通过

The Cable Guy - 2002年5月

  • 项目

发布者 作者:The Cable Guy

Microsoft L2TP/IPSec VPN Client概述

cable_guy

欲了解关于The Cable Guy所主持的所有专栏的列表和更多信息,请点击此处

Microsoft L2TP/IPSec VPN Client是当前处于beta测试中的一个可下载及可分发的软件,允许用户在运行以下操作系统的计算机上建立含Internet协议安全的第二层隧道协议(Layer Two Tunneling Protocol with Internet Protocol security,L2TP/IPSec)连接:

  • 附带Microsoft Internet Explorer 5.01(或更新版本)和拔号网络1.4升级版(或更新版本)的Windows 98(所有版本)

  • 附带虚拟专用网络通信组件和Microsoft Internet Explorer 5.5(或更新版本)的Windows ME

  • 附带远程访问服务(RAS)、点对点隧道协议、Service Pack 6(或更新版本)以及Microsoft Internet Explorer 5.01(或更新版本)的Windows NT Workstation 4.0

Microsoft L2TP/IPSec VPN Client安装于在具备上述配置并支持使用证书或预先共享的密钥进行IPsec主模式身份验证的计算机上。您可以在Microsoft VPN Web站点注册成为Microsoft L2TP/IPSec VPN Client beta版测试人员。

L2TP/IPSec连接是通过运行Windows 2000 Server家族成员之一的虚拟专用网(VPN)服务器或其他任何支持L2TP/IPSec连接的VPN服务器得以实现的。

**注意:**运行Windows 95(所有版本)的计算机不支持Microsoft L2TP/IPSec VPN Client。更多有关Windows 95的支持和可用性原则(家庭或商业用户)的信息,请参见Microsoft Windows 95 Web站点

本页内容

修改网络配置
配置Microsoft L2TP/IPSec VPN Client
获取证书
配置新的连接
对L2TP/IPSec连接执行故障诊断
更多信息

修改网络配置

对于运行Windows 98(所有版本)和Windows Me的计算机,Microsoft L2TP/IPSec VPN Client的安装要求对配置进行如下修改:

  • 向已安装的适配器列表添加**“Microsoft L2TP/IPSec VPN适配器”,您可以通过“控制面板”中的“网络”**组件查看该列表。

  • 向拔号网络连接的可用适配器列表添加**“Microsoft L2TP/IPSec VPN适配器 1”**。

对于运行Windows NT Workstation 4.0的计算机,Microsoft L2TP/IPSec VPN Client的安装要求对配置进行如下修改:

  • 向远程访问的设备列表添加**“RASL2TPM”,您可以在“远程访问设置”**对话框中看到这个列表。

  • 向对“拔号网络连接”中的电话簿条目的可用设备列表添加**“RASL2TPM (VPNx)”**。

配置Microsoft L2TP/IPSec VPN Client

如要手动配置Microsoft L2TP/IPSec VPN Client,请执行以下步骤:

  1. 单击**“开始”,指向“程序”,再指向“Microsoft IPSec VPN”,然后单击“Microsoft IPSec VPN配置”**。

  2. 在**“Microsoft IPSec VPN配置实用程序”**对话框中,为您的L2TP/IPSec部署选择适当的选项。

  3. 单击**“确定”**。

“Microsoft IPSec VPN配置实用程序”允许您配置以下选项:

  • 是否要自动选择一个证书执行IPsec身份验证(默认选定)。

  • 是否要使用特定的证书执行IPsec身份验证。您可以使用附加的**“Microsoft IPSec VPN证书选择”**对话框,查看计算机上已安装的所有证书,查看每个证书的详细信息,并选择一个证书。

  • 是否同时对IPsec身份验证和预共享的密钥文本使用预共享的密钥。

  • 是否要记录IPsec安全性建立过程的详细信息(默认启用)。

下图显示了Microsoft IPSec VPN配置实用程序和Microsoft L2TP/IPSec VPN Client的默认配置。

获取证书

具有Microsoft L2TP/IPSec VPN Client的计算机能够通过以下方式获取证书以对L2TP/IPSec VPN连接执行基于证书的身份验证:

