l2tp端口号

时间：2023-05-22 10:49:54

相关推荐

l2tp端口号（精选6篇）

l2tp端口号1

　　关于PPTP协议、L2TP协议和SSTP协议

　　PPTP：点对点隧道协议

(PPTP: Point to Point Tunneling Protocol）默认端口号：1723(TCP)点对点隧道协议（PPTP）是一种支持多协议虚拟专用网络的网络技术,它工作在第二层。通过该协议，远程用户能够通过 Microsoft Windows 操作系统以及其它装有点对点协议的系统安全访问公司网络，并能拨号连入本地ISP，通过 Internet 安全链接到公司网络。

　　L2TP：第二层隧道协议

(L2TP: Layer 2 Tunneling Protocol）默认端口号：1701(UDP)L2TP是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处，比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP使用多隧道；L2TP提供包头压缩、隧道验证，而PPTP不支持。

　　关于PPTP和L2TP PPTP和L2TP都属于第二层隧道协议，使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似，但是仍存在以下几方面的不同： 1、PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），帧中继永久虚拟电路（PVCs）、虚拟电路（VCs）或ATM网络上使用

　　2、PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道

　　3、L2TP可以提供包头压缩。当压缩包头时，系统开销（overhead）占用4个字节，而PPTP协议下要占用6个字节 4、L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPsec共同使用时，PCVPN定做的登录器支持PPTP和L2TP(IPSEC)密钥功能，可以由IPsec提供隧道验证，不需要在第2层协议上验证隧道.SSTP:安全套接字隧道协议

　　SSTP可以创建一个在HTTPS上传送的VPN隧道，从而消除与基于PPTP（点对点隧道协议）或L2TP（第2层隧道协议）VPN连接有关的诸多问题。因为这些协议有可能受到某些位于客户端与服务器之间的Web代理、防火墙和网络地址转换（NAT）路由器的阻拦。这种SSTP只适用于远程访问，不能支持站点与站点之间的VPN隧道。

　　微软公司希望，当IPSec VPN连接受到防火墙或路由器的阻拦后，SSTP可以帮助客户减少与IPSec VPN有关的问题。此外，SSTP也不会产生保留的问题，因为它不会改变最终用户的VPN控制权。基于VPN隧道的SSTP可直接插入当前的微软VPN客户端和服务器软件的接口中。

l2tp端口号2

　　h2端口号

【篇1：h服务】

任务一：建立h服务（田钧） h协议简介

　　h的英文全称为secure shell，是ietf（internet engineering task force）的network working group所制定的一族协议，其目的是要在非安全网络上提供安全的远程登录和其他安全网络服务。可以简单理解为：rlogin和telnet等的替代方案。h 协议在预设状态中提供两个服务器功能：

●类似telnet的远程联机使用 shell 的服务器，即h；基本框架

　　h协议框架中最主要的部分是三个协议：传输层协议、用户认证协议和连接协议。同时h协议框架中还为许多高层的网络安全应用协议提供扩展的支持。它们之间的层次关系可以用如下图7-1来表示：

　　图7-1 h协议的层次结构示意图

　　在h的协议框架中，传输层协议（the transport layer protocol）提供服务器认证，数据机密性，信息完整性等的支持；用户认证协议（the user authentication protocol）则为服务器提供客户端的身份鉴别；连接协议（the connection protocol）将加密的信息隧道复用成若干个逻辑通道，提供给更高层的应用协议使用；各种高层应用协议可以相对地独立于h基本体系之外，并依靠这个基本框架，通过连接协议使用h的安全机制。h的安全验证是如何工作的从客户端来看，h提供两种级别的安全验证。

　　第一种级别（基于口令的安全验证）

　　只要你知道自己帐号和口令，就可以登录到远程主机。所有传输的数据都会被加密，但是不能保证你正在连接的服务器就是你想连接的服务器。可能会有别的服务器在冒充真正的服务器，也就是受到“中间人”这种方式的攻击。

　　第二种级别（基于密匙的安全验证）

　　需要依靠密匙，也就是你必须为自己创建一对密匙，并把公用密匙放在需要访问的服务器上。如果你要连接到h服务器上，客户端软件就会向服务器发出请求，请求用你的密匙进行安全验证。服务器收到请求之后，先在你在该服务器的家目录下寻找你的公用密匙，然后把它和你发送过来的公用密匙进行比较。如果两个密匙一致，服务器就用公用密匙加密“质询”（challenge）并把它发送给客户端软件。客户端软件收到“质询”之后就可以用你的私人密匙解密再把它发送给服务器。

