1.9.2 Client-Initiated模式L2TP隧道配置舉例
1. 組網需求
PPP用戶直接與LNS建立L2TP隧道,通過L2TP隧道訪問公司總部。
2. 組網圖
圖1-12 Client-Initiated模式L2TP隧道組網圖
3. 配置注意事項
需要將LNS設備的Virtual-Template加入安全域,並放行該安全域到Local安全域的相關流量,否則Virtual-Access口不能UP。(本例中需加入Untrust安全域,除放行Untrust域到Trust域的相關流量外,還要放行Untrust域到Local域的相關流量。)
4. 配置步驟
(1) LNS側的配置
# 配置接口IP地址、路由、安全域及域間安全策略保證網絡可達,具體配置步驟略。
# 配置路由,使得LNS與用戶側主機之間路由可達。(略)
# 創建本地PPP用戶vpdnuser,設置密碼為Hello。
[LNS] local-user vpdnuser class network
[LNS-luser-network-vpdnuser] password simple Hello
[LNS-luser-network-vpdnuser] service-type ppp
[LNS-luser-network-vpdnuser] quit
# 配置ISP域system對PPP用戶采用本地驗證。
[LNS] domain system
[LNS-isp-system] authentication ppp local
[LNS-isp-system] quit
# 開啟L2TP功能。
[LNS] l2tp enable
#配置PPP地址池。
[LNS] ip pool aaa 192.168.0.10 192.168.0.20
[LNS] ip pool aaa gateway 192.168.0.1
# 創建接口Virtual-Template1,PPP認證方式為CHAP,並使用地址池aaa為Client端分配IP地址。
[LNS] interface virtual-template 1
[LNS-Virtual-Template1] ppp authentication-mode chap domain system
[LNS-Virtual-Template1] ip address 192.168.0.1 24
[LNS-Virtual-Template1] remote address pool aaa
[LNS-Virtual-Template1] quit
# 將Virtual-Template1加入Untrust安全域,並創建Untrust域到Local域的域間實例,應用包過濾策略,允許相關流量通過(請自行創建ACL 2000並指定規則)。
[LNS] security-zone name Untrust
[LNS -security-zone-Untrust] import interface Virtual-Template 1
[LNS -security-zone-Untrust] quit
[LNS] zone-pair security source untrust destination local
[LNS-zone-pair-security-Untrust-Local] packet-filter 2000
[LNS-zone-pair-security-Untrust-Local] quit
# 創建LNS模式的L2TP組1,配置隧道本端名稱為LNS,指定接收呼叫的虛擬模板接口為VT1。
[LNS] l2tp-group 1 mode lns
[LNS-l2tp1] tunnel name LNS
[LNS-l2tp1] allow l2tp virtual-template 1
# 關閉L2TP隧道驗證功能。
[LNS-l2tp1] undo tunnel authentication
[LNS-l2tp1] quit
(2) Remote host側的配置
配置IP地址為2.1.1.1,並配置路由,使得Remote host與LNS(IP地址為1.1.2.2)之間路由可達。
利用Windows系統創建虛擬專用網絡連接,或安裝L2TP客戶端軟件,如WinVPN Client。
在Remote host上進行如下L2TP配置(設置的過程與相應的客戶端軟件有關,以下為設置的內容):
- 設置PPP用戶名為vpdnuser,密碼為Hello。
- 將LNS的IP地址設為安全網關的Internet接口地址(本例中LNS側與隧道相連接的以太網接口的IP地址為1.1.2.2)。
- 修改連接屬性,將采用的協議設置為L2TP,將加密屬性設為自定義,並選擇CHAP驗證。
5. 驗證配置
# 在Remote host上觸發L2TP撥號。撥號連接成功后,Remote host獲取到IP地址192.168.0.2,並可以Ping通LNS的私網地址192.168.0.1。
# 在LNS側,通過命令display l2tp session可查看建立的L2TP會話。
[LNS] display l2tp session
LocalSID RemoteSID LocalTID State
39945 1 37263 Established
# 在LNS側,通過命令display l2tp tunnel可查看建立的L2TP隧道。
[LNS] display l2tp tunnel
LocalTID RemoteTID State Sessions RemoteAddress RemotePort RemoteName
37263 4 Established 1 2.1.1.1 1701 PC
# 在Remote host上Ping公司總部內的服務器10.1.0.200,可以成功Ping通。
C:\> ping 10.1.0.200
正在 Ping 10.1.0.200 具有 32 字節的數據:
來自 10.1.0.200 的回復: 字節=32 時間=1ms TTL=254
來自 10.1.0.200 的回復: 字節=32 時間<1ms TTL=254
來自 10.1.0.200 的回復: 字節=32 時間<1ms TTL=254
來自 10.1.0.200 的回復: 字節=32 時間<1ms TTL=254
10.1.0.200 的 Ping 統計信息:
數據包: 已發送 = 4,已接收 = 4,丟失 = 0 (0% 丟失),
往返行程的估計時間(以毫秒為單位):