舉例介紹出差人員使用Windows系統自帶客戶端軟體進行撥號，在PC與總部閘道器之間建立L2TP over IPSec隧道，從而使PC能夠訪問總部伺服器。

組網需求

如圖1，LAC客戶端通過Internet連線到公司總部的LNS側（ASG）。要求由出差人員（LAC Client）直接向LNS發起連線請求，與LNS的通訊資料通過隧道Tunnel傳輸。先使用L2TP封裝第二層資料，對身份認證；再使用IPSec對資料進行加密。

由於Windows系統自帶客戶端的加密、認證演算法等都有預設值且不能修改，因此LNS上的引數不能隨意配置，要與Windows自帶客戶端保持一致。

配置思路

1. 完成ASG的基本配置，包括介面、路由的配置。
2. 在ASG上完成L2TP的配置，包括啟用L2TP功能和配置LNS引數。
3. 在ASG上完成IPSec的配置，包括新建階段1、新建階段2、新建IPSec策略，應用IPSec。
4. 在出差人員的PC上完成Windows系統自帶客戶端的配置，需要注意的是Windows系統自帶客戶端的配置引數需要與ASG的引數對應。

操作步驟

1. 配置LNS。
   1. 選擇“網路 > 快速嚮導”或“網路 > 介面”配置介面基本引數，具體步驟略。
   2. 配置路由，確保ASG_A上存在到Internet的路由。具體步驟略。
   3. 配置L2TP引數。

