L2TP+IPSECNATVPN网络的几种组合典型配置Word格式文档下载.docx
《L2TP+IPSECNATVPN网络的几种组合典型配置Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《L2TP+IPSECNATVPN网络的几种组合典型配置Word格式文档下载.docx(16页珍藏版)》请在冰豆网上搜索。
2005-06-9
评审人
Reviewedby
yyyy-mm-dd
批准
Approvedby
华为三康技术有限公司
Huawei-3ComTechnologiesCo.,Ltd.
版权所有XX
Allrightsreserved
修订记录RevisionRecord
修订
版本
RevisionVersion
修改
章节
SecNo.
修改描述
ChangeDescription
作者
Author
1.00
initial初稿完成
李旋飞
河北日报社L2TP+IPSEC+NATVPN网络出现L2TP连接不通的案例。
在解决这个问题后,认为有必要对各种情况做个总结,以便以后再出现类似案例时可以有所借鉴。
以下分六种情况分别做出叙述。
1PC作为LAC,直接发起L2TP隧道
1.1LNS侧接口地址为公网地址
LNS配置如下:
#
l2tpenable
#
local-uservpnuserpasswordsimplevpnuser
#
aaaenable
ippool110.1.2.1010.1.2.20
interfaceVirtual-Template0
Ipaddress10.1.2.1255.255.255.0
remoteaddresspool1
pppauthentication-modepap
l2tp-group1
undotunnelauthentication
allowl2tpvirtual-template0
【Secpoint主要配置】
也可用XP自带的VPN客户端软件建立L2TP连接。
如下图所示
1.2LNS侧接口地址为私网地址
192.168.1.0网段为私网网段;
202.38.1.0网段为公网网段
LNS配置与1.1中的LNS配置相同
NAT配置如下所示:
sysnameQuidway
FTPserverenable
interfaceAux0
asyncmodeflow
interfaceEthernet0/0
ipaddress192.168.1.2255.255.255.0
interfaceEthernet0/1
ipaddress202.38.1.1255.255.255.0
natoutbound3001
natserverprotocoludpglobal202.38.1.1anyinside192.168.1.1any
interfaceSerial0/0
clockDTECLK1
link-protocolppp
ipaddressppp-negotiate
interfaceNULL0
aclnumber3001match-orderauto
rule0permitipsource192.168.1.00.0.0.255
rule1denyip
user-interfacecon0
user-interfaceaux0
user-interfacevty04
authentication-modescheme
return
Secpoint配置如下图所示:
2PC作为LAC,直接发起L2TP隧道,数据采用IPSEC加密
2.1LNS侧接口地址为公网地址
LNS侧配置如下所示:
l2tpenable
local-uservpnuserpasswordsimplevpnuser
ippool110.1.2.1010.1.2.20
aaaenable
ikelocal-namelns
ikepeer1
exchange-modeaggressive
pre-shared-key12345
id-typename
remote-nameclient
nattraversal
ipseccard-proposalp1//采用加密卡加密
useencrypt-card1/0
ipsecpolicy-templatetemp11
pppauthentication-modepap
ike-peer1
proposalp1
ipsecpolicypolicy11isakmptemplatetemp1
ipaddress10.1.2.1255.255.255.0
remoteaddresspool1
interfaceAux0
asyncmodeflow
interfaceEthernet0/0
ipsecpolicypolicy1
interfaceEncrypt1/0
interfaceLoopBack1
ipaddress192.168.2.1255.255.255.0
undotunnelauthentication
mandatory-lcp
allowl2tpvirtual-template0
iproute-static0.0.0.00.0.0.0202.38.1.2preference60
LAC客户端配置:
(建议加上NAT穿越,加NAT穿越会自动检测是否存在NAT转换。
若存在NAT转换则加UDP头后穿越,若不存在则不做任何处理)
IPSEC和IKE设置中的ID类型、验证方法、加密算法、验证算法必须与LNS中的相应配置一样。
2.2LNS侧接口地址为私网地址
202.38.1.0网段为公网网段;
192.168.1.0网段为私网网段
LNS侧配置与2.1相同
NAT配置与1.2中相同
LAC客户端配置如下:
secpoint剩余配置与2.1相同
采用XP自带VPN客户端软件设置:
3PC作为LAC,通过NAT直接发起L2TP隧道,数据采用IPSEC加密
3.1LNS侧接口地址为公网地址
ipseccard-proposalp1
pppauthentication-modepap
NAT上的配置:
NAT上只需做192.168.1.0私网网段到202.38.1.0公网网段的转换即可。
配置省略。
Secpoint上的配置
3.2LNS侧接口地址为私网地址
192.168.2.0网段和192.168.1.0网段是私网网段;
202.28.1.0网段是公网网段。
LNS侧的配置与3.1相同
NAT1做192.168.2.0私网网段到202.28.1.0公网网段的转换,配置省略。
NAT2的配置与2.2中NAT的配置相同。
客户端软件配置与2.2.中客户端软件配置相同