帮助文档
专业提供香港服务器、香港云服务器、香港高防服务器租用、香港云主机、台湾服务器、美国服务器、美国云服务器vps租用、韩国高防服务器租用、新加坡服务器、日本服务器租用 一站式全球网络解决方案提供商!专业运营维护IDC数据中心,提供高质量的服务器托管,服务器机房租用,服务器机柜租用,IDC机房机柜租用等服务,稳定、安全、高性能的云端计算服务,实时满足您的多样性业务需求。 香港大带宽稳定可靠,高级工程师提供基于服务器硬件、操作系统、网络、应用环境、安全的免费技术支持。
服务器资讯 / 香港服务器租用 / 香港VPS租用 / 香港云服务器 / 美国服务器租用 / 台湾服务器租用 / 日本服务器租用 / 官方公告 / 帮助文档
锐捷RSR系列路由器——VPN功能——L2TP_VPDN1.0——L2TP 服务器典型配置
发布时间:2024-03-10 09:01:49   分类:帮助文档
锐捷RSR系列路由器——VPN功能——L2TP_VPDN1.0——L2TP 服务器典型配置

目录
01  L2TP 强制隧道模式——用户本地认证
02  L2TP 强制隧道模式——AAA本地认证
03  VPDN 1.0域剥离认证——本地认证
04  VPDN 1.0域剥离认证——AAA认证



01  L2TP 强制隧道模式——用户本地认证

功能介绍
L2TP强制隧道模式:在强制隧道模式下,LAC端终结来自远程接入客户的呼叫,然后通过中间网络以隧道方式将PPP会话延伸到LNS。这种模式不要求远程接入客户端了解L2TP,远程接入客户只需要使用PPP拨号到LAC即可。3G解决方案就是采用这种模式。



应用场景
企业租用运营商的3G网络,分支机构路由器需要通过3G拨号拨入总部内网,总部对分支机构路由器采用本地的用户名、密码方式进行验证,那么此时可以在运营商与企业总部之间建立强制的L2TP隧道模式,且PPP认证采用本地认证。

一、组网需求
以3G场景为例:RSR系列路由器作为LNS,汇聚所有客户端的L2TP会话,所有用户全部在LNS本地进行CHAP认证和分配IP地址。
二、组网拓扑



三、配置要点
1、配置LNS VPDN
2、配置LNS地址池和用户信息
3、配置LNSVirtual-Template接口
4、配置LNS兼容性命令(可选)
5、配置远程客户端PPP拨号
四、配置步骤
1、配置LNS VPDN
vpdn enable
vpdn-group 1
    accept-dialin
protocol l2tp
virtual-template 1
    l2tp tunnel authentication//按需启用l2tp隧道认证功能,默认我司不采用隧道认证,如果有隧道认证,该命令必配置
    l2tp tunnel password ruijie//按需配置l2tp隧道密码为“ruijie”
注意:
LNS上是否需要配置隧道认证和密码由运营商决定。如果运营商开启隧道认证功能,则要由运营商提供隧道认证的密码,否则L2TP无法协商成功。
2、配置LNS地址池和用户信息
ip local pool p1 100.0.0.2 100.0.0.100//配置l2tp用户的地址池
username test password test//添加需要本地认证的L2TP客户端账号密码信
3、配置LNS Virtual-Template接口
interface loopback 1//添加loopback接口,该接口地址用于供VPDN虚模板使用
    ip address 100.0.0.1 255.255.255.255
interface Virtual-Template 1
    ppp authentication pap chap//指定优先使用pap认证,同时支持chap认证
    ip unnumbered Loopback 1//指定虚模板引用loopback 1的地址
    peer default ip address pool p1  //指定l2tp客户端所使用的地址池
4、配置LNS兼容性命令(可选)
在3G场景下,完成以上配置后,如果3G客户端无法正常拨号成功,可能是由于LNS与LAC间存在兼容性问题,可以分别尝试配置以下兼容性命令看是否能够解决。
LNS会忽略LAC端携带的PPP认证信息,强制LNS重新对Client进行CHAP认证
Ruijie(config)#vpdn-group 1
Ruijie(config-vpdn)# force-local-chap
LNS会忽略LAC端携带的PPP协商信息,强制LNS重新与Client进行LCP协商
Ruijie(config)#vpdn-group 1
Ruijie(config-vpdn)# force-local-lcp
设置忽略控制报文错误
Ruijie(config)#vpdn-group 1
Ruijie(config-vpdn)# lcp renegotiation always
5、配置远程客户端PPP拨号
(1)如果是3G场景,请参考(“典型配置--->广域网接口配置--->3G接口拨号--->3G拨VPDN专网”)
(2)如果是ADSL拨号,请参考(“典型配置--->广域网接口配置--->ADSL拨号)
五、配置验证
配置完成后,在L2TP客户端(或3G客户端)触发拨号,如果拨号成功,在LNS上通过show vpdn命令可以看到当前已经成功拨的用户信息:



