1.1基于Windows自带VPN拨号软件IPSec的L2TP拨号的配置一、组网需求L2TP的LNS端采用SecPath防火墙设备,PC1作为LAC端,使用Windows自带VPN拨号软件进行拨号连接。二、组网图如图所示,使用SecPath防火墙作为L2TP的LNS,客户端软件是Windows自带的拨号软件。软件版本如下:SecPath1000F:VRP3.40ESS1604;客户端软件:WindowsXP自带VPN拨号软件。三、配置步骤3.1LNS端的配置:[LNS]discusysnameLNSl2tpenable//开启l2tp功能firewallpacket-filterenablefirewallpacket-filterdefaultpermitundoconnection-limitenableconnection-limitdefaultdenyconnection-limitdefaultamountupper-limit50lower-limit20firewallstatisticsystemenableradiusschemesystemdomainsystemippool15.0.0.105.0.0.20local-userhujun//配置拨号用户passwordsimple123service-typepppikepeer1//配置ikepeer参数pre-shared-key123ipsecproposal1//配置ipsec提议encapsulation-modetransport//配置封装模式为透明模式ipsecpolicy-templatetemp1ike-peer1proposal1ipsecpolicy11isakmptemplatetempinterfaceVirtual-Template1//配置虚拟接口模板1及其验证方式pppauthentication-modepapipaddress5.0.0.1255.255.255.0interfaceAux0asyncmodeflowinterfaceEthernet0/0interfaceEthernet0/1interfaceEthernet0/2interfaceEthernet0/3interfaceEthernet1/0interfaceEthernet1/1interfaceEthernet1/2ipaddress30.0.0.1255.255.255.0ipsecpolicy1//在端口上启用ipsecpolicyinterfaceEncrypt2/0interfaceNULL0firewallzonelocalsetpriority100firewallzonetrustaddinterfaceEthernet1/2addinterfaceVirtual-Template1//把虚拟接口模板添加进入安全域setpriority85firewallzoneuntrustsetpriority5firewallzoneDMZsetpriority50firewallinterzonelocaltrustfirewallinterzonelocaluntrustfirewallinterzonelocalDMZfirewallinterzonetrustuntrustfirewallinterzonetrustDMZfirewallinterzoneDMZuntrustl2tp-group1//配置l2tp组1undotunnelauthentication//取消隧道验证allowl2tpvirtual-template1//配置使用名字的方式发起l2tp连接iproute-static0.0.0.00.0.0.030.0.0.2preference60//配置静态默认路由user-interfacecon0user-interfaceaux0user-interfacevty04return3.2LAC的配置:1)禁用证书方式的IPSECWindowsXP的L2TP功能缺省启动证书方式的IPSEC,应当在注册表中禁用。方法如下:执行regedit命令,找到如下位置HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters加入如下注册项:ValueName:ProhibitIpSecDataType:REG_DWORDValue:12)创建L2TP连接,按下面图形依次进行(没有列在下面的步骤均选缺省操作)这个地址就是LNS的地址。点击“属性”。就是刚才设置的LNS的地址。选择高级(自定义设置),点击“设置”。千万不要把IKE的共享密钥设置在这里!此处不要选择。3)IPSEC的设置点击“控制面板”-》“管理工具”-》“本地安全策略”,按下面图形依次进行(没有列在下面的步骤均选缺省操作)在下图中左边窗口点击“IP安全策略,在本地机器”,在右边窗口点鼠标右键,选择“创建IP安全策略”在下图中点击“添加”按钮:点击添加点击添加此处即为IPSEC指定的设备的地址,本例中此地址与LNS的地址相同。点击完成点击确定,选中刚才添加的筛选器筛选器操作选择需求安全,点击“编辑”,设置ipsecproposal相关属性。将设备上配置的IPSECPROPOSAL加密和验证算法上移到最上面,SecPath缺省为DES、SHA1。点击“确定”选择添加此共享密钥即为ikepeer中的pre-sharekey点击“确定”。把刚才的密钥设置上移到第一位点击“关闭”退出。进入“常规”:进入“高级”,设置IKEPROPOSAL相关参数。SecPath缺省不使用PFS。点击“方法”,设置IKEPROPOSAL相关参数:这几种算法的前后无所谓,系统会自动选择一套与设备上相同的加密和验证算法。SecPath上缺省的是:SHA1和DES。四、配置关键点请见配置里面的蓝色斜体字和红色标记的位置。
