《VPN原理及配置-PPT.ppt》由会员分享,可在线阅读,更多相关《VPN原理及配置-PPT.ppt(196页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 VPN VPN原理和配置原理和配置原理和配置原理和配置2引入引入引入引入l随着网络应用的发展,组织需要将Intranet、Extranet和Internet接入融合起来l组织越来越需要降低昂贵的专线网络布署、使用和维护费用,缩减布署周期,提高灵活性lVPN诞生了。3学习目标学习目标学习目标学习目标l理解理解VPN的体系结构的体系结构l掌握掌握GRE VPN的工作原理和配置的工作原理和配置l掌握掌握L2TP VPN的工作原理和配置的工作原理和配置l掌握掌握IPSec VPN的工作原理和配置的工作原理和配置l能够执行基本的能够执行基本的VPN设计设计学习完本课程,您应该能够:学习完本课程,您应该
2、能够:4课程内容课程内容课程内容课程内容VPN概述概述GRE VPNL2TPIPSec VPNVPN设计规划设计规划5第一节第一节第一节第一节 VPNVPN概述概述概述概述lVPN概念术语概念术语lVPN的分类的分类l主要主要VPN技术技术6VPNVPN(Virtual Private NetworkVirtual Private Network)合作伙伴合作伙伴出差员工出差员工隧道隧道专线专线办事处办事处总部总部分支机构分支机构异地办事处异地办事处Internet7什么是什么是什么是什么是VPNVPNlVPN(Virtual Private Network,虚拟私有网)l以共享的公共网络为基
3、础,构建私有的专用网络l以虚拟的连接,而非以物理连接贯通网络l处于私有的管理策略之下,具有独立的地址和路由规划l有所通,有所不通lRFC 2764描述了基于IP的VPN体系结构8VPNVPN的优势的优势的优势的优势l可以快速构建网络,减小布署周期l与私有网络一样提供安全性,可靠性和可管理性l可利用Internet,无处不连通,处处可接入l简化用户侧的配置和维护工作l提高基础资源利用率l于客户可节约使用开销l于运营商可以有效利用基础设施,提供大量、多种业务9VPNVPN的关键概念术语的关键概念术语的关键概念术语的关键概念术语l隧道(Tunnel)l封装(Encapsulation)l验证(Aut
4、hentication)l授权(Authorization)l加密(Encryption)l解密(Decryption)10VPNVPN的分类方法的分类方法的分类方法的分类方法l按照业务用途分类:Access VPN,Intranet VPN,Extranet VPNl按照运营模式:CPE-Based VPN,Network-Based VPNl按照组网模型:VPDN,VPRN,VLL,VPLS l按照网络层次:Layer 1 VPN,Layer 2 VPN,Layer 3 VPN,传输层VPN,应用层VPN11Access VPNAccess VPNPOPPOP用户直接发起连接用户直接发起连
5、接POPISP发起连接发起连接 总部总部隧道隧道12Intranet VPNIntranet VPN总部总部研究所研究所办事处办事处分支机构分支机构Internet/ISP IPATM/FR13Extranet VPNExtranet VPN总部总部合作伙伴合作伙伴异地办事处异地办事处分支机构分支机构Internet/ISP IPATM/FR14CPE-Based VPNCPE-Based VPN隧道隧道总部总部研究所研究所办事处办事处分支机构分支机构Internet/ISP 网网络络15Internet/ISP 网络Network-Based VPNNetwork-Based VPN隧道隧道
6、总部总部研究所研究所办事处办事处分支机构分支机构16VLLVLL总部总部研究所研究所办事处办事处分支机构分支机构DLCI 500DLCI 600DLCI 700DLCI 600/601/602Internet/ISP 网网络络17VPRNVPRN隧道隧道研究所研究所办事处办事处分支机构分支机构网络层报文网络层报文Internet/ISP 网络18VPDNVPDN 适用范围:适用范围:出差员工出差员工异地小型办公机构异地小型办公机构POPPOP用户直接发起连接用户直接发起连接POPISP发起连接发起连接 总部总部隧道隧道19ISP 网络网络VPLSVPLS虚拟的虚拟的LAN连接连接研究所研究所办
