当前位置:文档之家 › H3C+L2TP+典型配置举例

H3C+L2TP+典型配置举例

  • 格式:doc
  • 大小:67.50 KB
  • 文档页数:11

下载文档原格式

  / 11

合集下载

H3C+L2TP+典型配置举例

H3C+L2TP+典型配置举例

H3C+L2TP+典型配置举例H3C L2TP 典型配置举例l2tp 的呼叫可以由nas(网络接入服务器)主动发起,也可以由客户端发起。

下面将分别针对这两种情况举例说明。

2.5.1 nas-initialized vpn1. 组网需求vpn 用户访问公司总部过程如下:用户以普通的上网方式进行拨号上网。

在接入服务器(nas)处对此用户进行验证,发现是vpn 用户,则由接入服务器向lns 发起隧道连接的请求。

在接入服务器与lns 隧道建立后,接入服务器把与vpn 用户已经协商的内容作为报文内容传给lns。

lns 再根据预协商的内容决定是否接受此连接。

用户与公司总部间的通信都通过接入服务器与lns 之间的隧道进行传输。

2. 组网图3. 配置步骤(1) 用户侧的配置在用户侧,在拨号网络窗口中输入vpn 用户名vpdnuser,口令hello,拨入号码为170。

在拨号后弹出的拨号终端窗口中输入radius 验证的用户名username 和口令userpass。

(2) nas 侧的配置# 在nas 上配置拨入号码为170。

# 在radius 服务器上设置一个用户名为username、口令为userpass 的vpn 用户,并设置相应的lns 侧设备的ip 地址(本例中lns 侧与通道相连接的以太口的ip 地址为202.38.160.2)。

# 将本端的设备名称定义为lac,需要进行通道验证,通道验证密码为tunnelpwd。

(3) 防火墙(lns 侧)的配置# 设置用户名及口令(应与用户侧的设置一致)。

[h3c] local-user vpdnuser[h3c-luser-vpdnuser] password simple hello[h3c-luser-vpdnuser] service-type ppp# 对vpn 用户采用本地验证。

[h3c] domain system[h3c-isp-system] scheme local[h3c-isp-system] ip pool 1 192.168.0.2 192.168.0.100# 启用l2tp 服务,并设置一个l2tp 组。

华为路由器L2TPVPN配置案例

华为路由器L2TPVPN配置案例

华为路由器L2TPVPN配置案例为了实现远程访问内部网络资源的需求,我们可以使用华为路由器的L2TPVPN功能。

本文将提供一个简单的案例来演示如何配置L2TPVPN。

以下是详细的步骤:1. 首先,我们需要登录到华为路由器的Web管理界面。

在浏览器中输入路由器的IP地址,并使用管理员账号和密码登录。

2.在管理界面中,找到“VPN”选项,并点击“VPN服务器”子选项。

这将打开L2TPVPN服务器的配置页面。

在这个页面上,可以配置L2TPVPN服务器的相关参数。

3.在配置页面中,我们首先需要启用L2TPVPN功能。

找到“L2TPVPN服务开关”选项,在选项旁边的复选框中打勾以启用。

然后,点击“应用”按钮保存更改。

4.接下来,我们要配置L2TPVPN服务器的IP地址池。

找到“IP地址池”选项,在选项旁边的复选框中打勾以启用。

然后,点击“添加”按钮添加一个新的IP地址池。

5.在添加IP地址池的界面中,输入一个名称来标识该IP地址池。

在“首地址”和“末地址”字段中,输入IP地址的范围。

然后,点击“应用”按钮保存更改。

7.在L2TPVPN服务器的配置页面上,还有其他一些可选的设置,如DNS服务器和MTU值。

根据需要进行配置,并点击“应用”按钮保存更改。

8.配置完成后,我们需要为L2TPVPN服务器指定一个用户。

找到“VPN用户信息”选项,在选项旁边的复选框中打勾以启用。

然后,点击“添加”按钮添加一个新的VPN用户。

9.在添加VPN用户的界面中,输入一个用户名和密码来标识该用户。

在“所在组”字段中,选择用户所属的用户组。

然后,点击“应用”按钮保存更改。

10.配置完成后,我们需要重启L2TPVPN服务器以应用所有更改。

找到“重启”选项,在选项旁边的复选框中打勾以启用。

然后,点击“应用”按钮重启服务器。

11.配置完成后,我们可以使用L2TPVPN客户端来连接到服务器。

将VPN客户端配置为使用服务器的IP地址、预共享密钥、用户名和密码等参数。

H3CAR路由器L2TP典型配置(win2k-xp)

H3CAR路由器L2TP典型配置(win2k-xp)

H3CAR路由器L2TP典型配置(win2k-xp)1AR28、AR46系列路由器L2TP的典型配置【需求】PC作为lac拨⼊lns路由器。

【配置脚本】【提⽰】1、pc欲使⽤l2tp拨号,所需要做的配置:【windows 2000/xp/nt】Windows下Ethernet 500安装可能出现若⼲问题,推荐⽤windows⾃带拨号程序。

