WEB开发网
开发学院网络安全防火墙 ISA Server中基于L2TP实现远程拨入VPN 阅读

ISA Server中基于L2TP实现远程拨入VPN

 2010-09-30 12:19:41 来源:WEB开发网   
核心提示:L2TP/IPSEC是采用的IPSEC加密方法,它比PPTP的MPPE加密更安全,ISA Server中基于L2TP实现远程拨入VPN,ISA SERVER的L2TP/IPSEC用来来验证用户身份的方法分为证书与预共享密钥两种,其中的预共享密钥安全性较差,然后选择将证书保存在本地计算机存储中,其他参数随便输入即可,因此

L2TP/IPSEC是采用的IPSEC加密方法,它比PPTP的MPPE加密更安全。ISA SERVER的L2TP/IPSEC用来来验证用户身份的方法分为证书与预共享密钥两种,其中的预共享密钥安全性较差,因此建议只有在测试的环境中才使用。我们将分两个主题来讨论:

使用IPSEC证书来建立L2TP/IPSEC 的VPN

使用“预共享密钥”来建立 L2TP/IPSEC VPN

首先来看使用IPSEC证书来建立 L2TP/IPSEC VPN

VPN 服务器与VPN客户端都需要申请证书,双方之间才可以建立安全的。L2TP/IPSEC VPN。我们将利用网页浏览器来向CA(也就是咱们前面的DC)申请证书。

所以我们的步骤是这样的:

VPN服务器向CA申请证书与信任CA

VPN客户端向CA申请证书与信任CA

测试L2TP/IPSEC连接

VPN服务器向CA申请证书与信任CA

IE: HTTP://10.1.1.2/CERTSRV

ISA Server中基于L2TP实现远程拨入VPN

申请一个证书------------高级证书申请----------创建并向此CA提交一个申请.

如果CA是域则是左边的显示    如果CA是工作组则是右边的显示

ISA Server中基于L2TP实现远程拨入VPN

在右图中,由于此CA类型是独立根,因此需要输入的参数和企业根有所不同。证书姓名中我们输入了VPN服务器的域名 florence.itat.com,我们选择的证书类型是“服务器身份验证证书”,然后选择将证书保存在本地计算机存储中,其他参数随便输入即可。

由于此ISA SERVER已经加入到了域中,所以默认就信任CA了.所以不需要再执行信任CA操作了.可以通过 IE—证书----受信任的证书颁发机构查看

如果此ISA SERVER不是域中的机器,则需要再另行执行信任操作.大致方法如下:

下载一个CA证书链---保存成一个文件.记住路径

开始---运行---MMC

ISA Server中基于L2TP实现远程拨入VPN

VPN客户端向CA申请证与信任CA

前提是已经在前面的章节中替VPN客户端建立VPN连接.请执行以下步骤:

1. 先连接上VPN  可以先利用PPTP VPN的方式连上VPN服务器或是发布内网的WEB站点,也可!

2. IE浏览器中: http://10.1.1.2/certsrv 来向CA申请证书与执行信任CA的任务.

以上与上述ISA SERVER的操作相同,特略.!

注意事项:因为此计算机是独立计算机,所以一定要执行信任CA的步骤

如果是工作组则如下图所示:

ISA Server中基于L2TP实现远程拨入VPN

测试L2TP/IPSEC连接:

VPN客户端与VPN服务器都有了证书后,以我们的测试环境来说VPN客户端就可以跟VPN服务器建立L2TP/IPSEC VPN了.(但实际环境中要先连接到因特网.)

请先中断已经连接的PPTP VPN连接,然后修改VPN客户端的VPN连接设置,修改的方法

ISA Server中基于L2TP实现远程拨入VPN

注意:要与ISA SERVER服务器端的协议要一致!

此时就可以和VPN服务器建立起连接了. OK后,注意查看连接属性---

ISA Server中基于L2TP实现远程拨入VPN

到此实验成功!

如有不详之外,请留言讨论!

本文出自 “杜飞” 博客,请务必保留此出处http://dufei.blog.51cto.com/382644/113582

Tags:ISA Server 基于

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接