USG6000 L2TP配置之---NAS-Initialized VPN举例
最新回复： 18:16:25
置NAS-Initialized VPN举例（本地认证）
用户使用全名或域名接入网络，由LAC端发起连接。本例将实现NAS-Initialized方式建立本地认证的L2TP的配置。
如，PC通过PPP拨号与LAC相连。LAC与LNS之间是广域网，LAC与LNS通讯通过隧道传输。用户使用域名接入，在LAC侧和LNS侧均使用本地认证方式认证用户名和密码。
图1 配置NAS-Initialized VPN组网图
接口号：GigabitEthernet 0/0/1
接口号：GigabitEthernet 0/0/1
IP地址：192.168.1.1/24
接口号：GigabitEthernet 0/0/2
IP地址：202.38.160.1/24
接口号：GigabitEthernet 0/0/2
IP地址：202.38.163.1/24
虚拟接口模板
Virtual-Template 1
Virtual-Template 1
IP地址：192.168.0.1/24
地址范围：192.168.0.2/24～192.168.0.100/24
隧道验证密码
本端隧道名称
用户认证名称
用户认证密码
1.对于USG系列，将接口加入安全区域，并配置域间包过滤，以保证网络基本通信正常，具体步骤略。对于USG BSR/HSR系列，不需要将接口加入安全区域以及配置包过滤。
Virtual-Template接口可以加入到任意一个安全区域。在将Virtual-Template接口加入安全区域后，请开启USG接收和发送L2TP隧道报文的实际物理接口所在安全区域和Local安全区域之间的包过滤。
2.配置用户侧。
a.创建一个拨号网络，接入号码为Number1，接收由LNS服务器端分配的地址。
b.在弹出的拨号终端窗口中输入用户名，口令为Hello123。
3.配置LAC侧。
# 配置缺省路由，假设LAC通往LNS侧的下一跳设备的IP地址为202.38.160.2。
&USG& system-view
[USG] sysname LAC
[LAC] ip route-static 0.0.0.0 0.0.0.0 202.38.160.2
# 在GigabitEthernet0/0/2接口上配置IP地址。
&USG& system-view
[USG] sysname LAC
[LAC] interface GigabitEthernet 0/0/2
[LAC-GigabitEthernet0/0/2] ip address 202.38.160.1 255.255.255.0
[LAC-GigabitEthernet0/0/2] quit
# 创建虚接口模板，并绑定到接口上。
&LAC& system-view
[LAC] interface Virtual-Template 1
[LAC-Virtual-Template1] ppp authentication-mode chap
[LAC-Virtual-Template1] quit
[LAC] interface GigabitEthernet 0/0/1
[LAC-GigabitEthernet0/0/1] pppoe-server bind virtual-template 1
[LAC-GigabitEthernet0/0/1] quit
# 开启L2TP。
[LAC] l2tp enable
# 创建并配置L2TP组。
[LAC] l2tp-group 1
[LAC-l2tp1] tunnel name LAC
[LAC-l2tp1] start l2tp ip 202.38.163.1 domain domain1.com
[LAC-l2tp1] tunnel authentication
[LAC-l2tp1] tunnel password cipher Password1
[LAC-l2tp1] quit
# 配置域名后缀分隔符。
[LAC] l2tp domain suffix-separator @
# 设置用户名及口令（应与用户侧的设置一致）。
[LAC-aaa] local-user
password cipher Hello123
# 配置用户接入时的域
[LAC-aaa] domain domain1.com
4.配置LNS侧。
# 与通道相连接的接口上配置IP地址。
&USG& system-view
[USG] sysname LNS
[LNS] interface GigabitEthernet 0/0/2
[LNS-GigabitEthernet0/0/2] ip address 202.38.163.1 255.255.255.0
[LNS-GigabitEthernet0/0/2] quit
# 创建虚拟模板Virtual-Template并配置相关信息。
[LNS] interface virtual-template 1
[LNS-Virtual-Template1] ip address 192.168.0.1 255.255.255.0
[LNS-Virtual-Template1] ppp authentication-mode chap
[LNS-Virtual-Template1] quit
# 开启L2TP。
[LNS] l2tp enable
# 创建并配置L2TP组。
[LNS] l2tp-group 1
[LNS-l2tp1] tunnel name LNS
[LNS-l2tp1] allow l2tp virtual-template 1 remote LAC
[LNS-l2tp1] tunnel authentication
