[LNS-Virtual-Template1] quit # 进入Untrust区域视图。 [LNS] firewall zone untrust
# 配置虚拟接口模板加入Untrust区域。
[LNS-zone-untrust] add interface Virtual-Template 1
虚拟接口模板可以加入LNS的任一安全区域,但为LNS侧的必配项。 # 退回系统视图。 [LNS-zone-untrust] quit # 使能L2TP功能。 [LNS] l2tp enable
# 配置用户名带域名的后缀分隔符。 [LNS] l2tp domain suffix-separator @ # 配置L2TP组。 [LNS] l2tp-group 1
# 指定接受呼叫时隧道对端的名称及所使用的Virtual-Template。 [LNS-l2tp1] allow l2tp virtual-template 1 # 使能L2TP隧道认证。
[LNS-l2tp1] tunnel authentication # 配置L2TP隧道认证密码。
[LNS-l2tp1] tunnel password simple Hello123
A.USG2130缺省需要进行隧道的认证。如果没有配置undo tunnel authentication命令,需要配置tunnel password命令。
B.LNS端配置的隧道验证时的密码需要与LAC端的配置保持一致。 # 配置隧道本端名称。 [LNS-l2tp1] tunnel name lns # 退回系统视图。 [LNS-l2tp1] quit # 进入AAA视图。 [LNS] aaa
# 创建本地用户名和密码。
[LNS-aaa] local-user vpnuser@domain1 password simple VPNuser123 # 创建名称为domain1的域。 [LNS-aaa] domain domain1 # 配置公共IP地址池。
[LNS-aaa-domain-domain1] ip pool 1 10.1.1.2 10.1.1.100 # 退回AAA视图。
[LNS-aaa-domain-domain1] quit # 退回系统视图。 [LNS-aaa] quit
# 配置域间缺省包过滤规则。
[LNS] firewall packet-filter default permit interzone local untrust
由于LNS需要给PC分配IP地址,此时不能配置确切的ACL及域间规则。同时,需要打开Local和Untrust域间的缺省过滤规则。
[LNS] firewall packet-filter default permit interzone trust untrust