以下是H3C Comware V7设备上配置L2TP VPN的详细步骤,分为LAC(L2TP访问集中器)和LNS(L2TP网络服务器)两端的配置:
# 1. 创建虚拟模板接口(用于分配IP给客户端)
interface Virtual-Template 1
ip address 192.168.100.1 255.255.255.0
ppp authentication-mode chap
ppp ipcp dns 8.8.8.8 # 可选:分配DNS
remote address pool l2tp-pool # 关联地址池
# 2. 创建L2TP组
l2tp-group 1 mode ln
allow l2tp virtual-template 1 # 绑定虚拟模板
tunnel name LNS # 隧道名称(可选)
tunnel authentication # 启用隧道认证
tunnel password cipher 123456 # 隧道密码
# 3. 创建地址池(可选,若需分配IP)
ip pool l2tp-pool 192.168.100.2 192.168.100.100
# 4. 配置AAA认证(本地认证示例)
local-user vpnuser class network
password cipher 123456
service-type ppp
authorization-attribute ip-pool l2tp-pool
# 5. 启用L2TP服务(默认已启用,如需关闭用undo)
l2tp enable
# 1. 创建拨号接口
interface Dialer 1
ppp chap user vpnuser # 认证用户名
ppp chap password cipher 123456 # 认证密码
ip address ppp-negotiate # 自动获取IP
dialer bundle 1
# 2. 创建L2TP组
l2tp-group 1 mode lac
tunnel name LAC # 隧道名称(可选)
start l2tp ip 203.0.113.1 # LNS的公网IP
tunnel authentication # 启用隧道认证
tunnel password cipher 123456 # 隧道密码(需与LNS一致)
# 3. 配置默认路由(可选)
ip route-static 0.0.0.0 0 Dialer 1
# 允许L2TP/UDP 1701端口
acl advanced 3000
rule permit udp destination-port eq 1701
rule permit udp destination-port eq 1701 # 部分设备需双向
# 应用ACL到外网接口
interface GigabitEthernet0/0/1
packet-filter 3000 inbound
# 查看L2TP隧道状态
display l2tp tunnel
display l2tp session
# 查看PPP用户连接
display ppp access-user
# 调试日志(故障排查)
debugging l2tp all
terminal monitor
隧道无法建立
tunnel password是否一致debugging l2tp all查看协商过程客户端无法获取IP
ip pool配置remote address绑定正确认证失败
注意:
- 若LNS位于NAT后,需在NAT设备上配置ipsec nat-transparency l2tp(支持L2TP穿透)
- 生产环境建议使用IPSec over L2TP增强安全性
如需更复杂配置(如域分离、多租户),可进一步扩展AAA策略和虚拟模板参数。