L2TP ×××比起PPTP ×××来说更加的安全可靠,因为用到了证书进行身份验证
在搭建基于L2TP的站点到站点×××之前有几个准备工作要做
(1)安装证书服务,如图已经在北京公司内部域控制器上安装了证书服务
(2)创建【服务器身份验证】证书模板参考【用TMG搭建×××服务器(二)---L2TP/IPsec ×××】
(3)两个站点的×××服务器都必须下载并导入CA根证书
104
 
1.为北京×××服务器(bjtmg)申请服务器身份验证证书
在前面的教程中已经为bjtmg申请了【服务器身份验证证书】,并将证书导入到了【本地计算机】存储中,详细请参考第二章【用TMG搭建×××服务器(二)---L2TP/IPsec ×××】
136
 
确保bjtmg信认证书颁发机构
137
 
2.为上海×××服务器(shtmg)申请服务器身份验证证书
上海×××服务器(shtmg)要想访问北京公司内部的CA服务器,第一步可以先通过基于PPTP的站点到站点×××连接;第二步在shtmg上创建一条访问规则,允许【本地主机】与【beijing】站点任意访问,如下图
138
 
通过Administrator管理员用户进入证书申请页,这里我只截取关键步骤的图片
来到高级证书申请页,证书模板选择【服务器身份验证】,姓名设置和本地计算机名匹配,这里为shtmg
138
 
勾选【标记密钥为可导出】,设置一个好记的名称,然后提交
139
 
提交后安装证书
140
 
打开MMC管理证书,在第二章时讲过,安装的证书是存储在【当前用户】的【人个】存储中,将它导出,一定要导出私钥
141
 
指定导出路径
142
 
接下来在【本地计算机】-【个人】存储中导入这张带私钥的证书
143
 
指定导入路径
144
 
好了,这里证书已经导入到【本地计算机】-【个人】存储中中了
145
 
3.修改×××协议
在北京×××服务器(bjtmg)上的TMG控制台中,打开远程站点shanghai的属性
147
 
切换到【协议】选项卡,重新选择【L2TP/IPsec】
147
 
在上海×××服务器(shtmg)上做同样修改
148
 
4.测试
通过北京公司内部服务器bjdc,ping上海公司内部服务器shdc,可以看到是通的
149
 
还是打开【路由和远程访问】验证,状态为【活动】的×××连接类型为L2TP
150