一、实验拓扑:

二、实验配置

1.LAC的配置

基础配置:

[LAC]int g 0/0/0
[LAC-GigabitEthernet1/0/0]ip address 192.168.0.1 24

[LAC]int g 1/0/0
[LAC-GigabitEthernet1/0/0]ip address 10.1.1.254 24
[LAC-GigabitEthernet1/0/0]int g1/0/1
[LAC-GigabitEthernet1/0/1]ip ad 20.1.1.1 24

设定安全区域

[LAC]firewall zone trust 
[LAC-zone-trust]add int g 1/0/0
[LAC]firewall zone untrust 
[LAC-zone-untrust]add int g1/0/1

启动L2TP协议:
[LAC]l2tp enable     ----开启L2TP协议

2.创建L2TP组：

3.配置VT接口：

[LAC]interface Virtual-Template 1
[LAC-Virtual-Template1]ppp authentication-mode chap   ------选择认证方式为chap认证
[LAC-Virtual-Template1]ppp chap user user001         -------用户名
[LAC-Virtual-Template1]ppp chap password cipher Password123        ------用户密码
[LAC-Virtual-Template1]ip address ppp-negotiate        ------对端分配IP地址
[LAC-Virtual-Template1]call-lns local-user user001 binding l2tp-group l2tp    -----将VT1接口与l2tp组绑定

安全策略选择全放通
[LAC]security-policy 
[LAC-policy-security]default action permit 

4.LNS配置：

IP配置：
[LNS]int g0/0/0
[LNS-GigabitEthernet1/0/0]ip add 192.168.0.2 24
[LNS]int g1/0/0
[LNS-GigabitEthernet1/0/0]ip add 20.1.1.2 24
[LNS-GigabitEthernet1/0/0]int g1/0/1
[LNS-GigabitEthernet1/0/1]ip add 192.168.1.254 24安全区域：[LNS]firewall zone trust 
[LNS-zone-trust]add int g 1/0/0
[LNS]firewall zone untrust 
[LNS-zone-untrust]add int g1/0/0

5. 新建用户：

6.新建L2TP组：

7.新建地址池: 

8.修改安全策略：

 9.添加缺省路由：

 10.会话建立成功：

 

11.在LAC上添加NAT策略

在LAC上必须增加一条出接口方式的源NAT策略 ，目的是为了让LNS的回程报文能够顺利发送到LAC上

[LAC]nat-policy
[LAC-policy-nat]rule name a
[LAC-policy-nat-rule-a]source-zone trust 
[LAC-policy-nat-rule-a]source-address 10.1.1.0 24
[LAC-policy-nat-rule-a]egress-interface Virtual-Template 1
[LAC-policy-nat-rule-a]action source-nat easy-ip 

三、实验验证：