PPPoE+L2TP功能的配置(H3C MSR系列路由器)

H3C MSR830路由器L2TP VPN（WEB）配置在MSR路由器上配置L2TP VPN功能作为LNS，公网客户端直接使用系统自带客户端或者iNode等进行拨号访问MSR端内网服务器。

1.配置本地用户（用户名为vpdnuser，密码为Hello，服务类型为PPP）。

步骤1：在导航栏中选择“系统管理 > 用户管理”。

步骤2：单击“创建用户”页签。

步骤3：进行如下配置，如下图所示。

输入用户名为“vpdnuser”。

选择访问等级为“Configure”。

输入密码为“Hello”。

输入确认密码为“Hello”。

选择服务类型为“PPP服务”。

步骤4：点击<应用>按钮完成操作。

2.启用L2TP功能。

步骤1：在导航栏中选择“VPN > L2TP > L2TP配置”。

步骤2：如下图所示，选中“启用L2TP功能”前的复选框。

步骤3：单击<确定>按钮完成操作。

3.修改ISP域system的PPP认证方案。

步骤1：在L2TP配置页面单击<新建>按钮，进入新建L2TP用户组的页面。

步骤2：选择PPP认证方式为“CHAP”。

步骤3：选择ISP域名为“system”（缺省的ISP域）。

步骤4：单击“ISP域”下拉框后的<修改>按钮，进入修改ISP域的页面。

步骤5：如下图所示，选择PPP认证方案的主用方案服务器类型为“Local”。

步骤6：单击<确定>按钮完成ISP域的配置，返回到新建L2TP用户组的页面。

4.配置为用户侧分配地址所用的地址池。

步骤1：在新建L2TP用户组的页面单击“用户地址”下拉框后的<新建>按钮。

步骤2：在新建用户地址的页面进行如下配置，如下图所示。

选择域名为“system”。

输入地址池编号为“1”。

输入开始地址为“192.168.2.100”, 可以是任意地址，但不能与公司内网地址段相同。

输入结束地址为“192.168.2.254”，可以是任意地址，但不能与公司内网地址段相同。

H3CMSR系列路由器PPPPAP验证ACL功能配置PPPoE (Point-to-Point Protocol over Ethernet) Access Concentrator (AC)功能被广泛应用于许多网络环境，特别是在家庭和小型办公室中。

