目录
功能介绍
L2TP强制隧道模式:在强制隧道模式下,LAC端终结来自远程接入客户的呼叫,然后通过中间网络以隧道方式将PPP会话延伸到LNS。这种模式不要求远程接入客户端了解L2TP,远程接入客户只需要使用PPP拨号到LAC即可。3G解决方案就是采用这种模式。
应用场景
企业租用运营商的3G网络,分支机构路由器需要通过3G拨号拨入总部内网,总部对分支机构路由器采用本地的用户名、密码方式进行验证,那么此时可以在运营商与企业总部之间建立强制的L2TP隧道模式,且PPP认证采用本地认证。
一、组网需求
以3G场景为例:RSR系列路由器作为LNS,汇聚所有客户端的L2TP会话,所有用户全部在LNS本地进行CHAP认证和分配IP地址。
二、组网拓扑
模拟拓扑:
三、配置要点
L2TP VPN2.0和1.0的配置主要区别在于LNS端的配置:1、必须首先创建virtual-vpdn2.0接口 2、LNS的vpdn-group必须指定source-ip 3、virtual-vpdn的接口必须配置静态IP地址 4、地址池的配置和调用使用新的命令 注:virtual-vpdn的接口会自动调整MSS(扣除L2TP封装的报头长度),但如果和其他vpn嵌套使用,则需要手工更改MSS。
具体配置步骤与内容如下:
1、配置LNS VPDN
2、配置LNS地址池和用户信息
3、配置LNS virtual-vpdn 接口
4、配置分支路由器PPP拨号
四、配置步骤
1、配置LNS VPDN
vpdn enable
interface virtual-vpdn 1 //先创建virtual-vpdn接口,该接口必须提前创建完毕。
vpdn-group 1
accept-dialin
source-ip 172.18.10.201 //必须配置,该地址为LAC拨入请求报文的目的地址,一般为专线出口地址。
protocol l2tp
virtual-vpdn 1 //该配置必须要求上面的协议设置为l2tp,否则在配置过程中,将不会出现该命令。
l2tp tunnel authentication //按需启用l2tp隧道认证功能
l2tp tunnel password ruijie //按需配置l2tp隧道验证密码为“ruijie”
注意:
1)在LNS上配置了隧道认证和密码后,必须在L2TP客户端上也配置隧道认证和相同的密码,否则L2TP无法协商成功。
2)如果LAC拨入请求报文的目的地址为LNS的loopback地址时,source-ip命令不生效,必须使用bind slot-id 命令来代替source-ip,slot-id为专线出口所在的线卡槽位号,在10.4(3b31)p1版本以上支持该命令
2、配置LNS地址池和用户信息
vpdn pool test 100.1.1.1 100.1.1.100 //配置l2tp用户的地址池,配置命令和原来的l2tp配置方式不同
username ruijie@ruijie.com.cn password ruijie
username test@ruijie.com.cn password test //添加需要本地认证的L2TP客户端账号密码
3、配置LNS Virtual-vpdn接口
interface Virtual-vpdn 1
ppp authentication chap
ip address 10.1.1.1 255.255.255.0 //virtual-vpdn接口必须静态配置IP地址
vpdn intf_pool test //在接口下调用为vpdn配置的地址池,配置命令和原来的l2tp配置方式不同
4、配置LNS兼容性命令(可选)
在3G场景下,完成以上配置后,如果3G客户端无法正常拨号成功,可能是由于LNS与LAC间存在兼容性问题,可以分别尝试配置以下兼容性命令看是否能够解决。
- LNS会忽略LAC端携带的PPP认证信息,强制LNS重新对Client进行CHAP认证
Ruijie(config)#vpdn-group 1
Ruijie(config-vpdn)# force-local-chap
- LNS会忽略LAC端携带的PPP协商信息,强制LNS重新与Client进行LCP协商
Ruijie(config)#vpdn-group 1
Ruijie(config-vpdn)# force-local-lcp
- 设置忽略控制报文错误
Ruijie(config)#vpdn-group 1
Ruijie(config-vpdn)# lcp renegotiation always
5、配置远程客户端PPP拨号
(1)如果是3G场景,请参考(“典型配置--->广域网接口配置--->3G接口拨号--->3G拨VPDN专网”)
(2)如果是ADSL拨号,请参考(“典型配置--->广域网接口配置--->ADSL拨号)
(3)常规串口拨号
interface Serial0/0
ip address negotiated //使用协商的方式从LNS端获取地址
encapsulation ppp
ppp chap hostname test@ruijie.com.cn
ppp chap password test
五、配置验证
配置完成后,在L2TP客户端(或3G客户端)触发拨号,如果拨号成功,在LNS上通过show vpdn命令可以看到当前已经成功拨的用户信息:
1、在LNS端查看隧道建立情况,show vpdn
可以观察到,已经建立了1个tunnel隧道,并且有2个客户端拨到LNS端。
查看virtual-vpdn接口
两路用户拨入,逻辑接口只有1个virtual-vpdn接口
2、隧道建立成功,在客户端查看PPP协商情况
3、PPP协商正常,客户端获取到了IP地址,查看两端的主机路由学习情况
4、网络连通性测试