UTM系列L2TP典型配置举例杭州华三通信技术有限公司页,共17页UTM系列L2TP典型配置举例关键词:VPDNL2TP摘要:本章首先介绍了L2TP的基本概念,随后说明了UTM设备的L2TP配置方法,最后给出典型应用举例。缩略语:缩略语英文全名中文解释VPDNVirtualPrivateDial-upNetwork虚拟私有拨号网L2TPLayer2TunnelingProtocol二层隧道协议LNSL2TPNetworkServerL2TP网络服务器UTM系列L2TP典型配置举例杭州华三通信技术有限公司页,共17页目录1特性简介..............................................................................................................................................31.1L2TP典型组网应用...............................................................................................................................31.2L2TP隧道模式......................................................................................................................................42应用场合..............................................................................................................................................53配置指南..............................................................................................................................................53.1配置概述..............................................................................................................................................53.2启用L2TP功能.....................................................................................................................................53.3新建L2TP用户组..................................................................................................................................63.4查看L2TP隧道信息............................................................................................................................114Client-InitiatedVPN典型配置举例.......................................................................................................124.1使用版本............................................................................................................................................124.2组网需求............................................................................................................................................124.3配置步骤............................................................................................................................................134.3.1配置用户侧..............................................................................................................................134.3.2配置LNS侧..............................................................................................................................134.4配置结果验证.....................................................................................................................................165相关资料............................................................................................................................................175.1相关协议和标准.................................................................................................................................175.2其它相关资料.....................................................................................................................................17UTM系列L2TP典型配置举例杭州华三通信技术有限公司页,共17页1特性简介VPDN(VirtualPrivateDial-upNetwork,虚拟私有拨号网)是指利用公共网络(如ISDN或PSTN)的拨号功能接入公共网络,实现虚拟专用网,从而为企业、小型ISP、移动办公人员等提供接入服务。即,VPDN为远端用户与私有企业网之间提供了一种经济而有效的点到点连接方式。VPDN有以下两种实现方式:z接入服务器发起VPDN连接NAS(NetworkAccessServer,网络接入服务器)通过使用VPDN隧道协议,将客户的PPP连接直接连到企业的VPDN网关上,从而与VPDN网关建立隧道。这些对于用户是透明的,用户只需要登录一次就可以接入企业网络,由企业网进行用户认证和地址分配,而不占用公共地址。该方式需要NAS支持VPDN协议、认证系统支持VPDN属性。z用户发起VPDN连接客户端与VPDN网关建立隧道。这种方式由客户端先建立与Internet的连接,再通过专用的客户软件(如Windows2000支持的L2TP客户端)与VPDN网关建立隧道连接。用户上网的方式和地点没有限制,不需ISP介入。但是,用户需要安装专用的软件(一般都是Windows2000平台),限制了用户使用的平台。VPDN网关一般使用路由器或VPN专用服务器。VPDN隧道协议主要包括以下三种:zPPTP(Point-to-PointTunnelingProtocol,点到点隧道协议)zL2F(Layer2Forwarding,二层转发)zL2TP(Layer2TunnelingProtocol,二层隧道协议)目前使用最广泛的是L2TP。1.1L2TP典型组网应用使用L2TP协议构建的VPDN应用的典型组网如图1所示。图1应用L2TP构建的VPDN服务UTM系列L2TP典型配置举例杭州华三通信技术有限公司页,共17页在L2TP构建的VPDN中,网络组件包括以下三个部分:z远端系统远端系统是要接入VPDN网络的远地用户和远地分支机构,通常是一个拨号用户的主机或私有网络的一台路由设备。zLAC(L2TPAccessConcentrator,L2TP访问集中器)LAC是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备,通常是一个当地ISP的NAS,主要用于为PPP类型的用户提供接入服务。LAC位于LNS和远端系统之间,用于在LNS和远端系统之间传递信息包。它把从远端系统收到的信息包按照L2TP协议进行封装并送往LNS,同时也将从LNS收到的信息包进行解封装并送往远端系统。LAC与远端系统之间采用本地连接或PPP链路,VPDN应用中通常为PPP链路。zLNS(L2TPNetworkServer,L2TP网络服务器)LNS既是PPP端系统,又是L2TP协议的服务器端,通常作为一个企业内部网的边缘设备。LNS作为L2TP隧道的另一侧端点,是LAC的对端设备,是LAC进行隧道传输的PPP会话的逻辑终止端点。通过在公网中建立L2TP隧道,将远端系统的PPP连接的另一端由原来的LAC在逻辑上延伸到了企业网内部端的LNS。1.2L2TP隧道模式L2TP隧道的建立包括以下两种典型模式。zNAS-Intiated如图2所示,由LAC端(指NAS)发起L2TP隧道连接。远程系统的拨号用户通过PPPoE/ISDN拨入LAC,由LAC通过Internet向LNS发起建立隧道连接请求。拨号用户的私网地址由LNS分配;对远程拨号用户的验证与计费既可由LAC侧的代理完成,也可在LNS侧完成。图2NAS-InitiatedL2TP隧道模式zClient-Initiated如图3所示,直接由LAC客户(指本地支持L2TP协议的用户)发起L2TP隧道连接。LAC客户获得Internet访问权限后,可直接向LNS发起隧道连接请求,无需经过一个单独的LAC设备建立隧道。LAC客户的私网地址由LNS分配。在Client-Initiated模式下,LAC客户需要具有公网地址,能够直接通过Internet与LNS通信。UTM系列L2TP典型配置举例杭州华三通信技术有限公司页,共17页图3Client-InitiatedL2TP隧道模式2应用场合采用L2TP可以在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络,通过虚拟隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。3配置指南3.1配置概述Web目前仅支持对LNS端的配置。LNS端L2TP配置的推荐步骤如表1所示。表1LN