认证考试MSR系列路由器XP与MSR使用共享密钥方式L2TP Over IPSec互通功能的配置.docVIP

MSR系列路由器XP与MSR使用共享密钥方式L2TP Over IPSec互通功能的配置 关键词：MSR;IPSec;IKE;L2TP;Pre-share-key;共享密钥;Windows;XP 一、组网需求： 如下面的组网图，MSR路由器提供L2TP接入，XP主机使用自带L2TP工具拨号接入到MSR，并且使用共享密钥方式对L2TP流进行加密 设备清单：MSR系列路由器1台，Windows XP主机一台 二、组网图： 三、配置步骤： MSR配置 # //使能路由器的L2TP功能 l2tp enable # //System域配置，System域是路由器的默认域，当接入用户不属于其它域时，会匹配到System域 domain system access-limit disable state active idle-cut disable self-service-url disable //配置地址池 ip pool 1 192.168.1.1 192.168.1.10 # //IKE Peer的配置 ike peer xp //配置预共享密钥“h3c” pre-shared-key h3c //配置对端地址 remote-address 1.1.1.254 # //IPSec安全提议配置 ipsec proposal 1 //使用传输模式 encapsulation-mode transport # //IPSec安全策略，序号1 ipsec policy xp 1 isakmp //指定安全ACL security acl 3000 //指定IKE Peer ike-peer xp //指定安全提议 proposal 1 # //配置本地用户，用户名aaa local-user aaa //密码也是aaa password simple aaa //服务类型是PPP service-type ppp # //配置安全ACL acl number 3000 //指定匹配规则 rule 0 permit ip source 1.1.1.1 0 destination 1.1.1.254 0 # //配置L2TP组 l2tp-group 1 //取消隧道验证，因为XP主机不支持此功能 undo tunnel authentication //指定采用的虚模板 allow l2tp virtual-template 0 # interface Ethernet0/0 port link-mode route //接口地址 ip address 1.1.1.1 255.0.0.0 //绑定IPSec安全策略 ipsec policy xp # //配置虚模板 interface Virtual-Template0 //指定为chap认证 ppp authentication-mode chap //指定地址池 remote adress pool 1 //配置虚模板地址 ip address 192.168.1.254 255.255.255.0 # Windows XP的配置 1、修改Windows的注册表，如在下图红框所示注册表目录添加一个提示框所示内容，然后重启电脑 2、重启电脑后，从控制面板进入网络连接面板，如下面红框所示创建一个新的连接 3、根据提示选择下一步 4、在单选框中选择“连接到我的工作场所的网络”，然后点击下一步 5、在单选框中选择“虚拟专用网络连接”，点击下一步 6、输入连接的名字，此名字可以随便取 7、输入VPN接入服务器地址，即路由器的地址1.1.1.1 8、单选框中选择“不使用我的智能卡”，然后点击下一步 9、点击完成，结束向导配置 10、上面点击完成后，会打开如下画面，输入用户名和密码，即路由器配置的Local-user，点击红框中的属性 11、在连接的属性窗口的常规页显示的是提供接入的服务器地址1.1.1.1，此页不用修改，选项页也不用修改 12、在安全页的安全选项中，选择“高级（自定义设置）”，可以查看高级安全设置选项，此页也可以不用改动 13、在安全页中还有，IPSec设置，如下图显示，此处并不是我们所需要的IKE共享密钥设置，千万不要勾选 14、在网络页中的VPN类型可以不用选择，也可以直接指定为L2TP IPSec VPN，高级页面不需改动 15、下面的工作就是在XP主机上配置IKE Peer、IKE Proposal、ACL、IPSec Proposal和IPSec Policy了，进入控制面板à性能和维护à管理工具à本地安全策略 16、如上图创建IP安全策略后，会有一个向导，点击下一步 17、输入策略的名字