　　用这种方式，你必须知道自己密匙的口令。但是，与第一种级别相比，第二种级别不需要在网络上传送口令。

　　第二种级别不仅加密所有传送的数据，而且“中间人”这种攻击方式也是不可能的（因为他没有你的私人密匙）。但是整个登录的过程需要的时间稍微较长。2 h数据加密方式

　　网络封包的加密技术通常由“一对公钥与私钥”（即“public and private keys”）进行加密与解密的操作。主机端要传给客户端（client）的数据先由公钥加密，然后才在网络上传输。到达客户端后，再由私钥将加密的资料解密。经过公钥（publick key）加密的数据在传输过程中，由于数据本身经过加密，即使这些数据在途中被截取，要破解这些加密的数据，需要花费好长一段时间。版本

　　h是由客户端和服务端的软件组成的，有两个不兼容的版本分别是：和。用h 的客户程序是不能连接到h 的服务程序上去的。openh 同时支持h 和。

　　h protocol version 1

　　每一部h服务器主机都可以用rsa加密方式产生一个1024-bit的rsa key，这个rsa的加密方式主要用来产生公钥与私钥的演算方法。version 1的整个联机加密步骤：

　　当每次h daemon（hd）启动时，产生768-bit的公钥（或称为server key）存放在server 中；若有客户端的h联机需求传送来时，server将这公钥传给客户端。

　　此时，客户端比对该公钥的正确性。比对的方法是利用/etc/h/h_known_hosts或~/.h/known_hosts 档案内容。

　　在客户端接受该768-bit的server key后，客户端随机产生256-bit的私钥（host key），并且以加密方式将server key与host key整合成完整的key，并将该key传送给server； server与客户端在本次联机中以该1024-bit的key进行数据的传递。由于客户端每次256-bit的key是随机取的，因而本次联机与下次联机的key可能不一样。

　　h protocol version 2

　　h version 1的联机中，server单纯的接受来自客户端的private key，如果在联机过程中private key被取得后，cracker 就可能在既有的联机当中插入一些攻击码，使得联机发生问题。

　　为了改进这个缺点，在h version 2中，h server不再重复产生server key，而是在与客户端建立private key时，利用diffie-hellman的演算方式，共同确认来建立private key，然后将该private key与public key组成一组加解密的金钥。同样，这组金钥也仅是在本次的联机中有效。

　　透过这个机制可见，由于server/client两者之间共同建立了private key，若private key落入别人手中，由于server端还会确认联机的一致性，使cracker没有机会插入有问题的攻击码。即h version 2 是比较安全的。 h常用操作 1.启动 h 服务

　　Linux 系统中，预设含有h的所有需要的套件，包含可以产生密码等协议的openl套件与openh套件，直接启动即可使用。

　　以h daemon（简称 hd）手动启动的步骤如下： [root@localhost ~]# /etc//hd restart [root@localhost ~]# netstat-tlp

　　active internet connections(only servers)

　　Proto recv-q send-q local addre foreign addre statepid/program name tcp 00 *:h *:* listen 24

　　启动后，利用netstat查阅hd 程序是否正确的在listen即可。这时，h服务器设定值均是系统默认值，能否仅用较安全的version 2，需要进一步的设定。

　　如果想在开机即启动h，用chkconfig设定开机启动即可。[root@localhost ~]#chkconfig hd on 客户端联机

⑴linux client: h

　　h在客户端使用h指令，该指令可以指定联机的版本

(version1或version2)，还可以指定非正规的h port（正规h port为22)。

　　一般的用法： ①直接登入到对方主机：

[root@localhost ~]# h account@hostname # 范例：

# 连接到我们自己本机上面的 h 服务

[root@localhost ~]# h dmtsai@localhost

　　the authenticity of host localhost()cant be key fingerprint is f8:ae:67:0e:f0:e0:3e:bb:d9:88:1e:c9:2e:62:22: you sure you want to continue connecting(yes/no)? yes #务必填入完整的 yes 而不是 y 或 y 而已。

　　warning: permanently added localhost(rsa)to the list of known @localhosts paword:

　　Last login: fri jul 1 14:23:27 2005 from [dmtsai@linux ~]$

[dmtsai@linux ~]$ exit == 输入 exit 就能够离开对方主机

②不登入对方主机，直接在对方主机执行指令：

[root@localhost ~]# h dmtsai@localhost date dmtsai@localhosts paword: tue nov 22 11:57:27 cst 2005 [root@localhost ~]#

