win10系统使用iNode客户端拨号配置

MSR V7系列路由器L2TP over IPsec典型配置

1.   组网需求

MSR V7路由器作为企业出口路由器，公网接口GigabitEthernet 0/1使用固定IP地址，MSR路由器配置L2TP over IPsec以供外网的终端进行拨入访问企业内部网络资源。

2.   MSR V7路由器配置步骤

1)   配置L2TP功能

A.    开启L2TP功能。

<H3C>system-view

[H3C]l2tp enable

B.     配置本地用户名和密码，用于终端VPN拨号时认证。如果需要让不同的终端使用不同的账号进行拨号，那么可以通过以下命令配置多个账号。当然也可以让所有终端都使用同一个账号进行拨号。

[H3C]local-user 123 class network      //配置拨号用户名

New local user added.

[H3C-luser-network-123]password simple 123     //配置拨号密码

[H3C-luser-network-123]service-type ppp

[H3C-luser-network-123]quit

C.     配置用户认证方式和IP地址池。

[H3C]domain system

[H3C-isp-system]authentication ppp local     //配置PPP用户的认证方式为本地认证

[H3C-isp-system]quit

[H3C]ip pool 10 192.168.10.2 192.168.10.100   //配置为拨入终端分配的IP地址范围，本例分配的IP地址范围为192.168.10.2到192.168.10.100。

D.    创建虚拟模板接口，虚模板接口是一种虚拟的逻辑接口，主要用在L2TP会话建立之后与对端交换数据，并为VPN客户端分配IP，虚模板接口IP为VPN客户端的网关；同时也要在虚模板视图下配置LNS对客户端的验证方式。

[H3C]interface Virtual-Template0

[H3C-Virtual-Template0]ppp authentication-mode chap    //配置本端PPP协议对终端的验证方式为CHAP

[H3C-Virtual-Template0]remote address pool 10   //在虚模板视图下指定为用户分配IP的地址池

[H3C-Virtual-Template0]ip address 192.168.10.1 24     //配置虚拟模板接口的IP地址和掩码，该IP地址必须与之前创建的地址池的IP在同一个网段，作为拨入终端的网关使用

[H3C-Virtual-Template0]quit

E.     创建并配置L2TP组。

[H3C] l2tp-group 1 mode lns

[H3C-l2tp1]undo tunnel authentication    //取消L2TP隧道验证功能，因为很多终端系统不支持隧道验证功能。

[H3C-l2tp1]allow l2tp virtual-template 0

[H3C-l2tp1]quit

2)   配置IPsec功能

A.    创建并进入一个IKE keychain视图，该视图用于配置IKE对等体的密钥信息。

[H3C]ike keychain keychain1

[H3C-ike-keychain-keychain1]pre-shared-key hostname zd key simple 123456     //配置与对端主机名为zd的终端进行协商时，使用预共享密钥123456。

[H3C-ike-keychain-keychain1]quit

B.     配置IKE对等体。

[H3C]ike profile profile1

[H3C-ike-profile-profile1]keychain keychain1

[H3C-ike-profile-profile1]exchange-mode aggressive     //配置IKE阶段的协商模式为野蛮模式。

[H3C-ike-profile-profile1]local-identity address 1.1.1.1    //指定标识本端身份的IP地址。

[H3C-ike-profile-profile1]match remote identity fqdn zd    //指定对端身份FQDN名称。

[H3C-ike-profile-profile1]quit

C.     配置IPsec安全提议

[H3C]ipsec transform-set tran1

[H3C-ipsec-transform-set-tran1]esp encryption-algorithm des-cbc

[H3C-ipsec-transform-set-tran1]esp authentication-algorithm md5

[H3C-ipsec-transform-set-tran1]quit

D.    配置IPSec安全策略模板

[H3C]ipsec policy-template msr 1

[H3C-ipsec-policy-template-msr-1] ike-profile profile1      //引用之前配置的IKE对等体

[H3C-ipsec-policy-template-msr-1]transform-set tran1    //引用之前配置的IPsec安全提议

[H3C-ipsec-policy-template-msr-1]quit

E.     创建IPSec安全策略并引用安全策略模板

[H3C]ipsec policy 123 1 isakmp template msr

F.     在公网接口上应用IPsec安全策略。

[H3C]interface GigabitEthernet 0/1

[H3C-GigabitEthernet0/1]ip address 1.1.1.1 24

[H3C-GigabitEthernet0/1]ipsec apply policy 123

INODE安装官网最新版本就可以。