先说现网用的最多的场景吧，AR做LNS，PC从公网侧直接拨入

PC--------Internet-------------LNS（AR）

AR作为LNS的配置：

#                                                                               

aaa                                                                             

 authentication-scheme default                                                  

 authentication-scheme lmt                                                      

 authorization-scheme default                                                   

 accounting-scheme default                                                      

 domain default                                                                 

 domain default_admin                                                           

 domain huawei.com                                                              

  authentication-scheme lmt                                                     

 local-user admin password simple admin                                         

 local-user admin service-type http                                                                                        

 local-user z00166661@huawei.com password simple huawei                         

 local-user z00166661@huawei.com service-type ppp           ----------注意：ServiceType为PPP，不是L2TP 

#                                                                               

ip pool 1                                                                       

 gateway-list 192.168.2.1                                                       

 network 192.168.2.0 mask 255.255.255.0                                         

#                                                                               

interface Virtual-Template1                                                     

 ppp authentication-mode chap domain huawei.com       -------------如果有域名，这里一定要带上                          

 remote address pool 1                                                          

 ip address 192.168.2.1 255.255.255.0                                           

#                                                                               

interface GigabitEthernet0/0/0                                                  

 ip address 172.18.1.114 255.255.255.0                                             

#                                                                             

l2tp-group 1

 undo tunnel authentication            ---------------PC处无法配置隧道密码，所以这里去使能隧道认证

 allow l2tp virtual-template 1            ---------------和VT关联起来

 tunnel name lns

# 

PC配置：

1XP系统配置

1.11.禁用证书方式的IPSEC

WindowsXP的L2TP功能缺省启动证书方式的IPSEC，应当在注册表中禁用。

方法一：运行下面的注册表文件

(见附件)

方法二：执行regedit，找到如下位置

HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\Rasman\\Parameters

新建DWORD：

Name：ProhibitIpSec

Type：REG_DWORD

Value：1

更改注册表后重启PC。

1.22.创建L2TP客户端

1. 打开网络连接，创建一个新的连接

2. 下一步

3. 选择“连接到我的工作场所的网络”

4. 选择“虚拟专用网络连接”

5. 输入连接名

6. 选择“不拨初始连接”

7. 输入LNS与PC相连的接口地址

8. 下一步

9. 完成创建连接

10. 创建好的连接

11. 点击连接的属性，选择网络选项卡，VPN类型里选择“自动”或者“L2TP IPSEC VPN”

12. 点击安全选项卡，选择“高级（自定义设置）”，点击设置按钮

13. 数据加密：选择“可选加密（没有加密也可以连接）”

登录安全措施：选择与LNS端配置相同的协议，如不确定，可将PAP，CHAP都选上（AR支持此两种认证方式） 

其它选项也可，如数据加密类型选择“需要加密”允许协议里添加上“MS-CHAP”等选项也是可以的，此处需要根据具体的配置来选择

1.33.LNS配置说明

1.       因PC自带拨号软件没有隧道认证，故AR端也需配置不认证undo tunnel authentication

2.       因不知道PC隧道名称，故AR端配置不要加对端隧道名称allow l2tp virtual-template 1 remote lac

2 

3 

4Window7系统配置

4.11.禁用证书方式的IPSEC

WindowsXP的L2TP功能缺省启动证书方式的IPSEC，应当在注册表中禁用。

方法一：运行下面的注册表文件

方法二：执行regedit，找到如下位置

HKEY_LOCAL_MACHINE\\System\\CurrentControlSet\\Services\\Rasman\\Parameters

新建DWORD：

Name：ProhibitIpSec

Type：REG_DWORD

Value：1

更改注册表后重启PC。

4.22.创建L2TP客户端

1、打开创建网络和共享中心，创建一个新的连接

2、选择连接到工作区

3、选择使用我的Internet连接（VPN）

4、输入LNS地址202.1.1.1，并命名

5、输入认证账号和密码，连接

6.点击适配器属性，修改连接属性

7.安全选项卡，VPN连接属性选择自动或者“L2TP IPSEC VPN”。数据加密：选择“可选加密（没有加密也可以连接）”

身份验证：选择允许使用这些协议。并勾选LNS端的认证模式，如不确定，可将PAP，CHAP都选上（AR支持此两种认证方式） 。

4.33.LNS配置说明

1.       因PC自带拨号软件没有隧道认证，故AR端也需配置不认证undo tunnel authentication

2.       因不知道PC隧道名称，故AR端配置不要加对端隧道名称allow l2tp virtual-template 1 remote lac下载本文