如何部署SSTP协议的VPN详解.doc

《如何部署SSTP协议的VPN详解.doc》由会员分享，可在线阅读，更多相关《如何部署SSTP协议的VPN详解.doc（57页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、如有侵权，请联系网站删除，仅供学习与交流如何部署SSTP协议的VPN详解【精品文档】第 57 页如何部署SSTP协议的VPN详解安全套接字隧道协议（Secure Socket Tunneling Protocol）是微软提供的新一代的虚拟专用网（VPN）技术，一种新形的VPN隧道的功能，类似PPTP L2TP OVER IPsec一样。SSTP使流量通过防火墙而阻止PPTP和的L2TP/IPsec流量。 SSTP提供了一种机制，通过HTTPS（SSL）建立VPN隧道，使用TCP端口443进行的。同时还使用PPP，支持强大的认证方法，如的EAP - TLS的。安全套接字层（ SSL ）提供了增强

2、的传输安全，加密和完整性检查。通过下面的图，我们可以了解3种协议的不同点：图中最下面有大家关注SSTP支持的客户端注：XP sp3测试不支持SSTP协议线路图：PPTP及L2TP OVER IPSEC在使用过程中的不足新的SSTP协议的支持，并没有完全否决PPTP及L2TP OVER IPSEC在微软产品所组成的解决方案中的作用，当企业使用基于WINDOWS 平台的VPN解决方案时，这种协议仍是被常用来解决或是提升企业网络安全性。但两者的数据包通过防火墙、NAT、WEB PROXY时却都有可能发生一些连线方面的问题。PPTP数据包通过防火墙时，防火墙需被设定成同时充许TCP连接以及GRE封装的

3、数据通过，但大部分ISP都会阻止这种封包，从而造成连线的问题; 而当你的机器位于NAT之后，NAT亦必需被设定成能转发GRE协议封装的数据包。否则就会造成只能建立PPTP的TCP连接，而无法接收GRE协议封装 的数据包;WEB PROXY是不支持PPTP 协议的。L2TP OVER IPSEC的情况和此类似，需要在防火墙上充许IKE 数据和ESP封装的数据同时通过，否则也会出现连接问题。且WEB PROXY也是不支持L2TP OVER IPSEC协议的。SSTP的执行过程上面简要介绍了SSTP协议的优势以及PPTP等之前两种协议的不足，下面就来说下XP WITH SP3 或是VISTA WIT

4、H SP1等客户端是如何连接到WINDOWS 2008 SSL(SSTP)VPN服务器的：1、SSTP VPN客户端以随机的TCP端口建立TCP连接至SSTP VPN服务器(常常是SSTP VPN 网关服务器)上的TCP 443端口。2、SSTP VPN客户端发送一个SSL “Client-Hello”消息给SSTP VPN服务器，表明想与此建立一个SSL会话。3、SSTP VPN服务器发送“其机器证书”至SSTP VPN客户端。4、SSTP VPN客户端验证机器证书，决定SSL会话的加密方法，并产生一个以SSTP VPN服务器公钥加密的SSL会话密钥，然后发送给SSTP VPN服务器。5、S

5、STP VPN服务器使用此机器证书私钥来解密收到的加密的SSL会话，之后两者之间所有的通讯都以协商的加密方法和SSL 会话密钥进行加密。6、SSTP VPN客户端发送一个基于SSL的HTTP(HTTPS)请求至SSTP VPN服务器。7、SSTP VPN客户端与SSTP VPN服务器协商SSTP隧道。8、SSTP VPN客户端与SSTP VPN服务器协商包含“使用PPP验证方法验(或EAP验证方法)证使用者证书以及进行IPV4或IPV6通讯”的PPP连接。9、SSTP VPN客户端开始发送基于PPP连接的IPV4或IPV6通讯流量(数据)。以上一段话，引自互联网作者：下里巴人我们再来看这个环境

6、：一、配置第一台机器，机器名为DC：1.配置DC的ip地址：2.提升域控：域功能级别，林功能级别设置为2003,具体过程：没设置IPV6地址，会弹如下窗口，按2次“是”继续。默认向导直到安装完成，重启。3.创建允许VPN拔入用户帐号，创建验证时用的共享文件夹。共享文件夹内放一文本。二、配置第二台机器，机器名为VPNsrv1.配置IP地址:2.把机器加入域：加域前nslookup看是否能解释域名，确保加域成功。重启：3.安装证书服务和IIS。以域管理员用户登录安装。选择ADCS角色，选择安装证书颁发机构WEB注册，点击添加必要的角色服务我这里用独立根CA，当然企业根CA也可以。配置证书公用名称，

7、配置iis，按默认向导致完成.4.创建服务器身份验证证书，这步骤前先设置IE允许证书发布。打开服务器管理器，配置IE SEC:以管理员身份运行IE，关闭自动网站检查，设置intranet安全级别，低5.创建一个服务器身份验证证书。IE中输入：http:/localhost/certsrv，点击申请证书高级证书申请创建并向此CA提交一个申请如下：注意名称要为：VPNserver的FQDN6.颁发证书，安装证书，移动证书，删除不用的证书。(简单点理解是把申请到的证书放到计算机证书中)打开mmc，添加如下：颁发证书，安装证书，移动证书，安装的证书在用户证书中的个人证书里，导出证书到桌面，再到计算机证

8、书中导入，同时删除了服务器CA的证书(所有用途可用证书)最终如图：7.安装VPN.启用并配置VPN：因没有DHCP，所以用静态分配的IP地址VPN服务器搭建完毕。三、配置第三台机器设置ip地址,host文件创建PPTP连接，验证访问共享拔号验证PPTP，但我们实验可不是为了PPTP在vpnsrv服务器上，过滤路由和远程访问，基于pptp的包，如图：在管理工具，打开高级安全windows防火墙再次拔PPTP的连接，如图:启用SSTP。打开IE，下载证书，安装证书，安装完证书后，打开mmc，加载用户证书和计算机证书，将证书为计算机证书，放到信任的根证书中重命名，把PPTP，改成SSTP。协议也使用

9、SSTP最终，使用，SSTP连接。结果如下：由于太忙，才把文章写完，以上就是SSTP实验。以上CA用的是独立根CA，可用于工作组环境。变换出多种实验环境的图，可根据实际环境去变换。DC在这里主要是用于身份验证，和SSTP后的共享验证。总的来说，SSTP 是一虚拟专用网络 (VPN) 隧道路由和远程访问服务器角色，在 Windows Server 2008 中提供的新种。 SSTP 允许通过 HTTP 封装的点对点协议 (PPP) 数据包。 此功能允许对于通过防火墙或通过网络地址转换 (NAT) 设备更轻松地建立 VPN 连接。 此外，该功能允许通过的 HTTP 代理服务器设备建立 VPN 连接。顺便提供基于 SSTP 的 VPN 连接的连接失败的代码和解决方案。(主要错误来自于证书)