华为与H3C的L2TP配置
(1)远程用户-------internet-------H3C F100 采用l2tp方式
sysname XXXX //设备名称
#
l2tp enable //开启l2tp功能
#
firewall packet-filter enable
firewall packet-filter default permit
#
undo connection-limit enable
connection-limit default deny
connection-limit default amount upper-limit 50 lower-limit 20
#
firewall statistic system enable
#
radius scheme system
server-type extended
#
domain system
ip pool 1 172.16.1.2 172.16.1.10 //分配给拨号用户的地址
#
local-user admin
password cipher .]@USE=B,53Q=^Q`MAF4<1!!
service-type telnet terminal
level 3
local-user usera //配置拨号用户
password simple 123456
service-type ppp
interface Virtual-Template1 //配置虚拟接口模板1及其验证方式
ppp authentication-mode chap
ip address 172.16.1.1 255.255.255.0
remote address pool 1
#
interface Ethernet1/0
ip address 172.16.2.1 255.255.255.0
#
interface Ethernet2/0
ip address 100.100.100.6 255.255.255.252
#
interface NULL0
#
firewall zone local
set priority 100
#
firewall zone trust //把虚拟接口模板添加进入安全域
add interface Ethernet1/0
add interface Virtual-Template1
set priority 85
#
firewall zone untrust
add interface Ethernet2/0
set priority 5
#
firewall zone DMZ
set priority 50
#
l2tp-group 1 //配置l2tp组1
undo tunnel authentication //取消隧道验证
allow l2tp virtual-template 1 //配置使用名字的方式发起l2tp连接
#
ip route-static 0.0.0.0 0.0.0.0 100.100.100.5 //配置静态默认路由
#
user-interface con 0
user-interface vty 0 4
authentication-mode scheme
#
return
(2)远程用户-------internet-------Huawei Eudemon 1000E 采用l2tp方式
sysname XXXX //设备名称
#
l2tp enable //开启l2tp功能
#
aaa
local-user admin password simple huawei //配置拨号用户
local-user admin service-type ppp
local-user admin level 3
[local-user admin l2tp-ip x.x.x.x] //为VPN用户绑定IP
local-user huawei password simple huawei
local-user huawei service-type telnet
local-user huawei level 3
ip pool 1 172.16.2.2 172.16.2.100 //分配给拨号用户的地址
#
interface Virtual-Template1 //配置虚拟接口模板1及其验证方式
ppp authentication-mode chap pap
ip address 172.16.2.1 255.255.255.0
remote address pool 1
#
firewall zone trust //把虚拟接口模板添加进入安全域
add interface Virtual-Template1
set priority 85
l2tp-group 1 //配置l2tp组1
undo tunnel authentication //取消隧道验证
allow l2tp virtual-template 1 //配置使用名字的方式发起l2tp连接
(3)windows
L2TP客户端配置(以XP为例)
配置L2TP 拨号连接:
1、选网络连接属性
2、选择“创建一个新的连接”
3、选择“连接到我的工作场所的网络”,单击“下一步”
4、选择“虚拟专用网络连接”,单击“下一步”
5、为连接输入一个名字为“l2tp”,单击“下一步”
6、选择“不拨此初始连接”,单击“下一步”
7、输入准备连接的L2TP 服务器的IP 地址“60.6.3.136”,单击“下一步”
8、单击“完成”。
9、双击“l2tp”连接,在l2tp 连接窗口,单击“属性”。
10、选择“安全”属性页,选择“高级(自定义设置)”,单击“设置”。
11、在“数据加密”中选择“可选加密(没有加密也可以连接)”。
12、在“允许这些协议”选中“不加密的密码(PAP)”、“质询握手身份验证协议
(CHAP)”、“Microsoft CHAP(MS-CHAP)”,单击“确定”。
13、 选择“网络”属性页面,在“VPN 类型”选择“L2TP IPSec VPN”。
14、选中“Internet 协议(TCP/IP)”
15、“NWLink IPX/SPX/NetBIOS Compatible Transport Prococol”、
“微软网络文件和打印共享”、
“微软网络客户”协议不选。
16、 单击“确定”,保存所做的修改。
17、修改注册表
缺省的Windows XP L2TP 传输策略不允许L2TP 传输不使用IPSec 加密。可以通过修改
Windows XP 注册表来禁用缺省的行为:(通过附件自动修改)
选择“开始 > 运行”。输入“regedit”,单击“确定”,进入注册表编辑器。
在界面左侧导航树中,选择“我的电脑 > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > Rasman > Parameters”。在该路径下右侧界面中,检查是否存在名称为“ProhibitIpSec”、数据类型为DWORD的键值。如果不存在,请单击右键,选择“新建 > DWORD值”,并将名称命名为“ProhibitIpSec”。如果此键值已经存在,请执行下面的步骤。
右键单击该值。在弹出的快捷菜单中选择“修改”,编辑DWORD值。在“数值数据”文本框中输入“1”,单击“确定”。
重新启动该PC,使修改生效。
18、存所做的修改,重新启动电脑以使改动生效。