由于Windows2000系统缺省情况下启动了IPSec功能,因此在发起VPN请求时应禁⽌IPSec功能,在命令⾏模式下执⾏regedit 命令,弹出“注册表编辑器”对话框。

在左侧注册表项⽬中逐级找到:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameter s,单击Parameters参数,接着在右边窗⼝空⽩处单击⿏标右键,选择[新建/双字节值]并新建⼀个注册表值(名称为ProhibitIPSec,值为1),然后重新启动Windows2000。

注意设置为pap验证,尤其注意要选择l2tp拨号,微软默认的是pptp。

可以到华三论坛下载热⼼⽹友qingq制作的注册表修改⽂件,直接导⼊即可。

链接地址:/doc/ab3308c9da38376baf1fae5c.html /viewthread.php?tid=8772、如果l2tp不通,建议在l2tp-group中增加mandatory-lcp。

3、当L2TP组号为1时(缺省的L2TP组号),可以不指定隧道对端名remote-name。

如果在L2TP组1的视图下,仍指定对端名称,则L2TP组1不作为缺省的L2TP 组。

4、当LNS上的内⽹同时需要作NAT上⽹的时候,注意在配置NAT的ACL的时候要将内⽹访问L2TP地址池的流量deny掉,不进⾏NAT转换。

H3C路由器L2TP配置详解

H3C路由器L2TP配置详解

H3C路由器L2TP配置详解H3C路由器L2TP配置详解1:引言L2TP(Layer 2 Tunneling Protocol)是一种用于在公共互联网上建立虚拟私人网络(VPN)连接的协议。

本文将详细介绍如何在H3C路由器上配置L2TP协议。

2:确认硬件和软件要求在开始配置L2TP协议之前,请确保满足以下硬件和软件要求:- H3C路由器设备- 最新的H3C路由器操作系统- 有效的许可证3:步骤一、创建L2TP配置文件要创建L2TP配置文件,请按照以下步骤操作:- 连接到H3C路由器设备。

- 使用管理员权限登录。

- 打开路由器CLI(命令行界面)。

- 进入全局配置模式。

- 创建L2TP配置文件,并配置相关参数,如:隧道名称、IP 地址、预共享密钥等。

4:步骤二、配置L2TP隧道一旦L2TP配置文件创建成功,您需要完成以下步骤来配置L2TP隧道:- 进入隧道配置模式。

- 配置隧道类型和IP地址范围。

- 配置L2TP隧道的其他参数,如:数据压缩、最大会话数等。

5:步骤三、配置L2TP服务继续按照以下步骤配置L2TP服务:- 进入L2TP服务配置模式。

- 配置L2TP服务相关参数,如:监听端口、报文加密方式等。

- 配置L2TP客户端的IP地址池。

6:步骤四、配置用户认证为了确保只有经过身份验证的用户才能访问L2TP隧道,您需要配置用户认证。

请按照以下步骤操作:- 进入L2TP用户池配置模式。

- 配置用户认证相关参数,如:认证方式、用户名密码等。

7:步骤五、保存和应用配置完成以上步骤后,请保存并应用您的配置,使其生效。

示例如下:- 保存当前配置。

- 退出并应用配置。

8:附件本文档涉及以下附件:- 示例配置文件- L2TP隧道配置示意图9:法律名词及注释- L2TP(Layer 2 Tunneling Protocol):一种用于在公共互联网上建立虚拟私人网络(VPN)连接的协议。

- VPN(Virtual Private Network):通过使用公共互联网等非专用传输网络,在不同的网络之间建立安全的连接。

H3C路由器的L2TPvpn简单配置

H3C路由器的L2TPvpn简单配置

H3C路由器的L2TPvpn简单配置H3C路由器的L2TPvpn简单配置L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。

那么H3C路由器L2TP 怎么配置呢?下面跟yjbys店铺一起来看看吧!system-view[liuxugang] local-user h3c[liuxugang-luser-h3c] password simple h3c[liuxugang-luser-h3c] service-type ppp[liuxugang-luser-h3c] quit[liuxugang] domain system 进入默认的域system[liuxugang-isp-system] ip pool 1 192.168.1.2 192.168.1.255 给VPN用户设置地址池[liuxugang] quit[liuxugang] l2tp enable 使能l2tp功能[liuxugang] interface Virtual-Template 0 创建虚模版0[liuxugang-Virtual-Template0] ip address 192.168.5.1 255.255.255.0 设定IP地址[liuxugang-Virtual-Template0] ppp authentication-mode pap 使用pap验证方式[liuxugang-Virtual-Template0] remote address pool 1 引用地址池[liuxugang-Virtual-Template0] quit[liuxugang] l2tp-group 1 创建l2tp组[liuxugang-l2tp1] mandatory-lcp 强制LCP自协商[liuxugang-l2tp1] allow l2tp virtual-template 0 在虚接口商启用l2tp[liuxugang-l2tp1] undo tunnel authentication 取消隧道验证。

