MER3220

参考如下案例：

https://zhiliao.h3c.com/Theme/details/104211  

以下是MER3200 L2TP VPN的配置说明，请参考：

7.2  L2TP服务器端

本章节介绍L2TP服务器端的相关内容，包括：

·     简介

·     配置步骤

7.2.1  简介

本功能主要用于配置L2TP服务器端基本参数，开启L2TP服务。

如果您希望为企业驻外机构和出差人员等远端用户，提供一种安全且经济的方式，让他们能够与企业内部网络通信，访问企业内部网络资源，那么您可以通过配置L2TP服务器端来实现上述需求。

L2TP服务器端是具有PPP和L2TP协议处理能力的设备，通常位于企业内部网络的边缘。

7.2.2  配置步骤

(1)     单击导航树中[虚拟专网/L2TP服务器端]菜单项，进入L2TP服务器端页面。

(2)     单击“L2TP配置”页签，进入L2TP配置页面。

(3)     在“L2TP服务器端”配置项处，选择“开启”，开启L2TP服务。

(4)     点击<添加>按钮，进入新建L2TP组页面。

(5)     在“L2TP配置”下，设置L2TP隧道参数：

¡     根据需要决定是否勾选“对端隧道名称”，如勾选，则在配置项处输入L2TP客户端的隧道名称。

¡     在“本端隧道名称”配置项处，输入L2TP服务器端的隧道名称。

¡     在“隧道验证”配置项处，根据实际需要选择“启用”或“禁用”。

-     如选择“启用”，则需在“隧道验证密码”配置项处，输入验证密码。该方式更加安全，但需要L2TP服务器端和L2TP客户端都启用隧道验证，且密码一致。

-     如选择“禁用”，则表示L2TP服务器端和L2TP客户端在建立隧道时无需验证。

(6)     在“PPP认证配置”下的“PPP认证方式”配置项处，根据需要选择认证方式为“None”、“PAP”或“CHAP”。

¡     如选择“None”，则表示对用户免认证。该方式，安全性最低，请谨慎使用。

¡     如选择“PAP”，则表示采用两次握手机制对用户进行认证。该方式，安全性中。

¡     如选择“CHAP”，则表示采用三次握手机制对用户进行认证。该方式，安全性最高。

(7)     在“PPP地址配置”下，设置PPP地址参数：

¡     在“虚拟模板接口地址”配置项处，输入虚拟模板接口的IP地址，使L2TP服务器端具有为L2TP客户端或用户分配IP地址的能力。

¡     在“子网掩码”配置项处，输入虚拟模板接口IP地址的子网掩码。

¡     在“用户地址池”配置项处，输入用于分配给L2TP客户端或用户的IP地址。

(8)     在“LNS用户管理”下根据提示添加指定接入的PPP用户。

(9)     单击<显示高级设置>按钮，展开高级配置页面。

(10)     在“高级配置”下，设置高级配置参数：

¡     在“Hello报文间隔”配置项处，输入保活报文的时间间隔。

¡     在“AVP数据隐藏”配置项处，根据实际需要选择“启用”或“禁用”。

-     如选择“启用”，则表示利用隧道验证密码对AVP数据（例如隧道协商参数、会话协商参数和用户认证信息）进行加密传输，增强数据传输的安全性。

-     如选择“禁用”，则表示不对AVP数据进行加密传输。

¡     在“流量控制”配置项处，根据实际需要选择“启用”或“禁用”。

-     如选择“启用”，则表示在L2TP数据报文的接收与发送过程中，基于报文中携带的序列号来检测是存在否丢包，并根据序列号对乱序报文进行排序，提高L2TP数据报文传输的正确性和可靠性。在L2TP服务器端和L2TP客户端中的任意一端启用流量控制，该功能即可生效。

-     如选择“禁用”，则表示不对报文进行检测及排序。

¡     在“强制本端CHAP认证”配置项处，根据实际需要选择“启用”或“禁用”。

-     如选择“启用”，则表示在L2TP客户端对用户进行验证后，再由L2TP服务器端采用CHAP方式对用户进行二次认证，增强安全性。启用强制CHAP认证时，PPP认证方式必须选择为“CHAP”。

