转载:0翻译:0原创:190首页|Win2003|Win2008|Exchange|LCS|Sharepoint|ISA|WSUS|SMS|MOM|数据恢复|虚拟化|有感而发|Forefront|SystemCenter加友情链接发短消息相册技术圈博客“追梦五年”主题征文『51CTO五周年庆』51CTO招聘社区产品专员/助理博主的更多文章配置配置配置配置VPN服务器中的服务器中的服务器中的服务器中的L2TP/IPSEC::::ISA2006系列之二十一系列之二十一系列之二十一系列之二十一2008-08-1121:37:02 标签:VPNISA2006L2TP/IPSEC预共享密钥 [推送到技术圈]版权声明:版权声明:版权声明:版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处、作者信息和本声明。否则将追究法律责任。部署第一个域:ActiveDi..为什么我们需要域?Activ..Exchange2003+SP2部署详..两招轻松恢复误Ghost的硬盘ISA限制用户上网的技巧:..详解DNS的常用记录(上)..部署额外域控制器,Active..用备份进行ActiveDirect..yuelei博客统计信息博客统计信息博客统计信息博客统计信息51cto专家博客专家博客专家博客专家博客51cto博客之星博客之星博客之星博客之星用户名:yuelei文章数:190评论数:5742访问量:1536780无忧币:10751博客积分:8857博客等级:9注册日期:2007-07-24距离博客争夺赛结束还有12天热门文章热门文章热门文章热门文章注册|登录忘记密码?51cto首页|博客|论坛|下载热点文章热点文章热点文章热点文章异步串行通讯和同步串行.. 帮助岳雷的微软网络课堂岳雷的微软网络课堂岳雷的微软网络课堂岳雷的微软网络课堂协议协议协议协议上篇博文中我们介绍了如何使用ISA2006来搭建一个VPN服务器,我们在ISA2006中配置了VPN地址池,选择了VPN协议,创建了防火墙策略,检查了网络规则,还赋予了用户远程拨入权限。等VPN服务器搭建完毕后,我们又利用客户端对VPN服务器进行了连接测试,测试的结果令人满意,我们拥有了自己的VPN服务器。只是在上次实验中,客户端访问VPN服务器时使用的是PPTP协议,但VPN服务器支持PPTP和L2TP/IPSEC两种协议,因此在本篇博文中我们将在客户机上测试使用L2TP/IPSEC协议访问VPN服务器。L2TP/IPSEC从字面上理解是在从字面上理解是在从字面上理解是在从字面上理解是在IPSEC上跑上跑上跑上跑L2TP,,,,IPSEC负责数据的封装加密,负责数据的封装加密,负责数据的封装加密,负责数据的封装加密,L2TP的作用和的作用和的作用和的作用和PPTP类似,负责在类似,负责在类似,负责在类似,负责在IP网络上做出网络上做出网络上做出网络上做出VPN隧道。从理论上分析隧道。从理论上分析隧道。从理论上分析隧道。从理论上分析L2TP协议协议协议协议应该比应该比应该比应该比PPTP更安全一些,因为更安全一些,因为更安全一些,因为更安全一些,因为L2TP不但能在用户级别实现不但能在用户级别实现不但能在用户级别实现不但能在用户级别实现PPP验证,还能实现计验证,还能实现计验证,还能实现计验证,还能实现计算机级别的身份验证;而算机级别的身份验证;而算机级别的身份验证;而算机级别的身份验证;而PPTP只考虑了对只考虑了对只考虑了对只考虑了对VPN用户的身份验证,不支持对计算机身用户的身份验证,不支持对计算机身用户的身份验证,不支持对计算机身用户的身份验证,不支持对计算机身份进行验证。份进行验证。份进行验证。份进行验证。L2TP验证计算机身份可以使用两种方法,预共享密钥和证书。预共享密钥比较简单,只要在VPN服务器和客户机上使用约定好的密码就可以证实彼此计算机身份,当然安全性也只能说很一般。证书验证则依靠从CA申请的计算机证书来证明身份,由于证书的高安全性,这种验证方法在安全方面是令人满意的。下面我们把两种方法都通过实验实现一下,实验拓扑和上篇博文完全相同。2010/7/8配置VPN服务器中的L2TP/IPSEC:ISA…yuelei.blog.51cto.com/202879/920891/14活动目录—51CTO博客专题Microsoft技术ITET师生交流网行天下虚拟的天堂荣新IT技术实战基地q狼的..cp213xuhan..zhenh..wuzhi..szhwxysycmc520jizhi..edejunab339..IBM云计算构建新一代数..MDT2010初试部署Windo..Hyper-V下虚拟机无法启..Squid代理服务器&&搭建..搜索本博客内文章搜索本博客内文章搜索本博客内文章搜索本博客内文章提交我的技术圈我的技术圈我的技术圈我的技术圈(6)最近访客最近访客最近访客最近访客最新评论最新评论最新评论最新评论[匿名匿名匿名匿名]hailin945::::岳老,为什么我的图11无法发现客户..ningxiang00::::感谢老师,终于装上了。。。。紫鹤紫鹤紫鹤紫鹤::::是要我使用的计算机的当前用户&nbs..紫鹤紫鹤紫鹤紫鹤::::是小的听令领导辛苦了66562733::::老师,学生跟着你博客学了这么久,还..51CTO推荐博文推荐博文推荐博文推荐博文一一一一预共享密钥预共享密钥预共享密钥预共享密钥预共享密钥需要在VPN服务器和VPN客户机上设置一个共同约定的密钥作为身份识别标识,首先我们在VPN服务器上进行设置。在ISA的管理工具中展开虚拟专用网络,如下图所示,点击右侧面板中的“选择身份验证方法”。