Windows客户端和安奈特VPN网关的IPSec互联

Windows客户端和安奈特VPN网关的IPSec互联Page1of30ConnectingTheIPWorldWindows客户端和安奈特VPN网关的IPSec互联（适用）运行AlliedWareTM的交换机和路由器（部分）ATC-TS1009V1.02005-11-28Windows客户端和安奈特VPN网关的IPSec互联Page2of30ConnectingTheIPWorld1概述本文将主要介绍如何利用Windows（2000/XP）内置的L2tpOverIPSec配合安奈特VPN网关提供安全的远程访问VPN连接。这种远程访问主要适用于已经有安全Internet连接的小型办公室或机构，外出员工连接至Internet，能使用安全的VPN连接访问企业内部网资源。图12实施需求要求VPN网关具有至少一个合法的静态Internet公网IP地址。Windows客户端可以使用各种方式接入Internet，如modem拨号，ADSL等，但也要求具有合法的Internet公网IP地址，该地址可以为ISP动态分配。如果客户端经NAT设备接入Internet，将不能和VPN网关成功的建立IPSecTunnel。Windows客户端和安奈特VPN网关的IPSec互联Page3of30ConnectingTheIPWorld安奈特设备作为IPSecVPN网关，需要安装相应的加密卡EMAC(EncryptionMiniAcceleratorCard)或EPAC(EncryptionPCIAcceleratorCard)所有带有“S”的路由器已经内置加密卡和防火墙Featurelicense，无需额外购买。下列安奈特设备可以作为IPSecVPN网关，但需要增加相应的加密卡，启用防火墙模块需要有相应FeatureLicense。„AR300系列；„AR400系列„AR700系列；„AT-Rapier24i/Rapier16fi/8800系列交换机；所有设备中，如果使用3DES或AES加密，需要购买相应的FeatureLicense。DES在安装加密卡后已经有效。为了获得更好的性能，推荐使用AR450S/AR750S路由器作为IPSecVPN网关。3配置实例实现环境„AR450S，Softwarerelease2.6.1-06„PC运行MicrosoftWindows2000Professional,ServicePack3/MicrosoftWindowsXPProfessional,ServicePack24配置说明4.1WindowsXP客户端L2tpIPSec配置由于WindowsXP对L2tpOverIPSec的支持已经很好，IPSec认证对端节点的方式也可以在pre-sharedkey和数字证书之间方便地选择，因此不需要更改WindowsXP注册表。而且，在创建VPN网络连接时，已经有L2TPIPSecVPN类型选择，不需要再专门配置“IP安全策略”，所有的工作都可以在创建VPN网络连接时完成，极大地简化了客户端地配置。具体配置可以参考下列步骤进行：„使用连接向导，创建一个新的网络连接，选择“连接到我的工作场所的网络”连接类型。„选择VPN方式，点击“下一步”。Windows客户端和安奈特VPN网关的IPSec互联Page4of30ConnectingTheIPWorld„输入连接名称，点击“下一步”。Windows客户端和安奈特VPN网关的IPSec互联Page5of30ConnectingTheIPWorld„如果已经存在一个到Internet的拨号连接，将出现如下对话框，选择“自动拨此初始连接”，选择有效的Internet连接，点击“下一步”。注意：如果不选自动，或者使用其它方式连接Internet，则需要先建立好Internet连接，再使用VPN拨号。„输入需要连接的VPN服务器的IP地址，即为AlliedTelesynVPN网关的外部静态Internet公网地址。Windows客户端和安奈特VPN网关的IPSec互联Page6of30ConnectingTheIPWorld„完成配置。„双击打开已经创建的VPN连接，点击“属性”。Windows客户端和安奈特VPN网关的IPSec互联Page7of30ConnectingTheIPWorld„在“安全”属性页，选项“IPSec设置”。„点击选择“使用预共享的密钥作身份验证”，然后在文本框输入pre-sharedkey（预共享密钥）。注意：该pre-sharedkey要求与VPN网关配置ENCOkey中定义的vlaue相同，具体请参考本文“配置AR450S”。Windows客户端和安奈特VPN网关的IPSec互联Page8of30ConnectingTheIPWorld„在“网络”属性页，选择我所呼叫的VPN服务器类型为“L2TPIPSecVPN”。„WindowsXPVPN网络连接配置完成。4.2Windows2000客户端L2tpIPSec配置1、由于Windows2000的L2tpOverIPSec缺省使用数字证书方式认证对端节点，因此需要更改Windows2000注册表，以改为缺省采用pre-sharedkey方式的认证。„在Windows“运行”输入regedit启动注册表编辑器。„在HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters目录下增加一个新的键值。可按下列步骤进行。„右键点击Parameters目录，选择“新建”。„选择DWORD值，输入条目名ProhibitIpSec。„双击ProhibitIpSec，输入值“1”，点击确定保存。„以上配置改动，需要重新启动计算机后生效。2、配置“IP安全策略”„在“控制面板”，“管理工具”中选择“本地安全策略”。