USG3000 统一安全网关 配置指南01-13 配置L2TP

13 配置L2TP................................................................................................................................13-1

13.1 简介..........................................................................................................................................................13-2

13.1.1 协议背景........................................................................................................................................13-2

13.1.2 典型L2TP组网应用......................................................................................................................13-2

13.2 配置LAC.................................................................................................................................................13-3

13.2.1 建立配置任务.................................................................................................................................13-3

13.2.2 配置虚拟接口模板.........................................................................................................................13-4

13.2.3 配置L2TP组.................................................................................................................................13-5

13.2.4 （可选）配置本地用户.................................................................................................................13-5

13.3 配置LNS.................................................................................................................................................13-6

13.3.1 建立配置任务.................................................................................................................................13-6

13.3.2 配置虚拟接口模板.........................................................................................................................13-7

13.3.3 配置L2TP组.................................................................................................................................13-8

13.3.4 （可选）配置本地用户...............................................................................................................13-10

13.3.5 （可选）配置域...........................................................................................................................13-10

13.4 维护........................................................................................................................................................13-11

13.4.1 查看L2TP运行信息....................................................................................................................13-11

13.4.2 调试L2TP....................................................................................................................................13-11

13.4.3 强制挂断L2TP隧道....................................................................................................................13-11

13.5 配置举例................................................................................................................................................13-12

13.5.1 配置NAS-Initialized VPN示例..................................................................................................13-12

13.5.2 配置Client-Initialized VPN示例.................................................................................................13-17

13.5.3 复杂的组网情况...........................................................................................................................13-26插图目录

图13-1 应用L2TP构建的VPDN服务.........................................................................................................13-2图13-2 配置NAS-Initialized VPN组网图..................................................................................................13-12图13-3 配置Client-Initialized VPN组网图.................................................................................................13-18图13-4 连接LNS..........................................................................................................................................13-20图13-5 设置LNS属性的选项页签.............................................................................................................13-21图13-6 设置LNS属性的安全页签.............................................................................................................13-22图13-7 高级安全设置..................................................................................................................................13-23图13-8 设置LNS的网络页签.....................................................................................................................13-24配置L2TP

配置指南安全防范分册 13

13 配置L2TP

关于本章

本章描述内容如下表所示。

标题内容

13.1 简介介绍L2TP协议的背景和典型的L2TP组网应用。

13.2 配置LAC介绍LAC的配置方法。

13.3 配置LNS介绍LNS的配置方法。

13.4 维护介绍LAC、LNS的维护方法。

13.5 配置举例介绍L2TP的组网举例。

13 配置L2TP

Secoway USG3000配置指南安全防范分册

13.1 简介

L2TP（Layer Two Tunneling Protocol）为二层隧道协议。该协议由IETF（Internet

Engineering Task Force）起草，微软等公司参与，结合了PPTP（Point-to-Point Tunneling

Protocol）和L2F（Layer Two Forwarding Protocol）两个协议的优点，成为IETF有关二

层隧道协议的工业标准。

13.1.1 协议背景

PPP协议定义了一种封装技术，可以在二层的点到点链路上传输多种协议的报文。此时，

用户与NAS之间运行PPP协议，二层链路端点与PPP会话点驻留在相同硬件设备上。

L2TP协议支持PPP链路层报文的通道传输，允许二层链路端点和PPP会话点驻留在不

同设备上，并且采用包交换网络技术进行信息交互，从而扩展了PPP模型。

关于L2TP的详细介绍，可以参考RFC2661。

13.1.2 典型L2TP组网应用

使用L2TP协议构建的VPDN（Virtual Private Dial Network）应用的典型组网如图13-1

所示。

图13-1应用L2TP构建的VPDN服务

主要设备介绍如下：

z LAC（L2TP Access Concentrator）是附属在交换网络上的具有PPP端系统和L2TP 协议处理能力的设备，一般是一个网络接入服务器NAS（Network Access Server），