[root@localhost ~]# vi ~/.h/known_hosts localhost h-rsa aaaab3nzac1yc2euowireffodjoiwjefmoeiwhoqhwupoi

　　t[egmlomowimvoiweo6vpthtw2/tenp4u7wn8j6nxywp36yzifgxtwu4mpskarmr e4eupr1g/zv3tkchrzy5hguybareuptvdxczvjlyvniejfijoejwiojfijeoiwx5

　　erkzvsj7a19velz5f8xhzh62e= h项目配置

　　任务1.配置h服务，提供本地用户远程h口令登录。[系统及软件环境]

　　1．操作系统：red hat as

　　2．本机服务ip地址：/24 3．服务器软件包： 1)2)3)4)

[实验配置文件及命令]

　　1． /etc/h/hd_config [操作步骤]

　　2．安装h服务器软件包。（首先需要进入到所在软件包目录）

（1）默认设置的/etc/h/hd_config文件（其中#号注释掉的内容未显示）

　　任务2.配置h服务，提供基于密匙的登录，要求rsa加密算法进行加密，不需要输入密匙即可实现远程登录。[操作步骤]

//说明：本任务是在（任务1）的基础上进行配置。1．生成需要登录的用户

【篇2：stelnet(h)登陆华为交换机配置教程】

[huawei]rsa local-key-pair ?

　　createcreate new local public key pairs

　　destroy destroy the local public key pairs# 销毁本地密钥对 [huawei]rsa local-key-pair create the key name will be: huawei_host

　　the range of public key size is(512 ~ 2048).notes: if the key modulus is greater than 512, it will take a few the bits in the modulus[default = 512]:1024 # 密钥对长度越大，密钥对安全性就越好，建议使用最大的密钥对长度 generating keys..........++++++.++++++

.++++++++ ++++++++

　　或

[huawei]dsa local-key-pair ?

　　createcreate a new local key-pair destroy destroy the local key-pair [huawei]dsa local-key-pair create info: the key name will be: huawei_host_: the key modulus can be any one of the following : 512, 1024, : if the key modulus is greater than 512, it may take a few input the modulus [default=512]:1024

　　info: generating keys...info: succeeded in creating the dsa host keys.---查看密钥对----[huawei]display dsa local-key-pair public

=====

　　time of key pair created: 11:37:32 2016/3/30 key name : huawei_host_dsa key modulus : 1024

　　key type : dsa encryption key

=====

　　key code: f 0

　　a49c5eaf 906c80b1 c474ccb0 d47c6965 22dfcf3c 9602bad8 fce8f7e3 7a69be18 8cb7d858 6b50eebc 54bfb089 61a0dd31 5f7f3080 f0db47e4 ecdcc10e 7ec18d31 35cd78f7 e002fb6b 4cb59ba5 e2cdb898 43fad059 98b8eea8 e7395fc7 ca9d1655 9914af09 6cfdc125 6cc8a07f ddde603b f31c4ea4 0b752ac7 817e877f 0214

　　cbc5c0bc 2d7b6dfe 15a7f9a3 6f6ed15b 6ecc9f27 0

　　6d3202e7 4dcac5db 8d79fdb2 76d5caa2 c8d00c3d 666f61d4 f2e 4027fd04 0d61b2a3 af3ced6b c36cc68d e8df35f9 faf802ed 73bcbd66 c55ae0f6 c14 1b33a5a1 cf77d636 75a5ef3b 264ab66e 2a8cffb1 690e45f8 6facf1b3 e2a c14ba7f3 ca0d198b 3ed 45ba5e89 f1adb79e f459f826 b9a5cf6d 0 7f379c46 dce f9603a92 2ef0ff48 84c7560e d3e0660c b7ed2f84 feb 61bde65a f9b55d45 aee8445f fa3f36ad 3a5310d2 af1 619f61cb aee e4d6bd98 8003e903 8fd c87 cd3f7ebc e7beab90 9e4a3fca d92af70f 24e 2d2573c7 1a19aa43 a9aaf80b 3a6f3b37 cb 744d0a49 f

