L2TP VPN和PPTP VPN在用途和工作方式上几乎都是相同的,都是用在没有能够支持VPN功能路由器的家庭网络、出差在外的没有使用路由器就接入Internet的移动办公人员。
L2TP VPN的隧道也是在二层实现的,它结合了两个隧道协议的特性:
Cisco的 Layer 2 Forwarding (L2F)
Microsoft的Point-to-Point Tunneling Protocol (PPTP)
但这些隧道协议只是实现隧道而已,无法保证数据安全,所以利用IPsec来保护数据更为理想。
如果将L2TP结合IPsec来使用,则称为L2TP over IPsec,但通常我们在路由器上都不配置IPsec,由于L2TP不仅支持路由器,同时还支持PIX防火墙和ASA防火墙,但在防火墙上必须同时使用L2TP和IPsec,不能单独使用L2TP,所以我们在防火墙上总是配置L2TP over IPsec。注:
★L2TP使用UDP 端口号1701。
★防火墙上必须同时使用L2TP和IPsec,不能单独使用L2TP,所以我们在防火墙上总是配置L2TP over IPsec。
★PIX 防火墙支持L2TP和IPsec的软件版本为6.x 或更高的版本,并且在防火墙中只支持default tunnel group 以及default group policy。
★在配置L2TP over IPsec时,IPsec 应该配置为transport mode。
★当在路由器上配置L2TP时,需要在Windows的PC上添加相项注册表项,添加的方法为: ★在“运行”栏输入“regedit”打开注册表,
★进到目录HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters ★右健新建DWORD 值,重命名为:ProhibitIpSec,然后将数值数据改为1,
★添加完后并重启电脑。
也可通过本站下载注册表文件直接运行后修改L2TP VPN相关键值,下载地址如下:http://www.china-ccie.com/tech/vpn/l2tp.rar
当配置L2TP over IPsec 时,在Windows 2000上需要添加该注册表项,Windows XP则不需要,当使用ASA时,添不添加都没关系,但如果在连接时出现“错误800”的提示时,请删除该注册表项,所以也需要以自身实际情况为主;其它系统也请以实际为主