ISA Server中基于L2TP实现远程拨入VPN

L2TP/IPSEC是采用的IPSEC加密方法，它比PPTP的MPPE加密更安全。ISA SERVER的L2TP/IPSEC用来来验证用户身份的方法分为证书与预共享密钥两种，其中的预共享密钥安全性较差，因此建议只有在测试的环境中才使用。我们将分两个主题来讨论：

使用IPSEC证书来建立L2TP/IPSEC 的VPN

使用“预共享密钥”来建立 L2TP/IPSEC VPN

首先来看使用IPSEC证书来建立 L2TP/IPSEC VPN

VPN 服务器与VPN客户端都需要申请证书，双方之间才可以建立安全的。L2TP/IPSEC VPN。我们将利用网页浏览器来向CA（也就是咱们前面的DC）申请证书。

所以我们的步骤是这样的：

VPN服务器向CA申请证书与信任CA

VPN客户端向CA申请证书与信任CA

测试L2TP/IPSEC连接

VPN服务器向CA申请证书与信任CA

IE：　HTTP：//10.1.1.2/CERTSRV

申请一个证书------------高级证书申请----------创建并向此CA提交一个申请.

如果CA是域则是左边的显示　　　 如果CA是工作组则是右边的显示

在右图中，由于此CA类型是独立根，因此需要输入的参数和企业根有所不同。证书姓名中我们输入了VPN服务器的域名 florence.itat.com，我们选择的证书类型是“服务器身份验证证书”，然后选择将证书保存在本地计算机存储中，其他参数随便输入即可。

由于此ISA SERVER已经加入到了域中,所以默认就信任CA了.所以不需要再执行信任CA操作了.可以通过 IE—证书----受信任的证书颁发机构查看

如果此ISA SERVER不是域中的机器,则需要再另行执行信任操作.大致方法如下:

下载一个CA证书链---保存成一个文件.记住路径

开始---运行---MMC

VPN客户端向CA申请证与信任CA

前提是已经在前面的章节中替VPN客户端建立VPN连接.请执行以下步骤:

1. 先连接上VPN　　可以先利用PPTP VPN的方式连上VPN服务器或是发布内网的WEB站点,也可!

2. IE浏览器中: http://10.1.1.2/certsrv 来向CA申请证书与执行信任CA的任务.

以上与上述ISA SERVER的操作相同,特略.!

注意事项:因为此计算机是独立计算机,所以一定要执行信任CA的步骤

如果是工作组则如下图所示：

测试L2TP/IPSEC连接:

VPN客户端与VPN服务器都有了证书后,以我们的测试环境来说VPN客户端就可以跟VPN服务器建立L2TP/IPSEC VPN了.(但实际环境中要先连接到因特网.)

请先中断已经连接的PPTP VPN连接,然后修改VPN客户端的VPN连接设置,修改的方法

注意:要与ISA SERVER服务器端的协议要一致!

此时就可以和VPN服务器建立起连接了. OK后,注意查看连接属性---

到此实验成功!

如有不详之外,请留言讨论!

本文出自 “杜飞” 博客，请务必保留此出处http://dufei.blog.51cto.com/382644/113582