发布时间:2013-09-15
点击量:3266一、组网需求
如下图所示:NGFW作以旁路模式旁挂在内网交换机上,与锐捷EG设备建立L2TP VPN,NGFW作为服务端(目前NGFW只支持作为L2TP的服务端,不支持作为L2TP的客户端),让两个局域网能通过VPN互相通信。
二、配置要点
1、配置接口地址及开启接口L2TP功能
外网口需要开启允许用户L2TP拨入。
2、配置默认路由及静态路由
3、配置用户及用户组
用户拨入后需要在电脑上添加静态路由;
4、配置L2TP vpn
配置分配给VPN隧道地址段为:10.10.10.0/24
5、配置安全策略
配置外网地址段访问服务器网段允许通过策略;
6、在出口路由器上配置静态路由及端口映射
静态路由:目的网段为VPN虚网段的下一跳为NGFW的ge1接口地址。
端口映射: 将NGFW的管理地址的udp 1701映射出来。
7、配置EG
配置EG的VPN接口地址为固定的10.10.10.10,以便NGFW写静态路由。
三、配置步骤
1、配置接口地址及开启接口L2TP功能
外网口需要开启允许用户L2TP拨入。
2、配置默认路由,指向路由内网口的IP地址192.168.1.1
配置静态路由:到EG内网的192.168.2.0/24网段的下一跳指向EG的VPN接口地址为10.10.10.10
3、配置用户名、用户组
4、配置L2TP vpn
配置分配给VPN隧道地址段为:10.10.10.0/24
5、配置安全策略
配置外网地址段访问服务器网段允许通过策略;
6、在出口路由器上配置静态路由及端口映射
静态路由:目的网段为VPN虚网段的下一跳为NGFW的ge1接口地址。
ip route 192.168.2.0 255.255.255.0 192.168.1.200
端口映射: 将NGFW的管理地址的udp 1701映射出来
ip nat inside source static udp 192.168.1.200 1701 192.168.33.32 1701 permit-inside
7、配置EG(只写出L2TP相关配置及静态路由)
L2TP相关配置:
l2tp-class l2x_1
!
pseudowire-class pw_1
encapsulation l2tpv2
protocol l2tpv2 l2x_1
!
interface Virtual-ppp 1
ppp chap hostname test
ppp chap password 123456
ppp pap sent-username test password 123456
ip tcp adjust-mss 1368
ip mtu 1408
ip address 10.10.10.10 255.255.255.0
pseudowire 192.168.33.32 12 encapsulation l2tpv2 pw-class pw_1
配置静态路由:去往服务端内网的192.168.1.0网段的下一跳指向VPN接口
ip route 192.168.1.0 255.255.255.0 Virtual-ppp 1
四、效果验证
两边PC能互相访问:
文档评价
