H3C防火墙L2TP配置方法.doc

1、防火墙F1000-A基于Windows自带VPN拨号软件的L2TP配置一 组网需求PC作为L2TP的LAC端，F1000-A防火墙作为LNS端。希望通过L2TP拨号的方式接入到对端防火墙。二 组网图如图所示，用户PC作为LAC，使用windows自带的拨号软件作为客户端软件，拨号接入到对端的SecPath防火墙。软件版本如下：Version 5.20, Release 3102三、配置步骤3.1 防火墙上的配置#sysname F1000A#l2tp enable /开启L2TP功能#domain default enable system#vlan 1#domain systemaccess

2、-limit disablestate activeidle-cut disableself-service-url disableip pool 1 1.1.1.1 1.1.1.20 /配置拨号用户使用的地址池#local-user h3cpassword cipher GMBSDBBQ=QMAF41!service-type telnetlevel 3 local-user zhengyamin /配置L2TP拨号用户使用的用户名和地址池password simple 123456level 3service-type ppp#l2tp-group 1 /配置L2TP组undo tunne

3、l authentication /不使用隧道认证allow l2tp virtual-template 1 /使用虚模板1认证#interface Virtual-Template1 /配置L2TP虚模板ppp authentication-mode chap /配置ppp认证方式为chap，使用system默认域remote address pool 1 /指定使用 ip pool 1 给用户分配地址ip address 1.1.1.1 255.255.255.0#interface NULL0#interface GigabitEthernet0/0ip address 10.153.4

4、3.20 255.255.255.0# firewall zone trust add interface GigabitEthernet0/0 /将Ge 0/0和虚接口加入trust区域add interface Virtual-Template1set priority 85#Return3.2 Windows自带拨号软件的设置由于Windows2000系统缺省情况下启动了IPSec功能，因此在发起VPN请求时应禁止IPSec功能，在命令行模式下执行regedit命令，弹出“注册表编辑器”对话框。在左侧注册表项目中逐级找到：HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters，单击Parameters参数，接着在右边窗口空白处单击鼠标右键，选择新建/双字节值并新建一个注册表值（名称为ProhibitIPSec，值为1），然后重新启动Windows2000。注意设置为chap验证，尤其注意要选择l2tp拨号，微软默认的是pptp。具体配置步骤如下：1.输入远程IP地址。2.拨号软件的基本设置，在拨号时提示输入名称和密码。3.设置安全参数，注意红色圈出项的设置。四、验证结果五、注意事项注意点见注释。5