L2TP案例介绍
图1-01 原网络拓扑
一、前篇介绍
原来网络的的拓扑情况如上图所示。当我们到客户那里后,了解到网络拓扑情况是一台锐捷NBR80设备与Internet互联,与我们了解到的是两个情况。这也就意味着,我们要拿我们自己的设备与其他厂商的设备互做L2TP。这可能就不是我所擅长的了,但为了满足客户的需求我们还是那样去做了,可并不是很顺利,我们没能做成功。
所以接下来,我们想到的就是,还是让AR设备能和我们的SRG设备对做L2TP。这种做法我们的把握更大些,毕竟AR与我们的SRG之间还是很有渊源的。我们想到的第一个方法就是在不改变原客户的网络拓扑的情况下,透传过锐捷的设备实现AR与SRG间的直接通信。也就是通过ip映射的办法把AR暴露到公网上来。但是我们实施了下,发现这种
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
也是没发实施的,因为锐捷那台设备唯一的一个公网地址还要带内网上网(192.168.1.0/24),也就是说已经被用掉了,我们没法用它帮助我们去完成ip映射,实现AR暴露在公网上。
呵呵,工作遇到了挫折,但是任务还在,工作还得继续。接下来我们想到了的就对客户的网络做点动作了,那就是把锐捷这个设备给干掉,将锐捷的业务都转移到我AR上去,直接物理上就把AR暴露到公网上来。我们具体的了解了下客户的网络情况,他们内网大概有不到一百个点,包括下面的四个法院在内,而AR28-40的性能最保守的也能带500个点,所以我们确认将锐捷的业务转移到AR上来,是完全没有问题的。但是紧接着我们又遇到了问题,就是AR设备上的接口不够用了,他有3个FE和1个E1接口。E1接口不用想了,3个FE也已经被用了,一个接内网,一个接视频会议,一个接语音。哈哈,大家不用着急,前面工作当中我们遇到的的接口从地址这次帮了我们很大的忙。我们把视频会议与语音的业务网段都整合到了内网的物理接口下面。这样就帮我们空出来了两个物理FE口,一个我们用于接公网了,一个用于接原来要上公网的内网网段了(192.168.1.0/24)。这样AR成功的被暴露到公网上来了,目的达到,第一步网络变动圆满完成。变动后的网络拓扑如下图“图1-02”。
图1-02正式施工网络拓扑
二、后篇介绍
一波三折,终于可以正式的开展工作了,咱总算可以直奔主题去了。也就是我们开始想要做的事了,直接做AR与SRG的L2TP。照着我们在家总结的文档,我们把命令都敲上去了,就等着见证奇迹的那一刻了。哦耶,成功了!看见了!看见了!virtual-template 1接口 link-protocl
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
层up起来了,怎么怎么了,怎么又down了,又up了,又down了……看看通道情况,通道没起来,看看会话,没有会话。完了,没能做成功~白兴奋了~
接下来我们的工作,大家也就知道了。
分析
定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析
问题,重新配置,通过各种方法咨询可能的原因。事在人为,最后问题还是被我们坚定的信心给攻克了。那时心情的激动,真是无以言
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
啊~至于激动到什么程度,这里就不详叙了。言归正传,说我们怎么解决问题的。
我们用了往日里用的最多的方法,就是帮AR进行了固件升级。最后配置成功了,我成功的看到了通道建立起来了,会话有了。兴奋啊,兴奋啦~哈哈。完成工作也是凌晨1点多了。在往后就没什么好玩的东西了,我们用了将近一天的时间把所有的设备给他上架调试完成。还有就是其中我们曾经怀疑AR设备不支持LNS到多支点的LAC,但是最后结果证明我们的想法是错误的,就仅此而已了。
以上为我们这次出差工作的整个过程的小叙,为后面的配置内容做了个简单的背景资料介绍。
三、配置篇介绍
接下来进入到L2TP配置内容总结了,其总结内容如下:
一、LAC侧的配置内容:
1.)配置LAC侧L2TP前提准备条件:
===========================================================================================
# 打开防火墙包过滤策略
firewall packet-filter default permit all
# 配置公网口ip地址
int e0/0/0
ip add 202.180.189.70 30
# 配置内外口ip地址
int vlan 1
ip add 192.168.10.1 24
# 配置默认路由
ip route 0.0.0.0 0.0.0.0 202.180.189.69
# 配置DHCP地址池
dhcp server ip-pool 1
network 192.168.10.0 mask 255.255.255.0
gatelist 192.168.10.1
dns-list 202.102.192.68 202.102.199.68
#
检测
工程第三方检测合同工程防雷检测合同植筋拉拔检测方案传感器技术课后答案检测机构通用要求培训
物理联通性:
ping 202.180.189.69
-------------------------------------------------------------------------------------
2.)LAC路由器侧L2TP的配置
==========================================================================================
# 配置L2tp-group组
l2tp enable
l2tp-group 1
tunnel name LAC //配置LAC侧本端名称,配置对端LNS的IP地址。
start l2tp ip 202.180.189.69 fullusername l2tp
tunnel authentication //启用通道验证并设置通道验证密码。
tunnel password simple 123
quit
# 配置虚模板Virtual-Template的相关信息。
interface virtual-template 1
ip address ppp-negotiate
ppp chap user l2tp
ppp chap password simple l2tp123
ppp authentication-mode chap
quit
(call-l2tp local-user l2tp) //LAC侧发起对LNS的呼叫,可以最后再呼叫
# 将virtual-template1加入都untrust区域
firewall zone untrust
