L2TP 配置实例

Client-Initiated模式L2TP隧道配置举例(Comware V7)1. 组网需求PPP用户直接与LNS建立L2TP隧道，通过L2TP隧道访问公司总部。

该PPP用户属于vpn1。

2. 组网图图1-11 Client-Initiated模式L2TP隧道组网图3. 配置步骤(1)LNS侧的配置# 配置接口的IP地址。

（略）# 创建VPN实例vpn1，并将接入PPP用户的接口Ethernet1/1与VPN实例vpn1绑定。

<LNS> system-view[LNS] ip vpn-instance vpn1[LNS-vpn-instance-vpn1] quit[LNS] interface ethernet 1/1[LNS-Ethernet1/1] ip binding vpn-instance vpn1[LNS-Ethernet1/1] quit# 配置路由，使得LNS与用户侧主机之间路由可达。

（略）# 创建本地PPP用户vpdnuser，设置密码为Hello。

[LNS] local-user vpdnuser class network[LNS-luser-network-vpdnuser] password simple Hello[LNS-luser-network-vpdnuser] service-type ppp[LNS-luser-network-vpdnuser] quit# 配置ISP域system对PPP用户采用本地验证。

[LNS] domain system[LNS-isp-system] authentication ppp local[LNS-isp-system] quit# 开启L2TP功能。

[LNS] l2tp enable# 创建接口Virtual-Template1，配置接口的IP地址为192.168.0.1/24，PPP 认证方式为CHAP，并指定为PPP用户分配的IP地址为192.168.0.2。

Ruijie(config-vpdn）#exit
Ruijie(config#)username ruijie password 123456------>创建VPN的用户名和密码，用户名为ruijie，密码是123456
步骤二：配置虚拟模板
Ruijie(config)#n客户端的网关地址
1 1 Ruijie est 222.200.200.1 1701 1 1
本地ID远端ID客户端用户名VPN隧道状态VPN客户端公网地址VPN客户端端口
est表示已成功建立隧道
%No active PPTP tunnels
客户端：
Ruijie#show vpdn session
L2TP Session Information Total sessions 1
Ruijie(config-l2tp-class)#exit
步骤二：
Ruijie(config)#pseudowire-class test------>创建虚线路，命名为vpn-l2tp
Ruijie(config-pw-class)# encapsulation l2tpv2------>封装L2TPV2
Ruijie(config-if-Loopback 0)#ip address 172.16.100.1 255.255.255.0
Ruijie(config-if-Loopback 0)#exi
Ruijie(config)#interface Virtual-Template 1------>配置虚模板
Ruijie(config-pw-class)# protocol l2tpv2 test------>关联拨号模板
Ruijie(config-pw-class)# ip local interface FastEthernet 0/0------>关联路由器的外网接口

