H3C+L2TP+典型配置举例

幽蓝夜风
2 ℃
2020-06-02

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

H3CL2TP典型配置举例l2tp的呼叫可以由nas（网络接入服务器）主动发起，也可以由客户端发起。下面将分别针对这两种情况举例说明。2.5.1nas-initializedvpn1.组网需求vpn用户访问公司总部过程如下：用户以普通的上网方式进行拨号上网。在接入服务器（nas）处对此用户进行验证，发现是vpn用户，则由接入服务器向lns发起隧道连接的请求。在接入服务器与lns隧道建立后，接入服务器把与vpn用户已经协商的内容作为报文内容传给lns。lns再根据预协商的内容决定是否接受此连接。用户与公司总部间的通信都通过接入服务器与lns之间的隧道进行传输。2.组网图3.配置步骤(1)用户侧的配置在用户侧，在拨号网络窗口中输入vpn用户名vpdnuser，口令hello，拨入号码为170。在拨号后弹出的拨号终端窗口中输入radius验证的用户名username和口令userpass。(2)nas侧的配置#在nas上配置拨入号码为170。#在radius服务器上设置一个用户名为username、口令为userpass的vpn用户，并设置相应的lns侧设备的ip地址（本例中lns侧与通道相连接的以太口的ip地址为202.38.160.2）。#将本端的设备名称定义为lac，需要进行通道验证，通道验证密码为tunnelpwd。(3)防火墙（lns侧）的配置#设置用户名及口令（应与用户侧的设置一致）。[h3c]local-uservpdnuser[h3c-luser-vpdnuser]passwordsimplehello[h3c-luser-vpdnuser]service-typeppp#对vpn用户采用本地验证。[h3c]domainsystem[h3c-isp-system]schemelocal[h3c-isp-system]ippool1192.168.0.2192.168.0.100#启用l2tp服务，并设置一个l2tp组。[h3c]l2tpenable[h3c]l2tp-group1#配置虚模板virtual-template的相关信息。[h3c]interfacevirtual-template1[h3c-virtual-template1]ipaddress192.168.0.1255.255.255.0[h3c-virtual-template1]pppauthentication-modechapdomainsystem[h3c-virtual-template1]remoteaddresspool1#配置lns侧接收的通道对端名称。[h3c]l2tp-group1[h3c-l2tp1]allowl2tpvirtual-template1remotelac#启用通道验证并设置通道验证密码。[h3c-l2tp1]tunnelauthentication[h3c-l2tp1]tunnelpasswordsimpletunnelpwd2.5.2client-initializedvpn1.组网需求vpn用户访问公司总部过程如下：用户首先连接internet，之后，直接由用户向lns发起tunnel连接的请求。在lns接受此连接请求之后，vpn用户与lns之间就建立了一条虚拟的tunnel。用户与公司总部间的通信都通过vpn用户与lns之间的tunnel进行传输。2.组网图3.配置步骤(1)用户侧的配置在用户侧主机上必须装有l2tp的客户端软件，如winvpnclient，并且用户通过拨号方式连接到internet。然后再进行如下配置（设置的过程与相应的客户端软件有关，以下为设置的内容）：#在用户侧设置vpn用户名为vpdnuser，口令为hello。#将lns的ip地址设为防火墙的internet接口地址（本例中lns侧与通道相连接的以太口的ip地址为202.38.160.2）。#修改连接属性，将采用的协议设置为l2tp，将加密属性设为自定义，并选择chap验证，进行通道验证，通道的密码为：tunnelpwd。(2)防火墙（lns侧）的配置#设置用户名及口令（应与用户侧的设置一致）。[h3c]local-uservpdnuser[h3c-luser-vpdnuser]passwordsimplehello[h3c-luser-vpdnuser]service-typeppp#对vpn用户采用本地验证。[h3c]domainsystem[h3c-isp-system]schemelocal[h3c-isp-system]ippool1192.168.0.2192.168.0.100#启用l2tp服务，并设置一个l2tp组。[h3c]l2tpenable[h3c]l2tp-group1#配置虚模板virtual-template的相关信息。[h3c]interfacevirtual-template1[h3c-virtual-template1]ipaddress192.168.0.1255.255.255.0[h3c-virtual-template1]pppauthentication-modechapdomainsystem[h3c-virtual-template1]remoteaddresspool1#配置lns侧接收的通道对端名称。[h3c]l2tp-group1[h3c-l2tp1]allowl2tpvirtual-template1#启用通道验证并设置通道验证密码。[h3c-l2tp1]tunnelauthentication[h3c-l2tp1]tunnelpasswordsimpletunnelpwd2.5.3l2tp多域组网应用1.组网需求企业中拥有两个域，pc1为企业中263.net域的用户，pc2为企业中163.net域的用户。一般情况下，用户无法通过internet直接访问企业内部的网络。