L2TP隧道选读.doc

L2TP隧道（L2TP Tunnel）是指在第二层隧道协议(L2TP)端点之间的逻辑链接：LAC（L2TP接入聚合器）和LNS（L2TP网络服务器）。当LNS是服务器时，LAC是隧道的发起人，它等待新的隧道。一旦一个隧道被确立，在这个点之间的新通信将是双向的。为了对网络有用,高层协议例如点对点协议(PPP)然后通过L2TP隧道。 今天刚好在学Juniper防火墙的时候，刚好学到L2TP VPN的配置，那么今天我们来看看使用Juniper防火墙来做L2TP VPN。 第一步：点击：Objectsgt;IP Pools我们添加一个IP地址池，这个地址池主要用来给我们通过L2TP VPN拨号进来的用户分配的内网的IP 地址。 ? 如上图：IP Pool Name就是给我们地址池起上一个名字，以便我们以后好调用。 Start IP：我们地址池起始的IP地址 End IP：我们地址池结束的IP地址 输入好以后点击OK就行了。 当我们建立好之后，它自动会返回到我们一个地址池汇总的地方，在这里我们可以看见我们刚才建立的那一个地址池。 当我们地址池建立以后进入“Objectsgt;Usersgt;Local”里面去建立我们的用户。如下图点击右上角的“New”来新建我们的用户。 如下图：User Name：输入用户名 ????????????? Status：? Enable ????????????? User Password：输入密码 ????????????? Confirm Password：输入确认密码 ??????????? 将L2TP User选中，因为我们这个用户将用来给通过L2TP拨号进来的用户登录使用的。 ? 按照上面图的步骤，我们再建立一个cisco用户名。当我们建立好之后，就会看见如下图显示两个用户名。 当我们建立好用户以后，我们还要建立一个用户组，将我们的用户加入该组里面。 在Group Name后面输入我们的组名，我这里输入的是“aa”，而在我们“Available Members”这里面显示的是我们刚才建立好的用户名，但是下图应该还有一个cisco用户才对。而“Group Members”这里面就是我们的组成员，我们选中“Available Members”下面的用户，点击“lt;”这个按钮加入到左边的“Group Members”里面，这样在“Group Members”里面就会显示我们加入过来的成员了。 当我们设置好以后点击“OK”，返回到我们的Local Groups页面，我们在下面就会看见我们刚才建立的“aa”组了。还有组的类型，组成员这些。 ? 下面进入缺省L2TP设置“VPNsL2TPgt;Default Settings”里面，我们要修改的有几项，第一项“IP Pool Name”在这里选择我们刚才建立的那个地址池“L2TP-Pool”，第二项就是“PPP Authentication”这里我们使用“CHAP”来进行认证。下面一个就是“DNS”其实这个设置与不设置效果一样。只不过在后面我们给通过L2TP拨号上来的用户分配DNS而已。 当设置好以后点击“Apply”应用就行了。 ? 下面我们要建立L2TP遂道。我们可以从下图看见，默认情况下是没有的。我们点击右上角的“New”来进行新建一个。 下图就是我们新建L2TP遂遂的一个例子。我们来看看，下面应该如何来设置呢？ Name：遂道的名称 Authentication Server: Local 认证我们使用本地认证。我们这里没有配置AAA所以就使用本地人证。 Dialup Group: Local Dialup Group - aa这里就是我们刚才建立的那个拨号组，里面有两个用户test、cisco，用于我们拨号使用 Outgoing Interface: untrust? 我们出去通过那个接口，因为我这是一款低端的juniper防火墙，只有trust与untrust，因为我们外网接的是untrust，所以我就只能选择untrust。 其它默认就行，好了以后点击“OK” ? 而当我们建立成工以后，在“VPNsgt;L2TPgt;Tunnel”里面会显示我们刚才建立的条目。 ? 下面我们来设置策略“Policygt;Policis”在这下面有一个“From”后面选择“untrust”，“TO”后面选择“Trust”表示，我们现在要建立一条策略是从“Untrust”到“Trust”的，选择好以后点击后面的“New”来进行建立。 在这里面我们需要设置以下几项： Source Address: Address Book: Dial-Up VPN Destination Address： Address Book: Any Service: ANY