目录
功能介绍
在自发隧道模式下:远程接入客户端运行L2TP软件,充当了L2TP连接模型中的LAC。远程客户端/LAC(在RFC 2661中被称为“LAC客户”)连接到LNS,PPP帧通过L2TP隧道直接在客户和LNS之间转发。一般企业的总分机构互联场景下使用该场景。
应用场景
若总公司和分公司各自的内网要能够互相共享资料,且对数据的安全性要求不高,总公司对分公司路由器采用本地的用户名、密码方式进行验证,此时您可以在总公司和分公司的网络设备上启用强制模式的L2TP VPN,且PPP认证采用本地认证。
一、组网需求
某企业使由于业务拓展,在全国各地建立了若干分支机构;总部出口路由器通过运营商专线连接到互联网,各分支可能通过专线或者ADSL方式接入互联网。分支机构在业务开展过程中需要访问位于总部的业务服务器,同时需要对分支与总部间通信的数据进行加密,保证业务安全。
该场景通过在总部出口路由器和分支出口路由器间建立L2TP VPN来满足分支与总部间的业务互访需求。
二、组网拓扑
模拟拓扑:
三、配置要点
L2TP VPN2.0和1.0的配置主要区别在于LNS端的配置:1、必须首先创建virtual-vpdn2.0接口 2、LNS的vpdn-group必须指定source-ip 3、virtual-vpdn的接口必须配置静态IP地址 4、地址池的配置和调用使用新的命令 注:virtual-vpdn的接口会自动调整MSS(扣除L2TP封装的报头长度),但如果和其他vpn嵌套使用,则需要手工更改MSS。
具体配置步骤与内容如下:
1、配置LNS VPDN
2、配置LNS地址池
3、配置LNS virtual-vpdn 接口
4、配置LNS AAA认证
5、配置LNS AAA记账
6、配置分支路由器PPP拨号
7、配置分支路由器L2TP CLASS
8、配置分支路由器L2TP pseudowire-class 接口
9、配置分支路由器的Virtual-ppp接口
四、配置步骤
1、配置LNS VPDN
vpdn enable
interface virtual-vpdn 1 //先创建virtual-vpdn接口,该接口必须提前创建完毕。
vpdn-group 1
accept-dialin
source-ip 172.18.10.201 //必须配置,该地址为LAC拨入请求报文的目的地址,一般为专线出口地址。
protocol l2tp
virtual-vpdn 1 //该配置必须要求上面的协议设置为l2tp,否则在配置过程中,将不会出现该命令。
l2tp tunnel authentication //按需启用l2tp隧道认证功能
l2tp tunnel password ruijie //按需配置l2tp隧道验证密码为“ruijie”
注意:
1)在LNS上配置了隧道认证和密码后,必须在L2TP客户端上也配置隧道认证和相同的密码,否则L2TP无法协商成功。
2)如果LAC拨入请求报文的目的地址为LNS的loopback地址时,source-ip命令不生效,必须使用bind slot-id 命令来代替source-ip,slot-id为专线出口所在的线卡槽位号。在10.4(3b31)p1版本以上支持该命令
2、配置LNS地址池
vpdn pool test 100.1.1.1 100.1.1.100 //配置l2tp用户的地址池,配置命令和原来的l2tp配置方式不同
3、配置LNS Virtual-vpdn接口
interface Virtual-vpdn 1
ppp authentication chap
ip address 10.1.1.1 255.255.255.0 //virtual-vpdn接口必须静态配置IP地址
vpdn intf_pool test //在接口下调用为vpdn配置的地址池,配置命令和原来的l2tp配置方式不同
4、配置LNS 3A认证
aaa new-model
radius-server host 192.168.57.222 key ruijie //指定radius服务器和key
aaa authentication ppp default group radius //指定PPP身份验证使用radius的方式
5、配置LNS AAA记账
aaa new-model
aaa accounting update periodic 1 //配置记账更新的间隔时间为1分钟,默认为5分钟,最小为1分钟
aaa accounting update //启用记账更新功能
aaa accounting network default start-stop group radius //指定使用radius对网络用户的请求开始和结束时进行记账
注意:
只有radius服务器采用地址池给用户分配IP地址时,需要配置AAA记账功能,因为AAA地址池需要依靠用户记账功能实现IP地址分配和释放需求。如果AAA采用静态IP地址分配给AAA用户,可以不配置AAA记账功能。
======分支路由器(客户端/LAC)的配置没有变化,和L2TP VPN1.0的自发隧道模式的客户端配置方式完全一致=======
6、配置分支路由器PPP拨号
保证分支路由器已经正确接入互联网,并与LNS正常通信。
如果是ADSL拨号,请参考(“典型配置--->广域网接口配置--->ADSL拨号)
7、配置分支路由器L2TP CLASS
l2tp-class l2x
hostname site1
authentication //开启L2TP隧道认证
password ruijie //配置L2TP隧道认证密码为“ruijie”
注意:在l2TP客户端上配置的隧道认证密码必须与服务器上的相同,否则L2TP无法协商成功。
8、配置分支路由器L2TP pseudowire-class 接口
pseudowire-class pw
encapsulation l2tpv2 //指定使用l2tpv2封装
protocol l2tpv2 l2x //指定协议类型为l2tpv2作为隧道协议,并指定使用"l2x"的l2tp class
ip local interface gi 0/0 //指定L2TP隧道协商的源地址,该地址为外网口地址
9、配置分支路由器的Virtual-ppp接口
interface Virtual-ppp 1
ip ref
ppp chap hostname test //配置chap验证用户名
ppp chap password test //配置chap验证密码
ip address negotiate //配置IP地址为自动分配
pseudowire 172.18.10.201 1 pw-class pw //指定LNS的地址,并指定使用“pw”的pseudowire-class
五、配置验证
1、确认L2TP隧道建立情况,使用show vpdn的命令
(1)、LAC/Client
(2)、LNS
2、确认隧道建立成功,查看LAC/客户端的virtual-ppp接口的地址获取情况
已经获取到了LNS为其分配的地址
3、查看是否有对端的主机路由
(1)、LAC/Client
(2)、LNS
3、验证测试
(1)、LAC/client
(2)、LNS