[LNS-l2tp1] tunnel password cipher Password1
# 强制进行本端CHAP验证。
[LNS-l2tp1] mandatory-chap
[LNS-l2tp1] quit
# 配置域名后缀分隔符。
[LNS] l2tp domain suffix-separator @
# 设置用户名及口令（应与LAC侧的设置一致）。
[LNS-aaa] local-user
password cipher Hello123
# 配置用户接入时的域名。
[LNS-aaa] domain domain1.com
# 配置给用户分配的地址池。
[LNS-aaa-domain-domain1.com] ip pool 1 192.168.0.2 192.168.0.100
[LNS-aaa-domain-domain1.com] quit
[LNS-aaa] quit
由于IP地址池中的地址与内网地址不在同一网段，需要在公司总部设备配置到达192.168.0.0网段的路由，下一跳地址为192.168.1.1。
# 配置为对端接口分配IP地址池中的地址。
[LNS] interface virtual-template 1
[LNS-Virtual-Template1] remote address pool 1
[LNS-Virtual-Template1] quit
此处指定的地址池号需要与AAA中的域视图下配置的地址池的相对应。
1.配置成功后，当有VPN用户上线时，分别在LAC和LNS上执行display l2tp tunnel命令可发现隧道建立成功。以LNS侧的显示为例：
2.[LNS] display l2tp tunnel
3.&Total tunnel = 1
4.&LocalTID RemoteTID RemoteAddress&&& Port&& Sessions RemoteName
&1&&&&&&& 1&&&&&&&& 202.38.160.1&&&& 65484& 1&&&&&&& LAC
5.执行display l2tp session命令可看到会话连接建立情况。以LNS侧的显示为例：
6.[LNS] display l2tp session
7.&Total session = 1
8.&LocalSID& RemoteSID& LocalTID
&1&&&&&&&& 1&&&&&&&&& 1
9.VPN用户可以访问公司总部。
LAC的配置脚本
&sysname LAC
&l2tp enable
&l2tp domain suffix-separator @
interface GigabitEthernet0/0/2
&ip address 202.38.160.1 255.255.255.0
interface GigabitEthernet0/0/1
&pppoe-server bind virtual-template 1
interface Virtual-Template1
&ppp authentication-mode chap
l2tp-group 1
&tunnel password cipher %$%$|.=1"^{"&=CF4Y~h*M`1i~6-%$%$
&tunnel name LAC
&start l2tp ip 202.38.163.1 domain domain1.com
&local-user
password cipher %$%$Y04[AOxVsLu~@X%k|xy$ivmd%$%$
&authentication-scheme default
&authorization-scheme default
&accounting-scheme default
&domain default
&domain domain1.com
&ip route-static 0.0.0.0 0.0.0.0 202.38.160.2
LNS的配置脚本
sysname LNS
l2tp enable
&l2tp domain suffix-separator @
interface GigabitEthernet0/0/2
&ip address 202.38.163.1 255.255.255.0
interface Virtual-Template1
&ppp authentication-mode chap
&ip address 192.168.0.1 255.255.255.0
&remote address pool 1
l2tp-group 1
&mandatory-chap
&allow l2tp virtual-template 1 remote LAC
&tunnel password cipher %$%$_4eh=rG{%Pe#0\D~Cok@ixof%$%$
&tunnel name LNS
&local-user
password cipher %$%$9`P5$IswcA$m,_1s9l&7iA8/%$%$
&authentication-scheme default
&authorization-scheme default
&accounting-scheme default
&domain default
&domain domain1.com
& ip pool 1 192.168.0.2& 192.168.0.100
多谢楼主分享~~
* 是否包含第三方商业秘密:
第三方商业秘密
第三方商业秘密是指第三方不为公众所知悉、具有商业价值并经权利人采取保密措施的技术信息和经营信息，包括但不限于：产品的价格信息、路标规划、商务授权、核心算法和源代码等。如有疑问，请联系:e.（各社区公共邮箱）。
如果附件按钮无法使用，请将Adobe Flash Player 更新到最新版本！Loading...