H3CMSR系列路由器为用户提供了一个强大的ACL (Access Control List)功能，它可以用于过滤和控制经过PPPoE AC的用户流量。

本篇文章将详细介绍如何配置H3CMSR系列路由器的PPPoE AC ACL功能。

ACL是一种用于过滤网络流量的机制，通过它可以实现对终端用户的访问控制。

ACL可以基于不同的条件进行配置，例如源IP地址、目标IP地址、协议类型、端口号等。

在PPPoEAC中，ACL可以用于限制特定用户的访问或阻止恶意用户对网络资源的不当使用。

首先，我们需要登录H3CMSR系列路由器的管理界面。

在浏览器中输入路由器的IP地址，然后输入正确的用户名和密码进行登录。

一旦登录成功，我们需要进入路由器的配置界面并选择“ACL”选项。

在ACL页面上，我们可以看到当前已经配置的ACL规则列表。

要配置新的ACL规则，我们可以点击“添加”按钮。

然后，我们需要提供规则的名称、描述和优先级。

接下来，我们需要配置匹配条件。

在PPPoEACACL中，可以通过源和目标IP地址、协议类型和端口号等条件进行匹配。

例如，我们可以使用源IP地址和目标IP地址来匹配特定用户的流量，或者使用协议类型和端口号来限制特定应用程序的访问。

选择匹配条件后，我们需要选择动作。

ACL可以采取允许或拒绝的动作来处理匹配的流量。

如果选择“允许”动作，则匹配的流量将被允许通过。

如果选择“拒绝”动作，则匹配的流量将被阻止。

设置完成后，点击“应用”按钮保存配置。

此时，我们所配置的ACL 规则将会生效。

另外，H3CMSR系列路由器还提供了高级ACL功能，可以更加精确地控制用户的访问。

H3C-MSR路由器配置路由器作为网络中的重要设备之一，扮演着连接不同网络、实现数据转发的关键角色。

H3C-MSR路由器作为一款功能强大、性能稳定的产品，被广泛应用于各种规模的网络中。

为了使H3C-MSR路由器能够正常工作并满足网络需求，正确的配置是至关重要的。

本文将详细介绍H3C-MSR路由器的配置方法，帮助用户快速上手。

一、基本配置1. 连接路由器首先，使用网线将H3C-MSR路由器的Console接口与计算机的串口相连。

然后，使用串口终端工具，如SecureCRT等，通过串口连接到路由器。

打开终端工具后，选择正确的串口号和波特率，确保与路由器连接成功。

2. 登录路由器成功连接到路由器后，输入登录用户名和密码，即可登录路由器的命令行界面。

默认的用户名为admin，密码为空。

为了提高安全性，建议用户在首次登录后立即修改密码。

3. 设定主机名在路由器命令行界面下，通过以下命令来为路由器设定一个主机名：configure terminalhostname <主机名>exit二、接口配置1. 配置接口IP地址为了使路由器能够与其他设备进行通信，需要为其配置IP地址。

假设要为接口GigabitEthernet 0/0/1配置IP地址为192.168.1.1，子网掩码为255.255.255.0，可以在命令行界面下执行以下命令：interface GigabitEthernet 0/0/1ip address 192.168.1.1 255.255.255.02. 配置接口描述接口描述功能可以使管理员更好地管理和识别各个接口。

为了对接口GigabitEthernet 0/0/1进行描述，可以使用以下命令：interface GigabitEthernet 0/0/1description <描述信息>3. 配置接口速率和双工模式根据网络需求和接口连接设备的性能要求，可以配置接口的速率和双工模式。

MSR系列路由器
L2TP OVER IPSEC功能配置
关键字：MSR;L2TP;IPsec;VPN
一、组网需求：
移动用户通过L2TP客户端软件接入LNS以访问总部内网，在PC和LNS之间交互的数据通过IPsec加密后传输。

设备清单：MSR系列路由器1台
PC 1台
二、组网图：
PC的配置如下：
在PC端，采用SECPOINT拨号软件，因此首先需要按照SECPOINT软件，然后再进行拨号连接。

在此假设已经按照此软件，接下来的配置如下：
第一步、创建一个连接，输入LNS地址10.1.1.1,如下：
第二步、设置Pre-share-key为123
第三步、输入VPN的名字“l2tp”，单击完成
第四步、双击刚创建好的连接“l2tp”，设置VPN连接属性，单击高级
第五步、选择IKE设置栏，设置野蛮模式，名字认证方式，并输入本端安全网关名字“pc”和对端安全网关设备名字“lns”。

注意要与LNS侧配置一致。

点击确定，此时就已经配置好PC，双击连接“l2tp”，输入用户名usera和密码usera，就可以连入LNS，访问内网了。

四、配置关键点：
1）
2）L2TP的认证最好采用域方式认证
3）IPsec协商方式采用野蛮方式，采用名字识别4）在接口里应用IPsec Policy
5）PC侧的配置要与LNS上的配置一致。

