黄秋葵播种机:创建基于L2TP的站点到站点的VPN连接:ISA2006系列之二十六
来源:百度文库 编辑:偶看新闻 时间:2024/06/12 11:38:04
创建基于L2TP的站点间VPN 在上篇博文中我们介绍了如何利用ISA2006创建站点间的VPN,而且站点间VPN使用的隧道协议是PPTP,今天我们更进一步,准备在上篇博文的基础上实现基于L2TP的站点间VPN。L2TP和PPTP相比,增加了对计算机的身份验证,从理论上分析应该比PPTP更安全一些。L2TP验证计算机身份可以使用预共享密钥,也可以使用证书。我们把两种方式都尝试一下,实验拓扑如下图所示,和上篇博文的环境完全一致。 一 使用预共享密钥 使用预共享密钥实现L2TP的过程是是比较简单的,我们在VPN站点两端的VPN服务器上配置一个相同的预共享密钥,就可以用于L2TP协议中验证计算机身份。如下图所示,我们在Beijing上定位到“虚拟专用网络”,右键点击远程站点Tianjin,选择“属性”。 我们在远程站点Tianjin的属性中切换到“协议”标签,勾选使用“L2TP/IPSEC”,同时勾选使用预共享密钥,并设置预共享密钥为password。这里的设置会导致beijing拨叫tianjin时,使用预共享密钥password来证明自己的身份。 在“常规VPN配置”中点击“选择身份验证方法”,如下图所示,勾选“允许L2TP连接自定义IPSEC策略”,并设置预共享密钥为password。这个设置则是告诉beijing,接受VPN客户端使用预共享密钥验证计算机身份。这样我们分别设置了beijing作为VPN服务器和VPN客户端都使用预共享密钥验证计算机身份,至此,Beijing服务器设置完毕。 接下来我们在Tianjin服务器上如法炮制,如下图所示,选择远程站点Beijing的属性。 在远程站点的属性中切换到“协议”标签,如下图所示,选择使用L2TP作为VPN协议,并配置预共享密钥为password。 然后在“常规VPN配置”中点击“选择身份验证方法”,如下图所示,勾选“允许L2TP连接自定义IPSEC策略”,并设置预共享密钥为password。至此,Tianjin服务器也设置完毕。 这时我们来看看站点间VPN配置的成果,如下图所示,在北京内网的Denver上ping天津内网的Istanbul。第一个包没有ping通,这是因为两个ISA服务器正在创建VPN隧道,接下来的包都可以顺利往返,这证明我们的配置起作用了。 二 使用证书验证 使用证书验证比预共享密钥验证更加安全,只是实现起来要麻烦一些,我们需要有CA的配合。在我们的实验环境中,Denver是一个被所有的实验计算机都信任的CA,Denver的CA类型是独立根。有了CA之后,VPN服务器需要向CA申请证书以证明自己的身份,由于站点间VPN中每个VPN服务器既是服务器又充当客户机角色,因此每个VPN服务器都需要申请两个证书,一个是服务器证书,一个是客户机证书。1、 在Beijing上进行配置 首先我们要先为Beijing申请两个证书,一个是服务器证书,一个是客户机证书。如下图所示,在Beijing上我们在IE中输入[url]http://10.1.1.5/certsrv[/url],在CA主页中选择“申请一个证书”。 选择“提交一个高级证书申请”。 选择“创建并向此CA提交一个申请”。 如下图所示,我们在证书申请的表单中选择申请一个客户机证书,并且把证书存储在计算机存储中。 提交证书申请后,如下图所示,我们发现Beijing申请的证书已经被CA发放了,点击安装此证书即可完成任务。 接下来如法炮制为Beijing申请服务器证书,如下图所示,这次为Beijing申请的是服务器证书,仍然存储在本地计算机存储中,接下来的证书发放以及安装就不再赘述。 如下图所示,我们可以看到Beijing的计算机存储中已经有了刚申请的两个证书, 接下来在远程站点属性中取消使用预共享密钥验证身份。 然后在VPN常规配置的选择身份验证方法中同样取消使用预共享密钥验证身份,至此,我们在Beijing上配置完毕。 2、 在Tianjin上进行配置 在Tianjin上进行配置基本和Beijing是一样的,首先也是先从Denver申请证书,如下图所示,Tianjin先申请的是一个客户机证书。 申请完客户机证书后,如下图所示,Tianjin又申请了一个服务器证书。 接下来就是在远程站点中取消使用预共享密钥。 最后在VPN常规配置的身份验证方法中取消使用预共享密钥。 OK,两个VPN服务器都进行了对称配置,这下他们在进行身份验证时只能使用证书了。用客户机测试一下效果吧,如下图所示,在天津的Istanbul上ping北京的Denver,结果还是令人满意的,我们用证书实现L2TP的身份验证获得了成功! 用L2TP实现站点间VPN并不难,尤其是预共享密钥的实现是很简单的,如果是证书验证,要注意对CA的信任,切记,只有从一个被所有机器都认可的CA申请证书才是有意义的!
本文出自 “岳雷的微软网络课堂” 博客,请务必保留此出处http://yuelei.blog.51cto.com/202879/97124
创建基于ole db的连接是什么意思。
如何打造基于Linux的VPN服务器
关于VPN的连接速度!
VPN连接的相关知识
请问一个L2TP的问题
我的联众众游戏这两天为什么总是无法连接到站点?
icmp snmp ike vpn pptp vpn l2tp vpn igmp协议
其中一种VPN的工作原理介绍(如L2TP或者IPSec的工作原理介绍).高手们可以告诉我么?
关于VPN连接故障的提问
Winme 如何建立虚拟的VPN连接?
VPN连接出现736的解决办法
怎样创建自己的ftp站点?
校园网VPN虚拟专用网内创建DNS服务器的问题
请解释客户端发起的VPN连接和NAS发起的VPN连接有什么不同
厦门到西安的火车都经过哪些站点?都有哪些车次,到站时间?
flash中 创建新的基于屏幕的文档 是什么意思?
基于CWND创建的窗口可以做成透明的吗?
合肥到南通的汽车一班几点到站
安装服务器扩展的站点服务器的文档根已经包含了一个基于磁盘的站点,如何处理?
安装服务器扩展的站点服务器的文档根已经包含了一个基于磁盘的站点,如何处理?
怎么样去添加VPN拨号上网的连接装置呢?
路由器里的L2TP 和PPTP是干什么用的?
信阳到开封的客车几点发车,几点到站?回程几点发车?
在组建VPN虚拟专用网络进行的VPN连接时VPN连接"图标,需输入用户名和密码,是那里的户名和密码???