VPN是虛擬專用網絡的縮寫，屬于遠程訪問技術，簡單地說就是利用公網鏈路架設似有網絡。例如公司員工出差到外地，他想訪問企業內網的服務器資源，這種訪問就屬于遠程訪問。怎么才能讓外地員工訪問到內網資源呢？VPN的解決方法是在內網中架設一臺VPN服務器，VPN服務器有兩塊網卡，一塊連接內網，一塊連接公網。外地員工在當地連上互聯網后，通過互聯網找到VPN服務器，然后利用VPN服務器作為跳板進入企業內網。為了保證數據安全，VPN服務器和客戶機之間的通訊數據都進行了加密處理。有了數據加密，我們可以認為數據是在一條專用的數據鏈路上進行安全傳輸，就好像我們專門架設了一個專用網絡一樣。但實際上VPN使用的是互聯網上的公用鏈路，因此只能稱為虛擬專用網。這下您肯定明白了，VPN實質上就是利用加密技術在公網上封裝出一個數據通訊隧道。有了VPN技術，用戶無論是在外地出差還是在家中辦公，只要能上互聯網就能利用VPN非常方便地訪問內網資源，這就是為什么VPN在企業中應用得如此廣泛。上述介紹的VPN應用屬于VPN用戶的單點撥入，VPN還有一種常見的應用是在兩個內網之間架設站點到站點的VPN，我們今天先介紹如何創建單點撥入的VPN，站點到站點的VPN架設我們在后續博文中介紹。

實驗拓撲如下，Denver是內網的域控制器，DNS服務器，CA服務器，Beijing是ISA2006服務器，Istanbul模擬外網的客戶機。

ISA2006調用了Win2003中的路由和遠程訪問組件來實現VPN功能，但我們并不需要事先對ISA服務器上的路由和遠程訪問進行配置，ISA2006會自動實現對路由和遠程訪問的調用。我們先來看看ISA2006如果要實現VPN功能需要進行哪些設置？

一 定義VPN地址池

配置VPN服務器的第一步就是為VPN用戶分配一個地址范圍，這里有個誤區，很多人認為既然要讓VPN用戶能訪問內網資源，那就給VPN用戶直接分配一個內網地址就行了。例如本次實驗的內網地址范圍是10.1.1.1－10.1.1.254，那VPN用戶的地址池就放在10.1.1.100－10.1.1.150吧。如果你的VPN服務器是用Win2003的路由和遠程實現的，那這么做是可以的，路由和遠程訪問本身就只提供了VPN的基本功能，對地址管理并不嚴格。但這么做在ISA上是不可以的，因為ISA是基于網絡進行管理的！內網是一個網絡，VPN用戶是另一個網絡，兩個網絡的地址范圍是不能重疊的！雖然我們使用DHCP技術可以使VPN用戶也獲得內網地址，但絕不推薦這么做！因為在后期的管理中我們會發現，把VPN用戶放到一個單獨的網絡中，對管理員實現精確控制是非常有利的，管理員可以單獨設定VPN用戶所在網絡與其他網絡的網絡關系，訪問策略，如果把VPN用戶和內網用戶混在一起，就享受不到這種管理的便利了。因此直接給VPN用戶分配內網地址并不可取，我們本次實驗中為VPN用戶設置的地址池是192.168.100.1－192.168.100.200，雖然這個地址范圍和內網大不相同，但不用擔心，ISA會自動在兩個網絡之間進行路由。

如下圖所示，在ISA服務器中定位到虛擬專用網絡，點擊右側任務面板中的“定義地址分配”。

分配地址可以使用靜態地址，也可以使用DHCP，在此我們使用靜態地址池來為VPN用戶分配地址，點擊添加按鈕，為VPN用戶分配的地址范圍是192.168.100.1－192.168.100.200，如下圖所示。