1. PC-LAC-LNS
PC通过PSTN拨入LAC,然后由LAC发起和LNS建立L2TP。
【Router LAC】
sysname LAC
#
l2tp enable /使能l2tp/
l2tp domain suffix-separator @ /domain的分隔符为@/
l2tp match-order domain-dnis
#
dialer-rule 1 ip permit
#
domain huawei.com /创建huawei.com域/
scheme none /认证方式为:不认证。将验证用户的工作交给LNS来处理,如需认证,则需要配置本地帐号/
domain system
#
interface Analogmodem1/0 /AM口使能拨号/
async mode protocol
link-protocol ppp
dialer enable-circular
dialer-group 1
dialer circular-group 0
#
interface Dialer0
link-protocol ppp
ppp authentication-mode pap domain huawei.com /PPP认证域为huawei.com/
ip address 1.1.1.1 255.255.255.0
dialer enable-circular
dialer-group 1
#
interface Ethernet0/0
ip address 202.101.100.2 255.255.255.252
#
l2tp-group 1
tunnel password simple quidway /tunnel认证密码为quidway/
tunnel name lac-end
start l2tp ip 202.101.100.1 domain huawei.com /根据用户域名来发起建立隧道的连接请求/
#
user-interface tty 17
authentication-mode scheme
modem both /AM口使能modem/
return
【Router LNS】
#
sysname LNS
#
l2tp enable /使能l2tp/
l2tp domain suffix-separator @ /domain的分隔符为@/
l2tp match-order domain
#
domain huawei.com /创建huawei.com域/
ip pool 1 192.168.0.2 192.168.0.20 /分配给拨号用户的地址/
domain system
#
local-user usera /创建用于验证用户的本地帐号/
password simple usera
service-type ppp
#
interface Virtual-Template0
ppp authentication-mode pap domain huawei.com /PPP认证域为huawei.com/
ip address 192.168.0.1 255.255.255.0
remote address pool 1 /指定使用ip pool 1给用户分配地址/
#
interface Ethernet2/0
ip address 202.101.100.1 255.255.255.252
#
l2tp-group 1
mandatory-lcp /LCP再协商/
allow l2tp virtual-template 0 remote lac-end /接受lac-end的l2tp请求,并绑定到VT0/
tunnel password simple quidway /tunnel认证密码为quidway/
tunnel name lns-end
#
【注意】
1)、 lac可以是路由器也可以是拨号接入服务器
2)、用户在拨号网络输入帐号和口令 usera@huawei.com/usera
2 PC采用l2tp作为lac拨入lns路由器
#
sysname LNS
#
l2tp enable /使能l2tp/
#
domain system
ip pool 1 192.168.0.2 192.168.0.100 /分配给拨号用户的地址/
#
local-user usera /创建用于验证用户的本地帐号/
password simple usera
service-type ppp
#
interface Virtual-Template0
ppp authentication-mode pap /PPP认证方式为PAP,使用system默认域/
ip address 192.168.0.1 255.255.255.0
remote address pool 1 /指定使用ip pool 1给用户分配地址/
#
interface Ethernet2/0
ip address 202.101.100.1 255.255.255.252
#
l2tp-group 1
mandatory-lcp /LCP再协商/
allow l2tp virtual-template 0 /接受任何LAC的l2tp请求,并绑定到VT0/
undo tunnel authentication /不进行tunnel认证/
#
ip route-static 0.0.0.0 0.0.0.0 202.101.100.2 preference 60
return
备注:
【windows 2000/xp/nt】
Windows下Ethernet 500安装可能出现若干问题,推荐用windows自带拨号程序。
由于Windows2000系统缺省情况下启动了IPSec功能,因此在发起VPN请求时应禁止IPSec功能,在命令行模式下执行regedit命令,弹出“注册表编辑器”对话框。
在左侧注册表项目中逐级找到:HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Rasman/Parameters,单击Parameters参数,接着在右边窗口空白处单击鼠标右键,选择[新建/双字节值]并新建一个注册表值(名称为ProhibitIPSec,值为1),然后重新启动Windows2000。
注意设置为pap验证,尤其注意要选择l2tp拨号,微软默认的是pptp。
【注意】
1、 如果l2tp不通,建议在l2tp-group中增加mandatory-lcp
2、 当L2TP组号为1时(缺省的L2TP组号),可以不指定隧道对端名remote-name。如果在L2TP组1的视图下,仍指定对端名称,则L2TP组1不作为缺省的L2TP组。
3、当LNS上的内网同时需要作NAT上网的时候,注意在配置NAT的ACL的时候要将内网访问L2TP地址池的流量deny掉,不进行NAT转换。
参考脚本:
#
sysname Quidway
#
l2tp enable
l2tp domain suffix-separator @
#
domain system
accounting optional
ip pool 1 192.168.1.2 192.168.2.100
#
local-user test
password cipher =W6JJ`N_LBKQ=^Q`MAF4<1!!
level 3
service-type ppp
#
interface Virtual-Template1
ppp authentication-mode pap
ip address 192.168.1.1 255.255.255.0
remote address pool 1
#
interface Ethernet0/0
ip address 192.168.2.1 255.255.255.0
#
interface Ethernet0/1
ip address 202.101.xxx.2 255.255.255.0
nat outbound 3000 interface
#
acl number 3000
rule 0 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
rule 1 permit ip source 192.168.2.0 0.0.0.255
#
l2tp-group 1
undo tunnel authentication
mandatory-lcp
allow l2tp virtual-template 1
#
ip route-static 0.0.0.0 0.0.0.0 202.90.xxx.1 preference 60
#