华为防火墙l2tp配置

配置Client-lnitialized方式的L2TP举例组网需求如图i所示，某公司的网络环境描述如下：?公司总部通过USG5300与Internet连接。?出差员工需要通过USG5300访问公司总部的资源。图1配置Client-lnitialized方式的L2TP组网图图1帆gciLent-Initial1阻d方戒的昭TF组冋图L2TPTunnel192.168.0.0/24配置L2TP，实现出差员工能够通过L2TP隧道访问公司总部资源，并与公司总部用户进行通信。配置思路配置客户端。根据网络规划为防火墙分配接口，并将接口加入相应的安全区域。配置防火墙策略。配置LNS。数据准备为完成此配置例，需准备如下的数据：?防火墙各接口的IP地址。?本地用户名和密码。操作步骤配置客户端。说明：如果客户端的操作系统为Windows系列，请首先进行如下操作。在开始运行”中，输入regedit命令，单击确定”，进入注册表编辑器。在界面左侧导航树中，定位至我的电脑HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRasmanParameters。在该路径下右侧界面中，检查是否存在名称为ProhibitIpSec、数据类型为DWORD的键值。如果不存在，请单击右键，选择新建DWORD值”，并将名称命名为ProhibitIpSec。如果此键值已经存在，请执行下面的步骤。选中该值，单击右键，选择修改”编辑DWORD值。在数值数据”文本框中填写1单击确定”重新启动该PC,使修改生效。此处以WindowsXPProfessional操作系统为例，介绍客户端的配置方法。#客户端主机上必须装有L2TP客户端软件，并通过拨号方式连接到Internet。#配置客户端计算机的主机名为client1。#创建L2TP连接。打开我的电脑控制面板网络连接”在网络任务”中选择创建一个新的连接”在弹出的界面中选择下一步”。在网络连接类型”中选择连接到我的工作场所的网络”单击下一步”。在网络连接”中选择虚拟专用网络连接”单击下一步”。在连接名”下的公司名”文本框中设置公司名称或VPN服务器名称，本例设置为LNS，单击下一步”。在公用网络”中选择不拨初始连接”单击下一步”。在“VPN服务器选择”中填写LNS的IP地址，此处设置的IP地址为USG5300与Internet连接接口的IP地址，本配置例中为202.38.161.1，单击下一步”。将在我的桌面上添加一个到此连接的快捷方式”选中，单击完成”在弹出的对话框中，输入在LNS上配置的用户名和密码，单击属性”如图2所示。图2连接LNS罔2连接L贬单击属性”设置如图3所示。图3设置LNS属性的选项页签罔了设査L肥禹性的准顶页釜单击安全”页签，选择高级（自定义设置）”，单击设置”，如图所示。图4设置LNS属性的安全页签04SSLNS厲性的気全页筌凶窜规丨遶项安全|网培丨高级|-宝全选项r典型雒荐设置)口)聽订裁的期裁厂目动使用我的Fi匸丄啊1s登密名和密碍威j垢臬肴南活QP厂要或教据加密間就断开)Q)冷高级启定盘设劃要惯用透些设豐需要有麼全瞬遽的知课-|毀豐旳门S-T!Imin-?rtT!-1CE*|确定|取洎|在高级安全设置”中设置如图5所示，单击确定”图5高级安全设置图&高级安全设羞数諾加畫1:|不允许加密迪口果它需蔓加密服务器将断开连接）3登录安全措施r使用可扩尿的身份脸证扔谀圧肝）世）高駅宝全邊晝Q允许遠些协改QP）厂不加密的窖码WJCM）厂Shiva码身份髓证柚观C5F迥W质询握手身份验订协谏忙曲丹反rIflrcrosoftCW（NCYHAF）廻）厂允许加Rind的別5服务需便用IBJfflS-CKAFa）厂IflicroseftCW版苓2躺弋恥F论厂对基于rs-cw能瞬，自础使用我閑mz豊录另和窖码限域.妇果宥的话）密匚遛莖二葩视消|单击网络”页签，设置如图6所示。图6设置LNS的网络页签图siSlns的网络页签单击确定”完成设置，返回至图2。单击确定”发起L2TP连接。配置LNS。#创建虚拟接口模板。system-viewUSG5300interfaceVirtual-Template1#配置虚拟接口模板的IP地址。USG5300-Virtual-Template1ipaddress10.1.1.124#配置PPP认证方式为CHAP。USG5300-Virtual-Template1pppauthentication-modechap#配置为对端分配IP地址池中的地址。USG5300-Virtual-Template1remoteaddresspool1USG5300-Virtual-Template1quit说明：此处指定的地址池号需要与AAA视图下配置的地址池的相对应。#配置接口GigabitEthernet0/0/1的IP地址。USG5300interfaceGigabitEthernet0/0/1USG5300-GigabitEthernet0/0/1ipaddress202.38.161.124USG5300-GigabitEthernet0/0/1quit#将接口GigabitEthernet0/0/1、虚拟接口模板加入Untrust区域。