如何利用华三路由器配置L2TP,实现远程访问内网
当员工出差或在家办公时的地理位置发生变动,需要随时总部通信和访问总部内网资源,直接通过Internet网络虽然可以访问总部网关,但总部网关无法对接入的用户进行辨别和管理,这时将总部网关部署为LNS,在外员工在PC终端上使用L2TP,则可以随时访问内网资源。
如下图左侧为在外员工,可访问互联网,并与右侧公司出口路由器wan口互通。右侧为公司内网,路由器出口公司地址为..22.1/24,内网.16.22.0/24,现远程pc要访问内网交换机ssh和web界面。交换机已开启相关的ssh和web配置。
配置步骤
一,基础配置
配置公司出口路由器
[R1]interfaceGigabitEthernet0/1
[R1-GigabitEthernet0/1]ipadd..22.
[R1]interfaceGigabitEthernet0/2
[R1-GigabitEthernet0/2]ipadd.16.22.
配置ISP域system对PPP用户采用本地验证。
[SW]domainnamesystem
[SW-isp-system]authenticationppplocal
创建acl匹配内网段
[R1]aclbasic
[R1-acl-ipv4-basic-]rulepermitsource.16.22.00.0.0.
路由器出口绑定acl,实现内网段nat转换上网
[R1]interfaceGigabitEthernet0/1
[R1-GigabitEthernet0/1]natoutbound
配置内网交换机
[SW]interfaceGigabitEthernet1/0/1
[SW-GigabitEthernet1/0/1]portlink-moderoute
[SW-GigabitEthernet1/0/1]ipadd.16.22.
配置缺省路由
[SW]iproute-static0.0.0.00.16.22.1
交换机ssh和web配置已开启(略)
--------------------------------------------------------------------------------------
二,公司出口路由器配置L2TP功能
[R1]l2tpenable//使能l2tp
[R1]ippoolp2..33.10..33.30//配置地址池,为远程拨入用户分配地址
[R1]ippoolp2gateway..33.1//配置远程用户网关
创建接口Virtual-Template1,PPP认证方式为CHAP,并使用地址池p2为LACclient端分配IP地址。
[R1]interfaceVirtual-Template1
[R1-Virtual-Template1]pppauthentication-modechapdomainsystem
[R1-Virtual-Template1]remoteaddresspoolp2
创建LNS模式的L2TP组为1,配置隧道名称为LNS
[R1]l2tp-group1modelns
[R1-l2tp1]tunnelnameL2
[R1-l2tp1]allowl2tpvirtual-template1//指定虚拟接口
关闭L2TP隧道验证功能。
[R1-l2tp1]undotunnelauthentication
配置l2tp用户和密码
[R1]local-useruserclassnetwork
[R1-luser-network-user]passwordsimpleuser
[R1-luser-network-user]service-typeppp
三,配置远端电脑PC端
3.1使用华三客户端软件登录
安装软件,完成后登录软件
输入之前分配的用户名和密码
点击更多,配置LNS服务器地址为公司路由器出口地址,l2tp认证模式chap,
点击登录,登陆成功
在电脑上打开ssh远程工具,连接内网交换机的ssh
3.2使用windows电脑自带设置登录
右键“网络”属性,
设置新的连接或网络
选择“连接到工作区”
选择“使用我的internet连接”
输入公司路由器出口地址,然后创建
在生成的虚拟网卡上右键属性,
选择vpn类型和验证方式
然后电脑右下角网络连接处,点连接
输入l2tp的用户名和密码,登录
登录成功,已连接
测试到公司内网互通
远端电脑打开ssh工具,远程连接上公司内网交换机,可以正常配置管理。
登录内网交换机web界面成功登录
完成
--------------------------------------------------------------------------------------------------------------