LINUX系统VPN(L2TP+IPsec)模块移植 ——L2TP模块设计-毕业论文

本科毕业论文（科研训练、毕业设计）题 目：LINUX系统VPN(L2TP+IPsec)模块移植L2TP模块设计姓 名：学 院：软件学院系：软件工程 专 业：软件工程年 级： 学 号： 指导教师： 职称： 年 月V摘 要虚拟专用网被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。虚拟专用网包括远程访问虚拟专网、企业内部虚拟专网和扩展型企业内部虚拟专网。第二层隧道协议是一种工业标准的Internet隧道协议，要求面向数据包的点对点连接，使用多隧道，提供包头压缩、隧道验证，从而实现对网络数据流的加密。第二层隧道协议使用以下两种信息类型，即控制信息和数据信息。控制信息用于隧道和呼叫的建立、维持和清除。数据信息用于封装隧道所携带的 PPP 帧。控制信息利用第二层隧道协议中的一个可靠控制通道来确保发送。当发生包丢失时，不转发数据信息。本文详细介绍了第二层隧道协议的原理、特点、结构、在堆栈中的位置、隧道的建立，维护和拆除以及它在虚拟专用网上的应用。同时具体介绍了虚拟机中Linux系统的安装，与宿主Window XP的文件共享，一些基本的指令操作和Linux下运用第二层隧道协议建立虚拟专用网的相关知识。在本文的最后介绍了CLinux系统以及相关的移植。关键词：虚拟专用网 第二层隧道协议 Linux系统 CLINUX系统AbstractVirtual Private Network is defined as through a public network (usually the Internet) to establish a temporary, secure connection, is a public network through the chaos of the security, stability of the tunnel. Virtual Private Network is the expansion of enterprise networks. Virtual Private Network can help remote users, the company offices, business partners and suppliers with the companys internal network linking the establishment of credible security, and to guarantee the security of data transmission. Virtual Private Network can be used for the growing global mobile users Internet access, in order to achieve a secure connection; corporate Web site can be used to achieve secure communications between the virtual private lines, for cost-effective to connect users to business partners and the safety of the interconnection Virtual Private Network. Virtual private network, including Access VPN，Intranet VPN and Extranet VPN.The Layer 2 Tunneling Protocol is a tunnel of the industry standard Internet Protocol tunnel for packet-oriented peer-to-peer connection, the use of multi-Tunnel, providing header compression, the tunnel verification, thus realizing the flow of network data encryption. The Layer 2 Tunneling Protocol using the following two types of information, control information and data information. Control information and call for the establishment of the tunnel, maintenance and removal. Data used for the tunnel