VPDN业务配置经验交流 一、名词说明: VPDN全名为虚拟私有拨号网络(Virtual Private Dialup Networks)是指以 拨号接入方式上网,通过对网络数据的封包和加密在公网上传输私有数据,达到私有网络的安全级别,从而利用公众交换电话网络(PSTN)的架构来构筑企事业的私有网络。VPDN用户可以经过公共网络,通过虚拟的安全通道和用户内部的用户网络进行连接,而公共网络上的用户则无法穿过虚拟通道访问用户网络内部的资源。 L2TP第二层隧道协议(英语:Layer Two Tunneling Protocol)在VPDN中,使用的是L2TP的第二层隧道协议。第二层隧道协议有三种:点对点隧道协议( PPTP,MicroSoft企业支撑),第二层转发( L2F,Cisco与北电支撑),第二层隧道协议(L2TP,由IETF起草)。 L2TP是由IETF起草,结合了PPTP与L2F的优点,可以让客户端或访问服务器端发起VPDN连接。L2TP定义了利用公共网络设施(如 IP网络、ATM和 帧中继网络)封装传输链路层PPP帧的方法。L2TP主要是由LAC和LNS构成,LAC支撑客户端的L2TP,它用于发起呼叫、接收呼叫和建立隧道LNS是所有隧道的终点。传统的PPP连接中,用户拨号连接的终点是LAC,L2TP便利PPP协议的终点延伸到 LNS。 LAC(L2TP Access Concentrator,L2TP访问集中器):LAC作为L2TP隧道的端点,位于LNS和远端系统之间,用于在LNS和远端系统之间传递报文。它把从远端系统收到的报文按照L2TP协议进行封装并送往LNS,同时也将从LNS收到的报文进行解封装并送往远端系统。 LNS(L2TP Network Server,L2TP网络服务器): LNS是具有PPP和L2TP协议处理能力的设备,通常位于企业内部网络的边缘。LNS作为L2TP隧道的另一侧端点,是LAC通过隧道传输的PPP会话的逻辑终点。L2TP通过在公共网络中建立L2TP隧道,将远端系统的PPP连接由原来的NAS延伸到了企业内部网络的LNS设备。 二、实验拓扑 因HUAWEI模拟器镜像NE40E无法支撑L2TP接入配置,该实验采用H3C_vBRAS2k镜像完成NAS-Initiated模式 VPDN业务配置 H3C_LAC 通过G1/0 与H3C_ LNSG1/0 相连构成公网网络、IP地址段为12.1.1.0/24 H3C_ LNS G4/0 与 win—servers E0 口相连构成企业网内部网络、 IP地址段14.1.1.0/24 H3C_LAC G4/0与 win—client E0 口相连采用PPPoe 连接构成VPDN远程接入。 三、具体配置步骤:1、LAC侧配置 #配置各接口的IP地址 interfaceGigabitEthernet1/0 port link-mode route ip address 12.1.1.1255.255.255.0 interfaceLoopBack0 ipaddress 1.1.1.1 255.255.255.255 ospf 110router-id 1.1.1.1 area 0.0.0.0 network 1.1.1.1 0.0.0.0 network 12.1.1.0 0.0.0.255 #配置ISP域l2tp对PPP用户采用本地验证。 [LAC] domain l2tp [LAC-isp-l2tp]authentication ppp local [LAC-isp-l2tp] quit # 配置虚拟模板接口1的参数,采用CHAP认证对端。 [LAC] interfacevirtual-template 1 [LAC-Virtual-Template1]ppp authentication-mode chap domainl2tp [LAC-Virtual-Template1]quit # 在接口GigabitEthernet4/0上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。 [LAC] interfacegigabitethernet 4/0 [LAC-GigabitEthernet4/0]pppoe-server bind virtual-template 1 [LAC-GigabitEthernet4/0]quit # 开启L2TP功能。 [LAC] l2tp enable # 创建LAC模式的L2TP组1,配置隧道本端名称为LAC,指定接入的PPP用户的域名为l2tp时LAC向LNS发起隧道建立请求,并指定LNS地址为2.2.2.2 [LAC] l2tp-group 1 modelac [LAC-l2tp1] tunnel nameLAC [LAC-l2tp1] user domainl2tp [LAC-l2tp1] user-type lns-ip2.2.2.2 [LAC-l2tp1] source-ip1.1.1.1 # 启用隧道验证功能,并设置隧道验证密钥为huawei123。 [LAC-l2tp1] tunnelauthentication [LAC-l2tp1] tunnelpassword simple huawei123 [LAC-l2tp1] quit # 创建本地PPP用户l2tp,设置密码为Access。 [LAC] local-user l2tp class network [LAC-luser-network-l2tp] password simple Access [LAC-luser-network-l2tp] service-type ppp [LAC-luser-network-l2tp] quit (2) 配置LNS端 # 配置各接口的IP地址。 interface GigabitEthernet1/0 port link-mode route ip address 12.1.1.2255.255.255.0 interfaceGigabitEthernet4/0 port link-mode route ip address 14.1.1.1 255.255.255.0 interfaceLoopBack0 ipaddress 2.2.2.2 255.255.255.255 ospf 110router-id 2.2.2.2 area 0.0.0.0 network 2.2.2.2 0.0.0.0 network 12.1.1.0 0.0.0.255 # 创建本地PPP用户l2tp,设置密码为Access。 [LNS] local-user l2tp class network [LNS-luser-network-l2tp] password simple Access [LNS-luser-network-l2tp] service-type ppp [LNS-luser-network-l2tp] quit # 配置ISP域l2tp对PPP用户采用本地验证。 [LNS] domain l2tp [LNS-isp-l2tp] authentication ppp local [LNS-isp-l2tp] quit # 配置PPP地址池。 [LNS] ip pool l2tp 172.16.16.2172.16.16.254 [LNS] ip pool l2tp gateway 172.16.16.1 # 创建接口Virtual-Template1,PPP认证方式为CHAP,并使用地址池l2tp为LAC client端分配IP地址。 [LNS] interface virtual-template 1 [LNS-virtual-template1] pppauthentication-mode chap domain l2tp [LNS-virtual-template1] remote addresspool l2tp [LNS-virtual-template1] quit # 开启L2TP功能。 [LNS] l2tp enable # 创建LNS模式的L2TP组1,配置隧道本端名称为LNS,指定接收呼叫的虚拟模板接口为VT1,并配置隧道对端名称为LAC。 [LNS] l2tp-group 1 mode lns [LNS-l2tp1] tunnel name LNS [LNS-l2tp1] allow l2tp virtual-template 1remote LAC # 启用隧道验证功能,并设置隧道验证密钥为huawei123。 [LNS-l2tp1] tunnel authentication [LNS-l2tp1] tunnel password simple huawei123 [LNS-l2tp1] quit (3) 配置WIN-servers IP地址为14.1.1.2 (4) WIN-client上创建PPPOE拨号连接 四、连通性验证 1、WIN-client 拨号 获取LNS 分配的地址,PINGwin-servers 地址:14.1.1.2 2、 LNS端通过命令displayppp access-user user-type lns可查看在线用户的信息 在LNS端,通过命令display l2tp tunnel可查看建立的L2TP隧道 在LNS端,通过命令display l2tp session可查看建立的L2TP会话 3、在LAC与LNS互联链路上wireshark抓包
|