主要用于通过PSTN/ISDN网络为用户提供接入服务。

z LNS（L2TP Network Server）是PPP端系统上用于处理L2TP协议服务器端部分的设备。

上述设备的部署与功能如下：Secoway USG3000

配置L2TP

配置指南安全防范分册 13

z LAC位于LNS和远端系统（即远地用户和远地分支机构）之间，用于传递LNS和

远端系统之间的交互报文。LAC将从远端系统收到的报文封装为L2TP报文，并送

往LNS；将从LNS收到的L2TP报文解封装为普通报文，并送往远端系统。

z LNS作为L2TP隧道的另一侧端点，是LAC的对端设备，是与LAC进行隧道传输

的PPP会话的逻辑终止端点。

其中，LAC与远端系统之间可以采用本地连接或PPP链路，PPP链路也是VPDN应用

中通常使用的一种连接方式。

13.2 配置LAC

13.2.1 建立配置任务

应用环境

当需要采用L2TP隧道，保护网络用户的通信时，即可配置USG3000作为LAC设备工

作，在L2TP隧道中发挥作用。

前置任务

在配置LAC前，需要完成以下任务：

z（可选）配置统一安全网关的工作模式

z（可选）配置接口IP地址

z配置接口加入安全区域

z配置ACL

z配置域间包过滤规则或域间缺省包过滤规则

不能配置工作于透明模式下的接口的IP地址。

数据准备

在配置LAC前，需要准备以下数据。

序号数据

1 虚拟接口模板序号

2 本端IP地址和掩码

3 用户验证类型

4 接口类型和接口编号

5 安全区域名称

6 L2TP组号13 配置L2TP

Secoway USG3000

配置指南安全防范分册序号数据

7 L2TP隧道对端IP

8 L2TP隧道本端名称

9 L2TP隧道验证的密码

10 Hello报文发送时间间隔

配置过程

要完成LAC的配置，需要按照以下过程配置。

序号过程

1 配置虚拟接口模板

2 配置L2TP组

3 （可选）配置本地用户

13.2.2 配置虚拟接口模板

不同LAC的隧道创建请求可以由LNS使用不同的虚拟接口模板接收。在LAC发出的

隧道创建请求被接收到后，LNS会检查LAC的名称是否与合法通道对端名称相符，从

而决定是否允许创建隧道。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令interface virtual-template virtual-template-number，创建虚拟接口模板。

步骤 3执行命令ppp authentication-mode { chap [ pap ] | pap } [ call-in ]，配置用户验证类型。

需要配置用户验证类型，如果不配置，网络用户虽然能够拨号到USG3000统一安全网

关，但不能正常通信。

步骤 4执行命令ip address ppp-negotiation，使能接口的IP地址协商功能。

步骤 5执行命令quit，退回系统视图。

步骤 6执行命令interface interface-type interface-number，进入以太网接口视图。

步骤 7执行命令pppoe-server bind virtual-template number，使能PPPoE。

步骤 8执行命令quit，退回系统视图。

步骤 9执行命令firewall zone [ name ] zone-name，进入安全区域视图。

步骤 10执行命令add interface interface-type interface-number，配置虚拟接口模板加入安全区域。

需要将虚拟接口加入到安全区域，再拨号到USG3000统一安全网关，否则，网络用户

拨号时，统一安全网关会因为没有相应的域间关系而不能正常通信。

----结束

13.2.3 配置L2TP组

在满足一定条件的前提下，统一安全网关才会向其他统一安全网关或LNS服务器发出

建立L2TP连接的请求。

通过配置对接入用户信息的判别条件，并指定相应的LNS端的IP地址，统一安全网关

可以鉴定用户是否为VPN用户并向LNS发起连接。

正常运行时，本统一安全网关（LAC）按照LNS配置的先后顺序依次向对端（LNS）进

行L2TP连接请求，直到某个LNS接受连接请求，该LNS就成为L2TP隧道的对端。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令l2tp enable，启用L2TP。

