华为路由器L2TPVPN配置案例

通过在外网口配置nat基本就OK 了，以下配置假设EthernetO/O为局域网接口,EthernetO/1 为外网口。

1、配置内网接口( EthernetO/O):[MSR20-20 ] in terface EthernetO/O[MSR20-20 - EthernetO/O]ip add 192.168.1.1 242、使用动态分配地址的方式为局域网中的PC分配地址[MSR20-20 ]dhcp server ip-pool 1[MSR20-20 -dhcp-pool-1]network 192.168.1.0 24[MSR20-20 -dhcp-pool-1]dns-list 202.96.134.133[MSR20-20 -dhcp-pool-1] gateway-list 192.168.1.13、配置nat[MSR20-20 ]nat address-group 1 公网IP 公网IP[MSR20-20 ]acl number 3000[MSR20-20 -acl-adv-3000]rule 0 permit ip4、配置外网接口( EthernetO/1)[MSR20-20 ] in terface EthernetO/1[MSR20-20 - Ethernet0/1]ip add 公网IP[MSR20-20 - EthernetO/1] nat outbound 3000 address-group 15 .加默缺省路由[MSR20-20 ]route-stac 0.0.0.0 0.0.0.0 夕卜网网关总结：在2020路由器下面，配置外网口，配置内网口，配置acl作nat,一条默认路由指向电信网关.ok!Console登陆认证功能的配置关键词：MSR;co nsole;一、组网需求：要求用户从con sole登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。

路由器L2TP设置（⾃发隧道模式）路由器 L2TP设置（⾃发隧道模式）⼀、组⽹需求：要求外⽹的VPN客户端使⽤L2TP VPN拨⼊RSR路由器，然后访问内⽹服务器和应⽤⼆、组⽹拓扑：三、配置要点：1、锐捷设备⽀持作为L2TP VPN 服务端和客户端2、配置VPN前要确认路由器上⽹正常四、配置步骤VPN服务端的配置步骤⼀：配置VPN相关参数Ruijie>enable ------>进⼊特权模式Ruijie#configure terminal ------>进⼊全局配置模式Ruijie(config)#vpdn enable ------>开启vpdnRuijie(config)#vpdn-group l2tp ------>创建⼀个VPDN组，命名为l2tpRuijie(config-vpdn)#accept-dialin ------>允许拨号Ruijie(config-vpdn-acc-in)#protocol l2tp ------>协议为l2tpRuijie(config-vpdn-acc-in)#virtual-template 1 ------>引⽤虚模板1，在步骤三中配置Ruijie(config-vpdn-acc-in)#exitRuijie(config-vpdn)#no l2tp tunnel authentication ------>隧道不加密（windows客户端不⽀持L2TP VPN隧道加密）Ruijie(config-vpdn)#exit步骤⼆：配置⽤户和地址池Ruijie(config)#username test password test ------>创建⼀个账户，⽤户和密码都是testRuijie(config)#ip local pool vpn 192.168.1.100 192.168.1.110 ------>创建vpn拨⼊的地址池，命名为vpn，给vpn客户端分配范围是192.168.1.100-110Ruijie(config)#interface loopback 0 ------>配置loopback 0 ,作为vpn客户端的⽹关地址Ruijie(config-if-Loopback 0)#ip address 192.168.1.1 255.255.255.0Ruijie(config-if-Loopback 0)#exit步骤三：配置虚拟模板Ruijie(config)#interface virtual-template 1 ------>创建虚模板1Ruijie(config-if)#ppp authentication chap ------>加密⽅式为chap Ruijie(config-if)#ip unnumbered loopback 0 ------>关联loopback 0 ,作为vpn 客户端的⽹关地址Ruijie(config-if)#peer default ip address pool vpn ------>引⽤地址范围，在步骤⼆中配置Ruijie(config-if)#ip nat inside ------>VPN客户端参与NAT步骤四：检查和保存配置Ruijie(config)#end ------>退出到特权模式Ruijie#write ------>确认配置正确，保存配置电脑客户端配置电脑作为L2TP VPN 客户端时需要修改注册表，参见附件或通过⽹络搜索。

2 L2TPv3配置关于本章在IP网络中配置L2TPv3隧道，实现二层数据在三层网络的透明传输。

2.1 L2TPv3简介介绍L2TPv3的定义和目的。

2.2 L2TPv3原理介绍介绍L2TPv3实现原理。

2.3 L2TPv3应用场景介绍L2TPv3的应用场景。

2.4 L2TPv3配置注意事项介绍部署L2TPv3的注意事项。

2.5 配置L2TPv3介绍L2TPv3详细的配置过程。

2.6 监控L2TPv3隧道运行状况2.7 L2TPv3配置举例介绍L2TPv3特性在不同场景的配置示例，包括组网需求、配置思路、配置步骤等。

2.1 L2TPv3简介介绍L2TPv3的定义和目的。

定义二层隧道协议第三版L2TPv3(Layer Two Tunneling Protocol - Version 3)是一种二层隧道技术，可以透传多种二层报文（如PPP、Ethernet、HDLC、ATM等），运用于用户侧的二层接入链路在分组交换网络中透明传递。

