使用Windows系統自帶客戶端通過L2TP over IPSec接入總部
舉例介紹出差人員使用Windows系統自帶客戶端軟體進行撥號,在PC與總部閘道器之間建立L2TP over IPSec隧道,從而使PC能夠訪問總部伺服器。
組網需求
如圖1,LAC客戶端通過Internet連線到公司總部的LNS側(ASG)。要求由出差人員(LAC Client)直接向LNS發起連線請求,與LNS的通訊資料通過隧道Tunnel傳輸。先使用L2TP封裝第二層資料,對身份認證;再使用IPSec對資料進行加密。
圖1 配置出差人員通過L2TP over IPSec接入總部組網圖說明:
由於Windows系統自帶客戶端的加密、認證演算法等都有預設值且不能修改,因此LNS上的引數不能隨意配置,要與Windows自帶客戶端保持一致。
專案 |
資料 |
說明 |
|
---|---|---|---|
LNS |
VPN使用者 |
使用者名稱:vpn_user01 密碼:Hello@123 使用者組:default |
- |
L2TP配置 |
隧道密碼認證:關閉 伺服器地址:192.168.0.1/24 地址範圍:192.168.0.2/24~192.168.0.100/24 |
建議IP地址池中的地址與總部內網地址設定為不在同一網段。此時要實現撥入使用者對總部伺服器的訪問,需在公司總部伺服器以及伺服器到LNS的網路路徑上的網路裝置上配置到達192.168.0.0/24網段的路由。 LAC客戶端使用Windows作業系統自帶的L2TP客戶端軟體撥號,不支援隧道驗證,故需在LNS端關閉隧道驗證功能。 |
|
IKE對等體 |
版本:V1 and V2 協商模式:主模式 本地ID型別:IP 預共享金鑰:abcde 對端閘道器配置方式:不指定對端閘道器 加密演算法:3DES-CBC 認證演算法:SHA1 DH組:DH-Group2 |
由於出差人員的IP地址不固定,因此在配置IKE階段1的引數時,需要選擇“不指定對端閘道器”,即策略模板方式。 |
|
IPSec安全提議 |
封裝模式:傳輸模式 安全協議:ESP ESP加密演算法:3DES ESP認證演算法:SHA1 |
LAC客戶端使用Windows作業系統自帶的L2TP客戶端軟體撥號,LNS的封裝模式只能配置為傳輸模式,不能為隧道模式。 |
|
LAC Client |
LNS伺服器地址:200.1.1.1 使用者名稱:vpn_user01 密碼:Hello@123 認證方式:CHAP 金鑰:abcde |
- |
配置思路
- 完成ASG的基本配置,包括介面、路由的配置。
- 在ASG上完成L2TP的配置,包括啟用L2TP功能和配置LNS引數。
- 在ASG上完成IPSec的配置,包括新建階段1、新建階段2、新建IPSec策略,應用IPSec。
- 在出差人員的PC上完成Windows系統自帶客戶端的配置,需要注意的是Windows系統自帶客戶端的配置引數需要與ASG的引數對應。
操作步驟
- 配置LNS。
- 配置出差人員側(以Windows XP系統自帶軟體撥號為例)。
說明:
本舉例中進行撥號的LAC客戶端自帶軟體,可以為PC的Windows XP、Windows 7系統或iPhone、iPad等的自帶軟體。
結果驗證
-
使用者能撥號成功,檢視PC的IP地址,可以看到已經獲取到位於192.168.0.0/24網段的IP地址,其預設閘道器為LNS的IP地址,顯示資訊如下。使用PC訪問總部內網Server,發現可以訪問成功。
C:\Documents and Settings\Administrator> ipconfig Windows IP Configuration Ethernet adapter {03024B4F-E624-4BE2-8135-F4042A71C690}: Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : 192.168.0.8 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.0.1
-
選擇
-
選擇
-
選擇