7、事处办事处分支机构分支机构LAN帧帧20不同网络层次的不同网络层次的不同网络层次的不同网络层次的VPNVPNl一层 VPNl二层 VPNl三层 VPNl传输层VPNl应用层VPN21主要主要主要主要VPNVPN技术技术技术技术l主要的二层VPN技术L2TPPPTPMPLS L2 VPNl主要的三层VPN技术GREIPSec VPNBGP/MPLS VPN22其它其它其它其它VPNVPN技术技术技术技术l老式VPN技术包括ATM,Frame Relay,X.25等分组交换技术lSSL(Secure Sockets Layer)lL2F(Layer 2 Forwarding)lDVPN(Dynam
8、ic Virtual Private Network,动态VPN)l基于VLAN的VPNl802.1QinQlXOT(X.25 over TCP Protocol)23课程内容课程内容课程内容课程内容VPN概述概述GRE VPNL2TPIPSec VPNVPN设计规划设计规划24第一节第一节第一节第一节 GRE VPNGRE VPNl概述概述lGRE封装封装lGRE VPN工作原理工作原理lGRE VPN配置配置lGRE VPN典型应用典型应用l小结小结25参考资料参考资料参考资料参考资料lRFC 1701lRFC 1702lRFC 2764lRFC 289026GRE VPNGRE VPNl
9、GRE(Generic Routing Encapsulation)在任意一种网络协议上传送任意一种其它网络协议的封装方法 RFC 2784可以用于任意的VPN实现lGRE VPN直接使用GRE封装,在一种网络上传送其它协议虚拟的隧道(Tunnel)接口27GREGRE协议栈协议栈协议栈协议栈协议协议BGRE协议协议A链路层协议链路层协议载荷协议载荷协议封装协议封装协议承载协议承载协议协议协议B载荷载荷GRE封装包格式封装包格式链路层链路层GRE协议协议B协议协议A载荷载荷28RFC 1701 GRERFC 1701 GRE头格式头格式头格式头格式CRKSsRecurFlagsVerProto
10、col TypeChecksum(optional)Offset(optional)Key(optional)Sequence Number(optional)Routing(optional)01234567890123456789012345678901229RFC 1701 SRERFC 1701 SRE格式格式格式格式Address FamilySRE OffsetSRE LengthRouting Information 01234567890123456789012345678901230常见常见常见常见GREGRE载荷协议号载荷协议号载荷协议号载荷协议号协议名协议名协议类型号协议
11、类型号Reserved0000SNA0004OSI network layer00FEXNS0600IP0800DECnet(Phase IV)6003Ethertalk(Appletalk)809BNovell IPX8137ReservedFFFF31RFC 2784 GRERFC 2784 GRE标准头格式标准头格式标准头格式标准头格式CReserved0VerProtocol TypeChecksum(optional)Reserved1(optional)01234567890123456789012345678901232GREGRE扩展头格式扩展头格式扩展头格式扩展头格式CK S
12、Reserved0VerProtocol TypeChecksum(optional)Reserved1(optional)Key(optional)Sequence Number(optional)01234567890123456789012345678901233载荷协议包载荷协议包以以以以IPIP作为承载协议的作为承载协议的作为承载协议的作为承载协议的GREGRE封装封装封装封装lGRE被当作一种IP协议对待lIP用协议号47标识GRE链路层链路层GREIPIP协议号协议号4734以以以以IPIP作为载荷协议的作为载荷协议的作为载荷协议的作为载荷协议的GREGRE封装封装封装封装lGR
13、E使用以太类型标识载荷协议l载荷协议类型值0 x0800说明载荷协议为IP载荷载荷链路层链路层GRE承载协议头承载协议头载荷协议载荷协议0 x0800IP35IP over IPIP over IP的的的的GREGRE封装封装封装封装载荷载荷链路层链路层GREIP载荷协议载荷协议0 x0800IPIP协议号协议号4736GREGRE隧道隧道隧道隧道RTARTBIPIPXIPXGRE Tunnel站点站点A站点站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel0IPX数据流IPX包IPX包GRE封装包37IP over IP GREIP over IP GRE隧道隧道隧道隧道RTA