反馈文档意见
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言，希望能帮助您更容易理解此文档的内容。 请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任，并建议您参考英文文档（已提供链接）。
反馈文档意见
视频加载中…
（需要安装HedEx Lite）
您需要下载安装最新版本的HedEx Lite，安装完成后请重启浏览器
或将当前使用的HedEx Lite升级到最新版本
复制下载链接USG2130恢复出厂设置，通过pppoe拨号不能上网，作为二级路由上网类似断网状态，所有网站打开超级慢
最新回复： 21:23:38
usg2130bsr版本是： USG1C00SPCb00，上级是TPLINK路由器，USG2130BSR链接的电脑伤不起网，打开网页浏览器状态栏显现网页的ip地址，是哪里设置不正确吗？
上级路由TP-link的MTU也是设置的1470
配置文件如下：
# CLI_VERSION=V300R001#*****BEGIN****public****##l2tp domain suffix-separator @#ip df-unreachables enable#undo firewall ipv6 session link-state check firewall ipv6 statistic system enable#dns resolve
dns server unnumbered interface Dialer0#vlan batch 1#firewall statistic system enable#dns proxy enable
#license-server domain lic.huawei.com#sysname USG2100#web-manager enableweb-manager security enable port 8443#user-manage web-authentication security port 8888#l2fwdfast enable#interface Dialer0link-protocol pppppp chap user ppp chap password cipher %$%$[oYiN6ia0'@t$]8H6{k&(=4+%$%$ppp pap local-user
password cipher %$%$UbuK1h&xw$]&k;NK36*&(3*!%$%$ppp ipcp dns admit-anymtu 1470alias Dialer0ip address ppp-negotiatedialer user dialer bundle 1nat enable detect ftp#interface Vlanif1alias LANip address 192.168.0.1 255.255.255.0 dhcp select interfacedhcp server gateway-list 192.168.0.1dhcp server dns-list 119.6.6.6 114.114.114.114 #interface Cellular5/0/0link-protocol ppp#interface Ethernet0/0/0pppoe-client dial-bundle-number 1 mtu 1470alias WANnat enable detect ftp#interface Ethernet1/0/0alias LAN0portswitchport link-type access#interface Ethernet1/0/1alias LAN1portswitchport link-type access#interface Ethernet1/0/2alias LAN2portswitchport link-type access#interface Ethernet1/0/3alias LAN3portswitchport link-type access#interface Ethernet1/0/4alias LAN4portswitchport link-type access#interface Ethernet1/0/5alias LAN5portswitchport link-type access#interface Ethernet1/0/6alias LAN6portswitchport link-type access#interface Ethernet1/0/7alias LAN7portswitchport link-type access#interface NULL0alias NULL0#firewall zone localset priority 100#firewall zone trustset priority 85add interface Ethernet1/0/0add interface Ethernet1/0/1add interface Ethernet1/0/2add interface Ethernet1/0/3add interface Ethernet1/0/4add interface Ethernet1/0/5add interface Ethernet1/0/6add interface Ethernet1/0/7add interface Vlanif1#firewall zone untrustset priority 5add interface Dialer0add interface Ethernet0/0/0#firewall zone dmzset priority 50#aaa local-user admin password cipher %$%$V,DgSSqEI=hDe/Y/\G6Q($xo%$%$local-user admin service-type web terminal telnet local-user admin level 15 authentication-scheme default#authorization-scheme default#accounting-scheme default #domain defaultdomain dot1x##nqa-jitter tag-version 1#banner enable #user-interface con 0authentication-mode aaauser-interface tty 2authentication-mode passwordmodem bothuser-interface vty 0 4authentication-mode aaaprotocol inbound all#slb#cwmp #right-manager server-group#return#-----END----# 本帖最后由 ldproman 于
