l2tp端口号

l2tp端口号

1. VPN的端口号是多少

如果是windows VPN sever:PPTP 1723L2TP 1701Internet Authentication Service(Internet 验证服务)Internet Authentication Service (IAS) 对使用 VPN 设备、远程访问设备 （RAS） 或 802.1X 无线和以太网/交换机接入点连接到网络（LAN 或远程）的用户执行集中身份验证、授权、审核和记帐。

IAS 实现了 Internet 工程任务组 （IETF） 标准 RADIUS 协议（此协议启用异类网络访问设备）。系统服务名称 IAS应用程序协议 协议 端口 Legacy RADIUSUDP1645Legacy RADIUSUDP1646 VPN属于远程访问技术，简单地说就是利用公用网络架设专用网络。

VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现。

VPN有两种协议：1、点对点隧道协议（PPTP） ,PPTP协议使用 1723 TCP端口号。2、第2层隧道协议（L2TP） ,L2TP协议使用 500 TCP端口号。

2. 介绍常用的端口号

原发布者：刘龙飞456

常见的网络协议\端口号一.端口的分类端口的分类根据其参考对象不同有不同划分方法，如果从端口的性质来分，通常可以分为以下三类：（1）公认端口（WellKnownPorts）：这类端口也常称之为"常用端口"。这类端口的端口号从0到1024，它们紧密绑定于一些特定的服务。通常这些端口的通信明确表明了某种服务的协议，这种端口是不可再重新定义它的作用对象。例如：80端口实际上总是HTTP通信所使用的，而23号端口则是Telnet服务专用的。这些端口通常不会像木马这样的黑客程序利用。（2）注册端口（RegisteredPorts）：端口号从1025到49151。它们松散地绑定于一些服务。也是说有许多服务绑定于这些端口，这些端口同样用于许多其他目的。这些端口多数没有明确的定义服务对象，不同程序可根据实际需要自己定义。（3）动态和/或私有端口（Dynamicand/orPrivatePorts）：端口号从49152到65535。如果根据所提供的服务方式的不同，端口又可分为"TCP协议端口"和"UDP协议端口"两种。因为计算机之间相互通信一般采用这两种通信协议。上面所介绍的"连接方式"是一种直接与接收方进行的连接，发送信息以后，可以确认信息是否到达，这种方式大多采用TCP协议；另一种是不是直接与接收方进行连接，只管把信息放在网上发出去，而不管信息是否到达，这种方式大多采用UDP协议，IP协议也是一种无连接方式。二.常见的网络协议网际层协议：包括：IP协议、ICMP协议、ARP协议、RARP协议。传输层协议：TCP

18、华为 华三中小型企业网络 VPN部署 远程办公接入

VPN部署【L2TP Over ipsec】

说明：在VPN上面，我们希望与分部建立VPN，保证与分部的财务部正常通信，另外还提供L2TP Over ISPEC功能，方便远程接入访问内部服务器等。当然我们也可以做详细的控制，根据需求而定。

9.5.1 部署L2TP over ipsec功能

（1）定义用户名与密码[USG-GW]aaa[USG-GW-aaa]local-user ccieh3c password cipher ccieh3c[USG-GW-aaa]local-user ccieh3c service-type ppp说明：定义了一个用户名与密码。

（2）定义地址池[USG-GW-aaa]ip pool 1 192.168.24.2 192.168.24.254说明：防火墙的地址池在AAA下定义的，定义了一个网段为192.168.24.0

（3）定义虚拟模板[USG-GW]interface Virtual-Template 1[USG-GW-Virtual-Template1]ip address 192.168.24.1 24[USG-GW-Virtual-Template1]ppp authentication-mode chap[USG-GW-Virtual-Template1]remote address pool 1说明：这里定义了 一个地址，然后定义认证方式与调用地址池。

（4） 开启L2TP功能[USG-GW]l2tp enable[USG-GW]l2tp-group 1[USG-GW-l2tp1]allow l2tp virtual-template 1[USG-GW-l2tp1]undo tunnel authentication说明：该功能开启了L2TP功能，并且调用了虚拟模板，不过注意的是一定要关闭隧道认证，因为那是给硬件客户端用的。

（5）IKE定义[USG-GW]ike proposal 10[USG-GW-ike-proposal-10]encryption-algorithm 3des-cbc[USG-GW-ike-proposal-10]dh group2

[USG-GW]ike peer l2tp[USG-GW-ike-peer-l2tp]pre-shared-key ccieh3c.taobao.com[USG-GW-ike-peer-l2tp]ike-proposal 10[USG-GW-ike-peer-l2tp]undo version 2说明：定义了一个IKE的策略，不使用默认的，这样无论是移动客户端还是PC都可以拨入，然后定义了一个对等体，定义了 预共享密钥，关联Proposal，注意关闭V2，L2TP要用V1搞定。

（6）IPSEC定义[USG-GW]ipsec proposal l2tp[USG-GW-ipsec-proposal-l2tp]encapsulation-mode transport[USG-GW-ipsec-proposal-l2tp]esp authentication-algorithm sha1[USG-GW-ipsec-proposal-l2tp]esp encryption-algorithm 3de说明：定义了一个IPSEC策略，并且定义一个模式必须为transport，然后策略建议是3DES与SHA1，方便主流的操作系统协商。

（7）ACL定义【必须匹配】[USG-GW] acl 3003[USG-GW-acl-adv-3003]rule permit udp source-port eq 1701说明：IPSEC下面必须用ACL配置。匹配的是L2TP的端口号