14、RTBIP公网IP私网IP私网GRE Tunnel站点站点A站点站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24IP私网之间的数据流私网IP包GRE封装包私网IP包38GREGRE隧道处理流程隧道处理流程隧道处理流程隧道处理流程l隧道起点路由查找l加封装l承载协议路由转发l中途转发l解封装l隧道终点载荷协议路由查找39GREGRE隧道处理隧道处理隧道处理隧道处理隧道起点路由查找隧道起点路由查找隧道起点路由查找隧道起点路由查找RTARTBIP公
15、网IP私网IP私网站点站点A站点站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24Destination/Mask ProtocolCostNext HopInterface10.1.1.0/24DERECT0-LOOP010.1.2.0/24DERECT0-LOOP010.1.3.0/24OSPF210010.1.2.2Tunnel0202.1.1.0/24DERECT0-LOOP0203.1.1.0/24STATIC0202.1.1.2S0
16、/040GREGRE隧道处理隧道处理隧道处理隧道处理加封装加封装加封装加封装RTARTBIP公网IP私网IP私网站点站点A站点站点BTunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24RTA Tunnel0接口参数:接口参数:GRE封装封装 源接口源接口S0/0,地址,地址202.1.1.1 目标地址目标地址203.1.1.2D S私网私网IP包包GRE头头公网公网IP头头目的地目的地址:址:203.1.1.2源地址源地址:202.1.1.1S0/0S0/0E0/0E0/041GRE
17、GRE隧道处理隧道处理隧道处理隧道处理承载协议路由转发承载协议路由转发承载协议路由转发承载协议路由转发RTARTBIP公网IP私网IP私网站点站点A站点站点BTunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24Destination/Mask ProtocolCostNext HopInterface10.1.1.0/24DERECT0-LOOP010.1.2.0/24DERECT0-LOOP010.1.3.0/24OSPF210010.1.2.2Tunnel0202.1.1.0/2
18、4DERECT0-LOOP0203.1.1.0/24STATIC0202.1.1.2S0/0S0/0S0/0E0/0E0/042GREGRE隧道处理隧道处理隧道处理隧道处理中途转发中途转发中途转发中途转发RTARTBIP公网IP私网IP私网站点站点A站点站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/2443GREGRE隧道处理隧道处理隧道处理隧道处理解封装解封装解封装解封装RTARTBIP公网IP私网IP私网站点站点A站点站点BTunnel0T
19、unnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24RTB Tunnel0接口参数:接口参数:GRE封装封装 源接口源接口S0/0,地址,地址202.1.1.1 目标地址目标地址203.1.1.2D S私网私网IP包包GRE头头公网公网IP头头私网私网IP包包S0/0S0/0E0/0E0/044GREGRE隧道处理隧道处理隧道处理隧道处理隧道终点载荷协议路由查找隧道终点载荷协议路由查找隧道终点载荷协议路由查找隧道终点载荷协议路由查找RTARTBIP公网IP私网IP私网站点站点A站点站点BTunnel
20、0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24203.1.1.2/24202.1.1.1/24Destination/Mask ProtocolCostNext HopInterface10.1.3.0/24DERECT0-LOOP010.1.2.0/24DERECT0-LOOP010.1.1.0/24OSPF210010.1.2.2Tunnel0203.1.1.0/24DERECT0-LOOP0202.1.1.0/24STATIC0202.1.1.2S0/0S0/0S0/0E0/0E0/045GREGRE穿越穿越穿越穿越NATNATR