H3C 路由器L2TP配置

H3C 路由器L2TP配置

remote address pool 1
is ppp ipcp dns 1.1.1.1
/指定使用 ip pool 1 给用户分配地址/
/给客户分配的 dns 地址
#
interface Ethernet2/0
g ip address 202.101.100.1 255.255.255.252
e #
l2tp-group 1
UnRegistered
2007-04-27
H3C 机密,未经许可不得扩散
第 2 页, 共 3 页
文档名称
文档密级
red 【提示】
1、 如果 l2tp 不通,建议在 l2tp-group 中增加 mandatory-lcp
te 2、 当 L2TP 组号为 1 时(缺省的 L2TP 组号),可以不指定隧道对端名 remote-name。 如果在 L2TP 组 1 的视图下,仍指定对端名称,则 L2TP 组 1 不作为缺省的 L2TP 组。
R mandatory-lcp
allow l2tp virtual-template 0
n undo tunnel authentication
/LCP 再协商/ /接受任何 LAC 的 l2tp 请求,并绑定到 VT0/
/不进行 tunnel 认证/
U #
ip route-static 0.0.0.0 0.0.0.0 202.101.100.2 preference 60
is 3、当 LNS 上的内网同时需要作 NAT 上网的时候,注意在配置 NAT 的 ACL 的时候要将内网访 UnReg 问 L2TP 地址池的流量 deny 掉,不进行 NAT 转换。
2007-04-27

H3C防火墙L2TP配置方法

防火墙F1000-A基于Windows自带VPN拨号软件的L2TP配置一组网需求PC作为L2TP的LAC端,F1000-A防火墙作为LNS端。

希望通过L2TP拨号的方式接入到对端防火墙。

二组网图如图所示,用户PC作为LAC,使用windows自带的拨号软件作为客户端软件,拨号接入到对端的SecPath防火墙。

软件版本如下:Version 5.20, Release 3102三、配置步骤3.1 防火墙上的配置#sysname F1000A#l2tp enable //开启L2TP功能#domain default enable system#vlan 1#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disableip pool 1 1.1.1.1 1.1.1.20 //配置拨号用户使用的地址池#local-user h3cpassword cipher G`M^B<SDBB[Q=^Q`MAF4<1!!service-type telnetlevel 3local-user zhengyamin //配置L2TP拨号用户使用的用户名和地址池password simple 123456level 3service-type ppp#l2tp-group 1 //配置L2TP组undo tunnel authentication //不使用隧道认证allow l2tp virtual-template 1 //使用虚模板1认证#interface Virtual-Template1 //配置L2TP虚模板ppp authentication-mode chap //配置ppp认证方式为chap,使用system默认域remote address pool 1 //指定使用 ip pool 1 给用户分配地址ip address 1.1.1.1 255.255.255.0#interface NULL0#interface GigabitEthernet0/0ip address 10.153.43.20 255.255.255.0#firewall zone trustadd interface GigabitEthernet0/0 //将Ge 0/0和虚接口加入trust区域add interface Virtual-Template1set priority 85#Return3.2 Windows自带拨号软件的设置由于Windows2000系统缺省情况下启动了IPSec功能,因此在发起VPN请求时应禁止IPSec功能,在命令行模式下执行regedit命令,弹出“注册表编辑器”对话框。

H3C MSR 系列路由器 Web配置指导-R2207(V1.05)-L2TP


1-2
图1-2 L2TP 配置
启用L2TP功能的详细配置如 表 1-2所示。 表1-2 启用 L2TP 功能的详细配置
配置项
说明
启用 L2TP 功能
设置是否在全局启用 L2TP 功能
可点击返回“表 1-1 LNS端的L2TP配置步骤”。
1.2.3 新建 L2TP 用户组
在导航栏中选择“VPN > L2TP> L2TP配置”,进入如 图 1-2所示的页面。页面下半部分可以对L2TP 用户组进行查看和配置。单击<新建>按钮,进入新建L2TP用户组的配置页面,如 图 1-3所示。
PPP Server 地址/掩码
设置本端的 IP 地址和掩码
PPP 地址
配置
用户地址
设置给对端分配地址所用的地址池或直接给对端分配指定的 IP 地址
若在PPP认证配置中指定了ISP域名,则下拉框中为该ISP域下的地址池;单击<新建>按 钮,可以进入如 图 1-5所示的新建地址池的配置页面,详细配置如 表 1-5所示;选择一个 地址池,单击<修改>按钮,可以进入修改该地址池的配置页面,详细配置参见 表 1-5;选 择一个地址池,单击<删除>按钮,可以将该地址池删除
必选 缺省情况下,L2TP 功能处于关闭状态
2
1.2.3 新建L2TP用户组
必选 新建 L2TP 用户组,并配置 L2TP 用户组中的相关参数 缺省情况下,不存在任何 L2TP 组
可选
3
1.2.4 查看L2TP隧道信息
查看 L2TP 隧道的信息
1.2.2 启用 L2TP 功能
在导航栏中选择“VPN > L2TP > L2TP配置”,进入如 图 1-2所示的页面。页面上半部分可以进行 L2TP功能启用状态的配置。