通过建立vpn并支持多域，不同域的用户将从lns获得不同范围的地址，并可以访问企业内部网络。2.组网图3.配置步骤(1)用户侧的配置建一拨号网络，接收由lns服务器端分配的地址。对于pc1而言，在弹出的拨号终端窗口中输入用户名vpdn1@263.net，口令为11111（此用户名与口令已在lns中注册）。对于pc2而言，在弹出的拨号终端窗口中输入用户名vpdn2@163.net，口令为22222（此用户名与口令已在lns中注册）。(2)secpath1（lac侧）的配置（本例中lac侧的ethernet0/0/0和ethernet1/0/0是用户接入接口，ethernet0/0/1的ip地址为202.38.160.1，lns侧与通道相连接的ip地址为202.38.160.2）。#设置用户名及口令。[h3c]system-view[h3c]local-uservpdn1[h3c-luser-vpdn1]passwordsimple11111[h3c-luser-vpdn1]service-typeppp[h3c-luser-vpdn1]quit[h3c]local-uservpdn2[h3c-luser-vpdn2]passwordsimple22222[h3c-luser-vpdn2]service-typeppp[h3c-luser-vpdn2]quit#配置域用户采用本地认证。[h3c]domain263.net[h3c-isp-263.net]schemelocal[h3c-isp-263.net]quit[h3c]domain163.net[h3c-isp-163.net]schemelocal[h3c-isp-163.net]quit#在ethernet0/0/0和ethernet1/0/0接口上配置pppoeserver。[h3c]interfaceethernet0/0/0[h3c-ethernet0/0/0]pppoe-serverbindvirtual-template100[h3c-ethernet0/0/0]interfaceethernet1/0/0[h3c-ethernet1/0/0]pppoe-serverbindvirtual-template101#在ethernet0/0/1接口上配置ip地址。[h3c-ethernet0/0/0]interfaceethernet0/0/1[h3c-ethernet0/0/1]ipaddress202.38.160.1255.255.255.0#在虚模板上启动chap认证。[h3c-ethernet0/0/1]interfacevirtual-template100[h3c-virtual-template100]pppauthentication-modechapdomain263.net[h3c-virtual-template100]interfacevirtual-template101[h3c-virtual-template101]pppauthentication-modechapdomain163.net[h3c-virtual-template101]quit#设置两个l2tp组并配置相关属性。[h3c]l2tpenable[h3c]l2tp-group1[h3c-l2tp1]tunnelnamelac[h3c-l2tp1]startl2tpip202.38.160.2domain263.net[h3c-l2tp1]l2tp-group2[h3c-l2tp2]tunnelnamelac[h3c-l2tp2]startl2tpip202.38.160.2domain163.net#启用通道验证并设置通道验证密码。[h3c-l2tp2]tunnelauthentication[h3c-l2tp2]tunnelpasswordsimple12345[h3c-l2tp2]quit[h3c]l2tp-group1[h3c-l2tp1]tunnelauthentication[h3c-l2tp1]tunnelpasswordsimple12345(3)secpath2（lns侧）的配置。[h3c]system-view[h3c]l2tpenable[h3c]l2tpmoreexamenable#创建两个用户名及口令[h3c]local-uservpdn1[h3c-luser-vpdn1]passwordsimple11111[h3c-luser-vpdn1]service-typeppp[h3c-luser-vpdn1]quit[h3c]local-uservpdn2[h3c-luser-vpdn2]passwordsimple22222[h3c-luser-vpdn2]service-typeppp[h3c-luser-vpdn2]quit#创建两个地址池。[h3c]domain163.net[h3c-isp-163.net]schemelocal[h3c-isp-163.net]ippool1202.38.161.10202.38.161.100[h3c-isp-163.net]quit[h3c]domain263.net[h3c-isp-263.net]schemelocal[h3c-isp-263.net]ippool1202.38.162.10202.38.162.100[h3c-isp-263.net]quit#创建两个相应的virtualtemplate。[h3c]interfacevirtual-template1[h3c-virtual-template1]ipaddress202.38.161.1255.255.255.0[h3c-virtual-template1]remoteaddresspool1[h3c-virtual-template1]pppauthentication-modechapdomain163.net[h3c-virtual-template1]interfacevirtua