步骤 3执行命令l2tp domain suffix-separator separator，配置后缀分隔符（用户名带域名的情况下需要配置）。

步骤 4执行命令l2tp-group group-number，创建L2TP组。

L2TP组在LAC和LNS上编号，只需要保证LAC和LNS之间关联的L2TP组的相

关配置保持对应关系即可。

步骤 5执行命令start l2tp ip ip-address &<1-5> { domain domain-name | fullusername

user-name }，配置鉴别用户是否是VPN用户的方式，并配置对应的LNS的IP地址。

步骤 6（可选）执行命令tunnel name name，配置本端名称。

LAC侧通道名称要与LNS侧配置的接收通道对端名称保持一致。

步骤 7（可选）执行命令tunnel authentication，启用通道验证。

默认启动通道的认证功能，此时需要同时配置通道验证的密码。

为了保证通道安全，建议不禁止隧道验证的功能。

步骤 8（可选）执行命令tunnel password { simple | cipher } password，配置通道验证的密码。

隧道验证请求可由LAC或LNS任何一侧发起。只要有一方启用了隧道验证，则只有在

对端也启动隧道验证、两端密码完全一致且不为空的情况下，隧道才能建立，否则本端

自动将隧道连接断开。

步骤 9（可选）执行命令tunnel avp-hidden，配置将AVP数据隐含的方式传输。

隐含A VP功能必须是隧道两端都使用的情况下才起作用。

步骤 10（可选）执行命令tunnel timer hello interval，配置通道Hello报文发送时间间隔。

----结束

13.2.4 （可选）配置本地用户

请参见“5 认证与授权配置”。

在LAC侧配置AAA认证时，如果选择了local（本地认证）方式，则需要在LAC侧配

置本地用户名和口令。

LAC通过检查远程拨入用户名与口令是否与本地注册用户名/口令相符合来进行用户身

份验证，以检查用户是否为合法VPN用户。验证通过后才能发起建立通道连接的请求，

否则将该用户转入其他类型的服务。

在LAC端进行用户身份验证，用户名采用VPN用户全名，口令为VPN用户注册口令。

13.3 配置LNS

13.3.1 建立配置任务

应用环境

当需要采用L2TP隧道，保护网络用户的通信时，即可配置USG3000作为LNS设备工

作，在L2TP隧道中发挥作用。

前置任务

在配置LNS前，需要完成以下任务：

z（可选）配置统一安全网关的工作模式

z（可选）配置接口IP地址

z配置接口加入安全区域

z配置ACL

z配置域间包过滤规则或域间缺省包过滤规则

不能配置工作于透明模式下的接口的IP地址。

数据准备

在配置LNS前，需要准备以下数据。

序号数据

1 虚拟接口模板序号

2 本端IP地址和掩码

3 为对方分配的地址池号或IP地址

4 用户验证类型

5 接口类型和接口编号

6 安全区域名称

7 L2TP组号序号数据

8 L2TP隧道对端名称

9 L2TP隧道本端名称

10 L2TP隧道验证的密码

11 Hello报文发送时间间隔

配置过程

要完成LNS的配置，需要按照以下过程配置。

序号过程

1 配置虚拟接口模板

2 配置L2TP组

3 （可选）配置本地用户

4 （可选）配置域

13.3.2 配置虚拟接口模板

LNS可以使用不同的虚拟接口模板接收不同LAC的隧道创建请求。在接收到LAC发来

的隧道创建请求后，LNS需要检查LAC的名称是否与合法通道对端名称相符，从而决

定是否允许通道对方创建隧道。

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令interface virtual-template virtual-template-number，创建虚拟接口模板。

配置虚拟接口模板的目的是为接入用户分配地址。实际应用中，存在如下两种情况：

z当所有用户均处于同一网段时，需要配置虚拟接口模板的IP地址与分配给用户的地址在同一网段。这是由于，对于L2TP，统一安全网关RIP协议信息只在虚拟接

口模板所在的网段内发布。如果分配给用户的IP地址和对应的虚拟接口模板的IP

地址不在同一个网段，则与统一安全网关相连的设备无法获得用户的路由信息。

当所有用户均处于同一网段，且需要从系统地址池中为用户分配IP地址时，则应

做如下配置：

[USG3000-Virtual-Template1] ip address 1.1.1.1 24

[USG3000-aaa] ip pool 1 1.1.1.4 1.1.1.7

z当用户分处于不同网段时，可以配置一条到达用户所在网段的静态路由，指定出接口为虚拟接口模板，并配置RIP中引入静态路由，使统一安全网关能将RIP信息发

布到其他网段。此时，需要为用户分属的每个网段均配置一条静态路由。如，某用

户所在的网段为1.1.2.0，与虚拟接口模板不在同一网段，则需做如下配置：

[USG3000] ip route-static 1.1.2.0 255.255.255.0 Virtual-Template 1[USG3000-rip] import-route static

步骤 3执行命令ip address ip-address { mask | mask-length }，配置本端IP地址。

步骤 4执行命令remote address { pool [ pool-number ]| ip-address }，配置为对方分配的地址。

步骤 5执行命令ppp authentication-mode { chap [ pap ] | pap } [ call-in ]，配置用户验证类型。

需要配置用户验证类型，如果不配置，网络用户虽然能够拨号到USG3000统一安全网

关，但不能正常通信。

步骤 6执行命令quit，退回系统视图。

步骤 7执行命令interface interface-type interface-number，进入以太网接口视图。

步骤 8执行命令pppoe-server bind virtual-template number，使能PPPoE。

步骤 9执行命令quit，退回系统视图。

步骤 10执行命令firewall zone [ name ] zone-name，进入安全区域视图。

步骤 11执行命令add interface interface-type interface-number，配置虚拟接口模板加入安全区域。

需要将虚拟接口加入到安全区域，再拨号到USG3000统一安全网关，否则，网络用户

拨号时，统一安全网关会因为没有相应的域间关系而不能正常通信。

为确保IPS（Intrusion Prevention System）业务能够正常工作，LNS的虚拟接口模板所在

的安全区域应该与LNS保护的网络所在的安全区域不同。

例如：

z LNS的虚拟接口模板加入到Untrust区域，LNS保护的网络处于Trust区域，这时LAC 和LNS之间的IPS业务能够正常工作。

z LNS的虚拟接口模板加入到Trust区域，LNS保护的网络也处于Trust区域，这时LAC 和LNS之间的IPS业务不能正常工作。

----结束

13.3.3 配置L2TP组

步骤 1执行命令system-view，进入系统视图。

步骤 2执行命令l2tp enable，启用L2TP。

步骤 3执行命令l2tp domain suffix-separator separator，配置后缀分隔符。

步骤 4执行命令l2tp-group group-number，创建L2TP组。

L2TP组在LAC和LNS上编号，只需要保证LAC和LNS之间关联的L2TP组的相

关配置保持对应关系即可。

步骤 5执行命令allow l2tp virtual-template virtual-template-number remote remote-name，配置通道对端的名称（L2TP组号不为1）。或者执行命令allow l2tp virtual-template