  • 使用Internet Explorer导入证书文件。

    证书文件可以针对每个用户单独创建和分发。或者,您可以向所有用户分发单个证书文件。对一组用户使用单个证书称为群体证书(group certificate),这是最不安全的证书部署,因为获得证书文件的每个人都能使用它对该连接的IPSec区域执行成功的身份验证。这并不意味着他们能够获得对您的网络的访问权。具有未经授权的证书的用户还必须提供合法的用户名和密码才能连接和访问您的网络。

    要在Internet Explorer中导入证书文件,请启动Internet Explorer,单击**“工具”,然后单击“Internet选项”。在“Internet选项”对话框中,单击“内容”选项卡,然后单击“证书”。在“证书”对话框中,单击“导入”**,然后依照“证书导入向导”中的指示操作。

  • 使用Internet Explorer和Web注册向认证中心(certification authority,CA)请求证书。

    如果您在使用支持Web证书注册的CA,请使用Internet Explorer向该CA请求证书。对于运行Microsoft Windows 2000和证书服务(Certificate Service)的CA,请使用地址http://ComputerName/certsrv,其中ComputerName是CA计算机的名称。CA计算机可能会提示您提供Windows域凭证。键入这个证书的相应用户名的凭证集,再单击**“确定”**,然后依照Web页面上的指示向CA请求一个用户证书。如果没有提示您提供Windows域凭证,那么证书中记录的用户名将基于您当前用来登录的凭证(除非存在一个通过一组不同的凭证所建立的对CA计算机的单独连接)。

在安装证书之后,您可以在Internet Explorer中的**“证书”对话框中进行查看(单击“工具”,单击“Internet选项”,单击“内容”,然后单击“证书”**)。

您还可以在**“Microsoft IPSec VPN证书选择”对话框中查看它们(在“Microsoft IPSec VPN配置实用程序”中单击“选择证”书**)。使用Microsoft IPSec VPN配置实用程序,您可以通过配置Microsoft L2TP/IPSec VPN Client,自动选择一个已安装的证书(默认设置),或者您可以在**“Microsoft IPSec VPN证书选择”**对话框中选择某个特定的证书。

配置新的连接

在安装和配置Microsoft L2TP/IPSec VPN Client之后,必须在“拔号网络连接”文件夹中创建一个网络连接。这可以手动执行,或者使用Windows Server 2003家族成员的Beta 3版所提供的“连接管理器管理工具包(CMAK)”来完成。有关CMAK的更多信息,请参见运行Windows Server 2003(Beta 3)的服务器上的“帮助和支持中心”。

手动配置新的连接

要在Windows 98(所有版本)和Windows Me的“拔号网络”文件夹中配置一个连接,请执行以下步骤:

  1. 单击**“开始”,指向“程序”,指向“附件”,在指向“通讯”,然后单击“拔号网络”**。

  2. 双击**“创建一个新的连接”**,然后键入该连接的名称。

  3. 在**“选择一个设备”中,单击“Microsoft L2TP/IPSec VPN适配器 1”,然后单击“下一步”**。

  4. 在**“主机名称或IP地址”中,键入您想要连接的VPN服务器的域名系统(DNS)名称或IP地址,然后单击“下一步”**。

  5. 单击**“完成”**。

要在Windows NT Workstation 4.0的“拔号网络”文件夹中手动配置一个连接,请执行以下步骤:

  1. 单击**“开始”,指向“程序”,指向“附件”,然后单击“拔号网络”**。

  2. 单击**“新建”**。

  3. 执行以下步骤之一:

    • 如果“拔号网络”被配置为使用向导创建新的电话簿条目:

      • “命名新的电话簿条目”,键入连接的名称,然后单击**“下一步”**。

      • “服务器”窗格,清除已选中的所有复选框,然后单击“下一步”

