走出VPN客户端地址分配的误区3

走出VPN客户端地址分配的误区3

ip route-static 172.16.0.0 255.255.0.0 192.168.1.1

　　VPN服务器设置

　　在用ISA Server做VPN服务器时，可以控制VPN客户端访问内网、外网、以及VPN服务器本身，或者控制VPN客户端访问任意的地址。在VPN客户端访问内网、外网以及任意IP地址时，有两种形式：即NAT方式和路由方式。如果使用NAT方式，则VPN客户端可以单向访问所需要的网络，例如，VPN客户端可以访问内网计算机，但内网计算机不能访问VPN客户端。如果使用路由方式，则访问关系是双向的，VPN客户端既可以访问内网，内网也可以访问VPN客户端。

　　通常来说，VPN客户端与外网的关系要设置为NAT，VPN客户端与内网的关系，可以根据需要与实际情况，选择NAT或者路由的关系。如果要使用路由方式，则需要满足如下两种条件：

　　1. VPN客户端地址与VPN服务器及VPN服务器所属网段地址不冲突。

　　2. 需要在三层交换机(即VPN服务器所属的三层交换机或单位核心交换机)上增加到VPN客户端地址所属网段的静态路由，路由的目标(网关)地址是VPN服务器所属内网地址(假设VPN服务器地址是192.168.1.1，为VPN客户端分配的地址是172.16.0.1～172.16.255.255)：

　　ip route-static 172.16.0.0 255.255.0.0 192.168.1.1

　　如果条件不允许对三层交换机进行调试，则需要在与VPN客户端互访的每一台计算机或服务器上，使用Route命令添加静态路由，其格式为：

　　route add -p 172.16.0.0 mask 255.255.0.0 192.168.1.1

　　如果网络拓扑是图3所示结构，其三层交换机(或者核心交换机)中已经包含了这条路由，不需要再添加类似的静态路由。

　　在默认情况下，ISA Server中VPN客户端与内网的关系是路由。所以，一般情况下，不需要更改ISA Server的设置。但是，如果你的三层交换机不允许调试，并且在目标服务器也不能增加静态路由，或者你的VPN客户端地址与VPN服务器内网地址在同一网段，你可以在ISA Server管理控制台中，在配置→网络→网络规则中，双击该条策略，将网络关系修改为NAT方式。