21、TARTBIP公网IP私网IP私网E1/0S0/0E0/0E0/0Tunnel0Tunnel0IP_addr_BIP_addr_ANAT网关网关S0/0IP_addr_RlRTA配置:隧道源IP_addr_A隧道目的IP_addr_BlRTB配置:隧道源IP_addr_B隧道目的IP_addr_RlNAT配置:地址映射:IP_addr_A IP_addr_R46GRE VPNGRE VPN基本配置基本配置基本配置基本配置l创建虚拟创建虚拟Tunnel接口接口 Quidway interface tunnel number l指定指定Tunnel的源端的源端 Quidway-Tunnel0 so
22、urce ip-addr|interface-type interface-num l指定指定Tunnel的目的端的目的端 Quidway-Tunnel0 destination ip-address l设置设置Tunnel接口的网络地址接口的网络地址 Quidway-Tunnel0 ip address ip-address maskl配置通过配置通过Tunnel的路由的路由47GRE VPNGRE VPN路由配置路由配置路由配置路由配置RTARTBIP公网IP私网IP私网站点站点A站点站点BS1/0S1/0E0/0E0/0Tunnel0Tunnel0载荷网路由AS承载网路由AS48虚假的虚
23、假的虚假的虚假的TunnelTunnel接口状态接口状态接口状态接口状态RTARTB站点站点A站点站点BE1/0E1/0E0/0E0/0Tunnel0Tunnel0备份隧道空闲!备份隧道空闲!服务器服务器RTCE1/0E0/0Tunnel0Tunnel1UPUPUPUP49GRE VPNGRE VPN高级配置高级配置高级配置高级配置l设置设置Tunnel接口报文的封装模式接口报文的封装模式 Quidway-Tunnel0 tunnel-protocol grel设置设置Tunnel两端进行端到端校验两端进行端到端校验 Quidway-Tunnel0 gre checksuml设置设置Tunne
24、l接口的识别关键字接口的识别关键字 Quidway-Tunnel0 gre key key-number l配置配置Tunnel的的keepalive功能功能 Quidway-Tunnel0 keepalive interval times 50GRE VPNGRE VPN配置实例(待续)配置实例(待续)配置实例(待续)配置实例(待续)RTARTBIP公网IP私网IP私网站点站点A站点站点BS1/0S1/0E0/0E0/0Tunnel0Tunnel010.1.1.1/2410.1.2.1/2410.1.2.2/2410.1.3.1/24132.108.5.2/24192.13.2.1/2451
25、GRE VPNGRE VPN配置实例配置实例配置实例配置实例RTB-Serial1/0 ip address 132.108.5.2 255.255.255.0 RTB-Ethernet0/0 ip address 10.1.3.1 255.255.255.0RTB interface tunnel 0 RTB-Tunnel0 ip address 10.1.2.2 255.255.255.0 RTB-Tunnel0 source 132.108.5.2 RTB-Tunnel0 destination 192.13.2.1 RTB ip route-static 10.1.1.0 255.25
26、5.255.0 tunnel0 RTA-Serial1/0 ip address 192.13.2.1 255.255.255.0RTA-Ethernet0/0 ip address 10.1.1.1 255.255.255.0 RTA interface tunnel 0RTA-Tunnel0 ip address 10.1.2.1 255.255.255.0 RTA-Tunnel0 source 192.13.2.1 RTA-Tunnel0 destination 132.108.5.2RTA ip route-static 10.1.3.0 255.255.255.0 tunnel0 5
27、2GRE VPNGRE VPN的显示和调试的显示和调试的显示和调试的显示和调试l显示显示Tunnel接口的工作状态接口的工作状态 display interface tunnel number 例如:例如:Quidway display interfaces tunnel 1 Tunnel1 is up,line protocol is up Maximum Transmission Unit is 128 Internet address is 1.1.1.1 255.255.255.0 10 packets input,640 bytes 0 input errors,0 broadcas