切换到“身份验证”标签,如下图所示,勾选“允许L2TP连接自定义IPSEC策略”,输入“password”作为预与共享密钥。2010/7/8配置VPN服务器中的L2TP/IPSEC:ISA…yuelei.blog.51cto.com/202879/920892/14Squid代理服务器&&搭建..Mysql的高可用和负载均..Nagios3在ubuntuserve..不容错过---CCNA实际应..源码包安装NGINX排错记录是否还在为创建批量邮..ISA设置的一点心得组策略管理——软件限..友情链接友情链接友情链接友情链接takeITeas..企业信息化之路conanhan的微软技..小王博客喻勇的博客苏繁的博客宋杨-活动目录、虚..IT那些事王万利从心开始IT-Standardization李涛的技术专栏江晓彬叶俊坚社区大管家小废物欧阳博客洋洋博客胡必胜博客千山岛主之微软技..为了梦想而努力飞的更高范琳琳学习笔记胡晓秋工作室yangming.com综合布线工作组我儿子真帅!renshuangⅦ石林Ⅶ李永先博客Wyulnnhtg'sBlog矩阵天空方建国博客张朋举絕版男→①號gmz宋涛博客杜飞张伟博客BillowG'sIT..传说中的废墟LowPower-无法体会..VPN服务器为L2TP设置了预共享密钥后,接下来我们在VPN客户机上进行预共享密钥的设置,如下图所示,在Istanbul的网上邻居属性中,右键点击上篇博文中创建的VPN连接“ITET”,选择“属性”。在VPN属性中切换到“网络”标签,选择VPN类型是“L2TPIPSECVPN”。2010/7/8配置VPN服务器中的L2TP/IPSEC:ISA…yuelei.blog.51cto.com/202879/920893/14再在VPN属性中切换到“安全”标签,点击“IPSEC设置”。如下图所示,勾选“使用预共享的密钥作身份验证”,输入密钥的值“password”。在服务器端和客户端都进行预共享密钥设置后,如下图所示,在Istanbul上点击“连接”,准备连接到VPN服务器。2010/7/8配置VPN服务器中的L2TP/IPSEC:ISA…yuelei.blog.51cto.com/202879/920894/14VPN连接成功后,查看VPN连接属性,如下图所示,我们看到当前使用的VPN协议是L2TP。二二二二证书证书证书证书使用预共享密钥方法简单,但安全性不高,接下来我们使用证书验证计算机身份,安全性会有很大提高。使用证书验证计算机身份,VPN服务器需要申请服务器证书,VPN客户机需要申请客户端证书。在目前的实验环境中,内网的Denver是证书服务器,类型是独立根,已经被实验用到的所有计算机信任。首先我们在ISA服务器上申请一个服务器证书,如下图所示,在ISA服务器的浏览器中输入[url][/url],在证书申请页面中选择“申请一个证书”。2010/7/8配置VPN服务器中的L2TP/IPSEC:ISA…yuelei.blog.51cto.com/202879/920895/14选择“高级证书申请”。选择“创建并向此CA提交一个申请”。2010/7/8配置VPN服务器中的L2TP/IPSEC:ISA…yuelei.blog.51cto.com/202879/920896/14如下图所示,输入证书申请的参数,由于此CA类型是独立根,因此需要输入的参数和企业根有所不同。证书姓名中我们输入了VPN服务器的域名Beijing.contoso.com,我们选择的证书类型是“服务器身份验证证书”,然后选择将证书保存在本地计算机存储中,其他参数随便输入即可。提交申请后,证书服务器颁发了证书,如下图所示,我们选择“安装此证书”即可完成证2010/7/8配置VPN服务器中的L2TP/IPSEC:ISA…yuelei.blog.51cto.com/202879/920897/14书申请工作。注意,独立根注意,独立根注意,独立根注意,独立根CA默认是需要管理员审核才能进行证书核发,我们修改了默认是需要管理员审核才能进行证书核发,我们修改了默认是需要管理员审核才能进行证书核发,我们修改了默认是需要管理员审核才能进行证书核发,我们修改了独立根独立根独立根独立根CA的策略模块,让的策略模块,让的策略模块,让的策略模块,让CA服务器可以自动发放证书服务器可以自动发放证书服务器可以自动发放证书服务器可以自动发放证书。VPN服务器申请完服务器证书后,接下来我们在Istanbul上申请客户端证书,首先让Istanbul用PPTP协议拨入VPN服务器,然后就可以访问内网的CA服务器了,如下图所示,在Istanbul的浏览器中输入[url][/url],选择“申请一个证书”。选择提交一个“高级证书申请”。2010/7/8配置VPN服务器中的L2TP/IPSEC:ISA…yuelei.blog.51cto.com/202879/920898/14选择“创建并向此CA提交一个申请”,通过表单提交证书申请。如下图所示,我们选择申请的证书类型是“客户端身份验证证书”,姓名是“Istanbul”,将证书保存在计算机存储中。2010/7/8配置VPN服务器中的L2TP/IPSEC:ISA…yuelei.blog.51cto.com/202879/920899/14提交申请后,CA自动颁发证书,如下图所示,我们在Istanbul上安装了颁发的证书。至此,我们在VPN的服务器端和客户端都完成了证书申请,接下来我们分别取消VPN服务器端和客户端的预共享密钥设置,重新在Istanbul上用L2TP连接VPN服务器,看是否能够使用证书进行计算机身份验证。如下图所示,VPN拨入成功,这次就不是利用预共享密钥而是利用证书验证了,虽然用户使用起来感觉差别不大,其实安全性方面还是改进了许多。2010/7/8配置VPN服务器中的L2