很多关于L2TP VPN的实验是在防火墙上进行的,如果您是一个网络安全初学者,个人不建议您一上手就用防火墙做实验,因为涉及到安全策略的配置,这会干扰您对L2TP VPN的配置思路。尽管思科、H3C、华为的防火墙有web界面的方式相当简单,但也不建议使用web配置,个人认为刚开始学的时候,使用路由器,并用命令行配置方式进行实验,可在脑海中建立一个清晰的思路,也有助于对理论知识的理解。
L2TP理论教程
有关于L2TP的理论部分,个人不做过多描述,因为我也正在学习相关的知识,担心自己的表述会有错误,所以我推荐参阅以下官方文档,内容篇幅很多但很好理解,个人认为其它博客上的相关讲解表达相对来说没有那么清晰。
【华为官方文档(理论+各类场景配置方式)】
http://support.huawei.com/enterprise/docinforeader!loadDocument1.action?contentId=DOC1000079651&partNo=10042#dc_fd_l2tp_0006
【H3C官方文档(理论)】
http://www.h3c.com/cn/d_200805/605932_30003_0.htm
L2TP VPN实验(以下子网掩码均为24)
【概述】
L2TP VPN相关的拓扑,按照LAC的表现形式大体上可以分为两个大类,一个是客户端LAC接入,这种拓扑的特点是,LAC不是一个独立的硬件设备,而是电脑中的软件拨号客户端充当了LAC的作用;另一种是拓扑中有独立的硬件LAC设备为用户提供统一的VPN接入,这些设备通常情况下是路由器和防火墙。当然有其它更多的拓扑场景,详见上文中的华为官方文档。
【实验一:独立LAC自拨号发起L2TP连接】
1、实验拓扑:
这个拓扑使用真实电脑充当VPN用户,AR1为AR2240作为LAC设备,AR2同为AR2240作为LNS设备,PC1充当公司内部网络。
该拓扑的特点在于,VPN用户无需在计算机上做额外配置就可以直接接入公司内网,基本感知不到VPN的存在,LAC的Virtual-Template中事先配置好了拨号用户及其密码,无论是否有用户接入LAC,LAC和LNS之间的L2TP隧道始终存在,这也意味这样的接入方式会消耗较大带宽资源。
当然,相对于LAC自拨号而言,用户手动拨号的接入方式就不存在这个问题,用户手动进行拨号连接时,L2TP隧道才会建立,断开连接时隧道就会被释放掉,后文中实验二就是这样的。
2、相关配置
2.1、外网PC
L2TP通道已建立成功
外部pc可以与公司内网通信
这种拓扑适用于出差员工在外没有固定的网络接入时,通过电脑中的VPN拨号软件发起对内网的VPN连接。
2、相关配置
2.1、外网pc
配置静态IP地址100.1.1.2,子网掩码24,网关100.1.1.1,安装HUAWEI VPN Client,HUAWEI VPN Client配置如下:
查看HUAWEI VPN Client日志,可见客户端已经得到LNS地址池中的地址4.1.1.254
HUAWEI VPN Client常见兼容性问题的解决
HUAWEI VPN Client下载:
链接:https://pan.baidu.com/s/14dEbFjcfgpoqe9DoNhqGYw
提取码:qdfl
图片来源:https://forum.huawei.com/enterprise/zh/forum.php?mod=viewthread&tid=218441&extra=page%3D&page=2
另外,该客户端在拨号时会卡在第五步,之后显示连接超时。如图:
图片来源:https://forum.huawei.com/enterprise/zh/forum.php?mod=viewthread&tid=218441&extra=page%3D&page=2
个人成功解决此问题的方式是:连接进行到第五步是,打开任务管理器,之后客户端就可以连接成功。
---------------------
作者:muxia_jhy
来源:CSDN
原文:https://blog.csdn.net/muxia_jhy/article/details/86764409
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://hqyman.cn/post/591.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~