华为与H3C的L2TP配置

sysname XXXX //设备名称

#

l2tp enable //开启l2tp功能

#

firewall packet-filter enable

firewall packet-filter default permit

#

undo connection-limit enable

connection-limit default deny

connection-limit default amount upper-limit 50 lower-limit 20

#

firewall statistic system enable

#

radius scheme system

server-type extended

#

domain system

ip pool 1 172.16.1.2 172.16.1.10 //分配给拨号用户的地址

#

local-user admin

password cipher .]@USE=B,53Q=^Q`MAF4<1!!

service-type telnet terminal

level 3

local-user usera //配置拨号用户

password simple 123456

service-type ppp

interface Virtual-Template1 //配置虚拟接口模板1及其验证方式

ppp authentication-mode chap

ip address 172.16.1.1 255.255.255.0

remote address pool 1

#

interface Ethernet1/0

ip address 172.16.2.1 255.255.255.0

#

interface Ethernet2/0

ip address 100.100.100.6 255.255.255.252

#

interface NULL0

#

firewall zone local

set priority 100

#

firewall zone trust //把虚拟接口模板添加进入安全域

add interface Ethernet1/0

add interface Virtual-Template1

set priority 85

#

firewall zone untrust

add interface Ethernet2/0

set priority 5

#

firewall zone DMZ

set priority 50

#

l2tp-group 1 //配置l2tp组1

undo tunnel authentication //取消隧道验证

allow l2tp virtual-template 1 //配置使用名字的方式发起l2tp连接

#

ip route-static 0.0.0.0 0.0.0.0 100.100.100.5 //配置静态默认路由

#

user-interface con 0

user-interface vty 0 4

authentication-mode scheme

#

return

（2）远程用户-------internet-------Huawei Eudemon 1000E 采用l2tp方式

sysname XXXX //设备名称

#

l2tp enable //开启l2tp功能

#

aaa

local-user admin password simple huawei //配置拨号用户

local-user admin service-type ppp

local-user admin level 3

[local-user admin l2tp-ip x.x.x.x] //为VPN用户绑定IP

local-user huawei password simple huawei

local-user huawei service-type telnet

local-user huawei level 3

ip pool 1 172.16.2.2 172.16.2.100 //分配给拨号用户的地址

#

interface Virtual-Template1 //配置虚拟接口模板1及其验证方式

ppp authentication-mode chap pap

ip address 172.16.2.1 255.255.255.0

remote address pool 1

#

firewall zone trust //把虚拟接口模板添加进入安全域

add interface Virtual-Template1

set priority 85

l2tp-group 1 //配置l2tp组1

undo tunnel authentication //取消隧道验证

allow l2tp virtual-template 1 //配置使用名字的方式发起l2tp连接

(3)windows

L2TP客户端配置(以XP为例)

配置L2TP 拨号连接：

1、选网络连接属性

2、选择“创建一个新的连接”

3、选择“连接到我的工作场所的网络”，单击“下一步”

4、选择“虚拟专用网络连接”，单击“下一步”

5、为连接输入一个名字为“l2tp”，单击“下一步”

6、选择“不拨此初始连接”，单击“下一步”

7、输入准备连接的L2TP 服务器的IP 地址“60.6.3.136”，单击“下一步”

8、单击“完成”。

9、双击“l2tp”连接，在l2tp 连接窗口，单击“属性”。

10、选择“安全”属性页，选择“高级（自定义设置）”，单击“设置”。

11、在“数据加密”中选择“可选加密（没有加密也可以连接）”。

12、在“允许这些协议”选中“不加密的密码（PAP）”、“质询握手身份验证协议

（CHAP）”、“Microsoft CHAP（MS-CHAP）”，单击“确定”。

13、 选择“网络”属性页面，在“VPN 类型”选择“L2TP IPSec VPN”。

14、选中“Internet 协议（TCP/IP）”

15、“NWLink IPX/SPX/NetBIOS Compatible Transport Prococol”、

“微软网络文件和打印共享”、

“微软网络客户”协议不选。

16、 单击“确定”，保存所做的修改。

17、修改注册表

缺省的Windows XP L2TP 传输策略不允许L2TP 传输不使用IPSec 加密。可以通过修改

Windows XP 注册表来禁用缺省的行为：（通过附件自动修改）

选择“开始 > 运行”。输入“regedit”，单击“确定”，进入注册表编辑器。

在界面左侧导航树中，选择“我的电脑 > HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Services > Rasman > Parameters”。在该路径下右侧界面中，检查是否存在名称为“ProhibitIpSec”、数据类型为DWORD的键值。如果不存在，请单击右键，选择“新建 > DWORD值”，并将名称命名为“ProhibitIpSec”。如果此键值已经存在，请执行下面的步骤。

右键单击该值。在弹出的快捷菜单中选择“修改”，编辑DWORD值。在“数值数据”文本框中输入“1”，单击“确定”。

重新启动该PC，使修改生效。

18、存所做的修改，重新启动电脑以使改动生效。