1 配置需求及说明
1.1 适用的产品系列
本案例适用于软件平台为Comware V7系列防火墙：F100-X-G2、F1000-X-G2、F100-X-WiNet、F1000-AK、F10X0等 。
注：本案例是在F100-C-G2的Version 7.1.064, Release 9510P08版本上进行配置和验证的 。
1.2 配置需求及实现的效果
防火墙采用固定IP地址的方式部署在公司互联网出口 ， 运营商提供的IP地址为198.76.28.30/30 ， 网关为198.76.28.29 ， DNS地址为221.228.255.1 。 初步规划防火墙使用3接口接入运营商 ， 使用4接口连接内部网络 ， 内部网络使用192.168.10.0网段 。
需求：
1）要求内网终端可以自动获取到地址并可以访问互联网 。
2）公司外部办公人员需要通过拨号VPN连入公司内网 。
2 组网图

文章插图

3 配置步骤
3.1 配置外网接口
#将1/0/3设置为外网接口并设置IP地址 。
system-view
[H3C]interface GigabitEthernet 1/0/3
[H3C-GigabitEthernet1/0/3]ip address 198.76.28.30 255.255.255.252
[H3C-GigabitEthernet1/0/3]quit
3.2 配置内网接口
#配置内网接口为1/0/4接口并指定IP地址为192.168.10.1 。
[H3C]interface GigabitEthernet 1/0/4
[H3C-GigabitEthernet1/0/4] ip address 192.168.10.1 255.255.255.0
[H3C-GigabitEthernet1/0/4] quit
3.3 配置NAT地址转换
#进入1/0/3接口配置NAT动态地址转换 。
[H3C]interface GigabitEthernet 1/0/3
[H3C-GigabitEthernet1/0/3]nat outbound
[H3C-GigabitEthernet1/0/3]quit
3.4 配置到外网网关的静态路由
#配置默认路由到外网网关 。
[H3C]ip route-static 0.0.0.0 0 198.76.28.29
3.5 建立VPN拨号账户
#创建本地PPP用户vpdnuser ， 设置密码为HelLo 。
[H3C]Local-user vpdnuser class network
[H3C-luser-network-vpdnuser]password simple HelLo
[H3C-luser-network-vpdnuser]service-type ppp
[H3C-luser-network-vpdnuser]quit
3.6 开启L2TP功能
[H3C]l2tp enable
3.7 配置L2TP用户地址池
#创建用于给L2TP拨号用户分配地址的地址池 。
[H3C] ip pool aaa 192.168.100.2 192.168.100.254
[H3C] ip pool aaa gateway 192.168.100.1
3.8 创建L2TP接口
#创建接口Virtual-Template1 ， PPP认证方式为CHAP ， 并使用地址池aaa为Client端分配IP地址 。
[H3C]interface virtual-template 1
[H3C -Virtual-Template1]ppp authentication-mode chap domain system
[H3C -Virtual-Template1]ip address 192.168.100.1 24
[H3C-Virtual-Template1]remote address pool aaa
[H3C-Virtual-Template1]quit
3.9 创建L2TP组1
【华三防火墙配置实例 企业防火墙怎么配置】# 创建LNS模式的L2TP组1 ， 配置隧道本端名称为LNS ， 指定接收呼叫的虚拟模板接口为VT1 。
[H3C]l2tp-group 1 mode lns
[H3C-l2tp1]tunnel name LNS
[H3C-l2tp1]allow l2tp virtual-template 1
[H3C-l2tp1]undo tunnel authentication
[H3C-l2tp1]quit
3.10 配置外网接口、VT接口加入Untrust安全区域
#将1/0/3外网接口加入Untrust区域 。
[H3C]security-zone name Untrust
[H3C-security-zone-Untrust]import interface GigabitEthernet 1/0/3
[H3C-security-zone-Untrust]import interface Virtual-Template 1
[H3C-security-zone-Untrust]quit
3.11 配置内网接口加入Trust安全区域
#将1/0/4内网接口加入Trust区域 。
[H3C]security-zone name Trust
[H3C-security-zone-Trust]import interface GigabitEthernet 1/0/4
[H3C-security-zone-Trust]quit
3.12 配置安全策略将Trust到Untrust域内网数据放通
#创建对象策略pass 。
[H3C]object-policy ip pass
[H3C-object-policy-ip-pass] rule 0 pass