说明目前仅支持透传以太报文（除BPDU报文）且用户侧接入端口仅支持VLANIF、WAN和子接口。

目的用户需要在分支和总部或者分支之间建立二层连接时，可以通过部署VLL（VirtualLeased Line）来实现，但是VLL的部署成本太高。

通过L2TPv3提供二层连接，只做以太二层透传，不用对现有的IP网络做升级改造，从而节省运营商网络建设投资，使各企业可以享受到更低费用的服务。

2.2 L2TPv3原理介绍介绍L2TPv3实现原理。

如图2-1所示，企业分支局域网之间想通过IP网络进行二层数据通信，在企业出口网关处配置了L2TPv3功能。

图2-1 L2TPv3组网图相关概念●LCCE控制连接终点LCCE（L2TP Control Connection Endpoint）：L2TP控制连接隧道任意一端的L2TP节点。

它既可以是LAC，也可以是LNS。

取决于在数据链路层还是在网络层处理隧道帧。

使用L2TP VPN连接总部和分部跨互联网的内网机器可以互相通信L2TP，即二层遂道协议，用来在IP网络建立加密遂道。

routeros可以做为L2TP的服务器，也可以做为L2TP的客户端。

公司总部路由器做L2TP服务器，公司分部接入路由器做L2TP客户端，两台路由器通过L2TP 连接后，两公司的内部的机器可以互相直接通信。

下面有一个布置实例。

先说一下网络拓扑结构。

总部路由器LAN侧网络使用私有地址10.1.1.254，WAN侧公网地址是201.1.1.1，总部路由器通过配置NAT使用LAN内部机器可以访问互联网。

分部中由器LAN侧网络使用私有地址192.168.1.254，WAN侧公网地址是202.1.1.4，分部路由器也通过配置NAT使用LAN内部机器可以访问互联网。

众所周知，此时，总部LAN内部机器是不可能直接和分部LAN内部机器直接通信。

因为各LAN内部机器用的是私有地址。

拓扑图如下：ISP----201.1.1.1 总部路由器10.1.1.254-----LAN交换机------ PC 192.168.1.1ISP----202.1.1.4 分部路由器182.168.1.254-----LAN交换机-------- PC 192.168.1.1经过L2TP VPN的配置，最终的目标是在两路由器之间建立L2TP会话，再通过静态路由，使用的两台处于内网的PC可以直接通信。

如下：ISP----201.1.1.1 总部路由器10.1.1.254-----LAN交换机------ PC 192.168.1.1|L2TP会话(总部端IP是172.16.1.1,分部端IP 是172.16.1.2)|ISP----202.1.1.4 分部路由器182.168.1.254-----LAN交换机-------- PC 192.168.1.1最终的路由效果如下：#总部内网机器到分部内网机器的路径，可以看到路径是走L2TP会话(172.16.1.1-172.16.1.2)的。

配置Client-Initialized方式的L2TP举例组网需求如图1所示，某公司的网络环境描述如下：•公司总部通过USG5300与Internet连接。

•出差员工需要通过USG5300访问公司总部的资源。

图1配置Client-Initialized方式的L2TP组网图配置L2TP，实现出差员工能够通过L2TP隧道访问公司总部资源，并与公司总部用户进行通信。

配置思路1配置客户端。

2根据网络规划为防火墙分配接口，并将接口加入相应的安全区域。

3配置防火墙策略。

4配置LNS。

数据准备为完成此配置例，需准备如下的数据：•防火墙各接口的IP地址。

•本地用户名和密码。

操作步骤配置客户端。

说明：如果客户端的操作系统为Windows系列，请首先进行如下操作。

1在“开始> 运行”中，输入regedit命令，单击“确定”，进入注册表编辑器。

1在界面左侧导航树中，定位至“我的电脑> HKEY_LOCAL_MACHINE >SYSTEM > CurrentControlSet > Services > Rasman > Parameters”。

在该路径下右侧界面中，检查是否存在名称为ProhibitIpSec、数据类型为DWORD的键值。

如果不存在，请单击右键，选择“新建> DWORD值”，并将名称命名为ProhibitIpSec。

如果此键值已经存在，请执行下面的步骤。

1选中该值，单击右键，选择“修改”，编辑DWORD值。

在“数值数据”文本框中填写1，单击“确定”。

1重新启动该PC，使修改生效。

此处以Windows XP Professional操作系统为例，介绍客户端的配置方法。

# 客户端主机上必须装有L2TP客户端软件，并通过拨号方式连接到Internet。

# 配置客户端计算机的主机名为client1。

# 创建L2TP连接。

1打开“我的电脑> 控制面板> 网络连接”，在“网络任务”中选择“创建一个新的连接”，在弹出的界面中选择“下一步”。

IMC作为l2tp vpn用户接入服务器配置案例还需要建立到VPN服务器的连接。

首先进入我的电脑的"拨号网络"中，双击"建立新连接"，然后在"请键入对方计算机的名称"输入连接名，比如为"局域网内的VPN连接"，在"选择设备"下一定不要忘了选中"Microsoft VPN Adapter"项！再"下一步"。

