创建基于L2TP的站点到站点的VPN连接:ISA2006系列之二十六

创建基于L2TP的站点间VPN

在上篇博文中我们介绍了如何利用ISA2006创建站点间的VPN，而且站点间VPN使用的隧道协议是PPTP，今天我们更进一步，准备在上篇博文的基础上实现基于L2TP的站点间VPN。L2TP和PPTP相比，增加了对计算机的身份验证，从理论上分析应该比PPTP更安全一些。L2TP验证计算机身份可以使用预共享密钥，也可以使用证书。我们把两种方式都尝试一下，实验拓扑如下图所示，和上篇博文的环境完全一致。

一 使用预共享密钥

使用预共享密钥实现L2TP的过程是是比较简单的，我们在VPN站点两端的VPN服务器上配置一个相同的预共享密钥，就可以用于L2TP协议中验证计算机身份。如下图所示，我们在Beijing上定位到“虚拟专用网络”，右键点击远程站点Tianjin，选择“属性”。

我们在远程站点Tianjin的属性中切换到“协议”标签，勾选使用“L2TP/IPSEC”，同时勾选使用预共享密钥，并设置预共享密钥为password。这里的设置会导致beijing拨叫tianjin时，使用预共享密钥password来证明自己的身份。

在“常规VPN配置”中点击“选择身份验证方法”，如下图所示，勾选“允许L2TP连接自定义IPSEC策略”，并设置预共享密钥为password。这个设置则是告诉beijing，接受VPN客户端使用预共享密钥验证计算机身份。这样我们分别设置了beijing作为VPN服务器和VPN客户端都使用预共享密钥验证计算机身份，至此，Beijing服务器设置完毕。

接下来我们在Tianjin服务器上如法炮制，如下图所示，选择远程站点Beijing的属性。

在远程站点的属性中切换到“协议”标签，如下图所示，选择使用L2TP作为VPN协议，并配置预共享密钥为password。

然后在“常规VPN配置”中点击“选择身份验证方法”，如下图所示，勾选“允许L2TP连接自定义IPSEC策略”，并设置预共享密钥为password。至此，Tianjin服务器也设置完毕。

这时我们来看看站点间VPN配置的成果，如下图所示，在北京内网的Denver上ping天津内网的Istanbul。第一个包没有ping通，这是因为两个ISA服务器正在创建VPN隧道，接下来的包都可以顺利往返，这证明我们的配置起作用了。

二 使用证书验证

使用证书验证比预共享密钥验证更加安全，只是实现起来要麻烦一些，我们需要有CA的配合。在我们的实验环境中，Denver是一个被所有的实验计算机都信任的CA，Denver的CA类型是独立根。有了CA之后，VPN服务器需要向CA申请证书以证明自己的身份，由于站点间VPN中每个VPN服务器既是服务器又充当客户机角色，因此每个VPN服务器都需要申请两个证书，一个是服务器证书，一个是客户机证书。

1、  在Beijing上进行配置

首先我们要先为Beijing申请两个证书，一个是服务器证书，一个是客户机证书。如下图所示，在Beijing上我们在IE中输入[url]http://10.1.1.5/certsrv[/url]，在CA主页中选择“申请一个证书”。

选择“提交一个高级证书申请”。

选择“创建并向此CA提交一个申请”。

如下图所示，我们在证书申请的表单中选择申请一个客户机证书，并且把证书存储在计算机存储中。

提交证书申请后，如下图所示，我们发现Beijing申请的证书已经被CA发放了，点击安装此证书即可完成任务。

接下来如法炮制为Beijing申请服务器证书，如下图所示，这次为Beijing申请的是服务器证书，仍然存储在本地计算机存储中，接下来的证书发放以及安装就不再赘述。

如下图所示，我们可以看到Beijing的计算机存储中已经有了刚申请的两个证书，

接下来在远程站点属性中取消使用预共享密钥验证身份。

然后在VPN常规配置的选择身份验证方法中同样取消使用预共享密钥验证身份，至此，我们在Beijing上配置完毕。

2、  在Tianjin上进行配置

在Tianjin上进行配置基本和Beijing是一样的，首先也是先从Denver申请证书，如下图所示，Tianjin先申请的是一个客户机证书。

申请完客户机证书后，如下图所示，Tianjin又申请了一个服务器证书。

接下来就是在远程站点中取消使用预共享密钥。

最后在VPN常规配置的身份验证方法中取消使用预共享密钥。

OK，两个VPN服务器都进行了对称配置，这下他们在进行身份验证时只能使用证书了。用客户机测试一下效果吧，如下图所示，在天津的Istanbul上ping北京的Denver，结果还是令人满意的，我们用证书实现L2TP的身份验证获得了成功！

用L2TP实现站点间VPN并不难，尤其是预共享密钥的实现是很简单的，如果是证书验证，要注意对CA的信任，切记，只有从一个被所有机器都认可的CA申请证书才是有意义的！

