配置L2TP/IPSEC的VPN教程

时间：2023-11-26 理论教育版权反馈

【摘要】：VPN服务器支持PPTP和L2TP/IPSEC两种协议。本节将介绍基于L2TP/IPSEC的VPN。L2TP/IPSEC从字面上理解是在IPSEC上跑L2TP，IPSEC负责数据的封装加密，L2TP的作用和PPTP类似，负责在IP网络上做出VPN隧道。图11-45 选择身份验证方法图11-46 输入预共享密钥VPN服务器为L2TP设置了预共享密钥后，接下来在VPN客户机上进行预共享密钥的设置。4）在VPN属性中切换到“网络”标签，选择VPN类型是“L2TP IPSec VPN”，如图11-48所示。

配置L2TP/IPSEC的VPN教程

VPN服务器支持PPTP和L2TP/IPSEC两种协议。在上一节，客户端访问VPN服务器使用的是PPTP，PPTP只考虑了对VPN用户的身份验证，不支持对计算机身份进行验证。本节将介绍基于L2TP/IPSEC的VPN。

L2TP/IPSEC从字面上理解是在IPSEC上跑L2TP，IPSEC负责数据的封装加密，L2TP的作用和PPTP类似，负责在IP网络上做出VPN隧道。理论上，L2TP应该比PPTP更安全一些，因为L2TP不但能在用户级别实现PPP验证，还能实现计算机级别的身份验证。

L2TP验证计算机身份可以使用预共享密钥和证书两种方法。预共享密钥比较简单，只要在VPN服务器和客户机上使用约定好的密码就可以证实彼此计算机身份，安全性能很一般。证书验证则依靠从CA申请的计算机证书来证明身份，由于证书的高安全性，这种验证方法在安全方面是令人满意的。下面把两种方法都实现一下，实验拓扑和上次实验完全相同，如图11-44所示。

图11-44 VPN实验拓扑

1.预共享密钥

预共享密钥需要在VPN服务器和VPN客户机上设置一个共同约定的密钥作为身份识别标识，首先在VPN服务器上进行设置。

1）在ISA的管理工具中展开虚拟专用网络，如图11-45所示，单击右侧面板中的“选择身份验证方法”。

2）切换到“身份验证”标签，如图11-46所示，勾选“允许L2TP连接自定义IPSec策略”，输入“password”作为预共享密钥。

图11-45 选择身份验证方法

图11-46 输入预共享密钥

VPN服务器为L2TP设置了预共享密钥后，接下来在VPN客户机上进行预共享密钥的设置。

3）如图11-47所示，在ITET的网上邻居属性中，右击上节创建的VPN连接“ITET”，选择“属性”命令。

4）在VPN属性中切换到“网络”标签，选择VPN类型是“L2TP IPSec VPN”，如图11-48所示。

图11-47 VPN属性

图11-48 选择VPN类型

5）再在VPN属性中切换到“安全”标签，单击“IPSec设置”按钮，如图11-49所示。

6）如图11-50所示，勾选“使用预共享的密钥作身份验证”，输入密钥的值“pass-word”。

图11-49 IPSec设置

图11-50 输入密钥的值

7）在服务器端和客户端都进行预共享密钥设置后，在“连接ITET”对话框中单击“连接”按钮，如图11-51所示，准备连接到VPN服务器。

8）VPN连接成功后，查看VPN连接属性，看到当前使用的VPN协议是L2TP，如图11-52所示。

图11-51 连接到VPN服务器

图11-52 查看VPN连接属性

2.使用证书验证计算机身份

使用预共享密钥方法简单，但安全性不高，接下来使用证书验证计算机身份，安全性会有很大提高。使用证书验证计算机身份，VPN服务器需要申请服务器证书，VPN客户机需要申请客户端证书。在目前的实验环境中，内网的Denver是证书服务器，类型是独立根，已经被实验用到的所有计算机信任。(www.xing528.com)

1）首先在ISA服务器上申请一个服务器证书，在ISA服务器的浏览器中输入“http：//denver/certsrv”，在证书申请页面中选择“申请一个证书”，如图11-53所示。

2）在“申请一个证书”页面，选择“高级证书申请”，如图11-54所示。