package carried by the PPP frame. Control information using the second tunnel in the agreement a reliable channel to ensure that sent control. When a packet lost, do not transmit data.This paper describes the Layer 2 Tunneling Protocols principle, characteristics, structure, the position of the stack, the establishment of the tunnel, maintenance and removal and its Virtual Private Network applications. At the same time introduced the Linux system installed in a specific virtual machine, and the file-sharing with the host Window XP, some of the basic operating instructions and the use of Linux under the Layer 2 Protocol create a virtual private network of knowledge. In the last of this paper describes the CLINUX system and the related transplant.Key Words: Virtual Private Network Layer 2 Tunneling Protocol Linux System CLinux System目录第一章 引言1第二章 关于VPN22.1 VPN简介22.2 VPN网络的结构32.2.1 远程访问虚拟专网32.2.2 企业内部虚拟网42.2.3 扩展型企业内部虚拟网42.3 VPN协议的分类5第三章 关于L2TP63.1 L2TP简介63.2 L2TP协议结构73.3 L2TP协议在TCP/IP协议栈中的位置93.4 L2TP的网络构成103.5 L2TP建立、维护、拆除过程113.5.1 L2TP建立过程113.5.2 L2TP维护过程113.5.3 L2TP拆除过程12第四章 Linux系统VPN（L2TP）模块124.1在VMware下安装Linux124.1.1安装VMware虚拟器124.1.2安装Linux系统134.2 实现在VMware下Linux 共享Windows XP中的l2tpd-069包154.3实现在VMware下Linux和宿主Windows XP通信174.3.1 Linux server配置174.3.2 Windows Client配置204.4相关知识介绍204.4.1监听地址参数204.4.2 26sec214.4.3 VPN的选择224.4.4带L2TP的IPsec的优势和劣势234.4.5动态用户支持25第五章 CLinux系统移植285.1CLinux系统简介285.1.1Clinux的发展及特点285.1.2 Clinux操作系统的核心技术环节剖析295.1.3 CLinux下的系统开发环境305.2实现到无线路由器CLinux系统的移植32第六章 总结36致谢37参考文献38附录40ContentsChapter1 Introduction1Chapter2 About VPN22.1 VPN Profile22.2 VPN network structure32.2.1 Access VPN32.2.2 Intranet VPN42.2.3 Extranet VPN42.3 VPN Protocol Categories5Chapter3 About L2TP63.1 L2TP Profile63.2L2TP network structure73.3 L2TP protocols position in the TCP / IP protocol stack93.4 L2TP network constitutes103.5 L2TP establishment, maintenance and removal process113.5.1 L2TP establishment process113.5.2 L2TP maintenance process113.5.3 L2TP removal process12Chapter4 Linux System VPN（L2TP）Module124.1 Install Linux in the VMware124.1.1 Install