大雄，哆啦A梦，静香在同一所大学。。。 

（图片来自网络）

有天，静香对大雄说：图书馆又新增了多台服务器了，而且现在学校方面希望外网能访问内网所有的服务器，还要实现对老师和学生访问服务器的权限管理，因为服务器可是很贵的，里面有很多资源，不是谁都可以随便看的，一定要控制好权限，我们服务器都是一个内网的，为了防止外网的攻击，有专业的V7防火墙进行了保护呢，之前配的是NAT内部服务器，现在只能想别的招了。

大雄听完有点为难了，压根不知道什么鬼。专业？V7防火墙？干什么用的？为了掩饰自己其实是一脸懵逼样，放言：没问题，给我一天时间，给你一个解决方案！

静香给了大雄一个香吻，觉得大雄棒棒的。

回到寝室转头就向好朋友哆啦A梦求助。

大雄：哆啦A梦，静香让我帮她解决一个网络问题，可是我不会呀，赶紧变个魔法，快点！

哆啦A梦：你都大学生了，怎么还是这么笨，我这次不会再帮你了，你自己解决！

大雄不断的求不断的跟着哆啦A梦，哆啦A梦摇着头，觉得烦了。

哆啦A梦：说实话，我也不懂，不会。

大雄：别逗我了，赶紧的，你可是本世纪最高科技的产品呢，这你能搞不定？

哆啦A梦：哎，跟你说实话吧，我这几年也没有研究这些高科技产品，主要是没有时间呀，没看见我忙着谈恋爱么！

大雄：额。。。。。。

哆啦A梦：把你现在了解的情况和需求完整跟我讲清楚，别的不说，你这个问题看我哆啦A梦怎么给你搞定的！

大雄：不愧是高智商机器猫！

哆啦A梦：去，拿手机添加这个微信公众号：华三soho服务大本营，问题马上就能解决！

大雄：我去，你是来搞笑的吗？

时间也不多了，大雄立马添加微信公众号，果然有：问问——人工服务

大雄简单明了的跟客服描述了需求并且按照客服要求把现有配置发过去了，没想到才过了几分钟，大雄就收到了H3C工程师客服反馈的邮件：

您好大雄，根据您的需求，建议使用L2TP VPN实现外网到内网服务器的全部访问，要控制访问权限的话，可以使用多个域来进行控制，不同的权限将获得不同的ip网段，再配合防火墙的域间策略进一步控制访问内网的服务器资源问题。

分如下几步：

1、给学生划分域为system（默认域），划分的ip网段是：10.0.0.10 -----10.0.0.100

  给老师规划tech域，划分的ip网段是：10.1.1.10 -----10.1.1.100

//V7防火墙无法在域下创建地址池，但是可以在域下赋予地址范围池的属性

system

ippool 1 10.0.0.10  10.0.0.100

ippool 2 10.1.1.10  10.1.1.100

 #

domain tech

 authorization-attribute ip-pool 2

 authentication ppp local

#

domain system

 authorization-attribute ip-pool 1

 authentication ppp local

2、创建L2TP vpn登入的账号和密码，用户和密码都是user服务类型是ppp

local-user user class network

 password simple user

 service-type ppp

3 、开启L2TP功能，并且开启L2TP用户组，因为是PC拨入，使用本段和对端的隧道名都不写，并且取消隧道验证，L2TP用户组一定要为1，因为这样的话就可以不用检查拨入电脑的用户名了。

l2tp enable

#

l2tp-group 1 mode lns

 allow l2tp virtual-template 1

 undo tunnel authentication

4、创建L2TP的虚拟接口，可以使用chap验证或者pap验证，认证域不指定，也不需要绑定下发的地址，就是绑定的话也是没有用的，因为是域下被赋予的地址池优先级高于在 Virtual-Template1绑定的地址池。

interface Virtual-Template1

 ppp authentication-mode chap

 ip address 10.0.0.1 255.255.255.0

5、最后一步千万不能忘记哦，V7防火墙是有安全域概念的，virtual-template 1接口是要加入安全域的，而且服务器网段的域和virtual-template 1接口所属域是要放通的，默认域间的互访都是禁止的，当然这个到底要放通什么，详细规则肯定要根据老师和学生要访问哪些服务器的ip或者哪些端口号而定的啦，比如现在是要求老师可以访问内网服务器192.168.0.1的服务器，学生则不可以。

security-zonename l2tp

importinterface Virtual-Template1

#

acl advanced 3000

 rule 0 permit ip source 10.1.1.0 0.0.0.255 destination 192.168.0.1 0

 rule 5 deny ip source 10.0.0.0 0.0.0.255  destination 192.168.0.1 0

#

zone-pairsecurity source l2tp destination Trust

 packet-filter 3000

测试时首先需要保证L2TP客户端和防火墙路由可达，然后使用L2TP客户端拨号，如果账户输入user，就可以获得10.0.0.10后的IP；如果账户输入user@tech的话，就可以获取10.1.1.10后的IP，如下图：

老师测试结果：

解决方案有咯，大雄心里美滋滋的，我要在静香的世界里成为英雄剑士，我要让女神再次崇拜我。

华三SOHO服务大本营

- - - - - - - - - - - - - - - - - - - -

关注我吧｜给你更多体验

微信ID：H3C_SOHO