Сводка параметров локальных подключений типа "сеть-сеть"
При создании VPN-подключения типа "сеть-сеть" сервер Microsoft®
Internet Security and Acceleration (ISA) Server 2006
предоставляет сводку по параметрам подключений типа "сеть-сеть". На
основе локальных настроек и необходимости отражения настроек
локальной сети на удаленную сеть сервер ISA Server предоставляет
рекомендованные настройки и для удаленной сети. Такая сводка
доступна для подключений типа "сеть-сеть" по протоколам IPSec, PPTP
и L2TP через IPsec.
Параметры IPSec
Следующая информация по настройке предоставляется для
подключений типа "сеть-сеть" по протоколу IPsec в сводке параметров
локальных подключений типа "сеть-сеть", а также имеет отношение к
настройкам на другом конце туннеля.
Локальная конечная точка туннеля. Локальный IP-адрес,
через который выполняется VPN-подключение. Такой IP-адрес является
рекомендованной удаленной конечной точкой туннеля для удаленной
сети.
Удаленная конечная точка туннеля. Удаленный IP-адрес,
через который выполняется VPN-подключение. Такой IP-адрес является
рекомендованной локальной конечной точкой туннеля для удаленной
сети.
Параметры IKE Phase I и Phase II. Параметры,
используемые для согласования настроек туннеля IPsec. Такие
настройки являются рекомендованными настройками IPsec для
удаленного узла. Особенно важно, чтобы в локальной и удаленной
сетях использовался одинаковый метод проверки подлинности. При
использовании предварительного ключа такой ключ должен быть
одинаков на обоих концах туннеля. Более подробные сведения см. в
разделе Решение: виртуальные частные сети в ISA
Server 2006 на веб-узле
технического центра Microsoft ISA Server(http://www.microsoft.com).
IP-подсети удаленной сети myIPSec.myIPSec
— имя, настраиваемое для удаленной сети. Это предоставляемый для
удаленной сети диапазон адресов, преобразованный в формат подсетей,
который является стандартом для IPsec-подключений.
IP-подсети локальной сети. Диапазоны адресов всех
остальных сетей ISA Server, преобразованные в формат подсетей.
Примечание
Если не было создано сетевое правило, устанавливающее отношение
между удаленными сетями и хотя бы одной другой сетью ISA Server
(обычно внутренней сетью), то входящий и исходящий трафик такой
удаленной сети будет отбрасываться, а на странице сводки появиться
предупреждение. Аналогично, если не создано правило доступа,
разрешающее входящий и исходящий трафик удаленной сети, то такой
трафик будет блокироваться сервером ISA Server.
Параметры протоколов PPTP и L2TP
Следующая информация по настройке предоставляется для
подключений типа "сеть-сеть" по протоколам PPTP и L2TP в сводке
параметров локальных подключений типа "сеть-сеть", а также имеет
отношение к настройкам на другом конце туннеля.
Адрес удаленного шлюза. Для локальной сети это адрес в
удаленной сети, по которому подключается сервер ISA Server. В
удаленной сети адрес удаленного шлюза должен представлять
собой IP-адрес или DNS-имя, которое можно разрешить в IP-адрес на
данном компьютере (Standard Edition) или массиве (Enterprise
Edition) ISA Server.
Протоколы проверки подлинности сети VPN (исходящие). Эти
протоколы используются для проверки подлинности в удаленной сети.
Один из этих протоколов должен быть частью общих протоколов
проверки подлинности параметров удаленных сетей VPN. В
рекомендованных настройках удаленной сети эти параметры появляются
как Общие протоколы проверки подлинности параметров сетей
VPN.
Общие протоколы проверки подлинности параметров сетей VPN
(входящие). Локальная сеть должна быть настроена на прием
одного из методов исходящей проверки подлинности удаленной сети. В
рекомендованных настройках удаленной сети эти параметры появляются
как Протоколы проверки подлинности сети VPN.
Метод исходящей проверки подлинности (только
L2TP/IPsec). Это может быть предварительный секрет или
сертификат. Хотя бы один из этих методов должен быть методом
входящей проверки подлинности в удаленной сети.
Метод входящей проверки подлинности (только L2TP/IPsec).
Это может быть предварительный секрет, сертификат или оба. Один из
этих методов должен использоваться удаленной сетью в качестве
собственного метода исходящей проверки подлинности.
Локальный пользователь.Чтобы из удаленной сети можно
было установить подключение к локальной сети, в последней должен
присутствовать пользователь с настроенными свойствами подключения
удаленного доступа. Имена учетной записи пользователя и сети типа
"сеть-сеть" должны полностью совпадать. Сервер ISA Server указывает
имя пользователя, которого необходимо создать в локальной сети, на
основе имени подключения типа "сеть-сеть". При настройке параметров
удаленной сети для подключения к локальной сети необходимо
использовать то же самое имя пользователя . Это можно сделать под
заголовком Обязательные параметры для другого конца этого
туннеля в списке Пользователь удаленной сети.
Удаленный пользователь. Это имя пользователя, которое
локальная сеть использует для проверки подлинности в удаленной сети
в случае, когда локальной сети разрешается инициировать подключения
к удаленной сети. Такое имя пользователя должно соответствовать
имени удаленной сети. Имена учетной записи пользователя и удаленной
сети должны полностью совпадать. Сервер ISA Server указывает имя
пользователя, которого необходимо создать в удаленной сети, на
основе имени, предоставленного для пользователя удаленной сети. При
настройке параметров удаленной сети необходимо, чтобы существовали
сеть и пользователь локальной сети с одинаковым именем. Это можно
сделать под заголовком Обязательные параметры для другого конца
этого туннеля в списке Локальный пользователь.
IP-адрес сети типа "сеть-сеть". В списке локальных
настроек предоставляются адреса удаленной сети. В списке для
другого конца туннеля сервер ISA Server указывает на необходимость
предоставления сетевых адресов, с которыми удаленная сеть имеет
сетевые отношения. Это может быть либо отношение маршрутизации,
либо отношение преобразования адресов (NAT), когда удаленная сеть
является источником, а локальная сеть — назначением. Сервер ISA
Server перечисляет IP-адреса, удовлетворяющие этим требованиям, в
списке Обязательные параметры подключений типа "сеть-сеть" для
другого конца этого туннеля раздела Маршрутизируемые
локальные IP-адреса.