H3C L2TP-IPSEC办公网典型组网方案

H3C L2TP-IPSEC办公网典型组网方案【一个ETHERNET口对多个分部】【拓扑图+详细配置】网络拓扑图:各设备详细配置:<BM_WUYUAN_AR1831>的配置dis cu#sysnameBM_WUYUAN_AR1831#ike local-name cnc#undo ip optionsource-routing#dialer-rule 1 ip permit #ike peer cncexchange-mode aggressivepre-shared-key cncid-type nameremote-name zxremote-address 60.0.0.1 nat traversal#ipsec proposal cnc#ipsec policy cnc 1 isakmp security acl 3000ike-peer cncproposal cnc#dhcp server ip-pool 1network 10.70.65.0 mask255.255.255.240gateway-list 10.70.65.1dns-list 202.99.224.8 202.99.224.68#interface Bri3/0link-protocol ppp#interface Dialer0link-protocol pppppp pap local-user wy12345kdxwl@service2m.nm password simple xwl9600mtu 1450ip address ppp-negotiatedialer userwy12345kdxwl@service2m.nmdialer-group 1dialer bundle 1nat outbound 3100ipsec policy cnc#interface Ethernet1/0ip address 10.70.65.1255.255.255.240#interface Atm2/0pvc 0/32map bridgeVirtual-Ethernet0#interface Virtual-Ethernet0pppoe-client dial-bundle-number1#interface NULL0#interface LoopBack0#acl number 3000rule 0 permit ip source 10.70.64.0 0.0.0.255 destination 10.70.65.0 0.0.0.15rule 1 permit ip source 10.70.65.0 0.0.0.15 destination 10.70.64.0 0.0.0.255acl number 3100rule 0 deny ip destination 10.70.64.00.0.0.255rule 1 permit ip source 10.70.65.0 0.0.0.15#ip route-static 0.0.0.0 0.0.0.0 Dialer 0 preference 60 #user-interface con 0user-interface vty 0 4user privilege level 3set authentication password cipherN`C55QK<`=/Q=^Q`MAF4<1!!#return<BM_WUYUAN_AR1831><BM_BANGONWAN_EUDEMON200>的配置......................Save the current configuration to the device successfully.<BM_BANGONWAN_EUDEMON200><BM_BANGONWAN_EUDEMON200>dis cu#sysnameBM_BANGONWAN_EUDEMON200#super password level 3 cipherN`C55QK<`=/Q=^Q`MAF4<1!!#nat alg enable ftpnat alg enable dnsnat alg enable icmpnat alg enable netbiosundo nat alg enable h323undo nat alg enable hwccundo nat alg enable ilsundo nat alg enable pptpundo nat alg enable qqundo nat alg enable msnundo nat alg enable user-defineundo nat alg enable sipfirewall mode transparentfirewall system-ip 10.70.64.253 255.255.255.0#firewall statistic system enable #interface Aux0async mode flowlink-protocol ppp#interface Ethernet0/0/0#interface Ethernet0/0/1#interface Ethernet1/0/0#interface Ethernet1/0/1#interface NULL0#interface LoopBack0acl number 3000rule 5 permit ip source 10.70.64.0 0.0.0.255 rule 10 permit ip source 10.70.65.00.0.0.255rule 15 permit ip source 192.168.0.00.0.0.255rule 20 deny ip#firewall zone localset priority 100#firewall zone trustadd interface Ethernet0/0/0add interface Ethernet1/0/0set priority 85#firewall zone untrustadd interface Ethernet0/0/1add interface Ethernet1/0/1set priority 5#firewall zone DMZset priority 50#firewall interzone local trust packet-filter 3000 inboundpacket-filter 3000 outbound #firewall interzone local untrust #firewall interzone local DMZ #firewall interzone trust untrust packet-filter 3000 inboundpacket-filter 3000 outbound #firewall interzone trust DMZ #firewall interzone DMZ untrust #aaaauthentication-scheme default#authorization-scheme default#accounting-schemedefault#domain default##user-interface con 0user-interface aux 0user-interface vty 0 4user privilege level 3set authentication password cipher N`C55QK<`=/Q=^Q`MAF4<1!!