配置telnet登录telnet server enable创建本地账号与密码local-user adminpassword simple hnjb8013user-interface vty 0 4authentication-mode schemauser-role level-15配置WAN口地址<H3C>system-view[H3C]interface GigabitEthernet 0/0[H3C-GigabitEthernet0/0]ip address 119.57.73.67 255.255.255.248 //IP地址和掩码配置运营商分配的地址[H3C-GigabitEthernet0/0]quit2) 设置网网关[H3C]interface GigabitEthernet 0/1[H3C-GigabitEthernet0/1]ip address 192.168.1.1 24//网网关IP地址[H3C-GigabitEthernet0/1]quit设置DHCP<H3C>system-view[H3C]dhcp server ip-pool 1[H3C-dhcp-pool-1]network 192.168.1.0 mask 255.255.255.0[H3C-dhcp-pool-1]gateway-list 192.168.1.1[H3C-dhcp-pool-1]address range 192.168.1.2 192.168.1.200 地址池[H3C-dhcp-pool-1]dns-list202.106.0.20 114.114.114.114 //具体的运营商DNS 地址[H3C-dhcp-pool-1]quit4) 在WAN接口配置NAT，实现网地址上网进行源地址转换。

[H3C]interface GigabitEthernet 0/0[H3C-GigabitEthernet0/0]nat outbound5) 配置默认路由[H3C]ip route-static 0.0.0.0 0.0.0.0 119.57.73.65 //下一跳地址配置运营商分配的网关地址Nat一对一NAT<H3C>system-view[H3C]nat static outbound 192.168.1.248 119.57.73.70[H3C]interface GigabitEthernet0/0[H3C-GigabitEthernet0/0]ip address 119.57.73.70 255.255.255.248 sub[H3C-GigabitEthernet0/0]nat static enable[H3C-GigabitEthernet0/0]quitNAT端口映射<H3C>system-view[H3C]interface GigabitEthernet 0/0 //进入设备公网接口[H3C-GigabitEthernet0/0]nat server protocol tcp global 119.57.73.67 5366 inside 192.168.1.67 5366nat server protocol tcp global 119.57.73.67 5367 inside 192.168.1.67 5367nat server protocol tcp global 119.57.73.67 8081 inside 192.168.1.244 8081nat server protocol tcp global 119.57.73.67 8123 inside 192.168.1.250 8443nat server protocol tcp global 119.57.73.67 33890 inside 192.168.1.88 3389L2TP over ipsec1.开启L2TP功能。

H3C路由器L2TP配置详解H3C路由器L2TP配置详解1：引言L2TP（Layer 2 Tunneling Protocol）是一种用于在公共互联网上建立虚拟私人网络（VPN）连接的协议。

本文将详细介绍如何在H3C路由器上配置L2TP协议。

2：确认硬件和软件要求在开始配置L2TP协议之前，请确保满足以下硬件和软件要求：- H3C路由器设备- 最新的H3C路由器操作系统- 有效的许可证3：步骤一、创建L2TP配置文件要创建L2TP配置文件，请按照以下步骤操作：- 连接到H3C路由器设备。

- 使用管理员权限登录。

- 打开路由器CLI（命令行界面）。

- 进入全局配置模式。

- 创建L2TP配置文件，并配置相关参数，如：隧道名称、IP 地址、预共享密钥等。

4：步骤二、配置L2TP隧道一旦L2TP配置文件创建成功，您需要完成以下步骤来配置L2TP隧道：- 进入隧道配置模式。

- 配置隧道类型和IP地址范围。

- 配置L2TP隧道的其他参数，如：数据压缩、最大会话数等。

5：步骤三、配置L2TP服务继续按照以下步骤配置L2TP服务：- 进入L2TP服务配置模式。

- 配置L2TP服务相关参数，如：监听端口、报文加密方式等。

- 配置L2TP客户端的IP地址池。

6：步骤四、配置用户认证为了确保只有经过身份验证的用户才能访问L2TP隧道，您需要配置用户认证。

请按照以下步骤操作：- 进入L2TP用户池配置模式。

- 配置用户认证相关参数，如：认证方式、用户名密码等。

7：步骤五、保存和应用配置完成以上步骤后，请保存并应用您的配置，使其生效。

示例如下：- 保存当前配置。

- 退出并应用配置。

8：附件本文档涉及以下附件：- 示例配置文件- L2TP隧道配置示意图9：法律名词及注释- L2TP（Layer 2 Tunneling Protocol）：一种用于在公共互联网上建立虚拟私人网络（VPN）连接的协议。

