H3C L2TP配置

H3C MSR830路由器L2TP VPN（WEB）配置在MSR路由器上配置L2TP VPN功能作为LNS，公网客户端直接使用系统自带客户端或者iNode等进行拨号访问MSR端内网服务器。

1.配置本地用户（用户名为vpdnuser，密码为Hello，服务类型为PPP）。

步骤1：在导航栏中选择“系统管理 > 用户管理”。

步骤2：单击“创建用户”页签。

步骤3：进行如下配置，如下图所示。

输入用户名为“vpdnuser”。

选择访问等级为“Configure”。

输入密码为“Hello”。

输入确认密码为“Hello”。

选择服务类型为“PPP服务”。

步骤4：点击<应用>按钮完成操作。

2.启用L2TP功能。

步骤1：在导航栏中选择“VPN > L2TP > L2TP配置”。

步骤2：如下图所示，选中“启用L2TP功能”前的复选框。

步骤3：单击<确定>按钮完成操作。

3.修改ISP域system的PPP认证方案。

步骤1：在L2TP配置页面单击<新建>按钮，进入新建L2TP用户组的页面。

步骤2：选择PPP认证方式为“CHAP”。

步骤3：选择ISP域名为“system”（缺省的ISP域）。

步骤4：单击“ISP域”下拉框后的<修改>按钮，进入修改ISP域的页面。

步骤5：如下图所示，选择PPP认证方案的主用方案服务器类型为“Local”。

步骤6：单击<确定>按钮完成ISP域的配置，返回到新建L2TP用户组的页面。

4.配置为用户侧分配地址所用的地址池。

步骤1：在新建L2TP用户组的页面单击“用户地址”下拉框后的<新建>按钮。

步骤2：在新建用户地址的页面进行如下配置，如下图所示。

选择域名为“system”。

输入地址池编号为“1”。

输入开始地址为“192.168.2.100”, 可以是任意地址，但不能与公司内网地址段相同。

输入结束地址为“192.168.2.254”，可以是任意地址，但不能与公司内网地址段相同。

H3C路由器L2TP配置详解H3C路由器L2TP配置详解1：引言L2TP（Layer 2 Tunneling Protocol）是一种用于在公共互联网上建立虚拟私人网络（VPN）连接的协议。

本文将详细介绍如何在H3C路由器上配置L2TP协议。

2：确认硬件和软件要求在开始配置L2TP协议之前，请确保满足以下硬件和软件要求：- H3C路由器设备- 最新的H3C路由器操作系统- 有效的许可证3：步骤一、创建L2TP配置文件要创建L2TP配置文件，请按照以下步骤操作：- 连接到H3C路由器设备。

- 使用管理员权限登录。

- 打开路由器CLI（命令行界面）。

- 进入全局配置模式。

- 创建L2TP配置文件，并配置相关参数，如：隧道名称、IP 地址、预共享密钥等。

4：步骤二、配置L2TP隧道一旦L2TP配置文件创建成功，您需要完成以下步骤来配置L2TP隧道：- 进入隧道配置模式。

- 配置隧道类型和IP地址范围。

- 配置L2TP隧道的其他参数，如：数据压缩、最大会话数等。

5：步骤三、配置L2TP服务继续按照以下步骤配置L2TP服务：- 进入L2TP服务配置模式。

- 配置L2TP服务相关参数，如：监听端口、报文加密方式等。

- 配置L2TP客户端的IP地址池。

6：步骤四、配置用户认证为了确保只有经过身份验证的用户才能访问L2TP隧道，您需要配置用户认证。

请按照以下步骤操作：- 进入L2TP用户池配置模式。

- 配置用户认证相关参数，如：认证方式、用户名密码等。

7：步骤五、保存和应用配置完成以上步骤后，请保存并应用您的配置，使其生效。

示例如下：- 保存当前配置。

- 退出并应用配置。

8：附件本文档涉及以下附件：- 示例配置文件- L2TP隧道配置示意图9：法律名词及注释- L2TP（Layer 2 Tunneling Protocol）：一种用于在公共互联网上建立虚拟私人网络（VPN）连接的协议。

- VPN（Virtual Private Network）：通过使用公共互联网等非专用传输网络，在不同的网络之间建立安全的连接。

H3C MSR830路由器L2TP VPN（WEB）配置在MSR路由器上配置L2TP VPN功能作为LNS，公网客户端直接使用系统自带客户端或者iNode等进行拨端内网服务器。

