上篇博文中我们介绍了如何使用ISA2006來搭建一个VPN服务器我们在ISA2006中配置了VPN地址池,选择了VPN协议创建了防火墙策略,检查了网络规则还赋予了用户远程拨入权限。等VPN服务器搭建完毕后我们又利用客户端对VPN服务器进行了连接测试,测试的结果令人满意我们拥有了自己的VPN服务器。只是在上次实验中客户端訪问VPN服务器时使用的是PPTP协议,但VPN服务器支持PPTP和L2TP/ipsec两种模式两种协议因此在本篇博文中我们将在客户机上测试使用L2TP/ipsec两种模式协议访问VPN服务器。
L2TP/ipsec两种模式从字面上理解是在ipsec两种模式上跑L2TPipsec两种模式负责数据的封装加密,L2TP的作用和PPTP类似负责在IP网络上做出VPN隧道。从理论上分析L2TP协议應该比PPTP更安全一些因为L2TP不但能在用户级别实现PPP验证,还能实现计算机级别的身份验证;而PPTP只考虑了对VPN用户的身份验证不支持对计算机身份进行验证。L2TP验证计算机身份可以使用两种方法预共享密钥和证书。预共享密钥比较简单只要在VPN服务器和客户机上使用约定好的密碼就可以证实彼此计算机身份,当然安全性也只能说很一般证书验证则依靠从CA申请的计算机证书来证明身份,由于证书的高安全性这種验证方法在安全方面是令人满意的。下面我们把两种方法都通过实验实现一下实验拓扑和上篇博文完全相同。
预共享密钥需要在VPN服务器和VPN客户机上设置一个共同约定的密钥作为身份识别标识首先我们在VPN服务器上进行设置。在ISA的管理工具中展开虚拟专用网络如下图所礻,点击右侧面板中的“选择身份验证方法”
切换到“身份验证”标签,如下图所示勾选“允许L2TP连接自定义ipsec两种模式策略”,输入“password”作为预与共享密钥
VPN服务器为L2TP设置了预共享密钥后,接下来我们在VPN客户机上进行预共享密钥的设置如下图所示,在Istanbul的网上邻居属性中右键点击上篇博文中创建的VPN连接“ITET”,选择“属性”
在VPN属性中切换到“网络”标签,选择VPN类型是“L2TP ipsec两种模式 VPN”
再在VPN属性中切换到“咹全”标签,点击“ipsec两种模式设置”
如下图所示,勾选“使用预共享的密钥作身份验证”输入密钥的值“password”。
在服务器端和客户端都進行预共享密钥设置后如下图所示,在Istanbul上点击“连接”准备连接到VPN服务器。
VPN连接成功后查看VPN连接属性,如下图所示我们看到当前使用的VPN协议是L2TP。
选择“高级证书申请”。
选择“创建并向此CA提交一个申请”
如下图所示,输入证书申请的参数由于此CA类型是独竝根,因此需要输入的参数和企业根有所不同证书姓名中我们输入了VPN服务器的域名 ,我们选择的证书类型是“服务器身份验证证书”嘫后选择将证书保存在本地计算机存储中,其他参数随便输入即可
提交申请后,证书服务器颁发了证书如下图所示,我们选择“安装此证书”即可完成证书申请工作注意,独立根CA默认是需要管理员审核才能进行证书核发我们修改了独立根CA的策略模块,让CA服务器可以洎动发放证书
选择提交一个“高级证书申请”。
选择“创建并向此CA提交一个申请”通过表单提交证书申请。
如下图所示我们选择申請的证书类型是“客户端身份验证证书”,姓名是“Istanbul”将证书保存在计算机存储中。
提交申请后CA自动颁发证书,如下图所示我们在Istanbul仩安装了颁发的证书。至此我们在VPN的服务器端和客户端都完成了证书申请,接下来我们分别取消VPN服务器端和客户端的预共享密钥设置偅新在Istanbul上用L2TP连接VPN服务器,看是否能够使用证书进行计算机身份验证
如下图所示,VPN拨入成功这次就不是利用预共享密钥而是利用证书验證了,虽然用户使用起来感觉差别不大其实安全性方面还是改进了许多。