SecPath系列:多个PC作为LAC

【拓扑图】

【配置环境参数】

如图。

【组网需求】

1. 移动用户通过窄带拨号或ADSL拨号t，或直接通过固定IP接入Internet。由ISP进行NAT转换上internet。

2. 移动用户可以采用如下L2TP软件：

Secpoint

3. 要求所有私网数据加密传输。

【主要配置】

【Secpoint主要配置】

1、 首先建立连接，请参考上一小节的配置。

2、 启用IPSEC，输入身份验证字（也就是Server端的pre-shared key）。

3、 高级中的“IPSEC设置”中，选择与对端合适的封装模式、安全协议等内容。如果中间需要经过NAT，则选中“使用NAT穿越”。

4、 IKE设置中，如果是动态公网IP或经过NAT，则均应使用“野蛮模式”，ID类型选择“名字”，输入本端和对端的名称。如果LNS是上面的配置，则本端为 “client”，对端为“lns”。

5、 拨号建立连接。

6、 检查VPN网关的IPSEC SA建立情况。

【WinXP主要配置】

说明：

WinXP的HOME版不支持本地安全策略，所以也不支持IPSEC。Profession版本和Win2000可以支持。详见附件《Windows2000下配置基于PSK方式IPSEC的L2TP客户的方法.doc》。

【备注】

1、 以从客户端发往总部的数据为例，分析报文格式如下：(假定：客户端从ISP获得了172.16.1.1的外网地址。从LNS获得10.1.2.10的地址。)

可见，整个报文中有三层IP头。

在LNS收到该报文后，必须知道去往172.16.1.1如何回送，否则无法将L2TP封装后的数据路由到启用IPSEC的公网口上。

LNS回应报文格式如下：

202.38.1.2为NAT网关变换后的地址。

2、如果L2TP客户端获得的地址无需经过NAT即可接入internet，则分析报文格式如下：