virtual-template-number [ remote remote-name ]，配置通道对端的，名称（L2TP组号为1）。

操作系统版本为Windows 2000 beta 2的PC中，VPN连接的本端名称为NONE，即统一

安全网关收到的对端名称为NONE。为了接收这种不知名的对端发起的通道连接请求，

或者用于测试，可以设置一个缺省的L2TP组。只有组号为1，且不指定对端名称的L2TP

组，才是缺省L2TP组。

步骤 6（可选）执行命令tunnel name name，配置本端名称。

步骤 7（可选）执行命令tunnel authentication，启用通道验证。

默认启动通道的认证功能，此时需要同时配置通道验证的密码。

为了保证通道安全，建议不禁止隧道验证的功能。

步骤 8（可选）执行命令tunnel password { simple | cipher } password，配置通道验证的密码。

隧道验证请求可由LAC或LNS任何一侧发起。只要有一方启用了隧道验证，则只有在

对端也启动隧道验证、两端密码完全一致且不为空的情况下，隧道才能建立，否则本端

自动将隧道连接断开。

步骤 9（可选）执行命令tunnel avp-hidden，配置将AVP数据隐含的方式传输。

隐含A VP功能必须是隧道两端都使用的情况下才起作用。

步骤 10（可选）执行命令tunnel timer hello interval，配置通道Hello报文发送时间间隔。

步骤 11（可选）执行命令mandatory-chap，强制本端CHAP验证。

步骤 12（可选）执行命令mandatory-lcp，强制LCP重新协商。

在L2TP组网中，LNS对用户的验证方式有如下三种：

z代理验证

z强制CHAP验证

z LCP重协商

其中，LCP重协商的优先级最高。

L2TP应用中，上述三种验证方式通过如下几种情况发生作用：

z如果在LNS上同时配置LCP重协商和强制CHAP验证，L2TP将使用LCP重协商。

由于LCP重协商使用相应虚拟接口模板上配置的验证方式，L2TP也将采用对应的

验证方式。

对由NAS发起的VPN服务请求（NAS-Originated VPN），在PPP会话开始时，用

户先和NAS进行PPP协商。若协商通过，则由NAS初始化L2TP通道连接，并将

用户信息传递给LNS，由LNS根据收到的代理验证信息，判断用户是否合法。

但在某些特定的情况下，如需在LNS侧也要进行验证与计费，则需要强制LNS与

用户间重新进行LCP协商，此时L2TP将忽略NAS侧的代理验证信息。

z如果只配置强制CHAP验证，则LNS对用户进行CHAP验证。

此时，LAC先对用户进行CHAP验证，验证通过后，LAC将用户验证信息传递给

LNS。LNS收到LAC传递过来的用户验证信息之后，重新向拨号用户发起CHAP

验证。整个过程总共进行两次验证。

z如果既不配置LCP重协商，也不配置强制CHAP验证，则LNS对用户进行代理验证。

在这种情况下，LAC将它从用户得到的所有验证信息及LAC端本身配置的验证方

式发送给LNS，LNS将利用LAC送来的验证信息和验证方式进行验证。如果LNS

侧配置的验证方式与LAC侧的验证方式不同，则验证不通过；如果LNS侧配置的

验证方式与LAC侧的验证方式相同，则由AAA决定是否验证通过。

在LNS使用代理验证时，如果虚拟接口模板配置的验证方式为CHAP，而LAC端

配置的验证方式为PAP，则由于LNS要求的CHAP验证级别高于LAC能够提供的

PAP验证，验证将无法通过，会话也就不能正确建立。

在强制LCP重协商的实际配置中，有以下几种情况：

z LNS未配置LCP重协商，接入用户只在LAC侧接受一次验证。

z LNS配置LCP重协商，且未在相应的虚拟接口模板上配置验证方式，接入用户只在LAC侧接受一次验证。

z LNS配置LCP重协商，并在相应的虚拟接口模板上配置验证方式，接入用户需要接受LAC和LNS的两次验证。

LNS侧配置LCP重协商后，由于用户的PPPoE拨号软件不会主动发起LCP重协商，当

LNS侧未配置虚拟接口模板上的验证方式时，LNS侧的重新协商过程则不能成功建立；

当LNS相应的虚拟接口模板上配置验证方式时，使LNS设备主动向接入用户发起PPP

验证。

----结束

13.3.4 （可选）配置本地用户

请参见“5 认证与授权配置”。

在LNS侧，如果配置了强制CHAP认证，则需要在LNS侧配置本地注册用户名和口令。

LNS通过检查用户远程拨入时使用的用户名与口令是否与本地注册的用户名和口令相

符进行用户身份验证，检查用户是否为合法VPN用户。验证通过后就可以进行VPN用

户和LNS的通信，否则LNS将通知L2TP清除这个L2TP链接。

在LNS端进行用户身份验证，用户名可以采用两种形式：

z用户名为VPN用户全名，口令为VPN用户注册口令。

z用户名为用户名+域名，口令为VPN用户注册口令。

13.3.5 （可选）配置域

域配置的具体步骤，请参见“5 认证与授权配置”。

