华为L2TPVPN配置答案.doc

最近公司需要配置VPN，而用SSL VPN面临授权不够的问题，为了方便大家使用，就选择了L2TP VPN的方式。但在实际模拟操作的过程中，出现了一些疑点，现记录下来。 一、拓扑 拓扑是模拟公司总部网络，其中有台单独的设备作为VPN的认证网关，即图中的VPN，是旁挂核心交换机的组网方式。 二、前提 出口防火墙上，要做好映射。也就是要将内网中的VPN设备IP（0）映射到公网上，让公网能够访问。此处就是在FW设备上做了一个nat server 0 global 60 inside 0。 总部内网要通，路由要全，出口要有NAT。分支和总部的两个内网不能通（86是不能Ping通和网段的）。 三、配置L2TP VPN sy interface Virtual-Template1?????????????????? #新建一个虚拟接口 Virtual-Template1# ?? ? authentication-mode chap pap?????????? #认证模式用chap，如果对方不支持chap，则用pap#? alias Virtual-Template1??????????????????????? #忽略#? ip address ????????? #给接口一个IP，此IP不能和其他冲突，随便一个即可#? remote address pool 0 ? ? ? ? ? ? ? ??? ? ? ? #调用给拨入设备分配的地址池。地址池的定义在AAA内# aaa ?? ip pool 0 0 00 ??? #定义地址池从12网段的10开始，到100结束# ?? local-user vpn password ciper vpntest!123 ?? local-user vpn service-type ppp ? ? ? ? #配置用户名和密码，不多说了# l2tp-group 2????????????????????????????????????????? #配置l2tp组2# ?? undo tunnel authentication?????????????? #如果用电脑自带的VPN拨号，电脑是无法起tunnel认证的 ?????????????????????????????????????????????????????????????? #所以此处关闭tunnel的认证# ?? allow l2tp virtual-template 1?? ? ? ? ? ?? #不多说了，l2tp的配置，关于后面的参数，官方配置文档上? ?????????????????????????????????????????????????????????????? #有解释# l2tp enable ??????????????????????????????????????????? #这条命令是开启L2TP功能的，千万不要忘了# 四、几个注意事项： ?? 1、l2tp分配给客户的地址池pool里的地址用不用和Virtual-Template1的IP地址在一个网段上？ ??????? 不用必须一致。这两个地址都可以随便定义，但最好不要跟内网地址段相同。如果和内网地址段相同，则需要在VPN上开启虚拟转发功能（自行查资料）。建议定义一个很奇怪的地址段。 ?? 2、l2tp分配给客户的地址，没有网关啊，怎么和内网通信？ ??????? 没网关不要紧。但总部所有网段都要有到这个网段的路由。不然客户端是不能访问到相应的内网地址的。比如此图Core-SW上就有ip route-static 0 ? 3、l2tp vpn设备必须要旁挂么？ ?????? 不是的。VPN组网方式一般采用直连，在出口路由或出口防火墙上配置。此处我只是模拟一种出口设备不支持VPN而且网络已经不能变动的情况，采用旁挂比较灵活。 ? 4、防火墙的策略要开。 ??????? 此处由于没用路由器，用防火墙代替的路由器，所以防火墙策略我全开了，只是模拟。实际组网要根据实际情况来做，但一定要记得，把该开的策略要开，接口要放在相应的安全区域内。尤其是Virtual-Template1这个接口一定要放在相应的区域并放行到这个接口的安全策略。 五、电脑端拨号配置 六、设备配置 1、VPN VPNdis cur 15:15:51? 2015/11/05#interface Virtual-Template1?ppp authentication-mode chap pap?alias Virtual-Template1?ip address ?remote address pool#interface GigabitEth