1、 (1) 用户侧的配置 在用户侧,在拨号网络窗口中输入vpn 用户名vpdnuser,口令hello,拨入号码为170。在拨号后弹出的拨号终端窗口中输入radius 验证的用户名username 和口令userpass。 (2) nas 侧的配置 # 在nas 上配置拨入号码为170。 # 在radius 服务器上设置一个用户名为username、口令为userpass 的vpn 用户,并设置相应的lns 侧设备的ip 地址(本例中lns 侧与通道相连接的以太口的ip 地址为202.38.160.2)。 # 将本端的设备名称定义为lac,需要进行通道验证,通道验证密码为tunnelpwd。 (
2、3) 防火墙(lns 侧)的配置 # 设置用户名及口令(应与用户侧的设置一致)。 h3c local-user vpdnuser h3c-luser-vpdnuser password simple hello h3c-luser-vpdnuser service-type ppp # 对vpn 用户采用本地验证。 h3c domain system h3c-isp-system scheme local h3c-isp-system ip pool 1 192.168.0.2 192.168.0.100 # 启用l2tp 服务,并设置一个l2tp 组。 h3c l2tp enable h3c
3、 l2tp-group 1 # 配置虚模板virtual-template 的相关信息。 h3c interface virtual-template 1 h3c-virtual-template1 ip address 192.168.0.1 255.255.255.0 h3c-virtual-template1 ppp authentication-mode chap domain system h3c-virtual-template1 remote address pool 1 # 配置lns 侧接收的通道对端名称。 h3c-l2tp1 allow l2tp virtual-templ
4、ate 1 remote lac # 启用通道验证并设置通道验证密码。 h3c-l2tp1 tunnel authentication h3c-l2tp1 tunnel password simple tunnelpwd 2.5.2 client-initialized vpn 用户首先连接internet,之后,直接由用户向lns 发起tunnel 连接的请求。在lns 接受此连接请求之后,vpn 用户与lns 之间就建立了一条虚拟的tunnel。用户与公司总部间的通信都通过vpn 用户与lns 之间的tunnel 进行传输。 在用户侧主机上必须装有l2tp 的客户端软件,如winvpn c
5、lient,并且用户通过拨号方式连接到internet。然后再进行如下配置(设置的过程与相应的客户端软件有关,以下为设置的内容): # 在用户侧设置vpn 用户名为vpdnuser,口令为hello。 # 将lns 的ip 地址设为防火墙的internet 接口地址(本例中lns 侧与通道相连接的以太口的ip 地址为202.38.160.2)。 # 修改连接属性,将采用的协议设置为l2tp,将加密属性设为自定义,并选择chap验证,进行通道验证,通道的密码为:tunnelpwd。 (2) 防火墙(lns 侧)的配置 h3c-l2tp1 allow l2tp virtual-template 1
6、 2.5.3 l2tp 多域组网应用 企业中拥有两个域,pc1 为企业中 域的用户,pc2 为企业中 域的用户。一般情况下,用户无法通过internet 直接访问企业内部的网络。通过建立vpn并支持多域,不同域的用户将从lns 获得不同范围的地址,并可以访问企业内部网络。 建一拨号网络,接收由lns 服务器端分配的地址。 对于pc1 而言,在弹出的拨号终端窗口中输入用户名vpdn1,口令为11111(此用户名与口令已在lns 中注册)。 对于pc2 而言,在弹出的拨号终端窗口中输入用户名vpdn2,口令为22222(此用户名与口令已在lns 中注册)。 (2) secpath1(lac 侧)的
7、配置 (本例中lac 侧的ethernet0/0/0 和ethernet1/0/0 是用户接入接口,ethernet0/0/1的ip 地址为202.38.160.1,lns 侧与通道相连接的ip 地址为202.38.160.2)。 # 设置用户名及口令。 h3c system-view h3c local-user vpdn1 h3c-luser-vpdn1 password simple 11111 h3c-luser-vpdn1 service-type ppp h3c-luser-vpdn1 quit h3c local-user vpdn2 h3c-luser-vpdn2 passwo
8、rd simple 22222 h3c-luser-vpdn2 service-type ppp h3c-luser-vpdn2 quit # 配置域用户采用本地认证。 h3c domain h3c-isp- scheme local h3c-isp- quit # 在ethernet0/0/0 和ethernet1/0/0 接口上配置pppoe server。 h3c interface ethernet0/0/0 h3c-ethernet0/0/0 pppoe-server bind virtual-template 100 h3c-ethernet0/0/0 interface ethe
9、rnet1/0/0 h3c-ethernet1/0/0 pppoe-server bind virtual-template 101 # 在ethernet0/0/1 接口上配置ip 地址。 h3c-ethernet0/0/0 interface ethernet0/0/1 h3c-ethernet0/0/1 ip address 202.38.160.1 255.255.255.0 # 在虚模板上启动chap 认证。 h3c-ethernet0/0/1 interface virtual-template 100 h3c-virtual-template100 ppp authenticat
