返回
2003 部署基于L2TP和IPSEC的站点到站点VPN连接.doc

2003 部署基于L2TP和IPSEC的站点到站点VPN连接.doc

ID:10868629

大小:144.51 KB

页数:11页

时间:2018-07-08

2003 部署基于L2TP和IPSEC的站点到站点VPN连接.doc_第1页
2003 部署基于L2TP和IPSEC的站点到站点VPN连接.doc_第2页
2003 部署基于L2TP和IPSEC的站点到站点VPN连接.doc_第3页
2003 部署基于L2TP和IPSEC的站点到站点VPN连接.doc_第4页
2003 部署基于L2TP和IPSEC的站点到站点VPN连接.doc_第5页
资源描述:

《2003 部署基于L2TP和IPSEC的站点到站点VPN连接.doc》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、虚拟专用网络和WindowsServer2003:部署站点到站点VPN:部署基于L2TP/IPSec的站点到站点VPN连接Postedon2005-05-2521:49cunshen阅读(758)评论(0) 编辑收藏所属分类:Win-Server部署基于L2TP/IPSec的站点到站点VPN连接使用WindowsServer2003部署基于L2TP/IPSec的站点到站点VPN连接的过程由下列几个步骤组成:•部署证书基础构架•部署Internet基础构架•部署应答路由器•部署呼叫路由器•部署AAA基础构架•部署站点网络基础构架•部署站点间网络基础构架部

2、署证书基础构架对于基于L2TP的VPN连接,需要一个证书基础构架来签署执行IPSec身份验证所需的证书。另外,在使用EAP-TLS身份验证时,也需要一个证书基础构架。用于L2TP连接的证书要安装计算机证书,必须拥有一个签署证书的证书颁发机构(CA)。如果这个CA是一个WindowsServer2003CA,那么您通过下面几种不同的方法,在身份验证服务器的计算机证书存储库中安装证书:1.配置自动地将计算机证书分配给ActiveDirectory域中的计算机。这种方法允许整个域的单点配置。域中所有成员自动地通过组策略获得计算机证书。2.使用证书管理器嵌入式

3、管理单元来请求证书,并存储在证书(本地计算机)个人文件夹中。在这种方法中,每个计算机必须单独地从CA请求计算机证书。您必须拥有管理员权限来使用证书管理器嵌入式管理单元安装证书。3.使用InternetExplorer和web注册来请求证书,并存储在本地机器存储库中。在这种方法中,每个计算机必须单独地从CA请求计算机证书。您必须具有管理员权限来使用web注册来安装证书。根据您公司中的证书策略,您只需要采用其中的一种方式。更多有关使用WindowsServer2003CA获取计算机证书的信息,请参考WindowsServer2003帮助和支持中的"用于L

4、2TP/IPSecVPN连接的计算机证书"和"通过Web提交高级证书请求"。对于第三方CA,请参阅CA软件的文档资料,了解如何创建用户证书并导出,以及如何使呼叫路由器和应答路由器的管理员能够通过证书管理器嵌入式管理单元将证书导入到计算机证书存储库中。另外,您还必须在呼叫路由器和应答路由器上导出和导入根CA证书、签署CA的证书以及所有中间CA的证书。详细信息,请参考Microsoft白皮书“虚拟专用网络和WindowsServer2003:部署远程访问VPN”的附录E。用于EAP-TLS身份验证的证书要对站点到站点VPN连接使用EAP-TLS身份验证,您

5、必须:•在每个呼叫路由器计算机上安装一个用户证书。•在呼叫路由器上配置EAP-TLS。•在身份验证服务器(应答路由器或RADIUS服务器)上安装一个计算机证书。•在应答路由器和远程访问策略中配置EAP-TLS。在呼叫路由器上安装用户证书如果您使用WindowsServer2003CA,那么将创建一个路由器(离线请求)证书(一种用于请求拨号连接的特殊用户证书),并映射到一个ActiveDirectory用户帐户。要为呼叫路由器部署路由器(离线请求)证书,网络管理员必须:1.配置WindowsServer2003CA来签署路由器(离线请求)证书。2.请求一

6、个路由器(离线请求)证书。3.导出这个路由器(离线请求)证书。4.将这个证书映射到合适的用户帐户。5.将这个路由器(离线请求)证书发送给呼叫路由器的网络管理员。6.将路由器(离线请求)证书导入到呼叫路由器中。更多有关为请求拨号路由部署路由器(离线请求)证书的信息,请参阅WindowsServer2003帮助和支持中的“分公司办公室请求拨号连接”。对于第三方CA,请参阅CA软件的文档资料,了解如何创建具有客户端身份验证增强的密钥使用(OID"1.3.6.1.5.5.7.3.2")的用户证书以及导出证书,并使其能够映射到ActiveDirectory用户帐

7、户,以及发送给呼叫路由器的网络管理员。您还必须导出根CA证书、签署CA的证书以及所有中间CA的证书,并使用证书管理器嵌入式管理单元将它们保存在应答路由器的计算机证书存储库中正确的文件夹下。详细信息,请参考Microsoft白皮书“虚拟专用网络和WindowsServer2003:部署远程访问VPN”的附录E。在呼叫路由器上配置EAP-TLS要在呼叫路由器上为用户证书配置EAP-TLS:•请求拨号接口必须被配置为使用具有智能卡或其他证书EAP类型的EAP,您可以通过在请求拨号接口属性的安全性选项卡中配置高级设置来完成。对于智能卡或其他证书EAP类型的属性

8、,请选择使用本机中的证书。如果您希望验证VPN或IAS服务器的计算机证书,请选择检验服务器证书

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。