上例部署了遠端存取VPN,在下面來部署一個網站到網站的執行個體:
網站到網站VPN串連的是兩個網路。實現兩網路內的電腦互訪。預設情況下,網站到網站VPN串連是請求撥號連線,只有當網路流量必須通過此介面轉寄(需要轉寄IP資料包到對應的遠程網路)時才建立串連。此時呼叫路由器(VPN 用戶端端)初始化這個串連,應答路由器(VPN 伺服器)偵聽串連請求,接收來自呼叫路由器的串連請求,並根據請求建立串連,並且在空閑一定時間(預設為5分鐘)後中斷連線。可以配置串連為永久串連方式,此時,VPN伺服器會保持此串連的串連狀態,如果串連中斷則立即重新初始化串連。
為了避免呼叫路由器建立不需要的串連,可以按照以下兩種方式來限制呼叫路由器建立請求的網站到網站VPN串連:
IP請求撥號篩選器。可以使用請求撥號篩選來決定哪種類型的IP流量不能導致請求撥號連線的建立,也可以配置哪種類型的IP流量可以導致串連的建立。配置請求撥號篩選的方法是:在路由和遠端存取嵌入式管理單元的節點中網路介面右擊指定撥號介面,然後點擊請求撥號篩選器,進行設定。
撥出時間。可以使用撥出時間來配置允許或禁止呼叫路由器建立網站到網站VPN串連的時間段。配置撥出時間的方法是:在路由和遠端存取嵌入式管理單元的網路介面節點中右擊指定撥號介面,然後點擊撥出時間。還可以使用遠端存取策略來配置允許傳入請求撥號路由串連的時間。
網站到網站VPN串連可以分為以下兩種類型:一種是單向初始化串連。在單向初始化串連中,一台VPN路由器總是擔任呼叫路由器(VPN用戶端),而另一台VPN路由器總是擔任應答路由器(VPN伺服器)。當單向初始化的網站到網站串連成功建立後,呼叫路由器上將添加到達應答路由器所屬專用網路的路由,但是應答路由器上不會添加到達呼叫路由器所屬專用網路的路由,這種情況,應答路由器不能訪問呼叫路由器所屬的專用網路,因此通常情況下較少使用單向初始化串連。單向初始化的串連需要滿足下列條件: 應答路由器被配置為LAN和請求撥號路由器;
在應答路由器上為呼叫路由器的身分識別驗證憑據添加使用者帳戶;在應答路由器上配置了指定撥號介面,並且其名稱與呼叫路由器所使用的使用者帳戶名稱相同。這個指定撥號介面不是用於撥號的,因此它並沒有配置呼叫路由器的主機名稱或IP地址,也沒有配置有效撥出使用者身分識別驗證資訊。
如果採用L2TP/IPSec模式的網站到網站VPN串連,還需要在呼叫路由器上安裝用戶端驗證憑證,在應答路由器上安裝伺服器身分識別驗證認證;如果不安裝認證,則需要配置預共用的IPSec密鑰。