华为L2TP VPN配置VIP免费

最近公司需要配置VPN，而用SSLVPN面临授权不够的问题，为了方便大家使用，就选择了L2TPVPN的方式。但在实际模拟操作的过程中，出现了一些疑点，现记录下来。一、拓扑HYPERLINK"http://s3.51cto.com/wyfs02/M00/75/83/wKiom1Y6-6jBgnH0AAHqiRT4WR8415.jpg"拓扑是模拟公司总部网络，其中有台单独的设备作为VPN的认证网关，即图中的VPN，是旁挂核心交换机的组网方式。二、前提出口防火墙上，要做好映射。也就是要将内网中的VPN设备IP（192.168.10.10）映射到公网上，让公网能够访问。此处就是在FW设备上做了一个natserver0global112.54.82.160inside192.168.10.10。总部内网要通，路由要全，出口要有NAT。分支和总部的两个内网不能通（192.168.218.186是不能Ping通192.168.10.0和192.168.200.0网段的）。三、配置L2TPVPNsyinterfaceVirtual-Template1#新建一个虚拟接口Virtual-Template1#authentication-modechappap#认证模式用chap，如果对方不支持chap，则用pap#aliasVirtual-Template1#忽略#ipaddress1.1.1.1255.255.255.0#给接口一个IP，此IP不能和其他冲突，随便一个即可#remoteaddresspool0#调用给拨入设备分配的地址池。地址池的定义在AAA内#aaaippool012.12.12.1012.12.12.100#定义地址池从12网段的10开始，到100结束#local-uservpnpasswordcipervpntest!123local-uservpnservice-typeppp#配置用户名和密码，不多说了#l2tp-group2#配置l2tp组2#undotunnelauthentication#如果用电脑自带的VPN拨号，电脑是无法起tunnel认证的#所以此处关闭tunnel的认证#allowl2tpvirtual-template1#不多说了，l2tp的配置，关于后面的参数，官方配置文档上#有解释#l2tpenable#这条命令是开启L2TP功能的，千万不要忘了#四、几个注意事项：1、l2tp分配给客户的地址池pool里的地址用不用和Virtual-Template1的IP地址在一个网段上？不用必须一致。这两个地址都可以随便定义，但最好不要跟内网地址段相同。如果和内网地址段相同，则需要在VPN上开启虚拟转发功能（自行查资料）。建议定义一个很奇怪的地址段。2、l2tp分配给客户的地址，没有网关啊，怎么和内网通信？没网关不要紧。但总部所有网段都要有到12.12.12.0这个网段的路由。不然客户端是不能访问到相应的内网地址的。比如此图Core-SW上就有iproute-static12.12.12.0255.255.255.0192.168.10.103、l2tpvpn设备必须要旁挂么？不是的。VPN组网方式一般采用直连，在出口路由或出口防火墙上配置。此处我只是模拟一种出口设备不支持VPN而且网络已经不能变动的情况，采用旁挂比较灵活。4、防火墙的策略要开。此处由于没用路由器，用防火墙代替的路由器，所以防火墙策略我全开了，只是模拟。实际组网要根据实际情况来做，但一定要记得，把该开的策略要开，接口要放在相应的安全区域内。尤其是Virtual-Template1这个接口一定要放在相应的区域并放行到这个接口的安全策略。五、电脑端拨号配置HYPERLINK"http://s3.51cto.com/wyfs02/M01/75/81/wKioL1Y7AoPDdjPTAAGUjbgqH-k958.jpg"HYPERLINK"http://s3.51cto.com/wyfs02/M02/75/83/wKiom1Y7AkOg3Wv7AADkLzajvew061.jpg"HYPERLINK"http://s3.51cto.com/wyfs02/M02/75/81/wKioL1Y7AoOBCqlQAAEckaen3eA636.jpg"HYPERLINK"http://s3.51cto.com/wyfs02/M00/75/83/wKiom1Y7AkOgu8fBAAELa_tB_Jw455.jpg"HYPERLINK"http://s3.51cto.com/wyfs02/M00/75/81/wKioL1Y7AoTTu3WtAACBO4N4mz4076.jpg"HYPERLINK"http://s3.51cto.com/wyfs02/M01/75/83/wKiom1Y7AkTjljM7AAJq-ru8pt8351.jpg"HYPERLINK"http://s3.51cto.com/wyfs02/M01/75/81/wKioL1Y7AoTjbPEAAAIGKmGzrPs976.jpg"HYPERLINK"http://s3.51cto.com/wyfs02/M02/75/83/wKiom1Y7AkSxMOz0AAGc-hTpjo8459.jpg"六、设备配置1、VPNdiscur15:15:512015/11/05#interfaceVirtual-Template1pppauthentication-modechappapaliasVirtual-Template1ipaddress1.1.1.1255.255.255.0remoteaddresspool#interfaceGigabitEthernet0/0/0aliasGE0/MGMTipaddress192.168.0.1255.255.255.0dhcpselectinterfacedhcpservergateway-list192.168.0.1#interfaceGigabitEthernet0/0/1#i...