前言
一、L2TP Client-Initiated VPN
对支持L2TP拨号的用户直接与LNS(网络服务器)建立连接,无需经过LAC(访问集中器),需要一次认证真是对接入用户进行PPP认证。
在上面实验中,Cloud5模拟L2TP client(192.168.71.100),R1模拟外网。现在公司人员在外面办公,需要通过拨号公司防火墙公网地址,实现访问内部服务器。
实验步骤一:基础配置(IP地址,划分区域),在vm虚拟机内部署win7系统,使用的网关为R1的G0/0/0接口地址
实验步骤二:创建地址池,用于公司人员可获得该ip地址进行访问内部服务器
实验步骤三:创建虚拟模板与L2TP组并关联在一起,创建用户名跟密码
实验步骤四:配置相关的安全策略
检查网关是否连通
R1
#
interface GigabitEthernet0/0/0
ip address 192.168.71.2 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 30.0.0.3 255.255.255.0
#
LSN
创建地址池
#
ip pool l2tp_pool
gateway-list 10.0.35.254
section 0 10.0.35.1 10.0.35.10
#
aaa
service-scheme l2tp
ip-pool l2tp_pool
domain default
service-type l2tp
#
虚拟模板与L2TP组,创建用户名和密码
#
interface Virtual-Template1
ppp authentication-mode chap
remote service-scheme l2tp
ip address 10.0.35.254 255.255.255.0
#
l2tp-group default-lns
undo tunnel authentication
allow l2tp virtual-template 1
#
user-manage user user
password Text123456
#
创建安全策略
#
security-policy
default traffic logging enable
rule name "untrust --> local"
source-zone untrust
destination-zone local
source-address 192.168.71.0 mask 255.255.255.0
destination-address 30.0.0.5 mask 255.255.255.255
service protocol udp source-port 1701 destination-port 1701
action permit
rule name dmz->trust
source-zone dmz
destination-zone trust
source-address 10.0.35.0 mask 255.255.255.0
destination-address 10.0.0.1 mask 255.255.255.255
action permit
#
在win7看ping防火墙接口看是否能通
能通则说明可以建立L2TP VPN
后面就是界面配置
打开控制面板的网络和共享中心
最后点确定,完成配置。
输入刚刚新建的账号和密码,完成连接
启动FTP服务器
在win7上连接服务器