L2TP 典型配置举例.docx
- 文档编号:7923083
- 上传时间:2023-01-27
- 格式:DOCX
- 页数:12
- 大小:72.17KB
L2TP 典型配置举例.docx
《L2TP 典型配置举例.docx》由会员分享,可在线阅读,更多相关《L2TP 典型配置举例.docx(12页珍藏版)》请在冰豆网上搜索。
L2TP典型配置举例
L2TP典型配置举例
l2tp的呼叫可以由nas(网络接入服务器)主动发起,也可以由客户端发起。
下面将分别针对这两种情况举例说明。
2.5.1nas-initializedvpn
1.组网需求
vpn用户访问公司总部过程如下:
用户以普通的上网方式进行拨号上网。
在接入服务器(nas)处对此用户进行验证,发现是vpn用户,则由接入服务器向lns发起隧道连接的请求。
在接入服务器与lns隧道建立后,接入服务器把与vpn用户已经协商的内容作为报文内容传给lns。
lns再根据预协商的内容决定是否接受此连接。
用户与公司总部间的通信都通过接入服务器与lns之间的隧道进行传输。
2.组网图
3.配置步骤
(1)用户侧的配置
在用户侧,在拨号网络窗口中输入vpn用户名vpdnuser,口令hello,拨入号码为170。
在拨号后弹出的拨号终端窗口中输入radius验证的用户名username和口令userpass。
(2)nas侧的配置
#在nas上配置拨入号码为170。
#在radius服务器上设置一个用户名为username、口令为userpass的vpn用户,并设置相应的lns侧设备的ip地址(本例中lns侧与通道相连接的以太口的ip地址为202.38.160.2)。
#将本端的设备名称定义为lac,需要进行通道验证,通道验证密码为tunnelpwd。
(3)防火墙(lns侧)的配置
#设置用户名及口令(应与用户侧的设置一致)。
[h3c]local-uservpdnuser
[h3c-luser-vpdnuser]passwordsimplehello
[h3c-luser-vpdnuser]service-typeppp
#对vpn用户采用本地验证。
[h3c]domainsystem
[h3c-isp-system]schemelocal
[h3c-isp-system]ippool1192.168.0.2192.168.0.100
#启用l2tp服务,并设置一个l2tp组。
[h3c]l2tpenable
[h3c]l2tp-group1
#配置虚模板virtual-template的相关信息。
[h3c]interfacevirtual-template1
[h3c-virtual-template1]ipaddress192.168.0.1255.255.255.0
[h3c-virtual-template1]pppauthentication-modechapdomainsystem
[h3c-virtual-template1]remoteaddresspool1
#配置lns侧接收的通道对端名称。
[h3c]l2tp-group1
[h3c-l2tp1]allowl2tpvirtual-template1remotelac
#启用通道验证并设置通道验证密码。
[h3c-l2tp1]tunnelauthentication
[h3c-l2tp1]tunnelpasswordsimpletunnelpwd
2.5.2client-initializedvpn
1.组网需求
vpn用户访问公司总部过程如下:
用户首先连接internet,之后,直接由用户向lns发起tunnel连接的请求。
在lns接受此连接请求之后,vpn用户与lns之间就建立了一条虚拟的tunnel。
用户与公司总部间的通信都通过vpn用户与lns之间的tunnel进行传输。
2.组网图
3.配置步骤
(1)用户侧的配置
在用户侧主机上必须装有l2tp的客户端软件,如winvpnclient,并且用户通过拨号方式连接到internet。
然后再进行如下配置(设置的过程与相应的客户端软件有关,以下为设置的内容):
#在用户侧设置vpn用户名为vpdnuser,口令为hello。
#将lns的ip地址设为防火墙的internet接口地址(本例中lns侧与通道相连接的以太口的ip地址为202.38.160.2)。
#修改连接属性,将采用的协议设置为l2tp,将加密属性设为自定义,并选择chap验证,进行通道验证,通道的密码为:
tunnelpwd。
(2)防火墙(lns侧)的配置
#设置用户名及口令(应与用户侧的设置一致)。
[h3c]local-uservpdnuser
[h3c-luser-vpdnuser]passwordsimplehello
[h3c-luser-vpdnuser]service-typeppp
#对vpn用户采用本地验证。
[h3c]domainsystem
[h3c-isp-system]schemelocal
[h3c-isp-system]ippool1192.168.0.2192.168.0.100
#启用l2tp服务,并设置一个l2tp组。
[h3c]l2tpenable
[h3c]l2tp-group1
#配置虚模板virtual-template的相关信息。
[h3c]interfacevirtual-template1
[h3c-virtual-template1]ipaddress192.168.0.1255.255.255.0
[h3c-virtual-template1]pppauthentication-modechapdomainsystem
[h3c-virtual-template1]remoteaddresspool1
#配置lns侧接收的通道对端名称。
[h3c]l2tp-group1
[h3c-l2tp1]allowl2tpvirtual-template1
#启用通道验证并设置通道验证密码。
[h3c-l2tp1]tunnelauthentication