每个VPN内可以有多个不同的域，每个域由VPN-ID与Virtual-Template号唯一确定。

配置时请注意：

z当用户名不带后缀，且domain default域下没有绑定任何虚拟接口模板时，该用户可以属于已创建的任何VPN。例如，如果用户user在virtual-template 1上认证，则

属于该虚拟接口模板绑定的VPN。

z当用户名不带后缀，且domain default域下绑定了virtual-template 1，即使该用户使用其它虚拟接口模板进行协商，也只能登录到virtual-template 1绑定的VPN中。即

该用户只属于该虚拟接口模板绑定的VPN。

建议使用带后缀的用户名，或在domain default域下绑定一个虚拟接口模板。否则不带后缀的用

户能够任意进出各VPN，会存在安全隐患。

13.4 维护

13.4.1 查看L2TP运行信息

操作命令

查看当前的L2TP隧道的信息display l2tp tunnel

查看当前的L2TP会话的信息display l2tp session

13.4.2 调试L2TP

在出现L2TP运行故障时，请在用户视图下执行debugging命令对L2TP进行调试，查

看调试信息，定位故障并分析故障原因。打开调试开关的操作步骤请参见《Secoway

USG3000 统一安全网关配置指南系统管理分册》中“系统维护”的内容。有关

debugging命令的解释请参见《Secoway USG3000 统一安全网关命令参考》。

操作命令

调试L2TP debugging l2tp { all | control | dump | error |

event | hidden | payload | timestamp }

13.4.3 强制挂断L2TP隧道

操作命令

强制挂断指定ID的通道reset l2tp tunnel local-id local-id

强制挂断指定对端名称的通道reset l2tp tunnel peer-name peer-name

当用户数为零、网络发生故障或当管理员主动要求挂断通道时，就会产生隧道清除过程。

LAC和LNS任何一端都可主动发起隧道清除请求，接收到清除请求的一端要发送确认

信息（ACK），并等待一定的时间再进行隧道清除操作，以确保ACK消息丢失的情况下能够正确接收到对端重传过来的清除请求。强制挂断通道后，该通道上的所有控制连接

与会话连接也将被清除。通道挂断后，当有新用户拨入时，还可重新建立通道。

13.5 配置举例

13.5.1 配置NAS-Initialized VPN示例

组网需求

某公司建有自己的VPN网络，在公司总部的公网出口处，放置了一台VPN网关，即

USG3000统一安全网关。要求公司分支机构人员能够通过L2TP隧道与公司内部其他用

户进行通信。

LNS侧采用本地验证方式。其中：

z LAC设备为USG3000

z LNS设备为USG3000

组网图

图13-2配置NAS-Initialized VPN组网图

配置步骤

步骤 1用户侧的配置

在用户侧，建一拨号网络，号码为LAC的接入号码，并接收由LNS分配的地址。

步骤 2LAC侧的配置

# 进入系统视图。

system-view

# 配置本端设备的名称。

[USG3000] sysname LAC

# 进入GigabitEthernet 0/0视图。

[LAC] interface GigabitEthernet 0/0# 配置GigabitEthernet 0/0的IP地址。

[LAC-GigabitEthernet0/0] ip address 1.1.1.1 24

# 退回系统视图。

[LAC-GigabitEthernet0/0] quit

# 进入GigabitEthernet 0/1视图。

[LAC] interface GigabitEthernet 0/1

# 配置GigabitEthernet 0/1的IP地址。

[LAC-GigabitEthernet0/1] ip address 2.2.1.1 16

# 退回系统视图。

[LAC-GigabitEthernet0/1] quit

# 进入Trust区域视图。

[LAC] firewall zone trust

# 配置GigabitEthernet 0/0加入Trust区域。

[LAC-zone-trust] add interface GigabitEthernet 0/0 # 退回系统视图。

[LAC-zone-trust] quit

# 进入Untrust区域视图。

[LAC] firewall zone untrust

# 配置GigabitEthernet 0/1加入Untrust区域。

[LAC-zone-untrust] add interface GigabitEthernet 0/1 # 退回系统视图。

[LAC-zone-untrust] quit

# 配置缺省路由。

[LAC] ip route-static 0.0.0.0 0.0.0.0 2.2.3.1

2.2.

