最近公司需要配置VPN,而用SSLVPN面临授权不够的问题,为了方便大家使用,就选择了L2TPVPN的方式。但在实际模拟操作的过程中,出现了一些疑点,现记录下来。一、拓扑HYPERLINK"http://s3.51cto.com/wyfs02/M00/75/83/wKiom1Y6-6jBgnH0AAHqiRT4WR8415.jpg"拓扑是模拟公司总部网络,其中有台单独的设备作为VPN的认证网关,即图中的VPN,是旁挂核心交换机的组网方式。二、前提出口防火墙上,要做好映射。也就是要将内网中的VPN设备IP(192.168.10.10)映射到公网上,让公网能够访问。此处就是在FW设备上做了一个natserver0global112.54.82.160inside192.168.10.10。总部内网要通,路由要全,出口要有NAT。分支和总部的两个内网不能通(192.168.218.186是不能Ping通192.168.10.0和192.168.200.0网段的)。三、配置L2TPVPNsyinterfaceVirtual-Template1#新建一个虚拟接口Virtual-Template1#authentication-modechappap#认证模式用chap,如果对方不支持chap,则用pap#aliasVirtual-Template1#忽略#ipaddress1.1.1.1255.255.255.0#给接口一个IP,此IP不能和其他冲突,随便一个即可#remoteaddresspool0#调用给拨入设备分配的地址池。地址池的定义在AAA内#aaaippool012.12.12.1012.12.12.100#定义地址池从12网段的10开始,到100结束#local-uservpnpasswordcipervpntest!123local-uservpnservice-typeppp#配置用户名和密码,不多说了#l2tp-group2#配置l2tp组2#undotunnelauthentication#如果用电脑自带的VPN拨号,电脑是无法起tunnel认证的#所以此处关闭tunnel的认证#allowl2tpvirtual-template1#不多说了,l2tp的配置,关于后面的参数,官方配置文档上#有解释#l2tpenable#这条命令是开启L2TP功能的,千万不要忘了#四、几个注意事项:1、l2tp分配给客户的地址池pool里的地址用不用和Virtual-Template1的IP地址在一个网段上?不用必须一致。这两个地址都可以随便定义,但最好不要跟内网地址段相同。如果和内网地址段相同,则需要在VPN上开启虚拟转发功能(自行查资料)。建议定义一个很奇怪的地址段。2、l2tp分配给客户的地址,没有网关啊,怎么和内网通信?没网关不要紧。但总部所有网段都要有到12.12.12.0这个网段的路由。不然客户端是不能访问到相应的内网地址的。比如此图Core-SW上就有iproute-static12.12.12.0255.255.255.0192.168.10.103、l2tpvpn设备必须要旁挂么?不是的。VPN组网方式一般采用直连,在出口路由或出口防火墙上配置。此处我只是模拟一种出口设备不支持VPN而且网络已经不能变动的情况,采用旁挂比较灵活。4、防火墙的策略要开。此处由于没用路由器,用防火墙代替的路由器,所以防火墙策略我全开了,只是模拟。实际组网要根据实际情况来做,但一定要记得,把该开的策略要开,接口要放在相应的安全区域内。尤其是Virtual-Template1这个接口一定要放在相应的区域并放行到这个接口的安全策略。五、电脑端拨号配置HYPERLINK"http://s3.51cto.com/wyfs02/M01/75/81/wKioL1Y7AoPDdjPTAAGUjbgqH-k958.jpg"HYPERLINK"http://s3.51cto.com/wyfs02/M02/75/83/wKiom1Y7AkOg3Wv7AADkLzajvew061.jpg"HYPERLINK"http://s3.51cto.com/wyfs02/M02/75/81/wKioL1Y7AoOBCqlQAAEckaen3eA636.jpg"HYPERLINK"http://s3.51cto.com/wyfs02/M00/75/83/wKiom1Y7AkOgu8fBAAELa_tB_Jw455.jpg"HYPERLINK"http://s3.51cto.com/wyfs02/M00/75/81/wKioL1Y7AoTTu3WtAACBO4N4mz4076.jpg"HYPERLINK"http://s3.51cto.com/wyfs02/M01/75/83/wKiom1Y7AkTjljM7AAJq-ru8pt8351.jpg"HYPERLINK"http://s3.51cto.com/wyfs02/M01/75/81/wKioL1Y7AoTjbPEAAAIGKmGzrPs976.jpg"HYPERLINK"http://s3.51cto.com/wyfs02/M02/75/83/wKiom1Y7AkSxMOz0AAGc-hTpjo8459.jpg"六、设备配置1、VPNdiscur15:15:512015/11/05#interfaceVirtual-Template1pppauthentication-modechappapaliasVirtual-Template1ipaddress1.1.1.1255.255.255.0remoteaddresspool#interfaceGigabitEthernet0/0/0aliasGE0/MGMTipaddress192.168.0.1255.255.255.0dhcpselectinterfacedhcpservergateway-list192.168.0.1#interfaceGigabitEthernet0/0/1#i...