交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、组网需求
用户有两家网吧,其中A网吧使用电信及网通两条线路,B网吧使用电信一条线路, 现希望能通过VPN借线方式,使B网吧的用户PC在访问网通资源时,与A网吧共用一条网通线路,达到加快访问网通资源的目的。
L2TP VPN 功能介绍:
1)L2TP作为一种二层隧道协议,结合了PPTP(Point to Point Tunneling Protocol,点对点隧道协议)和L2F(Layer 2 Forwarding,二层转发协议)的优点。L2TP是对Point-to-Point Protocol(PPP)的一种扩展,它依靠利用PPP实现用户身份验证和传输数据。与PPTP不同的是,L2TP使用UDP作为控制消息与数据消息的传输协议。
2)L2TP也是实现VPN的一种重要和有效的方法。VPN使得网络用户访问公司内部网更方便与安全,无论是拨号用户还是其他网络接入方式的用户都可以通过VPN轻松达到这个目的。
二、组网拓扑
三、配置要点
1、A网吧的出口NBR路由器做L2TP服务端,B网吧的出口NBR路由器做L2TP的客户端;
2、配置分为服务端和客户端的配置;两端网络环境的路由器内网网段要不一样的内网网段。
3、当从外网拨VPN进来的用户要访问内网的服务器,在服务端路由器内网口开启防ARP代理的功能。
四、配置步骤
1、先telnet方式登入路由器上
打开电脑运行-》输入cmd-》输入telnet 192.168.1.1后按回车
2、password后面输入的密码不显示,直接输入密码后按回车就可以
password:-----输入telnet密码
NBR2000>en
password:-----输入WEB登入密码
NBR2000#conf
3、在路由器内网口开启ARP代理功能
NBR2000(config)# int g0/0
NBR2000(config-if)#ip proxy-arp -----开启ARP代理功能
NBR2000(config-if)#end
NBR2000#wr
4、 L2TP VPN 服务端配置:
(1)配置VPN相关参数
NBR2000(config)#vpdn enable-----开启VPN功能
NBR2000(config)#vpdn-group l2tp ----创建一个VPDN组,命名为pptp
NBR2000(config-vpdn)#accept-dialin ----允许拨号
NBR2000(config-vpdn-acc-in)#protocol l2tp----协议为l2tp
NBR2000(config-vpdn-acc-in)#virtual-template 2----引用虚模板2
(2)配置用户和地址池
NBR2000(config)#username ruijie password 0 ruijie ----创建一个帐号名称是ruijie, 密码也是ruijie
NBR2000(config)#ip local pool l2tppool 192.168.2.2 192.168.2.10----创建VPN地址池192.168.2.2~192.168.2.10
(3)配置关联接口Loopback 1
NBR2000(config)#interface Loopback 1-----配置关联接口loopback接口
NBR2000(config-if)#192.168.2.1 255.255.255.0
NBR2000(config-if)#exit
(4)配置虚拟模板
NBR2000(config)#interface virtual-template 2 ----创建虚模板2
NBR2000(config-if)#ppp authentication chap ----加密方式为chap
NBR2000(config-if)#ip unnumbered Loopback 1 ----关联loopback接口
NBR2000(config-if)#peer default ip address pool l2tppool ----引用地址范围
NBR2000(config-if)#ip nat inside ----参与NAT
NBR2000(config-if)#end
NBR2000#wr-----保存
5、L2TP VPN 客户端配置
(1)配置VPN客户端相关参数
NBR2000(config)# l2tp-class l2x-----创建名为l2x的l2tp-class,被pseudowire-class引用
NBR2000(config)#pseudowire-class pw-----创建名为pw的pseudowire-class
NBR2000(config-pw-class)#encapsulation l2tpv2-----封装l2tp
NBR2000(config-pw-class)#protocol l2tpv2 l2x----引用上面定义的l2tp-class l2x
NBR2000(config-pw-class)#exit
(2)配置虚拟模版
NBR2000(config)#interface Virtual-ppp 1-----创建Virtual-ppp,用于绑定会话
NBR2000(config-if)#pseudowire 192.168.33.241 11 encapsulation l2tpv2 pw-class pw-----设置pseudowire规则,L2TP Server地址192.168.33.241,引用pseudowire-class
NBR2000(config-if)#ppp chap hostname ruijie-----设定pap认证的用户
NBR2000(config-if)#ppp chap password 0 ruijie-----设定pap认证的密码
NBR2000(config-if)# ip tcp adjust-mss 1420
NBR2000(config-if)# ip nat outside----参与NAT
NBR2000(config-if)# ip address negotiate
NBR2000(config-if)# ip mtu 1460
NBR2000(config-if)#end
(3)配置出口如果访问网通,那么走VPN出口
NBR2000#conf
NBR2000(config)#route-auto-choose cnc virtual-ppp 1
NBR2000(config)#end
NBR2000#wr
五、配置验证
1、在B网吧路由器上查看当前获取到的VPN IP地址
telnet 192.168.33.111,看到获取到的地址是192.168.2.2
2、在B网吧环境的电脑,查看访问网通的数据是否走VPN出口出去,可以在电脑上路径跟踪要访问的网通地址,如果发现数据是从VPN隧道出去,正面VPN借线成功。