VMware124.1.2 Install Linux System134.2 Share the l2tpd-069 packet between Linux under VMware and Windows XP154.3 Communicate between Linux under VMware and Windows XP 174.3.1 Linux Server Configuration174.3.2 Windows Client Configuration204.4 Related knowledge introduction204.4.1 Monitoring parameters address204.4.2 26sec214.4.3 Choices of VPN224.4.4 the advantages and disadvabtages of IPsec with L2TP234.4.5 Road Warrior Support25Chapter5 CLinux System Transplant285.1CLinux System Profile285.1.1 Clinuxs develepment and features285.1.2Analysis of Clinux Operating Systems core technology295.1.3 CLinuxs system development enviroment305.2CLINUX System Transplant to the Wireless Router32Chapter 6 Summary36Acknowledgements37References38Supplements4039第一章 引言随着Internet的爆炸性发展，每个企业都在思考：“利用Internet能为我们的企业作哪些事呢？”。最初，企业做自己的网站，允许人们在Internet上访问，从而进行企业形象的宣传、促销、培训、技术支持等等。现在，Internet的潜力似乎是无穷无尽的，大家的目光开始转向电子商务，利用全球可以方便上网访问的Internet，使得授权用户可以容易的访问到企业内部传统的IT系统中的关键商务程序及数据。为了得到安全保障，VPN提供了非常节省费用的解决方案。如下图所示，出差员工可以利用便携机在内的任何一台可以访问Internet的计算机，通过VPN隧道访问企业内部网络，企业内部可以对该用户进行授权、验证和审计；合作伙伴和分支机构也可以通过VPN组建私有网络，代替传统的昂贵的专线方式，而且具有同样的甚至更高的安全性。虚拟私有网实际上就是将Internet看作一种公有数据网（Public Data Network），这种公有网和PSTN网在数据传输上没有本质的区别。因为从用户观点来看，数据都被正确传送到了目的地。相对地，企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为为私有网。至于“虚拟”，则主要是相对现存企业Intranet的组建方式而言的。通常企业Intranet相距较远的各局域网都是用专用物理线路相连的，而虚拟私有网通过隧道技术提供Internet上的虚拟链路。在现代社会，信息已经是一个企业能否生存的关键，计算机网络为企业的办公自动化和信息的获取提供强大的构架。随着企业的发展以及移动用户的增多，企业为分支机构提供互连，也为移动用户提供接入功能。预测在不久将有90的企业采用VPN技术来组建私有网。L2TP协议是由IETF起草，微软、Ascend、Cisco、3COM等公司参与制定的二层隧道协议，它结合了PPTP和L2F两种二层隧道协议的优点，为众多公司所接受，已经成为IETF有关2层通道协议的工业标准。第二章 关于VPN2.1 VPN简介VPN的英文全称是“Virtual Private Network”，即“虚拟专用网”。虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全的、稳定的隧道。虚拟专用网是对企业内部的扩展，它可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN提供了非常节省费用的方案。员工出差可以利用便携机在内的任何一台可以访问Internet的计算机，通过VPN隧道访问企业内部网络，企业内部可以对该用户急性授权、验证和审计；合作伙伴和分支机构也可以通过VPN组件私有网络。代替传统的昂贵的专线方式，而且具有同样甚至更高的安全性。私有虚拟网实际上就是将Internet看作是一种共有数据网（Public Data Network），这种公有网和PSTN网（Public Switched Telephone Network-公有电话交换网）在数据传输上没有本质的区别。因为从用户观点来看，数据都被正确传送到了目的地。