#return<BM_BANGONWAN_EUDEMON200><BM_BANGONWAN_P1> 的配置dis cusysnameBM_BANGONWAN_P1 #ike local-name p1#undo ip option source-routing#dialer-rule 1 ip permit #ike peer p1exchange-mode aggressivepre-shared-key cnc id-type nameremote-name zxremote-address 61.138.72.234nat traversal#ipsec proposal p1ipsec policy p1 1 isakmpsecurity acl 3000ike-peer p1proposal p1#dhcp server ip-pool 1network 10.70.65.96 mask255.255.255.240gateway-list 10.70.65.97dns-list 202.99.224.8 202.99.224.68#interface Bri3/0link-protocol ppp#interface Dialer0link-protocol pppppp pap local-user lhkdwtkf1123451@service1m.nm password simple 8810181mtu 1450ip addressppp-negotiatedialer userlhkdwtkf1123451@service1m.nm dialer-group 1dialer bundle 1nat outbound 3100ipsec policy p1#interface Ethernet1/0ip address 10.70.65.97255.255.255.240#interface Atm2/0pvc 0/32map bridgeVirtual-Ethernet0#interface Virtual-Ethernet0pppoe-client dial-bundle-number 1#interface NULL0#acl number 3000rule 0 permit ip source 10.70.64.0 0.0.0.255 destination 10.70.65.96 0.0.0.15rule 1 permit ip source 10.70.65.96 0.0.0.15 destination 10.70.64.0 0.0.0.255acl number 3100rule 0 deny ip destination 10.70.64.00.0.0.255rule 1 permit ip source 10.70.65.96 0.0.0.15#ip route-static 0.0.0.0 0.0.0.0 Dialer 0 preference 60#user-interface con 0user-interface vty 0 4#return<BM_BANGONWAN_P1><BM_BANGONWAN_P2> 的配置dis cu#sysnameBM_BANGONWAN_P2#ike local-name p2#ip option source-routing#dialer-rule 1 ip permit#ike peer dkexchange-modeaggressivepre-shared-key cncid-type nameremote-name zxremote-address 60.0.0.1nat traversal#ipsec proposal dk#ipsec policy dk 1 isakmpsecurity acl 3010ike-peer dkproposal dk#dhcp server ip-pool 1network 10.70.65.112 mask255.255.255.240gateway-list 10.70.65.113dns-list 202.99.224.8 202.99.224.68#interface Bri3/0link-protocol ppp#interface Dialer0link-protocol pppppp pap local-user lhkdtxf123gs@service2m.nm password simple 8270054mtu 1450ip addressppp-negotiatedialer userlhkdtxf123gs@service2m.nmdialer-group 1dialer bundle 1nat outbound 3001ipsec policy dk#interface Ethernet1/0ip address 10.70.65.113255.255.255.240#interface Atm2/0pvc 0/32map bridgeVirtual-Ethernet0#interface Virtual-Ethernet0pppoe-client dial-bundle-number 1#interface NULL0#interface LoopBack0ip address 10.70.65.54255.255.255.255#acl number 3001rule 0 deny ip destination 10.70.64.00.0.0.255rule 1 permit ip source 10.70.65.1120.0.0.15acl number 3010rule 0 permit ip source 10.70.64.0 0.0.0.255 destination 10.70.65.112 0.0.0.15rule 1 permit ip source 10.70.65.112 0.0.0.15 destination 10.70.64.0 0.0.0.255#ip route-static 0.0.0.0 0.0.0.0 Dialer 0 preference 60#user-interface con 0user-interface vty 0 4user privilege level 3set authentication password cipherN`C55QK<`=/Q=^Q`MAF4<1!!#return<BM_BANGONWAN_P2><BM_BANGONGWAN_AR4640>的配置dis cu#sysnameBM_BANGONGWAN_AR4640#super password level 3 cipherI=G>;ZJOROP3HC6>:*%XYA!!#l2tp enable#local-user root password cipherN`C55QK<`=/Q=^Q`MAF4<1!!local-user root service-type telnetlocal-user vpn@ password simple vpnlocal-user vpn@ service-type ppplocal-user test password cipher=W6JJ`N_LBKQ=^Q`MAF4<1!!local-user test service-type ppp#ip pool 1 192.168.0.2 192.168.0.254#aaa enable#ike local-name zx#nat address-group 0 60.0.0.1 60.0.0.6#ike peer cncexchange-modeaggressivepre-shared-key cncid-type nameremote-name cncnat traversalmax-connections 100 #ike peer dkexchange-mode aggressivepre-shared-key cnc id-type nameremote-name dknat traversalmax-connections 100 #ike peer hqexchange-mode aggressivepre-shared-key cnc id-type nameremote-name hqnat traversalmax-connections 100 #ike peer p1exchange-mode aggressivepre-shared-key cnc id-type nameremote-name p1nat traversalmax-connections 100 #ike peer p2exchange-mode aggressivepre-shared-key cnc id-type nameremote-name p2nat traversalmax-connections 100 #ike peer p3exchange-mode aggressivepre-shared-key cnc id-type nameremote-name p3nat traversalmax-connections 