L2TP配置方法

防火墙F1000-A基于Windows自带VPN拨号软件的L2TP配置

一组网需求

PC作为L2TP的LAC端，F1000-A防火墙作为LNS端。希望通过L2TP拨号的方式接入到对端防火墙。

二组网图

如图所示，用户PC作为LAC，使用windows自带的拨号软件作为客户端软件，拨号接入到对端的SecPath防火墙。

软件版本如下：Version 5.20, Release 3102

三、配置步骤

3.1 防火墙上的配置

#

sysname F1000A

#

l2tp enable //开启L2TP功能

#

domain default enable system

#

vlan 1

#

domain system

access-limit disable

state active

idle-cut disable

self-service-url disable

ip pool 1 1.1.1.1 1.1.1.20 //配置拨号用户使用的地址池

#

local-user h3c

password cipher G`M^B

service-type telnet

level 3

local-user zhengyamin //配置L2TP拨号用户使用的用户名和地址池

password simple 123456

level 3

service-type ppp

#

l2tp-group 1 //配置L2TP组

undo tunnel authentication //不使用隧道认证

allow l2tp virtual-template 1 //使用虚模板1认证

#

interface Virtual-Template1 //配置L2TP虚模板

ppp authentication-mode chap //配置ppp认证方式为chap，使用system默认域

remote address pool 1 //指定使用 ip pool 1 给用户分配地址

ip address 1.1.1.1 255.255.255.0

#

interface NULL0

#

interface GigabitEthernet0/0

ip address 10.153.43.20 255.255.255.0

#

firewall zone trust

add interface GigabitEthernet0/0 //将Ge 0/0和虚接口加入trust

区域

add interface Virtual-Template1

set priority 85

#

Return

3.2 Windows自带拨号软件的设置

由于Windows2000系统缺省情况下启动了IPSec功能，因此在发起VPN请求时应禁止IPSec功能，在命令行模式下执行regedit命令，弹出“注册表编辑器”对话框。在左侧注册表项目中逐级找到：HKEY_LOCAL_MACHINE\System\Current ControlSet\Services\Rasman\Parameters，单击Parameters参数，接着在右边窗口空白处单击鼠标右键，选择［新建/字符值］并新建一个注册表值（名称为ProhibitIPSec，值为1），然后重新启动Windows2000。

注意设置为chap验证，尤其注意要选择l2tp拨号，微软默认的是pptp。具体配置步骤如下：

1.输入远程IP地址。

2.拨号软件的基本设置，在拨号时提示输入名称和密码。

3.设置安全参数，注意红色圈出项的设置。

四、验证结果

五、注意事项

注意点见注释。