创建基于L2TP的站点到站点的VPN 连接:ISA2006系列之二十六
来源:互联网 发布:suse linux snmp服务 编辑:程序博客网 时间:2024/04/29 18:43
创建基于L2TP的站点间VPN
在上篇博文中我们介绍了如何利用ISA2006创建站点间的VPN,而且站点间VPN使用的隧道协议是PPTP,今天我们更进一步,准备在上篇博文的基础上实现基于L2TP的站点间VPN。L2TP和PPTP相比,增加了对计算机的身份验证,从理论上分析应该比PPTP更安全一些。L2TP验证计算机身份可以使用预共享密钥,也可以使用证书。我们把两种方式都尝试一下,实验拓扑如下图所示,和上篇博文的环境完全一致。
一 使用预共享密钥
使用预共享密钥实现L2TP的过程是是比较简单的,我们在VPN站点两端的VPN服务器上配置一个相同的预共享密钥,就可以用于L2TP协议中验证计算机身份。如下图所示,我们在Beijing上定位到“虚拟专用网络”,右键点击远程站点Tianjin,选择“属性”。
我们在远程站点Tianjin的属性中切换到“协议”标签,勾选使用“L2TP/IPSEC”,同时勾选使用预共享密钥,并设置预共享密钥为password。这里的设置会导致beijing拨叫tianjin时,使用预共享密钥password来证明自己的身份。
在“常规VPN配置”中点击“选择身份验证方法”,如下图所示,勾选“允许L2TP连接自定义IPSEC策略”,并设置预共享密钥为password。这个设置则是告诉beijing,接受VPN客户端使用预共享密钥验证计算机身份。这样我们分别设置了beijing作为VPN服务器和VPN客户端都使用预共享密钥验证计算机身份,至此,Beijing服务器设置完毕。
接下来我们在Tianjin服务器上如法炮制,如下图所示,选择远程站点Beijing的属性。
在远程站点的属性中切换到“协议”标签,如下图所示,选择使用L2TP作为VPN协议,并配置预共享密钥为password。
然后在“常规VPN配置”中点击“选择身份验证方法”,如下图所示,勾选“允许L2TP连接自定义IPSEC策略”,并设置预共享密钥为password。至此,Tianjin服务器也设置完毕。
这时我们来看看站点间VPN配置的成果,如下图所示,在北京内网的Denver上ping天津内网的Istanbul。第一个包没有ping通,这是因为两个ISA服务器正在创建VPN隧道,接下来的包都可以顺利往返,这证明我们的配置起作用了。
二 使用证书验证
使用证书验证比预共享密钥验证更加安全,只是实现起来要麻烦一些,我们需要有CA的配合。在我们的实验环境中,Denver是一个被所有的实验计算机都信任的CA,Denver的CA类型是独立根。有了CA之后,VPN服务器需要向CA申请证书以证明自己的身份,由于站点间VPN中每个VPN服务器既是服务器又充当客户机角色,因此每个VPN服务器都需要申请两个证书,一个是服务器证书,一个是客户机证书。
1、 在Beijing上进行配置
首先我们要先为Beijing申请两个证书,一个是服务器证书,一个是客户机证书。如下图所示,在Beijing上我们在IE中输入[url]http://10.1.1.5/certsrv[/url],在CA主页中选择“申请一个证书”。
选择“提交一个高级证书申请”。
选择“创建并向此CA提交一个申请”。
如下图所示,我们在证书申请的表单中选择申请一个客户机证书,并且把证书存储在计算机存储中。
提交证书申请后,如下图所示,我们发现Beijing申请的证书已经被CA发放了,点击安装此证书即可完成任务。
接下来如法炮制为Beijing申请服务器证书,如下图所示,这次为Beijing申请的是服务器证书,仍然存储在本地计算机存储中,接下来的证书发放以及安装就不再赘述。
如下图所示,我们可以看到Beijing的计算机存储中已经有了刚申请的两个证书,
接下来在远程站点属性中取消使用预共享密钥验证身份。
然后在VPN常规配置的选择身份验证方法中同样取消使用预共享密钥验证身份,至此,我们在Beijing上配置完毕。
2、 在Tianjin上进行配置
在Tianjin上进行配置基本和Beijing是一样的,首先也是先从Denver申请证书,如下图所示,Tianjin先申请的是一个客户机证书。
申请完客户机证书后,如下图所示,Tianjin又申请了一个服务器证书。
接下来就是在远程站点中取消使用预共享密钥。
最后在VPN常规配置的身份验证方法中取消使用预共享密钥。
OK,两个VPN服务器都进行了对称配置,这下他们在进行身份验证时只能使用证书了。用客户机测试一下效果吧,如下图所示,在天津的Istanbul上ping北京的Denver,结果还是令人满意的,我们用证书实现L2TP的身份验证获得了成功!
用L2TP实现站点间VPN并不难,尤其是预共享密钥的实现是很简单的,如果是证书验证,要注意对CA的信任,切记,只有从一个被所有机器都认可的CA申请证书才是有意义的!
- 创建基于L2TP的站点到站点的VPN 连接:ISA2006系列之二十六
- 创建基于PPTP的站点到站点VPN连接:ISA2006系列之二十五
- 配置VPN服务器中的 L2TP/IPSEC:ISA2006系列之二十一
- 用ISA2006搭建VPN服务器:ISA2006系列之二十
- 无线企业路由器] L2TP VPN构建站点到站点安全隧道
- Azure上搭建站点到站点(Site to Site)的VPN
- 站点到站点VPN配置方法
- 路由器SVTI 站点到站点VPN
- openwrt中基于L2TP的VPN测试
- RRAS实现windows azure站点到站点VPN
- 使用ISA2006发布安全的Sharepoint站点疑难问题解答之连接地址转换
- Mac OSX 无共享的密钥情况下连接基于L2TP协议的VPN
- Mac OSX 无共享的密钥情况下连接基于L2TP协议的VPN
- Mac OSX 无共享的密钥情况下连接基于L2TP协议的VPN
- Mac OSX 无共享的密钥情况下连接基于L2TP协议的VPN
- Mac OS X 下无密钥方式连接基于L2TP协议的VPN
- 详解Radius服务器在VPN中的应用:ISA2006系列之二十二
- 多图详解VPN用户隔离:ISA2006系列之二十四
- 用智能卡构建身份验证的马其诺防线:ISA2006系列之二十三
- 关于pop-up 的问题 请教 急!!!
- 多图详解VPN用户隔离:ISA2006系列之二十四
- jQuery AJAX 调用WCF服务实现的自动完成控件
- 创建基于PPTP的站点到站点VPN连接:ISA2006系列之二十五
- 创建基于L2TP的站点到站点的VPN 连接:ISA2006系列之二十六
- 配置单网卡的ISA缓存服务器:ISA2006系列之二十七
- ftp服务器wu-ftpd配置详解
- Is-A 和 Has-A关系
- Advanced PDF Password Recovery V5.00(PDF权限xx) 汉化纯净安装版
- 用组策略实现用户证书的自动注册申请:ISA2006系列之二十八
- 详解DMZ的部署与配置:ISA2006系列之二十九
- 企业根CA方法客户机证书的解决方案,ISA2006系列之三十
- 有关Hibernate优点和缺点的阐述