最近公司需要配置VPN，而用SSLVPN面临授权不够的问题，为了方便大家使用，就选择了L2TPVPN的方式。但在实际模拟操作的过程中，出现了一些疑点，现记录下来。
一、拓扑
拓扑是模拟公司总部网络，其中有台单独的设备作为VPN的认证网关，即图中的VPN，是旁挂核心交换机的组网方式。
二、前提
出口防火墙上，要做好映射。也就是要将内网中的VPN设备IP（1921681010）映射到公网上，让公网能够访问。此处就是在FW设备上做了一个
atserver0global1125482160i
side1921681010。
总部内网要通，路由要全，出口要有NAT。分支和总部的两个内网不能通（192168218186是不能Pi
g通192168100和1921682000网段的）。
三、配置L2TPVPN
sy
i
terfaceVirtualTemplate1
新建一个虚拟接口VirtualTemplate1
fauthe
ticatio
modechappap则用pap
aliasVirtualTemplate1ipaddress11112552552550随便一个即可remoteaddresspool0址池的定义在AAA内aaa
认证模式用chap，如果对方不支持chap，
忽略给接口一个IP，此IP不能和其他冲突，
调用给拨入设备分配的地址池。地
ippool012121210121212100定义地址池从12网段的10开始，到100结束
localuservp
passwordcipervp
test123
localuservp
servicetypeppp
配置用户名和密码，不多说了
l2tpgroup2
配置l2tp组2
u
dotu
elauthe
ticatio
起tu
el认证的
如果用电脑自带的VPN拨号，电脑是无法
所以此处关闭tu
el的认证
allowl2tpvirtualtemplate1数，官方配置文档上
不多说了，l2tp的配置，关于后面的参
有解释
l2tpe
able了
这条命令是开启L2TP功能的，千万不要忘
四、几个注意事项：
1、l2tp分配给客户的地址池pool里的地址用不用和VirtualTemplate1的IP地址在一个网段上？
不用必须一致。这两个地址都可以随便定义，但最好不要跟内网地址段相同。如果和内网地址段相同，则需要在VPN上开启虚拟转发功能（自行查资料）。建议定义一个很奇怪的地址段。
2、l2tp分配给客户的地址，没有网关啊，怎么和内网通信？
没网关不要紧。但总部所有网段都要有到1212120这个网段的路由。不然客户端是不能访问到相应的内网地址的。比如此图CoreSW上就有iproutestatic121212025525525501921681010
3、l2tpvp
设备必须要旁挂么？
f不是的。VPN组网方式一般采用直连，在出口路由或出口防火墙上配置。此处我只是模拟一种出口设备不支持VPN而且网络已经不能变动的情况，采用旁挂比较灵活。
4、防火墙的策略要开。
此处由于没用路由器，用防火墙代替的路由器，所以防火墙策略我全开了，只是模拟。实际r