在FW1上,将接口g1/0/0添加进去trust区域
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0
在放通安全策略
在FW2上配置ip
[USG6000V1]int g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 20.1.1.1 24
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0
FW3配置ip
[USG6000V1]interface g1/0/0
[USG6000V1-GigabitEthernet1/0/0]ip address 20.1.1.2 24
[USG6000V1]interface g1/0/1
[USG6000V1-GigabitEthernet1/0/1]ip address 192.168.1.254 24
[USG6000V1]firewall zone untrust
[USG6000V1-zone-untrust]add interface GigabitEthernet 1/0/0
[USG6000V1]firewall zone trust
[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1
第一步:建立pppoe连接,设置拨号接口VT接口
在FW1上配置
Client
1、创建拨号接口Dialer 1
[PPPoE Client]interface Dialer 1
2.设定拨号用户名user1
[PPPoE Client-Dialer1]dialer user user1
3.创建拨号组group 1
[PPPoE Client-Dialer1]dialer-group 1
4.设定拨号程序捆绑包bundle 1
[PPPoE Client-Dialer1]dialer bundle 1
5.设定IP地址获取方式为PPP邻居 分配,PPP邻居通过IPCP协议进行分配,即PPP的NCP协商过程所用协议
[PPPoE Client-Dialer1]ip address ppp-negotiate
6.设置安全认证
[PPPoE Client-Dialer1]ppp chap user user1
7.设置密码为Password123
[PPPoE Client-Dialer1]ppp chap password cipher Password123
8.配置拨号访问控制列表,允许所有IPv4报文 通过拨号口,数字1必须与拨号组编号相同。
[PPPoE Client]dialer-rule 1 ip permit
9.进行地址绑定
[PPPoE Client]int g 1/0/0
在物理接口上启动PPPoE Client程序,绑定拨号程序包,编号为1
[PPPoE Client-GigabitEthernet1/0/0]pppoe-client dial-bundle-number 1
在FW2上配置
Server
1.创建vt 接口1(Virtual-Template 1)
[NAS]interface Virtual-Template 1
2.配置接口的认证
[NAS-Virtual-Template1]ppp authentication-mode chap
3.配置接口的IP地址(下面的地址是随便写的)
[NAS-Virtual-Template1]ip address 2.2.2.2 24
4.将接口添加到区域
[NAS]firewall zone dmz
[NAS-zone-dmz]add interface Virtual-Template 1
1.将VT接口绑定在物 理接口
[NAS-GigabitEthernet1/0/0]pppoe-server bind virtual-template 1
2.加入aaa认证
[NAS]aaa
3.加入认证域
[NAS-aaa]domain default
4.设定认证域的服务类型为l2tp
[NAS-aaa-domain-default]service-type l2tp
5.设定用户名user1,密码 Password123
[NAS]user-manage user user1 domain default
[NAS-localuser-user1]password Password123
第二步:建立L2TP隧道
LAC配置
在FW2上配置
1.启动协议
[NAS]l2tp enable
2.出来l2拓扑组group 1
[NAS]l2tp-group 1
3.开启隧道认证
[NAS-l2tp-1]tunnel authentication
4.设置隧道密码Hello123
[NAS-l2tp-1]tunnel password cipher Hello123
5. 设置隧道名称lac
[NAS-l2tp-1]tunnel name lac
6.设定LAC模式,以及LNS地址, 以及认证用户名的方式为“完全用户认证”,并指定用户名,终止就可以选择ip,也可以选择lns的域名
[NAS-l2tp-1]start l2tp ip 20.1.1.2 fullusername user1
LNS配置
在FW3上配置
[USG6000V1]ip pool l2tp
设置地址池
[USG6000V1-ip-pool-l2tp]section 0 172.16.0.2 172.16.0.100
加入aaa认证,修改服务类型
[USG6000V1]aaa
[USG6000V1-aaa]service-scheme l2tp
[USG6000V1-aaa-service-l2tp]ip-pool l2tp
[USG6000V1-aaa]domain default
设置用户加入类型
[USG6000V1-aaa-domain-default]service-type l2tp
[USG6000V1]user-manage user user1 domain default
密码信息
[USG6000V1-localuser-user1]password password123
配置VT接口
[FW3-Virtual-Template1]interface Virtual-Template1
选择chap 认证模式
[FW3-Virtual-Template1]ppp authentication-mode chap 在选择y
配置IP,不可冲突
[FW3-Virtual-Template1]ip address 172.16.0.1 24
设置服务类型
[FW3-Virtual-Template1]remote service-scheme l2tp
加入到安全区域当中
[FW3]firewall zone dmz
[FW3-zone-dmz]add interface Virtual-Template1
[FW3]l2tp enable
[FW3]l2tp-group 1
[FW3-l2tp-1]allow l2tp virtual-template 1 remote lac domain default
开启隧道
[FW3-l2tp-1]tunnel authentication
[FW3-l2tp-1]tunnel password cipher hello123
放通安全区域
以上内容仅供参考
以上内容仅供参考
以上内容仅供参考