ISA站点间***实验

简单阐述：

L2TP/IPsec 的***利用了IPsec进行数据加密的并且提供了用户身份验证和计算机身份验证，也就是说建立L2TP/IPsec前先验证计算机身份，然后验证拨入用户的身份。其中计算机身份验证提供了两种方式：1.预共享密钥 2.证书身份验证

以下实验L2TP/IPsec站点到站点的证书身份验证:

如图北京总公司和天津分公司通过ISA建立站点到站点L2TP ***。

我的实验环境如下图

03Server01：北京ISA

03Server02：天津ISA

08Server01：DC

XP01：北京PC

XP02：天津PC

以上各PC的IP地址均按网络拓扑图进行配置，其中北京总公司为域环境，但是北京ISA没有加入域，天津分公司为工作组环境。

n 实验准备工作：

ü 08Server01提升为域控制器，并且安装企业CA,WINS服务器

ü 03Server01上安装ISA2006企业版

ü 03Server02上安装ISA2006企业版

ü Xp01的网关指向北京ISA的Lan口地址

ü Xp02的网关指向天津ISA的Lan口地址

步骤一：配置北京ISA

? 如下图我的北京ISA是一个干净的环境，没有配置任何防火墙策略，包括系统默认策略

? 选择“创建远程站点”

? 创建“tianjin”远程站点

? 选择“IPsec上的第二层隧道协议”

? 弹出提示我们必须在北京ISA的本地主机上创建一个远程拨入账号，并且账号名称必须和刚才的向导创建的网络同名。

? 为***客户端分配IP地址，特别注意：分配的IP地址不能和任何网络重叠包括隧道的另一端。因为数据包的投递是根据路由表的，如果有相同网段的将导致数据包不转发给默认网关，直接在本网段进行投递。

? 此图直接下一步

? 输入远程站点服务器IP地址

? 输入在天津ISA上具有拨入权限的账户beijing，该账户需要在天津ISA上进行创建，并且赋予拨入权限

? 选择了“证书身份验证”

? 添加天津内部网络范围，如果天津内部有多个网段则需要全部添加进来

? 取消如下勾选，直接单击下一步

? 直接单击下一步，向导将为我们创建“tianjin到内部网络”的网络规则为路由，稍后我们可以查看到

? 创建“允许tianjin和内部网络之间的相互访问”规则为“所有出站通讯”

? 选择“完成”

? 选择完成后弹出向导提示我们将启用系统规则来开发ISA到所有网络的HTTP通讯，也方便了我们等等为ISA在DC上申请证书。

? 弹出提示框让我们完成以下任务，单击确定

? 最后应用下规则

? 我们看看整个向导帮我们在ISA中创建了哪些

1) 创建了网络规则

2) 创建tianjin网络

3) 创建了一条“tianjin和内部网络的访问规则”

4) 启用了路由和远程访问，并且创建了一个tianjin的请求拨号接口

步骤二：在北京ISA本地主机创建tianjin用户，赋予比如权限

步骤三：北京ISA在DC上申请系统管理员证书

? 如下图在北京ISA上访问DC进行证书申请

? 申请证书

? 选择“高级证书申请”

? 选择“创建并向此CA提交一个申请”

? 在证书模板中选择“系统管理员”，其它的保持默认，在好记的名称中随意填写个名称

? 提交证书，选择“是”

? 安装证书

? 默认安装完证书你会发现证书安装在了当前用户中如下图

? 我们把证书进行导出，然后导入到个人计算机证书中，如下图

? 导出私钥

? 直接默认下一步

以上，简单步骤我省略了，只截图出关键步骤

? 最后我们将证书导入到了计算机中，如下图所示

? 以上我们就完成了证书的申请，而由于我们的北京ISA是工作组环境，我还必须信任此CA证书颁发机构。

信任证书颁发机构步骤：在北京ISA上进行访问DC上的CA，选择“下载CA证书，证书链或CRL”

? 选择下载CA“证书链”

? 保存

? 最后我们把证书导入到“受信任的颁发机构”，如下图所示

步骤四：在ISA上发布08Server01即DC上的证书颁发机构，让分公司可以申请证书。

? 如下图选择“网站发布规则”

? 随便填写个名称

? 允许

? 发布单个网站或负载平衡器

? 使用不安全进行发布

? 向导问你发布的服务器的名称（FQDN)和IP地址，如果光填写网站的FQDN名也是可以的，只要ISA能解析出这个FQDN即可。

? 我们发布网站点所有目录

? 因为我们是发布到ISA的外部网卡上所以填写外部的IP地址：192.168.10.1，单击下一步

? 我们新建一个侦听器listen 80端口

? 选择不需要与客户端建立SSL安全连接

? 选择外部

? 选择没有身份验证

? 默认直接下一步

? 选择完成

? 向导问你要委派ISA对客户端进行身份验证吗？所以选择无委派，但是客户可以自己到web站点进行身份验证，单击下一步

? 所有用户都可以访问这个发布的站点

? 完成向导的发布，应用规则

? 最后我们还需要在在监听器80中如下设置

至此总结如下：

1.完成了创建远程站点

2.完成了创建tianjin拨入用户

3.北京ISA申请了证书，并且信任了证书颁发机构

4.发布了DC上的网站

步骤五：

1) 在天津ISA上进行创建远程站点北京

2) 在天津ISA上创建beijing拨入用户，授予拨入权限

3) 在天津ISA向CA申请证书，并信任证书颁发机构

1）必须先做，做完后会开发天津ISA到所有网络的HTTP请求，这样就可以让我们进行证书的申请了

由于步骤和创建tianjin远程站点，操作基本一样我就不演示了。

2）这个步骤我就省略了

3）这个步骤，因为刚才我们发布了网站，那么我就访问下看下我们是否可以访问到

演示步骤3：

如下图我们在天津ISA上成功网络到了发布的网站

? 同样的接下来我们做下申请证书（申请系统管理员证书）导入到计算机证书中，信任CA，这部分前面演示过了，就不在演示。

步骤六：测试站点到站点间***

? 我们在北京XP01上进行Ping 192.168.100.10 天津XP02，测试前请关闭XP上的各自防火墙上

如下图XP01Ping通了XP02

步骤七：天津分公司的XP02访问北京总公司的XP01上的共享文件夹。

? 如下图我们在XP01上把WINS服务器的IP地址指向WINS服务器即DC

Xp02的WINS同样指向DC

? 如下图XP02成功通过\\XP01访问到到了XP01的共享文件夹