10:11 编辑
这个问题已经解决了，可能忘记设置trust安全区域了，第二次重置防火墙就能上网了。只是作为二级路由器，打开网页慢的问题没有解决
* 是否包含第三方商业秘密:
第三方商业秘密
第三方商业秘密是指第三方不为公众所知悉、具有商业价值并经权利人采取保密措施的技术信息和经营信息，包括但不限于：产品的价格信息、路标规划、商务授权、核心算法和源代码等。如有疑问，请联系:e.（各社区公共邮箱）。
如果附件按钮无法使用，请将Adobe Flash Player 更新到最新版本！华为防火墙 USG6000 全图化Web典型配置案例(V4.0)-360文档中心
360文档中心免费免积分下载，各行业
知识、技术、信息等word文档下载网站
华为防火墙 USG6000 全图化Web典型配置案例(V4.0)
华为防火墙USG6000全图化Web典型配置案例(V4.0)登录Web 配置界面Example9:应用控制(限制P2P 流量、禁用QQ )Example8:基于用户的带宽管理Example7:SSL VPN 隧道接入(网络扩展)Example6:客户端L2TP over IPSec 接入(VPN Client/Windows/Mac OS/Android/iOS )Example5:点到多点IPSec 隧道(策略模板)Example4:点到点IPSec 隧道Example3:内外网用户同时通过公网IP 访问FTP 服务器Example2:通过PPPoE 接入互联网Example1:通过静态IP 接入互联网目录
免费下载该文档：
华为防火墙 USG6000 全图化Web典型配置案例(V4.0)的相关文档搜索
HUAWEI USG6000 V100R001 全图化Web典型配置案例(V3.0)_计算机硬件及网络_IT/计算机_专业资料。华为usg6000防火墙web手册 文档版本 发布日期 V3.0
...HUAWEI_USG6000_V100R001_全图化Web典型配置案例(V2.0)_计算机硬件及网络_IT/计算机_专业资料。华为新1代防火墙配置指导 文档版本 发布日期 V2.0
...华为USG6000全图化Web典型配置案例-图文Word版本_...文档版本 发布日期 V4.0
版权所有? ...企业需利用防火墙接入互联网。 项目 DNS服务器 网关...Web方式：NGFW（V5R1版本）配置PPPoE拨号上网示例
最新回复： 23:29:50
Web方式：NGFW（V5R1版本）配置PPPoE拨号上网示例
适用于：NGFW（USG6000&USG9500）系列，V500R001版本。
业务需求：
运营商分配的PPPoE用户名为user1，密码为huawei123。
实现内网用户通过NGFW访问外网。
拓扑简图：
组网规划：
GE1口连接外网。
GE2口连接内网，内网的网段为192.168.1.0/24。
内网用户获取IP的方式：DHCP（动态获取IP）。
内网属于trust区域，外网属于untrust区域。
操作步骤：
一、WAN侧配置
配置外网接口
（1）选择“网络 & 接口”。
（2）单击待配置的接口GigabitEthernet1/0/1所在行的。
（3）参照下图的说明依次选择或输入各项参数。
（4）单击“确定”。
2. 配置默认路由
（1）选择“网络 & 路由 & 静态路由”。
（2）在“静态路由列表”中，单击“新建”。
（3）参照下图的说明依次选择或输入各项参数。
（4）单击“确定”。
3. 配置NAT策略
（1）选择“策略 & NAT策略 & 源NAT & 源NAT”。
（2）在“源NAT策略列表”中，单击“新建”。
（3）参照下图的说明依次选择或输入各项参数。
（4）单击“确定”。
4. 配置安全策略
（1）选择“策略 & 安全策略 & 安全策略 ”。
（2）在“安全策略列表”中，单击“新建”，选择“新建安全策略”。
（3）参照下图的说明依次选择或输入各项参数。
（4）单击“确定”。
二、LAN侧配置
配置内网接口
（1）选择“网络 & 接口”。
（2）单击待配置的接口GigabitEthernet1/0/2所在行的。
（3）参照下图的说明依次选择或输入各项参数。
（4）单击“确定”。
2. 配置DHCP服务器
（1）选择“网络 & DHCP服务器 & 服务”。
（2）在“DHCP服务列表”中，单击“新建”。
（3）参照下图的说明依次选择或输入各项参数。
（4）单击“确定”。
---------------------------------------------------------------------------------------------------------------------------------------------------------
【温馨提醒】
当完成全部配置并且测试没有问题后，则应该及时保存当前配置，以免重启后当前配置丢失。常见设备保存当前配置的方法可以参见下面的链接：
本帖最后由 烧油小分队 于
11:29 编辑
如果防火墙后面接个三层交换机，DHCP做在三层交换机上，那这个WEB界面如何操作，这个创建DHCP界面不是可以去掉了么，如果是2条线路PPPOE拨号上网，防火墙上如何配置才能让内网同时使用这2条线路。。防火墙后面有个3层交换机。盼回复
* 是否包含第三方商业秘密:
第三方商业秘密
第三方商业秘密是指第三方不为公众所知悉、具有商业价值并经权利人采取保密措施的技术信息和经营信息，包括但不限于：产品的价格信息、路标规划、商务授权、核心算法和源代码等。如有疑问，请联系:e.（各社区公共邮箱）。
如果附件按钮无法使用，请将Adobe Flash Player 更新到最新版本！
`@trans`bright_future`~trans`
`@trans`bright_future_des`~trans`
`@trans`drinking_poetry`~trans`
`@trans`drinking_poetry_des`~trans`