【NBR】NBR如何通过命令行方式配置L2TP VPN

发布时间：2013-10-09

点击量：3480

一、组网需求
用户有两家网吧，其中A网吧使用电信及网通两条线路，B网吧使用电信一条线路，现希望能通过VPN借线方式，使B网吧的用户PC在访问网通资源时，与A网吧共用一条网通线路，达到加快访问网通资源的目的。

L2TP VPN 功能介绍：
1）L2TP作为一种二层隧道协议，结合了PPTP(Point to Point Tunneling Protocol，点对点隧道协议)和L2F(Layer 2 Forwarding，二层转发协议)的优点。L2TP是对Point-to-Point Protocol(PPP)的一种扩展，它依靠利用PPP实现用户身份验证和传输数据。与PPTP不同的是，L2TP使用UDP作为控制消息与数据消息的传输协议。
2）L2TP也是实现VPN的一种重要和有效的方法。VPN使得网络用户访问公司内部网更方便与安全，无论是拨号用户还是其他网络接入方式的用户都可以通过VPN轻松达到这个目的。

二、组网拓扑

三、配置要点
1、A网吧的出口NBR路由器做L2TP服务端，B网吧的出口NBR路由器做L2TP的客户端；
2、配置分为服务端和客户端的配置；两端网络环境的路由器内网网段要不一样的内网网段。
3、当从外网拨VPN进来的用户要访问内网的服务器，在服务端路由器内网口开启防ARP代理的功能。

四、配置步骤
1、先telnet方式登入路由器上
打开电脑运行-》输入cmd-》输入telnet 192.168.1.1后按回车

2、password后面输入的密码不显示，直接输入密码后按回车就可以
     password：-----输入telnet密码
   NBR2000>en
   password：-----输入WEB登入密码
     NBR2000#conf

3、在路由器内网口开启ARP代理功能
     NBR2000(config)# int g0/0
   NBR2000(config-if)#ip proxy-arp -----开启ARP代理功能
     NBR2000(config-if)#end
   NBR2000#wr

  4、 L2TP VPN 服务端配置：
（1）配置VPN相关参数
   NBR2000(config)#vpdn enable-----开启VPN功能
   NBR2000(config)#vpdn-group l2tp ----创建一个VPDN组，命名为pptp
   NBR2000(config-vpdn)#accept-dialin ----允许拨号
   NBR2000(config-vpdn-acc-in)#protocol l2tp----协议为l2tp
    NBR2000(config-vpdn-acc-in)#virtual-template 2----引用虚模板2

（2）配置用户和地址池
NBR2000(config)#username ruijie password 0 ruijie ----创建一个帐号名称是ruijie，密码也是ruijie
NBR2000(config)#ip local pool l2tppool 192.168.2.2 192.168.2.10----创建VPN地址池192.168.2.2~192.168.2.10

  （3）配置关联接口Loopback 1
     NBR2000(config)#interface Loopback 1-----配置关联接口loopback接口
    NBR2000(config-if)#192.168.2.1 255.255.255.0
   NBR2000(config-if)#exit

（4）配置虚拟模板
     NBR2000(config)#interface virtual-template 2   ----创建虚模板2
    NBR2000(config-if)#ppp authentication chap   ----加密方式为chap
    NBR2000(config-if)#ip unnumbered Loopback 1    ----关联loopback接口
   NBR2000(config-if)#peer default ip address pool l2tppool ----引用地址范围
   NBR2000(config-if)#ip nat inside    ----参与NAT
    NBR2000(config-if)#end
   NBR2000#wr-----保存

5、L2TP VPN 客户端配置
（1）配置VPN客户端相关参数
     NBR2000(config)# l2tp-class l2x-----创建名为l2x的l2tp-class，被pseudowire-class引用
     NBR2000(config)#pseudowire-class pw-----创建名为pw的pseudowire-class
      NBR2000(config-pw-class)#encapsulation l2tpv2-----封装l2tp
      NBR2000(config-pw-class)#protocol l2tpv2 l2x----引用上面定义的l2tp-class   l2x
      NBR2000(config-pw-class)#exit

（2）配置虚拟模版
      NBR2000(config)#interface Virtual-ppp 1-----创建Virtual-ppp，用于绑定会话
      NBR2000(config-if)#pseudowire 192.168.33.241 11 encapsulation l2tpv2 pw-class pw-----设置pseudowire规则，L2TP Server地址192.168.33.241，引用pseudowire-class
     NBR2000(config-if)#ppp chap hostname ruijie-----设定pap认证的用户
      NBR2000(config-if)#ppp chap password 0 ruijie-----设定pap认证的密码
      NBR2000(config-if)# ip tcp adjust-mss 1420
     NBR2000(config-if)# ip nat outside----参与NAT
      NBR2000(config-if)# ip address negotiate
    NBR2000(config-if)# ip mtu 1460
    NBR2000(config-if)#end

（3）配置出口如果访问网通，那么走VPN出口
     NBR2000#conf
    NBR2000(config)#route-auto-choose cnc virtual-ppp 1
     NBR2000(config)#end
   NBR2000#wr

五、配置验证
1、在B网吧路由器上查看当前获取到的VPN IP地址
telnet 192.168.33.111,看到获取到的地址是192.168.2.2