《华为L2TP VPN配置.doc》由会员分享,可在线阅读,更多相关《华为L2TP VPN配置.doc(18页珍藏版)》请在金锄头文库上搜索。
1、最近公司需要配置VPN,而用SSL VPN面临授权不够的问题,为了方便大家使用,就选择了L2TP VPN的方式。但在实际模拟操作的过程中,出现了一些疑点,现记录下来。一、拓扑拓扑是模拟公司总部网络,其中有台单独的设备作为VPN的认证网关,即图中的VPN,是旁挂核心交换机的组网方式。二、前提出口防火墙上,要做好映射。也就是要将内网中的VPN设备IP(192.168.10.10)映射到公网上,让公网能够访问。此处就是在FW设备上做了一个nat server 0 global 112.54.82.160 inside 192.168.10.10。总部内网要通,路由要全,出口要有NAT。分支和总部的两
2、个内网不能通(192.168.218.186是不能Ping通192.168.10.0和192.168.200.0网段的)。三、配置L2TP VPNsyinterface Virtual-Template1 #新建一个虚拟接口 Virtual-Template1# authentication-mode chap pap #认证模式用chap,如果对方不支持chap,则用pap# alias Virtual-Template1 #忽略# ip address 1.1.1.1 255.255.255.0 #给接口一个IP,此IP不能和其他冲突,随便一个即可# remote address pool
3、 0 #调用给拨入设备分配的地址池。地址池的定义在AAA内# aaa ip pool 0 12.12.12.10 12.12.12.100 #定义地址池从12网段的10开始,到100结束# local-user vpn password ciper vpntest!123 local-user vpn service-type ppp #配置用户名和密码,不多说了#l2tp-group 2 #配置l2tp组2# undo tunnel authentication #如果用电脑自带的VPN拨号,电脑是无法起tunnel认证的 #所以此处关闭tunnel的认证# allow l2tp virtu
4、al-template 1 #不多说了,l2tp的配置,关于后面的参数,官方配置文档上 #有解释# l2tp enable #这条命令是开启L2TP功能的,千万不要忘了#四、几个注意事项: 1、l2tp分配给客户的地址池pool里的地址用不用和Virtual-Template1的IP地址在一个网段上? 不用必须一致。这两个地址都可以随便定义,但最好不要跟内网地址段相同。如果和内网地址段相同,则需要在VPN上开启虚拟转发功能(自行查资料)。建议定义一个很奇怪的地址段。 2、l2tp分配给客户的地址,没有网关啊,怎么和内网通信? 没网关不要紧。但总部所有网段都要有到12.12.12.0这个网段的路
5、由。不然客户端是不能访问到相应的内网地址的。比如此图Core-SW上就有ip route-static 12.12.12.0 255.255.255.0 192.168.10.10 3、l2tp vpn设备必须要旁挂么? 不是的。VPN组网方式一般采用直连,在出口路由或出口防火墙上配置。此处我只是模拟一种出口设备不支持VPN而且网络已经不能变动的情况,采用旁挂比较灵活。 4、防火墙的策略要开。 此处由于没用路由器,用防火墙代替的路由器,所以防火墙策略我全开了,只是模拟。实际组网要根据实际情况来做,但一定要记得,把该开的策略要开,接口要放在相应的安全区域内。尤其是Virtual-Template
6、1这个接口一定要放在相应的区域并放行到这个接口的安全策略。五、电脑端拨号配置六、设备配置1、VPNdis cur 15:15:51 2015/11/05#interface Virtual-Template1ppp authentication-mode chap papalias Virtual-Template1ip address 1.1.1.1 255.255.255.0remote address pool#interface GigabitEthernet0/0/0alias GE0/MGMTip address 192.168.0.1 255.255.255.0dhcp sele
7、ct interfacedhcp server gateway-list 192.168.0.1#interface GigabitEthernet0/0/1#interface GigabitEthernet0/0/2#interface GigabitEthernet0/0/3#interface GigabitEthernet0/0/4#interface GigabitEthernet0/0/5#interface GigabitEthernet0/0/6#interface GigabitEthernet0/0/7#interface GigabitEthernet0/0/8ip a
8、ddress 192.168.10.10 255.255.255.0#interface NULL0alias NULL0#firewall zone localset priority 100#firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet0/0/8add interface Virtual-Template1#firewall zone untrustset priority 5#firewall zone dmzset priority 50
9、#l2tp-group 2undo tunnel authenticationallow l2tp virtual-template 1#aaalocal-user vpn password cipher %$%$PjwKIZGx.Z-EF2ceB+G6-$%$%$local-user vpn service-type ppplocal-user admin password cipher %$%$OMBCN93/(W;iZ:J&8*FMD;%$%$local-user admin service-type web terminal telnetlocal-user admin level 1
10、5ip pool 0 12.12.12.1 12.12.12.100#authentication-scheme default#authorization-scheme default#accounting-scheme default#domain default#nqa-jitter tag-version 1#ip route-static 0.0.0.0 0.0.0.0 192.168.10.1#banner enable#user-interface con 0authentication-mode noneuser-interface vty 0 4authentication-
11、mode noneprotocol inbound all#slb#right-manager server-group#sysname VPN#l2tp enablel2tp domain suffix-separator #firewall packet-filter default permit interzone local trust direction inboundfirewall packet-filter default permit interzone local trust direction outboundfirewall packet-filter default
12、permit interzone local untrust direction inboundfirewall packet-filter default permit interzone local untrust direction outboundfirewall packet-filter default permit interzone local dmz direction inboundfirewall packet-filter default permit interzone local dmz direction outboundfirewall packet-filte
13、r default permit interzone trust untrust direction inboundfirewall packet-filter default permit interzone trust untrust direction outboundfirewall packet-filter default permit interzone trust dmz direction inboundfirewall packet-filter default permit interzone trust dmz direction outboundfirewall pa
14、cket-filter default permit interzone dmz untrust direction inboundfirewall packet-filter default permit interzone dmz untrust direction outbound#ip df-unreachables enable#firewall ipv6 session link-state checkfirewall ipv6 statistic system enable#dns resolve#firewall statistic system enable#pki ocsp response cache refresh in
