站点到站点的×××

站点到站点×××又被称为是路由器到路由器的×××。如图：

 

如果是PPTP的站点到站点的×××则CA可以不安装

 

我们先做一个简单的，基于PPTP协议的站点到站点的×××

 

思路如下：

PERTH是域 不需要安装其他软件

总公司×××服务器的配置

分公司×××服务器的配置

测试站点到站点的×××连接

 

 

总公司×××服务器的配置：

 

在总公司建立拨入帐户

在总公司建立远程站点：

 

我们先把几个虚拟机都启起来。把环境先来熟悉一下：

测试：  网络的连通性

 

1． 在总公司给分公司建立一个拨入用户：

 

Net user brance brance /add

 

并允许远程访问

 

 

2． 在总公司建立远程站点：

 

接下来我们要在总公司×××服务器建立远程站点（REMOTE SITE）这个远程站点用于连接分公司×××服务器

步骤1： 虚拟专用网（×××）---远程站点-----单击“任务”------“创建×××点对点的连接”

 

 

 

 

 

 

 

 

 

 

 

 

 

3 ． 定义网络规则 ：从内网到 brance 之间是路由的关系

4    定义防火墙规则： 从内网、 brance 到 内网、 brance 允许所有用户

 

5 ．为××× 网络配置地址范围： 30 。 1 。 1 。 1-------30 。 1 。 1 。 254

 

6．             启用配置××× 客户端

 

             重启ISA  生效

 

BERLIN上操作：

 

1．创建远程站点

 

 

 

2. 建一个允许内网拨入用户   net user main main /add 允许拨入

 

3．定义网络规则 ：从内网到 main 之间是路由的关系

   定义防火墙规则： 从内网、 main 到 内网、 main 允许所有用户

 

4．为×××网络配置地址范围： 40 。 1 。 1 。 1-------40 。 1 。 1 。 254

 

5． 启用配置×××客户端

 

6． 重启ISA  生效

 

此时   instanbul 上   ping  10.1.1 .2 行了

\\10.1.1.2  也 OK 了

或是 PERTH  上 ping 20.1.1 .2   或是    \\20.1.1.2  都 OK 了！

可以查看路由和远程访问可以发现多了一个连接，是 PPTP

 

 

实例2：基于证书的L2TP/IPSEC 站点到站点的×××

引子：我们现将双方的远程站点的协议改为 L2TP/IPSEC 然后重新启动双方的远程服务，此时，则不能再进行通讯。再查看就是已断开或是不可到达。

那么我们来看一下如果想做一个基于 L2TP/IPSEC 站点到站点的 ××× ，如何实现：

与实例 1 的区别在于：前提是 FLORENCE 上将 PERTH 的 CA 网站发布出来，供 FLORENCE 和 BERLIN 申请证书。因为是工作组所以还需要做信任 CA 的工作。

 

1 ． 在PERTH 上安装CA 基于域的CA 可以直接颁发证书。

2 ． 发布PERTH 上的CA ：  PPTP ××× 不需要证书

由于分分司 ××× 服务器需要申请证书，而且要利用浏览器来向总公司内部的企业 CA 申请，但因为分公司的 ××× 服务器是外网的，不能直接访问内网 PERTH ，因此我们需要在总公司的 ××× 服务器上，将 PERTH 上的 CA 网站发布出来。

发布过程：略

 

 

 

3．总公司申请并安装证书

 

 

 

4.   总公司要信任此证书颁发机构

可以查看此证书，但不被信任。 MMC--- 证书 --- 计算机证书 — 个人 --- 证书

 

 

  所以执行以下操作：

 

 

 

 

5.     分公司申请并安装证书

用 BERLIN 测试，因为它是防火墙，现在还不行，所以需要创建一个访问：允许内网，本机 访问 外网

 

 

6.      信任CA

BERLIN 申请证书

具体操作同上！

 

此时如果以上操作都完成了。再确认双方的远程站点都已经选择 L2TP/IPSEC 然后重新启动远程站点服务。再次测试

 

 

 

再次查看双方的路由和远程访问中的连接信息：

 

 

 

 

实验结束!