华为路由器L2TPVPN配置案例为了实现远程访问内部网络资源的需求，我们可以使用华为路由器的L2TPVPN功能。

本文将提供一个简单的案例来演示如何配置L2TPVPN。

以下是详细的步骤：1. 首先，我们需要登录到华为路由器的Web管理界面。

在浏览器中输入路由器的IP地址，并使用管理员账号和密码登录。

2.在管理界面中，找到“VPN”选项，并点击“VPN服务器”子选项。

这将打开L2TPVPN服务器的配置页面。

在这个页面上，可以配置L2TPVPN服务器的相关参数。

3.在配置页面中，我们首先需要启用L2TPVPN功能。

找到“L2TPVPN服务开关”选项，在选项旁边的复选框中打勾以启用。

然后，点击“应用”按钮保存更改。

4.接下来，我们要配置L2TPVPN服务器的IP地址池。

找到“IP地址池”选项，在选项旁边的复选框中打勾以启用。

然后，点击“添加”按钮添加一个新的IP地址池。

5.在添加IP地址池的界面中，输入一个名称来标识该IP地址池。

在“首地址”和“末地址”字段中，输入IP地址的范围。

然后，点击“应用”按钮保存更改。

7.在L2TPVPN服务器的配置页面上，还有其他一些可选的设置，如DNS服务器和MTU值。

根据需要进行配置，并点击“应用”按钮保存更改。

8.配置完成后，我们需要为L2TPVPN服务器指定一个用户。

找到“VPN用户信息”选项，在选项旁边的复选框中打勾以启用。

然后，点击“添加”按钮添加一个新的VPN用户。

9.在添加VPN用户的界面中，输入一个用户名和密码来标识该用户。

在“所在组”字段中，选择用户所属的用户组。

然后，点击“应用”按钮保存更改。

10.配置完成后，我们需要重启L2TPVPN服务器以应用所有更改。

找到“重启”选项，在选项旁边的复选框中打勾以启用。

然后，点击“应用”按钮重启服务器。

11.配置完成后，我们可以使用L2TPVPN客户端来连接到服务器。

将VPN客户端配置为使用服务器的IP地址、预共享密钥、用户名和密码等参数。

L2TP多实例典型配置技术支持中心：赵彪04708组网需求：１、当采用不同域名接入时，ＰＣ获得的地址是不同的。

这样，可以对不同用户指定分配不同的地址，从而通过ＡＣＬ实现不同的访问权限。

２、ＰＣ的操作系统为ＷｉｎｄｏｗｓＸＰ，安装了ＳｅｃＰｏｉｎｔ５．０５客户端；３、ＳｅｃＰａｔｈ１０００Ｆ防火墙为ＶＲＰ３．４０，ＥＳＳ１６０４版本。

组网图配置信息２．ＳｅｃＰａｔｈ１０００Ｆ的主要配置使能Ｌ２ＴＰｌ２ｔｐｅｎａｂｌｅ给ｈｕａｗｅｉ－３ｃｏｍ．ｃｏｍ域名接入用户分配地址池ｄｏｍａｉｎｈｕａｗｅｉ－３ｃｏｍ．ｃｏｍｉｐｐｏｏｌ２１７２．１６．１．１０１７２．１６．１．１００给ｈｕａｗｅｉ．ｃｏｍ域名接入用户分配地址池ｄｏｍａｉｎｈｕａｗｅｉ．ｃｏｍｉｐｐｏｏｌ１１７２．１６．０．１０１７２．１６．０．２０配置Ｌ２ＴＰ帐号ｌｏｃａｌ－ｕｓｅｒｈｕｊｕｎｐａｓｓｗｏｒｄｓｉｍｐｌｅ１２３ｓｅｒｖｉｃｅ－ｔｙｐｅｐｐｐｌｏｃａｌ－ｕｓｅｒｚｈａｏｂｉａｏｐａｓｓｗｏｒｄｓｉｍｐｌｅ１２３ｓｅｒｖｉｃｅ－ｔｙｐｅｐｐｐ使能Ｌ２ＴＰ的虚接口ｉｎｔｅｒｆａｃｅＶｉｒｔｕａｌ－Ｔｅｍｐｌａｔｅ１ｐｐｐａｕｔｈｅｎｔｉｃａｔｉｏｎ－ｍｏｄｅｃｈａｐｄｏｍａｉｎｈｕａｗｅｉ．ｃｏｍｉｐａｄｄｒｅｓｓ１７２．１６．０．１２５５．２５５．２５５．