L2TP配置举例|网络安全技术与实例

1.独立LAC方式（命令行）

某企业以H3C路由器作为LAC和LNS，Windows拨号用户通过LAC接入，与总部互联。如图5.54所示。

图5.54 独立LAC方式

该公司网络的地址采用的是私有地址，如10.8.0.0。网络通过建立VPN，用户就可以通过Internet访问公司内部网络的数据。

（1）LAC侧的配置如下：

＃设置用户名及口令：

［LAC］loeal－user vpdnuser＠H3C.com

［LAC -luser－vpdnusereH3C.com］Password simple Hello

＃在Serial0／0接口上配置IP地址：

［LAC］interface serial 0／0

［LAC-Seria10／0］ip address 202.38.160.1 255.255.255.0

［LAC-Seria10／0］PPP authentieation－mode chap domain H3C.com

＃配置H3C.com域用户采用本地验证：

［LAC］domain H3C.com

［LAC－isp－H3C.com］seheme loeal

＃设置一个L2TP组并配置相关属性：

［LAC］l2tp enable

［LAC］l2tp－group 1

［LAC -l2tp1］tunnel name LAC

［LAC -l2tp1］ip 202.38.160.2domain H3C.com

＃启用通道验证并设置通道验证密码：

［LAC -l2tp1］tunnel authentication

［LAC -l2tp1］tunnel password simple H3C

＃设置一个域名后缀分隔符为“＠”：

［LAC］12tp domain suffix－separatore

＃搜索的顺序为先根据域名查找，再根据被叫号码查找：

［LAC］12tp mateh－order domain－dnis

（2）LNS侧的配置如下：

＃设置用户名及口令：

［LNS］loeal－user vpdnuser＠H3C.com

［LNS -luser－vpdnusereH3C.com］Password simple Hello

＃在Serial0／0接口上配置IP地址：

［LNS］interface virtual－template 1

［LNS－virtual－template1］ip address 192.168.01 255.255.255.0

［LNS－virtual－template1］PPP authentieation－mode chap domain H3C.com

＃配置H3C.com域用户采用本地验证：

［LAC］domain H3C.com

［LAC -isp H3C.com］authentication ppp loeal

［LAC -isp H3C.com］ip pool 1 192.168.0.2 192.168.0.100

＃设置一个L2TP组并配置相关属性：

［LNS］12tp enable

［LNS］12tp－group 1

［LNS -12tP1］tunnel name LNS(www.xing528.com)

［LNS -12tP1］allow 12tp virtual－template 1remote LAC

＃启用通道验证，并设置通道验证密码为H3C：

［LNS -12tP］tunnel authentieation

［LNS -12tP］tunnel Password simple H3C

Wndows客户端配置与普通拨号连接没有什么区别。创建一个拨号连接，号码为LAC路由器的接入号码；接收由LNS服务器端分配的地址。

在弹出的拨号终端窗口中输入用户名vpdnuser＠H3C.com，口令为Hello（此用户名与口令己在公司LNS中注册）。

2.Client－Initiated VPN（Web）

VPN用户访问公司总部过程如下：

①用户首先连接Internet，之后直接由用户向LNS发起Tunnel连接的请求。

图5.55 L2TP配置例子——Client－Initiated VPN（Web）

②在LNS接受此连接请求之后，VPN用户与LNS之间就建立了一条虚拟的L2TP tunnel。

③用户与公司总部间的通信都通过VPN用户与LNS之间的隧道进行传输。

（1）配置用户侧 在用户侧主机上必须装有L2TP的客户端软件，如WinVPN Client，并且用户通过拨号方式连接到Internet。然后再进行如下配置（设置的过程与相应的客户端软件有关，以下为设置的内容）：

●在用户侧设置VPN用户名为vpdnuser，密码为Hello。

●将LNS的IP地址设为安全网关的Internet接口地址（本例中LNS侧与隧道相连接的以太网接口的lP地址为1.1.2.2）。

●修改连接属性，将采用的协议设置为L2TP，将加密属性设为自定义，并选择CHAP验证进行隧道验证，隧道的密码为aabbcc.

（2）配置LNS侧

＃配置用户名为vpdnuser、密码为Hello、业务类型为PPP的本地用户：（略）

＃使能L2TP功能：

●在导航栏中选择“VPN”｜“LZTP”｜“L2TP配置”。

●选中“启用L2TP功能”前的复选框。

●单击【确定】按钮完成操作。

＃新建L2TP用户组：

●在L2TP配置页面单击【新建】按钮。

●输入L2TP用户组名称为“test”。

●输入对端隧道名称为“vpdnuser”。

●输入本端隧道名称为“LNS”。

●选择隧道验证为“启用”。

●输入隧道验证密码为“aabbcc”。

●选择PPP认证方式为“CHAP”。

●选择ISP域名为“system”（缺省的ISP域）。

●输入ppp server地址／掩码为“192.168.0.1／255.255.255.0”。

●选择PPP Server所属安全域为“Trust”。

●单击用户地址的【新建】按钮。

●选择域名为“System”。

●输入地址池编号为“1”。

●输入开始地址为“192.168.0.2”。

●输入结束地址为“192.168.0.100”。

●单击【确定】按钮完成地址池的配置，返回到L2TP用户组的配置页面。

●选择用户地址为“1”。

●选择强制地址分配为“启用”。

●单击【确定】按钮完成操作。