微软地L2TP方式VPN穿越防火墙地设置.docVIP

用于 Windows XP 和 Windows 2000 的 L2TP/IPSec NAT-T 更新 概要 Microsoft 已经发布了一个更新程序包，以增强运行 Windows XP 或 Windows 2000 的计算机上第二层隧道协议 (L2TP) 和 Internet 协议安全 (IPSec) 的当前功能。此更新包含对 IPSec 的改进，以更好地支持位于网络地址转换 (NAT) 设备后面的虚拟专用网络 (VPN) 客户端。如果将此更新应用于运行 Windows XP 的计算机，并且 IPSec 服务遇到运行时错误并由于某种原因而无法启动，则 IPSec 驱动程序在阻止模式下运行（原因是它无法确保网络通信的安全）。（IPSec 服务在系统服务列表中显示为“IPSEC 服务”。） 文章内容 ? 新的 IPSec 功能以及管理和监视管理单元 ? 互操作性和已知问题 ? Windows XP 更新 ? Windows 2000 更新 ? 参考 更多信息 新的 IPSec 功能以及管理和监视管理单元 ? 在安装此更新后，L2TP/IPSec 客户端即可从 NAT 服务器后面创建 IPSec 连接。新的 NAT-T 规范是围绕 IETF RFC 3193 和 IETF NAT-T 规范第 02 稿设计的。 ? 更新的 IPSec 监视管理单元可以查看正在运行 Windows XP 的计算机，但前提是基于 Windows XP 的计算机上已安装了该更新。 ? 更新的 IPSec 监视器可以查看运行 Microsoft Windows Server 2003 的计算机。同样，Windows Server 2003 可以监视安装了此更新且基于 Windows XP 的计算机。 ? 无法使用此管理单元监视正在运行 Windows 2000 的计算机。 ? 如果新的“IPSec 管理”管理单元遇到的策略对象包含在 Windows Server 2003 中创建的高级功能（如 DH2048、证书映射或动态筛选器），它就会切换到只读模式。如果管理单元对象（如规则、筛选器列表或提供的主模式）包含对这些新设置的引用时，此行为将使这些对象无法编辑。“IPSec 管理”将切换到只读模式，以免其意外删除重要的高级功能。 ? 基于 Windows XP 的计算机上已更新的 IPSec 服务可以公开 Windows Server 2003 策略中所提供的大多数新功能。注意：无法使用证书映射。 ? 如果基于 Windows XP 的计算机上安装了 IPSeccmd 工具的早期版本（Windows 2000 中没有此工具），则将更新的 IPSeccmd 安装在 drive:\Program Files\Support Tools 文件夹中。更新后的 IPSeccmd 具有下列功能： ? 它动态地打开和关闭 Internet 密钥交换 (IKE) 日志记录。 ? 它显示有关当前分配的策略的信息。 ? 您可能通过它创建永久性的 IPSec 策略。 注意：IPSeccmd 的早期版本在更新后的计算机上无法运行，而更新后的 IPSeccmd 在未更新的计算机上无法运行。 返回页首 互操作性和已知问题 NAT-T 和防火墙规则 由于新的 NAT-T 规范是围绕 IETF RFC 3193 和 IETF NAT-T 规范第 02 稿设计的，因此对于通过防火墙运行的这些服务，您可能需要在防火墙规则中打开下列端口和协议： ? L2TP - 用户数据报协议 (UDP) 500、UDP 1701 ? NAT-T - UDP 4500 ? ESP - Internet 协议 (IP) 协议 50 使用 NAT-T 的受支持方案 下面的方案将成功允许使用 L2TP/IPSec NAT-T 连接。在这些方案中，Client 是运行 Windows XP 或 Windows 2000 并且安装了 818043 更新的客户端。Server 是运行 Windows Server 2003 并且使用“路由和远程访问”的 L2TP/IPSec 服务器。例如，在第一种方案中，Client 在一个 NAT 路由器后面，它通过 Internet 连接到 Server。在第二种方案中，Server 在另一个 NAT 路由器后面。 Client---- NAT ----Internet----ServerClient----Internet---- NAT ----ServerClient---- NAT ----Internet---- NAT ---- Server 在这些方案中，L2TP/RRAS 服务器位于 NAT 路由器后面，NAT 路由器必须