０ｒｅｍｏｔｅａｄｄｒｅｓｓｐｏｏｌ１ｉｎｔｅｒｆａｃｅＶｉｒｔｕａｌ－Ｔｅｍｐｌａｔｅ２ｐｐｐａｕｔｈｅｎｔｉｃａｔｉｏｎ－ｍｏｄｅｃｈａｐｄｏｍａｉｎｈｕａｗｅｉ－３ｃｏｍ．ｃｏｍｉｐａｄｄｒｅｓｓ１７２．１６．１．１２５５．２５５．２５５．０ｒｅｍｏｔｅａｄｄｒｅｓｓｐｏｏｌ２配置外网口ｉｎｔｅｒｆａｃｅＧｉｇａｂｉｔＥｔｈｅｒｎｅｔ０／０ｉｐａｄｄｒｅｓｓ２０２．３８．１．２２５５．２５５．２５５．０配置内网口ｉｎｔｅｒｆａｃｅＧｉｇａｂｉｔＥｔｈｅｒｎｅｔ０／１ｉｐａｄｄｒｅｓｓ１９２．１６８．１．１２５５．２５５．２５５．０将接口加入到区域ｆｉｒｅｗａｌｌｚｏｎｅｔｒｕｓｔａｄｄｉｎｔｅｒｆａｃｅＧｉｇａｂｉｔＥｔｈｅｒｎｅｔ０／１ｓｅｔｐｒｉｏｒｉｔｙ８５ｆｉｒｅｗａｌｌｚｏｎｅｕｎｔｒｕｓｔａｄｄｉｎｔｅｒｆａｃｅＧｉｇａｂｉｔＥｔｈｅｒｎｅｔ０／０ａｄｄｉｎｔｅｒｆａｃｅＶｉｒｔｕａｌ－Ｔｅｍｐｌａｔｅ１ａｄｄｉｎｔｅｒｆａｃｅＶｉｒｔｕａｌ－Ｔｅｍｐｌａｔｅ２ｓｅｔｐｒｉｏｒｉｔｙ５创建Ｌ２ＴＰ组ｌ２ｔｐ－ｇｒｏｕｐ１ｕｎｄｏｔｕｎｎｅｌａｕｔｈｅｎｔｉｃａｔｉｏｎａｌｌｏｗｌ２ｔｐｖｉｒｔｕａｌ－ｔｅｍｐｌａｔｅ１ｒｅｍｏｔｅｌａｃ１ｄｏｍａｉｎｈｕａｗｅｉ．ｃｏｍｌ２ｔｐ－ｇｒｏｕｐ２ｕｎｄｏｔｕｎｎｅｌａｕｔｈｅｎｔｉｃａｔｉｏｎａｌｌｏｗｌ２ｔｐｖｉｒｔｕａｌ－ｔｅｍｐｌａｔｅ２ｒｅｍｏｔｅｌａｃ２ｄｏｍａｉｎｈｕａｗｅｉ－３ｃｏｍ．ｃｏｍ配置默认路由ｉｐｒｏｕｔｅ－ｓｔａｔｉｃ０．０．０．００．０．０．０２０２．３８．１．１3.ＰＣ１的主要配置4.ＰＣ２的主要配置配置关键点１、ｉｐｐｏｏｌ必须在ｄｏｍａｉｎ下配置；２、Ｌ２ＴＰ组默认启用隧道验证；３、虚模板必须加入到区域；４、Ｖ１Ｒ１版本必须在系统模式下启用ｌ２ｔｐｍｏｒｅｅｘａｍ命令；５、Ｖ１Ｒ２和Ｖ１Ｒ６版本下，如果ｌ２ｔｐ－ｇｒｏｕｐ配置的ＬＡＣ名称一样，需要启用ｌ２ｔｐｍｏｒｅｅｘａｍ，否则不需要启用。

1. 组网需求某公司建有自己的VPN网络，内部地址采用私网地址。

在公司总部的公网出口处，布置了一台VPN网关（SecPath防火墙）。

要求公司办事处人员能够通过L2TP 隧道与公司内部其他用户进行数据交换。

LNS侧采用本地验证方式。

2. 组网图图2-6 L2TP配置典型举例组网图3. 配置步骤(1)用户侧的配置在用户侧，建一拨号网络，号码为SecPath1的接入号码；接收由LNS服务器端分配的地址。

(2)LAC侧的配置# 配置防火墙的缺省路由。

[Router] ip route-static 0.0.0.0 0.0.0.0 1.1.1.1其他配置略。

(3)LNS侧的配置# 使能防火墙的L2TP功能。

[SecPath] l2tp enable# 配置以太网接口Ethernet2/0/0。

[SecPath] interface Ethernet 2/0/0[SecPath-Ethernet2/0/0] ip address 2.2.2.1 16# 配置虚拟接口模板Virtual-Template1。

[SecPath] interface Virtual-Template 1[SecPath-Virtual-Template1] ppp authentication-mode chap[SecPath-Virtual-Template1] ip address 192.168.1.1 16[SecPath-Virtual-Template1] remote address pool# 将接口加入到安全区域。

