如圖。

1. 移動用戶通過窄帶撥號或ADSL撥號t，或直接通過固定IP接入Internet。由ISP進行NAT轉(zhuǎn)換上internet。
2. 移動用戶可以采用如下L2TP軟件：
Secpoint
3. 要求所有私網(wǎng)數(shù)據(jù)加密傳輸。

1、 首先建立連接，請參考上一小節(jié)的配置。
2、 啟用IPSEC，輸入身份驗證字（也就是Server端的pre-shared key）。
3、 高級中的“IPSEC設置”中，選擇與對端合適的封裝模式、安全協(xié)議等內(nèi)容。如果中間需要經(jīng)過NAT，則選中“使用NAT穿越”。
4、 IKE設置中，如果是動態(tài)公網(wǎng)IP或經(jīng)過NAT，則均應使用“野蠻模式”，ID類型選擇“名字”，輸入本端和對端的名稱。如果LNS是上面的配置，則本端為 “client”，對端為“l(fā)ns”。
5、 撥號建立連接。
6、 檢查VPN網(wǎng)關的IPSEC SA建立情況。

說明：
WinXP的HOME版不支持本地安全策略，所以也不支持IPSEC。Profession版本和Win2000可以支持。詳見附件《Windows2000下配置基于PSK方式IPSEC的L2TP客戶的方法.doc》。

1、 以從客戶端發(fā)往總部的數(shù)據(jù)為例，分析報文格式如下：(假定：客戶端從ISP獲得了172.16.1.1的外網(wǎng)地址。從LNS獲得10.1.2.10的地址。)

可見，整個報文中有三層IP頭。
在LNS收到該報文后，必須知道去往172.16.1.1如何回送，否則無法將L2TP封裝后的數(shù)據(jù)路由到啟用IPSEC的公網(wǎng)口上。
LNS回應報文格式如下：

202.38.1.2為NAT網(wǎng)關變換后的地址。

2、如果L2TP客戶端獲得的地址無需經(jīng)過NAT即可接入internet，則分析報文格式如下：