　　host public key for pem format code:----begin h2 public key----

　　aaaab3nzac1kc3maaacbakscxq+qbicxxhtmsnr8awui3888lgk62pzo9+n6ab4y

　　jlfywgtq7rxuv7cjyaddmv9/midw20fk7nzbdn7bjte1zxj34al7a0y1m6xizbiy

　　q/rqwzi47qjnov/hyp0wvuesc2izfk8jbp3bjwzioh/d3ma78xxopat1ksebfod/

　　aaaafqdlxcc8lxtt/hwn+anvbtfbbsyfjwaaaibtmglntcrf25cdqwwnef2ydtxk

　　osjqdd1mb2hu8unkruan/qqnybkjrzzta8nsxo3o3zx5+vgc7xo8vwbfwud2avmm

　　fbszpahpd9y2daxvoyzktm4qjp+xaq5f+g+s8bpiormowuun88ongys+2unorbpe

　　ifgtt570wfgmuaxpbqaaaib/n5xghtknzvlgopiu8p9ihmdwdtpgzgy37s+eosgf

　　62g95lr5tv1fruhex/o/nq06uxdsnifk8wgfycsxmaru5na9miad6qop1ukzjpsm

【篇3：使用步骤中兴3950交换机ip端口mac绑定命

　　令】

　　交换机ip和mac绑定与解绑操作步骤

　　第一步：把客户端电脑设置ip与交换机接口网关地址同网段。第二步：打开securecrt软件的主程序“securecrt”，复制注册说明里面的许可密钥。即可击活软件。

　　第三步：打开软件后，左上角，文件----快速连接---协议：h2，主机名：交换机的管理ip，端口：22，防火墙：无，用户名：交接机的管理用户名，连接---接受并保存。

　　命令代码：查看当前全部配置 zxr10#show running

　　命令代码一：绑定端口和ip过程 zxr10#configure terminal

　　zxr10(config)# ip dhcp snooping binding vlan 100 fei_1/4 zxr10(config)# ip dhcp snooping binding vlan 100 fei_1/5 zxr10(config)# ip dhcp snooping binding vlan 100 fei_1/6(有多个端口，ip批量输入绑定，红色部分是可变的，mac地址，ip地址，端口号)zxr10(config)#ip dhcp database write

　　zxr10(config)#exit zxr10#write（保存）

　　命令代码二：解除端口和ip过程 zxr10#configure terminal

　　zxr10(config)#show ip dhcp snooping database

　　zxr10(config)#no ip dhcp snooping binding vlan 100 fei_1/4

(红色部分是可变的，mac地址，端口号，注意解绑是不用输入ip的)

　　zxr10(config)#exit zxr10#write（保存）

　　命令代码三：查看绑定的 mac 端口 ip 情况 zxr10#show ip dhcp snooping database

　　命令代码四：例如打开交换机端口 10 zxr10#configure terminal

　　zxr10(config)#interface fei_1/10

　　zxr10(config-fei_1/10)#no shutdown zxr10(config)#exit zxr10#write（保存）

　　命令代码五：关闭交换机端口 10 zxr10#configure terminal

　　zxr10(config)#interface fei_1/10 zxr10(config-fei_1/10)#shutdown zxr10(config)#exit zxr10#write（保存）

　　命令代码七：查看交换机端口10接的终端设备的mac地址 zxr10#show mac interface fei1/10

　　命令代码八：查看交换机每个端口接的终端设备的mac地址 zxr10#show mac vlan 100

(注：24口是公共口，学习到所有的mac表，其它的是对应的各个接口终端mac地址)

l2tp端口号3

　　2)LNS配置

　　LNS 主要配置包括：启用L2TP（必选）

　　启用L2TP 多实例功能（可选）

　　创建L2TP 组（必选）

　　创建虚接口模板（必选）

　　配置接收呼叫的虚拟接口模板、通道对端名称和域名（必选）

　　配置本端名称(可选)配置隧道验证及配置密码(可选)配置将AVP 数据隐含(可选)配置通道Hello 报文发送时间间隔(可选)强制本端CHAP 验证(可选)强制LCP 重新协商(可选)配置本端地址及分配的地址池(必选)配置域名分隔符及查找顺序（可选）

　　配置用户名、密码及配置用户验证(可选)强制挂断通道(可选)开启或关闭流控功能(可选)①启用L2TP 请在系统视图下进行下列配置

　　L2tp enable ②创建L2TP 组

　　请在系统视图下进行下列配置

　　L2tp-groupgroup-number ③创建虚拟接口模板

　　请在系统视图下进行下列配置。

　　interface virtual-template virtual-template-number ④配置接收呼叫的虚拟接口模板、通道对端名称和域名请在L2TP 组视图下进行下列配置。

