对于和NAS initial类似，这里是由LAC发起的，而且不是使用pppoe进行隧道的建立和会话的建立，当有去往总部的流量的时候，LAC就会主动和LNS进行隧道和会话的协商，LNS会分配给LAC一个地址，所以如果分支机构的用户想要访问总部，那么都要借助LAC获取来的地址，所以在这种情况下，分支机构的用户要访问总部就需要LAC设置easy IP，将分支结构用户的源IP置换为LNS分配的IP地址。

模拟器上配置的困难：

首先就是你配了也不一定立刻就能生效，有的时候你明明创建了用户,但是验证没有给你通过，总的来说做这个模拟还是十分吐血的。

一、LAC的配置

（1）完成基本的网络互联

（2）LAC的l2tp的配置

如上图所示，其实就是配置l2tp的一个组，用于后续的隧道协商和会话协商

（3）LAC的虚拟接口的配置

因为LAC是发起隧道认证的一方，所以在VT接口上要配置PPP验证的相关用户信息，同时地址采用PPP协商方式获取，比较关键的地方在call-lns local-user xxx 这个命令

call-lns local-user  fuck binding l2tp-group  1  //这是完整的命令，主要就是设置将该VT接口和l2tp组进行绑定和结合，同时还指出进行call-lns这个操作的用户

(4)配置路由

做这步的原因是，区分去往总部和去往internet的流量，只要有去往总部的流量就发送给VT接口进行隧道封装发送

（5）配置easy-ip 

做这一步的主要原因是因为，LAC虽然获取了LNS分配的地址，但是支部内的主机如果要和总部通信却依然需要靠LAC，LAC在这种网络场景下是作为支部主机和LNS之间的中间人，支部内的之际必须使用LAC获取到的地址才能与总部内的主机通信，所以使用easy ip将内部主机的源地址转换为LAC获取到的地址。

二、LNS的配置

这里的配置和NAS initial没什么区别，详解看这个：

(79条消息) 华为L2TP NAS initial 配置详解以及安全策略的原理_Mllllk的博客-CSDN博客

HUAWEI USG6000E 产品文档

其实LNS还是搭建一个被动响应的LNS端，从client initial还是NAS initial，还是LAC initial配置都是一样的。

配置总结

其实从本质上来说，LAC initial就是创建了VT接口和l2tp组之间的联系，同时设置VT接口作为一个主动进行隧道协商的一个接口。于是LNS就会将地址分配给LAC的VT接口，于是LNS和LAC之间的隧道就由此建立，支部的所有主机通过LAC获取到的地址进行easy ip与LNS进行通信，其实就是支部内部的主机都借用LAC创建好的隧道进行与总部的通信。

所以我们从图上也可以看出，只有LAC和LNS之间才有复杂的隧道封装。 

安全策略

LAC的安全策略解释

因为支部的流量到达防火墙后根据路由表发现下一跳去去VT接口，而支部主机处于trust区域，VT接口处于dmz区域，所以，放行trust--->dmz区域的流量，local--->untrust区域的流量主要是因为l2tp的相关协商报文是单播的，且源区域为local，目的区域是untrust。dmz--->trust是因为总部主机可能需要访问支部主机，所以当流量到达LAC后，防火墙将该流量交给VT接口处理，dmz区域的VT接口然后交给trust区域的物理接口，所以要放行dmz--->trust

LNS的安全策略的解释

其实和LAC的安全解释差不多，原因也是差不多就不说细说了，查考LAC的安全策略解释

LAC为什么放行L2TP的相关协商流量时只放行一个出方向，LNS放行L2TP的相关协商流量的时候只放行一个入方向

主要因为整个L2TP隧道的协商和建立都是由LAC主导的，所以LAC主要放行出方向，后续回包依靠会话即可，对于LNS它被动接收LAC的协商报文，所以只要放行入方向的协商流量即可，LNS要发送响应报文的时候依靠会话即可

该场景和NAS initial安全策略的对比

为什么在LAC initial中的LAC的安全策略和LNS差不多，而在NAS initial中NAS的安全策略只有一个？

主要因为NAS场景下它的VT接口直接绑定到了物理接口上，当回包到达防火墙后，防火墙同样还是将其交给VT接口处理，VT接口处理后从与VT接口绑定的物理接口发送，而这个过程中其实是从dmz--->dmz区域的数据流动，所以不需要放行安全策略。