如何利用华三路由器配置L2TP，实现远程访问内网

当员工出差或在家办公时的地理位置发生变动，需要随时总部通信和访问总部内网资源，直接通过Internet网络虽然可以访问总部网关，但总部网关无法对接入的用户进行辨别和管理，这时将总部网关部署为LNS，在外员工在PC终端上使用L2TP，则可以随时访问内网资源。

如下图左侧为在外员工，可访问互联网，并与右侧公司出口路由器wan口互通。右侧为公司内网，路由器出口公司地址为192.168.22.1/24，内网172.16.22.0/24，现远程pc要访问内网交换机ssh和web界面。交换机已开启相关的ssh和web配置。

配置步骤

一，基础配置

配置公司出口路由器

[R1]interface GigabitEthernet 0/1

[R1-GigabitEthernet0/1]ip add 192.168.22.1 24

[R1]interface GigabitEthernet 0/2

[R1-GigabitEthernet0/2]ip add 172.16.22.1 24

配置ISP域system对PPP用户采用本地验证。

[SW]domain name system

[SW-isp-system]authentication ppp local

创建acl2000匹配内网段

[R1]acl basic 2000

[R1-acl-ipv4-basic-2000]rule permit source 172.16.22.0 0.0.0.255

路由器出口绑定acl，实现内网段nat转换上网

[R1]interface GigabitEthernet 0/1

[R1-GigabitEthernet0/1]nat outbound 2000

配置内网交换机

[SW]interface GigabitEthernet 1/0/1

[SW-GigabitEthernet1/0/1]port link-mode route

[SW-GigabitEthernet1/0/1]ip add 172.16.22.100 24

配置缺省路由

[SW]ip route-static 0.0.0.0 0 172.16.22.1

交换机ssh和web配置已开启（略）

--------------------------------------------------------------------------------------

二，公司出口路由器配置L2TP功能

[R1]l2tp enable //使能l2tp

[R1]ip pool p2 192.168.33.10 192.168.33.30 //配置地址池，为远程拨入用户分配地址

[R1]ip pool p2 gateway 192.168.33.1 //配置远程用户网关

创建接口Virtual-Template1，PPP认证方式为CHAP，并使用地址池p2为LAC client端分配IP地址。

[R1]interface Virtual-Template 1

[R1-Virtual-Template1]ppp authentication-mode chap domain system

[R1-Virtual-Template1]remote address pool p2

创建LNS模式的L2TP组为1，配置隧道名称为LNS

[R1]l2tp-group 1 mode lns

[R1-l2tp1]tunnel name L2

[R1-l2tp1]allow l2tp virtual-template 1 //指定虚拟接口

关闭L2TP隧道验证功能。

[R1-l2tp1]undo tunnel authentication

配置l2tp用户和密码

[R1]local-user user class network

[R1-luser-network-user]password simple user123

[R1-luser-network-user]service-type ppp

三，配置远端电脑PC端

3.1使用华三客户端软件登录

安装软件，完成后登录软件

输入之前分配的用户名和密码

点击更多，配置LNS服务器地址为公司路由器出口地址，l2tp认证模式chap，

点击登录，登陆成功

在电脑上打开ssh远程工具，连接内网交换机的ssh

3.2使用windows电脑自带设置登录

右键“网络”属性，

设置新的连接或网络

选择“连接到工作区”

选择“使用我的internet连接”

输入公司路由器出口地址，然后创建

在生成的虚拟网卡上右键属性，

选择vpn类型和验证方式

然后电脑右下角网络连接处，点连接

输入l2tp的用户名和密码，登录

登录成功，已连接

测试到公司内网互通

远端电脑打开ssh工具，远程连接上公司内网交换机，可以正常配置管理。

登录内网交换机web界面成功登录

完成

--------------------------------------------------------------------------------------------------------------