　　配置通道对端的名称（L2TP

　　组不为1）

　　allow l2tp virtual-template virtual-template-numberremote remote-name 配置通道对端的名称（L2TP

　　组为1）

　　allow l2tp virtual-template virtual-template-number[ remote remote-name ] ⑤配置本端名称

　　请在L2TP 组视图下进行下列配置

　　tunnel name name ⑥启用隧道验证及配置密码

　　请在L2TP 组视图下进行下列配置

　　tunnel authentication tunnel paword { simple | cipher } paword ⑦配置将AVP 数据隐含

　　请在L2TP 组视图下进行下列配置

　　tunnelavp-hidden ⑧配置通道Hello 报文发送时间间隔

　　tunnel timer hello hello-interval ⑨强制本端CHAP 验证

　　请在L2TP 组视图下进行下列配置

　　mandatory-chap ⑩强制LCP 重新协商

　　mandatory-lcp 11配置本端地址及分配的地址池

　　请在虚拟接口模板视图下进行下列配置

　　配置本端IP 地址ip addre netmask 指定给对方分配地址所用的地址池remote addre {pool pool-number | } 12配置用户名、密码及配置用户验证请在系统视图下进行下列配置

　　aaa 配置用户名及密码local-user username paword { simple | cipher } paword 配置用户服务local-user username Serivice-type ppp 13强制挂断通道

　　请在特权用户模式下进行下列配置

　　reset l2tp tunnel remote-name 14开启或关闭流控功能

　　请在L2TP 组视图下进行下列配置

　　开启流控功能tunnel flow-control 关闭流控功能undo tunnel flow-control 15 L2TP 显示

　　显示当前的L2TP 通道的信息display l2tp tunnel 显示当前的L2TP 会话的信息display l2tp seion

l2tp端口号4

　　阿里云邮箱l端口号【篇1：阿里云邮箱是垃圾】

　　阿里云邮箱是垃圾,刚跟雅虎邮箱绑定，阿里云登不上去，说密码不正确，纯粹是偷窃我们的信息，请大家不要用阿里云邮箱！！以免上当！！

【篇2：阿里云实现一键部署https证书】

　　阿里云实现一键部署https证书

　　阿里云上线一键部署https证书的功能，和沃通l证书合作，支持在线申请l证书，一键推送至所有云产品，自动安装部署，快速实现https加密。阿里云盾ddos高防ip已经实现自动部署https服务，cdn/slb/云邮箱等云产品也马上就会实现啦。1、选配沃通l证书并支付 1）选择保护域名类型和个数

　　在购买数字证书前，您需要先规划好您需要保护什么样类型的域名，可以分别选择保护 1

　　个/多个/通配符子域名。

　　保护1个域名: 您的l证书可以保护一个域名,不支持通配符,例如:

　　保护多个域名: 您的l证书可以保护多个域名,根据证书种类不同有数量限制,上限100个,您目前只能根据提示进行选择，不支持通配符,例如: 。另外如果您后续想选择免费版l，则上限域名个数最多为5个。

　　保护所有子域名: 您的l证书可以保护一个带通配符的域名,目前我们不支持购买多个通配符子域名型证书。例如: *. 2）选择l证书类型

　　阿里云联合有资质的沃通ca l证书推荐以下几种配置组合方案，能够满足大部分用户的需求。

　　免费版l: 免费版基础级l产品，只验证域名所有权，小时内颁发，只提供通信链路加密功能。只支持最多5个域名绑定，不支持通配符域名。普通版l: 普通版l证书属于dv l证书(domain validation l)。只验证域名所有权，小时内颁发，提供高强度通信链路加密功能，支持最多达100个域名绑定。

　　专业版l: 专业版l证书属于ov l证书(organization validation l)。验证域名所有权和申请单位的真实身份，解决在线信任问题，证书中显示申请者的单位名称，让上网用户放心使用，提供高强度通信链路加密功能，支持最多达100个域名绑定。

　　高级版l: 高级版l证书属于ev l证书(extended validation l)。严格验证域名所有权和申请单位的真实身份，此证书在大部分浏览器中能显示绿色地址栏，有效解决在线信任和网站被假冒问题，证书中详细显示申请者的单位信息，让上网者放心使用，提供高强度通信链路加密功能，支持最多达100个域名绑定。3）选择证书品牌(ca供应商)

　　wosign ca: 沃通电子认证服务有限公司(wosign ca)是权威可信的数字证书颁发机构，通过webtrust国际认证及工信部许可，是国际ca浏览器联盟组织成员。沃通l证书支持所有浏览器和移动终端，严格按照国际标准和cps做身份鉴证。国内市场占有率位居前列，性价比高，提供7x24小时顶级服务支持。有完善的风险承保计划。4）选择证书有效期

