第1章 VPN网络概述 1
1.1 VPN的连接方式 1
1.2 常用的VPN协议及其属性 2
1.2.1 常用的VPN协议 3
1.2.2 VPN身份验证 3
1.2.3 数据加密 3
1.3 VPN隧道协议 4
1.3.1 PPTP协议的封装与加密 4
1.3.2 L2TP协议的封装与加密 4
1.3.3 SSTP协议的封装与加密 5
1.3.4 隧道协议的选择 6
1.4 VPN与防火墙的关系 6
1.4.1 VPN服务器位于防火墙后面 7
1.4.2 VPN服务器位于防火墙前面 8
1.5 使用ISA Server与Forefront TMG的软件VPN网络解决方案 8
1.6 商用VPN服务器系统需求与网络架构(少于1000个连接) 10
1.6.1 为客户端提供PPTP连接的VPN网络拓扑 11
1.6.2 为客户端提供L2TP连接的VPN网络拓扑 11
1.6.3 为客户端提供智能卡验证的VPN网络拓扑 12
1.7 高档商用VPN服务器网络架构(超过1000个连接) 13
1.8 VPN服务器的硬件与软件构成 14
1.9 VPN网络中的客户端地址划分与交换机调试原则 15
1.9.1 看清VPN网络拓扑结构 15
1.9.2 VPN客户端地址的分配原则 17
1.9.3 VPN服务器的设置 17
1.10 本章小结 18
第2章 使用Windows Server 2003组建基本的VPN服务器 19
2.1 VPN服务器的规划 19
2.1.1 单网卡VPN服务器 20
2.1.2 双网卡VPN服务器 21
2.1.3 用VPN服务器同时代替路由器与防火墙 22
2.1.4 有关VPN客户端的地址问题 23
2.2 单网卡VPN服务器的配置 24
2.2.1 基本配置 24
2.2.2 启用VPN服务 24
2.2.3 为VPN服务器分配客户端IP地址 25
2.3 双网卡VPN服务器的配置 26
2.3.1 基本配置 26
2.3.2 启用VPN服务器 28
2.4 用VPN服务器做代理服务器 30
2.5 VPN用户管理 32
2.6 在客户端使用PPTP拨号 33
2.6.1 创建VPN拨号连接 33
2.6.2 使用VPN客户端连接到VPN服务器 35
2.7 本章小结 36
第3章 基于ISA Server 2006的VPN网络的组建 37
3.1 企事业单位的VPN网络拓扑 37
3.2 企事业单位VPN服务器的安装与基本配置 39
3.2.1 基本配置 40
3.2.2 安装ISA Server 2006 42
3.2.3 在ISA Server中启用VPN服务 43
3.2.4 检查与配置VPN服务器 45
3.2.5 创建策略 46
3.2.6 用户管理与设置 50
3.2.7 使用PPTP拨叫VPN服务器 52
3.3 为VPN服务器配置L2TP接入 55
3.3.1 配置证书服务器 55
3.3.2 允许VPN服务器访问根证书服务器 57
3.3.3 在ISA Server中发布证书服务器到Internet 59
3.3.4 在VPN服务器上启用L2TP连接支持 62
3.3.5 为VPN服务器安装证书 63
3.3.6 VPN客户端的设置 67
3.3.7 使用L2TP拨叫VPN服务器时常见的问题 69
3.4 本章小结 69
第4章 具有多出口的校园VPN网络的组建 70
4.1 校园VPN网络拓扑 70
4.2 校园VPN服务器的配置 73
4.2.1 关于单网卡问题的解决方案 73
4.2.2 安装ISA Server 2006 75
4.3 在ISA Server中启用VPN服务 76
4.3.1 启用VPN服务 76
4.3.2 创建策略 77
4.3.3 其他配置 78
4.4 使用Windows连接管理器定制VPN客户端 79
4.4.1 在Windows Server 2003中使用连接管理器定制客户端 79
4.4.2 在Windows XP客户端中使用打包后的配置文件 86
4.5 本章小结 87
第5章 使用智能卡验证的VPN网络的组建 88
5.1 使用智能卡验证的VPN网络的拓扑结构 88
5.2 准备安装Windows Server 2003的Active Directory服务器 91
5.3 准备企业证书服务器 93
5.4 准备VPN服务器 94
5.4.1 VPN服务器的基本设置 95
5.4.2 将计算机加入到Active Directory 95
5.4.3 安装ISA Server 96
5.4.4 申请证书 97
5.5 启用VPN服务 101
