华为L2TP-VPN配置

奇瑞宝宝
3 ℃
2019-12-23

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

最近公司需要配置VPN，而用SSLVPN面临授权不够的问题，为了方便大家使用，就选择了L2TPVPN的方式。但在实际模拟操作的过程中，出现了一些疑点，现记录下来。一、拓扑拓扑是模拟公司总部网络，其中有台单独的设备作为VPN的认证网关，即图中的VPN，是旁挂核心交换机的组网方式。二、前提出口防火墙上，要做好映射。也就是要将内网中的VPN设备IP（192.168.10.10）映射到公网上，让公网能够访问。此处就是在FW设备上做了一个natserver0global112.54.82.160inside192.168.10.10。总部内网要通，路由要全，出口要有NAT。分支和总部的两个内网不能通（192.168.218.186是不能Ping通192.168.10.0和192.168.200.0网段的）。三、配置L2TPVPNsyinterfaceVirtual-Template1#新建一个虚拟接口Virtual-Template1#authentication-modechappap#认证模式用chap，如果对方不支持chap，则用pap#aliasVirtual-Template1#忽略#ipaddress1.1.1.1255.255.255.0#给接口一个IP，此IP不能和其他冲突，随便一个即可#remoteaddresspool0#调用给拨入设备分配的地址池。地址池的定义在AAA内#aaaippool012.12.12.1012.12.12.100#定义地址池从12网段的10开始，到100结束#local-uservpnpasswordcipervpntest!123local-uservpnservice-typeppp#配置用户名和密码，不多说了#l2tp-group2#配置l2tp组2#undotunnelauthentication#如果用电脑自带的VPN拨号，电脑是无法起tunnel认证的#所以此处关闭tunnel的认证#allowl2tpvirtual-template1#不多说了，l2tp的配置，关于后面的参数，官方配置文档上#有解释#l2tpenable#这条命令是开启L2TP功能的，千万不要忘了#四、几个注意事项：1、l2tp分配给客户的地址池pool里的地址用不用和Virtual-Template1的IP地址在一个网段上？不用必须一致。这两个地址都可以随便定义，但最好不要跟内网地址段相同。如果和内网地址段相同，则需要在VPN上开启虚拟转发功能（自行查资料）。建议定义一个很奇怪的地址段。2、l2tp分配给客户的地址，没有网关啊，怎么和内网通信？没网关不要紧。但总部所有网段都要有到12.12.12.0这个网段的路由。不然客户端是不能访问到相应的内网地址的。比如此图Core-SW上就有iproute-static12.12.12.0255.255.255.0192.168.10.103、l2tpvpn设备必须要旁挂么？不是的。VPN组网方式一般采用直连，在出口路由或出口防火墙上配置。此处我只是模拟一种出口设备不支持VPN而且网络已经不能变动的情况，采用旁挂比较灵活。4、防火墙的策略要开。此处由于没用路由器，用防火墙代替的路由器，所以防火墙策略我全开了，只是模拟。实际组网要根据实际情况来做，但一定要记得，把该开的策略要开，接口要放在相应的安全区域内。尤其是Virtual-Template1这个接口一定要放在相应的区域并放行到这个接口的安全策略。五、电脑端拨号配置六、设备配置1、VPNVPNdiscur15:15:512015/11/05#interfaceVirtual-Template1pppauthentication-modechappapaliasVirtual-Template1ipaddress1.1.1.1255.255.255.0remoteaddresspool#interfaceGigabitEthernet0/0/0aliasGE0/MGMTipaddress192.168.0.1255.255.255.0dhcpselectinterfacedhcpservergateway-list192.168.0.1#interfaceGigabitEthernet0/0/1#interfaceGigabitEthernet0/0/2#interfaceGigabitEthernet0/0/3#interfaceGigabitEthernet0/0/4#interfaceGigabitEthernet0/0/5#interfaceGigabitEthernet0/0/6#interfaceGigabitEthernet0/0/7#interfaceGigabitEthernet0/0/8ipaddress192.168.10.10255.255.255.0#interfaceNULL0aliasNULL0#firewallzonelocalsetpriority100#firewallzonetrustsetpriority85addinterfaceGigabitEthernet0/0/0addinterfaceGigabitEthernet0/0/8addinterfaceVirtual-Template1#firewallzoneuntrustsetpriority5#firewallzonedmzsetpriority50#l2tp-group2undotunnelauthenticationallowl2tpvirtual-template1#aaalocal-uservpnpasswordcipher%$%$PjwKIZGx.Z-E}F2ceB+G6-$%$%$local-uservpnservice-typeppplocal-useradminpasswordcipher%$%$OMBCN93/(W;iZ:J&'8*FMD;%$%$local-useradminservice-typewebterminaltelnetlocal-useradminlevel15ippool012.12.12.112.12.12.100#authentication-schemedefault#authorization-schemedefault#accounting-schemedefault#domaindefault##nqa-jittertag-version1#iproute-static0.0.0.00.0.0.0192.168.10.1#bannerenable#user-interfacecon0authentication-modenoneuser-interfacevty04authentication-modenoneprotocolinboundall#slb#right-managerserver-group#sysnameVPN#l2tpenablel2tpdomainsuffix-separator@#firewallpacket-filterdefaultpermitinterzonelocaltrustdirectioninboundfirewallpacket-filterdefaultpermitinterzonelocaltrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonelocaluntrustdirectioninboundfirewallpacket-filterdefaultpermitinterzonelocaluntrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonelocaldmzdirectioninboundfirewallpacket-filterdefaultpermitinterzonelocaldmzdirectionoutboundfirewallpacket-filterdefaultpermitinterzonetrustuntrustdirectioninboundfirewallpacket-filterdefaultpermitinterzonetrustuntrustdirectionoutboundfirewallpacket-filterdefaultpermitinterzonetrustdmzdirectioninboundfirewallpacket-filterdefaultpermitinterzonetrustdmzdirectionoutboundfirewallpacket-filterdefaultpermitinterzonedmzuntrustdirectioninboundfirewallpacket-filterdefaultpermitinterzonedmzuntrustdirectionoutbound#ipdf-unreachablesenable#firewallipv6sessionlink-statecheckfirewallipv6statisticsystemenable#dnsresolve#firewallstatisticsystemenable#pkiocspresponsecacherefreshinterval0pkiocspresponsecachenumber0#undodnsproxy#license-serverdomainlic.huawei.com#web-managerenable#return2、Core-SWCorediscur#sysnameCore#vlanbatch10#clusterenablentdpenablendpenable#dropillegal-macalarm#diffservdomaindefault#drop-profiledefault#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordsimpleadminlocal-useradminservice-typehttp#interfaceVlanif1ipaddress192.168.200.2255.255.255.0#interfaceVlanif10ipaddress192.168.10.1255.255.255.0#interfaceMEth0/0/1#interfaceGigabitEthernet0/0/1portlink-typeaccess#interfaceGigabitEthernet0/0/2portlink-typeaccessportdefaultvlan10#interfaceGigabitEthernet0/0/3#interfaceGigabitEthernet0/0/4#interfaceGigabitEthernet0/0/5#interfaceGigabitEthernet0/0/6#interfaceGigabitEthernet0/0/7#interfaceGigabitEthernet0/0/8#interfaceGigabitEthernet0/0/9#interfaceGigabitEthernet0/0/10#interfaceGigabitEthernet0/0/11#interfaceGigabitEthernet0/0/12#interfaceGigabitEthernet0/0/13#interfaceGigabitEthernet0/0/14#interfaceGigabitEthernet0/0/15#int