相对地，企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为私有网。至于“虚拟”，则主要相对于现存企业Intranet的组建方式而言的。通常企业Intranet相距较远的各局域网都是用专用物理线路相连的，而虚拟私有网通过隧道技术提供Intranet上的虚拟链路。在现代社会，信息是企业能否生存的关键计算机网络为企业的办公自动化和信息的获取提供了强大的构架。随着企业的发展以及移动用户的增加，企业为分支机构提供互联，也会移动用户提供接入功能。目前已有90%以上的企业采用VPN技术来组建虚拟网。2.2 VPN网络的结构 根据网络结构和应用的不同，VPN可以分为三类，分别为：远程访问虚拟专网（Access VPN/也叫VPDN）、企业内部虚拟专网（Intranet VPN）和扩展型企业内部虚拟专网（Extranet VPN），下面也他们的拓扑结构来说明。2.2.1 远程访问虚拟专网图2-1 远程访问虚拟专用网结构图远程访问虚拟专网又称VPDN（Virtual Private Dialup Network），这种方式的VPN解决了出差员工在异地访问企业内部私有网的问题，提供了身份验证授权和计费的功能，出差员工和外地客户甚至不必拥有本地ISP的上网权限就可以访问企业内部资源，原因是客户端直接与企业内部建立了VPN隧道，这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。企业开设VPN服务所需的设备很少，只需在资源共享处放置一台支持VPN的路由器就可以了，资源共享者通过PSTN连入所在地NAS服务器后直接呼叫企业的VPN路由器，呼叫的方式和拥有PSTN的连接的呼叫方式完全是一样的，只需按当地的电话收费标准交付费用。当然也可以是ADSL的接入方式，情况是一样的。2.2.2 企业内部虚拟网图2-2 企业内部虚拟网结构图Intranet VPN是适应大中型企业和其他在地域上分布不用的机构设置的网络。通过Intranet VPN隧道，企业内部各个机构很好地交流信息，通过Internet在公司企业总部和国内外的企业分支机构建立了虚拟私有网络，这种应用实质上是通过公用网在各个路由器之间建立VPN连接来传输用户的私有网络数据。目前大多数的企业VPN都是这种情况。2.2.3 扩展型企业内部虚拟网 图2-3 扩展型企业内部虚拟网结构图 这种情况和Access VPN在硬件结构上非常相像，不过客户端PC上不必配置任何关于VPN的设置或者软件，它需要做的就是拨号上网连接到NAS，而VPN隧道是由NAS来负责与企业内部的Router建立完成的。2.3 VPN协议的分类 在VPN的应用结构中，核心内容就是在合适的位置建立隧道，所以VPN协议是指用于实现隧道的协议，这些协议都是在隧道的起点对原始报文进行封装然后在隧道终点进行解封装再得到原始报文，从而达到隧道传输的目的。常见的VPN协议根据层次来划分有：二层隧道协议L2TP、PPTP；三层隧道协议IPSEC、GRE等。同时，MPLS/VPN也逐渐成熟起来，尤其是在电信骨干网上面应用非常广泛。第三章 关于L2TP3.1 L2TP简介L2TP的英文全称是“Layer 2 Tunneling Protocol ”，即“第二层隧道协议”，该协议是一种工业标准的Internet隧道协议，要求面向数据包的点对点连接，使用多隧道，提供包头压缩、隧道验证，从而实现对网络数据流的加密。L2TP 使用以下两种信息类型，即控制信息和数据信息。控制信息用于隧道和呼叫的建立、维持和清除。数据信息用于封装隧道所携带的 PPP 帧。控制信息利用 L2TP 中的一个可靠控制通道来确保发送。当发生包丢失时，不转发数据信息。主要应用：第二层隧道协议（L2TP）是用来整合多协议拨号服务至现有的因特网服务提供商点。 PPP 定义了多协议跨越第二层点对点链接的一个封装机制。特别地，用户通过使用众多技术之一（如：拨号 POTS、ISDN、ADSL 等）获得第二层连接到网络访问服务器（NAS），然后在此连接上运行 PPP。在这样的配置中，第二层终端点和 PPP 会话终点处于相同的物理设备中（如：NAS）。 L2TP 扩展了 PPP 模型，允许第二层和 PPP 终点处于不同的由包交换网络相互连接的设备中。通过 L2TP，用户在第二层连接到一个访问集中器（如：调制解调器池、ADSL DSLAM 等），然后这个集中器将单独的 PPP 帧隧道到 NAS。这样，可以把 PPP 包的实际处理过程与 L2 连接的终点分离开来。 对于这样的分离，其明显的一个好处是，L2 连接可以在一个（本地）电路集中器上终止，然后通过共享网络如帧中继电路或英特网扩展逻辑 PPP 会话，而不用在 NAS 上终止。从用户角度看，直接在 NAS 上终止 L2 连接与使用 L2TP 没有什么功能上的区别。L2TP 协议也用来解决“多连接联选组分离”问题。