5.5.1 为VPN客户端创建访问规则 102
5.5.2 为使用智能卡验证启用VPN服务器 103
5.5.3 在路由和远程访问服务中选择证书服务器 104
5.6 为智能卡用户颁发证书 106
5.6.1 安装智能卡驱动程序 106
5.6.2 初始化智能卡 107
5.6.3 在企业证书服务器上注册服务 108
5.6.4 创建用户并为智能卡颁发证书 111
5.7 使用智能卡登录到VPN服务器 113
5.8 本章小结 115
第6章 某市政府VPN网络解决方案 116
6.1 用户网络现状 116
6.2 用户需求与网络改造总体方案 118
6.3 网络改造具体方案 119
6.3.1 三层交换机的设置 119
6.3.2 路由器与防火墙代理服务器的调试 124
6.4 VPN服务器的组建 125
6.4.1 服务器的总体设置 125
6.4.2 Active Directory服务器与企业证书服务器的安装与配置 126
6.5 准备VPN服务器 128
6.5.1 VPN服务器基本设置 128
6.5.2 将计算机加入到Active Directory 129
6.5.3 安装ISA Server 130
6.5.4 申请并安装证书 132
6.6 启用VPN服务 134
6.6.1 改变ISA Server网络结构 134
6.6.2 为VPN客户端创建访问规则 137
6.6.3 启用VPN服务器 138
6.6.4 检查路由和远程访问服务是否启用 139
6.7 VPN服务器的分组功能——高级设置 140
6.7.1 提升域功能级别 141
6.7.2 为VPN用户分配静态IP地址 141
6.7.3 在ISA Server上创建不同的访问策略 142
6.7.4 用户不能通过自己设定IP地址的方式访问VPN服务器 144
6.8 使用脚本安装驱动、配置证书、创建VPN连接 145
6.9 VPN客户端使用问题总结 147
6.9.1 解锁被锁定的智能卡 148
6.9.2 吊销丢失的智能卡 149
6.9.3 续订到期证书 150
6.9.4 Windows 2000操作系统的问题 150
6.9.5 691号错误——用户名或密码无效 151
6.9.6 800号错误——VPN服务器可能不能到达 151
6.9.7 802号错误——未知错误 152
6.9.8 0x8010002A错误——提供的PIN码不对 152
6.9.9 身份验证方法错误 152
6.9.10 服务器地址改变 153
6.9.11 未修改PIN码 153
6.10 本章小结 154
第7章 基于Windows Server 2008的VPN网络的组建 155
7.1 基于PPTP协议的Windows Server 2008 VPN服务器的组建 155
7.1.1 组建步骤 156
7.1.2 Windows Server 2008的前期配置 157
7.1.3 在Windows Server 2008上安装VPN服务器 159
7.1.4 配置PPTP的VPN服务器 160
7.1.5 创建VPN用户 162
7.1.6 在Windows XP中配置VPN客户端 163
7.1.7 在Windows 7中配置VPN客户端 165
7.2 使用预共享密码方式的L2TP的VPN网络的组建 169
7.2.1 在VPN服务器上设置密码 169
7.2.2 设置Windows 7中使用L2TP的VPN客户端 170
7.2.3 设置Windows XP中使用L2TP的VPN客户端 171
7.3 基于SSTP协议的Windows Server 2008 VPN服务器的组建 172
7.3.1 安装标准证书服务器 172
7.3.2 配置证书服务器用于实验 176
7.3.3 为服务器申请证书 180
7.3.4 在Windows Server 2008中导出用户证书并导入计算机存储中 184
7.3.5 设置VPN工作站信任证书颁发机构 188
7.3.6 使用SSTP协议连接到VPN服务器 190
7.3.7 使用证书的注意事项 192
7.4 本章小节 193
第8章 基于Forefront TMG的VPN网络的组建 194
8.1 Forefront TMG功能概述 195
8.1.1 Forefront TMG的功能 195
8.1.2 Forefront TMG版本介绍 195
8.1.3 Forefront TMG系统需求 196
8.2 Forefront TMG部署与基本配置 196
8.2.1 多VLAN网络中三层交换机的配置 197
