windows server 2008 PPTP SSTP VPN实验

《windows server 2008 PPTP SSTP VPN实验》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、SSTPVPNSSTP是微软提供的新一代的虚拟专用网（VPN）技术，它的全称是安全套接层隧道协议（SecureSocketTunnelingProtocol;sstp），和PPTPL2TPOVERIPsec一样，也是微软所提供的VPN技术。在拥有最大弹性发挥的同时，又确保信息安全达到了一定程度。目前支持SSTP技术的仅限于如下OS：WindowsXPSp3、WindowsVistaSp1以及Windows2008。使用此项新技术，可以使防火墙管理员能更容易的配置策略使SSTP流量通过其防火墙。它提供了一种机制，

2、将PPP数据包封装在HTTPS的SSL通讯中，从而使PPP支持更加安全身份验方法，如EAP-TLS等。PPTP及L2TPOVERIPSEC在使用过程中的不足新的SSTP协议的支持，并没有完全否决PPTP及L2TPOVERIPSEC在微软产品所组成的解决方案中的作用，当企业使用基于WINDOWS平台的VPN解决方案时，这种协议仍是被常用来解决或是提升企业网络安全性。但两者的数据包通过防火墙、NAT、WEBPROXY时却都有可能发生一些连线方面的问题。PPTP数据包通过防火墙时，防火墙需被设定成同时允许TCP连接以

3、及GRE封装的数据通过，但大部分ISP都会阻止这种封包，从而造成连线的问题；而当你的机器位于NAT之后，NAT亦必需被设定成能转发GRE协议封装的数据包。否则就会造成只能建立PPTP的TCP连接，而无法接收GRE协议封装的数据包；WEBPROXY是不支持PPTP协议的。L2TPOVERIPSEC的情况和此类似，需要在防火墙上充许IKE数据和ESP封装的数据同时通过，否则也会出现连接问题。且WEBPROXY也是不支持L2TPOVERIPSEC协议的。实验环境较为简单，其中两台是WINDOWSSERVER2008企

4、业版，一台WIN7。注意，这其中会涉及到公有DNS解析问题，在本实验中，以HOSTS文件中写入相关信息代替。1、WIN2K8DC是一台windows2008域制器，名为win2k8dc.contoso.com。充当DC、CA（企业根）、FILESERVER角色。2、RRAS是一台windows2008服务器，域成员，充当RRAS、IIS服务器。两块网卡。内网卡IPAdd：10.0.0.1/24DNS：10.0.0.2外网卡IPAdd：166.111.8.2/24DNS：10.0.0.2（真实环境中这块网卡是有网

5、关和公有DNS的）一、在WIN2K8DC上安装AD证书服务，并设置为企业根。1、在WIN2K8DC上，打开服务器管理器，在“角色”中点选“添加角色”，选“ACTIVEDIRECTORY证书服务”：2、在“选择角色服务”窗口中，选择“证书颁发机构”以及“证书颁发机构WEB注册”两项，同时，在选择“证书颁发机构WEB注册”后弹出的窗口中，点“添加必要的角色服务”。下一步：3、在“指定安装类型”窗口中，选择“企业“项。（当然也可以选择独立项，但显然，这不是这次实验的目的，如果今后有时间，我会以此次实验拓朴为原型，改变

6、CA角色到SSTPVPN服务器上，并设置成独立CA。）4、中间一些过程略去，。在“为CA配置加密“以及”配置CA名称“两个界面，均按默认设置，并下一步：5、选择安装后AD，CS（证书服务）的角色安装就完成了。二、在SSTPVPN服务器上安装IIS7.0进行安装之前，请确认SSTPVPN服务器加入了域：contoso.com。且在此机器登陆时是以域管理员登陆。通常情况下，并不建议把WEB服务器安装在一个负责网络安全的设备中，这里在SSTPVPN服务器中安装IIS7.0的目的，就是借此来在线递交企业CA证书申请。如

7、果采用的是独立CA，且把证书服务安装在SSTPVPN服务器上，你就可以省去一些麻烦，至少不用在接下来图中安装一些IIS7.0的安全组件了。但很显然，这不是设计此次实验的目的。接下来，请根据我的图示一步一步进行操作：1、在SSTPVPN服务器中，打开“服务器管理器”，选择“添加角色”。选择”WEB服务器（IIS）”,并在弹出的“添加角色向导”界面中，点“添加必需的功能”按钮。（此时，所安装的只是默认配置，还需要进行定制）才能满足实验需求：2、在“选择角色服务”界面，拖动按钮至中间，并在“安全性”选项前全部打上勾，

8、请务必如此，这些动作是为下面的服务器证书做好组件安装准备的，否则你就不能使用证书申请向导了。选择后，下一步：3、在出现的“确认安装选择”界面，点下方的“安装”按钮，进行角色及角色服务的安装进程。一些时间后出现“安装结果”窗口，安装完成。三、在SSTPVPN服务器上使用IIS7.0中的证书请求向导，为SSTPVPN服务器请求一个机器证书。SSTPVPN服务器需要一个机器证书来创建与SSL