- VPN（Virtual Private Network）：通过使用公共互联网等非专用传输网络，在不同的网络之间建立安全的连接。

L2TP是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似，比如同样可以对网络数据流进行加密。

那么H3C路由器L2TP怎么配置呢?下面跟一起来看看吧!目前，各大品牌厂商在无线路由器的配置设计方面增加了密钥、禁止SSID广播等多种手段，以保证无线网络的安全。

设置网络密钥;无线加密协议(WEP)是对无线网络中传输的数据进行加密的一种标准方法。

目前，无线路由器或AP的密钥类型一般有两种，分别为64位和128位的加密类型，它们分别需要输入10个或26个字符串作为加密密码。

许多无线路由器或AP在出厂时，数据传输加密功能是关闭的，必须在配置无线路由器的时候人工打开。

禁用SSID广播;通常情况下，同一生产商推出的无线路由器或AP都使用了相同的SSID，一旦那些企***非法连接的攻击者利用通用的'初始化字符串来连接无线网络，就极易建立起一条非法的连接，给我们的无线网络带来威胁。

因此，建议你最好能够将SSID命名为一些较有个性的名字。

无线路由器一般都会提供“允许SSID广播”功能。

如果你不想让自己的无线网络被别人通过SSID名称到，那么最好“禁止SSID广播”。

你的无线网络仍然可以使用，只是不会出现在其他人所到的可用网络列表中。

通过禁止SSID广播设置后，无线网络的效率会受到一定的影响，但以此换取安全性的提高，笔者认为还是值得的。

禁用DHCP;DHCP功能可在无线局域网内自动为每台电脑分配IP地址，不需要用户设置IP地址、子网掩码以及其他所需要的TCP/IP参数。

如果启用了DHCP功能，那么别人就能很容易使用你的无线网络。

因此，禁用DHCP功能对无线网络而言很有必要。

在无线路由器的“DHCP服务器”设置项下将DHCP服务器设定为“不启用”即可。

启用MAC地址、IP地址过滤在无线路由器的设置项中，启用MAC地址过滤功能时，要注意的是，在“过滤规则”中一定要选择“仅允许已设MAC地址列表中已生效的MAC地址访问无线网络”这类的选项。

