锐捷RSR系列路由器—VPN功能—VPDN 2.0 客户端场景配置—L2TP 2.0自发隧道模式-用户AAA验证

最新推荐文章于 2024-05-12 23:37:41 发布
最新推荐文章于 2024-05-12 23:37:41 发布
阅读量1.4k 收藏 8
点赞数
分类专栏: 锐捷网络 文章标签: AAA lns pppoe 隧道模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57099902/article/details/132687781
版权

目录

功能介绍

应用场景

一、组网需求

二、组网拓扑

三、配置要点

四、配置步骤

五、配置验证

 

功能介绍

       在自发隧道模式下:远程接入客户端运行L2TP软件,充当了L2TP连接模型中的LAC。远程客户端/LAC(在RFC 2661中被称为LAC客户)连接到LNS,PPP帧通过L2TP隧道直接在客户和LNS之间转发。一般企业的总分机构互联场景下使用该场景。

应用场景

若总公司和分公司各自的内网要能够互相共享资料,且对数据的安全性要求不高,总公司对分公司路由器采用本地的用户名、密码方式进行验证,此时您可以在总公司和分公司的网络设备上启用强制模式的L2TP VPN,且PPP认证采用本地认证。

一、组网需求

某企业使由于业务拓展,在全国各地建立了若干分支机构;总部出口路由器通过运营商专线连接到互联网,各分支可能通过专线或者ADSL方式接入互联网。分支机构在业务开展过程中需要访问位于总部的业务服务器,同时需要对分支与总部间通信的数据进行加密,保证业务安全。

该场景通过在总部出口路由器和分支出口路由器间建立L2TP VPN来满足分支与总部间的业务互访需求。

二、组网拓扑

模拟拓扑:

三、配置要点

       L2TP VPN2.0和1.0的配置主要区别在于LNS端的配置:1、必须首先创建virtual-vpdn2.0接口  2、LNS的vpdn-group必须指定source-ip 3、virtual-vpdn的接口必须配置静态IP地址 4、地址池的配置和调用使用新的命令  注:virtual-vpdn的接口会自动调整MSS(扣除L2TP封装的报头长度),但如果和其他vpn嵌套使用,则需要手工更改MSS。

        具体配置步骤与内容如下:

1、配置LNS VPDN

2、配置LNS地址池

3、配置LNS virtual-vpdn 接口

4、配置LNS AAA认证

5、配置LNS AAA记账

6、配置分支路由器PPP拨号

7、配置分支路由器L2TP CLASS

8、配置分支路由器L2TP pseudowire-class 接口

9、配置分支路由器的Virtual-ppp接口

四、配置步骤

1、配置LNS VPDN

vpdn enable

interface virtual-vpdn 1    //先创建virtual-vpdn接口,该接口必须提前创建完毕。

vpdn-group 1

    accept-dialin

        source-ip 172.18.10.201     //必须配置,该地址为LAC拨入请求报文的目的地址,一般为专线出口地址。

        protocol l2tp        

        virtual-vpdn 1         //该配置必须要求上面的协议设置为l2tp,否则在配置过程中,将不会出现该命令。

      l2tp tunnel authentication                     //按需启用l2tp隧道认证功能

      l2tp tunnel password ruijie                    //按需配置l2tp隧道验证密码为“ruijie”

注意:

1)在LNS上配置了隧道认证和密码后,必须在L2TP客户端上也配置隧道认证和相同的密码,否则L2TP无法协商成功。

2)如果LAC拨入请求报文的目的地址为LNS的loopback地址时,source-ip命令不生效,必须使用bind slot-id 命令来代替source-ip,slot-id为专线出口所在的线卡槽位号。在10.4(3b31)p1版本以上支持该命令

2、配置LNS地址池

vpdn pool test 100.1.1.1 100.1.1.100     //配置l2tp用户的地址池,配置命令和原来的l2tp配置方式不同

3、配置LNS Virtual-vpdn接口

interface Virtual-vpdn 1

 ppp authentication chap

 ip address 10.1.1.1 255.255.255.0      //virtual-vpdn接口必须静态配置IP地址

 vpdn intf_pool test                       //在接口下调用为vpdn配置的地址池,配置命令和原来的l2tp配置方式不同

4、配置LNS 3A认证

      aaa new-model

      radius-server host 192.168.57.222 key ruijie      //指定radius服务器和key

      aaa authentication ppp default group radius     //指定PPP身份验证使用radius的方式

5、配置LNS AAA记账

aaa new-model

aaa accounting update periodic 1        //配置记账更新的间隔时间为1分钟,默认为5分钟,最小为1分钟

aaa accounting update                        //启用记账更新功能

aaa accounting network default start-stop group radius  //指定使用radius对网络用户的请求开始和结束时进行记账

