admin 管理员组文章数量: 887021
2024年4月12日发(作者:sqlserver和mysql有什么区别)
华为H3C SecPath F100-C L2TP VPN配置
华为H3C SecPath F100-C L2TP VPN配置
2008年08月27日 星期三 下午 08:24
此配置经验证无误
System View: return to User View with Ctrl+Z.
[GTECH]dis curr //浏览配置
#
sysname GTECH
#
l2tp enable //开启L2TP功能,必选
#
firewall packet-filter enable
firewall packet-filter default permit
#
connection-limit enable
connection-limit default deny
connection-limit default amount upper-limit 50 lower-limit 20
#
firewall statistic system enable //启用防火墙
#
radius scheme system
server-type extended
#
domain system
ip pool 1 192.168.10.2 192.168.10.50 //定义vpn客户端拨入后获取的IP地址池
#
local-user admin
password cipher DI:(ZS,:-MYG897"VPaR91!!
service-type telnet
level 3
local-user aaa //添加用户名和密码,使能vpn客户端拨
号验证
password simple [email=gtech8@*%786]gtech8@*%786[/email]
service-type ppp
local-user bbb //添加用户名和密码,时能vpn验证放链接
password simple lqyniqjh
service-type ppp
#
acl number 2000 //建立规则2000
rule 3 permit source 196.168.6.0 0.0.0.255 //route允许通过的ip
rule 4 deny //拒绝、否定
#
interface Virtual-Template0
ppp authentication-mode pap
l2tp-auto-client enable
ip address 192.168.10.1 255.255.255.0
undo ip fast-forwarding
remote address pool 1
#
interface Ethernet1/0
description 'inside interface'
tcp mss 1024
//定义一虚拟接口板
//验证方式,可以选CHAP
//自动启用L2tp
//需设置IP地址
//取消ip fast-forwarding
//该VT使用的地址池pool 1
//1口配置
ip address 192.168.6.1 255.255.255.0
#
interface Ethernet2/0 //2口配置
speed 10
duplex full
ip 205 255.255.255.224
nat outbound 2000
#
interface NULL0
#
firewall zone local
set priority 100
#
firewall zone trust
add interface Ethernet1/0
add interface Virtual-Template0
set priority 85
#
firewall zone untrust
add interface Ethernet2/0
set priority 5
#
firewall zone DMZ
set priority 50
#
firewall interzone local trust
#
firewall interzone local untrust
#
firewall interzone local DMZ
#
firewall interzone trust untrust
#
firewall interzone trust DMZ
#
firewall interzone DMZ untrust
#
l2tp-group 1
时,任何名称的设备都能发起隧道请求
undo tunnel authentication
//定义一个L2TP组
//无需隧道验证,可选
当组号为1
mandatory-lcp //强制LCP重新协商,当LNS端(防
火墙端)也要进行验证与计费时可能会用到,需要强制LNS与用户间重新进行LCP协商,
此时将忽略NAS侧的代理验证信息
allow l2tp virtual-template 0 //设置接收呼叫的虚拟模板接口,通道
(VPN隧道)对端名称和域名
#
FTP server enable
#
dvpn service enable
#
undo dhcp enable
#
ip route-static 0.0.0.0 0.0.0.193 preference 60
ip route-static 192.168.6.0 255.255.255.0 Virtual-Template 0 preference 60
//定义一条静态路由,用于vpn客户端登陆后访问防火墙后面的PC机器
#
firewall defend ip-spoofing
firewall defend land
firewall defend smurf
firewall defend fraggle
firewall defend winnuke
firewall defend icmp-redirect
firewall defend icmp-unreachable
firewall defend source-route
firewall defend route-record
firewall defend tracert
firewall defend ping-of-death
firewall defend tcp-flag
firewall defend ip-fragment
firewall defend large-icmp
firewall defend teardrop
firewall defend ip-sweep
firewall defend port-scan
firewall defend arp-spoofing
firewall defend arp-reverse-query
firewall defend arp-flood
firewall defend frag-flood
firewall defend syn-flood enable
firewall defend udp-flood enable
firewall defend icmp-flood enable
#
user-interface con 0
user-interface vty 0 4
authentication-mode scheme
#
return
[GTECH]
在客户端VPN连接后,在CMD下,route -print 如果显示的路由表中没有0.0.0.0
0.0.0.0 mask 192.168.10.2 这一条路由,请用以下命令添加
route -p add 0.0.0.0 0.0.0.0 mask 192.168.10.2
然后就可以ping通防火墙后的PC的IP了,在这里,我从客户端到服务器用FTP和
3389连接来验证的,无误。
L2TP故障诊断与排错
VPN 创建连接的过程比较复杂,这里就几种常见的情况进行分析。在进行 VPN 排
错之前,请先确认 LAC与 LNS都已在公共网上,并实现正确连通。
故障之一:用户登录失败
故障排除:用户登录失败主要有以下几种原因。
Tunnel建立失败,Tunnel不能建立的原因有:
(1) 在 LAC端,LNS的地址设置不正确。
(2) LNS(通常为路由器、路由器)端没有设置可以接收该隧道对端的 L2TP组,
具体可以查看 allow 命令的说明。
(3) Tunnel验证不通过,如果配置了验证,应该保证双方的隧道密码一致。
(4) 如果是本端强制挂断了连接,而由于网络传输等原因,对端还没有收到相应的
Disconnect报文,此时立即发起了一个隧道连接,连接将不能成功,因为对方
必须相隔一定的时间才能侦测到链路被挂断。
PPP协商不通过,可能原因有:
(1) LAC端设置的用户名与密码有误,或者是 LNS端没有设置相应的用户。
(2) LNS端不能分配地址,比如地址池设置的较小,或没有进行设置。
(3) 密码验证类型不一致。如 Windows 2000所创建的 VPN连接缺省的验证类型
为 MSCHAP,如果对端不支持 MSCHAP,建议改为 CHAP。
故障之二:数据传输失败,在建立连接后数据不能传输,如 Ping不通对端。
故障排除:可能有如下原因。
用户设置的地址有误:一般情况下,由 LNS 分配地址,而用户也可以指定自
己的地址。如果指定的地址和 LNS 所要分配的地址不属于同一个网段,就会
发生这种情况,建议由 LNS统一分配地址。
网络拥挤:Internet 主干网产生拥挤,丢包现象严重。L2TP 是基于 UDP(用
户数据报文)进行传输的,UDP 不对报文进行差错控制;如果是在线路质量
不稳定的情况下进行 L2TP应用,有可能会产生 Ping不通对端的情况。
版权声明:本文标题:华为H3C SecPath F100-C VPN配置 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/free/1712914477h621751.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论