L2TP是一種工業標準的Internet隧道協議,功能大致和PPTP協議類似,比如同樣可以對網絡數據流進行加密。不過也有不同之處,比如PPTP要求網絡爲IP網絡,L2TP要求面向數據包的點對點連接;PPTP使用單一隧道,L2TP使用多隧道;L2TP提供包頭壓縮、隧道驗證,而PPTP不支持。
以上介紹L2TP的信息來自於互聯網,請尊重版權。 簡單說來,L2TP與***的最大不同是,前者大多是單一的用戶和特定網絡的通訊,而後者是特定網絡對特定網絡之間的通訊。互聯網上有很多介紹如何配置L2TP的文章,但是,關於L2TP的配置有多數不太全面。因此,本篇,筆者將要站在那些巨人的肩膀上,與您共同探討L2TP的配置問題。總共分爲兩大部分,一部分是本地的認證,另一部分是遠端的認證,採用兩種認證服務器,一種是cisco的acs,另一種是windows的IAS認證服務器。 提前聲明,爲了簡易說明原理,筆者將L2TP客戶端與防火牆處於同一個網絡範圍內。
一、本地認證配置
實驗拓撲:
1.防火牆配置
1.1配置地址池
1.2配置用戶屬性
1.3 l2tp配置
爲了便於配置,可以首先配置默認配置
1.4策略配置
2.客戶端配置
2.1 新建立網絡連接
2.2 配置網絡連接屬性
一定要將不加密的pap勾選上
修改註冊表,位於“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\RasMan\Parameters”,在右邊新填一個“Deword值”。,
在修改註冊表後,需要重新啓動操作系統。
3.測試
查看連接後的網絡屬性
二、使用ACS服務器認證
實驗拓撲:
1.juniper防火牆配置
1.1 配置地址池
1.2配置自定義服務
![acs.1.2]( "acs.1.2")
1.3配置***
爲了便於配置***,可以首先配置默認的配置
1.4 配置策略
2. ACS服務器配置
2.1配置客戶端
2.2 配置組屬性
2.3配置用戶屬性
3. 客戶端配置
新建立一個連接,和本地客戶端配置一樣,因此,筆者不再進行過多重複。
4.測試
三、使用Windows IAS認證服務器認證
實驗拓撲:
1. juniper防火牆配置
juniper防火牆的配置和使用acs認證服務器的配置相同,筆者不再進行重複說明。
2. Windows IAS認證服務器配置
2.1配置用戶
2.2 配置客戶端
新建立一個客戶端,配置上相應的地址
2.3配置策略
新建立一個用戶訪問策略,並進行配置
2.4.1添加一個連接請求
2.4.2 編輯撥入配置文件
2.4.3 配置高級的接入配置文件
需要添加3個重要的配置屬性
(1)、添加服務類型屬性
(2)、添加幀協議屬性
(3)、添加一個nas性能支持的屬性
3.客戶端配置
新建立一個連接並進行相關屬性的配置,這是和本地驗證的客戶端配置相同的,在此,筆者就不再過多講述。
4.測試
四、總結
總體說來,l2tp的配置並不難,重點是防火牆的配置和服務器的配置。現將主要容易出錯的地方簡單說明。
4.1 防火牆配置
防火牆配置需要注意以下幾點:
1.服務器地址要指定正確,並且指定的接口,必須是防火牆與驗證服務器相連的接口
2.認證類型、包括兼容的rfc一定要勾選,避免出錯。
3.驗證的類型,不論是pap還是chap,都要和客戶端的配置保持一致。
4.策略選擇時,要注意是untrust端到目的訪問端,爲了安全,untrust端不要指定爲any,儘量選擇撥號用戶
4.2 acs服務器配置
acs服務器的配置需要注意以下幾點:
1.acs的客戶端選擇,可以是兼容模式的IETF協議,也可以是juniper的Radius認證協議,需要注意的是,如果選擇的juniper的Radius認證協議,默認情況下,juniper的組管理是不開啓的,需要在interface選項中,將juniper的組管理選項勾選。之後在組管理中進行相應的配置就可以了。
2.acs的組管理,如果是IETF的,一定要將會話限制的值控制在128之內,因爲juniper的默認會話值是128,不允許無限制,其它的配置都是可選項,可以不填寫。
4.3 IAS服務器配置
Windows的IAS服務器配置需要注意以下幾點:
1.服務器的Radius客戶端配置中要包含定義好的組和用戶。
2.服務器的策略設置中,其中使用的協議不論是pap還是chap要和防火牆的配置保持一致。
3.服務器的策略配置中的高級設置,需要添加三個協議,注意廠商代碼和數值。