      1. 選擇“VPN > L2TP > L2TP”。

      2. 在“配置L2TP”中，單擊“啟用”，啟用L2TP功能。

      3. 在“L2TP組列表”中，單擊預設存在的LNS對應的。

      4. 在“修改L2TP”中，單擊“新建”，依次輸入或選擇各項引數，單擊“確定”，完成L2TP使用者的建立。

         說明：

         如果需要建立多個L2TP使用者，請反覆執行該步驟。

      5. 在“修改L2TP”中，依次輸入或選擇各項引數，單擊“確定”，完成LNS的各項引數的配置。

   4. 配置IKE協商的階段1和階段2。

      1. 選擇“VPN > IPSec > IKE協商”。

      2. 在“IKE協商列表”中，單擊“階段1”，依次輸入或選擇各項引數，單擊“確定”。

      3. 在“IKE協商列表”中，單擊“階段2”，依次輸入或選擇各項引數，單擊“確定”。

   5. 配置IPSec策略，並應用到介面。

      1. 選擇“VPN > IPSec > IPSec策略”。

      2. 在“IPSec策略列表”中，單擊“新建”。

      3. 在“新建IPSec策略”中，依次輸入或選擇各項引數，單擊“確定”。

      4. 單擊“10”後的“應用介面：- NONE - ”，在下拉列表中選擇GE0/0/2，單擊“確定”。

2. 配置出差人員側（以Windows XP系統自帶軟體撥號為例）。 說明：

   本舉例中進行撥號的LAC客戶端自帶軟體，可以為PC的Windows XP、Windows 7系統或iPhone、iPad等的自帶軟體。

   1. 修改Windows XP系統的登錄檔項。Windows作業系統的L2TP功能預設啟動證書方式的IPSec，需要修改為本舉例中需要的方式。 說明： 在本舉例中（即L2TP over IPSec場景），無需修改個人PC登錄檔項，本步驟可以直接跳過。而在單純的L2TP撥號場景下，則需要執行本步驟，修改個人PC的登錄檔項。
      1. 在“開始 > 執行”中，輸入regedit命令，單擊“確定”，進入登錄檔編輯器。
      2. 在“登錄檔編輯器”頁面的左側導航樹中，選擇“我的電腦 > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > IPSec”。
      3. 在選單欄上選擇“編輯 > 新建 > DWORD值”。
      4. 鍵入AssumeUDPEncapsulationContextOnSendRule，然後按“ENTER”，修改檔名稱。
      5. 右鍵單擊AssumeUDPEncapsulationContextOnSendRule，選擇“修改”，進入修改介面。
      6. 在“數值資料”框中鍵入2，表示可以與位於NAT裝置後面的伺服器建立安全關聯。
      7. 單擊“確定”。
      8. 選擇“我的電腦 > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > RasMan > Parameters”。
      9. 在選單欄上選擇“編輯 > 新建 > DWORD值”。
      10. 鍵入ProhibitIpSec，然後按“ENTER”，修改檔名稱。
      11. 右鍵單擊ProhibitIpSec，選擇“修改”，進入修改介面。
      12. 在“數值資料”框中鍵入0。
      13. 單擊“確定”，並退出登錄檔編輯器。
      14. 重新啟動該PC，使修改生效。
   2. 檢視IPSec服務狀態，保證IPSec服務開啟。
      1. 在“開始 > 執行”中，輸入services.msc命令，單擊“確定”，進入“服務”介面。
      2. 在“名稱”一列中，檢視“IPSEC Services”的狀態，確保狀態為“已啟用”。如果不為“已啟用”，請右鍵單擊“IPSEC Services”，選擇“屬性”，在“屬性”中設定“啟動型別”為自動，單擊“應用”。之後在“服務狀態”中選擇“啟動”。
      3. 關閉“服務”介面。
   3. 建立L2TP over IPSec連線。
      1. 在“開始 > 執行”中，輸入control命令，單擊“確定”，進入控制面板。
      2. 開啟“網路連線”，在“網路任務”中選擇“建立一個新的連線”，在彈出的介面中選擇“下一步”。
      3. 在“網路連線型別”中選擇“連線到我的工作場所的網路”，單擊“下一步”。
      4. 在“網路連線”中選擇“虛擬專用網路連線”，單擊“下一步”。
      5. 在“連線名”下的“公司名”文字框中設定公司名稱或VPN伺服器名稱，本配置舉例中設定為lns，單擊“下一步”。
      6. 在“公用網路”中選擇“不撥初始連線”，單擊“下一步”。
      7. 在“VPN伺服器選擇”中填寫LNS的IP地址，此處設定的IP地址為ASG與Internet連線介面的IP地址，本配置例中為200.1.1.1，單擊“下一步”。
      8. 在“可用連線”中選擇“只是我使用”，單擊“下一步”。
      9. 將“在我的桌面上新增一個到此連線的快捷方式”選中，單擊“完成”。

      10. 在彈出的對話方塊中，輸入VPN使用者名稱為vpn_user01，密碼Hello@123，與LNS端設定一致。

          圖2 連線LNS
          

      11. 單擊“屬性”，在“lns屬性”對話方塊中，單擊“網路”頁籤，“VPN型別”選擇“L2TP IPSec VPN”。

      12. 單擊“安全”頁籤，選擇“高階（自定義設定）”。

      13. 單擊“設定”，在彈出的“高階安全設定”對話方塊中設定，單擊“確定”。

      14. 在“安全”頁籤中，單擊“IPSec設定”。在彈出的“IPSec設定”對話方塊中，選中“使用預共享的金鑰作身份驗證”，並輸入金鑰為abcde，與LNS端一致。

      15. 單擊“確定”，返回至“lns屬性”對話方塊。
      16. 單擊“確定”，完成設定，返回至圖2。單擊“連線”，發起隧道連線。

結果驗證

1. 使用者能撥號成功，檢視PC的IP地址，可以看到已經獲取到位於192.168.0.0/24網段的IP地址，其預設閘道器為LNS的IP地址，顯示資訊如下。使用PC訪問總部內網Server，發現可以訪問成功。

   C:\Documents and Settings\Administrator> ipconfig
   
   Windows IP Configuration
   
   Ethernet adapter {03024B4F-E624-4BE2-8135-F4042A71C690}:
   
           Connection-specific DNS Suffix  . :
           IP Address. . . . . . . . . . . . : 192.168.0.8
           Subnet Mask . . . . . . . . . . . : 255.255.255.0
           Default Gateway . . . . . . . . . : 192.168.0.1

2. 選擇“VPN > L2TP > 監控”後，檢視L2TP通道監控列表，可以看到客戶端成功獲取到IP地址，L2TP通道建立成功。

3. 選擇“VPN > IPSec > 監控”後，選擇“IKE SA監控列表”，再單擊“重新整理”，可檢視到已建立的IKE SA資訊。

4. 選擇“VPN > IPSec > 監控”，單擊“重新整理”，可檢視到已建立的IPSec SA資訊。