大家好，我是「极客运维社」飞哥！深耕企业组网和网络设备领域多年，每天为你拆解：

1、交换机/路由器疑难故障处理方案

2、网络架构优化与安全防护实战技巧

3、中小企业低成本智能组网案例解析

点击右上角【关注】每日更新深度技术指南，

长按【收藏】 搭建你的专属运维知识库，

点亮文末小红心，激励飞哥创作更多硬核内容。

特别提醒：网络运维问题常有突发性，提议将本文加入收藏，遇到设备配置、链路故障、卡顿、数据丢包等问题时，随时可调取解决方案！

实验要求：

1、员工外地出差，可以随时和总部通信，公司总部通过部署L2TP ，对于外地出差员工可以拨号接入公司内部

2、对于接入公司内部资源后，员工只能访问内网，为此需要在LNS上配置NAT功能，实现接入外网

网络拓扑：

拨号登录L2TP-vpn

详细配置[L2TP部分]：

注：组网部分省略，详细内容请在文章板块查找

只在总部核心出口设备上配置即可（本实验中配置在路由器上）

# sysname LNS# l2tp enable #acl number 2001 
 rule 5 permit source 192.168.1.0 0.0.0.255#ip pool lns  
 gateway-list 192.168.1.1 network 192.168.1.0 mask 255.255.255.0#aaa 
 authentication-scheme lmt                                                      
 domain huawei.com  authentication-scheme lmt local-user test@huawei.com password cipher test123 local-user test@huawei.com privilege level 15  
 local-user test@huawei.com service-type ppp#interface GigabitEthernet 0/0/0 ip address 200.1.1.2 255.255.255.0 nat outbound 2001 #interface Virtual-Template1 
 ppp authentication-mode chap domain huawei.com remote address pool lns ppp ipcp dns 8.8.8.8 
 ip address 192.168.1.1 255.255.255.0#l2tp-group 1 undo tunnel authentication 
 allow l2tp virtual-template 1#ip route-static 0.0.0.0 0.0.0.0 200.1.1.1#

拨号登录vpn

解释说明

以下是对这段配置命令的详细解释：

系统名称配置

#sysname LNS#

sysname LNS`：此命令的作用是把设备的系统名称设定为 LNS（L2TP Network Server，L2TP网络服务器）。系统名称在设备管理和日志记录时可用于标识设备。

L2TP功能启用

acl number 2001                         
 rule 5 permit source 192.168.1.0 0.0.0.255

l2tp enable：开启设备的L2TP（Layer 2 Tunneling Protocol，二层隧道协议）功能，使得设备能够作为LNS运行，从而建立和管理L2TP隧道。

ACL配置

acl number 2001    
 rule 5 permit source 192.168.1.0 0.0.0.255#

• acl number 2001：创建一个编号为2001的基本访问控制列表（ACL）。基本ACL主要依据源IP地址来进行数据包的过滤。

• rule 5 permit source 192.168.1.0 0.0.0.255：在ACL 2001里添加一条规则，规则编号为5，允许源IP地址处于192.168.1.0/24网段的数据包通过，此规则用于后续的NAT转换。

IP地址池配置

ip pool lns  
 gateway-list 192.168.1.1 network 192.168.1.0 mask 255.255.255.0#

• ip pool lns：创建一个名为lns的IP地址池。

• gateway-list 192.168.1.1：将192.168.1.1设置为该地址池分配的IP地址的网关。

• network 192.168.1.0 mask 255.255.255.0：指定地址池的地址范围为192.168.1.0/24，L2TP客户端连接时会从这个地址池中获取IP地址。

AAA认证配置

aaa 
 authentication-scheme lmt                                                      
 domain huawei.com
  authentication-scheme lmt local-user test@huawei.com password cipher test123 local-user test@huawei.com privilege level 15  
 local-user test@huawei.com service-type ppp#