多链接 PPP，一般用来集中 ISDN B 通道，需要构成多链接捆绑的所有通道在一个单网络访问服务器（NAS）上组合。因为 L2TP 使得 PPP 会话可以出现在接收会话的物理点之外的位置，它用来使所有的通道出现在单个的 NAS 上，并允许多链接操作，即使是在物理呼叫分散在不同物理位置的 NAS 上的情况下。主要特点：1.L2TP适合单个或少数用户接入企业的情况，其点到网连接的特性是其承载协议PPP所约定的。2.由于L2TP对私有网的数据包进行了封装，因此在Internet上传输数据时对数据包的网络地址是透明的，并支持接入用户的内部动态地址分配。3.与PPP模块配合，支持本地和远端的AAA（认证、授权和计费），对用户的接入也可根据需要采用用户名，用户域名和用户拨入的特殊服务号码来识别是否为VPN用户。4.对数据报文的安全性可采用IPSEC协议采用，采用该协议即可以在用户发往Internet之前对数据报文加密，用户控制方式也可采用在VPN系统LAC侧加密即服务提供商控制方式。5.对于拨号用户可以配置相应的VPN拨号软件，发起由用户直接对企业私有网的连接，这样用户在上网时可以灵活选择是否需要VPN服务。3.2 L2TP协议结构121632bitTLXXSXOPXXXXVerLengthTunnel IDSession IDNs（opt）Nr（opt）Offset Size（opt）Offset Pad（opt）表3-1 L2TP协议结构TT位表示信息类型。若是数据信息，该值为0；若是控制信息，该值为1。L 当设置该字段时，说明Length字段存在，表示接收数据包的总长。对于控制信息，必须设置该值。XX位为将来扩张预留使用。在导出信息中所有预留位被设置为0，导入信息中该值忽略。S 如果设置S位，那么Nr字段和Ns字段都存在。对于控制信息，S位必须设置。O 当设置该字段时，表示在有效负载信息中存在Offset Size字段。对于控制信息，该字段设置为0。P 如果Priority（P）位值为1，表示该数据信息在其本地排队和传输中将会得到优先处理。VerVer位的值总为002。它表示一个版本1 L2TP信息。Length信息总长，包括头、信息类型AVP以及另外的与特定控制信息类型相关的AVPs。Tunnel ID识别控制信息应用的Tunnel。如果对等结构还没有接收到分配的Tunnel ID，那么Tunnel ID必须设置为0。一旦接收到分配的Tunnel ID，所有更远的数据包必须和Tunnel ID一起被发送。Call ID识别控制信息应用的Tunnel中的用户会话。如果控制信息在Tunnel中不应用单用户会话（Stop-Control-Connection-Notification信息），Call ID必须设置为0。Nr 期望在下一个控制信息中接收到的序列号。Ns 数据或控制信息的序列号。Offset Size&Pad 该字段规定通过L2F协议头的字节数，协议头是有有效负载数据起始位置。Offset Pad中的实际数据并没有定义。如果Offset字段当前存在，那么L2TP头Offset Pad在最后八位字节后结束。3.3 L2TP协议在TCP/IP协议栈中的位置图3-1 L2TP协议在整个TCP/IP层次结构中的位置图3-1说明了L2TP协议在整个TCP/IP层次结构中的位置，也指明了IP数据包在传输过程中所经历的协议结构和封装过程。我们以一个用户侧的IP报文的传递过程来描述VPN工作原理，黄色标示的IP为需要传递的用户数据。在LAC侧链路层将用户数据作为报文加上PPP封装，然后传递给L2TP协议，L2TP再封装成UDP报文，UDP再次封装成可以在Internet上传输的IP报文，此时的结果就是IP报文中又有IP报文，但两个IP地址不同，一般用户报文的IP地址是私有地址，而LAC上的IP地址为公有地址，至此完成了VPN的私有数据封装。在LNS侧，收到L2TP/VPN的IP报文后将IP、UDP、L2TP报文头去掉后就恢复了用户的PPP报文，将PPP报文头去掉就可以得到IP报文，至此用户IP数据报文得到。从而实现了IP数据的透明隧道传输，而整个PPP报头/报文在传递的过程中也保持未变，这也验证了L2TP是一个二层VPN隧道协议。3.4 L2TP的网络构成图3-2 L2TP网络构成这个图不仅描述了L2TP三种常见的构建模式，而且也指出了组建L2TP网络需要的三要素：LNS、LAC和Client。LNSL2TP Network Service，为L2TP企业侧的VPN服务器，该服务器完成对用户的最终授权和认证，接受来自LAC隧道和连接请求，并建立连接LNS和用户的PPP通道。LACL2TP Access Concentrator，为L2TP的接入设备，它提供各种用户接入的AAA服务，发起隧道和会话连接的功能，以及对VPN用户的代理认证功能，它是ISP侧提供VPN服务的接入设备，在物理实现上，它既可以是配置L2TP的路由器或接入服务器，也可以是专用的VPN服务器。