Client-Initialized VPN.docxVIP

Client-Initialized VPN出差员工与LNS端建立隧道，直接向LNS发起连接请求。本例将实现Client-Initialized VPN方式建立L2TP的配置。组网需求如http://localhost:7890/pages0707/resources/online_help_cn/sec_vsp_exam_vpn_0019.html?ft=0fe=10hib=.5.2id=sec_vsp_exam_vpn_0019图1所示，公司总部通过LNS连接到Internet。出差员工（LAC Client）可通过L2TP拨号方式直接向LNS发起连接请求，与LNS的通讯数据通过L2TP隧道传输。此时要求出差员工的主机上必须装有L2TP客户端软件。图1 配置Client-Initialized VPN组网图 项目数据说明LNS(1)接口号：GigabitEthernet 0/0/2IP地址：/24安全区域：Untrust-(2)接口号：GigabitEthernet 0/0/1IP地址：/24安全区域：Trust-L2TP配置认证方式：CHAP对端隧道名称：client1用户认证名称：vpdnuser用户认证密码：Hello123服务器地址：/24地址池范围：/24～00/24隧道验证密码：Password123说明： 建议IP地址池中的地址与总部内网地址设置为不在同一网段。此时要实现拨入用户对总部服务器的访问，需在公司总部设备配置到达/24网段的路由，下一跳地址为LNS设备连接总部的接口IP地址。LAC ClientIP地址/24-L2TP配置认证方式：CHAP隧道密码：Password123本端隧道名称：client1用户认证名称：vpdnuser用户认证密码：Hello123配置思路·配置LNS。1.? 配置接口基本配置、路由配置，并开启本地策略和转发策略。 2.? 添加L2TP本地用户。 3.? 配置LNS端的地址池、服务器地址、隧道密码参数，并指定对端隧道名称。此处的对端隧道名称要和LAC端的“本端隧道名称”一致。·配置LAC Client。以安装了Secoway VPN Client软件的PC为例，配置L2TP参数，注意参数要和LNS的配置保持一致。操作步骤·??? ? ? 配置LNS。 1.? 配置接口基本参数。 a. 选择“网络 接口 接口”。b. 在“接口列表”中，单击GE0/0/1对应的。 c. 在“修改GigabitEthernet”界面中，配置如下：·??? ? ? 安全区域：trust ·??? ? ? IP地址： ·??? ? ? 子网掩码：其他配置项采用缺省值。d. 单击“应用”。e. 在“接口列表”中，单击GE0/0/2对应的。 f. 在“修改GigabitEthernet”界面中，配置如下：·??? ? ? 安全区域：untrust ·??? ? ? IP地址： ·??? ? ? 子网掩码：其他配置项采用缺省值。g. 单击“应用”。2.? 对于USG系列，配置域间包过滤，以保证网络基本通信正常。对于USG BSR/HSR系列，不需要执行此步骤。 a. 配置Local安全区域和Untrust安全区域之间的安全策略。 1.? 选择“防火墙 安全策略 本地策略”。 2.? 在“对设备访问控制列表”中，单击“Untrust”下的“默认”所在行的。 3.? 在“修改对设备访问控制”界面中，选择“动作”为“permit”。 4.? 单击“应用”。b. 配置Trust安全区域和Untrust安全区域之间的安全策略。 0.? 选择“防火墙 安全策略 转发策略”。 1.? 在“转发策略列表”中，单击“untrust-trust”下的“默认”所在行的。 2.? 在“修改转发策略”界面中，选择“动作”为“permit”。 3.? 单击“应用”。 4.? 在“转发策略列表”中，单击“trust-untrust”下的“默认”所在行的。 5.? 在“修改转发策略”界面中，选择“动作”为“permit”。 6.? 单击“应用”。3.? 配置L2TP参数。 a. 选择“VPN L2TP L2TP”。 b. 在“配置L2TP”中，选中L2TP后的“启用”，单击“应用”。 c. 在“L2TP组列表”中，单击“新建”。 d. 选择“组类型”为“LNS”。 e. 单击“新建”，新建用户vpdnuser。如http://localhost:7890/pages0707/resources/online_help_cn/sec_vsp_exam_vpn_0019.html?ft=0fe=10hib=.5.2id=sec_vsp_exam_