　　您所选择的数字证书均有有效期年限限制，当前的限定如下：免费版l和高级版l证书限定最高申请年限为2年

　　普通版l和专业版l证书限定最高申请年限为3年 5）支付订单

　　您选配好数字证书后需要进行支付才能进入证书配置流程。2、填写申请资料

　　当您支付完订单后，需要填写证书的详细信息并且提交审核才能完成证书申请流程。您可以通过证书列表订单中的“信息补全”操作来进入资料的填写页面。3、管理证书

　　您在证书管理列表里可以查看并管理您的数字证书。4、推送阿里云产品

　　只有审核成功的数字证书才能推送到云产品。要成功推送l证书到云产品，需要上传您的私钥，请注意您的私钥是和证书一一对应的，请确保上传正确的私钥文件才能保证推送成功。

【篇3：阿里云apache l证书部署指南】

　　apache l证书部署指南

　　一、安装l证书的环境.1

l证书安装环境简介......2 网络环境要求........2 二、l证书的安装.......2

获取l证书........2 解压证书文件........2 安装l证书.........2 测试l证书.........3 三、安装安全签章 3

　　L证书的备份.......4 l证书的恢复.......4

　　一、安装l证书的环境 l证书安装环境简介

　　Linux服务器一台，*或以上版本

　　L证书一张（备注：本指南使用域名ov l证书进行操作,通用其它版本证书）网络环境要求

　　请确保站点是一个合法的外网可以访问的域名地址，可以正常通过或http：//xxx进行正常访问。

　　二、l证书的安装获取l证书

　　成功在沃通申请证书后，会得到一个有密码的压缩包文件，输入证书密码后解压得到五个文件：for apache、for iis、for ngnix、for tomcat、for other server，这个是证书的几种格式，apache上需要用到for apache格式的证书。

　　图1

解压证书文件

　　解压apache文件可以看到3个文件。包括公钥、私钥、证书链，如图 2

　　图2

　　安装l证书

　　1、找到apache安装目录下目录中的文件，若没有，则apache没有编译l

　　模块，需要重新编译mos_l。

　　2、打开apache安装目录下目录中的文件在配置文件中查找以下配置语句： a.修改加密协议如下

　　Lprotocol all-lv2-lv3

　　b.将服务器证书公钥配置到该路径下

　　Lcertificatefile conf// 证书公钥)c.将服务器证书私钥配置到该路径下

　　Lcertificatekeyfile conf//(证书私钥)

　　e.将服务器证书链配置到该路径下

#lcertificatechainfile conf//root_(证书链)删除行首的“#”号

　　注释符

　　保存退出，并重启apache。重启方式：

　　3、进入apache安装目录下的bin目录，运行如下命令 service httpd restart

　　测试l证书在浏览器地址栏输入： l证书后，将免费获得一个能直观地显示贵网站的认证信息的可信网站安全认证标识，能大大增强用户的在线信任，促成更多在线交易。所以，建议您在安装成功l证书后马上在网站的首页和其他页面中添加如下代码动态显示可信网站安全认证标识：

　　Script language=javascript type=text/javascript src= 安装英文签章

　　如果您希望在英文页面显示认证标识，则在英文页面添加如下代码： script language=javascript type=text/javascript src= 四、l证书的备份

　　请保存好收到的证书压缩包文件及密码，以防丢失。

　　五、l证书的恢复

　　重复操作即可。

l2tp端口号5

　　windows 2003 CA认证L2TP VPN

　　用windows server 2003的“路由与远程访问”组件搭建一个L2TP/IPSEC VPN服务器，让你从外部以更安全的L2TP方式访问内网，windows 2003的VPN支持NAT-T，这使得外部内网中的用户也能够使用L2TP的方式访问VPN服务器及内网，在以前，由于NAT与IPSEC的不兼容，使得我们只能通过PPTP的方式从一个内网中访问远方的VPN服务器及内网，比如从网吧访问自己的网络，z在windows 2003中你也可以从任何地方以更安全的L2TP方式进行VPN访问了。

