用于 Windows XP 和 Windows 2000 的 L2TP/IPSec NAT-T 更新


http://support.microsoft.com/default.aspx?scid=kb;zh-cn;818043

概要

Microsoft 已经发布了一个更新程序包,以增强运行 Windows XP 或 Windows 2000 的计算机上第二层隧道协议 (L2TP) 和 Internet 协议安全 (IPSec) 的当前功能。

此更新包含对 IPSec 的改进,以更好地支持位于网络地址转换 (NAT) 设备后面的虚拟专用网络 (VPN) 客户端。如果将此更新应用于运行 Windows XP 的计算机,并且 IPSec 服务遇到运行时错误并由于某种原因而无法启动,则 IPSec 驱动程序在阻止模式下运行(原因是它无法确保网络通信的安全)。(IPSec 服务在系统服务列表中显示为“IPSEC 服务”。)
### L2TP over IPsec 配置教程 #### Cisco ASA 设备上的配置过程 对于Cisco ASA设备,在设置L2TP over IPSec时,创建用于分配给远程用户的IP地址池是一个重要环节。这通过命令`ciscoasa(config)#ip local pool l2tp-ipsec-pool 172.16.40.1-172.16.40.254 mask 255.255.255.0`来实现[^1]。 除了上述提到的地址池设定外,完整的L2TP over IPsec配置还需要完成以下几项工作: - **定义访问列表**:为了控制哪些流量可以通过IPsec隧道传输,需先建立相应的ACL(Access Control List)。例如: ```shell access-list NONAT extended permit ip any host <内部服务器IP> ``` - **配置ISAKMP策略**:这是IKEv1版本下的术语,用来协商安全参数并交换密钥材料。示例如下所示: ```shell crypto isakmp policy 10 encr aes authentication pre-share group 2 ``` - **指定预共享密钥**:确保两端设备能够互相验证身份 ```shell crypto isakmp key cisco address 0.0.0.0 0.0.0.0 ``` - **构建IPsec转换集**:指明加密算法其他保护措施 ```shell crypto ipsec transform-set MYSET esp-aes esp-sha-hmac ``` - **关联ACL与转换集到虚拟模板接口上** ```shell interface Virtual-Template1 type tunnel peer ip address <远端网关IP> outside ip unnumbered GigabitEthernet0/0 ppp encrypt mppe auto required ppp authentication ms-chap-v2 service-policy output LAN-LAN-POLICY exit crypto map OUTSIDE_MAP 1 match address NONAT crypto map OUTSIDE_MAP 1 set peer <远端网关IP> crypto map OUTSIDE_MAP 1 set transform-set MYSET ``` 以上步骤涵盖了基本的L2TP/IPsec连接所需的主要组件配置。 #### 华为eNSP防火墙上启用ICMP服务的影响 当在华为eNSP防火墙环境中执行命令 `[FW2-GigabitEthernet0/0/0]service-manage ping permit` 后,允许了来自该物理接口的数据包发送ICMP请求报文[^2]。这一操作通常是为了方便网络管理员测试连通性诊断潜在问题而采取的安全策略调整动作之一。 然而需要注意的是,虽然开放ICMP可以简化某些类型的故障排查活动,但也可能增加遭受特定类型攻击的风险;因此建议仅在网络调试期间临时开启此功能,并且严格限制可发起ping请求的目标范围。 --- ### 常见问题解决方案 针对可能出现的问题及其对应的解决办法列举如下: - 如果遇到无法成功建立L2TP会话的情况,则应检查客户端是否已正确设置了用户名密码认证信息以及所使用的域名是否匹配防火墙侧配置。 - 对于因错误配置而导致的IPsec SA (Security Association)未能正常启动的情形,应当仔细核对双方之间的IKE/IKEv2提议、DH组以及其他相关属性的一致性。 - 当发现数据流经过隧道后丢失或延迟过高时,可能是由于NAT穿越机制未被妥善处理所致——此时可通过引入UDP封装特性或是优化路径选择逻辑来进行改善。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值