L2TP是cisco开发的第二层***隧道技术,拨号用户可以通过虚拟点对点协议(ppp)连接到L2TP网络服务器,该服务器可以是一台安全设备。Netscreen防火墙也支持L2TP ***。

实验环境:NS-25一台,windows xp客户端,NS-25内口E1接windows xp服务器端,外口E4接windows xp客户端

实验过程:

NS-25配置: 内口E1IP设置192.168.100.1/24,外口E4IP设置为192.168.200.1/24

定义拨号用户,在objects>users>local下选择new:

   

可以建立多个user,将建立好的user加入到group里,在objects>user groups>local

定义拨号客户端ip地址池,拨号客户端ip不能与拨入的服务器端ip在同一网段

在objects>ip pools下选择new :

配置L2TP默认配置:ip pool name下选择上一步定义的ippool,此实验环境下不需要dns,但实际环境下要配置dns server:

然后配置L2TP TUNNEL,建name,选择定义好的拨号用户组,设备的外出接口,绑定ip pool name,dns serve:

   

最后,定义访问策略:

From Untust to Trust Dial—Up *** 192.168.100.0/24 any tunnel l2tp logging

NS-25配置完成。

配置windows xp拨号客户端:

首先修改注册表,在开始-运行下,regedit回车,在HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RasMan/Parameters下新建一个Dword值为1的ProhibitIPSec。重启系统。

配置拨号程序,点击开始-程序-附件-通讯-网络连接。选择创建一个新的连接,下一步选择连接到我的工作场所的网络,下一步选择虚拟专用网络连接,下一步,定义拨号名(可选),下一步输入安全设备NS-25外口IP地址,下一步,完成。

双击,打开拨号程序,填入ns-25中定义的拨号用户名和密码。点击属性,选择安全选项卡,选择高级,点击设置,数据加密那里,选择可选"加密(没有加密也可以连接)",允许这些协议,只选择PAP 和CHAP,确定,选择网络选项卡,***类型选择"L2TP IPSec ***"。

   

完成。