# HUAWEI SVN5600&5800系列 V200R003 典型配置案例 (测试USG6600E有效USG6625E）

HUAWEI SVN5600&5800系列 V200R003 典型配置案例 (测试USG6600E有效USG6625E）

转：https://support.huawei.com/enterprise/zh/doc/EDOC1000057165?section=j00b
目 录
8 L2TP网络扩展（L2TP over IPSec）

8.1 SVN作为L2TP over IPSec接入网关

8.2 PC使用L2TP over IPSec接入总部（VPN Client）

8.3 PC使用L2TP over IPSec接入总部（Windows 7）

8.4 移动终端使用L2TP over IPSec接入总部（Android）

8.5 移动终端使用L2TP over IPSec接入总部（iOS）

8 L2TP网络扩展（L2TP over IPSec）
介绍不同类型的用户终端采用L2TP over IPSec方式访问企业内网资源时，SVN的配置方法。

8.1 SVN作为L2TP over IPSec接入网关
介绍终端用户采用L2TP over IPSec方式访问企业内网资源时，SVN作为接入网关的配置方法。
8.2 PC使用L2TP over IPSec接入总部（VPN Client）
介绍终端用户采用L2TP over IPSec方式访问企业内网资源时，客户端的配置方法。
8.3 PC使用L2TP over IPSec接入总部（Windows 7）
介绍终端用户采用L2TP over IPSec方式访问企业内网资源时，客户端的配置方法。
8.4 移动终端使用L2TP over IPSec接入总部（Android）
介绍终端用户采用L2TP over IPSec方式访问企业内网资源时，移动终端的配置方法。
8.5 移动终端使用L2TP over IPSec接入总部（iOS）
介绍终端用户采用L2TP over IPSec方式访问企业内网资源时，移动终端的配置方法。
8.1 SVN作为L2TP over IPSec接入网关
介绍终端用户采用L2TP over IPSec方式访问企业内网资源时，SVN作为接入网关的配置方法。

组网需求
如图8-1所示，SVN单臂旁路旁挂于防火墙上，允许终端用户通过L2TP over IPSec方式访问企业内网的所有IP资源，并且采用本地认证和本地授权方式对用户进行认证、授权。

图8-1 L2TP over IPSec组网图

配置思路
创建虚拟网关。
配置L2TP网络扩展。
在该方式下，有关L2TP的配置SVN会自动生成，只需要为终端用户创建地址池即可。

配置IPSec隧道。
添加终端用户可以访问的内网IP资源。

新建虚拟网关下的用户。
该用户就是访问企业内网资源的终端用户。

配置用户认证授权方式。
虚拟网关采用本地认证和本地授权方式对用户进行认证和授权。

配置用户访问内网Web资源的权限。
角色是权限的集合，通过为用户分配角色，使其具有访问不同资源的权限。例如用户A的角色名称是role，角色role的权限是可以访问http://www.svn/resource.html这条资源。则将用户A的角色配置为role以后，该用户就可以访问此资源。

操作步骤
创建虚拟网关gateway。详细步骤略，具体配置请参见5 虚拟网关。
在界面右上角的“虚拟网关”中选择“gateway”，进入虚拟网关。
配置L2TP网络扩展。
选择“SSL VPN > 资源 > 网络扩展”。
选择“L2TP网络扩展”页签，配置为终端用户分配IP地址的地址池。

单击“应用”。
单击“应用并设置IPSec”进行IPSec的参数配置。
配置IPSec隧道。
选择“网络 > IPSec > IPSec”，在“IPSec策略列表”下单击“新建”。

选择“场景”为“点到多点”，按如下参数配置“基本配置”，总部此时为了让多个终端接入，不指定分支的地址。预共享密钥为Admin@123。

配置“待加密数据流”。

勾选“安全提议”中的“接受对端提议”，表示由分支网关来提议IPSec协议和算法。

单击“应用”，完成L2TP over IPSec配置。
新建虚拟网关下的用户。
在界面右上角的“虚拟网关”中选择“gateway”，进入对应的虚拟网关。
选择“SSL VPN > 用户 > 用户/组”。
在“成员管理”页签中，单击“新建”，选择“新建用户”，按照如下参数设置。用户密码为Hello@123。

单击“确定”。
配置用户认证授权方式。
选择“SSL VPN > 认证授权 > 认证授权方式”。
在“配置认证授权方式”中，按照如下参数设置。

单击“应用”。
配置用户访问内网资源的权限。
选择“SSL VPN > 角色授权”。
单击“新建”，配置角色所具有资源访问权限。

单击“确定”。
结果验证
用户可以通过L2TP over IPSec终端访问企业的内网资源。用户采用不同的终端登录虚拟网关时的方式不一样，用户终端的配置以及接入企业内网的方式请参见8.2 PC使用L2TP over IPSec接入总部（VPN Client）。

