FAQ-AR路由器如何配置限制L2TP拨号后只能访问内网部分网段

发布时间:  2016-09-30 浏览次数:  548 下载次数:  0
问题描述
Q:AR路由器如何配置限制L2TP拨号后只能访问内网部分网段
解决方案

A:组网:

LNS配置,客户端以win7为例

#
 sysname LNS   //给设备命名为LNS(L2TP服务端)
#
 l2tp enable  //使能L2TP功能
#
acl 3000    //创建高级ACl,匹配访问控制的源、目的IP地址段
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 //允许L2TP拨号段192.168.1.0/24访问内网192.168.2.0/24网段
 rule 10 deny ip source 192.168.1.0 0.0.0.255 //拒绝L2Tp拨号网段192.168.1.0/24访问内网其他网段
#
interface GigabitEthernet0/0/1
 ip address 202.1.1.1 255.255.255.0   //配置公网接口IP
#
interface GigabitEthernet0/0/2
 ip address 192.168.2.0 255.255.255.0  //配置内外哪个接口IP做内网网关
#
interface GigabitEthernet0/0/3
 ip address 192.168.3.0 255.255.255.0  //配置内外哪个接口IP做内网网关
#
aaa
 local-user huawei password cipher Huawei@1234    //配置L2TP拨号的账号为huawei,密码为Huawei@1234  
 local-user huawei server-type ppp               //配置账号huawei的服务类型为ppp
#
l2tp-group 1   //创建L2Tp 组
 undo tunnel authentication     //关闭隧道验证功能,Windows 7不支持隧道认证
 allow l2tp virtual-template 1  //配置LNS绑定虚拟接口模板
#
interface Virtual-Template1     //进入虚拟接口模板
 ppp authentication-mode chap       //配置认证模式为chap
 remote address pool lns           //指定地址池,为远程用户动态分配IP地址
 ip address 192.168.1.1 255.255.255.0    //配置虚接口的IP地址
 traffic-filter inbound acl 3000   //调用ACL,实现L2TP拨号后只能访问内网指定的网段
#
ip pool lns        //配置IP地址池
 network 192.168.1.0 mask 255.255.255.0     //指定给L2TP拨号用户分配的网段
 gateway-list 192.168.1.1   //配置L2TP拨号的网关IP
#
ip route-static 0.0.0.0 0.0.0.0 202.1.1.2   //配置去往公网的默认路由
#
return

客户端配置请参考:http://support.huawei.com/ehedex/hdx.do?lib=DOC1000043785DZD0503G&docid=DOC1000043785&v=06&tocLib=DOC1000043785DZD0503G&tocV=06&id=dc_cfg_l2tp_1026&tocURL=resources%252fdc%252fdc%255fcfg%255fl2tp%255f1026%252ehtml&p=t&fe=1&ui=3&keyword=%252525E8%252525BF%2525259E%252525E6%2525258E%252525A5&clientWidth=1424&browseTime=1475203895414

有图片说明

END