-     如选择“禁用”，则表示不在L2TP服务器端对用户进行强制CHAP验证。对于不支持进行第二次CHAP认证的用户，建议禁用本功能。

¡     在“强制LCP重协商”配置项处，根据实际需要选择“启用”或“禁用”。

-     如选择“启用”，则表示在L2TP客户端对用户进行验证后，再由L2TP服务器端采用LCP重协商方式对用户进行二次LCP协商及认证，增强安全性。如果同时启用了强制LCP重协商和强制CHAP认证，则仅强制LCP重协商生效。

-     如选择“禁用”，则表示不在L2TP服务器端与用户进行强制LCP重协商。对于不支持LCP协商的用户，建议禁用本功能。

(11)     点击<确定>按钮，完成配置。

7.3  L2TP客户端

本章节介绍L2TP客户端的相关内容，包括：

·     简介

·     配置步骤

7.3.1  简介

本功能主要用于配置L2TP客户端基本参数，开启L2TP服务。

如果您希望为企业驻外机构，提供一种安全且经济的方式，让他们能够与企业内部网络通信，访问企业内部网络资源，那么您可以通过配置L2TP服务器端来实现上述需求。

L2TP客户端是具有PPP和L2TP协议处理能力的设备，通常位于企业驻外机构网络的出口。

7.3.2  配置步骤

(1)     单击导航树中[虚拟专网/L2TP客户端]菜单项，进入L2TP客户端页面。

(2)     单击“L2TP配置”页签，进入L2TP配置页面。

(3)     在“L2TP客户端”配置项处，选择“开启”，开启L2TP服务。

(4)     点击<添加>按钮，进入新建L2TP组页面。

(5)     在“L2TP配置”下，设置L2TP隧道参数：

¡     在“本端隧道名称”配置项处，输入L2TP客户端的隧道名称。

¡     在“隧道验证”配置项处，根据实际需要选择“启用”或“禁用”。

-     如选择“启用”，则需在“隧道验证密码”配置项处，输入验证密码。该方式更加安全，但需要L2TP服务器端和L2TP客户端都启用隧道验证，且密码一致。

-     如选择“禁用”，则表示L2TP服务器端和L2TP客户端在建立隧道时无需验证。

(6)     在“PPP认证配置”下的“PPP认证方式”配置项处，，根据需要选择认证方式为“None”、“PAP”或“CHAP”。

¡     如选择“None”，则表示对用户免认证。该方式，安全性最低，请谨慎使用。

¡     如选择“PAP”，则表示采用两次握手机制对用户进行认证。该方式，安全性中。

¡     如选择“CHAP”，则表示采用三次握手机制对用户进行认证。该方式，安全性最高。

(7)     在“L2TP服务器端配置”下的“L2TP服务器端地址”配置项处，输入L2TP服务器端的IP地址。

(8)     在“高级配置”下，设置高级配置参数：

¡     在“Hello报文间隔”配置项处，输入保活报文的时间间隔。

¡     在“AVP数据隐藏”配置项处，根据实际需要选择“启用”或“禁用”。

-     如选择“启用”，则表示利用隧道验证密码对AVP数据（例如隧道协商参数、会话协商参数和用户认证信息）进行加密传输，增强数据传输的安全性。

-     如选择“禁用”，则表示不对AVP数据进行加密传输。

¡     在“流量控制”配置项处，根据实际需要选择“启用”或“禁用”。

-     如选择“启用”，则表示在L2TP数据报文的接收与发送过程中，基于报文中携带的序列号来检测是存在否丢包，并根据序列号对乱序报文进行排序，提高L2TP数据报文传输的正确性和可靠性。在L2TP服务器端和L2TP客户端中的任意一端启用流量控制，该功能即可生效。

-     如选择“禁用”，则表示不对报文进行检测及排序。

(9)     点击<确定>按钮，完成配置。