WindowsXP基于PSK方式IPSec的L2TP客户端的方法讲解Word下载.docx

资源描述

WindowsXP基于PSK方式IPSec的L2TP客户端的方法讲解Word下载.docx

《WindowsXP基于PSK方式IPSec的L2TP客户端的方法讲解Word下载.docx》由会员分享，可在线阅读，更多相关《WindowsXP基于PSK方式IPSec的L2TP客户端的方法讲解Word下载.docx（28页珍藏版）》请在冰点文库上搜索。

WindowsXP基于PSK方式IPSec的L2TP客户端的方法讲解Word下载.docx

local-usertestpasswordsimpletest

local-usertestservice-typeppp

local-usertestcallback-nocheck

aaaenable

aaaaccounting-schemeoptional

ispdomain

ippool111.1.1.111.1.1.10

ippool110.0.0.10010.0.0.200

ikepeerike1

pre-shared-key12345

remote-nameW03513//W03513为要连接的计算机名

max-connections1000

ipsecproposal1

encapsulation-modetransport

ipsecproposal2

ipsecpolicy-template11

ike-peerike1

proposal1

ipsecpolicyipsec1isakmptemplate1

interfaceVirtual-Template1

pppauthentication-modepap

ipaddress10.0.0.1255.255.255.0

interfaceAux0

asyncmodeflow

link-protocolppp

interfaceGigabitEthernet0/0

speed1000

duplexfull

description"

ToGCC.NE40_8.1GE5/1/1"

ipaddress202.138.166.42255.255.255.252

ipsecpolicyipsec

interfaceGigabitEthernet0/1

interfaceNULL0

l2tp-group1

undotunnelauthentication

mandatory-lcp

allowl2tpvirtual-template1

user-interfacecon0

user-interfaceaux0

user-interfacevty04

authentication-modeschemedefault

return

[Quidway]

验证方法：

1、用test@登陆，获得10.0.0.100－10.0.0.200的地址。

2、用test@登陆，获得11.1.1.1－11.1.1.10的地址。

2.禁用证书方式的IPSEC

WindowsXP的L2TP功能缺省启动证书方式的IPSEC，应当在注册表中禁用。

方法如下：

执行regedit命令，找到如下位置

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters

加入如下注册项：

ValueName:

ProhibitIpSec

DataType:

REG_DWORD

Value:

3.创建L2TP连接，

按下面图形依次进行（没有列在下面的步骤均选缺省操作）

这个地址就是LNS的地址。

点击“属性”。

就是刚才设置的LNS的地址。

选择高级（自定义设置），点击“设置”。

这里所选的加密算法即为:

intvirtual-template中设置的ppp认证，本例中用pap，因此必须将pap选中。

千万不要把IKE的共享密钥设置在这里！

此处不要选择。

4.IPSEC的设置

点击“启动”－》“程序”－》“管理工具”－》“本地安全策略”，按下面图形依次进行（没有列在下面的步骤均选缺省操作）

在下图中左边窗口点击“IP安全策略，在本地机器”，在右边窗口点鼠标右键，选择“创建IP安全策略”

在下图中点击“添加”按钮：

点击添加

此处即为IPSEC指定的设备的地址，本例中此地址与LNS的地址相同。

点击完成

点击确定,

选中刚才添加的筛选器

筛选器操作选择需求安全，点击“编辑”，设置ipsecproposal相关属性。

将设备上配置的IPSECPROPOSAL加密和验证算法上移到最上面，SecPath缺省为DES、SHA1。

点击“确定”

[Quidway]disipsecproposal1

IPsecproposalname:

encapsulationmode:

transport

transform:

esp-new

ESPprotocol:

authenticationmd5-hmac-96,encryptiondes

选择添加

此共享密钥即为ikepeer中的pre-sharekey点击“确定”。

remote-nameW03513

把刚才的密钥设置上移到第一位

点击“关闭”退出。

进入“常规”：

进入“高级”，设置IKEPROPOSAL相关参数。

SecPath缺省不使用PFS。

点击“方法”，设置IKEPROPOSAL相关参数：

这几种算法的前后无所谓，系统会自动选择一套与设备上相同的加密和验证算法。

SecPath上缺省的是：

[Quidway]disikeproposal

priorityauthenticationauthenticationencryptionDiffie-Hellmanduration

methodalgorithmalgorithmgroup（seconds）

---------------------------------------------------------------------------

defaultPRE_SHAREDSHADES_CBCMODP_76886400

展开阅读全文