H3CF5020VPN配置
1.概述
L2TP(Layer 2 Tunneling Protocol,二层隧道协议)是目前使用最为广泛的VPDN(Virtual Private Dial-up Network,虚拟专用拨号网络)隧道协议。L2TP通过在公共网络(如Internet)上建立点到点的L2TP隧道,将PPP(Point-to-Point Protocol,点对点协议)数据帧封装后通过L2TP隧道传输,使得远端用户(如企业驻外机构和出差人员)利用PPP接入公共网络后,能够通过L2TP隧道与企业内部网络通信,访问企业内部网络资源。
L2TP是一种二层VPN(Virtual Private Network,虚拟专用网络)技术,为远端用户接入私有的企业网络提供了一种安全、经济且有效的方式。
H3C L2TP隧道包括NAS-Initiated、Client-Initiated和LAC-Auto-Initiated三种模式,鉴于溆浦公安中心机房的设备,采取Client-Initiated模式。
Client-Initiated模式L2TP隧道的建立直接由LAC client(指本地支持L2TP协议的远端系统)发起。LAC client具有公网地址,并能够通过Internet与LNS通信后,如果在LAC client上触发L2TP拨号,则LAC client直接向LNS发起L2TP隧道建立请求,无需经过LAC设备建立隧道。
Client-Initiated模式L2TP隧道示意图
Client-Initiated模式L2TP隧道具有如下特点:
· L2TP隧道在远端系统和LNS之间建立,具有较高的安全性。
· Client-Initiated模式L2TP隧道对远端系统要求较高(远端系统必须是支持L2TP协议的LAC client,且能够与LNS通信),因此它的扩展性较差。
图1-7 Client-Initiated模式L2TP隧道的建立流程
2.配置步骤
创建本地PPP用户vpdnuser,设置密码为aorise@zxjf2017
[H3C] system-view
[H3C] local-user vpdnuser class network
[H3C-luser-network-vpdnuser] password simple aorise@zxjf2017
[H3C-luser-network-vpdnuser] service-type ppp
[H3C-luser-network-vpdnuser] quit
配置ISP域system对PPP用户采用本地验证
[XP4-EC5-FW1] domain system
[XP4-EC5-FW1-isp-system] authentication ppp local
[XP4-EC5-FW1-isp-system] quit
开启L2TP功能
[H3C] l2tp enable
配置PPP地址池
[XP4-EC5-FW1] ip pool l2tpdhcp 192.168.0.100 192.168.0.254
[XP4-EC5-FW1] ip pool l2tpdhcp gateway 192.168.0.1
创建接口Virtual-Template1,PPP认证方式为CHAP,并使用地址池
l2tpdhcp
为Client端分配IP地址
[H3C] interface virtual-template 1
[H3C-virtual-template1] ppp authentication-mode chap domain system
[H3C-virtual-template1] remote address pool l2tpdhcp
[H3C-virtual-template1] quit
创建LNS模式的L2TP组1,配置隧道本端名称为LNS,指定接收呼叫的虚拟模板接口为VT1
[H3C] l2tp-group 1 mode lns
[H3C-l2tp1] tunnel name LNS
[H3C-l2tp1] allow l2tp virtual-template 1
关闭L2TP隧道验证功能
[H3C-l2tp1] undo tunnel authentication
在LNS侧,通过命令display l2tp session可查看建立的L2TP会话
[XP4-EC5-FW1]display l2tp session
LocalSID RemoteSID LocalTID State
32423 1 40386 Established
在LNS侧,通过命令display l2tp tunnel可查看建立的L2TP隧道
[H3C]display l2tp tunnel
LocalTID RemoteTID State Sessions RemoteAddress RemotePort RemoteName
40386 1 Established 1 113.240.125.118 1701 ZHANGXIANWEN
