产品
产品中心
< 返回主菜单
产品

交换机

交换机所有产品
< 返回产品
交换机
查看交换机首页 >

无线

无线所有产品
< 返回产品
无线
查看无线首页 >

云桌面

云桌面产品方案中心
< 返回产品
云桌面
查看云桌面首页 >

安全

安全所有产品
< 返回产品
安全
查看安全首页 >
产品中心首页 >
行业
行业中心
< 返回主菜单
行业
行业中心首页 >

【RSR】RSR如何配置AAA的L2TP自发隧道模式

发布时间:2013-09-12
点击量:8289

功能介绍

       在自发隧道模式下:远程接入客户端运行L2TP软件,充当了L2TP连接模型中的LAC。远程客户端/LAC(在RFC 2661中被称为“LAC客户”)连接到LNS,PPP帧通过L2TP隧道直接在客户和LNS之间转发。一般企业的总分机构互联场景下使用该场景。

应用场景

若总公司和分公司各自的内网要能够互相共享资料,且对数据的安全性要求不高,总公司对分公司路由器采用AAA方式进行验证,此时您可以在总公司和分公司的网络设备上启用强制模式的L2TP VPN,且PPP认证采用AAA认证。

 

一、组网需求

某企业使由于业务拓展,在全国各地建立了若干分支机构;总部出口路由器通过运营商专线连接到互联网,各分支可能通过专线或者ADSL方式接入互联网。分支机构在业务开展过程中需要访问位于总部的业务服务器,同时需要对分支与总部间通信的数据进行加密,保证业务安全。

该场景通过在总部出口路由器和分支出口路由器间建立L2TP VPN来满足分支与总部间的业务互访需求。

二、组网拓扑

三、配置要点

1、配置LNS VPDN

2、配置LNS地址池和用户信息

3、配置LNSVirtual-Template接口

4、配置LNS AAA认证

5、配置LNS AAA记账

6、配置分支路由器PPP拨号

7、配置分支路由器L2TP CLASS

8、配置分支路由器L2TP pseudowire-class 接口

9、配置分支路由器的Virtual-ppp接口

四、配置步骤

1、配置LNS VPDN

vpdn enable

vpdn-group 1

    accept-dialin

        protocol any

        virtual-template 1

    l2tp tunnel authentication                     //按需启用l2tp隧道认证功能

    l2tp tunnel password ruijie                    //按需配置l2tp隧道密码为“ruijie”

注意:在LNS上配置了隧道认证和密码后,必须在L2TP客户端上也配置隧道认证和相同的密码,否则L2TP无法协商成功。

2、配置LNS地址池和用户信息

ip local pool p1 100.0.0.2 100.0.0.100//配置l2tp用户的地址池

username test password test              //添加需要本地认证的L2TP客户端账号密码信息

3、配置LNS Virtual-Template接口

interface loopback 1                              //添加loopback接口,该接口地址用于供VPDN虚模板使用

    ip address 100.0.0.1 255.255.255.255

interface Virtual-Template 1

    ppp authentication pap chap                //指定优先使用pap认证,同时支持chap认证

    ip unnumbered Loopback 1                 //指定虚模板引用loopback 1的地址

    peer default ip address pool p1            //指定l2tp客户端所使用的地址池

4、配置LNS AAA认证

aaa new-model

radius-server host x.x.x.x key xxx         //指定radius服务器IP地址和key

aaa authentication ppp default group radius    //指定ppp默认通过radius服务器进行认证

5、配置LNS AAA记账

aaa new-model

aaa accounting update periodic 1        //配置记账更新的间隔时间为1分钟,默认为5分钟,最小为1分钟

aaa accounting update                        //启用记账更新功能

aaa accounting network default start-stop group radius  //指定使用radius对网络用户的请求开始和结束时进行记账

注意:

只有radius服务器采用地址池给用户分配IP地址时,需要配置AAA记账功能,因为AAA地址池需要依靠用户记账功能实现IP地址分配和释放需求。如果AAA采用静态IP地址分配给AAA用户,可以不配置AAA记账功能。

6、配置分支路由器PPP拨号

保证分支路由器已经正确接入互联网,并与LNS正常通信。

如果是ADSL拨号,请参考(“典型配置--->广域网接口配置--->ADSL拨号)

7、配置分支路由器L2TP CLASS

l2tp-class l2x

    hostname site1

    authentication           //开启L2TP隧道认证

    password ruijie          //配置L2TP隧道认证密码为“ruijie”

注意:在l2TP客户端上配置的隧道认证密码必须与服务器上的相同,否则L2TP无法协商成功。

8、配置分支路由器L2TP pseudowire-class 接口

pseudowire-class pw

    encapsulation l2tpv2        //指定使用l2tpv2封装

    protocol l2tpv2 l2x           //指定协议类型为l2tpv2作为隧道协议,并指定使用"l2x"的l2tp class

    ip local interface dialer 0    //指定L2TP隧道协商的源地址,该地址为外网口地址

9、配置分支路由器的Virtual-ppp接口

interface Virtual-ppp 1

    ip ref

    ppp pap sent-username test password test  //配置L2TP的用户名和密码,使用PAP认证

    ip address negotiate                                     //配置IP地址为自动分配

    pseudowire 10.0.0.1 12 pw-class pw             //指定LNS的地址,并指定使用“pw”的pseudowire-class

 

五、配置验证

1、查看L2TP客户端上的状态信息

(1)配置完成后,分支路由器分自动发起L2TP拨号,如果拨号成功,如果拨号成功,在分支路由器上通过show ip interface brief命令可以看到该接口已经up,并且获取到了正确的IP地址。

(2)查看路由表,已经生成了一条virtual-ppp接口上直连的,LNSvirtual-template接口地址。

(3)在L2TP客户端上能够ping通LNS的virtual-template接口地址。

2、查看LNS上的状态信息

在LNS上通过show vpdn命令可以看到当前已经成功拨的用户信息:

 

 

 

 

 

 

相关产品

返回顶部

请选择服务项目
关闭咨询页
售前咨询 售前咨询
售前咨询
售后服务 售后服务
售后服务
意见反馈 意见反馈
意见反馈
更多联系方式