3.1为LAC的下一跳设备的IP地址。

# 创建虚拟接口模板。

[LAC] interface Virtual-Template 1

# 配置PPP认证方式。

[LAC-Virtual-Template1] ppp authentication-mode chap # 退回系统视图。

[LAC-Virtual-Template1] quit

# 进入GigabitEthernet 0/0视图。

[LAC] interface GigabitEthernet 0/0

# 配置接口绑定虚拟接口模板。

[LAC-GigabitEthernet0/0] pppoe-server bind virtual-template 1

# 退回系统视图。

[LAC-GigabitEthernet0/0] quit

# 进入Trust区域视图。

[LAC] firewall zone trust

# 配置虚拟接口模板加入安全区域。

[LAC-zone-trust] add interface Virtual-Template 1

虚拟接口模板可以与LAC的任一接口绑定。

# 退回系统视图。

[LAC-zone-trust] quit

# 使能L2TP功能。

[LAC] l2tp enable

# 创建L2TP组。

[LAC] l2tp-group 1

# 配置L2TP隧道LNS端IP地址。

[LAC-l2tp1] start l2tp ip 3.3.2.1 fullusername pc1

# 启动L2TP隧道认证。

[LAC-l2tp1] tunnel authentication

# 配置L2TP隧道认证密码。

[LAC-l2tp1] tunnel password simple hello

z统一安全网关缺省需要进行隧道的认证。如果没有配置undo tunnel authentication命令，需要配置tunnel password命令。

z LAC端配置的隧道验证时的密码需要与LNS端的配置保持一致。

# 配置隧道本端名称。

[LAC-l2tp1] tunnel name lac

# 退回系统视图。

[LAC-l2tp1] quit

# 进入AAA视图。

[LAC] aaa

# 配置本地用户和密码。

[LAC-aaa] local-user pc1 password simple pc1

# 退回系统视图。

[LAC-aaa] quit

# 配置域间缺省包过滤规则。

[LAC] firewall packet-filter default permit interzone trust local

[LAC] firewall packet-filter default permit interzone untrust local

由于LAC需要与LNS设备进行PPP协商，也需要传输PC1的连接请求，故配置上述两个域间的

缺省包过滤规则。

步骤 3LNS侧的配置

# 进入系统视图。

system-view

# 配置本端设备的名称。

[USG3000] sysname LNS

# 进入GigabitEthernet 0/0视图。

[LNS] interface GigabitEthernet 0/0

# 配置GigabitEthernet 0/0的IP地址。

[LNS-GigabitEthernet0/0] ip address 3.3.2.1 16

# 退回系统视图。

[LNS-GigabitEthernet0/0] quit

# 进入GigabitEthernet 0/1视图。

[LNS] interface GigabitEthernet 0/1

# 配置GigabitEthernet 0/1的IP地址。

[LNS-GigabitEthernet0/1] ip address 3.1.1.1 24

# 退回系统视图。

[LNS-GigabitEthernet0/1] quit

# 进入Trust区域视图。

[LNS] firewall zone trust

# 配置GigabitEthernet 0/1加入Trust区域。

[LNS-zone-trust] add interface GigabitEthernet 0/1

# 退回系统视图。

[LNS-zone-trust] quit

# 进入Untrust区域视图。

[LNS] firewall zone untrust# 配置GigabitEthernet 0/0加入Untrust区域。

[LNS-zone-untrust] add interface GigabitEthernet 0/0

# 退回系统视图。

[LNS-zone-untrust] quit

# 配置缺省路由。

[LNS] ip route-static 0.0.0.0 0.0.0.0 3.3.1.1

3.3.1.1为LNS的下一跳设备的IP地址。

# 创建虚拟接口模板。

[LNS] interface Virtual-Template 1