[SecPath] firewall zone trust[SecPath-zone-trust] add interface virtual-template 1[SecPath] firewall zone untrust[SecPath-zone-untrust] add interface Ethernet2/0/0# 配置防火墙的ACL规则。

L2TP 配置实例（HiPER ReOS 2008 VPN配置手册）（一）、配置HiPER作为L2TP服务器 图1方案——HiPER作为L2TP服务器　在本方案中，某公司总部在上海。

在北京有一个分公司希望可以实现两地局域网内部资源的相互访问。

该公司还有一些出差和远程办公的移动用户希望在远程访问总公司局域网内部资源。

本方案使用L2TP协议建立VPN隧道，如图5-5所示，在上海公司总部使用HiPER VPN网关作为L2TP 服务器，在北京放置任意品牌的标准VPN路由器（推荐使用HiPER VPN网关）作为L2TP客户端，移动用户使用Windows操作系统内置的L2TP客户端软件。

地址如下：上海的HiPER：局域网网段IP地址：192.168.123.0/24HiPER的LAN口IP地址：192.168.123.1/24HiPER的WAN口IP地址：202.101.35.218/24北京的路由器局域网网段IP地址：192.168.16.0/24路由器的LAN口IP地址：192.168.16.1/24移动用户：使用Windows操作系统通过L2TP拨号完成隧道连接。

一、配置HiPER作为L2TP服务器（LAN到LAN/移动用户拨入）1. 为北京的路由器创建L2TP 拨入帐号在VPN配置—>PPTP和L2TP中，选择“添加”选项，然后在配置参数项中依次输入以下内容，再单击“保存”按钮。

“设置名”：vpn_bj“业务类型”：拨入（服务器）“用户类型”：LAN到LAN“密码”：vpntest“确认密码”：vpntest“密码验证方式”：PAP“远端内网IP地址”：192.168.16.1（L2TP隧道对端局域网所使用的IP地址）“远端内网子网掩码”：255.255.255.0“分配IP地址”：选中“地址池开始地址”：10.10.10.10（不能和整个VPN方案中已有IP地址段重复）“地址池地址数”：502. 为移动用户创建L2TP拨入帐号在VPN配置—>PPTP和L2TP中，选择“添加”选项，然后在配置参数项中依次输入以下内容，再单击“保存”按钮。

路由器L2TP设置（⾃发隧道模式）路由器 L2TP设置（⾃发隧道模式）⼀、组⽹需求：要求外⽹的VPN客户端使⽤L2TP VPN拨⼊RSR路由器，然后访问内⽹服务器和应⽤⼆、组⽹拓扑：三、配置要点：1、锐捷设备⽀持作为L2TP VPN 服务端和客户端2、配置VPN前要确认路由器上⽹正常四、配置步骤VPN服务端的配置步骤⼀：配置VPN相关参数Ruijie>enable ------>进⼊特权模式Ruijie#configure terminal ------>进⼊全局配置模式Ruijie(config)#vpdn enable ------>开启vpdnRuijie(config)#vpdn-group l2tp ------>创建⼀个VPDN组，命名为l2tpRuijie(config-vpdn)#accept-dialin ------>允许拨号Ruijie(config-vpdn-acc-in)#protocol l2tp ------>协议为l2tpRuijie(config-vpdn-acc-in)#virtual-template 1 ------>引⽤虚模板1，在步骤三中配置Ruijie(config-vpdn-acc-in)#exitRuijie(config-vpdn)#no l2tp tunnel authentication ------>隧道不加密（windows客户端不⽀持L2TP VPN隧道加密）Ruijie(config-vpdn)#exit步骤⼆：配置⽤户和地址池Ruijie(config)#username test password test ------>创建⼀个账户，⽤户和密码都是testRuijie(config)#ip local pool vpn 192.168.1.100 192.168.1.110 ------>创建vpn拨⼊的地址池，命名为vpn，给vpn客户端分配范围是192.168.1.100-110Ruijie(config)#interface loopback 0 ------>配置loopback 0 ,作为vpn客户端的⽹关地址Ruijie(config-if-Loopback 0)#ip address 192.168.1.1 255.255.255.0Ruijie(config-if-Loopback 0)#exit步骤三：配置虚拟模板Ruijie(config)#interface virtual-template 1 ------>创建虚模板1Ruijie(config-if)#ppp authentication chap ------>加密⽅式为chap Ruijie(config-if)#ip unnumbered loopback 0 ------>关联loopback 0 ,作为vpn 客户端的⽹关地址Ruijie(config-if)#peer default ip address pool vpn ------>引⽤地址范围，在步骤⼆中配置Ruijie(config-if)#ip nat inside ------>VPN客户端参与NAT步骤四：检查和保存配置Ruijie(config)#end ------>退出到特权模式Ruijie#write ------>确认配置正确，保存配置电脑客户端配置电脑作为L2TP VPN 客户端时需要修改注册表，参见附件或通过⽹络搜索。