02  L2TP 强制隧道模式——AAA本地认证

功能介绍
L2TP强制隧道模式:在强制隧道模式下,LAC端终结来自远程接入客户的呼叫,然后通过中间网络以隧道方式将PPP会话延伸到LNS。这种模式不要求远程接入客户端了解L2TP,远程接入客户只需要使用PPP拨号到LAC即可。3G解决方案就是采用这种模式。



应用场景
企业租用运营商的3G网络,分支机构路由器需要通过3G拨号拨入总部内网,总部对分支机构路由器采用AAA进行验证,那么此时可以在运营商与企业总部之间建立强制的L2TP隧道模式,且PPP认证采用AAA认证。

一、组网需求
以3G场景为例:RSR系列路由器作为LNS,汇聚所有客户端的L2TP会话,所有用户在radius服务器上进行认证和IP地址分配。
二、组网拓扑



三、配置要点
1、配置LNS VPDN
2、配置LNS Virtual-Template接口
3、配置LNS AAA认证
4、配置LNS AAA记账
5、配置LNS兼容性命令(可选)
6、配置远程客户端PPP拨号
四、配置步骤
1、配置LNS VPDN
vpdn enable
vpdn-group 1
    accept-dialin
protocol l2tp
virtual-template 1
    l2tp tunnel authentication//按需启用l2tp隧道认证功能
    l2tp tunnel password ruijie//按需配置l2tp隧道密码为“ruijie”
注意:
LNS上是否需要配置隧道认证和密码由运营商决定。如果运营商开启隧道认证功能,则要由运营商提供隧道认证的密码,否则L2TP无法协商成功。
2、配置LNS Virtual-Template接口
interface loopback 1//添加loopback接口,该接口地址用于供VPDN虚模板使用
    ip address x.x.x.x 255.255.255.255
interface Virtual-Template 1
    ppp authentication pap chap//指定优先使用pap认证,同时支持chap认证
    ip unnumbered Loopback 1//指定虚模板引用loopback 1的地址
3、配置LNS AAA认证与记账
aaa new-model
radius-server host x.x.x.x key xxx//指定radius服务器IP地址和key
aaa authentication ppp default group radius    //指定ppp默认通过radius服务器进行认证


aaa accounting update periodic 1        //配置记账更新的间隔时间为1分钟,默认为5分钟,最小为1分钟
aaa accounting update//启用记账更新功能
aaa accounting network default start-stop group radius  //指定使用radius对网络用户的请求开始和结束时进行记账
radius dynamic-authorization-extension enable 
注意:
只有radius服务器采用地址池给用户分配IP地址时,需要配置AAA记账功能,因为AAA地址池需要依靠用户记账功能实现IP地址分配和释放需求。如果AAA采用静态IP地址分配给AAA用户,可以不配置AAA记账功能。
5、配置LNS兼容性命令(可选)
在3G场景下,完成以上配置后,如果3G客户端无法正常拨号成功,可能是由于LNS与LAC间存在兼容性问题,可以分别尝试配置以下兼容性命令看是否能够解决。
LNS会忽略LAC端携带的PPP认证信息,强制LNS重新对Client进行CHAP认证
Ruijie(config)#vpdn-group 1
Ruijie(config-vpdn)# force-local-chap
LNS会忽略LAC端携带的PPP协商信息,强制LNS重新与Client进行LCP协商
Ruijie(config)#vpdn-group 1
Ruijie(config-vpdn)# force-local-lcp
设置忽略控制报文错误
Ruijie(config)#vpdn-group 1
Ruijie(config-vpdn)# lcp renegotiation always