# 配置虚拟接口模板的IP地址。

[LNS-Virtual-Template1] ip address 10.1.1.1 24

配置虚拟接口模板的IP地址为LNS侧的必配项。

# 配置PPP认证方式。

[LNS-Virtual-Template1] ppp authentication-mode chap

# 配置为对端接口分配IP地址池中的地址。

[LNS-Virtual-Template1] remote address pool 1

此处引用的地址池号需要与AAA视图下的相对应。否则LNS无法为PC1分配地址。# 退回系统视图。

[LNS-Virtual-Template1] quit

# 进入Trust区域视图。

[LNS] firewall zone trust

# 配置虚拟接口模板加入安全区域。

[LNS-zone-trust] add interface Virtual-Template 1

虚拟接口模板可以加入LNS的任一安全区域，但为LNS侧的必配项。

# 退回系统视图。

[LNS-zone-trust] quit

# 使能L2TP功能。

[LNS] l2tp enable

# 配置L2TP组。

[LNS] l2tp-group 1

# 指定接受呼叫时隧道对端的名称及所使用的Virtual-Template。

[LNS-l2tp1] allow l2tp virtual-template 1

# 使能L2TP隧道认证。

[LNS-l2tp1] tunnel authentication

# 配置L2TP隧道认证密码。

[LNS-l2tp1] tunnel password simple hello

z统一安全网关缺省需要进行隧道的认证。如果没有配置undo tunnel authentication命令，需

要配置tunnel password命令。

z LNS端配置的隧道验证时的密码需要与LAC端的配置保持一致。

# 配置隧道本端名称。

[LNS-l2tp1] tunnel name lns

# 退回系统视图。

[LNS-l2tp1] quit

# 进入AAA视图。

[LNS] aaa

# 创建本地用户名和密码。

[LNS-aaa] local-user pc1 password simple pc1

# 配置公共IP地址池。

[LNS-aaa] ip pool 1 4.1.1.1 4.1.1.99

# 配置域间缺省包过滤规则。

[LNS] firewall packet-filter default permit interzone local untrust

由于LNS需要给PC1分配IP地址，此时不能配置确切的ACL及域间规则。同时，需要打开local

和untrust域间的缺省过滤规则。

----结束

13.5.2 配置Client-Initialized VPN示例

组网需求

如图13-3，某公司网络环境描述如下：

z公司总部通过USG3000与Internet连接。

z公司出差员工通过USG3000访问公司总部资源。

图13-3 配置Client-Initialized VPN 组网图

L2TP Tunnel

10.110.1.0/24

内部服务器

内部服务器

出差员工以PC 作Client 向LNS 设备USG3000发起连接请求建立L2TP 隧道，通过L2TP

隧道与公司内部其他用户进行通信。需要在PC 和USG3000上进行相应的配置。

配置思路

配置Client-Initialized VPN 的思路如下：

1. 根据网络规划为USG3000配置接口IP 地址，并将接口加入相应的安全区域。

2. 配置USG3000上的包过滤规则。

3.

配置PC 。

4. 配置USG3000上L2TP 相关配置。

数据准备

为完成此配置例，需准备如下的数据：

z VPN 用户名、口令、客户端PC 主机名 z

LNS 侧与隧道相连的接口的IP 地址

z 虚拟接口模板编号、模板IP 地址、掩码及L2TP 组编号 z

远端地址池编号、地址池范围、掩码

配置步骤

步骤 1 配置PC 。

PC 上必须装有L2TP 客户端软件，Windows XP Professional 操作系统自带L2TP 客户端软件，以此为例，介绍用户侧PC 的配置方法。

# 设置PC 的主机名为client1。 # 在注册表中禁用IPSec 。

如果PC 缺省启动了IPSecec 功能，需要禁用IPSec 。Windows XP Professional 版本缺省禁用IPSec 功能。若需禁用IPSec 功能，请按以下说明进行操作。

1. 在“开始 > 运行”中，输入regedit 命令，单击“确定”，进入注册表编辑器。

\\HKEY_LOCAL_MACHINE\\SYSTEMCurrentControlSet\\Services\\Rasman\\Parameters ”。在该路径下右侧界面中，单击右键，选择“新建 > DWORD值”，即新建一个数据类型为REG_DWORD的值。

