L2TP配置方法
防火墙F1000-A基于Windows自带VPN拨号软件的L2TP配置
一组网需求
PC作为L2TP的LAC端,F1000-A防火墙作为LNS端。希望通过L2TP拨号的方式接入到对端防火墙。
二组网图
如图所示,用户PC作为LAC,使用windows自带的拨号软件作为客户端软件,拨号接入到对端的SecPath防火墙。
软件版本如下:Version 5.20, Release 3102
三、配置步骤
3.1 防火墙上的配置
#
sysname F1000A
#
l2tp enable //开启L2TP功能
#
domain default enable system
#
vlan 1
#
domain system
access-limit disable
state active
idle-cut disable
self-service-url disable
ip pool 1 1.1.1.1 1.1.1.20 //配置拨号用户使用的地址池
#
local-user h3c
password cipher G`M^B service-type telnet level 3 local-user zhengyamin //配置L2TP拨号用户使用的用户名和地址池 password simple 123456 level 3 service-type ppp # l2tp-group 1 //配置L2TP组 undo tunnel authentication //不使用隧道认证 allow l2tp virtual-template 1 //使用虚模板1认证 # interface Virtual-Template1 //配置L2TP虚模板 ppp authentication-mode chap //配置ppp认证方式为chap,使用system默认域 remote address pool 1 //指定使用 ip pool 1 给用户分配地址 ip address 1.1.1.1 255.255.255.0 # interface NULL0 # interface GigabitEthernet0/0 ip address 10.153.43.20 255.255.255.0 # firewall zone trust add interface GigabitEthernet0/0 //将Ge 0/0和虚接口加入trust 区域 add interface Virtual-Template1 set priority 85 # Return 3.2 Windows自带拨号软件的设置 由于Windows2000系统缺省情况下启动了IPSec功能,因此在发起VPN请求时应禁止IPSec功能,在命令行模式下执行regedit命令,弹出“注册表编辑器”对话框。在左侧注册表项目中逐级找到:HKEY_LOCAL_MACHINE\System\Current ControlSet\Services\Rasman\Parameters,单击Parameters参数,接着在右边窗口空白处单击鼠标右键,选择[新建/字符值]并新建一个注册表值(名称为ProhibitIPSec,值为1),然后重新启动Windows2000。 注意设置为chap验证,尤其注意要选择l2tp拨号,微软默认的是pptp。具体配置步骤如下: 1.输入远程IP地址。 2.拨号软件的基本设置,在拨号时提示输入名称和密码。 3.设置安全参数,注意红色圈出项的设置。 四、验证结果 五、注意事项 注意点见注释。