L2TP+IPSECNATVPN网络的几种组合典型配置Word格式文档下载.docx

L2TP+IPSECNATVPN网络的几种组合典型配置Word格式文档下载.docx

《L2TP+IPSECNATVPN网络的几种组合典型配置Word格式文档下载.docx》由会员分享，可在线阅读，更多相关《L2TP+IPSECNATVPN网络的几种组合典型配置Word格式文档下载.docx（16页珍藏版）》请在冰豆网上搜索。

2005-06-9

评审人

Reviewedby

yyyy-mm-dd

批准

Approvedby

华为三康技术有限公司

Huawei-3ComTechnologiesCo.,Ltd.

版权所有XX

Allrightsreserved

修订记录RevisionRecord

修订

版本

RevisionVersion

修改

章节

SecNo.

修改描述

ChangeDescription

作者

Author

1.00

initial初稿完成

李旋飞

河北日报社L2TP+IPSEC+NATVPN网络出现L2TP连接不通的案例。

在解决这个问题后，认为有必要对各种情况做个总结，以便以后再出现类似案例时可以有所借鉴。

以下分六种情况分别做出叙述。

1PC作为LAC，直接发起L2TP隧道

1.1LNS侧接口地址为公网地址

LNS配置如下：

#

l2tpenable

#

local-uservpnuserpasswordsimplevpnuser

#

aaaenable

ippool110.1.2.1010.1.2.20

interfaceVirtual-Template0

Ipaddress10.1.2.1255.255.255.0

remoteaddresspool1

pppauthentication-modepap

l2tp-group1

undotunnelauthentication

allowl2tpvirtual-template0

【Secpoint主要配置】

也可用XP自带的VPN客户端软件建立L2TP连接。

如下图所示

1.2LNS侧接口地址为私网地址

192.168.1.0网段为私网网段；

202.38.1.0网段为公网网段

LNS配置与1.1中的LNS配置相同

NAT配置如下所示：

sysnameQuidway

FTPserverenable

interfaceAux0

asyncmodeflow

interfaceEthernet0/0

ipaddress192.168.1.2255.255.255.0

interfaceEthernet0/1

ipaddress202.38.1.1255.255.255.0

natoutbound3001

natserverprotocoludpglobal202.38.1.1anyinside192.168.1.1any

interfaceSerial0/0

clockDTECLK1

link-protocolppp

ipaddressppp-negotiate

interfaceNULL0

aclnumber3001match-orderauto

rule0permitipsource192.168.1.00.0.0.255

rule1denyip

user-interfacecon0

user-interfaceaux0

user-interfacevty04

authentication-modescheme

return

Secpoint配置如下图所示：

2PC作为LAC，直接发起L2TP隧道，数据采用IPSEC加密

2.1LNS侧接口地址为公网地址

LNS侧配置如下所示：

l2tpenable

local-uservpnuserpasswordsimplevpnuser

ippool110.1.2.1010.1.2.20

aaaenable

ikelocal-namelns

ikepeer1

exchange-modeaggressive

pre-shared-key12345

id-typename

remote-nameclient

nattraversal

ipseccard-proposalp1//采用加密卡加密

useencrypt-card1/0

ipsecpolicy-templatetemp11

pppauthentication-modepap

ike-peer1

proposalp1

ipsecpolicypolicy11isakmptemplatetemp1

ipaddress10.1.2.1255.255.255.0

remoteaddresspool1

interfaceAux0

asyncmodeflow

interfaceEthernet0/0

ipsecpolicypolicy1

interfaceEncrypt1/0

interfaceLoopBack1

ipaddress192.168.2.1255.255.255.0

undotunnelauthentication

mandatory-lcp

allowl2tpvirtual-template0

iproute-static0.0.0.00.0.0.0202.38.1.2preference60

LAC客户端配置：

（建议加上NAT穿越，加NAT穿越会自动检测是否存在NAT转换。

若存在NAT转换则加UDP头后穿越，若不存在则不做任何处理）

IPSEC和IKE设置中的ID类型、验证方法、加密算法、验证算法必须与LNS中的相应配置一样。

2.2LNS侧接口地址为私网地址

202.38.1.0网段为公网网段；

192.168.1.0网段为私网网段

LNS侧配置与2.1相同

NAT配置与1.2中相同

LAC客户端配置如下：

secpoint剩余配置与2.1相同

采用XP自带VPN客户端软件设置：

3PC作为LAC，通过NAT直接发起L2TP隧道，数据采用IPSEC加密

3.1LNS侧接口地址为公网地址

ipseccard-proposalp1

pppauthentication-modepap

NAT上的配置:

NAT上只需做192.168.1.0私网网段到202.38.1.0公网网段的转换即可。

配置省略。

Secpoint上的配置

3.2LNS侧接口地址为私网地址

192.168.2.0网段和192.168.1.0网段是私网网段；

202.28.1.0网段是公网网段。

LNS侧的配置与3.1相同

NAT1做192.168.2.0私网网段到202.28.1.0公网网段的转换，配置省略。

NAT2的配置与2.2中NAT的配置相同。

客户端软件配置与2.2.中客户端软件配置相同