3.选中该值，单击右键，选择“修改”，编辑DWORD值。在“数据名称”文本框

中填写“ProhibitIpSec”，在“数值数据”文本框中填写“1”，单击确定。

4.重新启动PC，使修改生效。

# 创建L2TP连接。

5.打开“我的电脑 > 控制面板 > 网络连接”，在“网络任务”中选择“创建一个新

的连接”，在弹出的界面中选择“下一步”。

6.在“网络连接类型”中选择“连接到我的工作场所的网络”，单击“下一步”。

7.在“网络连接”中选择“虚拟专用网络连接”，单击“下一步”。

8.在“连接名”下的“公司名”文本框中设置公司名称或VPN服务器名称，本例设

置为“LNS”，单击“下一步”。

9.在“公用网络”中选择“不拨初始连接”，单击“下一步”。

10.在“VPN服务器选择”中填写LNS的IP地址（此处设置的IP地址为Eudemon与

Internet连接的接口IP地址，本例中为202.38.161.1），单击“下一步”。

11.根据需要，在“可用连接”中选择“任何人使用”或“只是我使用”，单击“下一

步”。

12.将“在我的桌面上添加一个到此连接的快捷方式”前打上对勾，单击“完成。

13.在弹出的对话框中，输入VPN用户名admin、密码Admin@123，单击“属性”，

如图13-4所示。

图13-4连接LNS

14.单击“选项”页签，设置如图13-5所示。

图13-5设置LNS属性的选项页签

15.单击“安全”页签，选择“高级（自定义设置）”，单击“设置”，如图13-6所

示。

图13-6设置LNS属性的安全页签

16.在“高级安全设置”中设置如图13-7所示，单击“确定”。

图13-7高级安全设置

17.单击“网络”页签，设置如图13-8所示。

图13-8设置LNS的网络页签

18.单击“确定”，完成设置，返回至图13-4。单击“确定”，发起L2TP连接。步骤 2配置LNS侧。

# 创建并配置虚拟接口模板。

[USG3000] interface Virtual-Template 1

[USG3000-Virtual-Template1] ip address 10.10.1.5 24

[USG3000-Virtual-Template1] ppp authentication-mode chap

[USG3000-Virtual-Template1] remote address pool 1

[USG3000-Virtual-Template1] quit

此处指定的地址池号需与AAA视图下配置的地址池相对应。

# 配置GigabitEthernet 0/1的IP地址。

[USG3000] interface GigabitEthernet 0/1

[USG3000-GigabitEthernet0/1] ip address 202.38.160.1 24

# 配置GigabitEthernet 0/0的IP地址。

[USG3000] interface GigabitEthernet 0/0

[USG3000-GigabitEthernet0/0] ip address 10.110.1.1 24

[USG3000-GigabitEthernet0/0] quit# 配置GigabitEthernet 0/0加入Trust安全区域。

[USG3000] firewall zone trust

[USG3000-zone-trust] add interface GigabitEthernet 0/0

[USG3000-zone-trust] quit

# 配置GigabitEthernet 0/1加入Untrust安全区域。

[USG3000] firewall zone untrust

[USG3000-zone-untrust] add interface GigabitEthernet 0/1

[USG3000-zone-untrust] quit

# 配置虚拟接口模板加入安全区域，可以加入LNS的任一安全区域。

[USG3000] firewall zone dmz

[USG3000-zone-dmz] add interface Virtual-Template 1

[USG3000-zone-dmz] quit

# 配置域间包过滤规则，允许LNS侧与通道相连的接口所在的安全区域与Local安全区域互通。

[USG3000] acl 3000

[USG3000-acl-adv-3000] rule permit ip

[USG3000] firewall interzone untrust local

[USG3000-interzone-local-untrust] packet-filter 3000 outbound

[USG3000-interzone-local-untrust] packet-filter 3000 inbound

# 配置域间包过滤规则，允许虚拟接口模板所在的安全区域与Trust安全区域互通。

[USG3000] acl 3001

[USG3000-acl-adv-3001] rule permit ip

[USG3000] firewall interzone dmz trust

[USG3000-interzone-trust-dmz] packet-filter 3001 outbound

[USG3000-interzone-trust-dmz] packet-filter 3001 inbound

由于LNS需要为拨号用户分配IP地址，同时需要允许虚拟接口模板所在的安全区域与Trust安全区域互通，因此配置两组ACL规则并应用在域间。

# 使能L2TP功能。

[USG3000] l2tp enable

# 创建L2TP组。

[USG3000] l2tp-group 1

# 配置隧道本端名称。

[USG3000-l2tp1] tunnel name lns

[USG3000-l2tp1] allow l2tp virtual-template 1 remote client1

# 禁止L2TP隧道验证。

[USG3000-l2tp1] undo tunnel authentication

[USG3000-l2tp1] quit

配置Client-Initialized方式的L2TP时，需要禁止L2TP隧道验证。

# 进入AAA视图，创建本地用户名和密码并配置用户类型（应与用户侧配置一致）。

[USG3000] aaa

[USG3000-aaa] local-user admin password simple Admin@123

[USG3000-aaa] local-user admin service-type ppp

# 定义地址池，为拨入用户分配IP地址。

[USG3000-aaa] ip pool 1 10.10.1.20 10.10.1.80

[USG3000-aaa] quit

从地址池中分配给客户端的IP地址不能与USG3000的接口GigabitEthernet 0/0的IP地址在同一

网段。

----结束

13.5.3 复杂的组网情况

USG3000统一安全网关支持同时作为LAC及LNS，并支持同时有多路用户呼入。只要

内存及线路不受，L2TP可以同时接收和发起多个呼叫。这些复杂组网的需求及配

置可以综合参考以上的几种组网情况，综合应用。

特别需要注意的是静态路由的配置，许多应用是依靠路由来发起的。