配置脚本
以下仅给出与本举例有关的脚本。

l2tp enable

ike proposal 3
authentication-algorithm sha1 md5
integrity-algorithm aes-xcbc-96 hmac-sha1-96 hmac-md5-96

ike peer ike91165721597
exchange-mode auto
pre-shared-key % % Z1}*8w’rH;MD;% %
ike negotiate compatible
ike-proposal 3
remote-id-type none

acl number 3001
rule 5 permit udp source-port eq 1701

ipsec proposal prop91165721597
encapsulation-mode auto
esp authentication-algorithm sha2-256

ipsec policy-template tpl91165721597 1
security acl 3001
ike-peer ike91165721597
alias policy_ipsec
scenario point-to-multipoint l2tp-user-access
proposal prop91165721597
local-address 1.1.1.1
sa duration traffic-based 1843200
sa duration time-based 3600

ipsec policy ipsec9116572166 10000 isakmp template tpl91165721597

interface GigabitEthernet1/0/1
ip address 1.1.1.2 255.255.255.0
ipsec policy ipsec9116572166 auto-neg

interface Virtual-Template1
ppp authentication-mode chap pap
alias L2TP_LNS_0
ip address 223.253.253.253 255.255.255.252
remote address pool 1

l2tp-group 1
undo tunnel authentication
allow l2tp virtual-template 1

l2tp domain suffix-separator @

domain default
ip pool 1 172.16.20.10 172.16.20.100
#先创建与虚拟网关同名的虚拟系统，然后执行switch命令进入虚拟系统进行虚拟网关的配置，switch命令在配置文件中不体现#

vsys enable

vsys name gateway 1
switch vsys name gateway
#虚拟网关gateway的配置#

aaa
authentication-scheme default

authorization-scheme default #

domain default
reference user current-domain

v-gateway gateway 10.1.1.1 private
#*以下创建用户/组、将用户/组加入角色的配置保存于数据库，不在配置文件体现#
role
role market user user0001

8.2 PC使用L2TP over IPSec接入总部（VPN Client）
介绍终端用户采用L2TP over IPSec方式访问企业内网资源时，客户端的配置方法。

操作步骤
配置终端用户在PC上使用VPN Client软件接入企业内网。
终端用户侧PC上必须装有L2TP客户端软件，并通过拨号方式连接到Internet。以Secoway VPN Client软件为例。

打开Secoway VPN Client软件，选中已有连接，单击。
说明：
此操作要在VPN Client断开拨号的情况下执行。

如果没有连接存在，请单击，根据向导建立新的连接。

在“基本设置”页面设置基本信息，并启用IPSec安全协议。
参数设置如图8-2所示。启用IPSec安全协议，并设置登录密码为Hello@123，身份验证字为Admin@123。

说明：
VPN Client上设置的IPSec身份验证字需要与LNS上设置的预共享密钥保持一致。

如果用户需要访问Internet，请在“基本设置”页签中选中“连接成功后允许访问Internet(N)”，并在“路由设置”页签中配置相关路由。

图8-2 LAC客户端基本设置

在“IPSec设置”页面设置IPSec基本信息。参数设置如图8-3所示。
说明：
当LNS侧采用L2TP over IPSec方式配置VPN隧道时，LNS将不对VPN Client做隧道验证，因此VPN Client上无需配置“L2TP设置”页签。

图8-3 LAC客户端IPSec设置

在“IKE设置”页面设置IKE基本信息。参数设置如图8-4所示。
图8-4 LAC客户端IKE设置

结果验证
在终端用户PC上，单击配置完毕的VPN连接，建立L2TP over IPSec隧道。

使用PC访问企业内网的任一资源，如果访问成功，则表明L2TP over IPSec隧道配置成功；如果访问失败，请重新检查配置。

8.3 PC使用L2TP over IPSec接入总部（Windows 7）
介绍终端用户采用L2TP over IPSec方式访问企业内网资源时，客户端的配置方法。

操作步骤
配置终端用户的个人PC。以下为Windows 7系统的示例。
可选：修改Windows 7系统的注册表项。
说明：
在本举例中（即L2TP over IPSec场景），无需修改个人PC注册表项，本步骤可以直接跳过。而在单纯的L2TP拨号场景下，则需要执行本步骤，修改个人PC的注册表项。
在“开始 > 运行”中，输入regedit命令，单击“确定”，进入注册表编辑器。
在“注册表编辑器”页面的左侧导航树中，选择“计算机 > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > IPSec”。
如果在注册表的Services路径下找不到“IPSec”，请在该路径下单击“右键”，新建名称为“IPSec”的文件夹。

