交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、网络需求
两个局域网,一端出口设备为V1600S,外网接口使用固定IP上网;另一端为EG1000S路由器,外网使用ADSL拨号线路上网。两端建立点对点的L2TP VPN,实现互相局域网之间互相访问。
二、网络拓扑
拓扑信息如下
三、配置要点
1.配置V1600S的基本上网配置
1)配置内网接口IP:
2)配置外网接口IP:
3) 配置对象定义:定义内网网段;
4)定义内网访问外网的地址转换规则;
5)配置完新增的地址转换规则,并把该条规则调所有规则的最前面;
(注:初始化的V1600S默认产生以下两条访问规则,序号为1的安全规则是对任何数据都是放通,不进行任何的修改,序号为2的安全规则是对任何数据都进行阻断;访问规则的处理顺序是由上往下,从第一访问规则开始匹配,如果新增加了访问规则,记得根据实际的网络需求调整好规则之间的顺序)
2.配置V600S的L2TP
1) 定义PPP认证用户(需要与EG1000S 配置一致)
2)本地设备配置(设备与设备的L2TP的PPP认证是以 “对方设备配置>添加新设备>PPP链路认证” 为准)
3)对方设备配置(如果启用了L2TP 隧道认证,双方设备的设备标识也必须一致,此案例中有启用隧道认证)
4) 重载L2TP VPN(配置完以上步骤后,一定要重载才能生效)
3.配置EG1000S
1)先配置基本的上网功能,保证内网用户能访问互联网
2)配置L2TP
四、配置步骤
1.配置V1600S的基本上网配置
------------------------以下配置V1600S 的基本上网功能------------------
1)配置接口IP地址
2)配置外网接口及外网网关地址
3)定义内网用户的网段地址
4)配置内网用户访问互联网的NAT转换规则
5)配置好以上的访问规则后,通过“规则上移”的按键把该条规则调到最前面,最终的访问规则顺序如下图所示:
2.配置V600S的L2TP
---------------------------------------配置V16000S的L2TP--------------------------
1)定义PPP认证用户,提供L2TP VPN两端认证使用,此处的用户名为ruijie ,密码123456
2)本地设备配置
3)对方设备配置
添加对端EG1000S 内网的网段地址
4)重载L2TP VPN
3.配置EG1000S
1)先配置基本的上网功能,保证内网用户能访问互联网
--------------------以下配置EG1000S内网用户的基本上网功能---------------------
dialer-list 1 protocol ip permit //与ADSL拨号相关的配置
interface GigabitEthernet 0/1 //内网接口
ip nat inside
no ip proxy-arp
ip address 192.168.2.1 255.255.255.0
!
interface GigabitEthernet 0/0 //外网接口
pppoe enable
pppoe-client dial-pool-number 2 no-ddr
interface dialer 2
mtu 1488
encapsulation PPP
ppp chap hostname XXXXXXXXX //ADSL拨号的用户名,这里请填入实际的账号
ppp chap password XXXXXX //ADSL拨号的密码,这里请填入实际的密码
ppp pap sent-username XXXXXXXXX password XXXXXXX //ADSL拨号的用户名和密码,这里请填入实际的账号和密码
ip nat outside
ip address negotiate
dialer pool 2
dialer-group 1
ip nat inside source list 1 pool nat_pool overload //NAT配置
ip nat pool nat_pool prefix-length 24
address interface dialer 2 match interface dialer 2
address interface Virtual-ppp 1 match interface Virtual-ppp 1
ip route 0.0.0.0 0.0.0.0 dialer 2 //配置默认路由,下一跳接口为拨号口 dialer 2
2)配置L2TP
-----------------------------以下配置EG1000S的L2TP--------------------------------
下图是web界面的配置方式
、
对应的命令行的配置如下:
l2tp-class l2x
authentication
hostname EG1000S (与V1600S设置的标识一致)
password 123 (隧道认证的密码与V1600S上设置的一致)
!
pseudowire-class pw
encapsulation l2tpv2
protocol l2tpv2 l2x
interface Virtual-ppp 1
pseudowire 172.18.10.98 11 encapsulation l2tpv2 pw-class pw
ppp chap hostname ruijie //PPP认证用户名与V1600S上的配置一致
ppp chap password 123456 //PPP认证的密码与V1600S上的配置一致
ppp pap sent-username ruijie password 123456 //PPP认证的用户名和密码与V1600S上的配置一致
(PPP认证包含pap 和chap 两种认证方式)
ip nat outside
ip tcp adjust-mss 1420
ip mtu 1460
ip address 10.0.0.2 255.255.255.0 //手工指定虚拟接口的IP地址,与V1600S的虚IP必须为同一网段
ip nat pool nat_pool prefix-length 24
address interface Virtual-ppp 1 match interface Virtual-ppp 1
ip route 192.168.2.0 255.255.255.0 Virtual-ppp 1 //配置静态路由,去往V1600S内网网段的下一跳为VPN虚拟接口
五、配置验证
V1600S: L2TP 配置好后需要流量触发才能看到“隧道状态”显示“隧道已建立”
EG1000S:通过以下命令来查看L2TP VPN的隧道状态,“est”代表隧道建立成功
从EG1000S上带源ping,ping对方的内网的192.168.2.2主机