科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道SecPath系列:多个PC作为LAC

SecPath系列:多个PC作为LAC

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文主要介绍的是关于SecPath系列防火墙多个PC作为LAC,通过NAT直接发起L2TP隧道,数据采用IPSEC加密.

作者:51CTO.COM 2007年10月25日

关键字: PC 防火墙 H3C SecPath LAC

  • 评论
  • 分享微博
  • 分享邮件

【拓扑图】

【配置环境参数】

如图。

【组网需求】

1. 移动用户通过窄带拨号或ADSL拨号t,或直接通过固定IP接入Internet。由ISP进行NAT转换上internet。

2. 移动用户可以采用如下L2TP软件:

Secpoint

3. 要求所有私网数据加密传输。

【主要配置】

【Secpoint主要配置】

1、 首先建立连接,请参考上一小节的配置。

2、 启用IPSEC,输入身份验证字(也就是Server端的pre-shared key)。

3、 高级中的“IPSEC设置”中,选择与对端合适的封装模式、安全协议等内容。如果中间需要经过NAT,则选中“使用NAT穿越”。

4、 IKE设置中,如果是动态公网IP或经过NAT,则均应使用“野蛮模式”,ID类型选择“名字”,输入本端和对端的名称。如果LNS是上面的配置,则本端为 “client”,对端为“lns”。

5、 拨号建立连接。

6、 检查VPN网关的IPSEC SA建立情况。

【WinXP主要配置】

说明:

WinXP的HOME版不支持本地安全策略,所以也不支持IPSEC。Profession版本和Win2000可以支持。详见附件《Windows2000下配置基于PSK方式IPSEC的L2TP客户的方法.doc》。

【备注】

1、 以从客户端发往总部的数据为例,分析报文格式如下:(假定:客户端从ISP获得了172.16.1.1的外网地址。从LNS获得10.1.2.10的地址。)

可见,整个报文中有三层IP头。

在LNS收到该报文后,必须知道去往172.16.1.1如何回送,否则无法将L2TP封装后的数据路由到启用IPSEC的公网口上。

LNS回应报文格式如下:

202.38.1.2为NAT网关变换后的地址。

2、如果L2TP客户端获得的地址无需经过NAT即可接入internet,则分析报文格式如下:

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章