科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道SecPath系列:PC作为LAC

SecPath系列:PC作为LAC

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文主要介绍的是关于SecPath系列防火墙PC作为LAC,直接发起L2TP隧道.在基本设置中,可以选择或去掉“连接成功后不允许访问internet”。

作者:51CTO.COM 2007年10月25日

关键字: 防火墙 H3C BOOT SecPath LAC

  • 评论
  • 分享微博
  • 分享邮件

【拓扑图】

【配置环境参数】

如图。

【组网需求】

1. 首先,移动用户通过窄带拨号或ADSL接入internet,或直接通过固定IP接入Internet。在这种情况下,移动用户也可以经过NAT网关。

2. 然后,移动用户采用L2TP软件拨号。可以采用如下L2TP软件:

Secpoint; Enternet500;Win2K/XP自带的VPN软件。

【主要配置】

【Secpoint主要配置】

1、 打开Secpoint,新建一个VPN连接。选择正确的网卡,如果对外用的是拨号连接,注意选择相关的虚拟或PPP适配器。输入LNS服务器地址(可输入一主一备),去掉启用IPSEC。完成新建连接。

2、 按右键,打开新建连接的属性。

1) 在基本设置中,可以选择或去掉“连接成功后不允许访问internet”。如果选中,Secpoint连接成功后会自动将公网的网关删除,并添加动态获得的私网地址为自己的默认网关。这样,用户就只访问私网数据,如果访问公网,则可通过接入到的对端LNS的公网出口出去(假设有的话)。如果不选中,用户需要在高级中路由设置中将所需访问的私网网段定义出来,网关指向对端的虚接口地址,这时,用户即可以上公网,又可以访问私网。

2) 在高级中的L2TP设置中,可以定义自己的隧道名字、验证方式、验证字等。如果对端VPN server定义了这些内容,则必须与Server保持一致。

3、双击该连接,输入用户名和密码,拨号。如果有RSA的Token ID,则还需要输入当前钥匙盘上显示的Token码。

4、拨号成功后,通过“ipconfig”可以看到所获得的IP地址。

【WinXP主要配置】

1、 新建连接,选择“连接到我的工作场所的网络”,选择“虚拟专用网络连接”,输入名称,建议选择“不拨初始连接”,输入LNS地址。完成新建连接。

2、 打开新建连接的属性。

1) 在安全设置中,选择高级。“数据加密”一栏中,选择“可选加密(没有加密也可以连接)”,“可允许这些协议”一项中,选择“PAP”和“CHAP”。

3、双击该连接,输入用户名和密码,拨号。

4、拨号成功后,通过“ipconfig”可以看到所获得的IP地址。

说明:

1、Windows下的L2TP功能缺省启动证书方式的IPSEC,应当首先在注册表中禁用。

方法如下:

执行regedit命令,找到如下位置

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

加入如下注册项:

Value Name: ProhibitIpSec

Data Type: REG_DWORD

Value: 1

2、Secpoint注意采用最新版本。

【备注】

1、 以从客户端发往总部的数据为例,分析报文格式如下:


可见,L2TP采用UDP封装,因此可以轻松穿越NAT。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章