100 #ike peer p4exchange-mode aggressivepre-shared-key cnc id-type nameremote-name p4nat traversalmax-connections 100 #ike peer qqexchange-mode aggressivepre-shared-key cnc id-type nameremote-name qqnat traversalmax-connections 100 #exchange-mode aggressivepre-shared-key cncid-type nameremote-name sbnat traversalmax-connections 100 #ike peer zqexchange-mode aggressivepre-shared-key cncid-type nameremote-name zqnat traversalmax-connections 100 #ipsec proposal cnc#ipsec policy zx 1 isakmp security acl 3001proposal cnc#ipsec policy zx 2 isakmp security acl 3001ike-peer qqproposal cnc#ipsec policy zx 3 isakmp security acl 3001ike-peer zqproposal cnc#ipsec policy zx 4 isakmp security acl 3001ike-peer hqproposal cnc#ipsec policy zx 5 isakmp security acl 3001ike-peer dkproposal cncipsec policy zx 6 isakmp security acl 3001ike-peer sbproposal cnc#ipsec policy zx 7 isakmp security acl 3001ike-peer p1proposal cnc#ipsec policy zx 8 isakmp security acl 3001ike-peer p2proposal cnc#ipsec policy zx 9 isakmp security acl 3001ike-peer p3proposal cnc#ipsec policy zx 10 isakmpike-peer p4proposal cnc#dhcp server ip-pool 10network 10.70.64.0 mask 255.255.255.0gateway-list 10.70.64.1dns-list 2.99.224.8 202.99.224.68 #interface Virtual-Template1ppp authentication-modepapip address 192.168.0.1255.255.255.0remote address pool 1#interface Aux0async mode flowlink-protocol ppp#interface Ethernet0/0/0duplex fulldescription connect toS8016_E15/0/6tcp mss 1024ip address 60.0.0.1 255.255.255.248 firewall packet-filter 3500 inbound firewall packet-filter 3500 outbound nat outbound 3000 address-group 0ipsec policy zx#interface Ethernet0/0/1description connect to EUDEMON200e1/0/1ip address 10.70.64.1 255.255.255.0 firewall packet-filter 3500 inbound firewall packet-filter 3500 outbound #interface Ethernet1/0/0#interface Ethernet1/0/1interface NULL0#interfaceLoopback0ip address 10.70.64.99255.255.255.255#acl number 3000rule 0 deny ip destination 10.70.65.00.0.0.255rule 1 permit ip source 10.70.64.0 0.0.0.255acl number 3001rule 0 permit ip source 10.70.65.0 0.0.0.255 destination 10.70.64.0 0.0.0.255rule 1 permit ip source 10.70.64.0 0.0.0.255 destination 10.70.65.0 0.0.0.255acl number 3500rule 0 deny udp source-port eq tftp destination-port eqtftprule 1 deny tcp source-port eq 135 destination-port eq135rule 2 deny udp source-port eq 135 destination-port eq135rule 3 deny udp source-port eq netbios-ns destination-port eq netbios-nsrule 4 deny udp source-port eq netbios-dgm destination-port eq netbios-dgmrule 5 deny udp source-port eq netbios-ssn destination-port eq netbios-ssnrule 6 deny tcp source-port eq 139 destination-port eq139rule 7 deny tcp source-port eq 445 destination-port eq445rule 8 deny tcp source-port eq 593 destination-port eq593rule 9 deny tcp source-port eq 4444 destination-port eq5444rule 11 deny tcp destination-port eq5554rule 12 deny tcp destination-port eq9995rule 13 deny tcp destination-port eq9996rule 14 deny tcp destination-port eq 3127rule 15 deny tcp destination-port eq 1025rule 16 deny tcp destination-port eq 137rule 17 deny tcp destination-port eq 138rule 18 deny tcp destination-port eq 5800rule 19 deny tcp destination-port eq 5900rule 20 deny tcp destination-port eq 8998#l2tp-group 1undo tunnel authenticationallow l2tp virtual-template 1#dhcp server forbidden-ip 10.70.64.240 10.70.64.254#ip route-static 0.0.0.0 0.0.0.0 60.0.0.6 preference 60 #user-interface con 0user-interface aux 0user-interface vty 0 4user privilege level 3set authentication password cipherN`C55QK<`=/Q=^Q`MAF4<1!!#return<BM_BANGONGWAN_AR4640>。