6、配置远程客户端PPP拨号
(1)如果是3G场景,请参考(“典型配置--->广域网接口配置--->3G接口拨号--->3G拨VPDN专网”)
(2)如果是ADSL拨号,请参考(“典型配置--->广域网接口配置--->ADSL拨号)
五、配置验证
配置完成后,在L2TP客户端(或3G客户端)触发拨号,如果拨号成功,在LNS上通过show vpdn命令可以看到当前已经成功拨的用户信息:



03  VPDN 1.0域剥离认证——本地认证

应用场景



       企业租用运营商的3/4G网络,分支机构路由器(或者移动终端)需要通过3/4G拨号拨入总部内网,总部对分支机构路由器采用本地的用户名、密码方式进行验证,那么此时可以在运营商与企业总部之间建立强制的L2TP隧道模式,且PPP认证采用AAA认证,
在进行PPP认证时,客户要求在总部路由器上通过不同域名来实现由于业务类别区分,进而分配不同网段的IP地址。



一、组网需求


       某银行客户,有两种不同业务分别为离行ATM通过3G路由器接入,以及移动营销业务通过移动终端PAD接入;两者业务在中心路由器上通过运营商提供不同的域名来进行区分,分配不同网段的IP地址进行不同业务区分。进而通过这种不同业务不同网段的分配可以更方便实现的对不同业务的管理。







三、配置要点




1、完成LNS与运营商的基本联通配置


2、配置L2TP域剥离本地认证







1、完成LNS与运营商的基本联通配置


     “属于基础配置,在此忽略”


2、配置L2TP域剥离认证



ip local pool 3GATM 100.1.1.1 100.1.1.253     
//创建ATM地址池,分配100.1.1.0/24 网段的地址


ip local pool YDPAD 110.1.1.1 110.1.1.253     
//创建PAD地址池YDPAD,分配100.1.1.0/24 网段的地址


username test password test  
 //设置下联ATM路由器拨号用户名,此时不需要配置带@部分


interface loopback 1


    ip add 100.1.1.254 255.255.255.255


interface Virtual-Template 1     



 ppp authentication pap chap


 ip unnumbered Loopback 1




vpdn enable 


vpdn authorize domain split     
//打开域认证,使能剥离,在本地或者aaa服务器上创建的用户名可以不携带域名


vpdn domain-delimiter @/%#-\ suffix     
//设置域分隔符



vpdn-group 1



 accept-dialin


  protocol l2tp


  virtual-template 1


 lcp renegotiation always



 domain 3gatm.vpdn       
//设置atm业务域名3gatm.vpdn


  pool 3GATM        
//调用atm业务地址池


  dns 111.11.1.1 111.11.11.1  
//(可选)下发对应的dns


 domain ydpad.vpdn     
//设置PAD业务域名ydpad.vpdn


  pool YDPAD  
//调用PAD
业务地址池


  dns 114.114.114.114 8.8.8.8  
//(可选)下发对应的dns






五、维护信息






L2TP Tunnel and Session Information Total tunnels 1 sessions 1


LocID RemID RemoteName          State  RemoteAddress  Port  Sessions L2TP Class/VPDN Group                                                 


55            52    RX1049                      est    172.18.158.17     1701           1               1


LocID  RemIDTunID      Username, Intf/Vcid, Circuit      State    Last Chg             


55         1          55                            test,va0                       est      00:01:04




Ruijie#sh ip route


Codes:  C - connected, S - static, R - RIP, B - BGP


        O - OSPF, IA - OSPF inter area


        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2


        E1 - OSPF external type 1, E2 - OSPF external type 2


        i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2


        ia - IS-IS inter area, * - candidate default



Gateway of last resort is 172.18.157.1 to network 0.0.0.0


S*   0.0.0.0/0 [1/0] via 172.18.157.1


C    100.1.1.0/24 is directly connected, Loopback 1


C    100.1.1.1/32 is directly connected, virtual-access 0


C    100.1.1.254/32 is local host. 


C    172.18.157.0/24 is directly connected, GigabitEthernet 0/1


C    172.18.157.151/32 is local host. 










