1.  远程客户发起了一个PPP连接到服务提供商,使用模拟电话系统或者是ISDN <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

2.  ISP的POP点的本地接入集中器接受了这个请求,则PPP连接建立

3.  当终端用户和L2TP网络服务器协商了LCP以后,本地接入控制器就和终端用户进行CHAP或者PAP的协商,用户名、域名以及 被呼叫号码识别服务 (DNIS)都用来决定这是否是 一个虚拟私有拨号网络的客户,如果他不是 一个VPDN客户,则认证继续,这个用户将连接到Internet或者其他相关的服务,如果他是一个VPDN的客户,则将被映射到L2TP网络服务器(LNS)

4.  则此时tunnel将被建立,在任何会话之前,LAC和LNS将对对方进行认证

5.  认证成功后,LAC将传输一些认证选项和部分CHAP/PAP的认证信息给LNS,当LNS收到这些选项和认证信息后将与虚拟接入接口上的信息进行比对,如果不匹配则连接失败。

6.  最后则是终端用户和LNS的直接处理过程,没有LAC的参与。

LAC AAA Tunnel Definition Lookup

我们可以运用两个cisco新的AV对来支持隧道定义查找 :

1.  tunnel-type 表明你运用的是L2TP还是L2F

2.  L2TP-tunnel-password 这个密码用于隧道认证,这是一个可选项,如果不配置的话,将默认是本地配置的用户名和密码。

C onfiguration:

request dialin l2tp ip 172.21.9.13 domain cisco.com

l2tp local name dustie

l2tp local secret partner

Before You Begin

在配置之前,我们应该先确定是使用本地认证还是AAA认证,并且确定点到点的连接。

当同时配置很多组件的时候就会出现问题,而且往往使问题变得很复杂和费解,所以我们应该独立地配置各个组件。

在完成VPDN的时候有三个主要的组件:

1.  在LAC和LNS上启用VPDN

2.  定义一个VPDN组,你将为这个组定义一些VPDN的属性,然后将他运用到LAC和LNS

3.  使得LAC和LNS能够请求和接受L2TP tunnel

然后你需要定义一个虚拟模板接口,将定义好的属性应用到虚拟接入接口,然后将在这些L2TP tunnel中 传输二层数据帧。

Configure VPDN on the L2TP Access Concentrator (LAC)

vpdn enable      → 开启VPDN并且告诉路由器从LNS来查询tunnel定义

vpdn group  group-number    →定义一个本地VPDN组,这个组可以运用到VPDN用户,number在1-3000 

request dialin  [ l2f  |  l2tp ]  ip  ip-address   { domain  domain-name  |  dnis

dialed-number }    →如果这个用户属于一个特定的域或者拨入用户拨一个特定的DNIS,则告诉路由器向特定的IP请求一个拨入tunnel

Configure VPDN on a L2TP Network Server (LNS)

LNS是一个L2TP的终点,LNS初始一个出向的会话,然后从LAC得到一个入向的会话

vpdn enable  →开启VPDN,告诉路由器向LNS查询tunnel定义

vpdn group  group-number    →定义一个本地VPDN组,这个组可以运用到VPDN用户,number在1-3000 

一般情况下,我们需要为每个LAC定义一个VPDN group,但是对于LNS需要有许多的LAC,我们可以定义一个默认的VPDN group配置,对于每一个LAC运用相同的tunnel属性。如果你只使用L2tp和virtual-template参数则默认运用默认组属性,而且都是一样的。

accept dialin  [ l2f  |  l2tp  |  any ]   virtual-template   virtual-templatenumber

remote  remote-peer-name   →允许路由器接受一个tunnel建立请求,并为这个tunnel规定2层协议,而且为虚拟接入接口定义模板

当从对端收到一个tunnel请求的时候给予回应,一旦LNS接受了一个LAC发过来的请求,则将从virtual template interface克隆一个virtual access interface

一个虚拟模板接口是为一个serial接口配置的逻辑实体,他并没有绑定到一个物理接口,而是在需要的时候被自动应用,虚拟接入接口就是从虚拟模板接口中克隆过来的,虚拟接入接口在不需要的时候就会被释放,下面配置一个虚拟模板接口:

interface virtual-template  number   →定义一个虚拟模板接口并且进入接口配置模式

ip unnumbered ethernet 0  →并不会一个LAN接口定义一个固定的IP地址

encapsulation ppp   →在虚拟模板接口上运用PPP封装,然后将会被复制到虚拟接入接口上

ppp authentication pap  |  chap  →启用chap或者pap的ppp认证