3.5 L2TP建立、维护、拆除过程3.5.1 L2TP建立过程图3-3 L2TP建立过程L2TP隧道的建立是一个三次握手的过程，首先由LAC发起隧道请求SCCRQ，LNS收到请求后进行应答SCCRP，最后LAC在收到应答后再给LNS返回确认SCCCN，隧道建立。会话建立的过程与隧道类似，首先由LAC发起会话建立请求ICRQ，LNS收到请求后返回应答ICRP，LAC收到应答后返回确认ICCN，会话建立。L2TP的会话建立由PPP触发，隧道建立由会话触发。由于多个会话可以复用在一条隧道上，如果会话建立前隧道已经建立，则隧道不用重新建立。3.5.2 L2TP维护过程隧道建立后，一直要等到该隧道所属会话全部下线后，再进行拆除，为了确认对端的隧道结构依然存在，需要定时发送与对端的维护报文，其流程为：LAC或LNS发出Hello报文，对应的LNS或LAC发出确认信息。图3-4 L2TP维护过程3.5.3 L2TP拆除过程图3-5 L2TP拆除过程隧道的拆除过程比其建立过程要简单，隧道的任何一端发出拆链通知StopCCN，对端返回确认信息ZLB；会话的拆除流程为：会话一端发出拆链通知CDN，对端返回确认信息ZLB即可。第四章 Linux系统VPN（L2TP）模块4.1在VMware下安装Linux4.1.1安装VMware虚拟器1.下载VMware虚拟器安装包，以我为例，版本号为VMware-workstation-5.5.1-19175。2.双击.exe文件安装，单击next，选择Yes, I accept the terms in the license agreement。3.选择安装路径，如E：VMwareVMware WorkStation，单击OK创建之。4.一直单击NEXT，直到单击Install开始安装。5. 出现Serial Number输入画面时输入序列号XLWPN-W476D-68NDF-5PTX3。6. 单击Finish完成安装。4.1.2安装Linux系统1.下载Linux系统安装包，本人使用的是RedHat9.0版本（虚拟光盘版，有三个ISO文件）。2. 在启动VMware虚拟机前先装上虚拟光盘，方法是：1）在VMware窗口选择VM菜单下面的Settings按钮。2）在弹出的Hardware界面里选择CD-ROM（IDE 1:0）。3）在右边Use ISO image选项下按“Browse”，选择下载好的3个光盘文件中的第一个（这里默认的是下载三个文件中的第三个，看不到前面两个，选择显示All files（*），就可以选择第一个），然后按“OK”。 图4-1 虚拟机设置图4-2 Linux虚拟景象选择3.启动虚拟机，单击“startthisvirtualmachine”命令，按OK，VMware的窗口里就出现了虚拟机启动的画面。要注意的是光标在XP界面和VMware界面间的切换方法。光标从XP到VMware，只要在VMware窗口上点鼠标即可。从VMWARE回到XP，则要按CTRL+ALT。 4.RedHat的光盘自动进入安装程序的界面，选择不要测光驱，具体方法是：在VMWARE窗口上按一下鼠标，再按键盘上的右箭头键，然后回车。 5.在选择语言鼠标等之后，安装程序问是否要自动分区（AotumaticPartitioning)，直接点“Next”。下一个界面中有关于AotumaticPartitioning的3种选择，选择第3个“保持所有分区并使用已有的未使用空间”（keepallpartitionsanduseexistingfreespace)，然后点击NEXT。 6.选择系统时间之后，安装程序要求设置root(administrator)密码，中文直译是根（管理员）密码。设好后，连点几个“NEXT”，就开始安装了。 7.一段安装过后，安装程序提示换第二张光盘，用第2步中提到的同样方法，按“Browse”，选你下载好的3个光盘文件中的第二个，按OK，再到VMware窗口中按OK，就完成了换第二张盘的工作。 8.在提示换第三张盘时，同样方法换第三张盘。 9.第三张读完后，系统问是否做启动盘，选择不做，然后就是显卡设置之类的，选择默认。最后选一个“EXIT”，VMware内系统重启。 9。重启后，系统提示你可以开一个个人帐号（personalaccount）和密码。注意，虽然这里不设置帐号也能过，但实际上是不行的，你必须在这里起一个户名和密码，因为再启动时你必须提供个人帐号和密码，否则不给你开机。然后是选日期和试听声卡。然后问是否注册，选NO。接着问有无附加安装，选择不装，接着按“FORWARD”。VMware内系统重启。这样，VMware虚拟器下的Linux系统就算安装完成了。4.2 实现在VMware下Linux 共享Windows XP中的l2tpd-069包具体步骤：1.首先要在VMware中安装VMware Tools工具，这是实现共享文件夹的前提。