（8）定义动态策略 ISPEC模板[USG-GW]ipsec policy-template l2tp 1000[USG-GW-ipsec-policy-template-l2tp-1000]security acl 3003[USG-GW-ipsec-policy-template-l2tp-1000]ike-peer l2tp[USG-GW-ipsec-policy-template-l2tp-1000]proposal l2tp说明：定义一个动态策略IPSEC模板，因为L2TP的拨入是提供给任何人拨入的，所以不知道具体地址，必须用动态来配置。

（9）定义静态策略模板关联动态，调用在接口[USG-GW]ipsec policy vpn_1 1000 isakmp template l2tp[USG-GW]ipsec policy vpn_2 1000 isakmp template l2tp说明：必须关联2个ipsec policy，。

[USG-GW]int g0/0/1[USG-GW-GigabitEthernet0/0/1]ipsec policy vpn_1

[USG-GW-GigabitEthernet0/0/1]int g0/0/2[USG-GW-GigabitEthernet0/0/2]ipsec policy vpn_2说明：在接口调用，因为一个接口只能调用一个IPSEC 策略，所以这里定义了2个。

（10）创建Zone，关联虚拟接口[USG-GW]firewall zone name l2tp[USG-GW-zone-l2tp]set priority 30[USG-GW-zone-l2tp]add interface Virtual-Template 1

（11）放行内网到VPN，VPN到内网的流量[USG-GW]firewall packet-filter default permit interzone trust l2tp说明：这里建议单独用一个Zone关联虚拟VPN接口，然后呢，双向放行该Zone的策略，这样的话，不会影响其他流量。

（12）VPN需要放行的流量[USG-GW]policy interzone isp_dx local inbound[USG-GW-policy-interzone-local-isp_dx-inbound]policy 0[USG-GW-policy-interzone-local-isp_dx-inbound-0]policy service service-set udp esp l2tp[USG-GW-policy-interzone-local-isp_dx-inbound-0]policy destination 202.100.1.2 0[USG-GW-policy-interzone-local-isp_dx-inbound-0]action permit

[USG-GW]policy interzone isp_lt local inbound[USG-GW-policy-interzone-local-isp_lt-inbound]policy 0[USG-GW-policy-interzone-local-isp_lt-inbound-0]policy service service-set udp esp l2tp[USG-GW-policy-interzone-local-isp_lt-inbound-0]policy destination 61.128.1.2 0[USG-GW-policy-interzone-local-isp_lt-inbound-0]action permit说明：放行isp_dx 、isp_lt到Local的流量，包括ESP UDP L2TP流量，因为L2TP与IPSEC都需要经过这些流量，默认防火墙是不处理的，所以需要放行，目的地址为自身的接口地址。当然UDP可以明确指定为500。

测试拨号【PC客户端与移动客户端】

已经连接上去了。

2、查看获取的IP地址

3、访问内部服务器测试

能访问到服务器。

可以看到可以访问对应的服务器。

4、访问外网

5、外网访问不了的解决办法

可以看到路由表，所有的流量都是发送给192.168.24.2，VPN的流量都走防火墙了，这样造成VPN的流量与访问公网的流量都走公网了。

解决办法1、只让VPN的流量走VPN，其余走公网

去掉这个沟。

Ping 114.114.114.114没有任何问题。但是访问内网。

解决办法2、直接通过防火墙上网

部署NAT策略断开VPN连接，添加默认网关[USG-GW]policy interzone l2tp isp_dx outbound[USG-GW-policy-interzone-l2tp-isp_dx-outbound]policy 0[USG-GW-policy-interzone-l2tp-isp_dx-outbound-0]action permit

[USG-GW]nat-policy interzone l2tp isp_dx outbound[USG-GW-nat-policy-interzone-l2tp-isp_dx-outbound]policy 0[USG-GW-nat-policy-interzone-l2tp-isp_dx-outbound-0]policy source 192.168.24.0 mask 24[USG-GW-nat-policy-interzone-l2tp-isp_dx-outbound-0]action source-nat[USG-GW-nat-policy-interzone-l2tp-isp_dx-outbound-0]easy-ip g0/0/1说明：这里放心哪个了L2TP访问外网的流量，并且做了一个源NAT转换。

可以看到都可以访问了。

联通端的配置

[USG-GW]policy interzone l2tp isp_lt outbound[USG-GW-policy-interzone-l2tp-isp_lt-outbound]policy 0[USG-GW-policy-interzone-l2tp-isp_lt-outbound-0]action permit

[USG-GW]nat-policy interzone l2tp isp_lt outbound[USG-GW-nat-policy-interzone-l2tp-isp_lt-outbound]policy 0[USG-GW-nat-policy-interzone-l2tp-isp_lt-outbound-0]policy source 192.168.24.0 mask 24[USG-GW-nat-policy-interzone-l2tp-isp_lt-outbound-0]action source-nat[USG-GW-nat-policy-interzone-l2tp-isp_lt-outbound-0]easy-ip g0/0/2

说明：最终联通也可以访问的，这里不测试了。

移动端测试【Android配置】

由于手头只有Android版本的，基于4.2的，iPhone系统设置也差不多设置———-更多———-VPN——-创建一个L2TPover ipsec的———–密钥填写由于不好截图，所以不能上图了，测试是没任何问题的。

命令查看【虚拟接口】

如果大家有任何疑问或者文中有错误跟疏忽的地方，欢迎大家留言指出，博主看到后会第一时间修改，谢谢大家的支持，更多技术文章尽在网络之路Blog，版权归网络之路Blog所有，原创不易，侵权必究。

上一篇回顾

17、中小型企业网搭建 双ISP、VRRP切换对于用户的体验

下一篇学习

19、华为 华三中小型企业网络部署IPSEC VPN站点互通