L2tp互访问题

如下图所示，PPP用户直接与LNS建立L2TP隧道，通过L2TP隧道访问公司总部。

具体需求如下：

• 企业分支机构可以通过L2TP VPN访问公司内网资源。

• 企业出差员工可以通过L2TP VPN访问公司内网进行远程办公。

图-1 L2TP配置组网图

配置步骤

Device的配置

1. 配置接口IP地址和安全域

   # 选择“网络 > 接口与VRF > 接口”，进入接口配置页面。

   # 单击接口GE1/0/1右侧的<编辑>按钮，参数配置如下：

   • 安全域：Untrust

   • 选择“IPV4地址”页签，配置IP地址/掩码：1.1.2.2/24

   • 其他配置项使用缺省值

   # 单击<确定>按钮，完成接口IP地址和安全域的配置。

   # 单击接口GE1/0/2右侧的<编辑>按钮，参数配置如下：

   • 安全域：Trust

   • 选择“IPV4地址”页签，配置IP地址/掩码：10.1.0.1/24

   • 其他配置项使用缺省值

   # 单击<确定>按钮，完成接口IP地址和安全域的配置。

   # 选择“网络 > VPN > L2TP”，单击L2TP页签，进入L2TP配置页面。

   # 单击<新建>按钮，参数配置如下图所示：

   图-2 配置L2TP

   

   # 选择“网络 > 安全域”，单击Untrust“编辑”按钮，进入修改安全域页面，将L2TP虚接口VT1加入Untrust安全域，参数配置如下图所示：

   

2. 配置路由

   本举例仅以静态路由为例，若实际组网中需采用动态路由，请配置对应的动态路由协议。

   # 选择“网络 > 路由 > 静态路由 > IPv4静态路由”，单击<新建>按钮，进入新建IPv4静态路由页面。

   # 新建IPv4静态路由，并进行如下配置：

   • 目的IP地址：2.1.1.1

   • 掩码长度：24

   • 下一跳IP地址：1.1.2.3

   • 其他配置项使用缺省值

   # 单击<确定>按钮，完成静态路由的配置。

3. 配置安全策略

   # 选择“策略 > 安全策略> 安全策略”，单击<新建>按钮，选择新建策略，进入新建安全策略页面。

   # 新建安全策略，并进行如下配置：

   • 名称：untrust-local

   • 源安全域：Untrust

   • 目的安全域：Local

   • 类型：IPv4

   • 动作：允许

   • 服务：l2tp

   • 其他配置项使用缺省值

   # 按照同样的步骤新建安全策略，配置如下。

   • 名称：untrust-trust

   • 源安全域：Untrust

   • 目的安全域：Trust

   • 类型：IPv4

   • 动作：允许

   • 源IPv4地址：192.168.0.10-192.168.0.20

   • 目的IPv4地址：10.1.0.200

   • 其他配置项使用缺省值

   # 单击<确定>按钮，完成安全策略的配置。

4. 创建L2TP用户

   # 选择“对象 > 用户与认证 > 用户管理 > 本地用户”，单击<新建>按钮，创建L2TP用户，用户名为l2tpuser，密码为hello，服务类型为PPP，参数配置如下图所示：

   图-3 创建L2TP用户

   

5. 开启L2TP功能

   # 选择“网络 > VPN > L2TP”，单击L2TP页签，进入L2TP配置页面，开启L2TP功能。

   图-4 开启L2TP功能

   

VPN客户端的配置

# 单击右下角电脑图标，选择“打开网络和共享中心”选项，进入“更改网络设置”页面。

图-5 更改网络设置

# 单击“连接到工作区”，选择“使用我的Internet连接（VPN）”，如下图所示：

图-6 设置VPN

# 单击“我将稍后设置Internet连接”，在“Internet地址”处设置Device连接外网的接口IP地址。

图-7 设置IP地址

# 设置用于VPN拨号的用户名和密码，如下图所示：

图-8 设置用户名和密码

# 再次单击桌面右下角的电脑图标，鼠标右击点击“属性”按钮。

图-9 设置VPN

# 在“安全”页签中选择VPN类型为“使用IPsec的第2层隧道协议（L2TP/IPSec）”,数据加密选择“可选加密（没有加密也可以连接）”，允许协议选择“质询握手身份验证协议（CHAP）”。

图-10 设置VPN属性

验证配置

# 拨号成功后，可以看到L2TP的隧道信息，如下图所示：

图-11 L2TP隧道信息