H3C SecPath U200-CS防火墙VPN设置配图文

H3C SecPath U200-CS web界面设置vpn L2TP步骤：

在左边点击导航菜单中的虚拟专用网，在子菜单中选中L2TP。接着在右边输入的信息如下

L2TP配置

L2TP用户组：输入公司或者单位的名称，比如ncjk 对端隧道名称：空 本端隧道名称：空 隧道验证：禁用 隧道验证密码：空

PPP认证配置

PPP认证方式：CHAP

ISP域名：system 也可以新建一个

PPP地址配置

PPP Server 地址/掩码：192.168.2.1/255.255.255.0 这个地址是防火墙设置的虚拟服务器的IP

地址，可以和本地局域网的ip地址不在一个段。

PPP Server所属安全域：trust 指192.168.2.0 段

用户地址：pool 10 （点击新建，然后输入地址池名称pool 10地址段

192.168.2.2-192.168.2.254）

强制分配地址：禁用 画面如图1 图2 图1

图2

下面是拨入的用户的隧道信息

接下来需要在功能菜单中选择用户管理中的本地用户，创建远端拨入用户的信息，点击新建，然后输入用户名如user1，访问等级如management，用户类型选择ppp。下图是新建的用户。

用代码进行配置举例如下：

VPN用户访问公司总部过程如下：

(1) 配置用户侧主机的IP地址和路由，确保用户侧主机和LNS之间路由可达。

(2) 由用户向LNS发起Tunnel连接的请求。

(3) 在LNS接受此连接请求之后，VPN用户与LNS之间就建立了一条虚拟的L2TP tunnel。

(4) 用户与公司总部间的通信都通过VPN用户与LNS之间的隧道进行传输。

2. 组网图

图1-10 Client-Initiated VPN组网图

3. 配置步骤

(1) LNS侧的配置

# 配置接口的IP地址。（略）

# 配置路由，使得LNS与用户侧主机之间路由可达。（略） # 设置用户名、密码及服务类型（应与用户侧的设置一致）。

system-view

[LNS] local-user vpdnuser 创建用户vpdnuser

[LNS-luser-vpdnuser] password simple Hello 密码hello

[LNS-luser-vpdnuser] service-type ppp 用户用于ppp服务

[LNS-luser-vpdnuser] quit

# 对VPN用户采用本地验证。

[LNS] domain system 进入设备的默认domain域

[LNS-isp-system] authentication ppp local 对用户本地验证

[LNS-isp-system] ip pool 1 192.168.0.2 192.168.0.100 分配给L2TP拨号用户的IP地址

[LNS-isp-system] quit

# 启用L2TP服务。

[LNS] l2tp enable

# 配置虚模板Virtual-Template的相关信息。

[LNS] interface virtual-template 1 创建虚模版1

[LNS-virtual-template1] ip address 192.168.0.1 255.255.255.0 配置虚模版的接口地址

[LNS-virtual-template1] ppp authentication-mode chap domain system 对接入用户使用chap认证

[LNS-virtual-template1] remote address pool 1 与上面创建的地址池进行绑定

[LNS-virtual-template1] quit

# 设置一个L2TP组，指定接收呼叫的虚拟模板接口。

[LNS] l2tp-group 1 创建一个L2TP组 1

[LNS-l2tp1] tunnel name LNS L2TP隧道名称LNS

[LNS-l2tp1] undo tunnel authentication 不对隧道进行验证

[LNS-l2tp1] allow l2tp virtual-template 1 允许虚模版1 接入

客户端需要做的设置步骤：

按照以下步骤配置Windows XP 计算机，使其成为L2TP 客户端。 1. 配置L2TP 拨号连接：

1） 进入Windows XP 的“开始” “设置” “控制面板”，选择“切换到分类视图”。

2） 选择“网络和Internet 连接”。

3） 选择“建立一个您的工作位置的网络连接”。 4） 选择“虚拟专用网络连接”，单击“下一步”。 5） 为连接输入一个名字为“l2tp”，单击“下一步”。 6） 选择“不拨此初始连接”，单击“下一步”。

7） 输入准备连接的L2TP 服务器的IP 地址“202.101.35.218”，单击“下一步”。

8） 单击“完成”。

9） 双击“l2tp”连接，在l2tp 连接窗口，单击“属性”。

10） 选择“安全”属性页，选择“高级（自定义设置）”，单击“设置”。 11） 在“数据加密”中选择“可选加密（没有加密也可以连接）”。 12） 在“允许这些协议”选中“不加密的密码（PAP）”、“质询握手身份验证协议

（CHAP）”、“Microsoft CHAP（MS-CHAP）”，单击“确定”。 13） 选择“网络”属性页面，在“VPN 类型”选择“L2TP IPSec VPN”。 14） 确认“Internet 协议（TCP/IP）”被选中。

15） 确认“NWLink IPX/SPX/NetBIOS Compatible Transport Prococol”、“微软网络文件

和打印共享”、“微软网络客户”协议没有被选中。 16） 单击“确定”，保存所做的修改。 2. 修改注册表

缺省的Windows XP L2TP 传输策略不允许L2TP 传输不使用IPSec 加密。可以通过修改

Windows XP 注册表来禁用缺省的行为： 手工修改：

1） 进入Windows XP 的“开始” “运行”里面输入“Regedt32”，打开“注册表编辑

器”，定位“HKEY_Local_Machine \\ System \\ CurrentControl Set \\ Services \\ RasMan \\ Parameters ”主键。 2） 为该主键添加以下键值： 键值：ProhibitIpSec 数据类型：reg_dword 值：1

3）保存所做的修改，重新启动电脑以使改动生效。

提示：必须添加“ProhibitIpSec”注册表键值到每个要使用L2TP 的运行Windows XP 操 作系统的电脑。

3. 使用L2TP 隧道连接到HiPER L2TP 服务器

1） 确认计算机已经连接到Internet（可能是拨号连接或者是固定IP 接入）。 2） 启动前面步骤中创建的“l2tp”拨号连接。

3） 输入的l2tp 连接的用户名：vpn_mobile 和密码：vpntest。 4） 单击“连接”。

5） 连接成功后，在MS-DOS 方式下输入“ipconfig”，可以看到一个在HiPER L2TP 服

务器地址池中的地址，就是HiPER L2TP 服务器分配给本机的IP 地址。

本文来源：https://www.bwwdw.com/article/nvqd.html