• aaa：进入AAA（Authentication, Authorization, Accounting，认证、授权、计费）配置模式。

• authentication-scheme lmt：创建一个名为lmt的认证方案。

• domain huawei.com：创建一个名为huawei.com的用户域。

• authentication-scheme lmt：把lmt认证方案应用到huawei.com用户域。

• local-user test@huawei.com password cipher test123：在本地用户数据库里创建一个用户test@huawei.com，其加密后的密码为test123。

• local-user test@huawei.com privilege level 15：将用户test@huawei.com的权限级别设置为15（最高权限）。

• local-user test@huawei.com service-type ppp：设定用户test@huawei.com的服务类型为PPP（Point-to-Point Protocol，点对点协议），表明该用户可通过PPP连接进行认证。

物理接口配置

interface GigabitEthernet 0/0/0 ip address 200.1.1.2 255.255.255.0 nat outbound 2001 #

• interface GigabitEthernet 0/0/0：进入物理接口GigabitEthernet 0/0/0的配置模式。

• ip address 200.1.1.2 255.255.255.0：为该接口分配IP地址200.1.1.2，子网掩码为255.255.255.0。

• nat outbound 2001：在该接口上启用NAT（Network Address Translation，网络地址转换）功能，使用之前创建的ACL 2001进行源地址转换，把192.168.1.0/24网段的IP地址转换为接口的公网IP地址200.1.1.2。

虚拟模板接口配置

interface Virtual-Template1 
 ppp authentication-mode chap domain huawei.com remote address pool lns ppp ipcp dns 8.8.8.8 
 ip address 192.168.1.1 255.255.255.0#

• interface Virtual-Template1：进入虚拟模板接口Virtual-Template1的配置模式。虚拟模板接口用于为L2TP客户端创建虚拟接口。

• ppp authentication-mode chap domain huawei.com：把PPP认证模式设置为CHAP（Challenge Handshake Authentication Protocol，挑战握手认证协议），并使用huawei.com用户域进行认证。

• remote address pool lns：指定为L2TP客户端分配IP地址时使用之前创建的lns地址池。

• ppp ipcp dns 8.8.8.8：在PPP协商过程中，向客户端推送DNS服务器地址8.8.8.8。

• ip address 192.168.1.1 255.255.255.0：为虚拟模板接口分配IP地址192.168.1.1，子网掩码为255.255.255.0，该地址作为L2TP客户端的网关。

L2TP组配置

l2tp-group 1
 undo tunnel authentication 
 allow l2tp virtual-template 1#

• l2tp-group 1：创建一个编号为1的L2TP组。

• undo tunnel authentication：撤销L2TP隧道的认证，意味着在建立L2TP隧道时不需要进行隧道认证。

• allow l2tp virtual-template 1：允许使用Virtual-Template1为L2TP客户端创建虚拟接口。

静态路由配置

ip route-static 0.0.0.0 0.0.0.0 200.1.1.1#

• ip route-static 0.0.0.0 0.0.0.0 200.1.1.1：配置一条默认静态路由，将所有目的地址的数据包转发到下一跳200.1.1.1，确保设备能够访问外部网络。

查看接口信息

测试：

这里以window10 专业版系统为例

在 Windows 10 系统中创建 VPN 客户端可按以下步骤操作：

1. 打开系统设置：点击桌面左下角 Windows 图标，选择「设置」→「网络和 Internet」→「VPN」

window设置

2. 添加 VPN 连接：点击「添加 VPN」连接名称：自定义（如 "公司 VPN"）服务器名称或地址：填写企业提供的 VPN 服务器地址类型：选择 L2TP 或 PPTP（需与企业网络协议一致）登录信息：输入企业分配的用户名 / 密码

3. 高级设置（可选）：点击「高级选项」勾选「使用 IPsec 隧道」（如需）设置 DNS 服务器地址（根据企业要求填写）

4. 保存并连接：完成设置后返回 VPN 主界面点击新创建的 VPN 连接，选择「连接」

注意事项：

• 首次连接可能需要安装证书

• 若连接失败，检查防火墙设置或联系 IT 部门

• 提议使用系统自带 VPN 功能，第三方客户端可能需要额外配置

• 当然也可使用华为客户端，可自行搜索