使用 SSTP配置远程客户端访问
译者:田敏日期:2010-04-23
使用 Forefront 统一接入网关 (UAG),您通过 SSL 隧道网络的应用程序发布提供远程客户端对内部公司网络的 VPN 访问。 在 SSL 隧道网络应用程序发布之前,你必须设置 VPN 客户端网络,可以使用安全套接字隧道协议 (SSTP),也可以旧式专有 Forefront UAG 网络连接器。
本主题介绍了使用 SSTP配置远程客户端访问所需的步骤,如下所示:
- 启用 SSL网络 隧道 ─按这个步骤在内部网络中允许远程客户端访问所有路由和子网的 VPN 。
- 指定的 VPN 客户端最大连接数 ─限制远程可以同时连接到使用 SSL 隧道网络的 Forefront UAG 的VPN 客户端数。
- 发布 SSL 网络隧道 ─在用 SSL网络遂道 配置 Forefront UAG使用远程 VPN 网络后,您可通过 Forefront 统一接入网关 (UAG) 主干发布它使 VPN 连接对客户端可用。
- 选择 VPN 协议 ─选择的远程客户端 VPN 连接协议
- 对VPN 客户端分配 IP 地址 ─分配远程 VPN 客户机的 IP 地址。 您可以为此静态创建的 IP 地址池,并将它们分配给远程的 VPN 客户端连接,或者您可以给远程 VPN 客户端使用 DHCP 动态分配的 IP 地址。 注意在多服务器阵列配置中部署 Forefront UAG 服务器时您无法使用 DHCP。
默认情况下,所有用户都可以通过内部网络访问到 SSTP 。 要 阻止用户通过SSTP访问内部网络或特定服务,查看配置TMG来阻止用户通过SSTP访问。
启用 SSL 网络隧道
- 在 Forefront UAG 管理控制台的 管理 菜单上单击 远程网络访问,然后再单击 SSL 网络隧道 (SSTP)
- SSL 隧道配置 对话框上选择 启用远程客户端 VPN访问
指定的 VPN 客户端最大连接数
要设置 VPN 客户端连接的最大限值
- SSL 隧道配置 对话框的 常规 选项卡上 最大的 VPN 客户端连接 中指定的最大并发客户端连接限制
发布 SSL 网络隧道
- SSL 隧道配置 对话框的 常规 选项卡上,选择将发布 SSL 隧道网络应用程序的主干。在选择了主干后,主干门户和 HTTPS 证书的公共主机名后将显示。
选择 VPN 协议
SSL 隧道配置 对话框的 协议 选项卡上选择了 SSTP 协议。 更多关于 SSTP的信息,查看微软TechNet上的 安全遂道协议 。下表对VPN协议进行了对比:
重要
当前不支持使用 PPTP 或 L2TP/IPSec 。
属性 PPTP L2TP/IPsec SSTP 封装 GRE L2TP over UDP SSTP over TCP 加密 Microsoft 点到点加密 (MPPE) RC4 IPsec ESP with Triple Data Encryption Standard (3DES) 或 Advanced Encryption Standard (AES) SSL RC 4 或 AES 遂道维护协议 PPTP L2TP SSTP 当用户认证发生时 在加密前 在 IPsec 会话建立之后 在 SSL 会话建立后 建立VPN遂道时需要的证书 不需要 在 VPN 客户机和服务器上的计算机证书 VPN 服务器上的计算机证书和VPN客户机上的根 CA 证书
给 VPN 客户端分配IP 地址
SSL 隧道配置 对话框的 IP 地址分配 选项卡上,选择该分配方法,如下所示:
静态分配的 IP 地址,选择 分配静态地址池中的地址,然后单击 添加 以指定 IP 地址范围
提示
确保您删除指定静态池中的 IP 地址范围为内部网络的地址范围。 两个地址范围中的地址不应该重复。
自动分配 IP 地址,选择 使用 DHCP分配地址。 当多个 Forefront UAG 服务器组成一个阵列时,不支持 DHCP。 这种限制存在是因为 DHCP 地址分配到一个阵列拓扑时会有路由问题