接着出现"请输入VPN服务器的名称或IP地址"，在其下的文字框中输入Win2K服务器的名字或IP地址，比如此处为"192.168.0.1"，再根据提示操作即可建立成功！然后在"拨号网络"中双击刚才建立好的"局域网内的VPN连接"图标，再输入相应的用户名(需具有拨入服务器的权限)和密码，再按"连接"按钮。

如果成功连接到了VPN服务器，此时就会像普通拨号上网成功一样，在任务栏右下角会出现两个小电脑的图标，双击它即可出现连接状态小窗口。

首先得确保服务器已经连入了Internet，用ipconfg测出其在Internet上合法的IP地址。

在XXX客户机端参照本节上文相关内容建立一个新的VPN连接，在相应处输入服务器在Internet上的合法的IP 地址；然后将客户机端也拨入Internet，再双击所建立的VPN连接，输入相应用用户名和密码再点"连接"按钮。

连接成功之后可以看到，双方的任务栏右侧均会出现两个拨号网络成功运行的图标，其中一个是到Intenet的连接，另一个则是VPN的连接了！当双方建立好了通过Internet的VPN连接后，即相当于又在Internet上建立好了一个双方专用的虚拟通道，而通过此通道，双方可以在网上邻居中进行互访，也就是说相当于又组成了一个局域网络！这个网络是双方专用的，而且具体良好的保密性能。

L2TP VPN在ENSP上的配置1、客户LAC模式1）本地下载华为VPN客户端，输入用户名和密码（不带域），并进行客户端配置。

2）启用本地的环回测试口，通过ENSP的云模型与路由器连接，并配置环回测试口的IP地址与直连的路由器在同一个网段。

3）在LNS上面进行相关参数配置。

#启用L2TP功能[LNS]l2tp enable[LNS]l2tp-group 1[LNS..]tunnel name LNS[LNS..]tunnel authentication[LNS..]tunnel password cipher 123(与客户端的隧道验证密码一致)[LNS..]allow l2tp virtual-template 1 remote LAC(与客户端的隧道名称一致)#用户身份验证[LNS]aaa[LNS-aaa]local-user test passwork cipher test(与客户端配置的用户名和密码一致)[LNS-aaa]local-user test service-type ppp#配置地址池[LNS]ip pool 1[LNS..]network 10.1.0.0 mask 255.255.255.0[LNS]int virtual-template 1[LNS..]ip address 10.1.0.1 24（与地址池同网段）[LNS..]ppp authentication-mode chap[LNS..]remote address pool 12、独立LAC模式1）新建连接向导->连接到Internet->手动设置我的连接->用要求用户名和密码的宽带连接来连接->ISP名称->用户名和密码（与LAC上配置的一致）2）启用本地的环回测试口，通过ENSP的云模型与路由器连接，并配置环回测试口的IP地址是自动获取。

3）在LAC上面进行相关参数配置。

解决:外出员工电脑通过l2tp方式拨入公司内网情况.情景:外出员工通过路由器共象等方式上网.拨公司pptp进行办公经常不通，但是L2TP一般没有问题.Client—Initiated VPN组网图：L2TP-CLIENT（可能接了路由器共享上网）—----外部公共网络--———（1。

1.1.1）公司L2TP—vpn服务器(lan口192。

168。

99.244)-——-—-公司内网（假设内网三层其中一个虚拟接口ip192.168.99.254）配置：VPN用户访问公司总部过程如下：(1）用户首先连接Internet，之后直接由用户向LNS发起Tunnel连接的请求.(2)在LNS接受此连接请求之后，VPN用户与LNS之间就建立了一条虚拟的L2TP tunnel。

（3)用户与公司总部间的通信都通过VPN用户与LNS之间的隧道进行传输. （1)用户侧的配置在用户侧主机上必须装有L2TP的客户端软件，如WinVPN Client,并且用户通过拨号方式连接到Internet。

然后再进行如下配置（设置的过程与相应的客户端软件有关，以下为设置的内容）：# 在用户侧设置VPN用户名为vpdnuser，密码为Hello。

＃将LNS的IP地址设为安全网关的Internet接口地址（本例中LNS侧与隧道相连接的以太网接口的IP地址为1.1。

2。

2）。

＃修改连接属性，将采用的协议设置为L2TP，将加密属性设为自定义,并选择CHAP验证,进行隧道验证,隧道的密码为:aabbcc。

(2）LNS侧的配置# 设置用户名及密码(应与用户侧的设置一致）。

〈LNS〉 system—view[LNS］ local-user vpdnuser［LNS-luser-vpdnuser] password simple Hello[LNS—luser-vpdnuser］ service-type ppp[LNS—luser-vpdnuser] quit# 对VPN用户采用本地验证.[LNS] domain system［LNS—isp—system] authentication ppp local［LNS-isp-system] ip pool 1 10。