04  VPDN 1.0域剥离认证——AAA认证

应用场景



       企业租用运营商的3/4G网络,分支机构路由器(或者移动终端)需要通过3/4G拨号拨入总部内网,总部对分支机构路由器采用本地的用户名、密码方式进行验证,那么此时可以在运营商与企业总部之间建立强制的L2TP隧道模式,且PPP认证采用AAA认证,
在进行PPP认证时,客户要求在总部路由器上通过不同域名来实现由于业务类别区分,进而分配不同网段的IP地址。



一、组网需求


       某银行客户,有两种不同业务分别为离行ATM通过3G路由器接入,以及移动营销业务通过移动终端PAD接入;两者业务在中心路由器上通过运营商提供不同的域名来进行区分,分配不同网段的IP地址进行不同业务区分。进而通过这种不同业务不同网段的分配可以更方便实现的对不同业务的管理。







三、配置要点




1、完成LNS与运营商的基本联通配置


2、配置aaa服务器相关认证


3、配置L2TP域剥离本地认证







1、完成LNS与运营商的基本联通配置


     “属于基础配置,在此忽略”



2、配置aaa服务器认证与记账



aaa new-model


radius-server host x.x.x.x key xxx
//指定radius服务器IP地址和key


aaa authentication ppp 3GATM group radius    
//指定ppp默认通过radius服务器进行认证


aaa authentication ppp YDPAD group radius  


aaa accounting update periodic 1        
//配置记账更新的间隔时间为1分钟,默认为5分钟,最小为1分钟,需与aaa服务器上保持一致


aaa accounting update
//启用记账更新功能


aaa accounting network default start-stop group radius 
 //指定使用radius对网络用户的请求开始和结束时进行记账




radius dynamic-authorization-extension enable 
//开启路由器支持aaa服务器主动踢用户下线功能。


备注:在aaa 服务器建立用户名时无需携带域名部分,只需要设置用户名,即如果接入端用户拨号的用户名设置为test@ruijie.com 那么aaa上只需设置为test即可,无需携带@之后部分。


3、配置L2TP域剥离认证







interface loopback 1


    ip add 100.1.1.254 255.255.255.255


interface Virtual-Template 1     



 ppp authentication pap chap


 ip unnumbered Loopback 1




vpdn enable 


vpdn authorize domain split     
//打开域认证,使能剥离,在本地或者aaa服务器上创建的用户名可以不携带域名


vpdn domain-delimiter @/%#-\ suffix     
//设置域分隔符



vpdn-group 1



 accept-dialin


  protocol l2tp


  virtual-template 1


 lcp renegotiation always



 domain 3gatm.vpdn  
//设置atm业务域名3gatm.vpdn


  aaa authentication 3GATM


 domain ydpad.vpdn  
//设置PAD业务域名ydpad.vpdn


  aaa authentication YDPAD









五、维护信息






L2TP Tunnel and Session Information Total tunnels 1 sessions 1


LocID RemID Remote Name          State  Remote Address  Port  Sessions L2TP Class/ VPDN Group                                                                      


55            52    RX1049                      est    172.18.158.17            1701                         1        1


LocID      RemID      TunID      Username, Intf/ Vcid, Circuit       State    Last Chg


55                      1          55         test,va0                                         est      00:01:04




Ruijie#sh ip route


Codes:  C - connected, S - static, R - RIP, B - BGP


        O - OSPF, IA - OSPF inter area


        N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2


        E1 - OSPF external type 1, E2 - OSPF external type 2


        i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2


        ia - IS-IS inter area, * - candidate default



Gateway of last resort is 172.18.157.1 to network 0.0.0.0


S*   0.0.0.0/0 [1/0] via 172.18.157.1


C    100.1.1.0/24 is directly connected, Loopback 1


C    100.1.1.1/32 is directly connected, virtual-access 0       //用户拨成功后,生成一条对应的32位主机路由


C    100.1.1.254/32 is local host. 


C    172.18.157.0/24 is directly connected, GigabitEthernet 0/1


C    172.18.157.151/32 is local host. 











香港云服务器租用推荐
服务器租用资讯
·广东云服务有限公司怎么样
·广东云服务器怎么样
·广东锐讯网络有限公司怎么样
·广东佛山的蜗牛怎么那么大
·广东单位电话主机号怎么填写
·管家婆 花生壳怎么用
·官网域名过期要怎么办
·官网邮箱一般怎么命名
·官网网站被篡改怎么办
服务器租用推荐
·美国服务器租用
·台湾服务器租用
·香港云服务器租用
·香港裸金属服务器
·香港高防服务器租用
·香港服务器租用特价