 |
如圖。
1. 移動(dòng)用戶(hù)通過(guò)窄帶撥號(hào)或ADSL撥號(hào)t,或直接通過(guò)固定IP接入Internet。由ISP進(jìn)行NAT轉(zhuǎn)換上internet。
2. 移動(dòng)用戶(hù)可以采用如下L2TP軟件:
Secpoint
3. 要求所有私網(wǎng)數(shù)據(jù)加密傳輸。
1、 首先建立連接,請(qǐng)參考上一小節(jié)的配置。
2、 啟用IPSEC,輸入身份驗(yàn)證字(也就是Server端的pre-shared key)。
3、 高級(jí)中的“IPSEC設(shè)置”中,選擇與對(duì)端合適的封裝模式、安全協(xié)議等內(nèi)容。如果中間需要經(jīng)過(guò)NAT,則選中“使用NAT穿越”。
4、 IKE設(shè)置中,如果是動(dòng)態(tài)公網(wǎng)IP或經(jīng)過(guò)NAT,則均應(yīng)使用“野蠻模式”,ID類(lèi)型選擇“名字”,輸入本端和對(duì)端的名稱(chēng)。如果LNS是上面的配置,則本端為 “client”,對(duì)端為“l(fā)ns”。
5、 撥號(hào)建立連接。
6、 檢查VPN網(wǎng)關(guān)的IPSEC SA建立情況。
說(shuō)明:
WinXP的HOME版不支持本地安全策略,所以也不支持IPSEC。Profession版本和Win2000可以支持。詳見(jiàn)附件《Windows2000下配置基于PSK方式IPSEC的L2TP客戶(hù)的方法.doc》。
1、 以從客戶(hù)端發(fā)往總部的數(shù)據(jù)為例,分析報(bào)文格式如下:(假定:客戶(hù)端從ISP獲得了172.16.1.1的外網(wǎng)地址。從LNS獲得10.1.2.10的地址。)
 |
在LNS收到該報(bào)文后,必須知道去往172.16.1.1如何回送,否則無(wú)法將L2TP封裝后的數(shù)據(jù)路由到啟用IPSEC的公網(wǎng)口上。
LNS回應(yīng)報(bào)文格式如下:
 |
202.38.1.2為NAT網(wǎng)關(guān)變換后的地址。
2、如果L2TP客戶(hù)端獲得的地址無(wú)需經(jīng)過(guò)NAT即可接入internet,則分析報(bào)文格式如下:
 |
