好消息,超酷的在线虚拟网络实验室上线了!点击开始实验

为获得更好的浏览效果,建议您使用 Firefox 或者 Chrome 浏览器



MSR系列路由器XPMSR使用共享密钥方式L2TP Over IPSec互通功能的配置

 

关键词:MSR;IPSec;IKE;L2TP;Pre-share-key;共享密钥;Windows;XP

 

一、组网需求

如下面的组网图,MSR路由器提供L2TP接入,XP主机使用自带L2TP工具拨号接入到MSR,并且使用共享密钥方式对L2TP流进行加密

设备清单:MSR系列路由器1台,Windows XP主机一台

二、组网图:

三、配置步骤:

MSR配置

#

 //使能路由器的L2TP功能

 l2tp enable

#

//System域配置,System域是路由器的默认域,当接入用户不属于其它域时,会匹配到System

domain system

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

 //配置地址池

 ip pool 1 192.168.1.1 192.168.1.10

#

//IKE Peer的配置

ike peer xp

 //配置预共享密钥“h3c

 pre-shared-key h3c

 //配置对端地址

 remote-address 1.1.1.254

#

//IPSec安全提议配置

ipsec proposal 1

 //使用传输模式

 encapsulation-mode transport

#

//IPSec安全策略,序号1

ipsec policy xp 1 isakmp

 //指定安全ACL

 security acl 3000

 //指定IKE Peer

 ike-peer xp

 //指定安全提议

 proposal 1

#

//配置本地用户,用户名aaa

local-user aaa

 //密码也是aaa

 password simple aaa

 //服务类型是PPP

 service-type ppp

#

//配置安全ACL

acl number 3000

 //指定匹配规则

 rule 0 permit ip source 1.1.1.1 0 destination 1.1.1.254 0

#

//配置L2TP

l2tp-group 1

 //取消隧道验证,因为XP主机不支持此功能

 undo tunnel authentication

 //指定采用的虚模板

 allow l2tp virtual-template 0

#

interface Ethernet0/0

 port link-mode route

 //接口地址

 ip address 1.1.1.1 255.0.0.0

 //绑定IPSec安全策略

 ipsec policy xp

#

//配置虚模板

interface Virtual-Template0

 //指定为chap认证

 ppp authentication-mode chap

 //指定地址池

 remote adress pool 1

 //配置虚模板地址

 ip address 192.168.1.254 255.255.255.0

#

Windows XP的配置

1、修改Windows的注册表,如在下图红框所示注册表目录添加一个提示框所示内容,然后重启电脑

2、重启电脑后,从控制面板进入网络连接面板,如下面红框所示创建一个新的连接

3、根据提示选择下一步

4、在单选框中选择“连接到我的工作场所的网络”,然后点击下一步

5、在单选框中选择“虚拟专用网络连接”,点击下一步

6、输入连接的名字,此名字可以随便取

7、输入VPN接入服务器地址,即路由器的地址1.1.1.1

8、单选框中选择“不使用我的智能卡”,然后点击下一步

9、点击完成,结束向导配置

10、上面点击完成后,会打开如下画面,输入用户名和密码,即路由器配置的Local-user,点击红框中的属性

11、在连接的属性窗口的常规页显示的是提供接入的服务器地址1.1.1.1,此页不用修改,选项页也不用修改

12、在安全页的安全选项中,选择“高级(自定义设置)”,可以查看高级安全设置选项,此页也可以不用改动

13、在安全页中还有,IPSec设置,如下图显示,此处并不是我们所需要的IKE共享密钥设置,千万不要勾选

14、在网络页中的VPN类型可以不用选择,也可以直接指定为L2TP IPSec VPN,高级页面不需改动

15、下面的工作就是在XP主机上配置IKE PeerIKE ProposalACLIPSec ProposalIPSec Policy了,进入控制面板à性能和维护à管理工具à本地安全策略

16、如上图创建IP安全策略后,会有一个向导,点击下一步

17、输入策略的名字,相当于路由器上的IPSec Policy your_policy_name,然后单击下一步

18、将激活默认响应规则的勾选取消,单击下一步

19、保持编辑属性的勾选,点击完成

20、接下来会出现安全策略的属性窗口的规则页,将右下脚使用“添加向导”的勾选取消(不使用向导更简单),点击添加

21、规则属性的第一页是“IP筛选器列表”,即我们路由器上的ACL的配置工作,选择红框提示的添加

22、取消使用“添加向导”的勾选后,继续点击添加

23、之后会出现如下页面,源地址不用变动,在目标地址中选择作如下配置,此页简单易懂,协议页保持不变

24、点击确定后,返回IP筛选器列表窗口,选择确定,完成筛选器的配置

25、上述步骤完成后返回新规则属性窗口,在筛选器列表中单选框中,选中刚才创建的“IP筛选器列表

26、完成IP筛选器的配置后,转到“筛选器操作”页面,这相当于IPSec Proposal的配置,选择单选框中“需要安全”,点击红框中的编辑

27、将ESP加密和完整性的DESSHA1组合上移到第一位,因为这是MSR路由器的默认安全提议,勾选“接受不安全的通讯……”,然后点击确定后,返回新规则属性页面

28、进入到身份验证方法,即IKE Peer的配置,选择红框中的添加

29、单选框中有3个选项,第一种Kerberos方法MSR不支持,第二种是证书,第三种是预共享密钥方法(本次实验的目的),因此单选第三种,输入预共享密钥“h3c”,之后点击确定

30、上述配置完成后返回属性页面,将刚才生成的预先共享的密钥上移到首位

31、之后进入隧道设置页面,即相当于IPSec Proposalencapsulation-mode transport/tunnel,在本实验中不需要使用隧道模式,所以选择“此规则不指定IPSec隧道”

32、最后一页“连接类型”保持不变,点击确定结束规则属性配置然后返回安全策略属性

33、切换到属性的常规页,点击红框中的高级,这个配置相当于IKE Proposal

34、然后选择方法

35、可以查看到IKE Proposal的配置,此处可以不用修改,MSR和主机会自动进行协商,单击确定完成安全策略配置

36、之后将新建的策略进行指派,相当于在路由器接口下绑定IPSec Policy

37、完成上述配置后,就可以进行L2TP连接了

 

四、配置关键点

1) XP上的图形化配置远比路由器命令行配置复杂,需要耐心;

2) 注意主机配置和路由器配置的吻合。*

X Close
X Close