8.2.2 在计算机上添加到其他网段的静态路由 198
8.2.3 Forefront TMG的安装 200
8.3 Forefront TMG入门向导 203
8.3.1 网络设置向导 203
8.3.2 系统设置向导 204
8.3.3 部署选项 205
8.3.4 运行Web访问向导 207
8.3.5 Forefront TMG控制窗口 209
8.4 防火墙策略 210
8.4.1 防火墙策略基础 210
8.4.2 通过案例介绍访问规则与服务器发布规则 212
8.4.3 系统策略 234
8.5 组建基于PPTP与L2TP的VPN网络 236
8.5.1 在Forefront TMG中启用VPN服务器 237
8.5.2 用户管理与设置 241
8.6 配置站点间VPN路由 242
8.7 组建基于SSTP的VPN网络 247
8.7.1 实现步骤 248
8.7.2 安装独立证书服务器 248
8.7.3 配置证书服务器 252
8.7.4 创建访问规则 255
8.7.5 为服务器申请证书 256
8.7.6 配置Forefront TMG使用SSTP协议 263
8.7.7 修改NPS访问策略 266
8.7.8 为SSTP VPN服务器创建防火墙规则 267
8.7.9 基于SSTP的VPN客户端的测试 269
8.7.10 常见故障及解决方法 271
8.8 本章小节 272
第9章 使用智能卡进行身份验证的Forefront TMG VPN网络的组建 273
9.1 本章案例概述 274
9.2 Active Directory与企业证书服务器的安装配置 275
9.2.1 升级到Active Directory服务器 275
9.2.2 安装企业证书 279
9.2.3 配置企业证书 281
9.2.4 为Windows Server 2008证书服务添加智能卡证书注册站功能 285
9.2.5 创建VPN用户 288
9.3 配置Forefront TMG为VPN服务器 290
9.3.1 将Forefront TMG计算机加入到Active Directory 290
9.3.2 申请证书 291
9.3.3 配置VPN服务器 293
9.3.4 修改NPS访问策略 295
9.3.5 为VPN服务器创建防火墙规则 296
9.4 在局域网中为智能卡颁发证书 298
9.4.1 将工作站加入到域 298
9.4.2 为智能卡颁发证书 299
9.4.3 测试VPN客户端 301
9.5 远程VPN客户端测试 302
9.6 使用RADIUS对VPN用户进行验证 304
9.6.1 安装RADIUS服务器端 305
9.6.2 配置RADIUS服务器端 306
9.6.3 配置访问策略 306
9.6.4 配置Forefront TMG为RADIUS客户端 307
9.7 通过事件查看器解决VPN网络连接故障 309
9.8 进阶使用 310
9.9 本章小结 312
第10章 使用TMG 2010企业版组建大型VPN网络 313
10.1 Forefront TMG阵列概述 313
10.1.1 Forefront TMG阵列功能 313
10.1.2 Forefront TMG支持的阵列类型 314
10.1.3 为阵列中的Forefront TMG服务器配置负载平衡 314
10.1.4 在Forefront TMG阵列中配置VPN服务器的注意事项 315
10.2 使用Forefront TMG组建VPN阵列概述 315
10.3 Active Directory服务器的配置 316
10.4 Forefront TMG阵列的安装 319
10.4.1 Forefront TMG企业管理服务器EMS的安装 319
10.4.2 在EMS中创建阵列 322
10.4.3 配置阵列属性 324
10.4.4 将服务器3加入Forefront TMG阵列 326
10.4.5 将服务器4加入Forefront TMG阵列 332
10.5 配置VPN阵列 333
10.6 配置NLB 335
10.7 客户端测试 337
10.8 VPN阵列的注意事项 339
10.9 本章小结 340
第11章 Windows Server 2003/2008服务器关键问题的解决 341
11.1 Windows Server 2003关键问题 341
11.1.1 VPN服务器在第一次登录到域时出现错误 341
11.1.2 怎样添加授权数量 344
11.1.3 启用Windows Server 2003的硬件加速 346