注意:

只有radius服务器采用地址池给用户分配IP地址时,需要配置AAA记账功能,因为AAA地址池需要依靠用户记账功能实现IP地址分配和释放需求。如果AAA采用静态IP地址分配给AAA用户,可以不配置AAA记账功能。

======分支路由器(客户端/LAC)的配置没有变化,和L2TP VPN1.0的自发隧道模式的客户端配置方式完全一致=======

6、配置分支路由器PPP拨号

保证分支路由器已经正确接入互联网,并与LNS正常通信。

如果是ADSL拨号,请参考(典型配置--->广域网接口配置--->ADSL拨号)

7、配置分支路由器L2TP CLASS

l2tp-class l2x

    hostname site1

    authentication           //开启L2TP隧道认证

    password ruijie          //配置L2TP隧道认证密码为ruijie

注意:在l2TP客户端上配置的隧道认证密码必须与服务器上的相同,否则L2TP无法协商成功。

8、配置分支路由器L2TP pseudowire-class 接口

pseudowire-class pw

    encapsulation l2tpv2        //指定使用l2tpv2封装

    protocol l2tpv2 l2x           //指定协议类型为l2tpv2作为隧道协议,并指定使用"l2x"的l2tp class

    ip local interface gi 0/0    //指定L2TP隧道协商的源地址,该地址为外网口地址

9、配置分支路由器的Virtual-ppp接口

interface Virtual-ppp 1

    ip ref

    ppp chap hostname test                        //配置chap验证用户名

    ppp chap password test                         //配置chap验证密码

    ip address negotiate                                     //配置IP地址为自动分配

    pseudowire 172.18.10.201 1 pw-class pw             //指定LNS的地址,并指定使用pw的pseudowire-class

