创建 基于 L2TP 的站点间 VPN 在上篇博文中我们介绍了如何利用 ISA2006 创建站点间的 VPN ,而且站点间 VPN 使用的隧道协议是 PPTP ,今天我们更进一步,准备在上篇博文的基础上实现基于 L2TP 的站点间 VPN 。 L2TP 和 PPTP 相比,增加了对计算机的身份验证
创建 基于 L2TP 的站点间 VPN
在上篇博文中我们介绍了如何利用 ISA2006 创建站点间的 VPN ,而且站点间 VPN 使用的隧道协议是 PPTP ,今天我们更进一步,准备在上篇博文的基础上实现基于 L2TP 的站点间 VPN 。 L2TP 和 PPTP 相比,增加了对计算机的身份验证,从理论上分 析应该比 PPTP 更安全一些。 L2TP 验证计算机身份可以使用预共享密钥,也可以使 用证书。我们把两种方式都尝试一下,实验拓扑如下图所示,和上篇博文的环境完全一致。
一 使用预共享密钥
使用预共享密钥实现 L2TP 的过程是是比较简单的,我们在 VPN 站点两端的 VPN 服务器上配置一个相同的预共享密钥,就可以用于 L2TP 协议中验证计算机身份。如下图所示,我们在 Beijing 上定位到[虚拟专用网络],右键点击远程站点 Tianjin ,选择[属性]。
我们在远程站点 Tianjin L2TP/IPSEC ],同时勾选使用预共享密钥,并设置预共享密钥为 password 。这里的设置会导致 beijing 拨叫 tianjin 时,使用预共享密钥 password 来证明自己的身份。
在[常规 VPN 配置]中点击[选择身份验证方法],如下图所示,勾选[允许 L2TP 连接自定义 IPSEC 策略],并设置预共享密钥为 password 。这个设置则是告诉 beijing ,接受 VPN 客户端使用预共享密钥验证计算机身份。 这样我们分别设置了 beijing 作为 VPN 服务器和 VPN 客户端都使用预共享密钥验证计算机身份 ,至此, Beijing 服务器设置完毕。
接下来我们在 Tianjin 服务器上如法炮制,如下图所示,选择远程站点 Beijing 的属性。
L2TP 作为 VPN 协议,并配置预共享密钥为 password 。
然后在[常规 VPN 配置]中点击[选择身份验证方法],如下图所示,勾选[允许 L2TP 连接自定义 IPSEC 策略],并设置预共享密钥为 password 。至此, Tianjin 服务器也设置完毕。
这时我们来看看站点间 VPN 配置的成果,如下图所示,在北京内网的 Denver 上 ping 天津内网的 Istanbul 。第一个包没有 ping 通,这是因为两个 ISA 服务器正在创建 VPN 隧道,接下来的包都可以顺利往返,这证明我们 的配置起作用了。
二 使用证书验证
使用证书验证比预共享密钥验证更加安全,只是实现起来要麻烦一些,我们需要有 CA 的配合。在我们的实验环境中, Denver 是一个被所有的实验计算机都信任的 CA , Denver 的 CA 类型是独立根。有了 CA 之后, VPN 服务器需要向 CA 申请证书以证明自己的身份,由于站点间 VPN 中每个 VPN 服务器既是服务器又充当客户机角色,因此每个 VPN 服务器都需要申请两个证书,一个是服务器证 书,一个是客户机证书。
1、 在 Beijing 上进行配置
首先我们要先为 Beijing 申请两个证书,一个是服务器证书,一个是客户机证书。如下图所示,在 Beijing 上我们在 IE 中输入 [url]http://10.1.1.5/certsrv[/url] ,在 CA 主页中选择[申请一个 证书]。
选择[提交一个高级证书申请]。
选择[创建并向此 CA 提交一个申请]。
如下图所示,我们在证书申请的表单中选择申请一个客户机证书,并且把证书存储在计算机存储中。
提交证书申请后,如下图所示,我们发现 Beijing 申请的证书已经被 CA 发放了,点击安装此证书即可完成任务。
接下来如法炮制为 Beijing 申请服务器证书,如下图所示,这次为 Beijing 申请的是服务器证书,仍然存储在本地计算机存储中,接下来的证书发放以及安装就不再赘述。
如下图所示,我们可以看到 Beijing 的计算机存储中已经有了刚申请的两个证书,
接下来在远程站点属性中取消使用预共享密钥验证身份。
然后在 VPN 常规配置的选择身份验证方法中同样取消使用预共享密钥验证身份,至此,我们在 Beijing 上配置完毕。
2、 在 Tianjin 上进行配置
在 Tianjin 上进行配置基本和 Beijing 是一样的,首先也是先从 Denver 申请证书,如下图所示, Tianjin 先申请的是一个客户机证书。
申请完客户机证书后,如下图所示, Tianjin 又申请了一个服务器证书。
接下来就是在远程站点中取消使用预共享密钥。
最后在 VPN 常规配置的身份验证方法中取消使用预共享密钥。
OK ,两个 VPN 服务器都进行了对称配置,这下他们在进行身份 验证时只能使用证书了。用客户机测试一下效果吧,如下图所示,在天津的 Istanbul 上 ping 北京的 Denver ,结果还是令人满意的,我们用证书实现 L2TP 的身份验证获得了成功!
用 L2TP 实现站点间 VPN 并不难,尤其是预共享密钥的实现是 很简单的,如果是证书验证,要注意对 CA 的信任,切记,只有从一个被所有机器都认可的 CA 申请证书才是有意义的!
查看更多关于创建基于L2TP的站点到站点的VPN连接:ISA2006系列之二十六的详细内容...