号访问MSR1.配置本地用户（用户名为vpdnuser，密码为Hello，服务类型为PPP）。

步骤1：在导航栏中选择“系统管理> 用户管理”。

步骤2：单击“创建用户”页签。

步骤3：进行如下配置，如下图所示。

输入用户名为“vpdnuser”。

选择访问等级为“Configure”。

输入密码为“Hello”。

输入确认密码为“Hello”。

选择服务类型为“PPP服务”。

步骤4：点击<应用>按钮完成操作。

页脚内容12.启用L2TP功能。

步骤1：在导航栏中选择“VPN > L2TP > L2TP配置”。

步骤2：如下图所示，选中“启用L2TP功能”前的复选框。

步骤3：单击<确定>按钮完成操作。

3.修改ISP域system的PPP认证方案。

步骤1：在L2TP配置页面单击<新建>按钮，进入新建L2TP用户组的页面。

步骤2：选择PPP认证方式为“CHAP”。

步骤3：选择ISP域名为“system”（缺省的ISP域）。

步骤4：单击“ISP域”下拉框后的<修改>按钮，进入修改ISP域的页面。

页脚内容2步骤5：如下图所示，选择PPP认证方案的主用方案服务器类型为“Local”。

步骤6：单击<确定>按钮完成ISP域的配置，返回到新建L2TP用户组的页面。

4.配置为用户侧分配地址所用的地址池。

步骤1：在新建L2TP用户组的页面单击“用户地址”下拉框后的<新建>按钮。

步骤2：在新建用户地址的页面进行如下配置，如下图所示。

选择域名为“system”。

输入地址池编号为“1”。

输入开始地址为“192.168.2.100”, 可以是任意地址，但不能与公司内网地址段相同。

输入结束地址为“192.168.2.254”，可以是任意地址，但不能与公司内网地址段相同。

H3C L2TP 典型配置举例l2tp 的呼叫可以由nas（网络接入服务器）主动发起，也可以由客户端发起。

下面将分别针对这两种情况举例说明。

2.5.1 nas-initialized vpn1. 组网需求vpn 用户访问公司总部过程如下：用户以普通的上网方式进行拨号上网。

在接入服务器（nas）处对此用户进行验证，发现是vpn 用户，则由接入服务器向lns 发起隧道连接的请求。

在接入服务器与lns 隧道建立后，接入服务器把与vpn 用户已经协商的内容作为报文内容传给lns。

lns 再根据预协商的内容决定是否接受此连接。

用户与公司总部间的通信都通过接入服务器与lns 之间的隧道进行传输。

2. 组网图3. 配置步骤(1) 用户侧的配置在用户侧，在拨号网络窗口中输入vpn 用户名vpdnuser，口令hello，拨入号码为170。

在拨号后弹出的拨号终端窗口中输入radius 验证的用户名username 和口令userpass。

(2) nas 侧的配置# 在nas 上配置拨入号码为170。

# 在radius 服务器上设置一个用户名为username、口令为userpass 的vpn 用户，并设置相应的lns 侧设备的ip 地址（本例中lns 侧与通道相连接的以太口的ip 地址为202.38.160.2）。

# 将本端的设备名称定义为lac，需要进行通道验证，通道验证密码为tunnelpwd。

(3) 防火墙（lns 侧）的配置# 设置用户名及口令（应与用户侧的设置一致）。

[h3c] local-user vpdnuser[h3c-luser-vpdnuser] password simple hello[h3c-luser-vpdnuser] service-type ppp# 对vpn 用户采用本地验证。

[h3c] domain system[h3c-isp-system] scheme local[h3c-isp-system] ip pool 1 192.168.0.2 192.168.0.100# 启用l2tp 服务，并设置一个l2tp 组。

H3C路由器L2TP穿过NAT接⼊LNS功能配置通过在外⽹⼝配置nat基本就OK了，以下配置假设Ethernet0/0为局域⽹接⼝，Ethernet0/1为外⽹⼝。