[h3c-l2tp1]tunnelpasswordsimpletunnelpwd
2.5.3l2tp多域组网应用
1.组网需求
企业中拥有两个域,pc1为企业中域的用户,pc2为企业中域的用户。
一般情况下,用户无法通过internet直接访问企业内部的网络。
通过建立vpn并支持多域,不同域的用户将从lns获得不同范围的地址,并可以访问企业内部网络。
2.组网图
3.配置步骤
(1)用户侧的配置
建一拨号网络,接收由lns服务器端分配的地址。
对于pc1而言,在弹出的拨号终端窗口中输入用户名vpdn1@,口令为11111(此用户名与口令已在lns中注册)。
对于pc2而言,在弹出的拨号终端窗口中输入用户名vpdn2@,口令为22222(此用户名与口令已在lns中注册)。
(2)secpath1(lac侧)的配置
(本例中lac侧的ethernet0/0/0和ethernet1/0/0是用户接入接口,ethernet0/0/1的ip地址为202.38.160.1,lns侧与通道相连接的ip地址为202.38.160.2)。
#设置用户名及口令。
[h3c]system-view
[h3c]local-uservpdn1
[h3c-luser-vpdn1]passwordsimple11111
[h3c-luser-vpdn1]service-typeppp
[h3c-luser-vpdn1]quit
[h3c]local-uservpdn2
[h3c-luser-vpdn2]passwordsimple22222
[h3c-luser-vpdn2]service-typeppp
[h3c-luser-vpdn2]quit
#配置域用户采用本地认证。
[h3c]domain
[h3c-isp-]schemelocal
[h3c-isp-]quit
[h3c]domain
[h3c-isp-]schemelocal
[h3c-isp-]quit
#在ethernet0/0/0和ethernet1/0/0接口上配置pppoeserver。
[h3c]interfaceethernet0/0/0
[h3c-ethernet0/0/0]pppoe-serverbindvirtual-template100
[h3c-ethernet0/0/0]interfaceethernet1/0/0
[h3c-ethernet1/0/0]pppoe-serverbindvirtual-template101
#在ethernet0/0/1接口上配置ip地址。
[h3c-ethernet0/0/0]interfaceethernet0/0/1
[h3c-ethernet0/0/1]ipaddress202.38.160.1255.255.255.0
#在虚模板上启动chap认证。
[h3c-ethernet0/0/1]interfacevirtual-template100
[h3c-virtual-template100]pppauthentication-modechapdomain
[h3c-virtual-template100]interfacevirtual-template101
[h3c-virtual-template101]pppauthentication-modechapdomain
[h3c-virtual-template101]quit
#设置两个l2tp组并配置相关属性。
[h3c]l2tpenable
[h3c]l2tp-group1
[h3c-l2tp1]tunnelnamelac
[h3c-l2tp1]startl2tpip202.38.160.2domain
[h3c-l2tp1]l2tp-group2
[h3c-l2tp2]tunnelnamelac
[h3c-l2tp2]startl2tpip202.38.160.2domain
#启用通道验证并设置通道验证密码。
[h3c-l2tp2]tunnelauthentication
[h3c-l2tp2]tunnelpasswordsimple12345
[h3c-l2tp2]quit
[h3c]l2tp-group1
[h3c-l2tp1]tunnelauthentication
[h3c-l2tp1]tunnelpasswordsimple12345
(3)secpath2(lns侧)的配置。
[h3c]system-view
[h3c]l2tpenable
[h3c]l2tpmoreexamenable
#创建两个用户名及口令
[h3c]local-uservpdn1
[h3c-luser-vpdn1]passwordsimple11111
[h3c-luser-vpdn1]service-typeppp
[h3c-luser-vpdn1]quit
[h3c]local-uservpdn2
[h3c-luser-vpdn2]passwordsimple22222
[h3c-luser-vpdn2]service-typeppp
[h3c-luser-vpdn2]quit
#创建两个地址池。
[h3c]domain
[h3c-isp-]schemelocal
[h3c-isp-]ippool1202.38.161.10202.38.161.100
[h3c-isp-]quit
[h3c]domain
[h3c-isp-]schemelocal
[h3c-isp-]ippool1202.38.162.10202.38.162.100
[h3c-isp-]quit
#创建两个相应的virtualtemplate。
[h3c]interfacevirtual-template1
[h3c-virtual-template1]ipaddress202.38.161.1255.255.255.0
[h3c-virtual-template1]remoteaddresspool1
[h3c-virtual-template1]pppauthentication-modechapdomain
