1、7206作为L2TP服务端分配VPN账号接受拨入，810作为L2TP客户端拨出，只允许客户端访问服务端不允许服务端访问客户端。

2、L2TP VPN连上后只允许L2TP客户端能访问L2TP服务端，但是不允许L2TP客户端上外网。

3、当L2TP连接断开后，本地能上外网。

4、L2TP客户端必须采用服务端分配的隧道口令进行隧道加密。

沈阳铁通IDC机房采用7206型号设备接入，采用固定IP地址接入，艾泰HiPER 810 PPPoE 方式拨入，810作为L2TP客户端，7206作为L2TP服务端。

1、810作为L2TP客户端拨出启用NAT，7206设备对VPN地址不做NAT转换或者对VPN地址池做ACL过滤，这样可以实现客户端访问服务端，但是服务端访问不到客户端。

2、要实现VPN连上后 本地无法上外网。可以通过本地做ACL策略只允许访问目的地址为VPN隧道的地址经过NAT转换，其他应用全部deny.但是这样做会导致VPN断开后，本地还是无法上外网。用另外一种方法实现，所有流量走VPN可以定义感兴趣的流量为一条缺省的0.0.0.0/0.0.0.0的路由绑定VPN线路。

具体配置操作如下：

 

1、配置客户端上网线路

默认的一条缺省路由

2、添加一条访问VPN服务端IP的静态路由绑定默认线路

 

 

此时看路由表，多了一条32位主机路由通过222.33.18.94转发

3、修改VPN的路由优先级盖过本地缺省路由，如图所示：

客户端配置隧道口令，口令为456789

hiper% set connection/cct tunnel secret 456789    用于隧道加密

做完以上配置后，L2TP已经显示已经连接，但是PING IDC机房的一个服务器IP不通，IP地址为10.0.170.38，查看上网监控的会话发现访问10.0.170.38的ICMP包产生的NAT会话还在，并且有去无回，可能在PC再未建立VPN之前就在PING 10.0.170.38但是PING不通，现在VPN连接上，但是NAT会话还存在，初步判断是NAT会话超时所造成的。

让用户在现场PING 对端VPN隧道其他的地址能通，如图所示：

上网监控页面清除当前的NAT会话，如图所示：

 

能PING通10.0.170.38

 

注：由于两端VPN未建立，PING 10.0.170.38这个IP是PING不通的，但是路由器收到这个ICMP包发现目的地址为10.0.170.38的IP地址会匹配路由表，进行NAT转发到外网，这个是路由器的一个工作机制。此时建立VPN后本应该是可以PING通10.0.170.38这个IP，但是由于之前PING 10.0.170.38的NAT记录还存在，那么路由器无法再建立一条新的目的地址为10.0.170.38的NAT记录走VPN线路，所以必须清楚掉原来的NAT会话记录或者等待这条NAT记录超时（217秒），注意在等待NAT记录超时的过程中不可以在触发这条NAT会话的记录也就是不要再去PING 10.0.170.38这个IP，这样可以确保NAT会话过了217秒自动消失，然后再去PING 10.0.170.38路由器此时才会再次建立一条目的地址为10.0.170.38的NAT记录走VPN线路，这样就可以PING通。