在菜单栏上选择“编辑 > 新建 > DWORD值（32位）”。
键入AssumeUDPEncapsulationContextOnSendRule，然后按“ENTER”，修改文件名称。
右键单击AssumeUDPEncapsulationContextOnSendRule，选择“修改”，进入修改界面。
在“数值数据”框中键入2，表示可以与位于NAT设备后面的服务器建立安全关联。
单击“确定”。
选择“我的电脑 > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > RasMan > Parameters”。
在菜单栏上选择“编辑 > 新建 > DWORD值（32位）”。
键入ProhibitIpSec，然后按“ENTER”，修改文件名称。
右键单击ProhibitIpSec，选择“修改”，进入修改界面。
在“数值数据”框中键入0。
单击“确定”，并退出注册表编辑器。
重新启动该PC，使修改生效。
查看IPSec服务状态，保证IPSec服务开启。
在“开始 > 运行”中，输入services.msc命令，单击“确定”，进入“服务”界面。
在“名称”一列中，查看“IPsec Policy Agent”的状态，确保状态为“已启用”。如果不为“已启用”，请右键单击“IPsec Policy Agent”，选择“属性”，在“属性”中设置“启动类型”为自动，单击“应用”。之后在“服务状态”中选择“启动”。
关闭“服务”界面。
创建L2TP over IPSec连接。
在“开始 > 运行”中，输入control命令，单击“确定”，进入控制面板。
选择“网络和Internet > 网络和共享中心”，在“更改网络设置”区域框中，单击“设置新的连接或网络”。
在“设置连接或网络”中选择“连接到工作区”，单击“下一步”。
在“连接到工作区”中选择“使用我的Internet连接(VPN)(I)”。
在“连接到工作区”中填写Internet地址和目标名称，此处设置的Internet地址为1.1.1.1，目标名称为VPN连接，单击“下一步”。
在“连接到工作区”中填写用户名和密码，此处设置的用户名为user0001，密码为Hello@123，单击“连接”。
在“控制面板主页”中选择“更改适配器设置”，在名称列表中双击“VPN连接”。弹出如下对话框，如图8-5所示。
图8-5 连接SVN

单击“属性”页签，设置如图8-6所示。

图8-6 设置lns属性的安全页签

在“安全”页签中，单击“高级设置”，在弹出的“高级属性”对话框中，选中“使用预共享的密钥作身份验证”，并输入密钥为Admin@123，与LNS端一致。如图8-7所示。单击“确定”。
图8-7 高级安全设置

单击“确定”，完成设置。
输入用户名为user0001，密码Hello@123，与虚拟网关下配置的用户信息设置一致。单击“连接”，发起隧道连接，如图8-8所示。
图8-8 连接SVN

结果验证
使用PC访问企业内网的任一资源，如果访问成功，则表明L2TP over IPSec隧道配置成功；如果访问失败，请重新检查配置。

8.4 移动终端使用L2TP over IPSec接入总部（Android）
介绍终端用户采用L2TP over IPSec方式访问企业内网资源时，移动终端的配置方法。

操作步骤
配置终端用户的移动终端。
移动终端使用的系统为Android时，以2.3版本界面为例介绍配置过程。

说明：
首次设置VPN时，系统会要求输入8位以上的PIN码，请牢记此PIN码以便后续修改VPN配置时使用。
VPN为全局连接，即VPN连接成功后，所有上网流量均经过VPN网关。如遇到相关资源无法访问的情况，请断开VPN连接或联系SVN网关管理员处理。
通过手机“常规”界面选择“WLAN”。

选择“VPN”。

选择“添加VPN网络”。

设置VPN服务器地址和IPSec预共享密钥，其他参数保持默认即可。本例中VPN服务器地址为SVN网关的外网接口地址（1.1.1.1），IPSec预共享密钥为“Admin@123”。设置完成后保存VPN配置。

返回并选择已创建的“svn”，即可向SVN网关发起VPN协商。

输入用户名和密码（user0001/Hello@123），即可向SVN网关发起VPN协商。

当显示“已连接”或手机状态栏显示钥匙状图标时，表示VPN连接已成功，此时员工便可访问企业内网资源。

结果验证
使用移动终端访问企业内网的任一资源，如果访问成功，则表明L2TP over IPSec隧道配置成功；如果访问失败，请重新检查配置。

8.5 移动终端使用L2TP over IPSec接入总部（iOS）
介绍终端用户采用L2TP over IPSec方式访问企业内网资源时，移动终端的配置方法。

操作步骤
配置终端用户的移动终端。
移动终端采用的系统为iOS时，以5.0版本系统界面为例介绍配置过程。

通过手机设置界面，进入“通用 > VPN”。

选择“添加VPN配置…”。

配置服务器地址（1.1.1.1）、帐户（user0001）、密码（Hello@123）和密钥（Admin@123），并选择右上角的“存储”保存VPN配置。

说明：
iOS的L2TP over IPSec可选择所有流量经VPN转发或只有与获得的VPN虚拟IP地址同网段的目的地址经VPN转发，当打开“发送所有流量”开关时，即表示所有上网业务经VPN转发。
选择已创建的“Svn”，并打开“VPN”右侧的开发按钮，即可开始L2TP over IPSecVPN协商。在状态一栏显示“已连接”即表示连接成功，此时员工便可访问企业内网资源。

结果验证
使用移动终端访问企业内网的任一资源，如果访问成功，则表明L2TP over IPSec隧道配置成功；如果访问失败，请重新检查配置。