配置Client-Initialized方式的L2TP举例.doc

配置Client-Initialized方式的L2TP举例组网需求如图1所示，某公司的网络环境描述如下： 公司总部通过Eudemon与Internet连接。 出差员工需要通过Eudemon访问公司总部的资源。图1 配置Client-Initialized方式的L2TP组网图 设备接口IP地址LNSGigabitEthernet 0/0/1202.38.161.1GigabitEthernet 0/0/0192.168.0.1配置L2TP，实现出差员工能够通过L2TP隧道访问公司总部资源，并与公司总部用户进行通信。配置思路1. 配置客户端。2. 根据网络规划为Eudemon分配接口，并将接口加入相应的安全区域。3. 配置包过滤。4. 配置LNS。数据准备为完成此配置例，需准备如下的数据： Eudemon各接口的IP地址。 本地用户名和密码。操作步骤1. 配置客户端。 说明： 如果客户端的操作系统为Windows系列，请首先进行如下操作。a. 在“开始 运行”中，输入regedit命令，单击“确定”，进入注册表编辑器。b. 在界面左侧导航树中，定位至“我的电脑 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Rasman Parameters”。在该路径下右侧界面中，检查是否存在名称为ProhibitIpSec、数据类型为DWORD的键值。如果不存在，请单击右键，选择“新建 DWORD值”，并将名称命名为ProhibitIpSec。如果此键值已经存在，请执行下面的步骤。c. 选中该值，单击右键，选择“修改”，编辑DWORD值。在“数值数据”文本框中填写1，单击“确定”。d. 重新启动该PC，使修改生效。此处以Windows XP Professional操作系统为例，介绍客户端的配置方法。# 客户端主机上必须装有L2TP客户端软件，并通过拨号方式连接到Internet。本配置例中使用Windows操作系统自带的L2TP客户端软件。# 配置客户端计算机的主机名为client1。# 创建L2TP连接。e. 打开“我的电脑 控制面板 网络连接”，在“网络任务”中选择“创建一个新的连接”，在弹出的界面中选择“下一步”。f. 在“网络连接类型”中选择“连接到我的工作场所的网络”，单击“下一步”。g. 在“网络连接”中选择“虚拟专用网络连接”，单击“下一步”。h. 在“连接名”下的“公司名”文本框中设置公司名称或VPN服务器名称，本例设置为LNS，单击“下一步”。i. 在“公用网络”中选择“不拨初始连接”，单击“下一步”。j. 在“VPN服务器选择”中填写LNS的IP地址，此处设置的IP地址为Eudemon与Internet连接接口的IP地址，本配置例中为202.38.161.1，单击“下一步”。k. 根据需要，在“可用连接”中选择“任何人使用”或“只是我使用”，单击“下一步”。l. 将“在我的桌面上添加一个到此连接的快捷方式”选中，单击“完成”。m. 在弹出的对话框中，输入VPN用户名、密码，单击“属性”，如图2所示。图2 连接LNS n. 单击“选项”页签，设置如图3所示。图3 设置LNS属性的选项页签 o. 单击“安全”页签，选择“高级（自定义设置）”，单击“设置”，如图4所示。图4 设置LNS属性的安全页签 p. 在“高级安全设置”中设置如图5所示，单击“确定”。图5 高级安全设置 q. 单击“网络”页签，设置如图6所示。图6 设置LNS的网络页签 r. 单击“确定”，完成设置，返回至图2。单击“确定”，发起L2TP连接。2. 配置LNS。 # 创建虚拟接口模板。 system-viewEudemon interface Virtual-Template 1# 配置虚拟接口模板的IP地址。Eudemon-Virtual-Template1 ip address 10.1.1.1 24# 配置PPP认证方式为CHAP。Eudemon-Virtual-Template1 ppp authentication-mode chap# 配置为对端分配IP地址池中的地址。Eudemon-Virtual-Template1 remote address pool 1Eudemon-Virtual-Template1 quit说明： 此处指定的地址池号需要与AAA视图下配置的地址池的相对应。# 配置接口GigabitEthernet 0/0/1的IP地址。Eudemon interface GigabitEthernet 0/0/1Eudemon-GigabitEthernet0/0/1 ip address 202.38.161.1 24Eudemon-GigabitEthernet 0/0/1 quit# 将接口GigabitEthernet 0/0/1、虚拟接口模板加入Untrust区域。Eudemon firewall zone untrustEudemon-zone-untrust add interface GigabitEthernet 0/0/1Eudemon-zone-untrust add interface Virtual-Template 1Eudemon-zone-untrust quit# 配置接口GigabitEthernet 0/0/0的IP地址。Eudemon interface GigabitEthernet 0/0/0Eudemon-GigabitEthernet0/0/0 ip address 192.168.0.1 24Eudemon-GigabitEthernet0/0/0 quit# 将接口GigabitEthernet 0/0/0加入Trust区域。Eudemon firewall zone trustEudemon-zone-trust add interface GigabitEthernet 0/0/0Eudemon-zone-trust quit# 配置ACL。Eudemon acl 3000Eudemon-acl-adv-3000 rule permit ipEudemon-acl-adv-3000 quitEudemon acl 3001Eudemon-acl-adv-3001 rule permit ipEudemon-acl-adv-3001 quit# 配置域间包过滤规则。Eudemon firewall interzone trust untrustEudemon-interzone-trust-untrust packet-filter 3000 inboundEudemon-interzone-trust-untrust packet-filter 3000 outboundEudemon-interzone-trust-untrust quitEudemon firewall interzone untrust localEudemon-interzone-local-untrust packet-filter 3001 inboundEudemon-interzone-local-untrust packet-filter 3001 outboundEudemon-interzone-local-untrust quit说明： 由于LNS需要为拨号用户分配IP地址，因此需要配置Untrust和Local域间的包过滤规则。当拨号用户需要访问内部网络时，虚拟接口模板与内部网络同属于Trust区域，因此不需要配置包过滤规则。# 开启L2TP功能。Eudemon l2tp enable# 创建L2TP组。Eudemon l2tp-group 10# 配置L2TP隧道本端名称为lns。Eudemon-l2tp10 tunnel name lns# 配置LNS端接受客户端呼叫时使用的虚拟接口模板。Eudemon-l2tp10 allow l2tp virtual-template 1 remote client1# 关闭L2TP隧道验证功能。Eudemon-l2tp10 undo tunnel authenticationEudemon-l2tp10 quit说明： 配置Client-Initialized方式的L2TP时，需要关闭L2TP隧道验证功能。# 配