 |
如圖。
1. 移動用戶通過窄帶撥號或ADSL撥號t,或直接通過固定IP接入Internet。由ISP進行NAT轉換上internet。
2. 移動用戶可以采用如下L2TP軟件:
Secpoint
3. 要求所有私網數據加密傳輸。
1、 首先建立連接,請參考上一小節的配置。
2、 啟用IPSEC,輸入身份驗證字(也就是Server端的pre-shared key)。
3、 高級中的“IPSEC設置”中,選擇與對端合適的封裝模式、安全協議等內容。如果中間需要經過NAT,則選中“使用NAT穿越”。
4、 IKE設置中,如果是動態公網IP或經過NAT,則均應使用“野蠻模式”,ID類型選擇“名字”,輸入本端和對端的名稱。如果LNS是上面的配置,則本端為 “client”,對端為“lns”。
5、 撥號建立連接。
6、 檢查VPN網關的IPSEC SA建立情況。
說明:
WinXP的HOME版不支持本地安全策略,所以也不支持IPSEC。Profession版本和Win2000可以支持。詳見附件《Windows2000下配置基于PSK方式IPSEC的L2TP客戶的方法.doc》。
1、 以從客戶端發往總部的數據為例,分析報文格式如下:(假定:客戶端從ISP獲得了172.16.1.1的外網地址。從LNS獲得10.1.2.10的地址。)
 |
在LNS收到該報文后,必須知道去往172.16.1.1如何回送,否則無法將L2TP封裝后的數據路由到啟用IPSEC的公網口上。
LNS回應報文格式如下:
 |
202.38.1.2為NAT網關變換后的地址。
2、如果L2TP客戶端獲得的地址無需經過NAT即可接入internet,則分析報文格式如下:
 |
