基于Windows自带VPN拨号软件IPSec的L2TP拨号的配置VIP免费

1.1基于Windows自带VPN拨号软件IPSec的L2TP拨号的配置一、组网需求L2TP的LNS端采用SecPath防火墙设备，PC1作为LAC端，使用Windows自带VPN拨号软件进行拨号连接。二、组网图如图所示，使用SecPath防火墙作为L2TP的LNS，客户端软件是Windows自带的拨号软件。软件版本如下：SecPath1000F：VRP3.40ESS1604；客户端软件：WindowsXP自带VPN拨号软件。三、配置步骤3.1LNS端的配置：[LNS]discusysnameLNSl2tpenable//开启l2tp功能firewallpacket-filterenablefirewallpacket-filterdefaultpermitundoconnection-limitenableconnection-limitdefaultdenyconnection-limitdefaultamountupper-limit50lower-limit20firewallstatisticsystemenableradiusschemesystemdomainsystemippool15.0.0.105.0.0.20local-userhujun//配置拨号用户passwordsimple123service-typepppikepeer1//配置ikepeer参数pre-shared-key123ipsecproposal1//配置ipsec提议encapsulation-modetransport//配置封装模式为透明模式ipsecpolicy-templatetemp1ike-peer1proposal1ipsecpolicy11isakmptemplatetempinterfaceVirtual-Template1//配置虚拟接口模板1及其验证方式pppauthentication-modepapipaddress5.0.0.1255.255.255.0interfaceAux0asyncmodeflowinterfaceEthernet0/0interfaceEthernet0/1interfaceEthernet0/2interfaceEthernet0/3interfaceEthernet1/0interfaceEthernet1/1interfaceEthernet1/2ipaddress30.0.0.1255.255.255.0ipsecpolicy1//在端口上启用ipsecpolicyinterfaceEncrypt2/0interfaceNULL0firewallzonelocalsetpriority100firewallzonetrustaddinterfaceEthernet1/2addinterfaceVirtual-Template1//把虚拟接口模板添加进入安全域setpriority85firewallzoneuntrustsetpriority5firewallzoneDMZsetpriority50firewallinterzonelocaltrustfirewallinterzonelocaluntrustfirewallinterzonelocalDMZfirewallinterzonetrustuntrustfirewallinterzonetrustDMZfirewallinterzoneDMZuntrustl2tp-group1//配置l2tp组1undotunnelauthentication//取消隧道验证allowl2tpvirtual-template1//配置使用名字的方式发起l2tp连接iproute-static0.0.0.00.0.0.030.0.0.2preference60//配置静态默认路由user-interfacecon0user-interfaceaux0user-interfacevty04return3.2LAC的配置：1)禁用证书方式的IPSECWindowsXP的L2TP功能缺省启动证书方式的IPSEC，应当在注册表中禁用。方法如下：执行regedit命令，找到如下位置HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters加入如下注册项：ValueName:ProhibitIpSecDataType:REG_DWORDValue:12)创建L2TP连接，按下面图形依次进行（没有列在下面的步骤均选缺省操作）这个地址就是LNS的地址。点击“属性”。就是刚才设置的LNS的地址。选择高级（自定义设置），点击“设置”。千万不要把IKE的共享密钥设置在这里！此处不要选择。3)IPSEC的设置点击“控制面板”－》“管理工具”－》“本地安全策略”，按下面图形依次进行(没有列在下面的步骤均选缺省操作)在下图中左边窗口点击“IP安全策略，在本地机器”，在右边窗口点鼠标右键，选择“创建IP安全策略”在下图中点击“添加”按钮：点击添加点击添加此处即为IPSEC指定的设备的地址，本例中此地址与LNS的地址相同。点击完成点击确定,选中刚才添加的筛选器筛选器操作选择需求安全，点击“编辑”，设置ipsecproposal相关属性。将设备上配置的IPSECPROPOSAL加密和验证算法上移到最上面，SecPath缺省为DES、SHA1。点击“确定”选择添加此共享密钥即为ikepeer中的pre-sharekey点击“确定”。把刚才的密钥设置上移到第一位点击“关闭”退出。进入“常规”：进入“高级”，设置IKEPROPOSAL相关参数。SecPath缺省不使用PFS。点击“方法”，设置IKEPROPOSAL相关参数：这几种算法的前后无所谓，系统会自动选择一套与设备上相同的加密和验证算法。SecPath上缺省的是：SHA1和DES。四、配置关键点请见配置里面的蓝色斜体字和红色标记的位置。