筆者單位配置了型號為F1020的H3C防火墻，作為連接互聯(lián)網(wǎng)的網(wǎng)關(guān)。為便于工作人員在外訪問單位網(wǎng)絡(luò)，在防火墻上設(shè)置L2TP方式的VPN接入功能。筆者查閱資料并經(jīng)多次嘗試，成功配置移動終端設(shè)備通過L2TPoIPSec方式遠(yuǎn)程接入辦公網(wǎng)絡(luò)。下面將F1020的H3C防火墻（V7版本）配置步驟詳細(xì)說明如下。

圖1 VPN連接屬性和高級設(shè)置

L2TP配置步驟

1．配置VPN用戶為“vpnuser”，設(shè)置密碼為1234。需要注意的是用戶類型必須為Network，默認(rèn)類型Manager不支持PPP服務(wù)。

loca luser vpnuser class network

password simple1234

service-type ppp

2．配置ISP域“vpnisp”，PPP 用戶采用本地認(rèn)證方式，并指定該域?yàn)槟J(rèn)域。domain vpnisp authentication ppp local

domain default enable vpnisp

3．配置虛模板Virtual-Template1, PPP認(rèn)證方式為CHAP,并指定PPP用戶分配地址池aaa。

4．配置VPN用戶的地址池aaa，并指定網(wǎng)關(guān)地址。

5．選擇創(chuàng)建LNS模式下的L2TP組1，并指定接收呼叫的虛擬模板接口為Virtual-Template1。同時(shí)，禁用隧道認(rèn)證，并指定其名稱為LNS。

6．啟用L2TP。

配置IKE步驟

1．創(chuàng)建IKE安全提議，各類設(shè)備的加密算法和認(rèn)證方式不同，可以分別建立多個(gè)不同安全提議。Andriod和IOS系統(tǒng)設(shè)備加密算法采用的是AES-CBC-256，認(rèn)證算法是SHA1，DH算法采用群組2。Windows系統(tǒng)加密算法是3DES-CBC，認(rèn)證算法是SHA1，DH算法采用群組2。

2．配置 IKE keychain，并設(shè)置預(yù)共享密鑰1234，因要設(shè)置成給移動終端使用，需要指定匹配任意地址。

3．配置IKE Profile，因?yàn)槭且苿咏K端使用，需要指定遠(yuǎn)端地址“match remote”為任意地址。

配置IPSec步驟

1．創(chuàng)建IPSec安全提議，因?yàn)楦黝愒O(shè)備的采取加密算法和認(rèn)證方式不同，可以分別建立多個(gè)不同安全提議。Andriod和IOS系統(tǒng)設(shè)備加密算法采用的是AESCBC-256，認(rèn)證算法是 SHA1，安全協(xié)議采用傳輸模式。Windows系統(tǒng)加密算法是3DES-CBC，認(rèn)證算法是SHA1，安全協(xié)議采用傳輸模式。

終端設(shè)備配置

1．Windows系統(tǒng)配置方法。以Windows 7為例，依次打開“控制面板”、“網(wǎng)絡(luò)共享中心”、“設(shè)置新的連接或網(wǎng)絡(luò)”、“連接到工作區(qū)”、“使用我的Internet連接VPN”選項(xiàng)，輸入“接口地址”和“目標(biāo)名稱”，輸入“用戶名”和“密碼”以及“仍然設(shè)置連接”。

在“網(wǎng)絡(luò)共享中心”頁面、“更改適配器設(shè)置”，修改剛建立VPN連接屬性。按如下內(nèi)容設(shè)置，打開“安全”頁面、“VPN類型”項(xiàng)，選擇“使用IPSec的第2層隧道協(xié)議（L2TP-IPSec）”，在“高級設(shè)置”中選擇“使用預(yù)共享的密鑰作身份認(rèn)證”，輸入上文設(shè)置預(yù)共享密鑰1234。確定后返回到“安全”頁面，在“數(shù)據(jù)加密”選擇“可選加密（沒有加密也可以連接）”，在“允許使用這些協(xié)議”中選擇“質(zhì)詢握手身份證協(xié)議（CHAP）”和“Microsoft CHAP 版本2（MS-CHAP V2）”。

2．Andriod系統(tǒng)配置方法。以6.0系統(tǒng)為例，依次選擇“設(shè)置”、“連接”、“更多連接設(shè)置”、“VPN”以及“添加VPN”項(xiàng)。輸入“名稱”，選擇“類型”為“L2TP/IPSec PSK”，輸入“服務(wù)器地址”和“IPSec預(yù)分享密鑰”?！癓2TP密鑰”和“IPSec”保留空白（如下圖）?！氨４妗狈祷睾?，輸入用戶名和密碼，即可連接。

圖2 查看防火墻上的IKE SA連接信息

圖3 查看防火墻上的IPSec SA連接信息

3．IOS系統(tǒng)配置方法。以10.0系統(tǒng)為例，依次選 擇“設(shè) 置”、“VPN”、“添 加VPN設(shè)置”。

驗(yàn)證配置

1． 通 過“display ike sa verbose”命令查看防火墻上的IKE SA連接信息（如圖2所示）。

2．“display ipsec sa”命令查看防火墻上的IPSec SA連接信息（如圖3所示）。