USG5300firewallzoneuntrustUSG5300-zone-untrustaddinterfaceGigabitEthernet0/0/1USG5300-zone-untrustaddinterfaceVirtual-Template1USG5300-zone-untrustquit#配置接口GigabitEthernet0/0/2的IP地址。USG5300interfaceGigabitEthernet0/0/2USG5300-GigabitEthernet0/0/2ipaddress192.168.0.124USG5300-GigabitEthernet0/0/2quit#将接口GigabitEthernet0/0/2加入Trust区域。USG5300firewallzonetrustUSG5300-zone-trustaddinterfaceGigabitEthernet0/0/2USG5300-zone-trustquit#在Trust和Untrust域间配置防火墙策略。USG5300policyinterzonetrustuntrustinboundUSG5300-policy-interzone-trust-untrust-inboundpolicy1actionpermitUSG5300-policy-interzone-trust-untrust-inbound-1USG5300-policy-interzone-trust-untrust-inbound-1quitUSG5300-policy-interzone-trust-untrust-inboundquitUSG5300policyinterzonetrustuntrustoutboundUSG5300-policy-interzone-trust-untrust-outboundpolicy1USG5300-policy-interzone-trust-untrust-outbound-1actionpermitUSG5300-policy-interzone-trust-untrust-outbound-1quitUSG5300-policy-interzone-trust-untrust-outboundquit#在Local和Untrust域间配置防火墙策略。USG5300policyinterzonelocaluntrustinboundUSG5300-policy-interzone-local-untrust-inboundpolicy1actionpermitUSG5300-policy-interzone-local-untrust-inbound-1USG5300-policy-interzone-local-untrust-inbound-1quitUSG5300-policy-interzone-local-untrust-inboundquitUSG5300policyinterzonelocaluntrustoutboundUSG5300-policy-interzone-local-untrust-outboundpolicy1actionpermitactionpermitUSG5300-policy-interzone-local-untrust-outbound-1USG5300-policy-interzone-local-untrust-outbound-1quitUSG5300-policy-interzone-local-untrust-outboundquit说明：由于LNS需要为拨号用户分配IP地址，使拨号用户能够访问内网资源，同时需要允许虚拟接口模板所在的安全区域与Local安全区域的互通，因此需要配置上述两个域间的防火墙策略。#开启L2TP功能。USG5300l2tpenable#创建L2TP组。USG5300I2tp-group10#配置L2TP隧道本端名称为Ins。USG5300-l2tp10tunnelnameIns#配置LNS端接受客户端呼叫时使用的虚拟接口模板。USG5300-l2tp10allowl2tpvirtual-template1remoteclient1#关闭L2TP隧道验证功能。USG5300-l2tp10undotunnelauthenticationUSG5300-l2tp10quit说明：配置Client-lnitialized方式的L2TP时，需要关闭L2TP隧道验证功能。#配置本地用户和密码。USG5300aaaUSG5300-aaalocal-useradminpasswordsimpleAdmin123#配置用户类型。USG5300-aaalocal-useradminservice-typeppp#配置IP地址池。USG5300-aaaippool1192.168.1.2192.168.1.99说明：从地址池中分配给客户端的IP地址不能与公司总部IP地址在相同网段。父主题：配置举例