安卓l2tp第三方客户端（移动办公人员如何通过Android手机发起L2TP隧道通信总部）

企业出差员工的地理位置经常发生变动，并且随时需要和总部通信和访问总部内网资源，直接通过Internet网络虽然可以访问总部网关，但总部网关无法对接入的用户进行辨别和管理，这时将总部网关部署为LNS，出差员工通过Android手机发起L2TP隧道连接，则可以在出差员工和总部网关之间建立虚拟的点到点连接。

（用VSS做的图会比eNSP模拟器做的图再截图清晰许多，更美观许多）

配置思路

在Phone与总部上配置L2TP方式可以实现上述需求。可采用如下思路配置：

1. 在Router上配置L2TP，实现与Phone对接。

2. 在Phone上配置L2TP，实现与Router对接。Phone的配置参数需要与Router的参数对应。

配置文件

<Huawei>sys

Enter system view, return user view with Ctrl Z.

[Huawei]sysn Router

[Router]l2tp enable //使能L2TP功能

[Router]acl number 2001

[Router-acl-basic-2001]rule 5 permit source 192.168.1.0 0.0.0.255 //配置ACL，进行NAT转换使用，将L2TP分配的地址进行NAT转换

[Router-acl-basic-2001]q

[Router]IP pool lns //创建IP地址池lns，为接入用户分配IP地址

Info: It's successful to create an IP address pool.

[Router-ip-pool-ForAndroidPhone]gateway-list 192.168.1.1

[Router-ip-pool-ForAndroidPhone]network 192.168.1.0 mask 255.255.255.0

[Router-ip-pool-ForAndroidPhone]q

[Router]aaa //配置L2TP拨入的用户名密码

[Router-aaa]authentication-scheme ForAndroidPhone

Info: Create a new authentication scheme.

[Router-aaa-authen-ForAndroidPhone]domain KBxiaowangguan.com

Info: Success to create a new domain.

[Router-aaa-domain-kbxiaowangguan.com]authentication-scheme Test

Error: The authentication scheme does not exist. //应用失败，必须与AAA视图下身份验证方案名称一致

[Router-aaa-domain-kbxiaowangguan.com]authentication-scheme ForAndroidPhone

[Router-aaa-domain-kbxiaowangguan.com]q

[Router-aaa]local-user vpdnuser password cipher woyaoyuanchuang //添加VPN拨入使用的用户名和密码

Info: Add a new user.

[Router-aaa]local-user vpdnuser privilege level 0

[Router-aaa]local-user vpdnuser service-type ppp

[Router-aaa]q

[Router]int g0/0/1

[Router-GigabitEthernet0/0/1]ip address 200.1.1.5 24 //集团总部公网IP

[Router-GigabitEthernet0/0/1]nat outbound 2001 //配置NAT功能，使得Android用户实现公网访问功能

[Router-GigabitEthernet0/0/1]q

[Router]int Virtual-Template 1 //创建VT虚拟接口模板VT1，配置拨号参数

Sep 14 2018 22:40:07-08:00 Router %
IFPDT/4/IF_STATE(l)[0]:Interface Virtual-Template1 has turned into UP state.

[Router-Virtual-Template1]ppp authentication-mode chap domain KBxiaowangguan.com //配置认证方式时必须携带域名

[Router-Virtual-Template1]remote address pool lns //引入IP地址池，PPP认证通过后，为用户分配IP地址

[Router-Virtual-Template1]ppp ipcp dns 10.1.1.8 //分配DNS网关，以便Android用户使用域名访问外网资源

[Router-Virtual-Template1]ip address 192.168.1.1 24

[Router-Virtual-Template1]q

[Router]l2tp-group 1 //创建L2TP组，配置L2TP连接参数

[Router-l2tp1]undo tunnel authentication //手机拨号拨入，使用不认证的方式

[Router-l2tp1]allow l2tp virtual-template 1

[Router-l2tp1]q

[Router]ip route-static 0.0.0.0 0.0.0.0 200.1.1.1 //在Router上配置接口的IP地址和到对端的静态路由，保证两端路由可达

[Router]q

移动办公人员Android手机配置

1、手机（华为P系列手机）主页面——>设置——>更多

2、点击——>VPN——>添加VPN网络

3、如图输入相应选项，密码为Router上配置的vpdnuser的密码woyaoyuanchuang

测试结果

在Android手机上启用VPN连接，可以看到VPN连接成功。此时，在Router上执行命令display l2tp tunnel，可以看到L2TP隧道建立成功，且remote address为223.1.1.8。

总结：以上为今天KB小网管分享的自建VPDN服务器，让移动办公人员通过Android手机建立L2TP隧道连接集团总部的案例分享。觉得写得不错帮忙转发，关注KB小网管，每日一篇IT实用技能分享。有什么疑问，欢迎在评论区留言。