最近公司需要配置×××,而用SSL ×××面临授权不够的问题,为了方便大家使用,就选择了L2TP ×××的方式。但在实际模拟操作的过程中,出现了一些疑点,现记录下来。

一、拓扑

wKiom1Y6-6jBgnH0AAHqiRT4WR8415.jpg

拓扑是模拟公司总部网络,其中有台单独的设备作为×××的认证网关,即图中的×××,是旁挂核心交换机的组网方式。

二、前提

出口防火墙上,要做好映射。也就是要将内网中的×××设备IP(192.168.10.10)映射到公网上,让公网能够访问。此处就是在FW设备上做了一个nat server 0 global 112.54.82.160 inside 192.168.10.10。

总部内网要通,路由要全,出口要有NAT。分支和总部的两个内网不能通(192.168.218.186是不能Ping通192.168.10.0和192.168.200.0网段的)。

三、配置L2TP ×××

sy

interface Virtual-Template1                   #新建一个虚拟接口 Virtual-Template1#   

  authentication-mode chap pap           #认证模式用chap,如果对方不支持chap,则用pap#
  alias Virtual-Template1                        #忽略#
  ip address 1.1.1.1 255.255.255.0          #给接口一个IP,此IP不能和其他冲突,随便一个即可#
  remote address pool 0                         #调用给拨入设备分配的地址池。地址池的定义在AAA内# aaa

   ip pool 0 12.12.12.10 12.12.12.100     #定义地址池从12网段的10开始,到100结束#

   local-user *** password ciper ***test!123

   local-user *** service-type ppp         #配置用户名和密码,不多说了#

l2tp-group 2                                          #配置l2tp组2#

   undo tunnel authentication               #如果用电脑自带的×××拨号,电脑是无法起tunnel认证的

                                                               #所以此处关闭tunnel的认证#

   allow l2tp virtual-template 1              #不多说了,l2tp的配置,关于后面的参数,官方配置文档上 

                                                               #有解释#

l2tp enable                                             #这条命令是开启L2TP功能的,千万不要忘了#

四、几个注意事项:

   1、l2tp分配给客户的地址池pool里的地址用不用和Virtual-Template1的IP地址在一个网段上?

        不用必须一致。这两个地址都可以随便定义,但最好不要跟内网地址段相同。如果和内网地址段相同,则需要在×××上开启虚拟转发功能(自行查资料)。建议定义一个很奇怪的地址段。

   2、l2tp分配给客户的地址,没有网关啊,怎么和内网通信?