H3C路由器简单配置

L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。

那么H3C路由器L2TP怎么配置呢?下面跟一起来看看吧!目前,各大品牌厂商在无线路由器的配置设计方面增加了密钥、禁止SSID广播等多种手段,以保证无线网络的安全。

设置网络密钥;无线加密协议(WEP)是对无线网络中传输的数据进行加密的一种标准方法。

目前,无线路由器或AP的密钥类型一般有两种,分别为64位和128位的加密类型,它们分别需要输入10个或26个字符串作为加密密码。

许多无线路由器或AP在出厂时,数据传输加密功能是关闭的,必须在配置无线路由器的时候人工打开。

禁用SSID广播;通常情况下,同一生产商推出的无线路由器或AP都使用了相同的SSID,一旦那些企***非法连接的攻击者利用通用的'初始化字符串来连接无线网络,就极易建立起一条非法的连接,给我们的无线网络带来威胁。

因此,建议你最好能够将SSID命名为一些较有个性的名字。

无线路由器一般都会提供“允许SSID广播”功能。

如果你不想让自己的无线网络被别人通过SSID名称到,那么最好“禁止SSID广播”。

你的无线网络仍然可以使用,只是不会出现在其他人所到的可用网络列表中。

通过禁止SSID广播设置后,无线网络的效率会受到一定的影响,但以此换取安全性的提高,笔者认为还是值得的。

禁用DHCP;DHCP功能可在无线局域网内自动为每台电脑分配IP地址,不需要用户设置IP地址、子网掩码以及其他所需要的TCP/IP参数。

如果启用了DHCP功能,那么别人就能很容易使用你的无线网络。

因此,禁用DHCP功能对无线网络而言很有必要。

在无线路由器的“DHCP服务器”设置项下将DHCP服务器设定为“不启用”即可。

启用MAC地址、IP地址过滤在无线路由器的设置项中,启用MAC地址过滤功能时,要注意的是,在“过滤规则”中一定要选择“仅允许已设MAC地址列表中已生效的MAC地址访问无线网络”这类的选项。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

H3C L2TP 典型配置举例l2tp 的呼叫可以由nas(网络接入服务器)主动发起,也可以由客户端发起。

下面将分别针对这两种情况举例说明。

2.5.1 nas-initialized vpn1. 组网需求vpn 用户访问公司总部过程如下:用户以普通的上网方式进行拨号上网。

在接入服务器(nas)处对此用户进行验证,发现是vpn 用户,则由接入服务器向lns 发起隧道连接的请求。

在接入服务器与lns 隧道建立后,接入服务器把与vpn 用户已经协商的内容作为报文内容传给lns。

lns 再根据预协商的内容决定是否接受此连接。

用户与公司总部间的通信都通过接入服务器与lns 之间的隧道进行传输。

2. 组网图3. 配置步骤(1) 用户侧的配置在用户侧,在拨号网络窗口中输入vpn 用户名vpdnuser,口令hello,拨入号码为170。

在拨号后弹出的拨号终端窗口中输入radius 验证的用户名username 和口令userpass。

(2) nas 侧的配置# 在nas 上配置拨入号码为170。

# 在radius 服务器上设置一个用户名为username、口令为userpass 的vpn 用户,并设置相应的lns 侧设备的ip 地址(本例中lns 侧与通道相连接的以太口的ip 地址为202.38.160.2)。

# 将本端的设备名称定义为lac,需要进行通道验证,通道验证密码为tunnelpwd。

(3) 防火墙(lns 侧)的配置# 设置用户名及口令(应与用户侧的设置一致)。

[h3c] local-user vpdnuser[h3c-luser-vpdnuser] password simple hello[h3c-luser-vpdnuser] service-type ppp# 对vpn 用户采用本地验证。

[h3c] domain system[h3c-isp-system] scheme local[h3c-isp-system] ip pool 1 192.168.0.2 192.168.0.100# 启用l2tp 服务,并设置一个l2tp 组。

[h3c] l2tp enable[h3c] l2tp-group 1# 配置虚模板virtual-template 的相关信息。

[h3c] interface virtual-template 1[h3c-virtual-template1] ip address 192.168.0.1 255.255.255.0[h3c-virtual-template1] ppp authentication-mode chap domain system [h3c-virtual-template1] remote address pool 1# 配置lns 侧接收的通道对端名称。

[h3c] l2tp-group 1[h3c-l2tp1] allow l2tp virtual-template 1 remote lac# 启用通道验证并设置通道验证密码。

[h3c-l2tp1] tunnel authentication[h3c-l2tp1] tunnel password simple tunnelpwd2.5.2 client-initialized vpn1. 组网需求vpn 用户访问公司总部过程如下:用户首先连接internet,之后,直接由用户向lns 发起tunnel 连接的请求。

在lns 接受此连接请求之后,vpn 用户与lns 之间就建立了一条虚拟的tunnel。

用户与公司总部间的通信都通过vpn 用户与lns 之间的tunnel 进行传输。

2. 组网图3. 配置步骤(1) 用户侧的配置在用户侧主机上必须装有l2tp 的客户端软件,如winvpn client,并且用户通过拨号方式连接到internet。