      • “选择此条目所要使用的调制解调器”,单击**“RASL2TPM (VPNx)”,然后单击“下一步”**。

      • “电话号码”,键入您想要连接到的VPN服务器的IP地址,然后单击**“下一步”**。

      • “完成”

    • 如果“拔号网络”没有被配置为使用向导来创建新的电话簿条目:

      • “新建电话簿条目”对话框,在“常规选项卡上,在 **“条目名称”**中键入电话簿条目的名称。

      • “电话号码”,键入您想要连接到的VPN服务器的IP地址

      • “拔号所使用的端口”,单击**“RASL2TPM (VPNx)”**端口。

      • “确认”

对L2TP/IPSec连接执行故障诊断

在协商IPsec安全关联(security association,SA)或PPP连接时,L2TP/IPSec连接很可能会失败。

对IPSec SA协商执行故障诊断

IPSec SA协商包括:

  1. 主模式协商

    通过交换加密密钥衍生信息创建主模式SA,确定未来主模式数据包的安全性,以及对IPSec对等方进行身份验证。

  2. 快速模式协商

    通过确定IPSec对等方之间发送的数据的安全性来创建快速模式SA。

不能建立IPSec SA很可能是因为主模式SA协商失败而导致的,SA协商失败的原因有:

  • 计算机证书配置不当或丢失。

  • 预共享的密钥配置不当或丢失。

对于安装了Microsoft L2TP/IPSec VPN Client的计算机,Isakmp.log是一个存储在SystemDrive\Program Files\Microsoft IPSec VPN Client文件夹中的基于文本的日志文件,其包含您每次尝试建立L2TP/IPSec连接时的IPSec身份验证和安全关联协商的详细信息。

Isakmp.log文件是在您选择Microsoft IPSec VPN配置实用程序中的**“启用IPSec日志记录”**复选框时创建的。如果当您启用IPSec日志记录时,Isakmp.log文件已经存在,那么新的日志条目将添加到现有文件的末尾。在安装了Microsoft L2TP/IPSec VPN Client的计算机上,Isakmp.log是用于诊断IPSec相关的连接故障的主要工具。

对PPP连接协商执行故障诊断

L2TP连接的PPP连接协商包括以下几个阶段:

  1. 通过链路控制协议(Link Control Protocol,LCP)执行的PPP链路协商

  2. 对尝试连接的用户执行身份验证

  3. 使用PPP网络控制协议(NCP)对诸如TCP/IP的局域网协议进行协商和配置

对于安装了Microsoft L2TP/IPSec VPN Client的计算机,PPP日志可用于获取关于PPP连接协商信息的主要诊断工具。对于运行Windows 98(所有版本)和Windows Me的计算机,您可以通过以下步骤启用PPP日志记录:

  1. 单击**“开始”,指向“设置”,指向“控制面板”,然后双击“网络”**。

  2. 在**“配置”选项卡上,单击“拔号适配器”组件,然后单击“属性”**。

  3. 单击**“高级”**选项卡。

  4. 在**“属性”下面,单击“记录一个日志文件**。

  5. 在**“值”中,单击“是”**。

  6. 单击**“确定”**,保存所作的更改,并在得到提示时重新启动计算机。

在启用PPP日志之后,PPP连接协商信息就会写入Ppplog.txt文件,这个文件存储在Windir文件夹里。

对于运行Windows NT Workstation 4.0的计算机,您可以将注册表值HKEY_LOCAL_MACHINE

SYSTEM\CurrentControlSet\Services\RasMan\PPP\Logging设置为12REG_DWORD类型)。 值1将启用常规的PPP日志记录。值2将启用详细的日志记录。当启用PPP日志记录时,PPP连接协商信息将写如Ppp.log文件,这个文件存储在Systemroot\System32\Ras文件夹里。

更多信息

关于Windows 2000中的Microsoft L2TP/IPSec VPN Client和L2TP/IPSec支持的更多信息,请参考以下资源:

如对本专栏的内容有任何疑问或想发表反馈信息,请致信Microsoft TechNet

欲了解关于The Cable Guy所主持的所有专栏的列表和更多信息,请点击此处