02企业总部域名假定为，PC2为02企业用户。
【组网图】
【配置脚本】
用户侧的配置
建一拨号网络，号码为Quidway1路由器的接入号码；接收由LNS服务器端分配的地址。
对于PC1而言，在弹出的拨号终端窗口中输入用户名vpdn1@，口令为11111（此用户名与口令已在LNS中注册）。
[Quidway2] interface serial 1/0/0
[Quidway2-Serial1/0/0] ip address 202.38.161.2 255.255.255.0
[Quidway2-Serial1/0/0] quit
[Quidway2] l2tp enable
[Quidway2] l2tpmoreexam enable
[Quidway1-luser-vpdn1] service-type ppp
[Quidway1-luser-vpdn1] quit
[Quidway1] local-user vpdn2
[Quidway1-luser-vpdn2] password simple 22222
[Quidway1-luserirtual-Template1] ip binding vpn-instance vpn-instance1
[Quidway2-Virtual-Template1] ppp authentication-mode pap domain
[Quidway2-Virtual-Template1] interface virtual-template 2
#创建两个vpn-instance。
[Quidway2] ip vpn-instance vpn-instance1
[Quidway2–vpn-instance] route-distinguisher 100:1

H3C路由器L2TP配置详解H3C路由器L2TP配置详解1：引言L2TP（Layer 2 Tunneling Protocol）是一种用于在公共互联网上建立虚拟私人网络（VPN）连接的协议。

本文将详细介绍如何在H3C路由器上配置L2TP协议。

2：确认硬件和软件要求在开始配置L2TP协议之前，请确保满足以下硬件和软件要求：- H3C路由器设备- 最新的H3C路由器操作系统- 有效的许可证3：步骤一、创建L2TP配置文件要创建L2TP配置文件，请按照以下步骤操作：- 连接到H3C路由器设备。

- 使用管理员权限登录。

- 打开路由器CLI（命令行界面）。

- 进入全局配置模式。

- 创建L2TP配置文件，并配置相关参数，如：隧道名称、IP 地址、预共享密钥等。

4：步骤二、配置L2TP隧道一旦L2TP配置文件创建成功，您需要完成以下步骤来配置L2TP隧道：- 进入隧道配置模式。

- 配置隧道类型和IP地址范围。

- 配置L2TP隧道的其他参数，如：数据压缩、最大会话数等。

5：步骤三、配置L2TP服务继续按照以下步骤配置L2TP服务：- 进入L2TP服务配置模式。

- 配置L2TP服务相关参数，如：监听端口、报文加密方式等。

- 配置L2TP客户端的IP地址池。

6：步骤四、配置用户认证为了确保只有经过身份验证的用户才能访问L2TP隧道，您需要配置用户认证。

请按照以下步骤操作：- 进入L2TP用户池配置模式。

- 配置用户认证相关参数，如：认证方式、用户名密码等。

7：步骤五、保存和应用配置完成以上步骤后，请保存并应用您的配置，使其生效。

示例如下：- 保存当前配置。

- 退出并应用配置。

8：附件本文档涉及以下附件：- 示例配置文件- L2TP隧道配置示意图9：法律名词及注释- L2TP（Layer 2 Tunneling Protocol）：一种用于在公共互联网上建立虚拟私人网络（VPN）连接的协议。