H3C路由器设置概述H3C路由器是一种常用的网络设备，用于实现局域网和广域网之间的数据传输。

本文档将介绍如何进行H3C路由器的基本设置和配置。

硬件连接在进行H3C路由器的设置之前，确保已正确连接硬件设备。

以下是常见的硬件连接步骤：1.通过网线将H3C路由器的WAN口与外部网络连接，例如将WAN口连接到宽带调制解调器或其他网络设备。

2.使用网线将H3C路由器的LAN口与计算机或其他局域网设备连接。

登录路由器1.打开你的计算机的网络连接，并确保与H3C路由器连接的网线正常工作。

2.打开一个浏览器，输入H3C路由器的默认网关地址（一般为192.168.1.1或192.168.0.1）。

3.在浏览器中按下回车键后，将显示H3C路由器的登录页面。

4.输入默认的用户名和密码进行登录。

常见的默认用户名和密码是admin/admin或者root/admin。

如果你不确定，请参考H3C路由器的用户手册或者咨询网络管理员。

路由器基本设置完成登录后，可以进行以下基本设置：修改管理员密码为了保护路由器的安全，需要修改默认的管理员密码。

以下是修改管理员密码的步骤：1.在路由器的管理界面中，找到“系统管理”或“设置”选项。

2.点击“密码”或“管理员密码”选项。

3.输入当前的管理员密码。

4.输入新的管理员密码，并确认新密码。

5.点击“保存”或“应用”按钮以保存修改后的密码。

设置路由器名称为了便于识别和管理，可以设置一个自定义的路由器名称。

以下是设置路由器名称的步骤：1.在路由器的管理界面中，找到“系统管理”或“设置”选项。

2.点击“设备名称”或“路由器名称”选项。

3.输入新的路由器名称。

4.点击“保存”或“应用”按钮以保存修改后的路由器名称。

配置IP地址和子网掩码路由器需要一个IP地址和子网掩码才能与其他设备通信。

以下是配置IP地址和子网掩码的步骤：1.在路由器的管理界面中，找到“网络设置”或“LAN设置”选项。

2.点击“IP地址设置”或“IP配置”选项。

H3C MSR830路由器L2TP VPN（WEB）配置在MSR路由器上配置L2TP VPN功能作为LNS，公网客户端直接使用系统自带客户端或者iNode等进行拨端内网服务器。

号访问MSR1.配置本地用户（用户名为vpdnuser，密码为Hello，服务类型为PPP）。

步骤1：在导航栏中选择“系统管理> 用户管理”。

步骤2：单击“创建用户”页签。

步骤3：进行如下配置，如下图所示。

输入用户名为“vpdnuser”。

选择访问等级为“Configure”。

输入密码为“Hello”。

输入确认密码为“Hello”。

选择服务类型为“PPP服务”。

步骤4：点击<应用>按钮完成操作。

页脚内容12.启用L2TP功能。

步骤1：在导航栏中选择“VPN > L2TP > L2TP配置”。

步骤2：如下图所示，选中“启用L2TP功能”前的复选框。

步骤3：单击<确定>按钮完成操作。

3.修改ISP域system的PPP认证方案。

步骤1：在L2TP配置页面单击<新建>按钮，进入新建L2TP用户组的页面。

步骤2：选择PPP认证方式为“CHAP”。

步骤3：选择ISP域名为“system”（缺省的ISP域）。

步骤4：单击“ISP域”下拉框后的<修改>按钮，进入修改ISP域的页面。

页脚内容2步骤5：如下图所示，选择PPP认证方案的主用方案服务器类型为“Local”。

步骤6：单击<确定>按钮完成ISP域的配置，返回到新建L2TP用户组的页面。

4.配置为用户侧分配地址所用的地址池。

步骤1：在新建L2TP用户组的页面单击“用户地址”下拉框后的<新建>按钮。

步骤2：在新建用户地址的页面进行如下配置，如下图所示。

选择域名为“system”。

输入地址池编号为“1”。

输入开始地址为“192.168.2.100”, 可以是任意地址，但不能与公司内网地址段相同。

输入结束地址为“192.168.2.254”，可以是任意地址，但不能与公司内网地址段相同。

通过在外网口配置nat基本就OK了，以下配置假设Ethernet0/0为局域网接口，Ethernet0/1为外网口。

1、配置内网接口（Ethernet0/0）：[MSR20-20] interface Ethernet0/0[MSR20-20- Ethernet0/0]ip add 192.168.1.1 242、使用动态分配地址的方式为局域网中的PC分配地址[MSR20-20]dhcp server ip-pool 1[MSR20-20-dhcp-pool-1]network 192.168.1.0 24[MSR20-20-dhcp-pool-1]dns-list 202.96.134.133[MSR20-20-dhcp-pool-1] gateway-list 192.168.1.13、配置nat[MSR20-20]nat address-group 1 公网IP 公网IP[MSR20-20]acl number 3000[MSR20-20-acl-adv-3000]rule 0 permit ip4、配置外网接口（Ethernet0/1）[MSR20-20] interface Ethernet0/1[MSR20-20- Ethernet0/1]ip add 公网IP[MSR20-20- Ethernet0/1] nat outbound 3000 address-group 15．加默缺省路由[MSR20-20]route-stac 0.0.0.0 0.0.0.0 外网网关总结：在2020路由器下面,配置外网口,配置内网口,配置acl 作nat,一条默认路由指向电信网关. ok!Console登陆认证功能的配置关键词：MSR;console;一、组网需求：要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c，用户名和口令正确才能登录成功。