[h3c-virtual-template1]interfacevirtual-template2
[h3c-virtual-template2]ipaddress202.38.162.2255.255.255.0
[h3c-virtual-template2]remoteaddresspool1
[h3c-virtual-template2]pppauthentication-modechapdomain
[h3c-virtual-template2]quit
#创建两个相应的l2tp-group组。
[h3c]l2tp-group3
[h3c-l2tp3]tunnelauthentication
[h3c-l2tp3]allowl2tpvirtual-template1remotelacdomain
[h3c-l2tp3]tunnelpasswordsimple12345
[h3c-l2tp3]quit
[h3c]l2tp-group4
[h3c-l2tp4]tunnelauthentication
[h3c-l2tp4]allowl2tpvirtual-template2remotelacdomain
[h3c-l2tp4]tunnelpasswordsimple12345
上述配置中,如果lns端需要采用radius验证,请修改aaa配置即可。
2.5.4lac作为客户端典型应用
1.组网需求
lac同时作为l2tp客户端,与lns建立常连接。
并将所有私有网络的数据转发给lns。
2.组网图
3.配置步骤
本例假设公网地址和路由都已正确配置。
此处只说明了vpn相关配置。
(1)lac的典型配置
#设置用户名及口令。
[h3c]local-uservpdnuser
[h3c-luser-vpdnuser]passwordsimplehello
[h3c-luser-vpdnuser]service-typeppp
[h3c-luser-vpdnuser]quit
#启用l2tp服务,并设置一个l2tp组。
[h3c]l2tpenable
[h3c]l2tp-group1
#配置lac侧本端名称,配置对端lns的ip地址。
[h3c-l2tp1]tunnelnamelac
[h3c-l2tp1]startl2tpip3.3.3.2fullusernamevpdnuser
#启用通道验证并设置通道验证密码。
[h3c-l2tp1]tunnelauthentication
[h3c-l2tp1]tunnelpasswordsimpletunnelpwd
[h3c-l2tp1]quit
#配置虚模板virtual-template的相关信息。
[h3c]interfacevirtual-template1
[h3c-virtual-template1]ipaddressppp-negotiate
[h3c-virtual-template1]pppauthentication-modepap
[h3c-virtual-template1]ppppaplocal-uservpdnuserpasswordsimplehello
[h3c-virtual-template1]quit
#配置私网路由。
[h3c]iproute-static10.1.0.016virtual-template1
(2)lns的典型配置
#设置用户名及口令。
[h3c]local-uservpdnuser
[h3c-luser-vpdnuser]passwordsimplehello
[h3c-luser-vpdnuser]service-typeppp
#配置ethernet0/0/1接口。
[h3c]interfaceethernet0/0/1
[h3c-ethernet0/0/1]ipaddress3.3.3.2255.255.0.0
[h3c-ethernet0/0/1]quit
#配置域及地址池。
[routerb]domainsystem
[h3c-isp-system]schemelocal
[h3c-isp-system]ippool1192.168.0.2192.168.0.10
[h3c-isp-system]quit
#启用l2tp服务,并设置一个l2tp组。
[h3c]l2tpenable
[h3c]l2tp-group1
#配置虚模板virtual-template的相关信息。
[h3c]interfacevirtual-template1
[h3c-virtual-template1]ipaddress192.168.0.1255.255.255.0
[h3c-virtual-template1]remoteaddresspool1
[h3c-virtual-template1]pppauthentication-modepap
[h3c-virtual-template1]quit
#配置lns侧接收的通道对端名称。
[h3c]l2tp-group1
[h3c-l2tp1]allowl2tpvirtual-template1remotelac
#启用通道验证并设置通道验证密码。
[h3c-l2tp1]tunnelauthentication
[h3c-l2tp1]tunnelpasswordsimpletunnelpwd
[h3c-l2tp1]quit
#配置私网路由。
[h3c]iproute-static10.2.0.016virtual-template1
(3)启动l2tp连接
#在secpatha的虚模板接口视图下执行启动l2tp连接命令
[h3c]interfacevirtual-template1
[h3c-virtual-template1]l2tp-auto-clientenable
lac和lns连接的私网主机应分别以lac和lns为网关。
2.5.5复杂的组网情况
防火墙支持同时作为lac及ln
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- L2TP 典型配置举例 典型 配置 举例