以root用户登录Linux系统，在终端中运行ls /mnt/cdrom进入/mnt/cdrom目录，执行命令tar zxvf VMwaretools-5.5.1-19175.tar.gz C $HOME。再运行 cd /进入根目录，接着运行ls /VMwaretools进入VMwaretools目录，然后执行./VMTools-install.pl。在配置过程中还会出现Please choose one of the following display sizes（1-13）：1 640x4802 800x6003 1024x7684 1152x8645 1280x8006 1152x9007 1280x10248 1376x10329 1400x105010 1680x105011 1600x120012 1920x120013 2364x1773Please enter a number between 1 and 13:在这里我们输入3(也就是选择1024768分辨率)，这样VMware Tools就安装好了，此时会发现我们可以在VMware下的Linux系统和宿主Windows XP之间自由切换界面。2. 在宿主Windows XP中建立一个目录，例如：D:sharelinux。3. 点击VMware Workstation菜单:VM -settings,然后选择Options, 可以在窗口的左半部分看到Shared Folders这么一项，如果你以前没有设置过，应该是Disabled。4. 在第二步弹出的窗口中右边选择：Always enabled，然后单击Add按钮，启动Add Shared Folder Wizard，单击next按钮，在name栏输入在Linux建立的目录名，这里我们输入share，在Host floder栏点击Browse按钮选择我们在Windows XP上建立的目录，这里选择：D:sharelinux，然后点击下一步，在接下来的窗口中选中Enable this share选项，然后点击Finish按钮完成配置。5. 终端中运行ls /mnt，可以看到一个目录：hgfs，然后运行：ls /mnt/hgfs 可以看到我们在第三步指定的Linux下的目录名share，表示配置成功，我们可以在Linux中在/mnt/hgfs/share目录下看到宿主Window中的共享目录 (D:sharelinux) 里的文件即l2tpd-0.69.tar.gz文件。4.3实现在VMware下Linux和宿主Windows XP通信4.3.1 Linux server配置将从宿主Windows XP中共享来的l2tpd-0.69.tar.gz放到所希望安装的目录下（以在/tmp/目录下为例）。1.解压安装包命令为：tar zxvf l2tpd-0.69.tar.gz,此时会产生一个l2tpd-0.69的文件包。在当前目录下执行make编译命令，在/tmp/l2tpd-0.69下产生可执行文件l2tpd。2.创建l2tpd的配置文件 mkdir /etc/l2tp ；在etc下创建l2tp文件夹cp /tmp/l2tpd-0.69/doc/l2tpd.conf.sample /etc/l2tp/l2tpd.conf cp /tmp/l2tpd-0.69/doc/l2tp-secrets.sample /etc/l2tp/l2tp-secrets；cp /etc/ppp/options /etc/ppp/options.l2tp；在/etc/ppp/目录下复制options文件并重命名为options.l2tp3.使用到的vi命令vi filename :打开或新建文件，并将光标置于第一行首l或space：光标右移一个字符 h或Backspace：光标左移一个字符k或Ctrl+p：光标上移一行 j或Ctrl+n ：光标下移一行Ctrl+f：向文件尾翻一屏 Ctrlb：向文件首翻一屏i ：在光标前插入文本类命令a：光标后插入文本类命令r：替换当前字符R：替换当前字符及其后的字符，直至按ESC键 s：从当前光标位置处开始，以输入的文本替代指定数目的字符 S：删除指定数目的行，并以所输入文本代替之4.