二、组网图：三、配置步骤：设备和版本：MSR系列、version 5.20, R1508P02：1) 在配置完成后，释放当前连接，重新连接设备即可。

H3CMSR3620基础上⽹及L2TP配置配置思路:启⽤---建⽤户给域---建域给虚模板接⼝--域给虚模板接⼝---虚模板接⼝给L2tp组l2tp enablelocal-user admin class network password simple admin service-type pppdomain abc authentication ppp localinterface Virtual-Template1 ppp authentication-mode chap domain abc remote address 192.168.20.2 ip address 192.168.20.1 255.255.255.0l2tp-group 1 mode lns allow l2tp virtual-template 1 undo tunnel authentication tunnel name LNS⼤写===================================[MSR3620]dis cur#version 7.1.049, Release 0106P21#sysname MSR3620#dhcp enable#password-recovery enable#vlan 1#dhcp server ip-pool pool11network 192.168.11.0 mask 255.255.255.0address range 192.168.11.100 192.168.11.200dns-list 202.99.166.4gateway-list 192.168.11.1#controller Cellular0/0#controller Cellular0/1#interface Aux0#interface Virtual-Template1--------------------(2)创建并进⼊虚模板接⼝1,配本地IP,远端IP(PPP⽤户的IP),PPP认证⽅式为chap并⼯作在名为abc 的域********ppp authentication-mode chap domain abcremote address 192.168.20.2ip address 192.168.20.1 255.255.255.0#interface NULL0#interface GigabitEthernet0/0port link-mode routecombo enable copperip address 172.16.11.200 255.255.255.0nat outbound#interface GigabitEthernet0/1port link-mode route#interface GigabitEthernet0/2port link-mode routeip address 192.168.11.1 255.255.255.0#scheduler logfile size 16#line class auxuser-role network-admin#line class ttyuser-role network-operator#line class vtyuser-role network-operator#line aux 0user-role network-admin#line vty 0 63user-role network-operator#ip route-static 0.0.0.0 0 172.16.11.254#domain abc--------------------------(1)创建并进⼊名为abc的域,为在虚模板接⼝virtual-template 1处认证配置处引⽤************* authentication ppp local-----------对PPP⽤户采取本地认证#domain system#aaa session-limit ftp 32aaa session-limit telnet 32aaa session-limit http 32aaa session-limit ssh 32aaa session-limit https 32domain default enable system#role name level-0description Predefined level-0 role#role name level-1description Predefined level-1 role#role name level-2description Predefined level-2 role#role name level-3description Predefined level-3 role#role name level-4description Predefined level-4 role#role name level-5description Predefined level-5 role#role name level-6description Predefined level-6 role#role name level-7description Predefined level-7 role#role name level-8description Predefined level-8 role#role name level-9description Predefined level-9 role#role name level-10description Predefined level-10 role#role name level-11description Predefined level-11 role#role name level-12description Predefined level-12 role#role name level-13description Predefined level-13 role#role name level-14description Predefined level-14 role#user-group system#local-user admin class network------------(0)创建并进⼊本地⽤户⽤于远端L2TP拨号时的⽤户名和密码password cipher admin//////////////$c$3$vxTKs5M4PsMkgGqspKJ6nkZvHuMM/l2u------配service-type ppp--------------------------------------------------------------配authorization-attribute user-role network-operator----------------------------默认#local-user h3c class networkpassword cipher $c$3$vqedKIgWBgpbwxyyVSgJ6guEj3njpg==service-type pppauthorization-attribute user-role network-operator#l2tp-group 1 mode lns-----------------(3)创建并进⼊编号为1的模式为lns的组************************* allow l2tp virtual-template 1---允许(指定)接收拨号呼叫的虚拟模板接⼝为VT1undo tunnel authentication---取消隧道认证tunnel name LNS---隧道名#l2tp enable---(00)启⽤l2tp协议**********************************#return[MSR3620]dis l2tp tunnelLocalTID RemoteTID State Sessions RemoteAddress RemotePort RemoteName61993 10 Established 1 172.16.11.22 1701 User-2021DHRAIW[MSR3620]dis l2tp sessionLocalSID RemoteSID LocalTID State46887 1 61993 Established[MSR3620]dis versionH3C Comware Software, Version 7.1.049, Release 0106P21Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights reserved.H3C MSR36-20 uptime is 0 weeks, 0 days, 3 hours, 11 minutesLast reboot reason : Power onBoot image: cfa0:/msr36-cmw710-boot-r0106p21.binBoot image version: 7.1.049P16, Release 0106P21Compiled Jan 07 2015 18:16:01System image: cfa0:/msr36-cmw710-system-r0106p21.binSystem image version: 7.1.049, Release 0106P21Compiled Jan 07 2015 18:16:01CPU ID: 0x22G bytes DDR3 SDRAM Memory8M bytes Flash MemoryPCB Version: 2.0CPLD Version: 2.0Basic BootWare Version: 1.42Extended BootWare Version: 1.42[SLOT 0]AUX (Hardware)2.0, (Driver)1.0, (CPLD)2.0[SLOT 0]GE0/0 (Hardware)2.0, (Driver)1.0, (CPLD)2.0[SLOT 0]GE0/1 (Hardware)2.0, (Driver)1.0, (CPLD)2.0[SLOT 0]GE0/2 (Hardware)2.0, (Driver)1.0, (CPLD)2.0[SLOT 0]CELLULAR0/0 (Hardware)2.0, (Driver)1.0, (CPLD)2.0[SLOT 0]CELLULAR0/1 (Hardware)2.0, (Driver)1.0, (CPLD)2.0[MSR3620]quit<MSR3620>quit%Jan 7 12:58:41:650 2022 MSR3620 SHELL/5/SHELL_LOGOUT: TTY logg******************************************************************************* Copyright (c) 2004-2014 Hangzhou H3C Tech. Co., Ltd. All rights reserved. * * Without the owner's prior written consent, ** no decompiling or reverse-engineering shall be allowed. *******************************************************************************Line aux0 is available.Press ENTER to get started.。