本文出自 “岳雷的微软网络课堂” 博客，请务必保留此出处http://yuelei.blog.51cto.com/202879/97124

创建基于L2TP的站点间VPN

在上篇博文中我们介绍了如何利用ISA2006创建站点间的VPN，而且站点间VPN使用的隧道协议是PPTP，今天我们更进一步，准备在上篇博文的基础上实现基于L2TP的站点间VPN。L2TP和PPTP相比，增加了对计算机的身份验证，从理论上分析应该比PPTP更安全一些。L2TP验证计算机身份可以使用预共享密钥，也可以使用证书。我们把两种方式都尝试一下，实验拓扑如下图所示，和上篇博文的环境完全一致。

一 使用预共享密钥

使用预共享密钥实现L2TP的过程是是比较简单的，我们在VPN站点两端的VPN服务器上配置一个相同的预共享密钥，就可以用于L2TP协议中验证计算机身份。如下图所示，我们在Beijing上定位到“虚拟专用网络”，右键点击远程站点Tianjin，选择“属性”。

我们在远程站点Tianjin的属性中切换到“协议”标签，勾选使用“L2TP/IPSEC”，同时勾选使用预共享密钥，并设置预共享密钥为password。这里的设置会导致beijing拨叫tianjin时，使用预共享密钥password来证明自己的身份。

在“常规VPN配置”中点击“选择身份验证方法”，如下图所示，勾选“允许L2TP连接自定义IPSEC策略”，并设置预共享密钥为password。这个设置则是告诉beijing，接受VPN客户端使用预共享密钥验证计算机身份。这样我们分别设置了beijing作为VPN服务器和VPN客户端都使用预共享密钥验证计算机身份，至此，Beijing服务器设置完毕。

接下来我们在Tianjin服务器上如法炮制，如下图所示，选择远程站点Beijing的属性。

在远程站点的属性中切换到“协议”标签，如下图所示，选择使用L2TP作为VPN协议，并配置预共享密钥为password。

然后在“常规VPN配置”中点击“选择身份验证方法”，如下图所示，勾选“允许L2TP连接自定义IPSEC策略”，并设置预共享密钥为password。至此，Tianjin服务器也设置完毕。

这时我们来看看站点间VPN配置的成果，如下图所示，在北京内网的Denver上ping天津内网的Istanbul。第一个包没有ping通，这是因为两个ISA服务器正在创建VPN隧道，接下来的包都可以顺利往返，这证明我们的配置起作用了。

二 使用证书验证

使用证书验证比预共享密钥验证更加安全，只是实现起来要麻烦一些，我们需要有CA的配合。在我们的实验环境中，Denver是一个被所有的实验计算机都信任的CA，Denver的CA类型是独立根。有了CA之后，VPN服务器需要向CA申请证书以证明自己的身份，由于站点间VPN中每个VPN服务器既是服务器又充当客户机角色，因此每个VPN服务器都需要申请两个证书，一个是服务器证书，一个是客户机证书。

1、  在Beijing上进行配置

首先我们要先为Beijing申请两个证书，一个是服务器证书，一个是客户机证书。如下图所示，在Beijing上我们在IE中输入[url]http://10.1.1.5/certsrv[/url]，在CA主页中选择“申请一个证书”。

选择“提交一个高级证书申请”。

选择“创建并向此CA提交一个申请”。

如下图所示，我们在证书申请的表单中选择申请一个客户机证书，并且把证书存储在计算机存储中。

提交证书申请后，如下图所示，我们发现Beijing申请的证书已经被CA发放了，点击安装此证书即可完成任务。

接下来如法炮制为Beijing申请服务器证书，如下图所示，这次为Beijing申请的是服务器证书，仍然存储在本地计算机存储中，接下来的证书发放以及安装就不再赘述。

如下图所示，我们可以看到Beijing的计算机存储中已经有了刚申请的两个证书，

接下来在远程站点属性中取消使用预共享密钥验证身份。

然后在VPN常规配置的选择身份验证方法中同样取消使用预共享密钥验证身份，至此，我们在Beijing上配置完毕。

2、  在Tianjin上进行配置

在Tianjin上进行配置基本和Beijing是一样的，首先也是先从Denver申请证书，如下图所示，Tianjin先申请的是一个客户机证书。

申请完客户机证书后，如下图所示，Tianjin又申请了一个服务器证书。

接下来就是在远程站点中取消使用预共享密钥。

最后在VPN常规配置的身份验证方法中取消使用预共享密钥。

OK，两个VPN服务器都进行了对称配置，这下他们在进行身份验证时只能使用证书了。用客户机测试一下效果吧，如下图所示，在天津的Istanbul上ping北京的Denver，结果还是令人满意的，我们用证书实现L2TP的身份验证获得了成功！

用L2TP实现站点间VPN并不难，尤其是预共享密钥的实现是很简单的，如果是证书验证，要注意对CA的信任，切记，只有从一个被所有机器都认可的CA申请证书才是有意义的！

本文出自 “岳雷的微软网络课堂” 博客，请务必保留此出处http://yuelei.blog.51cto.com/202879/97124