配置文件说明在Linux终端中执行vi /etc/l2tp/l2tpd.conf命令编辑L2tpd.conf文件并将其改为如下内容：global ; Global parameters: port = 1701 ; * Bind to port 1701 auth file = /etc/ppp/chap-secrets ; * 用户账号的配置文件，在此我们利用 PPP的chap认证方法 lns vpnserver ; Our fallthrough LNS definition exclusive = yes ; * Only permit one tunnel per host ip range = 192.168.254.202-192.168.254.210 ; *要分配给远端用户的ip范围，根据 ；需要修改 lac = 0.0.0.0-255.255.255.255 ；可接入的lac的范围，这样写表示不限制范围 local ip = 192.168.10.1 ; * 本机的IP地址 length bit = yes ; * Use length bit in payload? require chap = yes ; * Require CHAP auth. by peer require authentication = yes ; * Require peer to authenticate name = vpnserver ; *本机名 ppp debug = yes ; * Turn on PPP debugging pppoptfile = /etc/ppp/options.l2tpd ; * ppp options file修改完毕后按Esc键进入命令模式，输入：wq保存修改并退出。在Linux终端中执行vi /etc/ppp/options.l2tpd命令编辑options.l2tpd文件并将其改为如下内容：ipcp-accept-local ipcp-accept-remote lock auth debug dump logfile /var/log/l2tpd.log passive proxyarp nodetach noccp novj novjccomp nopcomp noaccomp本文件主要是对ppp服务器的配置，文件中的参数含义可以使用man pppd查看在Linux终端中执行vi /etc/ppp/chap-secrets命令编辑chap-secrets文件并将其改为如下内容：# Secrets for authentication using CHAP# client server secret IP addresseshh * 123456 * pole * 123 *修改完毕后按Esc键进入命令模式，输入：wq保存修改并退出。本文件是用户账号的管理文件，可以通过它添加和管理用户（文件中举了两个例子，用户：hh，密码：123456；用户：pole，密码：123）。5.运行l2tp执行cd /tmp/l2tpd-0.69/./l2tp D命令。参数D表示让l2tpd在前台运行，显示整个l2tpd的运行信息， 如果不加D，l2tpd在后台运行；其它参数请看/tmp/l2tpd-0.69/ 目录下的README。4.3.2 Windows Client配置创建一个新的连接网上邻居属性创建一个新的连接下一步连接到我的工作场所的网络虚拟专用网络连接公司名不拨初始连接vpn服务器选择（linux server ip addr）完成修改注册表开始运行regedit HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasManParameters新建一个“DWORD” 名称 “ProhibitIpSec” 值设置为1连接属性“安全”选项设置安全高级(自定义方式)允许这些协议CHAP, Microsoft CHAP(MS-CHAP)(M), Microsoft CHAP版本2数据加密选择可选加密方式4.4相关知识介绍4.4.1监听地址参数对L2TP守护进程建立防火墙，使外部接口不能访问，除ipsec0接口外，阻止从所有接口进来的L2TP连接。此外还有一种更加安全的设置方法，在默认情况下，L2TP守护进程监听UDP 1701端口，假如防火墙关闭， L2TP守护进程将暴露在外部接口。如果不希望任何人除了经过IPsec认证的客户通过Linux VPN服务器外部接口访问L2TP守护进程，也就是说L2TP数据包应该通过IPsec隧道，并且服务器与客户机之间不是没有加密的直接相连。但默认情况下 L2TP守护进程监听所有接口，包括外部接口（不友好的），它绑定到INADDR_ANY（它能够识别的）。不像低层网络应用程序（tcpdump和Ethereal）那样，L2TP不能绑定到某个特定的接口。不过L2TP可以绑定到某个特定的IP地址。两个主流的开源L2TP守护进程（l2tpd和rp-l2tp）提供了补丁，使之可以绑定（监听）某个特定的IP地址。补丁名称为：listen-addr patch.打了该补丁后你只要在L2TP守护进程的配置文件（l2tpd.conf）中增加一行如“listen-addr 192.168.1.98”，L2TP守护进程就会绑定这个IP地址（一般情况下是内网IP地址）。 因为L2TP守护进程在内部接口上监听，所以外部接口不能直接访问守护进程，可是L2TP守护进程必须通过ipsec0接口才能访问，所以要配置一下防火墙，让ipsec0的数据包能够到达内网。建立规则的方法是：ip