

12.     创建 ×××点对点连接。输入点对点的名称 zongbu ,此名称是总部 访问 分部 的凭据,也就说要在 分部有这个 用户允许总部 拨号过来。同样选择PPTP 点对点隧道协议。

clip_image026

13.     输入远程站点×××服务器,也就是总部的防火墙的ip地址。之后创建一个 连接到远程站点的用户进行身份验证。在总部要创建这样一个用户并允许拨入。

clip_image028

14.     指定远程站点网络的ip地址范围,也就是总部内网的网络范围。下一步,不启用NLB 网络负载平衡,因为只有一个防火墙。

clip_image030

15.     创建指定路有关系的网络规则,我们这里按照默认就可以,总部 到分部内网 是启用 路由规则。允许所有用户在 分部内网 总部之间的通讯是 所有出站通讯。

clip_image032

clip_image034

16.     创建与 zongbu 站点同名的用户。并赋予允许访问的网络访问权限。

clip_image036

测试:

17.     从总部KG-DC PING 分部FB-DC .可以看到成功,之后可以在 路由和远程访问中看到 zonbu请求拨号 是处于开启和连接的状态。

clip_image038

clip_image040

18.     从分部 FB-DC ping 总部 KG-DC ,同样可以看到成功ping 通, 在路由和远程访问里,也看到 fenbu 网络接口是处于 启用和连接的状态。

clip_image042

clip_image044