L2TP/IPSEC是采用的IPSEC加密方法,它比PPTPMPPE加密更安全。ISA SERVERL2TP/IPSEC用来来验证用户身份的方法分为证书与预共享密钥两种,其中的预共享密钥安全性较差,因此建议只有在测试的环境中才使用。我们将分两个主题来讨论:
使用IPSEC证书来建立L2TP/IPSEC ***
使用“预共享密钥”来建立 L2TP/IPSEC ***
 
首先来看使用IPSEC证书来建立 L2TP/IPSEC ***
*** 服务器与***客户端都需要申请证书,双方之间才可以建立安全的。L2TP/IPSEC ***。我们将利用网页浏览器来向CA(也就是咱们前面的DC)申请证书。
所以我们的步骤是这样的:
***服务器向CA申请证书与信任CA
***客户端向CA申请证书与信任CA
测试L2TP/IPSEC连接
 
***服务器向CA申请证书与信任CA
IE  HTTP//10.1.1.2/CERTSRV
 
 
申请一个证书------------高级证书申请----------创建并向此CA提交一个申请.
如果CA是域则是左边的显示       如果CA是工作组则是右边的显示
 
 
在右图中,由于此CA类型是独立根,因此需要输入的参数和企业根有所不同。证书姓名中我们输入了***服务器的域名 florence.itat.com,我们选择的证书类型是“服务器身份验证证书”,然后选择将证书保存在本地计算机存储中,其他参数随便输入即可。
由于此ISA SERVER已经加入到了域中,所以默认就信任CA.所以不需要再执行信任CA操作了.可以通过 IE—证书----受信任的证书颁发机构查看
如果此ISA SERVER不是域中的机器,则需要再另行执行信任操作.大致方法如下:
下载一个CA证书链---保存成一个文件.记住路径
开始---运行---MMC
***客户端向CA申请证与信任CA
前提是已经在前面的章节中替***客户端建立***连接.请执行以下步骤:
 
1. 先连接上***    可以先利用PPTP ***的方式连上***服务器或是发布内网的WEB站点,也可!
2. IE浏览器中: [url]http://10.1.1.2/[/url]certsrv 来向CA申请证书与执行信任CA的任务.
以上与上述ISA SERVER的操作相同,特略.!
注意事项:因为此计算机是独立计算机,所以一定要执行信任CA的步骤
 
如果是工作组则如下图所示:
 
测试L2TP/IPSEC连接:
***客户端与***服务器都有了证书后,以我们的测试环境来说***客户端就可以跟***服务器建立L2TP/IPSEC ***.(但实际环境中要先连接到因特网.)
请先中断已经连接的PPTP ***连接,然后修改***客户端的***连接设置,修改的方法
注意:要与ISA SERVER服务器端的协议要一致!
此时就可以和***服务器建立起连接了. OK,注意查看连接属性---
鏉?椋?绁濆ぇ瀹跺ソ杩?
到此实验成功!
如有不详之外,请留言讨论!