- VPN（Virtual Private Network）：通过使用公共互联网等非专用传输网络，在不同的网络之间建立安全的连接。

L2TP案例介绍图1-01 原网络拓扑一、前篇介绍原来网络的的拓扑情况如上图所示。

当我们到客户那里后，了解到网络拓扑情况是一台锐捷NBR80设备与Internet互联，与我们了解到的是两个情况。

这也就意味着，我们要拿我们自己的设备与其他厂商的设备互做L2TP。

这可能就不是我所擅长的了，但为了满足客户的需求我们还是那样去做了，可并不是很顺利，我们没能做成功。

所以接下来，我们想到的就是，还是让AR设备能和我们的SRG设备对做L2TP。

这种做法我们的把握更大些，毕竟AR与我们的SRG之间还是很有渊源的。

我们想到的第一个方法就是在不改变原客户的网络拓扑的情况下，透传过锐捷的设备实现AR与SRG间的直接通信。

也就是通过ip映射的办法把AR暴露到公网上来。

但是我们实施了下，发现这种方案也是没发实施的，因为锐捷那台设备唯一的一个公网地址还要带内网上网（192.168.1.0/24），也就是说已经被用掉了，我们没法用它帮助我们去完成ip映射，实现AR暴露在公网上。

呵呵，工作遇到了挫折，但是任务还在，工作还得继续。

接下来我们想到了的就对客户的网络做点动作了，那就是把锐捷这个设备给干掉，将锐捷的业务都转移到我AR上去，直接物理上就把AR暴露到公网上来。

我们具体的了解了下客户的网络情况，他们内网大概有不到一百个点，包括下面的四个法院在内，而AR28-40的性能最保守的也能带500个点，所以我们确认将锐捷的业务转移到AR上来，是完全没有问题的。

但是紧接着我们又遇到了问题，就是AR设备上的接口不够用了，他有3个FE和1个E1接口。

E1接口不用想了，3个FE也已经被用了，一个接内网，一个接视频会议，一个接语音。

哈哈，大家不用着急，前面工作当中我们遇到的的接口从地址这次帮了我们很大的忙。

我们把视频会议与语音的业务网段都整合到了内网的物理接口下面。

这样就帮我们空出来了两个物理FE口，一个我们用于接公网了，一个用于接原来要上公网的内网网段了（192.168.1.0/24）。

1.1.1 PC采用l2tp作为lac拨入lns路由器当前路由器提示视图依次输入的配置命令，重要的命令红色突出显示简单说明[Router]!适用版本vrp1.74及1 [Router]local-user user service-type ppp password simple passwd配置用户名和密码[Router]l2tp enable使能l2tp [Router]ip pool 1 192.168.0.2 192.168.0.100配置地址池[Router]aaa-enable使能aaa [Router]aaa authentication-scheme ppp default local ppp认证方式本地[Router]aaa authentication-scheme login default local login认证方式本地[Router]aaa accounting-scheme optional计费可选![Router]interface Serial0进入串口0口[Router-Serial0]link-protocol ppp封装ppp链路层协议[Router-Serial0]ip address 202.38.160.2 255.255.255.0配置ip地址![Router]interface Virtual-Template1进入vt口[Router-Virtual-Template1]link-protocol ppp封装ppp协议ppp authentication-mode pap ppp验证方式是pap remote address pool 1给对端分配ip地址池ip address 192.168.0.1 255.255.255.0配置ip地址![Router]l2tp-group 1进入l2tp-group 1[Router-l2tp1]allow l2tp virtual-template 1 remote LocalHost 接受LocalHost过来将其捆绑在vt1口上undo tunnel authentication禁止隧道验证!1.1.2 9.1.3pc欲使用l2tp拨号，所需要做的配置【windows 98】使用网上下载的Enternet500，新建l2tp拨号连接，注意设置为不加密，pap验证。

L2TP命令手册目录1简介 (3)1.1概述 (3)1.2L2TP简述 (3)2L2TP命令行配置 (4)3典型配置举例 (8)3.1SERVER端配置 (8)3.2C LIENT端配置 (10)3.3典型组网 (11)1简介1.1概述L2TP（Layer 2 Tunneling Protocol，二层隧道协议）是VPDN（Virtual Private Dial-up Network，虚拟私有拨号网）隧道协议的一种。

