创建 基于 L2TP 的站点间 VPN 在上篇博文中我们介绍了如何利用 ISA2006 创建站点间的 VPN ,而且站点间 VPN 使用的隧道协议是 PPTP ,今天我们更进一步,准备在上篇博文的基础上实现基于 L2TP 的站点间 VPN 。 L2TP 和 PPTP 相比,增加了对计算机的身份验证
创建 基于 L2TP 的站点间 VPN
在上篇博文中我们介绍了如何利用 ISA2006 创建站点间的 VPN ,而且站点间 VPN 使用的隧道协议是 PPTP ,今天我们更进一步,准备在上篇博文的基础上实现基于 L2TP 的站点间 VPN 。 L2TP 和 PPTP 相比,增加了对计算机的身份验证,从理论上分 析应该比 PPTP 更安全一些。 L2TP 验证计算机身份可以使用预共享密钥,也可以使 用证书。我们把两种方式都尝试一下,实验拓扑如下图所示,和上篇博文的环境完全一致。
一 使用预共享密钥
使用预共享密钥实现 L2TP 的过程是是比较简单的,我们在 VPN 站点两端的 VPN 服务器上配置一个相同的预共享密钥,就可以用于 L2TP 协议中验证计算机身份。如下图所示,我们在 Beijing 上定位到“虚拟专用网络”,右键点击远程站点 Tianjin ,选择“属性”。
我们在远程站点 Tianjin L2TP/IPSEC ”,同时勾选使用预共享密钥,并设置预共享密钥为 password 。这里的设置会导致 beijing 拨叫 tianjin 时,使用预共享密钥 password 来证明自己的身份。
在“常规 VPN 配置”中点击“选择身份验证方法”,如下图所示,勾选“允许 L2TP 连接自定义 IPSEC 策略”,并设置预共享密钥为 password 。这个设置则是告诉 beijing ,接受 VPN 客户端使用预共享密钥验证计算机身份。这样我们分别设置了 beijing 作为 VPN 服务器和 VPN 客户端都使用预共享密钥验证计算机身份 ,至此, Beijing 服务器设置完毕。
接下来我们在 Tianjin 服务器上如法炮制,如下图所示,选择远程站点 Beijing 的属性。
L2TP 作为 VPN 协议,并配置预共享密钥为 password 。
然后在“常规 VPN 配置”中点击“选择身份验证方法”,如下图所示,勾选“允许 L2TP 连接自定义 IPSEC 策略”,并设置预共享密钥为 password 。至此, Tianjin 服务器也设置完毕。
这时我们来看看站点间 VPN 配置的成果,如下图所示,在北京内网的 Denver 上 ping 天津内网的 Istanbul 。第一个包没有 ping 通,这是因为两个 ISA 服务器正在创建 VPN 隧道,接下来的包都可以顺利往返,这证明我们 的配置起作用了。
二 使用证书验证
使用证书验证比预共享密钥验证更加安全,只是实现起来要麻烦一些,我们需要有 CA 的配合。在我们的实验环境中, Denver 是一个被所有的实验计算机都信任的 CA , Denver 的 CA 类型是独立根。有了 CA 之后, VPN 服务器需要向 CA 申请证书以证明自己的身份,由于站点间 VPN 中每个 VPN 服务器既是服务器又充当客户机角色,因此每个 VPN 服务器都需要申请两个证书,一个是服务器证 书,一个是客户机证书。
1、 在 Beijing 上进行配置
首先我们要先为 Beijing 申请两个证书,一个是服务器证书,一个是客户机证书。如下图所示,在 Beijing 上我们在 IE 中输入 [url]http://10.1.1.5/certsrv[/url] ,在 CA 主页中选择“申请一个 证书”。
选择“提交一个高级证书申请”。
选择“创建并向此 CA 提交一个申请”。
如下图所示,我们在证书申请的表单中选择申请一个客户机证书,并且把证书存储在计算机存储中。
提交证书申请后,如下图所示,我们发现 Beijing 申请的证书已经被 CA 发放了,点击安装此证书即可完成任务。
接下来如法炮制为 Beijing 申请服务器证书,如下图所示,这次为 Beijing 申请的是服务器证书,仍然存储在本地计算机存储中,接下来的证书发放以及安装就不再赘述。
如下图所示,我们可以看到 Beijing 的计算机存储中已经有了刚申请的两个证书,
接下来在远程站点属性中取消使用预共享密钥验证身份。
然后在 VPN 常规配置的选择身份验证方法中同样取消使用预共享密钥验证身份,至此,我们在 Beijing 上配置完毕。
2、 在 Tianjin 上进行配置
在 Tianjin 上进行配置基本和 Beijing 是一样的,首先也是先从 Denver 申请证书,如下图所示, Tianjin 先申请的是一个客户机证书。
申请完客户机证书后,如下图所示, Tianjin 又申请了一个服务器证书。
接下来就是在远程站点中取消使用预共享密钥。
最后在 VPN 常规配置的身份验证方法中取消使用预共享密钥。
OK ,两个 VPN 服务器都进行了对称配置,这下他们在进行身份 验证时只能使用证书了。用客户机测试一下效果吧,如下图所示,在天津的 Istanbul 上 ping 北京的 Denver ,结果还是令人满意的,我们用证书实现 L2TP 的身份验证获得了成功!
用
L2TP
实现站点间
VPN
并不难,尤其是预共享密钥的实现是
很简单的,如果是证书验证,要注意对
CA
的信任,切记,只有从一个被所有机器都认可的
CA
申请证书才是有意义的!