add int virtual-template 1
quit
# 配置私网路由。
ip route-static 192.168.0.0 16 virtual-template 1
注意://呼叫LNS (call-l2tp local-user l2tp),此时tunnel就能建立起来了,但是lac侧内网是访问不了LNS网络的。
# 配置lac侧在虚模板上的nat,使lac侧的内外(192.168.10.0/24)能直接访问LNS侧的网络
acl number 2000
rule 0 permit source 192.168.10.0 0.0.0.255
rule 1 deny source any
firewall interzone trust untrust
nat outbound 2000 interface vitrual-template 1
# 设置用户名及口令。
local-user l2tp
password simple l2tp123
service-type ppp
二、LNS侧的配置内容总结:
1.)配置LAC侧L2TP前提准备条件:
a.) 物理链路的可达性;
b.) 路由的可达性,通讯正常了;
=========================================================================
2.) LNS路由器的典型配置
# 设置用户名及口令。
[Router] local-user l2tp
[Router-luser-vpdnuser] password simple l2tp123
[Router-luser-vpdnuser] service-type ppp
# 启用L2TP服务,并设置一个L2TP组。
[Router] l2tp enable
[Router] l2tp-group 1
# 配置虚模板Virtual-Template的相关信息。
[Router] interface virtual-template 1
[Router-virtual-template1] ip address 192.168.0.20 255.255.255.0
[Router-virtual-template1] remote address pool 1
[Router-virtual-template1] ppp authentication-mode chap
[Router-virtual-template1] quit
# 配置域。
[Router] domain system
[Router-isp-system] scheme local
[Router-isp-system] ip pool 1 192.168.0.1 192.168.0.10
[Router-isp-system] quit
# 配置LNS侧本端名称及接收的通道对端名称。
[Router] l2tp-group 1
[Router-l2tp1] tunnel name LNS
[Router-l2tp1] allow l2tp virtual-template 1
# 启用通道验证并设置通道验证密码。
[Router-l2tp1] tunnel authentication
[Router-l2tp1] tunnel password simple 123
[Router-l2tp1] quit
# 配置Serial1/0/0接口。
[Router] interface serial 1/0/0
[Router-Serial1/0/0] ip address 202.180.189.69 30
[Router-Serial1/0/0] quit
# 配置私网路由。
[Router] ip route-static 192.168.10.0 24 virtual-template 1
# 启动L2TP连接
# 在RouteA的虚模板接口视图下执行启动L2TP连接命令
[Router] interface virtual-template 1
[Router-virtual-template1] l2tp-auto-client enable
=========================================================================================
四、L2TP(LNS-LAC)配置总结
1.) LNS侧配置:
1. 虚模板:
- 指定本接口的ip地址;
- 为远程对端虚拟接口分配ip地址,指定地址池,即pool;
- 虚接口的验证方式(chap,pap),写清user与password;
- 若是防火墙,指定接口的区域;
2. L2tp-group组:
- 使能l2tp-group组;(这一步最好设置在虚接口起来之前)
- 定义tunnel通道的本地name;
- 指定通道使用的虚接口;
- 定义tunnel是否经行验证,若验证,定义好相同的tunnel密码;
3. 添加去往远程对端网络的静态路由,下一跳指向虚接口;
------------------------------------------------------
2.) LAC侧配置:
1. L2tp-group组:
- 使能l2tp-group组;
- 定义tunnel通道的本地name;
- 指定将要发起连接的LNS接口地址;
- 定义tunnel是否经行验证,若验证,定义好相同的tunnel密码;
2. 虚模板:
- 指定本接口的ip地址,自动获取;
- 虚接口的验证方式,收集好LNS配置的“用户”与“密码”;
- 发起l2tp连接;
3. 添加去往远程对端网络的静态路由,下一跳指向虚接口;
-------------------------------------------------------
LNS与LAC的关系:
1. LNS定义的“pool”和“本地用户与密码”是给LAC“虚接口”与“虚接口验证使用”的;
2. LNS与LAC两端,虚模板验证的用户名、密码,通道验证密码必须一致;
3. LAC是客户端,是tunnel的发起端,所以要配置清楚他要想谁发起连接(start l2tp ip 202.180.189,70 fullusername vpnuser),这也是LAC收集信息时,必须知道对端LNS的公网口地址;
4. LNS是服务端的,进行配置时不需要收集什么信息,只要注意两端验证时“虚接口”与“通道”的验证。
5. LNS与LAC关系总结
- LNS 进行配置时,不需要收集什么信息,只要注意两端验证时“虚接口”与“通道”的验证以及为LAC定义的pool,即可。
- LAC需要收集的信息:
- LNS公网口地址
- 虚接口验证方式
- 通道验证密码