VPDN是指利用公共网络（如ISDN或PSTN）的拨号功能接入公共网络，实现虚拟专用网，从而为企业、小型ISP、移动办公人员等提供接入服务。

即VPDN为远端用户与私有企业网之间提供了一种经济而有效的点到点连接方式。

VPDN采用专用的网络加密通信协议，在公共网络上为企业建立安全的虚拟专网。

企业驻外机构和出差人员可从远程经由公共网络，通过虚拟加密隧道实现和企业总部之间的网络连接，而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。

VPDN隧道协议可分为PPTP、L2F和L2TP三种，目前使用最广泛的是L2TP。

1.2L2TP简述L2TP（第二层隧道协议）是用来整合多协议拨号服务至现有的因特网服务提供商点。

在L2TP构建的VPDN中，网络组件包括以下三个部分：•远端系统远端系统是要接入VPDN网络的远地用户和远地分支机构，通常是一个拨号用户的主机或私有网络的一台路由设备。

•LAC（L2TP Access Concentrator，L2TP访问集中器）LAC是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备，通常是一个当地ISP的NAS，主要用于为PPP类型的用户提供接入服务。

LAC位于LNS和远端系统之间，用于在LNS和远端系统之间传递信息包。

它把从远端系统收到的信息包按照L2TP协议进行封装并送往LNS，同时也将从LNS收到的信息包进行解封装并送往远端系统。

LAC与远端系统之间采用本地连接或PPP链路，VPDN应用中通常为PPP链路。

实验三 L2TP VPN的路由器配置一、实验目的:了解CISCO 路由器下L2TP VPN的配置方法。

二、实验环境：●Windows server 2000操作系统●必须在连网的环境中进行三、实验内容及步骤：步骤一网络连通性配置1. 路由器基本配置：（略）2. 路由器接口配置：ISP：Isp(config)#int f0/0Isp(config-if)#ip add 10.1.1.1 255.255.255.0Isp(config-if)#no shutIsp(config-if)#int f0/1Isp(config-if)#ip add 192.168.1.1 255.255.255.0Isp(config-if)#no shutLNS:Lns(config)#int f0/0Lns(config-if)#ip add 192.168.1.2 255.255.255.0Lns(config-if)#no shutLNS(config)#int lo 0LNS(config-if)#ip add 100.1.1.1 255.255.255.03.配置LNS路由器的静态路由Lns(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.14. 配置VPN Client之前首先要保证能和LNS通信才行，将c0（客户端）的IP地址设为10.1.1.2，网关为10.1.1.1，通过ping命令测试c0到LNS路由器的连通性。

步骤二 L2TP VPN服务器的配置：LNS：LNS(config)#username hngy password cisco //配置登录VPN服务器的用户名和密码LNS(config)#vpdn enable //开启VPN服务（vpdn默认是关闭的）LNS(config-vpdn)#vpdn-group 1 //创建VPN组LNS(config-vpdn)#accept-dialin //接收VPN拨号访问LNS(config-vpdn-acc-in)#protocol l2tp //定义使用的VPN协议为L2TPLNS(config-vpdn-acc-in)#virtual-template 1//创建新的虚拟访问组1（一个虚拟拨号组里最多可以建立25个虚拟接口）LNS(config-vpdn-acc-in)#exitLNS(config-vpdn)#no l2tp tunnel authentication //取消L2TP通道验证功能（也可以开启认证功能，这时候，需要搭建一台CA，然后申请证书，并且客户端也需要申请证书才能连上R1，这样会更安全）LNS(config-vpdn)#exitLNS(config)#ip local pool pool1 100.1.1.100 100.1.1.254//配置分配给VPN客户端的地址池，并命名LNS(config)#interface Virtual-Template1//创建虚接口LNS(config-if)#encapsulation pppLNS(config-if)#ip unnumbered f0/0 //借用f0/0的IP地址来转发l2tp隧道协议传输的流量，也可以配置一个公网的IP地址，这样就需要花费购买一个公网IP地址LNS(config-if)#peer default ip address pool pool1//在接口上为拨入用户指定地址池LNS(config-if)#ppp authentication chap//使用chap认证LNS(config-if)#end步骤三 L2TP VPN客户端的配置1.参照实验一建立新的连接，连接到我的工作场所：点击完成即可。

