 |
如图。
1. 移动用户通过窄带拨号或ADSL拨号t,或直接通过固定IP接入Internet。由ISP进行NAT转换上internet。
2. 移动用户可以采用如下L2TP软件:
Secpoint
3. 要求所有私网数据加密传输。
1、 首先建立连接,请参考上一小节的配置。
2、 启用IPSEC,输入身份验证字(也就是Server端的pre-shared key)。
3、 高级中的“IPSEC设置”中,选择与对端合适的封装模式、安全协议等内容。如果中间需要经过NAT,则选中“使用NAT穿越”。
4、 IKE设置中,如果是动态公网IP或经过NAT,则均应使用“野蛮模式”,ID类型选择“名字”,输入本端和对端的名称。如果LNS是上面的配置,则本端为 “client”,对端为“lns”。
5、 拨号建立连接。
6、 检查VPN网关的IPSEC SA建立情况。
说明:
WinXP的HOME版不支持本地安全策略,所以也不支持IPSEC。Profession版本和Win2000可以支持。详见附件《Windows2000下配置基于PSK方式IPSEC的L2TP客户的方法.doc》。
1、 以从客户端发往总部的数据为例,分析报文格式如下:(假定:客户端从ISP获得了172.16.1.1的外网地址。从LNS获得10.1.2.10的地址。)
 |
在LNS收到该报文后,必须知道去往172.16.1.1如何回送,否则无法将L2TP封装后的数据路由到启用IPSEC的公网口上。
LNS回应报文格式如下:
 |
202.38.1.2为NAT网关变换后的地址。
2、如果L2TP客户端获得的地址无需经过NAT即可接入internet,则分析报文格式如下:
 |
