计算机技术文摘,电脑技术文摘

 上篇博文中我们介绍了如何使用ISA2006来搭建一个VPN服务器，我们在ISA2006中配置了VPN地址池，选择了VPN协议，创建了防火墙策略，检查了网络规则，还赋予了用户远程拨入权限。等VPN服务器搭建完毕后，我们又利用客户端对VPN服务器进行了连接测试，测试的结果令人满意，我们拥有了自己的VPN服务器。只是在上次实验中，客户端访问VPN服务器时使用的是PPTP协议，但VPN服务器支持PPTP和L2TP/IPSEC两种协议，因此在本篇博文中我们将在客户机上测试使用L2TP/IPSEC协议访问VPN服务器。
L2TP/IPSEC从字面上理解是在IPSEC上跑L2TP，IPSEC负责数据的封装加密，L2TP的作用和PPTP类似，负责在IP网络上做出VPN隧道。从理论上分析L2TP协议应该比PPTP更安全一些，因为L2TP不但能在用户级别实现PPP验证，还能实现计算机级别的身份验证；而PPTP只考虑了对VPN用户的身份验证，不支持对计算机身份进行验证。L2TP验证计算机身份可以使用两种方法，预共享密钥和证书。预共享密钥比较简单，只要在VPN服务器和客户机上使用约定好的密码就可以证实彼此计算机身份，当然安全性也只能说很一般。证书验证则依靠从CA申请的计算机证书来证明身份，由于证书的高安全性，这种验证方法在安全方面是令人满意的。下面我们把两种方法都通过实验实现一下，实验拓扑和上篇博文完全相同。

切换到“身份验证”标签，如下图所示，勾选“允许L2TP连接自定义IPSEC策略”，输入“password”作为预与共享密钥。

VPN服务器为L2TP设置了预共享密钥后，接下来我们在VPN客户机上进行预共享密钥的设置，如下图所示，在Istanbul的网上邻居属性中，右键点击上篇博文中创建的VPN连接“ITET”，选择“属性”。

在VPN属性中切换到“网络”标签，选择VPN类型是“L2TP IPSEC VPN”。

再在VPN属性中切换到“安全”标签，点击“IPSEC设置”。

如下图所示，勾选“使用预共享的密钥作身份验证”，输入密钥的值“password”。

在服务器端和客户端都进行预共享密钥设置后，如下图所示，在Istanbul上点击“连接”，准备连接到VPN服务器。

VPN连接成功后，查看VPN连接属性，如下图所示，我们看到当前使用的VPN协议是L2TP。

二 证书
使用预共享密钥方法简单，但安全性不高，接下来我们使用证书验证计算机身份，安全性会有很大提高。使用证书验证计算机身份，VPN服务器需要申请服务器证书，VPN客户机需要申请客户端证书。在目前的实验环境中，内网的Denver是证书服务器，类型是独立根，已经被实验用到的所有计算机信任。首先我们在ISA服务器上申请一个服务器证书，如下图所示，在ISA服务器的浏览器中输入http://denver/certsrv，在证书申请页面中选择“申请一个证书”。

选择“高级证书申请”。

(责任编辑：生如夏花)