前言：

在实际的5G交付过程中，部分企业用户总有这样的需求：企业在各地市均有营业网点，如何将网点数据通过5G_CPE设备进行远距离的安全的传输。现在，我们可以通过一台拥有公网地址的防火墙，在其上部署L2TP_VPN，连接了CPE设备的终端上配置客户端拨号的方式，将多台终端拨入同一个L2TP组内，实现多台终端的安全互联互通。

组网说明：

PC1和PC2通过公网传输或者直连可达防火墙，防火墙上，PC1和PC2之间没有互访路由。PC1和PC2通过向防火墙的L2TP服务器拨号，加入到L2TP_VPN实现安全互联。

以下是具体实现步骤：

步骤 1 配置LNS侧（防火墙）。

# 配置Eudemon防火墙作为LNS服务器的名称。

system-view

[Eudemon] sysname LNS

# 配置Ethernet 1/0/1的IP地址。

[LNS] interface Ethernet 1/0/1

[LNS-Ethernet1/0/1] ip address 202.38.160.1 24

# 配置Ethernet 1/0/0的IP地址。

[LNS] interface Ethernet 1/0/0

[LNS-Ethernet1/0/0] ip address 192.168.1.1 24

[LNS-Ethernet1/0/0] quit

# 配置Ethernet 1/0/0加入Untrust安全区域。

[LNS] firewall zone trust

[LNS-zone-trust] add interface Ethernet 1/0/0

[LNS-zone-trust] quit

# 配置Ethernet 1/0/1加入Untrust安全區域。

[LNS] firewall zone untrust

[LNS-zone-untrust] add interface Ethernet 1/0/1

[LNS-zone-untrust] quit

#此处进行配置时可以将端口加入到不同的安全域，通过域间包过滤规则和安全策略进行更加具体的安全限制

# 创建并配置虚拟接口模板。

[LNS] interface Virtual-Template 1

[LNS-Virtual-Template1] ip address 10.110.1.1 24

[LNS-Virtual-Template1] pppauthentication-mode chap

[LNS-Virtual-Template1] remote address pool 1

[LNS-Virtual-Template1] quit

# 配置虚拟接口模板加入安全区域，可以加入LNS的任一安全区域。本例将虚拟接口模板与接收L2TP隧道报文的实际物理接口Ethernet 1/0/1加入同一安全区域。

[LNS] firewall zone untrust

[LNS-zone-trust] add interface Virtual-Template 1

[LNS-zone-trust] quit

# 使能L2TP功能。

[LNS] l2tp enable

# 创建L2TP组。

[LNS] l2tp-group 1

# 配置隧道本端名称。

[LNS-l2tp1] tunnel name lns

# 配置LNS端接受客户端呼叫时使用的虚拟接口模板。

[LNS-l2tp1] allow l2tp virtual-template 1

# 关闭L2TP隧道验证功能。

[LNS-l2tp1] undo tunnel authentication

[LNS-l2tp1] quit

# 进入AAA视图，创建域testvpdn，定义地址池，为拨入用户分配IP地址，创建本地用户名和密码并配置用户类型（应与用户侧配置一致）。

[LNS] aaa

[LNS-aaa] domain testvpdn

[LNS-aaa-domain-testvpdn] ip pool 1 10.110.1.20 10.110.1.80

[LNS-aaa-domain-testvpdn] quit

[LNS-aaa] local-user admin@testvpdn password simple admin123

[LNS-aaa] local-user admin@testvpdn service-type ppp

[LNS-aaa] quit

# 配置域间包过滤规则，允许LNS侧与隧道相连的接口所在的安全区域与Local安全区域互通。

[LNS] acl 3001

[LNS-acl-adv-3001] rule permit ip

[LNS] firewall interzoneuntrust local

[LNS-interzone-local-trust] packet-filter 3001 outbound

[LNS-interzone-local-untrust] packet-filter 3001 inbound

步骤 2 终端PC侧调试。

#对于WIN7和WIN10系统，需要修改注册表，启动服务项：

1. 单击“开始”，单击“运行”，键入“regedit”，然后单击“确定”

2. 找到注册表的如下参数：

HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼RasMan＼Parameters中的AllowL2TPWeakCrypto项、AllowPPTPWeakCrypto项、ProhibitIpSec项;（若没有则按照下面步驟创建即可）以及HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼PolicyAgent中的AssumeUDPEncapsulationContextOnSendRule项，再将所有“数值数据”，改为“1”。

3. 若没有上述几项参数，则在上级目录上点击“新建”->“DWORD值”

4. 在“名称”框中，键入“项名字”

5. 在“数值数据”框中，键入“1”

7. 单击“开始”，单击“运行”，键入“services.msc”，然后单击“确定”

8. 开启以R字母开头的Routing and Remote Access服务。

9.打开网络和共享中心。选择“设置新的连接或网络”，选择连接到工作区。

10.选择“使用我的Internet连接“”

11.键入一个防火墙上可达的IP地址，本例中，PC1使用192.168.1.1，PC2选择202.38.160.1作为拨号服务器的地址：

12.然后输入在防火墙aaa上配置的local-user用户admin并带上域名。

13.拨号完成，即可获取到10.110.1.20到10.110.1.80段地址池中分配的地址了。本例中，PC1和PC2分别获得了10.110.1.20和10.110.1.21两个地址，进行互Ping测试，发现二者可以通过防火墙建立的L2TP互通。而本身两者之间路由是不可达的。

作者简介：张淼，出生年月：1974/5/6，性别：男，民族：汉，籍贯（精确到市）：山东省东营市，当前职务：东营联通智能网络中心技术总监，当前职称：中级工程师，学历：大学本科，研究方向：IP数据网络.