H3C MSR830路由器L2TP VPN（WEB)配置在MSR路由器上配置L2TP VPN功能作为LNS，公网客户端直接使用系统自带客户端或者iNode等进行拨号访问MSR端内网服务器.1.配置本地用户（用户名为vpdnuser,密码为Hello,服务类型为PPP）.步骤1:在导航栏中选择“系统管理 > 用户管理”。

步骤2：单击“创建用户"页签。

步骤3：进行如下配置，如下图所示。

✓输入用户名为“vpdnuser”.✓选择访问等级为“Configure”。

✓输入密码为“Hello”。

✓输入确认密码为“Hello”。

✓选择服务类型为“PPP服务”.步骤4：点击〈应用〉按钮完成操作。

2.启用L2TP功能.步骤1：在导航栏中选择“VPN > L2TP 〉 L2TP配置”。

步骤2：如下图所示，选中“启用L2TP功能”前的复选框。

步骤3：单击〈确定〉按钮完成操作。

3.修改ISP域system的PPP认证方案。

步骤1：在L2TP配置页面单击〈新建>按钮,进入新建L2TP用户组的页面。

步骤2：选择PPP认证方式为“CHAP”。

步骤3:选择ISP域名为“system”（缺省的ISP域）.步骤4:单击“ISP域”下拉框后的〈修改〉按钮，进入修改ISP域的页面。

步骤5:如下图所示,选择PPP认证方案的主用方案服务器类型为“Local”。

步骤6：单击〈确定>按钮完成ISP域的配置,返回到新建L2TP用户组的页面。

4.配置为用户侧分配地址所用的地址池。

步骤1：在新建L2TP用户组的页面单击“用户地址"下拉框后的〈新建〉按钮。

步骤2：在新建用户地址的页面进行如下配置，如下图所示.✓选择域名为“system”.✓输入地址池编号为“1”。

✓输入开始地址为“192。

168.2。

100”, 可以是任意地址，但不能与公司内网地址段相同。

✓输入结束地址为“192.168。

2.254”，可以是任意地址，但不能与公司内网地址段相同。

7 相关资料1 简介本文档介绍IPsec的典型配置举例。

2 配置前提本文档适用于使用Comware V7软件版本的MSR系列路由器，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解IPsec特性。