　　网络环境如图所示，以典型的ADSL共享上网为因特网接入方式，这里ADSL猫以一条网线连接到双网卡的Windows Server 2003上，然后Windows Server 2003再以内网卡连接到内部交换机上，两块网卡都配置了不同网段的IP，但网关和DNS都为空，内网中的客户机通过Windows Server 2003上的ADSL共享上网，这里将在这台Windows Server 2003上创建L2TP VPN服务器。

　　一、启用“路由与远程访问”

　　1，在管理工具中运行“路由与远程访问”，右击服务器图标，选择“配置并启用路由与远程访问”； 2，进入“配置”窗口，选择“自定义配置”项；

　　3，在“自定义配置”窗口，勾选“VPN访问”、“NAT和基本防火墙”和“LAN路由”项。

　　二、创建ADSL用的PPPoE连接

　　windows Server 2003的“路由与远程访问”组件支持直接创建PPPoE的请求拨号接口，方法如下： 1，展开服务器图标，右击“网络接口”，选择“新建请求拨号接口”，点击下一步； 2，在“接口名称”窗口给这个接口取个有意义的名字，比如PPPoE； 3，在“连接类型”中选择“使用以太网上的PPP（PPPOE）连接”项； 4，在“服务名称”中取个有意义的名称，也可以不填，直接点下一步；

　　5，在“协议及安全措施”窗口中勾选上“在此接口上路由选择IP数据包”；

　　6，在“远程网络的静态路由”窗口中添加一条默认路由，即添加一条到目的的默认路由。

　　7，在“拨出凭据”窗口中，填入你ADSL虚拟拨号的用户名和密码,域一栏保持为空。

　　上面的过程就完成了PPPOE连接的创建，但要想拨号成功，还需要修改一个地方，右击刚创建的PPPoE接口，选择“属性”，在弹出的窗口中选择“安全”标签，在其中选择“典型”项，“验证我的身份为”栏选择“允许没有安全措施的密码”项。为了保持这个接口的永久在线，切换到“选项”标签，在“连接类型”中选择“持续型连接”。完成后右击PPPOE连接，然后选择“连接”。

　　在这里创建PPPoE连接而不是直接通过“网络连接”中的“创建一个新的连接”来创建ADSL连接，是因为“网络连接”窗口中创建的连接不能为NAT识别，而在NAT中又需要选择此PPPOE连接为外部连接以进行地址转换，所以就只有在这里创建了。

　　三，用NAT安全共享此ADSL连接

　　1，在“NAT/基本防火墙”上右击选“新增接口”，这里首先选择内部接口，也就是内网卡所代表的那个本地连接，在弹出的窗口中选择“专用接口连接到专用网络”项。

　　2，再次添加接口，这次选择外部接口，即上面创建的PPPoE接口（注意不要选连ADSL那块网卡所在的本地连接)，在弹出窗口中选择“公用接口连接到Internet”，并勾选上“在此接口上启用NAT”和“在此接口上启用基本防火墙”两项。之所以这里要启用基本防火墙，是因为启用了“路由与远程访问”之后就不能启用操作系统内置的防火墙了。另外也可以利用静态数据包筛选器静态地进行包过滤。启用了基本防火墙之后最好也不要再安装其他防火墙了。

　　通过上面的配置，内网客户端只要把网关和DNS都指向这台windows server 2003的内网卡地址就可以共享且安全地上网了。注意不要再去启用ICS（Internet连接共享）。

　　四、配置VPN 1.配置端口。在上面启用“VPN访问”选项之后，在“端口”中就已经有了PPTP和L2TP端口，默认情况下各自分配了128个，可以根据实际情况自行调整数量，调整方法是右击“端口”项进入“属性”窗口，双击其中的L2TP端口进行调整。现在你还可以保留一定量的PPTP端口，因为后面申请证书时可能要用，如果不需要PPTP端口，把它的数量设置为0。

　　2.配置VPN客户端要使用的IP范围

　　右击服务器图标进入属性窗口，选择“IP”标签，在“IP地址指派”栏选择“静态地址池”，添加一段静态IP。之所以不用DHCP分配IP，是因为静态IP范围更容易识别VPN客户端。

