如何部署SSTP协议的VPN详解.docxVIP

怎样部署SSTP协议的VPN详解 安全套接字隧道协议（SecureSocketTunnelingProtocol）是微软提供的新一代的虚构专用网（VPN）技 术，一种新形的VPN隧道的功能，近似PPTPL2TPOVERIPsec同样。SSTP使流量经过防火墙而阻止PPTP 和的L2TP/IPsec流量。SSTP提供了一种体制，经过HTTPS（SSL）成立VPN隧道，使用TCP端口443 进行的。同时还使用PPP，支持强大的认证方法，如的EAP-TLS的。安全套接字层（SSL）提供了增 强的传输安全，加密和完整性检查。 经过下面的图，我们能够认识3种协议的不同点： 图中最下面有大家关注SSTP支持的客户端 注：XPsp3测试不支持SSTP 协议线路图： PPTP及  L2TPOVERIPSEC在使用过程中的不足 新的SSTP协议的支持，并没有完全反对PPTP及L2TPOVERIPSEC在微软产品所组成的解决方案中 的作用，当公司使用鉴于WINDOWS平台的VPN解决方案时，这种协议仍是被常用来解决或是提升企 业网络安全性。但两者的数据包经过防火墙、NAT、WEBPROXY时却都有可能发生一些连线方面的问题。 PPTP数据包经过防火墙时，防火墙需被设定成同时充许TCP连结以及GRE封装的数据经过，但大 部分ISP都会阻止这种封包，进而造成连线的问题;而当你的机器位于NAT之后，NAT亦必需被设定成 能转发GRE协议封装的数据包。否则就会造成只能成立PPTP的TCP连结，而无法接收GRE协议封装的 数据包;WEBPROXY是不支持PPTP协议的。 L2TPOVERIPSEC的情况和此近似，需要在防火墙上充许IKE数据和ESP封装的数据同时经过，否 则也会出现连结问题。且WEBPROXY也是不支持L2TPOVERIPSEC协议的。 SSTP的履行过程 上面简要介绍了SSTP协议的优势以及PPTP等以前两种协议的不足，下面就来说下  XPWITHSP3或 是VISTAWITHSP1等客户端是怎样连结到WINDOWS2008SSL(SSTP)VPN服务器的： 1、SSTPVPN客户端以随机的TCP端口成立TCP连结至SSTPVPN服务器(经常是SSTPVPN网关服务 器)上的TCP443端口。 2、SSTPVPN客户端发送一个  SSL“Client-Hello  ”消息给  SSTPVPN服务器，表示想与此成立一个  SSL 会话。 3、SSTPVPN服务器发送“其机器证书”至  SSTPVPN客户端。 4、SSTPVPN客户端考证机器证书，决定  SSL会话的加密方法，并产生一个以  SSTPVPN服务器公钥 加密的SSL会话密钥，然后发送给SSTPVPN服务器。 5、SSTPVPN服务器使用此机器证书私钥来解密收到的加密的 都以磋商的加密方法和SSL会话密钥进行加密。  SSL会话，之后两者之间所有的通讯 6、SSTPVPN客户端发送一个鉴于SSL的HTTP(HTTPS)恳求至SSTPVPN服务器。 7、SSTPVPN客户端与SSTPVPN服务器磋商SSTP隧道。 8、SSTPVPN客户端与SSTPVPN服务器磋商包含“使用PPP考证方法验(或EAP考证方法)证使用者证书以及进行IPV4或IPV6通讯”的PPP连结。 9、SSTPVPN客户端开始发送鉴于PPP连结的IPV4或IPV6通讯流量(数据)。 以上一段话，引自互联网 作者：下里巴人 我们再来看这个环境： 一、配置第一台机器，机器名为DC： 1.配置DC的ip地点： 2.提升域控： 域功能级别，林功能级别设置为2003,详细过程： 没设置IPV6地点，会弹如下窗口，按2次“是”持续。 默认向导直到安装达成，重启。 3.创立允许VPN拔入用户帐号，创立考证时用的共享文件夹。共享文件夹内放一文本。 二、配置第二台机器，机器名为VPNsrv 1.配置IP地点: 2.把机器加入域： 加域前nslookup看是否能解释域名，保证加域成功。 重启： 3.安装证书服务和IIS。 以域管理员用户登录安装。 选择ADCS角色， 选择安装证书颁发机构WEB注册，点击增添必要的角色服务 我这里用独立根CA，自然公司根CA也能够。 配置证书公用名称，配置iis，按默认向致使达成. 4.创立服务器身份考证证书，这步骤前先设置 翻开服务器管理器，配置IESEC:  IE允许证书发布。 以管理员身份运行IE， 封闭自动网站检查， 设置intranet安全级别，低 5.创立一个服务器身份考证证书。 IE中输入：，点击申请证书 高级证书申请 创立并向此CA提交一个申请 如下： 注意名称要为：VPNserver的FQDN 6.颁发证书，安装证书，移动证书，删除不用的证书。(简单点理解是把