然后再进行如下配置(设置的过程与相应的客户端软件有关,以下为设置的内容):# 在用户侧设置vpn 用户名为vpdnuser,口令为hello。

# 将lns 的ip 地址设为防火墙的internet 接口地址(本例中lns 侧与通道相连接的以太口的ip 地址为202.38.160.2)。

# 修改连接属性,将采用的协议设置为l2tp,将加密属性设为自定义,并选择chap验证,进行通道验证,通道的密码为:tunnelpwd。

(2) 防火墙(lns 侧)的配置# 设置用户名及口令(应与用户侧的设置一致)。

[h3c] local-user vpdnuser[h3c-luser-vpdnuser] password simple hello[h3c-luser-vpdnuser] service-type ppp# 对vpn 用户采用本地验证。

[h3c] domain system[h3c-isp-system] scheme local[h3c-isp-system] ip pool 1 192.168.0.2 192.168.0.100# 启用l2tp 服务,并设置一个l2tp 组。

[h3c] l2tp enable[h3c] l2tp-group 1# 配置虚模板virtual-template 的相关信息。

[h3c] interface virtual-template 1[h3c-virtual-template1] ip address 192.168.0.1 255.255.255.0[h3c-virtual-template1] ppp authentication-mode chap domain system[h3c-virtual-template1] remote address pool 1# 配置lns 侧接收的通道对端名称。

[h3c] l2tp-group 1[h3c-l2tp1] allow l2tp virtual-template 1# 启用通道验证并设置通道验证密码。

[h3c-l2tp1] tunnel authentication[h3c-l2tp1] tunnel password simple tunnelpwd2.5.3 l2tp 多域组网应用1. 组网需求企业中拥有两个域,pc1 为企业中 域的用户,pc2 为企业中 域的用户。

一般情况下,用户无法通过internet 直接访问企业内部的网络。

通过建立vpn并支持多域,不同域的用户将从lns 获得不同范围的地址,并可以访问企业内部网络。

2. 组网图3. 配置步骤(1) 用户侧的配置建一拨号网络,接收由lns 服务器端分配的地址。

对于pc1 而言,在弹出的拨号终端窗口中输入用户名vpdn1@,口令为11111(此用户名与口令已在lns 中注册)。

对于pc2 而言,在弹出的拨号终端窗口中输入用户名vpdn2@,口令为22222(此用户名与口令已在lns 中注册)。

(2) secpath1(lac 侧)的配置(本例中lac 侧的ethernet0/0/0 和ethernet1/0/0 是用户接入接口,ethernet0/0/1的ip 地址为202.38.160.1,lns 侧与通道相连接的ip 地址为202.38.160.2)。

# 设置用户名及口令。

[h3c] system-view[h3c] local-user vpdn1[h3c-luser-vpdn1] password simple 11111[h3c-luser-vpdn1] service-type ppp[h3c-luser-vpdn1] quit[h3c] local-user vpdn2[h3c-luser-vpdn2] password simple 22222[h3c-luser-vpdn2] service-type ppp[h3c-luser-vpdn2] quit# 配置域用户采用本地认证。

[h3c] domain [] scheme local[] quit[h3c] domain [] scheme local[] quit# 在ethernet0/0/0 和ethernet1/0/0 接口上配置pppoe server。

[h3c] interface ethernet0/0/0[h3c-ethernet0/0/0] pppoe-server bind virtual-template 100[h3c-ethernet0/0/0] interface ethernet1/0/0[h3c-ethernet1/0/0] pppoe-server bind virtual-template 101# 在ethernet0/0/1 接口上配置ip 地址。

[h3c-ethernet0/0/0] interface ethernet0/0/1[h3c-ethernet0/0/1] ip address 202.38.160.1 255.255.255.0# 在虚模板上启动chap 认证。

[h3c-ethernet0/0/1] interface virtual-template 100[h3c-virtual-template100] ppp authentication-mode chap domain [h3c-virtual-template100] interface virtual-template 101[h3c-virtual-template101] ppp authentication-mode chap domain [h3c-virtual-template101] quit# 设置两个l2tp 组并配置相关属性。

[h3c] l2tp enable[h3c] l2tp-group 1[h3c-l2tp1] tunnel name lac[h3c-l2tp1] start l2tp ip 202.38.160.2 domain [h3c-l2tp1] l2tp-group 2[h3c-l2tp2] tunnel name lac[h3c-l2tp2] start l2tp ip 202.38.160.2 domain # 启用通道验证并设置通道验证密码。

[h3c-l2tp2] tunnel authentication[h3c-l2tp2] tunnel password simple 12345[h3c-l2tp2] quit[h3c] l2tp-group 1[h3c-l2tp1] tunnel authentication[h3c-l2tp1] tunnel password simple 12345(3) secpath2(lns 侧)的配置。