L2TP 典型配置举例l2tp 的呼叫可以由nas（网络接入服务器）主动发起，也可以由客户端发起。

下面将分别针对这两种情况举例说明。

2.5.1 nas-initialized vpn1. 组网需求vpn 用户访问公司总部过程如下：用户以普通的上网方式进行拨号上网。

在接入服务器（nas）处对此用户进行验证，发现是vpn 用户，则由接入服务器向lns 发起隧道连接的请求。

在接入服务器与lns 隧道建立后，接入服务器把与vpn 用户已经协商的内容作为报文内容传给lns。

lns 再根据预协商的内容决定是否接受此连接。

用户与公司总部间的通信都通过接入服务器与lns 之间的隧道进行传输。

2. 组网图3. 配置步骤(1) 用户侧的配置在用户侧，在拨号网络窗口中输入vpn 用户名vpdnuser，口令hello，拨入号码为170。

在拨号后弹出的拨号终端窗口中输入radius 验证的用户名user name 和口令userpass。

(2) nas 侧的配置# 在nas 上配置拨入号码为170。

# 在radius 服务器上设置一个用户名为username、口令为userpass 的vpn 用户，并设置相应的lns 侧设备的ip 地址（本例中lns 侧与通道相连接的以太口的ip 地址为202.38.160.2）。

# 将本端的设备名称定义为lac，需要进行通道验证，通道验证密码为tunnelpwd。

(3) 防火墙（lns 侧）的配置# 设置用户名及口令（应与用户侧的设置一致）。

[h3c] local-user vpdnuser[h3c-luser-vpdnuser] password simple hello[h3c-luser-vpdnuser] service-type ppp# 对vpn 用户采用本地验证。

[h3c] domain system[h3c-isp-system] scheme local[h3c-isp-system] ip pool 1 192.168.0.2 192.168.0.100# 启用l2tp 服务，并设置一个l2tp 组。

配置Client-Initialized方式的L2TP举例组网需求如图1所示，某公司的网络环境描述如下：•公司总部通过USG5300与Internet连接。

•出差员工需要通过USG5300访问公司总部的资源。

图1配置Client-Initialized方式的L2TP组网图配置L2TP，实现出差员工能够通过L2TP隧道访问公司总部资源，并与公司总部用户进行通信。

配置思路1配置客户端。

2根据网络规划为防火墙分配接口，并将接口加入相应的安全区域。

3配置防火墙策略。

4配置LNS。

数据准备为完成此配置例，需准备如下的数据：•防火墙各接口的IP地址。

•本地用户名和密码。

操作步骤配置客户端。

说明：如果客户端的操作系统为Windows系列，请首先进行如下操作。

1在“开始> 运行”中，输入regedit命令，单击“确定”，进入注册表编辑器。

1在界面左侧导航树中，定位至“我的电脑> HKEY_LOCAL_MACHINE >SYSTEM > CurrentControlSet > Services > Rasman > Parameters”。

在该路径下右侧界面中，检查是否存在名称为ProhibitIpSec、数据类型为DWORD的键值。

如果不存在，请单击右键，选择“新建> DWORD值”，并将名称命名为ProhibitIpSec。

如果此键值已经存在，请执行下面的步骤。

1选中该值，单击右键，选择“修改”，编辑DWORD值。

在“数值数据”文本框中填写1，单击“确定”。

1重新启动该PC，使修改生效。

此处以Windows XP Professional操作系统为例，介绍客户端的配置方法。

# 客户端主机上必须装有L2TP客户端软件，并通过拨号方式连接到Internet。

# 配置客户端计算机的主机名为client1。

# 创建L2TP连接。

1打开“我的电脑> 控制面板> 网络连接”，在“网络任务”中选择“创建一个新的连接”，在弹出的界面中选择“下一步”。