大家好，我是「极客运维社」飞哥！深耕企业组网和网络设备领域多年，每天为你拆解：

1、交换机/路由器疑难故障处理方案

2、网络架构优化与安全防护实战技巧

3、中小企业低成本智能组网案例解析

点击右上角【关注】每日更新深度技术指南，

长按【收藏】 搭建你的专属运维知识库，

点亮文末小红心，激励飞哥创作更多硬核内容。

特别提醒：网络运维问题常有突发性，建议将本文加入收藏，遇到设备配置、链路故障、卡顿、数据丢包等问题时，随时可调取解决方案！

实验要求

1、杭州分公司内网客户端，能够接入西安总公司内网，只限总分之间

2、两地客户端不需要拨号，两地自动打通内部网络

一、网络拓扑图

二、配置过程

1、LAC端配置

#LAC
sysname LAC
l2tp enable

interface Virtual-Template1
 ppp chap user huawei
 ppp chap password cipher wyf123
 ip address ppp-negotiate
 l2tp-auto-client enable

interface GigabitEthernet 0/0/0
 ip address 192.168.12.1  255.255.255.0

interface GigabitEthernet 0/0/1
 ip address 192.168.11.1 255.255.255.0

l2tp-group 1
 tunnel password cipher wyff123
 tunnel name lac
 start l2tp ip 192.168.10.3   fullusername huawei

ip route-static 192.168.10.3  255.255.255.255 192.168.12.2
ip route-static 192.168.4.0 255.255.255.0 Virtual-Template1
ip route-static 192.168.5.0 255.255.255.0 Virtual-Template1
ip route-static 192.168.7.0 255.255.255.0 Virtual-Template1

2、LNS端配置

#lns
sysname lns

l2tp enable

ip pool 1
 gateway-list 10.1.1.1
 network 10.1.1.0 mask 255.255.255.0
 q
aaa
 local-user huawei password cipher wyf123
 local-user huawei privilege level 15
 local-user huawei service-type ppp
 q
interface Virtual-Template1
 ppp authentication-mode chap
 remote address pool 1
 ip address 10.1.1.1 255.255.255.0
 q
interface GigabitEthernet 0/0/0
 ip address 192.168.10.3  255.255.255.0
 q
interface GigabitEthernet 0/0/1
 ip address 192.168.13.1 255.255.255.0
 q
l2tp-group 1
 allow l2tp virtual-template 1 remote lac
 tunnel password cipher wyff123
 tunnel name lns
 q
ip route-static 192.168.12.1  255.255.255.255 192.168.10.2
ip route-static 192.168.2.0 255.255.255.0 Virtual-Template1
ip route-static 192.168.3.0 255.255.255.0 Virtual-Template1
ip route-static 192.168.6.0 255.255.255.0 Virtual-Template1

三、测试

四、查看建立的隧道信息

查看接口信息

[LAC]dis ip interface brief 
*down: administratively down
^down: standby
(l): loopback
(s): spoofing
The number of interface that is UP in Physical is 5
The number of interface that is DOWN in Physical is 1
The number of interface that is UP in Protocol is 5
The number of interface that is DOWN in Protocol is 1

Interface                         IP Address/Mask      Physical   Protocol  
GigabitEthernet0/0/0              192.168.12.1/24      up         up        
GigabitEthernet0/0/1              192.168.11.1/24      up         up        
GigabitEthernet0/0/2              unassigned           down       down      
LoopBack0                         1.1.1.1/24           up         up(s)     
NULL0                             unassigned           up         up(s)     
Virtual-Template1                 10.1.1.254/32        up         up        
[LAC]

五、注意事项：

1、网络连通性

• IP 地址规划：确保本地网络的 IP 地址与对端 LNS（L2TP Network Server，L2TP 网络服务器）的 IP 地址没有冲突。合理规划内部子网和公网 IP 地址，避免出现地址重叠导致网络不通。
• 路由可达性：要保证 LAC 能够通过路由表访问到 LNS 的 IP 地址。可以通过静态路由或动态路由协议（如 OSPF、BGP 等）来实现。如果使用静态路由，需正确配置下一跳地址；若使用动态路由协议，要确保协议配置正确且邻居关系正常建立。
• 物理连接：检查 LAC 设备与网络的物理连接是否正常，包括网线是否插好、接口是否正常工作等。可以通过查看接口的状态指示灯或使用命令行工具（如 display interface 等）来确认接口状态。

2、L2TP 配置

• L2TP 功能开启：在 LAC 设备上要确保 L2TP 功能已经开启。通常使用 l2tp enable 命令来启用 L2TP 服务，否则无法建立 L2TP 隧道。
• 隧道参数配置：隧道密码：设置的隧道密码要与 LNS 端保持一致，且使用加密方式存储，避免密码泄露。例如，使用 tunnel password cipher 命令来设置加密的隧道密码。隧道名称：隧道名称在配置中可以作为标识，但要注意与 LNS 端的隧道名称配置不冲突，确保隧道能够正确匹配。LNS 地址：准确配置 LNS 的 IP 地址，确保 LAC 能够找到 LNS 建立隧道。可以使用 start l2tp ip 命令指定 LNS 的 IP 地址。
• L2TP 组配置：如果配置了多个 L2TP 组，要注意组的编号和参数的唯一性，避免配置冲突。不同的 L2TP 组可以用于连接不同的 LNS 或满足不同的业务需求。

3、PPP 配置

• 认证方式和信息：认证方式：选择合适的 PPP 认证方式（如 PAP、CHAP 等），并与 LNS 端保持一致。通常 CHAP 认证比 PAP 认证更安全，因为 CHAP 采用挑战 - 响应机制，密码不以明文形式传输。用户名和密码：配置的 PPP 用户名和密码要与 LNS 端的认证信息一致。使用 ppp chap user 和 ppp chap password cipher 命令分别设置用户名和加密后的密码。
• IP 地址协商：明确 PPP 连接的 IP 地址获取方式。可以选择 ip address ppp - negotiate 让 LAC 和 LNS 协商分配 IP 地址，也可以根据需求进行静态 IP 地址配置，但要确保与 LNS 端的配置兼容。

4、安全配置

• 防火墙策略：检查 LAC 设备和网络中的防火墙策略，确保允许 L2TP 协议（UDP 端口 1701）和 PPP 协议（通常是 TCP 或 UDP 端口）的数据包通过。如果防火墙策略过于严格，可能会导致 L2TP 隧道无法建立。
• 数据加密：考虑对 L2TP 隧道中的数据进行加密，以提高数据传输的安全性。可以结合 IPSec 等加密技术来实现。

5、日志和监控

• 日志记录：开启 LAC 设备的日志记录功能，记录 L2TP 隧道的建立、断开、认证等相关信息。通过查看日志，可以及时发现和解决配置过程中出现的问题。
• 监控和测试：定期对 L2TP 连接进行监控和测试，检查隧道的状态、数据传输情况等。可以使用命令行工具（如 display l2tp session 等）查看 L2TP 会话信息，也可以使用网络监控工具监测网络流量和连接状态。

文中关于三层网络架构组网部分，没有涉及。具体可以在文章板块查找详细内容 来查看，或点击如下连接

三层架构配置总失败？eNSP保姆级搭建指南（附拓扑+排错命令集）

特别提醒：

1、网络运维问题常有突发性，建议关注加收藏，遇到设备配置、链路故障、卡顿、数据丢包等问题时，随时可调取解决方案！

2、文中实验环境为eNSP搭建，已经打包，如有需要，关注+收藏 ，私信发您！

3、码字不易，转载请注明出处，谢谢大家了。