WindowsXP基于PSK方式IPSec的L2TP客户端的方法讲解Word下载.docx
《WindowsXP基于PSK方式IPSec的L2TP客户端的方法讲解Word下载.docx》由会员分享,可在线阅读,更多相关《WindowsXP基于PSK方式IPSec的L2TP客户端的方法讲解Word下载.docx(28页珍藏版)》请在冰点文库上搜索。
local-usertestpasswordsimpletest
local-usertestservice-typeppp
local-usertestcallback-nocheck
aaaenable
aaaaccounting-schemeoptional
ispdomain
ippool111.1.1.111.1.1.10
ippool110.0.0.10010.0.0.200
ikepeerike1
pre-shared-key12345
remote-nameW03513//W03513为要连接的计算机名
max-connections1000
ipsecproposal1
encapsulation-modetransport
ipsecproposal2
ipsecpolicy-template11
ike-peerike1
proposal1
ipsecpolicyipsec1isakmptemplate1
interfaceVirtual-Template1
pppauthentication-modepap
ipaddress10.0.0.1255.255.255.0
interfaceAux0
asyncmodeflow
link-protocolppp
interfaceGigabitEthernet0/0
speed1000
duplexfull
description"
ToGCC.NE40_8.1GE5/1/1"
ipaddress202.138.166.42255.255.255.252
ipsecpolicyipsec
interfaceGigabitEthernet0/1
interfaceNULL0
l2tp-group1
undotunnelauthentication
mandatory-lcp
allowl2tpvirtual-template1
user-interfacecon0
user-interfaceaux0
user-interfacevty04
authentication-modeschemedefault
return
[Quidway]
验证方法:
1、用test@登陆,获得10.0.0.100-10.0.0.200的地址。
2、用test@登陆,获得11.1.1.1-11.1.1.10的地址。
2.禁用证书方式的IPSEC
WindowsXP的L2TP功能缺省启动证书方式的IPSEC,应当在注册表中禁用。
方法如下:
执行regedit命令,找到如下位置
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters
加入如下注册项:
ValueName:
ProhibitIpSec
DataType:
REG_DWORD
Value:
1
3.创建L2TP连接,
按下面图形依次进行(没有列在下面的步骤均选缺省操作)
这个地址就是LNS的地址。
点击“属性”。
就是刚才设置的LNS的地址。
选择高级(自定义设置),点击“设置”。
这里所选的加密算法即为:
intvirtual-template中设置的ppp认证,本例中用pap,因此必须将pap选中。
千万不要把IKE的共享密钥设置在这里!
此处不要选择。
4.IPSEC的设置
点击“启动”-》“程序”-》“管理工具”-》“本地安全策略”,按下面图形依次进行(没有列在下面的步骤均选缺省操作)
在下图中左边窗口点击“IP安全策略,在本地机器”,在右边窗口点鼠标右键,选择“创建IP安全策略”
在下图中点击“添加”按钮:
点击添加
此处即为IPSEC指定的设备的地址,本例中此地址与LNS的地址相同。
点击完成
点击确定,
选中刚才添加的筛选器
筛选器操作选择需求安全,点击“编辑”,设置ipsecproposal相关属性。
将设备上配置的IPSECPROPOSAL加密和验证算法上移到最上面,SecPath缺省为DES、SHA1。
点击“确定”
[Quidway]disipsecproposal1
IPsecproposalname:
1
encapsulationmode:
transport
transform:
esp-new
ESPprotocol:
authenticationmd5-hmac-96,encryptiondes
选择添加
此共享密钥即为ikepeer中的pre-sharekey点击“确定”。
remote-nameW03513
把刚才的密钥设置上移到第一位
点击“关闭”退出。
进入“常规”:
进入“高级”,设置IKEPROPOSAL相关参数。
SecPath缺省不使用PFS。
点击“方法”,设置IKEPROPOSAL相关参数:
这几种算法的前后无所谓,系统会自动选择一套与设备上相同的加密和验证算法。
SecPath上缺省的是:
[Quidway]disikeproposal
priorityauthenticationauthenticationencryptionDiffie-Hellmanduration
methodalgorithmalgorithmgroup(seconds)
---------------------------------------------------------------------------
defaultPRE_SHAREDSHADES_CBCMODP_76886400