H3C 防火墙 L2TP Tunnel搭建

一、H3C VPDN

VPDN（Virtual Private Dial-up Network，虚拟专用拨号网络）是指利用公共网络（如ISDN或PSTN）的拨号功能接入公共网络，实现虚拟专用网，从而为企业、小型ISP、移动办公人员等提供接入服务。即VPDN为远端用户与私有企业网之间提供了一种经济而有效的点到点连接方式。

二、LAC、LNS

L2TP: Layer 2 Tunnel Protocol 二层隧道协议,是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议.

特性:

• 灵活的身份验证机制以及高度的安全性
• 多协议传输
• 支持RADIUS服务器的验证
• 支持内部地址分配
• 网络计费的灵活性
• 可靠性

VPDN采用隧道协议在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络，通过虚拟隧道实现和企业总部之间的网络连接，而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。

VPDN隧道协议主要包括以下三种：

· PPTP（Point-to-Point Tunneling Protocol，点到点隧道协议）

· L2F（Layer 2 Forwarding，二层转发）

· L2TP（Layer 2 Tunneling Protocol，二层隧道协议）

L2TP结合了L2F和PPTP的各自优点，是目前使用最为广泛的VPDN隧道协议。

L2TP（RFC 2661）是一种对PPP链路层数据包进行封装，并通过隧道进行传输的技术。L2TP允许连接用户的二层链路端点和PPP会话终点驻留在通过分组交换网络连接的不同设备上，从而扩展了PPP模型，使得PPP会话可以跨越分组交换网络，如Internet。

L2TP发起远程连接有两种，一种是用户发起连接，另外一种是LAC NAS发起连接。

　　比较简单，用户直接向ＬＮＳ发起连接请求，不需要LAC的支持

LAC发起连接。

　　LAC根据ＶＰＮ用户指定的地址，向LNS发起连接，流程比较复杂

LAC 和LNS之间可以进行验证。

LAC: L2TP Access Concentrator L2TP的接入集中器

NAS服务器发起VPDN连接

NAS（Network Access Sever，网络接入服务器）通过使用VPDN隧道协议，将客户的PPP连接直接连接到企业的VPDN网关上，从而与VPDN网关建立隧道。NAS与VPDN网关建立虚拟隧道对于用户是透明的。用户只需要登录到NAS就可以通过虚拟隧道接入企业内部网络。用户只能在连接到NAS以下的网络中，有地点限制。

用户发起VPDN连接

客户端一VPDN网关建立隧道。这种方式由客户端先与intenet联网，然后通过专用的软件或支持L2TP的客户端与VPND网关建立隧道连接。用户上网方式和地点没有限制。

VPDN网关，一般使用的是路由器或VPN专用服务器。

LNS: L2TP Network Server L2TP的网络服务器

LNS是具有PPP和L2TP协议处理能力设备，通常位于企业内部边缘。

LNS作为L2TP隧道的另一侧端点，是LAC通过隧道传输PPP会话的逻辑终点。L2TP通过在公共网络中建立L2TP隧道，将远端系统的PPP连接由原来的NAS延伸到了企业内部网络的LNS设备。

远端系统

远端系统是要接入企业内部网络的用户和远端分支机构，通常是一个拨号用户电脑或私有网络中的一台路由器或服务器。

三、实施过程

VPN用户访问公司总部过程如下：

(1) 用户首先连接Internet，之后直接由用户向LNS发起Tunnel连接的请求。

(2) 在LNS接受此连接请求之后，VPN用户与LNS之间就建立了一条虚拟的L2TP tunnel。

(3) 用户与公司总部间的通信都通过VPN用户与LNS之间的隧道进行传输。

对于NAS-Intiated模式，需要配置LAC和LNS两台网络设备；对于Client-Initiated模式，只需要配置LNS一台网络设备。Web目前仅支持配置设备作为LNS端。

1、启用L2TP VPDN功能。

2、已勾选。

3、组类型选择LNS，L2TP组号为1，本端隧道名称为LNS。PPP认证方式选择CHAP认证，PPP服务器地址：192.168.10.1，子网掩码为：255.255.255.0,用户地址池：192.168.10.2-192.168.10.40。

4、L2TP中LNS创建成功。

5、在IP选项中，多出一个虚拟接口IP地址，192.168.10.1这个地址PPP服务器地址。

6、在对象中，添加L2TP用户。

7、输入用户名和密码，选择PPP接入服务。

8、用户已创建完成。

9、需要将创建的VPDN的虚拟接口加入Untrust中。

10、在Untrust域中，添加VT1虚拟VPND接口。

11、已经加入到Untrust域中，为什么要加入Untrust呢?因为电脑都是是外部拨号进入到公司内网，肯定是加入到Untrust域。

四、客户端拨号测试

1、创建VPN客户端（略）。

2、输入外网IP地址，开始拨号，拨号成功。

3、使用Ipconfig可以看到PPP拨号所得的IP地址。

4、去ping两个DMZ中的服务器，发现都可以正常ping通。

5、如何只让访问其中一个DMZ，172.30.12.0网段服务器，拒绝访问另外一个DMZ服务器172.30.11.0网段服务器。

6、新增安全策略，untrust-DMZ拒绝。

7、添加完拒绝策略后，开始测试。

8、发现172.30.11.0网段还是可以ping通。

9、发现是由于安全拒绝策略没有上移，开始上移。

10、上移策略成功，策略都是从上往上匹配执行。如果上一条符合规则，就不会在继续往下执行。

11、上移后，点“立即加速”，使安全策略快速生效。

12、点击是。

13、点击提交。

14、再次测试，发现VPDN拨上来的电脑，无法访问172.30.11.0网段服务器。

15、当成功拨号后，可以看到虚拟端口从Down状态，变成了up状态。

16、在L2tp隧道信息中，可以看到成功拨号的设备。

17、配置完成后，点击右上角，保存配置信息。