配置远程拨号用户通过L2TP over IPSec方式接入总部，并穿越NAT设备接入Internet的示例

配置远程拨号用户通过L2TP over IPSec方式接入总部，并穿越NAT设备接入Internet的示例

组网需求
如图，企业出差员工的地理位置经常发生变动，并且随时需要和总部通信和访问总部内网资源。企业部署L2TP，出差员工通过拨号接入，实现总部网关对接入的用户进行辨别和管理。
出差员工通过NAT设备接入Internet。为了给员工访问公司总部的流量进行安全保证，需要对这些流量进行IPSec加密，同时LNS设备作为企业网关，一般还部署了防火墙业务。
综上，配置L2TP over IPSec穿越NAT可以实现企业需求。由于PC上配置L2TP over IPSec配置复杂，并且要修改注册表、启动服务等各种配置，所以本示例在PC终端上使用华为公司拨号软件Secoway VPN Client。
配置L2TP over IPSec穿越NAT组网图

操作步骤
    配置LNS
    #
     sysname LNS
    #
     l2tp enable                                  //启用L2TP功能
    #
     ike local-name xp                           //IPSec穿越NAT，IKE必须使用Name的方式协商
    #
    acl number 3001                              //防火墙包过滤ACL
     rule 5 permit udp destination-port eq 1701  //允许L2TP端口号
     rule 10 permit udp destination-port eq 4500 //允许IPSec穿越NAT后使用的端口号
     rule 15 permit udp destination-port eq 500  //允许IPSec未穿越NAT的端口号
    #
    ipsec proposal 1
     esp encryption-algorithm aes-256    
    #
    ike peer xp v1     //配置IKE对等体及其使用的协议时，不同的软件版本间的配置有差异：V200R008之前的版本命令为ike peer peer-name [ v1 | v2 ]；V200R008及之后的版本命令为ike peer peer-name和version { 1 | 2 }，缺省情况下，对等体IKEv1和IKEv2版本同时启用。设备发起协商时会使用IKEv2协议，响应协商时则同时支持IKEv1协议和IKEv2协议。如果设备需要使用IKEv1协议，则可以执行命令undo version 2
     exchange-mode aggressive                    //使用野蛮模式，否则无法穿越NAT，V200R005C00以后的版本不需要进行该配置
     pre-shared-key cipher %^%#JvZxR2g8c;a9~FPN~n'$7`DEV&=G(=Et02P/%\*!%^%#                //配置预共享密钥认证字为“huawei”，以密文显示，该命令在V200R003C00以前的版本中为“pre-shared-key huawei”，以明文显示
     local-id-type name                          //指定IKE协商时本端ID类型为名称形式。V200R008及之后的版本，name参数修改为fqdn
     nat traversal                               //使能NAT穿越功能。V200R008及之后的版本，设备默认使能NAT穿越功能，不支持配置此命令
    #
    ipsec policy-template xptemp 2               //使用模板方式，方便接入多台PC发起的协商
     ike-peer xp                                                                    
     proposal 1
    #
    ipsec policy xp 1 isakmp template xptemp     //指定安全策略中引用策略模板
    #
    ip pool lns                                  //创建IP地址池，名称为lns，为接入用户分配IP地址
     gateway-list 192.168.1.1
     network 192.168.1.0 mask 255.255.255.0
    #
    aaa                                         //配置L2TP拨入的用户名密码
     local-user huawei password cipher %^%#_<`.CO&(:LeS/$#F\H0Qv8B]KAZja3}3q'RNx;VI%^%#
     local-user huawei privilege level 0
     local-user huawei service-type ppp       
    #                                                                               
    firewall zone untrust                                                           
     priority 1                                                                     
    #                                                                               
    firewall zone trust                                                             
     priority 15                                                                    
    #
    firewall interzone trust untrust                                                
     firewall enable                                                                
     packet-filter 3001 inbound              //配置防火墙，使能包过滤
    #
    interface GigabitEthernet1/0/0
     ip address 1.1.1.1 255.255.255.0
     ipsec policy xp                         //绑定IPSec策略
     zone untrust
    #
    interface Virtual-Template1              //创建L2TP组，为建立L2TP隧道配置参数
     ppp authentication-mode chap
     remote address pool lns
     ip address 192.168.1.1 255.255.255.0
    #
    l2tp-group 1
     undo tunnel authentication              //PC拨入，建议使用不认证的方式
     allow l2tp virtual-template 1
    #
    ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
    #
    return

配置PC（只给出一个终端PC的配置示例）
# 创建L2TP网络连接。
双击Secoway VPN Client，打开程序，单击“新建”，进入“新建连接向导”。

配置注意事项
配置过程中，需要注意以下几点：
    配置L2TP组时，由于企业员工使用PC接入，不支持配置隧道认证功能。
    拨号软件配置需与LNS配置一致，否则可能造成IPSec和L2TP建立失败。
    由于企业员工与LNS之间存在NAT设备，如需使用IPSec进行保护，必须选择野蛮模式来实现NAT穿越，同时需要设置IKE使用Name方式进行协商。（V2R5C00之后版本没有该限制。）
    LNS上部署防火墙业务时，需要将L2TP和IPSec使用的端口号（1701、4500、500）作为允许项加入到包过滤ACL中。

VPN配置案例汇总、VPN汇总（列表、list、全）vpnlist
http://www.zh-cjh.com/wenzhangguilei/1193.html