MSR系列路由器XP与MSR使用共享密钥方式L2TP Over IPSec互通功能的配置
关键词:MSR;IPSec;IKE;L2TP;Pre-share-key;共享密钥;Windows;XP
一、组网需求:
如下面的组网图,MSR路由器提供L2TP接入,XP主机使用自带L2TP工具拨号接入到MSR,并且使用共享密钥方式对L2TP流进行加密
设备清单:MSR系列路由器1台,Windows XP主机一台
二、组网图:
三、配置步骤:
|
MSR配置 |
|
# //使能路由器的L2TP功能 l2tp enable # //System域配置,System域是路由器的默认域,当接入用户不属于其它域时,会匹配到System域 domain system access-limit disable state active idle-cut disable self-service-url
disable //配置地址池 ip pool 1
192.168.1.1 192.168.1.10 # //IKE
Peer的配置 ike peer xp //配置预共享密钥“h pre-shared-key h //配置对端地址 remote-address # //IPSec安全提议配置 ipsec proposal 1 //使用传输模式 encapsulation-mode transport # //IPSec安全策略,序号1 ipsec policy xp 1 isakmp //指定安全ACL security acl
3000 //指定IKE Peer ike-peer xp //指定安全提议 proposal 1 # //配置本地用户,用户名aaa local-user aaa //密码也是aaa password simple aaa //服务类型是PPP service-type ppp # //配置安全ACL acl number 3000 //指定匹配规则 rule 0 permit ip
source # //配置L2TP组 l2tp-group 1 //取消隧道验证,因为XP主机不支持此功能 undo tunnel authentication //指定采用的虚模板 allow l2tp virtual-template 0 # interface
Ethernet0/0 port link-mode route //接口地址 ip address //绑定IPSec安全策略 ipsec policy xp # //配置虚模板 interface
Virtual-Template0 //指定为chap认证 ppp authentication-mode chap //指定地址池 remote adress
pool 1 //配置虚模板地址 ip address
192.168.1.254 255.255.255.0 # |
|
Windows XP的配置 |
|
1、修改Windows的注册表,如在下图红框所示注册表目录添加一个提示框所示内容,然后重启电脑
2、重启电脑后,从控制面板进入网络连接面板,如下面红框所示创建一个新的连接
3、根据提示选择下一步
4、在单选框中选择“连接到我的工作场所的网络”,然后点击下一步
5、在单选框中选择“虚拟专用网络连接”,点击下一步
6、输入连接的名字,此名字可以随便取
7、输入VPN接入服务器地址,即路由器的地址
8、单选框中选择“不使用我的智能卡”,然后点击下一步
9、点击完成,结束向导配置
10、上面点击完成后,会打开如下画面,输入用户名和密码,即路由器配置的Local-user,点击红框中的属性
11、在连接的属性窗口的常规页显示的是提供接入的服务器地址
12、在安全页的安全选项中,选择“高级(自定义设置)”,可以查看高级安全设置选项,此页也可以不用改动
13、在安全页中还有,IPSec设置,如下图显示,此处并不是我们所需要的IKE共享密钥设置,千万不要勾选
14、在网络页中的VPN类型可以不用选择,也可以直接指定为L2TP IPSec VPN,高级页面不需改动
15、下面的工作就是在XP主机上配置IKE Peer、IKE Proposal、ACL、IPSec
Proposal和IPSec Policy了,进入控制面板à性能和维护à管理工具à本地安全策略
16、如上图创建IP安全策略后,会有一个向导,点击下一步
17、输入策略的名字,相当于路由器上的IPSec Policy your_policy_name,然后单击下一步
18、将激活默认响应规则的勾选取消,单击下一步
19、保持编辑属性的勾选,点击完成
20、接下来会出现安全策略的属性窗口的规则页,将右下脚使用“添加向导”的勾选取消(不使用向导更简单),点击添加
21、规则属性的第一页是“IP筛选器列表”,即我们路由器上的ACL的配置工作,选择红框提示的添加
22、取消使用“添加向导”的勾选后,继续点击添加
23、之后会出现如下页面,源地址不用变动,在目标地址中选择作如下配置,此页简单易懂,协议页保持不变
24、点击确定后,返回IP筛选器列表窗口,选择确定,完成筛选器的配置
25、上述步骤完成后返回新规则属性窗口,在筛选器列表中单选框中,选中刚才创建的“新IP筛选器列表”
26、完成IP筛选器的配置后,转到“筛选器操作”页面,这相当于IPSec Proposal的配置,选择单选框中“需要安全”,点击红框中的编辑
27、将ESP加密和完整性的DES和SHA1组合上移到第一位,因为这是MSR路由器的默认安全提议,勾选“接受不安全的通讯……”,然后点击确定后,返回新规则属性页面
28、进入到身份验证方法,即IKE Peer的配置,选择红框中的添加
29、单选框中有3个选项,第一种Kerberos方法MSR不支持,第二种是证书,第三种是预共享密钥方法(本次实验的目的),因此单选第三种,输入预共享密钥“h
30、上述配置完成后返回属性页面,将刚才生成的预先共享的密钥上移到首位
31、之后进入隧道设置页面,即相当于IPSec Proposal的encapsulation-mode
transport/tunnel,在本实验中不需要使用隧道模式,所以选择“此规则不指定IPSec隧道”
32、最后一页“连接类型”保持不变,点击确定结束规则属性配置然后返回安全策略属性
33、切换到属性的常规页,点击红框中的高级,这个配置相当于IKE Proposal
34、然后选择方法
35、可以查看到IKE Proposal的配置,此处可以不用修改,MSR和主机会自动进行协商,单击确定完成安全策略配置
36、之后将新建的策略进行指派,相当于在路由器接口下绑定IPSec Policy
37、完成上述配置后,就可以进行L2TP连接了
|
四、配置关键点:
1) XP上的图形化配置远比路由器命令行配置复杂,需要耐心;
2) 注意主机配置和路由器配置的吻合。
