简单阐述:
L2TP/IPsec 的***利用了IPsec进行数据加密的并且提供了用户身份验证和计算机身份验证,也就是说建立L2TP/IPsec前先验证计算机身份,然后验证拨入用户的身份。其中计算机身份验证提供了两种方式:1.预共享密钥 2.证书身份验证
以下实验L2TP/IPsec站点到站点的证书身份验证:
如图北京总公司和天津分公司通过ISA建立站点到站点L2TP ***。
我的实验环境如下图
03Server01:北京ISA
03Server02:天津ISA
08Server01:DC
XP01:北京PC
XP02:天津PC
以上各PC的IP地址均按网络拓扑图进行配置,其中北京总公司为域环境,但是北京ISA没有加入域,天津分公司为工作组环境。
n 实验准备工作:
ü 08Server01提升为域控制器,并且安装企业CA,WINS服务器
ü 03Server01上安装ISA2006企业版
ü 03Server02上安装ISA2006企业版
ü Xp01的网关指向北京ISA的Lan口地址
ü Xp02的网关指向天津ISA的Lan口地址
步骤一:配置北京ISA
? 如下图我的北京ISA是一个干净的环境,没有配置任何防火墙策略,包括系统默认策略
? 选择“创建远程站点”
? 创建“tianjin”远程站点
? 选择“IPsec上的第二层隧道协议”
? 弹出提示我们必须在北京ISA的本地主机上创建一个远程拨入账号,并且账号名称必须和刚才的向导创建的网络同名。
? 为***客户端分配IP地址,特别注意:分配的IP地址不能和任何网络重叠包括隧道的另一端。因为数据包的投递是根据路由表的,如果有相同网段的将导致数据包不转发给默认网关,直接在本网段进行投递。
? 此图直接下一步
? 输入远程站点服务器IP地址
? 输入在天津ISA上具有拨入权限的账户beijing,该账户需要在天津ISA上进行创建,并且赋予拨入权限
? 选择了“证书身份验证”
? 添加天津内部网络范围,如果天津内部有多个网段则需要全部添加进来
? 取消如下勾选,直接单击下一步
? 直接单击下一步,向导将为我们创建“tianjin到内部网络”的网络规则为路由,稍后我们可以查看到
? 创建“允许tianjin和内部网络之间的相互访问”规则为“所有出站通讯”
? 选择“完成”
? 选择完成后弹出向导提示我们将启用系统规则来开发ISA到所有网络的HTTP通讯,也方便了我们等等为ISA在DC上申请证书。
? 弹出提示框让我们完成以下任务,单击确定
? 最后应用下规则
? 我们看看整个向导帮我们在ISA中创建了哪些
1) 创建了网络规则
2) 创建tianjin网络
3) 创建了一条“tianjin和内部网络的访问规则”
4) 启用了路由和远程访问,并且创建了一个tianjin的请求拨号接口
步骤二:在北京ISA本地主机创建tianjin用户,赋予比如权限
步骤三:北京ISA在DC上申请系统管理员证书
? 如下图在北京ISA上访问DC进行证书申请
? 申请证书
? 选择“高级证书申请”
? 选择“创建并向此CA提交一个申请”
? 在证书模板中选择“系统管理员”,其它的保持默认,在好记的名称中随意填写个名称
? 提交证书,选择“是”
? 安装证书
? 默认安装完证书你会发现证书安装在了当前用户中如下图
? 我们把证书进行导出,然后导入到个人计算机证书中,如下图
? 导出私钥
? 直接默认下一步
以上,简单步骤我省略了,只截图出关键步骤
? 最后我们将证书导入到了计算机中,如下图所示
? 以上我们就完成了证书的申请,而由于我们的北京ISA是工作组环境,我还必须信任此CA证书颁发机构。
信任证书颁发机构步骤:在北京ISA上进行访问DC上的CA,选择“下载CA证书,证书链或CRL”
? 选择下载CA“证书链”
? 保存
? 最后我们把证书导入到“受信任的颁发机构”,如下图所示
步骤四:在ISA上发布08Server01即DC上的证书颁发机构,让分公司可以申请证书。
? 如下图选择“网站发布规则”
? 随便填写个名称
? 允许
? 发布单个网站或负载平衡器
? 使用不安全进行发布
? 向导问你发布的服务器的名称(FQDN)和IP地址,如果光填写网站的FQDN名也是可以的,只要ISA能解析出这个FQDN即可。
? 我们发布网站点所有目录
? 因为我们是发布到ISA的外部网卡上所以填写外部的IP地址:192.168.10.1,单击下一步
? 我们新建一个侦听器listen 80端口
? 选择不需要与客户端建立SSL安全连接
? 选择外部
? 选择没有身份验证
? 默认直接下一步
? 选择完成
? 向导问你要委派ISA对客户端进行身份验证吗?所以选择无委派,但是客户可以自己到web站点进行身份验证,单击下一步
? 所有用户都可以访问这个发布的站点
? 完成向导的发布,应用规则
? 最后我们还需要在在监听器80中如下设置
至此总结如下:
1.完成了创建远程站点
2.完成了创建tianjin拨入用户
3.北京ISA申请了证书,并且信任了证书颁发机构
4.发布了DC上的网站
步骤五:
1) 在天津ISA上进行创建远程站点北京
2) 在天津ISA上创建beijing拨入用户,授予拨入权限
3) 在天津ISA向CA申请证书,并信任证书颁发机构
1)必须先做,做完后会开发天津ISA到所有网络的HTTP请求,这样就可以让我们进行证书的申请了
由于步骤和创建tianjin远程站点,操作基本一样我就不演示了。
2)这个步骤我就省略了
3)这个步骤,因为刚才我们发布了网站,那么我就访问下看下我们是否可以访问到
演示步骤3:
如下图我们在天津ISA上成功网络到了发布的网站
? 同样的接下来我们做下申请证书(申请系统管理员证书)导入到计算机证书中,信任CA,这部分前面演示过了,就不在演示。
步骤六:测试站点到站点间***
? 我们在北京XP01上进行Ping 192.168.100.10 天津XP02,测试前请关闭XP上的各自防火墙上
如下图XP01Ping通了XP02
步骤七:天津分公司的XP02访问北京总公司的XP01上的共享文件夹。
? 如下图我们在XP01上把WINS服务器的IP地址指向WINS服务器即DC
Xp02的WINS同样指向DC
? 如下图XP02成功通过\\XP01访问到到了XP01的共享文件夹