28、t,0 drops 10 packets output,640 bytes 0 output errors,0 broadcast,0 no protocoll打开打开Tunnel调试信息调试信息 debugging tunnel 53连接不连续的网络连接不连续的网络连接不连续的网络连接不连续的网络RTARTBIPIPXIPXGRE Tunnel站点站点A站点站点BTunnel0Tunnel0S0/0S0/0E0/0E0/054单一骨干承载多个上层协议单一骨干承载多个上层协议单一骨干承载多个上层协议单一骨干承载多个上层协议RTARTBIPIPXIPXGRE Tunnel站点站点A站点站点BTu
29、nnel0Tunnel0IPIPTeam1Team2Group1Group2S0/0S0/0E0/0E0/055扩大载荷协议的工作范围扩大载荷协议的工作范围扩大载荷协议的工作范围扩大载荷协议的工作范围RTARTBIP公网载荷协议载荷协议站点站点A站点站点BS0/0S0/0E0/0E0/0Tunnel0Tunnel056GRE VPNGRE VPN的优点的优点的优点的优点l可以当前最为普遍的IP网络作为承载网络 l支持多种协议l支持IP组播l简单明了、容易布署 57GRE VPNGRE VPN的缺点的缺点的缺点的缺点l点对点隧道 l静态配置隧道参数l布署复杂连接关系时代价巨大l缺乏安全性l不能分
30、隔地址空间 58课程内容课程内容课程内容课程内容VPN概述概述GRE VPNL2TPIPSec VPNVPN设计规划设计规划59第三节第三节第三节第三节 L2TPL2TPl概述概述l概念术语概念术语l协议封装协议封装l协议操作协议操作lL2TP多实例多实例l配置和故障排除配置和故障排除l小结小结60参考资料参考资料参考资料参考资料lRFC 2661lVRP3.4 操作手册lVRP3.4 命令手册61L2TPL2TPlLayer Two Tunnel ProtocollRFC 2661l隧道传送PPPl验证和动态地址分配l无加密措施l点对网络特性62传统拨号接入传统拨号接入传统拨号接入传统拨号接
31、入PSTN/ISDNLANLANLANLAN分支机构分支机构总部总部NAS出差员工出差员工RADIUS63使用使用使用使用L2TPL2TP构建构建构建构建VPDNVPDNLANLANLANLAN分支机构分支机构总部总部LACLNSNASQuidway Router出差员工出差员工LAC RADIUSLNS RADIUSPSTN/ISDN64L2TPL2TP功能组件功能组件功能组件功能组件l远程系统(Remote System)lLAC(L2TP Access Concentrator)lLNS(L2TP Network Server)lNAS(Network Access Server)65L
32、2TPL2TP功能组件功能组件功能组件功能组件LANLANLACLNSNAS远程系统远程系统LAC RADIUSLNS RADIUS隧道隧道PSTN/ISDN66L2TPL2TP术语术语术语术语l呼叫(Call)l隧道(Tunnel)l控制连接(Control Connection)l会话(Session)lAVP(Attribute Value Pair)67PSTN/ISDN呼叫呼叫呼叫呼叫LANLANLACLNS呼叫呼叫LAC RADIUSLNS RADIUS68PSTN/ISDN隧道和控制连接隧道和控制连接隧道和控制连接隧道和控制连接控制连接控制连接隧道隧道LANLANLACLNS呼叫
33、呼叫LAC RADIUSLNS RADIUS69PSTN/ISDN会话会话会话会话控制连接控制连接隧道隧道LANLANLACLNS呼叫呼叫LAC RADIUSLNS RADIUS会话会话70PSTN/ISDNL2TPL2TP拓扑结构(拓扑结构(拓扑结构(拓扑结构(1 1)独立独立独立独立LACLAC方式方式方式方式LANLANLACLNS71L2TPL2TP拓扑结构(拓扑结构(拓扑结构(拓扑结构(2 2)客户客户客户客户LACLAC方式方式方式方式LANLANLNS72L2TPL2TP头格式头格式头格式头格式01234567890123456789012345678901TLSOPVerTun