Windows客户端和安奈特VPN网关的IPSec互联Page9of30ConnectingTheIPWorld„右键点击“IP安全策略，在本地计算机”，选择“创建IP安全策略”，点击“下一步”。„输入你所创建的IP安全策略的名字，点击“下一步”。Windows客户端和安奈特VPN网关的IPSec互联Page10of30ConnectingTheIPWorld„不选“激活默认响应规则”，点击“下一步”。„点击“完成”。Windows客户端和安奈特VPN网关的IPSec互联Page11of30ConnectingTheIPWorld„出现如下对话框，选择“增加”。„出现安全规则向导，点击“下一步”。Windows客户端和安奈特VPN网关的IPSec互联Page12of30ConnectingTheIPWorld„确定选择“此规则不指定隧道”，点击“下一步”。„选择“所有网络连接”，点击“下一步”。Windows客户端和安奈特VPN网关的IPSec互联Page13of30ConnectingTheIPWorld„选择“此字符串用来保护密钥交换（预共享密钥）”，然后在文本框输入pre-sharedkey（预共享密钥），点击“下一步”。注意：该pre-sharedkey要求与VPN网关配置ENCOkey中定义的vlaue相同，具体请参考本文“配置AR450S”。„定义需要应用该IP安全策略的IP流量，点击“添加”。Windows客户端和安奈特VPN网关的IPSec互联Page14of30ConnectingTheIPWorld„输入新的IP筛选器的名字，点击“添加”。„出现IP筛选器向导，点击“下一步”。Windows客户端和安奈特VPN网关的IPSec互联Page15of30ConnectingTheIPWorld„源地址选择“我的IP地址”，点击“下一步”。„目的地址选择“一个特定的IP地址”，在IP地址栏输入AlliedTelesynVPN网关的外部静态Internet公网地址。点击“下一步”。Windows客户端和安奈特VPN网关的IPSec互联Page16of30ConnectingTheIPWorld„选择“UDP”协议类型，点击“下一步”。„选择“从此端口”，输入“1701”，点击“下一步”。Windows客户端和安奈特VPN网关的IPSec互联Page17of30ConnectingTheIPWorld„点击“下一步”，完成配置。„选择刚定义好的IP筛选器，点击“下一步”。Windows客户端和安奈特VPN网关的IPSec互联Page18of30ConnectingTheIPWorld„出现筛选器操作对话框，选择RequireSecurity，点击“下一步”。注意：选用该选项，Windows将缺省不接受任何拨入呼叫。所有到AlliedTelesynVPN网关的拨出呼叫将被IPSec加密（加密方式与VPN网关方配置需一致），具体请参考本文“配置AR450S”。„点击“完成”。Windows客户端和安奈特VPN网关的IPSec互联Page19of30ConnectingTheIPWorld„在“本地安全策略”中，右键点击刚创建的IP安全策略“ToHeadOffice”,选择“指派”。„IP安全策略配置完成。3、配置Windows2000VPN网络连接。„创建一个新的网络连接，选择VPN方式，点击“下一步”。Windows客户端和安奈特VPN网关的IPSec互联Page20of30ConnectingTheIPWorld„如果已经存在一个到Internet的拨号连接，将出现如下对话框，选择“自动拨此初始连接”，选择有效的Internet连接，点击“下一步”。注意：如果不选自动，或者使用其它方式连接Internet，则需要先建立好Internet连接，再使用VPN拨号。„输入需要连接的VPN服务器的IP地址，即为AlliedTelesynVPN网关的外部静态Internet公网地址。Windows客户端和安奈特VPN网关的IPSec互联Page21of30ConnectingTheIPWorld„点击“下一步”，选择“仅我自己使用此连接”(也可以选择“所有用户”)。„输入该VPN连接的名字，结束配置。Windows客户端和安奈特VPN网关的IPSec互联Page22of30ConnectingTheIPWorld„双击打开该VPN连接，点击“属性”。„在“网络”属性页，选择我所呼叫的VPN服务器类型为“L2TP”。„Windows2000VPN网络连接配置完成。Windows客户端和安奈特VPN网关的IPSec互联Page23of30ConnectingTheIPWorld4.3AR450S配置AR450S用作VPN网关，接收合法用户来自Internet的L2tpOverIPSec连接。1、安全模式在开始配置前，需要创建一个安全用户，启用系统安全模式。然后使用这个安全用户登陆，创建一个通用的ENCOKEY用于ISAKMP。具体操作可按照以下步骤进行：注意：配置中出现的IP地址，用户密码等信息，需要您自行替换，出现的地方将用表示。„定义安全用户，启用安全模式，使用安全用户登陆。adduser=secoffpassword=yourpasswordpriv=securityofficerenablesystemsecurityloginsecoff„产生一个ENCOKEY用于ISAKMP。createencokey=1type=generalvalue=enteryourownalphanumericstring注意：enteryourownalphanumericstring值要求与前面Windows配置中提到的“此字符串用来保护密钥交换（预共享密钥）”中的“字符串”完全相同，即用作pre-sharedkey（预共享密钥）。在开始配置之前，请确认AR450S工作在安全模式，而且使用安全用户登陆。取消安全模式，会删除所生成的KEY，IPSec将不能正常工作。完成上述配置后，注意保存配置，指定启动配置