10、ion-mode chap domain h3c-virtual-template100 interface virtual-template 101 h3c-virtual-template101 ppp authentication-mode chap domain h3c-virtual-template101 quit # 设置两个l2tp 组并配置相关属性。 h3c-l2tp1 tunnel name lac h3c-l2tp1 start l2tp ip 202.38.160.2 domain h3c-l2tp1 l2tp-group 2 h3c-l2tp2 tunnel name
11、 lac h3c-l2tp2 start l2tp ip 202.38.160.2 domain h3c-l2tp2 tunnel authentication h3c-l2tp2 tunnel password simple 12345 h3c-l2tp2 quit h3c-l2tp1 tunnel password simple 12345 (3) secpath2(lns 侧)的配置。 h3c l2tpmoreexam enable # 创建两个用户名及口令 # 创建两个地址池。 h3c-isp- ip pool 1 202.38.161.10 202.38.161.100 h3c-is
12、p- ip pool 1 202.38.162.10 202.38.162.100 # 创建两个相应的virtual template。 h3cinterface virtual-template 1 h3c-virtual-template1 ip address 202.38.161.1 255.255.255.0 h3c-virtual-template1 ppp authentication-mode chap domain h3c-virtual-template1 interface virtual-template 2 h3c-virtual-template2 ip addre
13、ss 202.38.162.2 255.255.255.0 h3c-virtual-template2 remote address pool 1 h3c-virtual-template2 ppp authentication-mode chap domain h3c-virtual-template2 quit # 创建两个相应的l2tp-group 组。 h3c l2tp-group 3 h3c-l2tp3 tunnel authentication h3c-l2tp3 allow l2tp virtual-template 1 remote lac domain h3c-l2tp3 t
14、unnel password simple 12345 h3c-l2tp3 quit h3c l2tp-group 4 h3c-l2tp4 tunnel authentication h3c-l2tp4 allow l2tp virtual-template 2 remote lac domain h3c-l2tp4 tunnel password simple 12345 上述配置中,如果lns 端需要采用radius 验证,请修改aaa 配置即可。 2.5.4 lac 作为客户端典型应用 lac 同时作为l2tp 客户端,与lns 建立常连接。并将所有私有网络的数据转发给lns。 本例假设
15、公网地址和路由都已正确配置。此处只说明了vpn 相关配置。 (1) lac 的典型配置 h3c-luser-vpdnuser quit # 配置lac 侧本端名称,配置对端lns 的ip 地址。 h3c-l2tp1 start l2tp ip 3.3.3.2 fullusername vpdnuser h3c-l2tp1 quit h3c-virtual-template1 ip address ppp-negotiate h3c-virtual-template1 ppp authentication-mode pap h3c-virtual-template1 ppp pap local-
16、user vpdnuser password simple hello h3c-virtual-template1 quit # 配置私网路由。 h3c ip route-static 10.1.0.0 16 virtual-template 1 (2) lns 的典型配置 # 配置ethernet0/0/1 接口。 h3c interface ethernet0/0/1 h3c-ethernet0/0/1 ip address 3.3.3.2 255.255.0.0 h3c-ethernet0/0/1 quit # 配置域及地址池。 routerb domain system h3c-isp
17、-system ip pool 1 192.168.0.2 192.168.0.10 h3c-isp-system quit h3c ip route-static 10.2.0.0 16 virtual-template1 (3) 启动l2tp 连接 # 在secpath a 的虚模板接口视图下执行启动l2tp 连接命令 h3c-virtual-template1 l2tp-auto-client enable lac 和lns 连接的私网主机应分别以lac 和lns 为网关。 2.5.5 复杂的组网情况 防火墙支持同时作为lac 及lns,并支持同时有多路用户呼入;只要内存及线路不受限制,l2tp 可以同时接收和发起多个呼叫。这些复杂组网的需求及配置可以综合参考以上的几种组网情况,综合应用。 特别需要注意的是静态路由的配置,许多应用是依靠路由来发起的。