五、配置验证

      1、确认L2TP隧道建立情况,使用show vpdn的命令

           (1)、LAC/Client

(2)、LNS

2、确认隧道建立成功,查看LAC/客户端的virtual-ppp接口的地址获取情况

  已经获取到了LNS为其分配的地址

     3、查看是否有对端的主机路由

          (1)、LAC/Client

(2)、LNS

   3、验证测试

         (1)、LAC/client

     (2)、LNS

你可知这世上再难遇我
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
RRT-0050 锐捷RSR系列路由器产品一本通(V5.3)
08-28
RRT-0050 锐捷RSR系列路由器产品一本通(V5.3)。本文档以基于场景的方式,详细介绍在实施、配置路由器功能模块的操作步骤、注意事项和常见问题和故障解决方法。
锐捷RSR系列路由器产品一本通.zip
07-16
锐捷RSR系列路由器产品一本通 附带 scrt-x64.9.0.2.2496 64位安装软件。
锐捷RSR系列路由器_VPN功能_L2TP 常见咨询与故障
君逍遥o
09-01 503
L2TP(Layer 2 Tunneling Protocol,二层隧道协议)是VPDNVirtual Private Dial-up Network,虚拟私有拨号网)隧道协议的一种。VPDN是指利用公共网络(如ISDN或PSTN)的拨号功能接入公共网络,实现虚拟专用网,从而为企业、小型ISP、移动办公人员等提供接入服务。即,VPDN为远端用户与私有企业网之间提供了一种经济而有效的点到点连接方式。
锐捷网络—VPN功能—XAUTH认证—客户端的安装
君逍遥o
09-13 1403
支持的客户端类型: 1. 支持windows客户端:“RG-Windows_IPSec_Setup_1.1(1)_Build20131018.exe” 2. 支持Android客户端:“RG_Android_IPSec_Setup_1.1(1)_Build20131018.exe” 3. IOS自带客户端,无需我司提供 客户端软件需要使用“安装包制作程序”制作,可从RTR版本管理系统(仅向锐捷工程师开放)下载。
L2TP 内网穿透
最新发布
2401_84968529的博客
05-12 885
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
锐捷防火墙(WEB)——VPN部署场景——GRE
君逍遥o
09-26 894
如图所示,通过VPN将2个局域网连接起来,实现192.168.0.0/24与192.168.1.0/24两个网段的通信。
ruijieclient的设置方法
dinglangwei5539的博客
09-05 401
现在就来介绍一下ruijieclient的设置方法: 首先,先去ruijieclient官方去下载一个客户端 地址:http://code.google.com/p/ruijieclient/downloads/list 新人的话建议下载ruijieclient_0.8.1svn129local-0_i386.deb deb安装包,这个安装起来没难度 安装: dpkg -i fi...
锐捷RSR系列路由器VPN功能VPDN 2.0 客户端场景配置L2TP 2.0自发隧道模式-用户本地验证
君逍遥o
09-05 1478
若总公司和分公司各自的内网要能够互相共享资料,且对数据的安全性要求不高,总公司对分公司路由器采用本地的用户名、密码方式进行验证,此时您可以在总公司和分公司的网络设备上启用强制模式L2TP VPN,且PPP认证采用本地认证。
锐捷RSR系列路由器VPN功能—GRE 功能配置
君逍遥o
09-05 2190
若总公司和分公司各自的内网之间要能够互相共享资料,并且对数据的安全性要求不高,此时您可以在总公司和分公司的网络设备上建立GRE VPN,它即能实现总公司和分公司之间能够直接互相访问资源。
锐捷RSR系列路由器产品一本通(V6.0)
06-20
锐捷RSR系列路由器产品一本通(V6.0)
锐捷RSR系列路由器软件升级指导手册-集中式设备
03-13
锐捷RSR系列路由器软件升级指导手册-集中式设备
锐捷RSR20系列路由器配置指南
09-25
锐捷RSR20系列路由器配置指南.锐捷RSR20系列路由器配置指南
锐捷网络—VPN功能—IPSec VPN 常见问题和故障
君逍遥o
09-13 3298
IPSec (IP Security )是一种由IETF设计的端到端的确保IP层通信安全的机制。 IPSec协议可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击。 IPSec不是一个单独的协议,而是一组协议,IPSec协议的定义文件包括了12个RFC文件和几十个Internet草案,已经成为工业标准的网络安全协议。
锐捷学习笔记-34(跨域MPLS VPN Option A)
zhaoxx22的博客
07-31 384
锐捷MPLS VPN Option A配置
锐捷配置IPSEC VPN静态隧道
m0_74862906的博客
12-10 1799
使用IPSEC VPN静态隧道,掌握IPSEC VPN静态隧道配置
锐捷RSR系列路由器VPN功能—PPTP—路由器作为PPTP VPN服务器端配置
君逍遥o
09-05 1077
用户使用一台RSR系列路由器作为互联网的出口设备,由于存在较多出差、移动办公用户,并且近期又新成立了分支机构,因此希望这部分用户能通过PPTP VPN技术动态拨入路由器,完成与内网用户和内网应用服务器的正常通信。
路由器基础(十二):IPSEC VPN配置
limengshi138392的博客
11-04 8489
路由器基础(十二):IPSEC VPN配置
锐捷 L2TP 配置
weixin_55444377的博客
12-07 461
打开域认证,使能剥离,在本地或者aaa服务器上创建的用户名可以不携带域名。这里 L2TP 隧道认证需要 LNS客户端一起开启。开去域剥离后客户端发起连接时的用户就需要带域名了。一个用户对应一个连接,一个用户不能有多个连接。指定的 LNS 地址需要是可达的!L2TP 隧道认证需要两边都开。LNS地址池给客户端分配地址。
锐捷防火墙(WEB)——VPN部署场景——L2TP-PPTP
君逍遥o
09-26 980
如图所示,某公司内部有一台OA服务器,在外移动办公的工作人员需要通过ppt vpn,拨入到公司内网来对内网服OA服务器进行访问。 l2tp vpn与 PPTP vpn配置相同
锐捷rsr20 04E路由器如何在bootloader模式下更换bin文件,操作流程
05-25
锐捷rsr20 04E路由器的bootloader模式下更换bin文件的步骤如下: 1. 连接路由器:将路由器通过串口线连接到电脑上。 2. 进入串口终端:使用串口调试工具,例如SecureCRT、Putty等,在终端中输入回车,进入串口终端。 3. 进入bootloader模式:在串口终端中输入“ctrl+u”,进入路由器的bootloader模式。 4. 设置IP地址:在bootloader模式下,路由器的IP地址会被重置为默认值。需要手动设置路由器的IP地址,例如设置为192.168.1.2。 5. 下载bin文件:将需要更新的bin文件下载到电脑上。 6. 开始升级:在串口终端中输入以下命令,开始升级: ``` TFTP -i 192.168.1.1 PUT <文件名>.bin ``` 其中,“<文件名>”为需要更新的bin文件名。 7. 等待升级完成:等待升级过程完成,路由器会自动重启。 注意事项: 1. 在bootloader模式下升级bin文件,可能会导致路由器变砖,建议在操作前备份路由器配置文件。 2. 升级过程中不要断开路由器的电源或网络连接。 3. 如果升级失败,可以尝试重新升级或者恢复出厂设置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你可知这世上再难遇我

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值