关闭

关闭

封号提示

内容

首页 如何部署SSTP协议的VPN详解.doc

如何部署SSTP协议的VPN详解.doc

如何部署SSTP协议的VPN详解.doc

上传者: 网络知道 2011-11-30 评分 5 0 152 21 692 暂无简介 简介 举报

简介:本文档为《如何部署SSTP协议的VPN详解doc》,可适用于IT/计算机领域,主题内容包含如何部署SSTP协议的VPN详解安全套接字隧道协议(SecureSocketTunnelingProtocol)是微软提供的新一代的虚拟专用网(VP符等。

如何部署SSTP协议的VPN详解安全套接字隧道协议(SecureSocketTunnelingProtocol)是微软提供的新一代的虚拟专用网(VPN)技术一种新形的VPN隧道的功能类似PPTPLTPOVERIPsec一样。SSTP使流量通过防火墙而阻止PPTP和的LTPIPsec流量。SSTP提供了一种机制通过HTTPS(SSL)建立VPN隧道使用TCP端口进行的。同时还使用PPP支持强大的认证方法如的EAPTLS的。安全套接字层(SSL)提供了增强的传输安全加密和完整性检查。通过下面的图我们可以了解种协议的不同点:图中最下面有大家关注SSTP支持的客户端注:XPsp测试不支持SSTP协议线路图:  PPTP及LTPOVERIPSEC在使用过程中的不足  新的SSTP协议的支持并没有完全否决PPTP及LTPOVERIPSEC在微软产品所组成的解决方案中的作用当企业使用基于WINDOWS平台的VPN解决方案时这种协议仍是被常用来解决或是提升企业网络安全性。但两者的数据包通过防火墙、NAT、WEBPROXY时却都有可能发生一些连线方面的问题。  PPTP数据包通过防火墙时防火墙需被设定成同时充许TCP连接以及GRE封装的数据通过但大部分ISP都会阻止这种封包从而造成连线的问题而当你的机器位于NAT之后NAT亦必需被设定成能转发GRE协议封装的数据包。否则就会造成只能建立PPTP的TCP连接而无法接收GRE协议封装的数据包WEBPROXY是不支持PPTP协议的。  LTPOVERIPSEC的情况和此类似需要在防火墙上充许IKE数据和ESP封装的数据同时通过否则也会出现连接问题。且WEBPROXY也是不支持LTPOVERIPSEC协议的。  SSTP的执行过程  上面简要介绍了SSTP协议的优势以及PPTP等之前两种协议的不足下面就来说下XPWITHSP或是VISTAWITHSP等客户端是如何连接到WINDOWSSSL(SSTP)VPN服务器的:  、SSTPVPN客户端以随机的TCP端口建立TCP连接至SSTPVPN服务器(常常是SSTPVPN网关服务器)上的TCP端口。  、SSTPVPN客户端发送一个SSL“ClientHello”消息给SSTPVPN服务器表明想与此建立一个SSL会话。  、SSTPVPN服务器发送“其机器证书”至SSTPVPN客户端。  、SSTPVPN客户端验证机器证书决定SSL会话的加密方法并产生一个以SSTPVPN服务器公钥加密的SSL会话密钥然后发送给SSTPVPN服务器。  、SSTPVPN服务器使用此机器证书私钥来解密收到的加密的SSL会话之后两者之间所有的通讯都以协商的加密方法和SSL会话密钥进行加密。  、SSTPVPN客户端发送一个基于SSL的HTTP(HTTPS)请求至SSTPVPN服务器。  、SSTPVPN客户端与SSTPVPN服务器协商SSTP隧道。  、SSTPVPN客户端与SSTPVPN服务器协商包含“使用PPP验证方法验(或EAP验证方法)证使用者证书以及进行IPV或IPV通讯”的PPP连接。  、SSTPVPN客户端开始发送基于PPP连接的IPV或IPV通讯流量(数据)。  以上一段话引自互联网  作者:下里巴人我们再来看这个环境:  一、配置第一台机器机器名为DC:  配置DC的ip地址:  提升域控:  域功能级别林功能级别设置为,具体过程:  没设置IPV地址会弹如下窗口按次“是”继续。  默认向导直到安装完成重启。  创建允许VPN拔入用户帐号创建验证时用的共享文件夹。共享文件夹内放一文本。    二、配置第二台机器机器名为VPNsrv  配置IP地址:  把机器加入域:  加域前nslookup看是否能解释域名确保加域成功。  重启:   安装证书服务和IIS。  以域管理员用户登录安装。    选择ADCS角色  选择安装证书颁发机构WEB注册点击添加必要的角色服务     我这里用独立根CA当然企业根CA也可以。    配置证书公用名称配置iis按默认向导致完成  创建服务器身份验证证书这步骤前先设置IE允许证书发布。  打开服务器管理器配置IESEC:   以管理员身份运行IE  关闭自动网站检查    设置intranet安全级别低  创建一个服务器身份验证证书。  IE中输入:http:localhostcertsrv点击申请证书    高级证书申请    创建并向此CA提交一个申请  如下:  注意名称要为:VPNserver的FQDN  颁发证书安装证书移动证书删除不用的证书。(简单点理解是把申请到的证书放到计算机证书中)  打开mmc添加如下:  颁发证书  安装证书    移动证书  安装的证书在用户证书中的个人证书里导出证书到桌面  再到计算机证书中导入同时删除了服务器CA的证书(所有用途可用证书)  最终如图:   安装VPN  启用并配置VPN:   因没有DHCP所以用静态分配的IP地址  VPN服务器搭建完毕。  三、配置第三台机器  设置ip地址,host文件   创建PPTP连接验证访问共享    拔号验证PPTP但我们实验可不是为了PPTP   在vpnsrv服务器上过滤路由和远程访问基于pptp的包如图:  在管理工具打开高级安全windows防火墙  再次拔PPTP的连接如图:  启用SSTP。  打开IE下载证书安装证书  安装完证书后打开mmc加载用户证书和计算机证书将证书为计算机证书放到信任的根证书中    重命名把PPTP改成SSTP。协议也使用SSTP  最终使用SSTP连接。  结果如下:    由于太忙才把文章写完以上就是SSTP实验。  以上CA用的是独立根CA可用于工作组环境。变换出多种实验环境的图可根据实际环境去变换。  DC在这里主要是用于身份验证和SSTP后的共享验证。  总的来说SSTP是一虚拟专用网络(VPN)隧道路由和远程访问服务器角色在WindowsServer中提供的新种。SSTP允许通过HTTP封装的点对点协议(PPP)数据包。此功能允许对于通过防火墙或通过网络地址转换(NAT)设备更轻松地建立VPN连接。此外该功能允许通过的HTTP代理服务器设备建立VPN连接。  顺便提供基于SSTP的VPN连接的连接失败的代码和解决方案。(主要错误来自于证书)  http:supportmicrosoftcomkbzhcn

精彩专题

职业精品

上传我的资料

热门资料

资料评价:

/ 47
所需积分:1 立即下载

意见
反馈

返回
顶部

Q