　　3.启用用户拨入权限或创建远程访问策略

　　要启用用户拨入权限，如果是域，请在“AD用户和计算机”中右击相应用户，在 “拨入”标签中选择“允许访问”或“通过远程访问策略控制访问”，如果不用域帐户验证，就在VPN服务器的 “本地用户和组”中启用用户的拨入权限。如果上面选择的是“通过远程访问策略控制访问”（此选项只有域是windows 2003本地模式时才会启用），可以再创建一个组，以包含所有有远程拨入权限的用户，然后进入“路由与远程访问”窗口，右击“远程访问策略”，新建一个远程访问策略，在“访问方法”中选择“VPN”项，“用户或组访问”中选择刚创建的组，在“身份验证方法”中默认选择了MS-CHAPv2，也可以把MS-CHAP选上，在“策略加密级别”中默认全部都选上了的，这是因为以前的操作系统版本可能不支持高位加密，这里根据客户端情况选择。通过上面的配置后用户即可以PPTP的方式访问了，但要以L2TP的方式访问，还需要进行下面的工作。

　　五、在内网中安装独立根CA 为什么要安装证书服务（CA）呢？这是因为L2TP/IPSEC通信的双方需要先验证对方的计算机身份，通常有三种验证方法，一是用kerberos协议进行计算机身份验证，但kerberos不适合这种网络访问环境，另一种验证方法是通过预共享密钥，但这种方法容易导致预共享密钥的泄露，这就降低了安全性，还有一种方法就是通过证书来验证计算机身份，当通信开始时，双方都要向对方出示证书以证明自己的合法身份。比较三种方法，我们这里就选择用证书来验证计算机身份，所以要在内网中安装CA服务。那为什么要安装独立根CA 而不是企业根CA呢？这是因为独立根CA不需要域的支持，这正适合那些可能不是域成员的外部VPN客户端，另外你会发现通过WEB方式申请计算机用的客户端证书或服务器端证书时使用独立CA更方便。当然如果你的网络环境是域，也建议你同时安装企业CA，这对于域中证书的发布和管理更方便。

　　六、为Windows Server 2003 VPN服务器申请并安装服务器证书

　　当L2TP客户端访问VPN服务器时，客户端要提供它的客户端证书，而VPN服务器则提供它的服务器证书，所以需要为VPN服务器申请一张服务器证书，申请通过WEB方式进行，在VPN服务器上输入地址 1，在欢迎页面中选择“申请证书”项；

　　2，在“选择申请类型”页面选择“高级申请”项；

　　3，在“高级证书申请”页面选择“使用表格向这个CA提交一个证书申请”；

　　4，在这个表格页面中填写上服务器的相关信息，在“意图”栏选择“服务器身份验证证书”，勾选上“使用本地机器保存”，其他项可以保持默认设置。

　　上面只是完成了证书申请过程，还需要管理员审核此证书请求并手动颁发证书，通过这种离线审批的方式，也防止了非法人员获得证书。由于你自己就是管理员，用下面的过程为VPN服务器安装它刚申请的服务器证书。1，在CA服务器的管理工具中运行“证书颁发机构”，然后在“待定的证书”下右击刚申请的证书，选择“所有任务”后选“颁发”。

　　2，到VPN服务器安装证书。仍然通过进行，此时在欢迎页面中选择“检查挂起的证书”项，然后根据向导安装即可。

　　证书安装完成了，但过程并没有完，因为我们还需要安装CA根证书以及证书链中的所有CA证书，这样才能验证CA所颁发证书的合法性，比如将来验证客户端证书的合法性时就要同时验证上层CA及根CA的证书，因为只有上层合法才能保证最底层的计算机证书合法。此时仍然通过 CA 证书或证书吊销列表”项，然后在下一个页面中点击“下载CA证书”和“下载CA证书路径”两个链接，并把下载的证书保存到桌面上。

　　上面两项下载完成后，现在需要把它们导入相应的证书存储区，方法如下：

　　1，在运行中输入mmc，添加“证书”管理插件，并选择“计算机帐户”和“本地计算机”项。2，双击展开“个人”*“证书”项，现在你应该可以在右窗格中看到刚才安装的服务器证书。3，展开“受信任的根证书颁发机构”，右击“证书”项，导入你保存到桌面上的CA根证书。

　　4，然后再右击“中级证书颁发机构”下的“证书”项，导入保存在桌面上的CA证书路径，导入完成后同样要检查证书是否已在此区域存在。

　　七、L2TP客户端证书的安装

　　同VPN服务器一样，L2TP客户端也需要安装同一个CA颁发的计算机证书，申请方法一样，只是此时选择“客户端身份验证证书”项，注意也要选中“使用本地机器保存”。如果客户机在外网，申请证书时可以先用PPTP方式登录，然后再通过 IPSEC VPN”项。