华为防火墙l2tp配置.docx
《华为防火墙l2tp配置.docx》由会员分享,可在线阅读,更多相关《华为防火墙l2tp配置.docx(10页珍藏版)》请在冰豆网上搜索。
华为防火墙l2tp配置
华为防火墙l2tp配置
LT
1
1
1执行下面的步骤。
1选中该值,单击右键,选择“修改”,编辑DWORD值。
在“数值数据”文本框中填写1,单击“确定”。
1重新启动该PC,使修改生效。
此处以WindowsXPProfessional操作系统为例,介绍客户端的配置方法。
#客户端主机上必须装有L2TP客户端软件,并通过拨号方式连接到Internet。
#配置客户端计算机的主机名为client1。
#创建L2TP连接。
1打开“我的电脑>控制面板>网络连接”,在“网络任务”中选择“创建一个新的连接”,在弹出的界面中选择“下一步”。
1在“网络连接类型”中选择“连接到我的工作场所的网络”,单击“下一步”。
1在“网络连接”中选择“虚拟专用网络连接”,单击“下一步”。
1在“连接名”下的“公司名”文本框中设置公司名称或VPN服务器名称,本例设置为LNS,单击“下一步”。
1在“公用网络”中选择“不拨初始连接”,单击“下一步”。
1在“VPN服务器选择”中填写LNS的IP地址,此处设置的IP地址为USG5300与Internet连接接口的IP地址,本配置例中为202.38.161.1,单击“下一步”。
1将“在我的桌面上添加一个到此连接的快捷方式”选中,单击“完成”。
在弹出的对话框中,输入在LNS上配置的用户名和密码,单击“属性”,如图2所示。
图2连接LNS
单击“属性”,设置如图3所示。
图3设置LNS属性的选项页签
单击“安全”页签,选择“高级(自定义设置)”,单击“设置”,如图4所示。
图4设置LNS属性的安全页签
在“高级安全设置”中设置如图5所示,单击“确定”。
图5高级安全设置
单击“网络”页签,设置如图6所示。
图6设置LNS的网络页签
1单击“确定”,完成设置,返回至图2。
单击“确定”,发起L2TP连接。
配置LNS。
#创建虚拟接口模板。
system-view
[USG5300]interfaceVirtual-Template1
#配置虚拟接口模板的IP地址。
[USG5300-Virtual-Template1]ipaddress10.1.1.124
#配置PPP认证方式为CHAP。
[USG5300-Virtual-Template1]pppauthentication-modechap
#配置为对端分配IP地址池中的地址。
[USG5300-Virtual-Template1]remoteaddresspool1
[USG5300-Virtual-Template1]quit
说明:
此处指定的地址池号需要与AAA视图下配置的地址池的相对应。
#配置接口GigabitEthernet0/0/1的IP地址。
[USG5300]interfaceGigabitEthernet0/0/1
[USG5300-GigabitEthernet0/0/1]ipaddress202.38.161.124
[USG5300-GigabitEthernet0/0/1]quit
#将接口GigabitEthernet0/0/1、虚拟接口模板加入Untrust区域。
[USG5300]firewallzoneuntrust
[USG5300-zone-untrust]addinterfaceGigabitEthernet0/0/1
[USG5300-zone-untrust]addinterfaceVirtual-Template1
[USG5300-zone-untrust]quit
#配置接口GigabitEthernet0/0/2的IP地址。
[USG5300]interfaceGigabitEthernet0/0/2
[USG5300-GigabitEthernet0/0/2]ipaddress192.168.0.124
[USG5300-GigabitEthernet0/0/2]quit
#将接口GigabitEthernet0/0/2加入Trust区域。
[USG5300]firewallzonetrust
[USG5300-zone-trust]addinterfaceGigabitEthernet0/0/2
[USG5300-zone-trust]quit
#在Trust和Untrust域间配置防火墙策略。
[USG5300]policyinterzonetrustuntrustinbound
[USG5300-policy-interzone-trust-untrust-inbound]policy1
[USG5300-policy-interzone-trust-untrust-inbound-1]actionpermit
[USG5300-policy-interzone-trust-untrust-inbound-1]quit
[USG5300-policy-interzone-trust-untrust-inbound]quit
[USG5300]policyinterzonetrustuntrustoutbound
[USG5300-policy-interzone-trust-untrust-outbound]policy1
[USG5300-policy-interzone-trust-untrust-outbound-1]actionpermit
[USG5300-policy-interzone-trust-untrust-outbound-1]quit
[USG5300-policy-interzone-trust-untrust-outbound]quit
#在Local和Untrust域间配置防火墙策略。
[USG5300]policyinterzonelocaluntrustinbound
[USG5300-policy-interzone-local-untrust-inbound]policy1
[USG5300-policy-interzone-local-untrust-inbound-1]actionpermit
[USG5300-policy-interzone-local-untrust-inbound-1]quit
[USG5300-policy-interzone-local-untrust-inbound]quit
[USG5300]policyinterzonelocaluntrustoutbound
[USG5300-policy-interzone-local-untrust-outbound]policy1
[USG5300-policy-interzone-local-untrust-outbound-1]actionpermit
[USG5300-policy-interzone-local-untrust-outbound-1]quit
[USG5300-policy-interzone-local-untrust-outbound]quit
说明:
由于LNS需要为拨号用户分配IP地址,使拨号用户能够访问内网资源,同时需要允许虚拟接口模板所在的安全区域与Local安全区域的互通,因此需要配置上述两个域间的防火墙策略。
#开启L2TP功能。
[USG5300]l2tpenable
#创建L2TP组。
[USG5300]l2tp-group10
#配置L2TP隧道本端名称为lns。
[USG5300-l2tp10]tunnelnamelns
#配置LNS端接受客户端呼叫时使用的虚拟接口模板。
[USG5300-l2tp10]allowl2tpvirtual-template1remoteclient1
#关闭L2TP隧道验证功能。
[USG5300-l2tp10]undotunnelauthentication
[USG5300-l2tp10]quit
说明:
配置Client-Initialized方式的L2TP时,需要关闭L2TP隧道验证功能。
#配置本地用户和密码。
[USG5300]aaa
[USG5300-aaa]local-useradminpasswordsimpleAdmin123
#配置用户类型。
[USG5300-aaa]local-useradminservice-typeppp
#配置IP地址池。
[USG5300-aaa]ippool1192.168.1.2192.168.1.99
说明:
从地址池中分配给客户端的IP地址不能与公司总部IP地址在相同网段。
父主题:
配置举例