我遇到了一个问题
您是贵公司的网络管理员。您已在公司的所有服务器计算机上部署了 Windows Server 2008。
您已在名为 SRV_NPS 的 Windows Server 2008 R2 服务器上部署了网络策略和访问服务角色。您需要将 SRV_NPS 配置为虚拟专用网络 (VPN) 服务器。在获得对 VPN 服务器的访问权之前,您需要确保需要用户和机器身份验证。
您应该使用哪种身份验证方法?
选择是
L2TP/IPSec
EAP-TLS
SSTP
SSTP
我选择 EAP-TLS 是因为我认为用户和机器都经过身份验证,但答案是 L2TP/IPSec,因为他们说用户和机器在用户可以访问 VPN 之前都经过身份验证。
但我无法理解这与 EAP-TLS 有何不同。EAP-TLS 如何在相互身份验证之前允许用户访问 VPN。请澄清。
EAP-TLS 只是 SSL/TLS 的一种实现。它不会将任何特定客户端绑定到机器。EAP-TLS 使用 X.509 证书向服务器验证客户端。但是证书不绑定到特定的机器。ClientA 的证书未绑定到 IP 地址 1.1.1.1,它只是用来识别客户端的证书。
然而,L2TP/IPSec 确实提供了用户和机器身份验证。IPSec 使用安全策略建立安全隧道。IPSec 安全策略存储在表中,并使用安全参数索引 (SPI) 进行引用。每个 SPI 都绑定一个 IP 地址。如果传入的加密数据包没有正确的 SPI 和 IP 地址,它将不会被处理。L2TP 提供了用户认证机制。一旦建立了 IPSec 隧道,就会启动 L2TP 隧道。
IPsec 还定义了兼容 IPsec 实施所需的访问控制功能。这些功能允许根据网络和传输层特征(例如 IP 地址、端口等)过滤数据包。在 L2TP 隧道模型中,类比过滤逻辑上在 L2TP 之上的 PPP 层或网络层进行。这些网络层访问控制功能可以在 LNS 通过基于经过身份验证的 PPP 用户的特定于供应商的授权功能来处理,或者在网络层本身通过使用通信主机之间的端到端 IPsec 传输模式来处理。访问控制机制的要求不是 L2TP 规范的一部分,因此超出了本文档的范围。
这意味着 IPSec 提供了如上所述的网络层访问控制,但不是由 L2TP 执行的。
L2TP 以一种前辈两次删除类型的方式提供用户身份验证。L2TP 是一种通过该隧道运行点对点协议(PPP) 的隧道协议。PPP 提供用户认证机制;使用密码身份验证协议(PAP,已弃用)或质询握手身份验证协议(CHAP)。