交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
物联网
安全
大数据安全平台
下一代防火墙
安全网关
检测管理安全
安全服务
安全云
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
功能介绍
在自发隧道模式下:远程接入客户端运行L2TP软件,充当了L2TP连接模型中的LAC。远程客户端/LAC(在RFC 2661中被称为“LAC客户”)连接到LNS,PPP帧通过L2TP隧道直接在客户和LNS之间转发。一般企业的总分机构互联场景下使用该场景。
应用场景
若总公司和分公司各自的内网要能够互相共享资料,且对数据的安全性要求不高,总公司对分公司路由器采用AAA方式进行验证,此时您可以在总公司和分公司的网络设备上启用强制模式的L2TP VPN,且PPP认证采用AAA认证。
一、组网需求
某企业使由于业务拓展,在全国各地建立了若干分支机构;总部出口路由器通过运营商专线连接到互联网,各分支可能通过专线或者ADSL方式接入互联网。分支机构在业务开展过程中需要访问位于总部的业务服务器,同时需要对分支与总部间通信的数据进行加密,保证业务安全。
该场景通过在总部出口路由器和分支出口路由器间建立L2TP VPN来满足分支与总部间的业务互访需求。
二、组网拓扑
三、配置要点
1、配置LNS VPDN
2、配置LNS地址池和用户信息
3、配置LNSVirtual-Template接口
4、配置LNS AAA认证
5、配置LNS AAA记账
6、配置分支路由器PPP拨号
7、配置分支路由器L2TP CLASS
8、配置分支路由器L2TP pseudowire-class 接口
9、配置分支路由器的Virtual-ppp接口
四、配置步骤
1、配置LNS VPDN
vpdn enable
vpdn-group 1
accept-dialin
protocol any
virtual-template 1
l2tp tunnel authentication //按需启用l2tp隧道认证功能
l2tp tunnel password ruijie //按需配置l2tp隧道密码为“ruijie”
注意:在LNS上配置了隧道认证和密码后,必须在L2TP客户端上也配置隧道认证和相同的密码,否则L2TP无法协商成功。
2、配置LNS地址池和用户信息
ip local pool p1 100.0.0.2 100.0.0.100//配置l2tp用户的地址池
username test password test //添加需要本地认证的L2TP客户端账号密码信息
3、配置LNS Virtual-Template接口
interface loopback 1 //添加loopback接口,该接口地址用于供VPDN虚模板使用
ip address 100.0.0.1 255.255.255.255
interface Virtual-Template 1
ppp authentication pap chap //指定优先使用pap认证,同时支持chap认证
ip unnumbered Loopback 1 //指定虚模板引用loopback 1的地址
peer default ip address pool p1 //指定l2tp客户端所使用的地址池
4、配置LNS AAA认证
aaa new-model
radius-server host x.x.x.x key xxx //指定radius服务器IP地址和key
aaa authentication ppp default group radius //指定ppp默认通过radius服务器进行认证
5、配置LNS AAA记账
aaa new-model
aaa accounting update periodic 1 //配置记账更新的间隔时间为1分钟,默认为5分钟,最小为1分钟
aaa accounting update //启用记账更新功能
aaa accounting network default start-stop group radius //指定使用radius对网络用户的请求开始和结束时进行记账
注意:
只有radius服务器采用地址池给用户分配IP地址时,需要配置AAA记账功能,因为AAA地址池需要依靠用户记账功能实现IP地址分配和释放需求。如果AAA采用静态IP地址分配给AAA用户,可以不配置AAA记账功能。
6、配置分支路由器PPP拨号
保证分支路由器已经正确接入互联网,并与LNS正常通信。
如果是ADSL拨号,请参考(“典型配置--->广域网接口配置--->ADSL拨号)
7、配置分支路由器L2TP CLASS
l2tp-class l2x
hostname site1
authentication //开启L2TP隧道认证
password ruijie //配置L2TP隧道认证密码为“ruijie”
注意:在l2TP客户端上配置的隧道认证密码必须与服务器上的相同,否则L2TP无法协商成功。
8、配置分支路由器L2TP pseudowire-class 接口
pseudowire-class pw
encapsulation l2tpv2 //指定使用l2tpv2封装
protocol l2tpv2 l2x //指定协议类型为l2tpv2作为隧道协议,并指定使用"l2x"的l2tp class
ip local interface dialer 0 //指定L2TP隧道协商的源地址,该地址为外网口地址
9、配置分支路由器的Virtual-ppp接口
interface Virtual-ppp 1
ip ref
ppp pap sent-username test password test //配置L2TP的用户名和密码,使用PAP认证
ip address negotiate //配置IP地址为自动分配
pseudowire 10.0.0.1 12 pw-class pw //指定LNS的地址,并指定使用“pw”的pseudowire-class
五、配置验证
1、查看L2TP客户端上的状态信息
(1)配置完成后,分支路由器分自动发起L2TP拨号,如果拨号成功,如果拨号成功,在分支路由器上通过show ip interface brief命令可以看到该接口已经up,并且获取到了正确的IP地址。
(2)查看路由表,已经生成了一条virtual-ppp接口上直连的,LNSvirtual-template接口地址。
(3)在L2TP客户端上能够ping通LNS的virtual-template接口地址。
2、查看LNS上的状态信息
在LNS上通过show vpdn命令可以看到当前已经成功拨的用户信息: