基于Windows自带VPN拨号软件IPSec的L2TP拨号的配置

1.1基于Windows自带VPN拨号软件IPSec的L2TP拨号的配置
一、组网需求
L2TP的LNS端采用SecPath防火墙设备，PC1作为LAC端，使用Windows自带VPN
拨号软件进行拨号连接。

二、组网图
如图所示，使用SecPath防火墙作为L2TP的LNS，客户端软件是Windows
自带的拨号软件。

软件版本如下：
SecPath1000F：VRP 3.40 ESS 1604；
客户端软件：Windows XP 自带VPN拨号软件。

三、配置步骤
3.1 LNS端的配置：
[LNS]dis cu sysname LNS l2tp enable //开启l2tp功能
firewall packet-filter enable firewall packet-filter default permit undo connection-limit enable connection-limit default deny connection-limit default amount upper-limit 50 lower-limit 20 firewall statistic system enable radius scheme system
domain system
ip pool 1 5.0.0.10 5.0.0.20
local-user hujun //配置拨号用户
password simple 123
service-type ppp
ike peer 1 //配置ike peer参数
pre-shared-key 123
ipsec proposal 1 //配置ipsec提议
encapsulation-mode transport //配置封装模式为透明模式
ipsec policy-template temp 1
ike-peer 1
proposal 1
ipsec policy 1 1 isakmp template temp interface Virtual-Template1 //配置虚拟接口模板1及其验证
方式
ppp authentication-mode pap
ip address 5.0.0.1 255.255.255.0
interface Aux0
async mode flow
interface Ethernet0/0
interface Ethernet0/1
interface Ethernet0/2
interface Ethernet0/3
interface Ethernet1/0
interface Ethernet1/1
interface Ethernet1/2
ip address 30.0.0.1 255.255.255.0
ipsec policy 1 //在端口上启用ipsec policy
interface Encrypt2/0
interface NULL0
firewall zone local
set priority 100
firewall zone trust
add interface Ethernet1/2
add interface Virtual-Template1 //把虚拟接口模板添加进入安
全域
set priority 85 firewall zone untrust set priority 5 firewall zone DMZ set priority 50 firewall interzone local trust firewall interzone local untrust firewall interzone local DMZ firewall interzone trust untrust firewall interzone trust DMZ firewall interzone DMZ untrust l2tp-group 1 //配置l2tp组1
undo tunnel authentication //取消隧道验证
allow l2tp virtual-template 1 //配置使用名字的方式发起
l2tp连接
ip route-static 0.0.0.0 0.0.0.0 30.0.0.2 preference 60 //配置静态默认路由
user-interface con 0 user-interface aux 0 user-interface vty 0 4 return
3.2 LAC的配置：
1) 禁用证书方式的IPSEC
WindowsXP的L2TP功能缺省启动证书方式的IPSEC，应当在注册表中禁用。

方法如下：
执行regedit命令，找到如下位置
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
加入如下注册项：
Value Name: ProhibitIpSec
Data Type: REG_DWORD
Value: 1
2) 创建L2TP连接，
按下面图形依次进行（没有列在下面的步骤均选缺省操作）
这个地址就是LNS的地址。

点击“属性”。

就是刚才设置的LNS的地址。

选择高级（自定义设置），点击“设置”。

千万不要把IKE的共享密钥设置在这里！此处不要选择。

3) IPSEC的设置
点击“控制面板”－》“管理工具”－》“本地安全策略”，按下面图形依次进行(没有列在下面的步骤均选缺省操作)
在下图中左边窗口点击“IP安全策略，在本地机器”，在右边窗口点鼠标右键，选择“创建IP安全策略”
在下图中点击“添加”按钮：
点击添加
点击添加
此处即为IPSEC指定的设备的地址，本例中此地址与LNS的地址相同。

点击完成
点击确定,
选中刚才添加的筛选器
筛选器操作选择需求安全，点击“编辑”，设置ipsec proposal相关属性。

将设备上配置的IPSEC PROPOSAL加密和验证算法上移到最上面，SecPath缺省为DES、SHA1。

点击“确定”
选择添加
此共享密钥即为ike peer 中的pre-sharekey 点击“确定”。

把刚才的密钥设置上移到第一位
点击“关闭”退出。

进入“常规”：
进入“高级”，设置IKE PROPOSAL相关参数。

SecPath缺省不使用PFS。

点击“方法”，设置IKE PROPOSAL相关参数：
这几种算法的前后无所谓，系统会自动选择一套与设备上相同的加密和验证算法。

SecPath上缺省的是：SHA1和DES。

四、配置关键点
请见配置里面的蓝色斜体字和红色标记的位置。