最新华为防火墙l2tp配置资料
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
配置Client-Initialized方式的L2TP举例
组网需求
如图1所示,某公司的网络环境描述如下:
∙公司总部通过USG5300与Internet连接。
∙出差员工需要通过USG5300访问公司总部的资源。
图1配置Client-Initialized方式的L2TP组网图
配置L2TP,实现出差员工能够通过L2TP隧道访问公司总部资源,并与公司总部用户进行通信。
配置思路
1配置客户端。
2根据网络规划为防火墙分配接口,并将接口加入相应的安全区域。
3配置防火墙策略。
4配置LNS。
数据准备
为完成此配置例,需准备如下的数据:
∙防火墙各接口的IP地址。
∙本地用户名和密码。
操作步骤
配置客户端。说明:如果客户端的操作系统为Windows系列,请首先进行如下操作。
1在“开始> 运行”中,输入regedit命令,单击“确定”,进入注册表编辑器。
1在界面左侧导航树中,定位至“我的电脑> HKEY_LOCAL_MACHINE >
SYSTEM > CurrentControlSet > Services > Rasman > Parameters”。在该路径下右
侧界面中,检查是否存在名称为ProhibitIpSec、数据类型为DWORD的键值。
如果不存在,请单击右键,选择“新建> DWORD值”,并将名称命名为
ProhibitIpSec。如果此键值已经存在,请执行下面的步骤。
1选中该值,单击右键,选择“修改”,编辑DWORD值。在“数值数据”文本框
中填写1,单击“确定”。
1重新启动该PC,使修改生效。
此处以Windows XP Professional操作系统为例,介绍客户端的配置方法。
# 客户端主机上必须装有L2TP客户端软件,并通过拨号方式连接到Internet。
# 配置客户端计算机的主机名为client1。
# 创建L2TP连接。
1打开“我的电脑> 控制面板> 网络连接”,在“网络任务”中选择“创建一个
新的连接”,在弹出的界面中选择“下一步”。
1在“网络连接类型”中选择“连接到我的工作场所的网络”,单击“下一步”。
1在“网络连接”中选择“虚拟专用网络连接”,单击“下一步”。
1在“连接名”下的“公司名”文本框中设置公司名称或VPN服务器名称,本例
设置为LNS,单击“下一步”。
1在“公用网络”中选择“不拨初始连接”,单击“下一步”。
1在“VPN服务器选择”中填写LNS的IP地址,此处设置的IP地址为USG5300
与Internet连接接口的IP地址,本配置例中为202.38.161.1,单击“下一步”。
1将“在我的桌面上添加一个到此连接的快捷方式”选中,单击“完成”。
在弹出的对话框中,输入在LNS上配置的用户名和密码,单击“属性”,如图2所示。图2连接LNS
单击“属性”,设置如图3所示。图3设置LNS属性的选项页签
单击“安全”页签,选择“高级(自定义设置)”,单击“设置”,如图4所示。图4设置LNS属性的安全页签
在“高级安全设置”中设置如图5所示,单击“确定”。图5高级安全设置
单击“网络”页签,设置如图6所示。图6设置LNS的网络页签
单击“确定”,完成设置,返回至图2。单击“确定”,发起L2TP连接。配置LNS。# 创建虚拟接口模板。
[USG5300] interface Virtual-Template 1
# 配置虚拟接口模板的IP地址。
[USG5300-Virtual-Template1] ip address 10.1.1.1 24
# 配置PPP认证方式为CHAP。
[USG5300-Virtual-Template1] ppp authentication-mode chap
# 配置为对端分配IP地址池中的地址。
[USG5300-Virtual-Template1] remote address pool 1
[USG5300-Virtual-Template1] quit
说明:此处指定的地址池号需要与AAA视图下配置的地址池的相对应。
# 配置接口GigabitEthernet 0/0/1的IP地址。
[USG5300] interface GigabitEthernet 0/0/1
[USG5300-GigabitEthernet0/0/1] ip address 202.38.161.1 24
[USG5300-GigabitEthernet0/0/1] quit
# 将接口GigabitEthernet 0/0/1、虚拟接口模板加入Untrust区域。
[USG5300] firewall zone untrust
[USG5300-zone-untrust] add interface GigabitEthernet 0/0/1
[USG5300-zone-untrust] add interface Virtual-Template 1
[USG5300-zone-untrust] quit
# 配置接口GigabitEthernet 0/0/2的IP地址。
[USG5300] interface GigabitEthernet 0/0/2
[USG5300-GigabitEthernet0/0/2] ip address 192.168.0.1 24
[USG5300-GigabitEthernet0/0/2] quit
# 将接口GigabitEthernet 0/0/2加入Trust区域。
[USG5300] firewall zone trust
[USG5300-zone-trust] add interface GigabitEthernet 0/0/2
[USG5300-zone-trust] quit
# 在Trust和Untrust域间配置防火墙策略。
[USG5300] policy interzone trust untrust inbound
[USG5300-policy-interzone-trust-untrust-inbound] policy 1
[USG5300-policy-interzone-trust-untrust-inbound-1] action permit
[USG5300-policy-interzone-trust-untrust-inbound-1] quit
[USG5300-policy-interzone-trust-untrust-inbound] quit
[USG5300] policy interzone trust untrust outbound
[USG5300-policy-interzone-trust-untrust-outbound] policy 1
[USG5300-policy-interzone-trust-untrust-outbound-1] action permit
[USG5300-policy-interzone-trust-untrust-outbound-1] quit
[USG5300-policy-interzone-trust-untrust-outbound] quit
# 在Local和Untrust域间配置防火墙策略。
[USG5300] policy interzone local untrust inbound
[USG5300-policy-interzone-local-untrust-inbound] policy 1
[USG5300-policy-interzone-local-untrust-inbound-1] action permit
[USG5300-policy-interzone-local-untrust-inbound-1] quit
[USG5300-policy-interzone-local-untrust-inbound] quit
[USG5300] policy interzone local untrust outbound
[USG5300-policy-interzone-local-untrust-outbound] policy 1
[USG5300-policy-interzone-local-untrust-outbound-1] action permit
[USG5300-policy-interzone-local-untrust-outbound-1] quit
[USG5300-policy-interzone-local-untrust-outbound] quit
说明:由于LNS需要为拨号用户分配IP地址,使拨号用户能够访问内网资源,同时需要允许虚拟接口模板所在的安全区域与Local安全区域的互通,因此需要配置上述两个域间的防火墙策略。
# 开启L2TP功能。
[USG5300] l2tp enable
# 创建L2TP组。