1、配置内⽹接⼝（Ethernet0/0）：[MSR20-20] interface Ethernet0/0[MSR20-20- Ethernet0/0]ip add 192.168.1.1 242、使⽤动态分配地址的⽅式为局域⽹中的PC分配地址[MSR20-20]dhcp server ip-pool 1[MSR20-20-dhcp-pool-1]network 192.168.1.0 24[MSR20-20-dhcp-pool-1]dns-list 202.96.134.133[MSR20-20-dhcp-pool-1] gateway-list 192.168.1.13、配置nat[MSR20-20]nat address-group 1 公⽹IP 公⽹IP[MSR20-20]acl number 3000[MSR20-20-acl-adv-3000]rule 0 permit ip4、配置外⽹接⼝（Ethernet0/1）[MSR20-20] interface Ethernet0/1[MSR20-20- Ethernet0/1]ip add 公⽹IP[MSR20-20- Ethernet0/1] nat outbound 3000 address-group 15．加默缺省路由[MSR20-20]route-stac 0.0.0.0 0.0.0.0 外⽹⽹关总结：在2020路由器下⾯,配置外⽹⼝,配置内⽹⼝,配置acl 作nat,⼀条默认路由指向电信⽹关. ok!Console登陆认证功能的配置关键词：MSR;console;⼀、组⽹需求：要求⽤户从console登录时输⼊已配置的⽤户名h3c和对应的⼝令h3c，⽤户名和⼝令正确才能登录成功。

H3C 防火墙F1000-A基于Windows自带VPN拨号软件的L2TP配置一组网需求PC作为L2TP的LAC端，F1000-A防火墙作为LNS端。

希望通过L2TP拨号的方式接入到对端防火墙。

用户PC作为LAC，使用windows自带的拨号软件作为客户端软件，拨号接入到对端的Sec Path防火墙。

软件版本如下：Version 5.20, Release 3102三、配置步骤3.1 防火墙上的配置#sysname F1000A#l2tp enable //开启L2TP功能#domain default enable system#vlan 1#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disableip pool 1 1.1.1.1 1.1.1.20 //配置拨号用户使用的地址池#local-user h3cpassword cipher G`M^B<SDBB[Q=^Q`MAF4<1!!service-type telnetlevel 3local-user zhengyamin //配置L2TP拨号用户使用的用户名和地址池password simple 123456level 3service-type ppp#l2tp-group 1 //配置L2TP组undo tunnel authentication //不使用隧道认证allow l2tp virtual-template 1 //使用虚模板1认证#interface Virtual-Template1 //配置L2TP虚模板ppp authentication-mode chap //配置ppp认证方式为chap，使用system默认域 remote address pool 1 //指定使用ip pool 1 给用户分配地址ip address 1.1.1.1 255.255.255.0#interface NULL0#interface GigabitEthernet0/0ip address 10.153.43.20 255.255.255.0#firewall zone trustadd interface GigabitEthernet0/0 //将Ge 0/0和虚接口加入trust区域add interface Virtual-Template1set priority 85#Return3.2 Windows自带拨号软件的设置由于Windows2000系统缺省情况下启动了IPSec功能，因此在发起VPN请求时应禁止IPS ec功能，在命令行模式下执行regedit命令，弹出“注册表编辑器”对话框。

防火墙F1000-A基于Windows自带VPN拨号软件的L2TP配置一组网需求PC作为L2TP的LAC端，F1000-A防火墙作为LNS端。

希望通过L2TP拨号的方式接入到对端防火墙。

二组网图如图所示，用户PC作为LAC，使用windows自带的拨号软件作为客户端软件，拨号接入到对端的SecPath防火墙。

软件版本如下：Version 5.20, Release 3102三、配置步骤3.1 防火墙上的配置#sysname F1000A#l2tp enable //开启L2TP功能#domain default enable system#vlan 1#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disableip pool 1 1.1.1.1 1.1.1.20 //配置拨号用户使用的地址池#local-user h3cpassword cipher G`M^B<SDBB[Q=^Q`MAF4<1!!service-type telnetlevel 3local-user zhengyamin //配置L2TP拨号用户使用的用户名和地址池password simple 123456level 3service-type ppp#l2tp-group 1 //配置L2TP组undo tunnel authentication //不使用隧道认证allow l2tp virtual-template 1 //使用虚模板1认证#interface Virtual-Template1 //配置L2TP虚模板ppp authentication-mode chap //配置ppp认证方式为chap，使用system 默认域remote address pool 1 //指定使用 ip pool 1 给用户分配地址ip address 1.1.1.1 255.255.255.0#interface NULL0#interface GigabitEthernet0/0ip address 10.153.43.20 255.255.255.0#firewall zone trustadd interface GigabitEthernet0/0 //将Ge 0/0和虚接口加入trust区域 add interface Virtual-Template1set priority 85#Return3.2 Windows自带拨号软件的设置由于Windows2000系统缺省情况下启动了IPSec功能，因此在发起VPN请求时应禁止IPSec功能，在命令行模式下执行regedit命令，弹出“注册表编辑器”对话框。