3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例3.1 组网需求如图1所示，PPP用户Host与Device建立L2TP隧道，Windows server 2003作为CA服务器，要求：•通过L2TP隧道访问Corporate network。

•用IPsec对L2TP隧道进行数据加密。

•采用RSA证书认证方式建立IPsec隧道。

图1 基于证书认证的L2TP over IPsec配置组网图3.2 配置思路由于使用证书认证方式建立IPsec隧道，所以需要在ike profile中配置local-identity 为dn，指定从本端证书中的主题字段取得本端身份。

3.3 使用版本本举例是在R0106版本上进行配置和验证的。

3.4 配置步骤3.4.1 Device的配置(1) 配置各接口IP地址# 配置接口GigabitEthernet2/0/1的IP地址。

<Device> system-view[Device] interface gigabitethernet 2/0/1[Device-GigabitEthernet2/0/1] ip address 192.168.100.50 24[Device-GigabitEthernet2/0/1] quit# 配置接口GigabitEthernet2/0/2的IP地址。

[Device] interface gigabitethernet 2/0/2[Device-GigabitEthernet2/0/2] ip address 102.168.1.11 24[Device-GigabitEthernet2/0/2] quit# 配置接口GigabitEthernet2/0/3的IP地址。

h3c l2tp vpn配置远程用户-------internet-------F100 采用l2tp方式sysname XXXX //设备名称#l2tp enable //开启l2tp功能#firewall packet-filter enablefirewall packet-filter default permit#undo connection-limit enableconnection-limit default denyconnection-limit default amount upper-limit 50 lower-limit 20 #firewall statistic system enable#radius scheme systemserver-type extended#domain systemip pool 1 192.1.2.2 192.1.2.10#local-user adminpassword cipher .]@USE=B,53Q=^Q`MAF4<1!!service-type telnet terminallevel 3local-user xxx //配置拨号用户password simple 123456service-type pppinterface Virtual-Template1 //配置虚拟接口模板1及其验证方式 ppp authentication-mode papip address 192.168.2.1 255.255.255.0remote address pool 1#interface Ethernet1/0ip address 172.16.2.2 255.255.255.252#interface Ethernet2/0speed 10duplex halfip address 60.6.3.136 255.255.255.0#interface NULL0#firewall zone localset priority 100#firewall zone trust //把虚拟接口模板添加进入安全域add interface Ethernet1/0add interface Virtual-Template1set priority 85#firewall zone untrustadd interface Ethernet2/0set priority 5#firewall zone DMZset priority 50#firewall interzone local trust#firewall interzone local untrust#firewall interzone local DMZ#firewall interzone trust untrust#firewall interzone trust DMZ#firewall interzone DMZ untrust#l2tp-group 1 //配置l2tp组1undo tunnel authentication //取消隧道验证allow l2tp virtual-template 1 //配置使用名字的方式发起l2tp连接#FTP server enable#telnet source-interface Ethernet1/0#undo dhcp enable#ip route-static 0.0.0.0 0.0.0.0 60.6.3.1 preference 60 //配置静态默认路由 ip route-static 192.1.100.0 255.255.255.0 172.16.2.1 preference 60 //配置到内网静态路由ip route-static 192.2.100.0 255.255.255.0 172.16.2.1 preference 60 //配置到内网静态路由#user-interface con 0user-interface vty 0 4authentication-mode scheme #return。