一、概述

上次大概了解了L2TP的基本原理和使用场景，今天来模拟一个小实验，使用Ensp的网卡桥接到本地电脑试下L2TP拨号，今天主要使用标准的L2TP，其实在这个基础上可以加上IPSec进行加密，提高安全性。

拓扑说明，在防火墙FW1出口配置L2TP服务器，Internet模拟互联网，AR2模拟远程移动用户网关，通过云桥接到我本地的电脑终端，在电脑终端上通过L2TP客户端拨号连接到LNS。相关的桥接本地网卡这里不做具体讲解，需要注意的是我这里使用的地址可能是公网地址，因此可能需要禁用物理网卡或者添加拓扑里面的路由到本地电脑。

cmd添加路由的命令大致如下：

# 添加的路由临时有效，重启失效
route add 110.230.112.0 mask 255.255.255.0 192.168.5.2
route add 220.123.54.0 mask 255.255.255.0 192.168.5.2

网卡桥接：

二、基础配置

先完成基础的IP地址以及路由配置。

AR2:
# 配置公网接口并应用NAT
interface GigabitEthernet0/0/0ip address 220.123.54.13 255.255.255.0 nat outbound 3000
#
interface GigabitEthernet0/0/2ip address 192.168.5.2 255.255.255.0 # 配置默认路由
ip route-static 0.0.0.0 0.0.0.0 220.123.54.12# 配置ACL用于NAT
acl number 3000  rule 5 permit ip source 192.168.5.0 0.0.0.255Internet:
# 只需要配置接口即可
interface GigabitEthernet0/0/0ip address 220.123.54.12 255.255.255.0 
#
interface GigabitEthernet0/0/1ip address 110.230.112.49 255.255.255.0 FW1:防火墙如果不需要配置策略可以全部放通，以及加入安全域
# 配置ACL
acl number 3000rule 5 permit ip source 192.168.1.0 0.0.0.255# nat策略
nat-policyrule name allsource-zone trustdestination-zone untrustaction source-nat easy-ip# 默认路由
ip route-static 0.0.0.0 0.0.0.0 110.230.112.49# 安全区域
firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet1/0/0
#
firewall zone untrustset priority 5add interface GigabitEthernet1/0/1add interface Virtual-Template0add interface Virtual-if0# 内网服务器网关接口
interface GigabitEthernet1/0/0undo shutdownip address 192.168.1.254 255.255.255.0service-manage http permitservice-manage https permitservice-manage ping permitservice-manage ssh permitservice-manage snmp permitservice-manage telnet permit# 公网出口
interface GigabitEthernet1/0/1undo shutdownip address 110.230.112.50 255.255.255.0service-manage http permitservice-manage https permitservice-manage ping permitservice-manage ssh permitservice-manage snmp permitservice-manage telnet permit# 安全策略：
security-policydefault action permit  # 如果不需要配置策略，直接将default动作设置为允许即可，下面的是我前面配置的rule name local-trustsource-zone localaction permitrule name trust-anysource-zone trustaction permitrule name untrust-localsource-zone untrustdestination-zone localaction permitrule name l2tp-indescription L2TP策略(l2tp-gp)引入source-zone localaction permitrule name anyaction permit

上面配置完成后通过NAT可以使我的本地终端能够访问到FW1的出口地址。

如果想要通过网页进行配置，也可以开启防火墙的web功能。缺省端口为8443,https。

# 开启web管理
web-manager enable# 针对admin账号授予web权限
manager-user adminservice-type web terminallevel 15

三、L2TP配置

配置流程如下：

• 创建地址池
• 创建服务模板
• 创建拨号模板
• 开启L2TP

# 创建一个地址池，前面我们已经讲了L2TP是结合了PPP协议拨号来实现建立隧道，ppp协议中通过C/S模式进行拨号获取ip和信息
ip pool l2tpnetwork 10.0.0.0 mask 255.255.255.0# 在aaa中创建一个服务模板，调用地址池，再绑定到拨号用户上
aaaservice-scheme l2tpip-pool l2tp# 配置认证域，使用缺省default,简单说就是我们通过
aaadomain defaultservice-scheme l2tpservice-type l2tpinternet-access mode passwordreference user current-domain# 创建一个虚拟拨号模板
interface Virtual-Template0ppp authentication-mode chap          # 使用chap验证remote service-scheme l2tp            # 使用l2tp服务模板进行验证ip address 10.0.0.254 255.255.255.0   # 类似于网关地址，建议于地址池同网段# 创建一个l2tp组，简单说就是通过虚拟拨号模板都在这个组里面，通过在组里面设置隧道的认证和域
l2tp-group l2tp-gp              # 创建一个l2tp-gp的组undo tunnel authentication     # 关闭隧道认证，安全起见可以开启，必须两端一致tunnel name LNS                # 服务器端隧道名称为LNSallow l2tp virtual-template 0 remote l2tpclient domain default # 这里调用虚拟模板0，远端隧道也就是客户端隧道名称为"l2tpclient"，需要对应才行。# 创建拨号用户
user-manage user test # 用于客户端拨号password Aa12345678# 启用L2TP服务功能
l2tp enable

客户端连接，安装L2TP客户端。

点击保存确定，然后回到登录界面。

四、验证L2TP VPN连接

验证VPN连接：

业务测试：我在FW1下面的服务器开启一个httpd的服务，通过我连接上VPN后访问进行测试。

抓包分析：

需要注意这里是单纯的L2TP，数据包是明文的，可以看到数据包头部。

到这里基本的L2TP就实现了，其实也不算很难吧。

本文由mdnice多平台发布