11.1.4 禁用IE增强的安全配置 347
11.1.5 修改关机菜单 348
11.1.6 修改盘符 349
11.2 Windows Server 2008关键问题 350
11.2.1 修改SID 350
11.2.2 取消IE增强的安全配置 351
11.2.3 修改关机菜单 351
11.3 本章小结 352
第12章 ISA Server 2006与TMG 2010经典应用与疑难故障排除 353
12.1 内网也用VPN 353
12.2 理解路由与NAT的关系 354
12.3 使用ISA Server发布Exchange OWA问题 354
12.4 Exchange 2007使用证书发布网站问题 356
12.5 在ISA Server服务器上安装NOD32之后出现12206错误 357
12.6 妙用ISA Server的“重定向”功能解决单位网站不能访问的难题 359
12.7 使用ISA Server保护内部的Web服务器 361
12.8 ISA Server、IIS多方并举保护网站的安全 364
12.8.1 使用ISA Server保护网站 364
12.8.2 在IIS中的服务器上进行配置 367
12.8.3 网站的维护方式 368
12.9 使用ISA Server 2006的DMZ区保护内网的服务器群 369
12.10 发布内网中多台FTP服务器的最终解决方法(使用PASV方法) 374
12.11 ISA Server中VPN客户端打开非80端口网站速度慢的解决方法 378
12.12 使用ISA Server防火墙客户端非浏览器软件不通过代理上网的问题 380
12.13 用ISA Server做VPN路由代替专线 381
12.13.1 在东、西院内网交换机上配置静态路由 382
12.13.2 为VPN服务器添加静态路由 383
12.13.3 安装ISA Server,创建VPN站点间路由 383
12.13.4 与网通组建VPN的异同 387
12.14 从ISA Server 2006升级到TMG 2010 388
12.14.1 导出ISA Server 2006的策略 389
12.14.2 在TMG 2010中导入策略 389
12.15 使用TMG 2010发布Exchange Server 2010 390
12.15.1 发布Exchange OWA 391
12.15.2 发布Exchange 2010 394
12.15.3 客户端访问 395
12.16 使用证书保护网站 396
12.17 在TMG 2010中发布Web服务器场 400
12.18 ISA Server出现12250错误的解决方法 405
12.19 修改TMG 2010的日志保存位置 406
12.20 本章小结 408
附录A VMware Workstation基本操作 409
A.1 创建虚拟机 409
A.1.1 创建“典型”的虚拟机 409
A.1.2 创建“自定义”的虚拟机 411
A.2 修改虚拟机配置 415
A.3 打造虚拟机模板(在虚拟机中安装操作系统) 415
A.3.1 定制Windows XP Professional虚拟机模板 416
A.3.2 安装Windows XP 417
A.3.3 安装VMware Tools 421
A.3.4 使用共享文件夹 422
A.4 在虚拟机中使用U盘和其他USB设备 425
A.5 快照与克隆虚拟机 425
A.5.1 使用快照 426
A.5.2 使用克隆虚拟机 427
A.6 虚拟网络设备及虚拟机中的Team功能描述 428
A.6.1 VMware虚拟网络概述 429
A.6.2 虚拟机与虚拟网卡、网络属性 430
A.6.3 VMnet1、VMnet8、VMnet0虚拟网卡的关系 431
A.7 理解Team中的虚拟网络 433
A.7.1 与主机相隔离的虚拟网络环境 433
A.7.2 设置虚拟网络带宽与网络性能 434
附录B 本书中实验环境的搭建 437
B.1 第2章实验环境的搭建 437
B.1.1 实验前准备 437
B.1.2 创建克隆虚拟机 437
B.1.3 新建Team并进行设置 438
B.2 第3章实验环境的搭建 441
B.3 第4章实验环境的搭建 447
B.4 第5章实验环境的搭建 448
B.5 第6章实验环境的搭建 449
B.6 第7章实验环境的搭建 450
B.7 第8章实验环境的搭建 451
B.8 第9章实验环境的搭建 452
B.9 第10章实验环境的搭建 453
附录C VPN错误代码 455