路由器—VPN功能—VPDN 2.0 客户端场景配置—L2TP 2.0自发隧道模式"/>
锐捷RSR系列路由器—VPN功能—VPDN 2.0 客户端场景配置—L2TP 2.0自发隧道模式
目录
功能介绍
应用场景
一、组网需求
二、组网拓扑
三、配置要点
四、配置步骤
五、配置验证
功能介绍
在自发隧道模式下:远程接入客户端运行L2TP软件,充当了L2TP连接模型中的LAC。远程客户端/LAC(在RFC 2661中被称为“LAC客户”)连接到LNS,PPP帧通过L2TP隧道直接在客户和LNS之间转发。一般企业的总分机构互联场景下使用该场景。
应用场景
若总公司和分公司各自的内网要能够互相共享资料,且对数据的安全性要求不高,总公司对分公司路由器采用本地的用户名、密码方式进行验证,此时您可以在总公司和分公司的网络设备上启用强制模式的L2TP VPN,且PPP认证采用本地认证。
一、组网需求
某企业使由于业务拓展,在全国各地建立了若干分支机构;总部出口路由器通过运营商专线连接到互联网,各分支可能通过专线或者ADSL方式接入互联网。分支机构在业务开展过程中需要访问位于总部的业务服务器,同时需要对分支与总部间通信的数据进行加密,保证业务安全。
该场景通过在总部出口路由器和分支出口路由器间建立L2TP VPN来满足分支与总部间的业务互访需求。
二、组网拓扑
模拟拓扑:
三、配置要点
L2TP VPN2.0和1.0的配置主要区别在于LNS端的配置:1、必须首先创建virtual-vpdn2.0接口 2、LNS的vpdn-group必须指定source-ip 3、virtual-vpdn的接口必须配置静态IP地址 4、地址池的配置和调用使用新的命令 注:virtual-vpdn的接口会自动调整MSS(扣除L2TP封装的报头长度),但如果和其他vpn嵌套使用,则需要手工更改MSS。
具体配置步骤与内容如下:
1、配置LNS VPDN
2、配置LNS地址池和用户信息
3、配置LNS virtual-vpdn 接口
4、配置分支路由器PPP拨号
5、配置分支路由器L2TP CLASS
6、配置分支路由器L2TP pseudowire-class 接口
7、配置分支路由器的Virtual-ppp接口
四、配置步骤
1、配置LNS VPDN
vpdn enable
interface virtual-vpdn 1 //先创建virtual-vpdn接口,该接口必须提前创建完毕。
vpdn-group 1
accept-dialin
source-ip 12.1.1.2 //必须配置,该地址为LAC拨入请求报文的目的地址,一般为专线出口地址。
protocol l2tp
virtual-vpdn 1 //该配置必须要求上面的协议设置为l2tp,否则在配置过程中,将不会出现该命令。
l2tp tunnel authentication //按需启用l2tp隧道认证功能
l2tp tunnel password ruijie //按需配置l2tp隧道验证密码为“ruijie”
注意:
1)在LNS上配置了隧道认证和密码后,必须在L2TP客户端上也配置隧道认证和相同的密码,否则L2TP无法协商成功。
2)如果LAC拨入请求报文的目的地址为LNS的loopback地址时,source-ip命令不生效,必须使用bind slot-id 命令来代替source-ip,slot-id为专线出口所在的线卡槽位号。在10.4(3b31)p1版本以上支持该命令
2、配置LNS地址池和用户信息
vpdn pool test 100.1.1.1 100.1.1.100 //配置l2tp用户的地址池,配置命令和原来的l2tp配置方式不同
username test password test //添加需要本地认证的L2TP客户端账号密码信息
3、配置LNS Virtual-vpdn接口
interface Virtual-vpdn 1
ppp authentication chap
ip address 10.1.1.1 255.255.255.0 //virtual-vpdn接口必须静态配置IP地址
vpdn intf_pool test //在接口下调用为vpdn配置的地址池,配置命令和原来的l2tp配置方式不同
======分支路由器(客户端/LAC)的配置没有变化,和L2TP VPN1.0的自发隧道模式的客户端配置方式完全一致=======
4、配置分支路由器PPP拨号
保证分支路由器已经正确接入互联网,并与LNS正常通信。
如果是ADSL拨号,请参考(“典型配置--->广域网接口配置--->ADSL拨号)
5、配置分支路由器L2TP CLASS
l2tp-class l2x
hostname site1 //可选配置
authentication //开启L2TP隧道认证
password ruijie //配置L2TP隧道认证密码为“ruijie”
注意:在l2TP客户端上配置的隧道认证密码必须与LNS上的相同,否则L2TP无法协商成功。
6、配置分支路由器L2TP pseudowire-class 接口
pseudowire-class pw
encapsulation l2tpv2 //指定使用l2tpv2封装
protocol l2tpv2 l2x //指定协议类型为l2tpv2作为隧道协议,并指定使用"l2x"的l2tp class
ip local interface gi 0/0 //指定L2TP隧道协商的源地址,该地址为外网口地址
7、配置分支路由器的Virtual-ppp接口
interface Virtual-ppp 1
ip ref
ppp chap hostname test //配置chap验证用户名
ppp chap password test //配置chap验证密码
ip address negotiate //配置IP地址为自动分配
pseudowire 12.1.1.2 1 pw-class pw //指定LNS的地址,并指定使用“pw”的pseudowire-class
五、配置验证
1、查看L2TP客户端上的状态信息
(1)配置完成后,分支路由器分自动发起L2TP拨号,如果拨号成功,如果拨号成功,在分支路由器上通过show ip interface brief命令可以看到该接口已经up,并且获取到了正确的IP地址。
(2)查看路由表,已经生成了一条virtual-ppp接口上直连的,LNS的virtual-vpdn接口地址的主机路由。
(3)在L2TP客户端上能够ping通LNS的virtual-vpdn的接口地址。
2、查看LNS上的状态信息
(1)在LNS上通过show vpdn命令可以看到当前已经成功拨的用户信息:
已经有2个用户成功拨入
(2)在LNS上查看对应的vpdn接口
只生成了一个vpdn的虚拟接口。
(3)确认对应客户端的路由表
都生成了两个拨入客户端对应的主机路由。
更多推荐
锐捷RSR系列路由器—VPN功能—VPDN 2.0 客户端场景配置—L2TP 2.0自发隧道模式
发布评论