L2TP ×××比起PPTP ×××來說更加的安全可靠,因爲用到了證書進行身份驗證
在搭建基於L2TP的站點到站點×××之前有幾個準備工作要做
(1)安裝證書服務,如圖已經在北京公司內部域控制器上安裝了證書服務
(2)創建【服務器身份驗證】證書模板參考【用TMG搭建×××服務器(二)---L2TP/IPsec ×××】
(3)兩個站點的×××服務器都必須下載並導入CA根證書
1.爲北京×××服務器(bjtmg)申請服務器身份驗證證書
在前面的教程中已經爲bjtmg申請了【服務器身份驗證證書】,並將證書導入到了【本地計算機】存儲中,詳細請參考第二章【用TMG搭建×××服務器(二)---L2TP/IPsec×××】
確保bjtmg信認證書頒發機構
2.爲上海×××服務器(shtmg)申請服務器身份驗證證書
上海×××服務器(shtmg)要想訪問北京公司內部的CA服務器,第一步可以先通過基於PPTP的站點到站點×××連接;第二步在shtmg上創建一條訪問規則,允許【本地主機】與【beijing】站點任意訪問,如下圖
通過Administrator管理員用戶進入證書申請頁,這裏我只截取關鍵步驟的圖片
來到高級證書申請頁,證書模板選擇【服務器身份驗證】,姓名設置和本地計算機名匹配,這裏爲shtmg
勾選【標記密鑰爲可導出】,設置一個好記的名稱,然後提交
提交後安裝證書
打開MMC管理證書,在第二章時講過,安裝的證書是存儲在【當前用戶】的【人個】存儲中,將它導出,一定要導出私鑰
指定導出路徑
接下來在【本地計算機】-【個人】存儲中導入這張帶私鑰的證書
指定導入路徑
好了,這裏證書已經導入到【本地計算機】-【個人】存儲中中了
3.修改×××協議
在北京×××服務器(bjtmg)上的TMG控制檯中,打開遠程站點shanghai的屬性
切換到【協議】選項卡,重新選擇【L2TP/IPsec】
在上海×××服務器(shtmg)上做同樣修改
4.測試
通過北京公司內部服務器bjdc,ping上海公司內部服務器shdc,可以看到是通的
還是打開【路由和遠程訪問】驗證,狀態爲【活動】的×××連接類型爲L2TP