34、nel IDSession IDNs(opt)Nr(opt)Offset Size(opt)Offset pad.(opt)Length(opt)73L2TPL2TP协议栈和封装过程协议栈和封装过程协议栈和封装过程协议栈和封装过程私有私有IPPPPL2TPUDP公有公有IP链路层链路层物理层物理层物理层物理层私有私有IPPPPIP包包(公有公有IP)UDPL2TPPPPIP包包(私有私有IP)链路层链路层私有私有IPPPP物理层物理层L2TPUDP公有公有IP链路层链路层物理层物理层 物理层物理层私有私有IP链路层链路层物理层物理层ClientLACLNSServerLAC侧封装过程侧封装过程
35、LNS侧解封装过程侧解封装过程L2TP协议栈结构协议栈结构74L2TPL2TP协议操作协议操作协议操作协议操作l建立控制连接l建立会话l转发PPP帧lKeepalivel关闭会话l关闭控制连接75建立控制连接建立控制连接建立控制连接建立控制连接LACLNSSCCRQSCCRPSCCCNZLBl控制连接的建立由PPP触发l任意源端口1701l重定位为任意源端口任意目标端口76建立会话建立会话建立会话建立会话LACLNSICRQICRPICCNZLBl会话的建立以控制连接的建立为前提l会话与呼叫有一一对应关系l同一个隧道中可以建立多个会话77转发转发转发转发PPPPPP帧帧帧帧l会话建立后,即可转
36、发PPP帧lTunnel ID和Session ID用于区分不同隧道和不同会话的数据78KeepaliveKeepaliveLACLNSHelloHellolL2TP用Hello控制消息维护隧道的状态79关闭会话关闭会话关闭会话关闭会话LACLNSCDNZLB80关闭控制连接关闭控制连接关闭控制连接关闭控制连接LACLNSStopCCNZLB81L2TPL2TP的验证过程的验证过程的验证过程的验证过程呼叫建立呼叫建立PPP LCP 协商通过协商通过LAC CHAP Challenge用户用户 CHAP Response隧道验证隧道验证(可选可选)SCCRP(LNS CHAP Response&
37、LNS CHAP Challenge)SCCRQ(LAC CHAP Challenge)SCCCN(LAC CHAP Response)ICCN(用户(用户 CHAP Response&PPP 已经协商好的参数)已经协商好的参数)LNS CHAP Challenge可选的第二次验证可选的第二次验证用户用户 CHAP Response验证通过验证通过LACLACLNSLNSPSTN/ISDN82L2TPL2TP多实例多实例多实例多实例lL2TP协议上加入多实例技术,让L2TP支持在一台设备将不同的用户划分在不同的VPN,各个VPN之内的数据可以互通,且在LNS两个不同VPN之间的数据不能互相访问
38、,即使L2TP接入是同一个设备。VPN 1 总部总部ClientLNSHOSTInternetL2TP TUNNELClientVPN 2总部总部VPN 1HOSTVPN 210.1.1.*10.1.1.*10.1.2.*10.1.2.*83L2TPL2TP基本配置任务基本配置任务基本配置任务基本配置任务lLAC侧设置用户名、密码及配置用户验证启用L2TP创建L2TP组设置发起L2TP连接请求及LNS地址lLNS侧设置用户名、密码及配置用户验证启用L2TP创建L2TP组创建虚接口模板设置本端地址及分配的地址池设置接收呼叫的虚接口模板、通道对端名称和域名84L2TPL2TP基本配置命令(未完)基
39、本配置命令(未完)基本配置命令(未完)基本配置命令(未完)l LAC 侧的配置侧的配置设置用户名、密码及配置用户验证设置用户名、密码及配置用户验证启用启用L2TPQuidway l2tp enable 创建创建L2TP组组 Quidway l2tp-group group-number 设置发起设置发起L2TP连接请求及连接请求及LNS地址地址Quidway-l2tp1start l2tp ip ip-address ip ip-address domain domain-name|fullusername user-name 85L2TP L2TP 的基本配置命令(未完)的基本配置命令(未完
40、)的基本配置命令(未完)的基本配置命令(未完)lLNS 侧的配置侧的配置设置用户名、密码及配置用户验证设置用户名、密码及配置用户验证启用启用L2TP Quidway l2tp enable创建创建L2TP组组 Quidway l2tp-group group-number创建虚接口模板创建虚接口模板Quidway interface virtual-template virtual-template-number 设置本端地址及为用户分配的地址池设置本端地址及为用户分配的地址池 Quidway-Virtual-Template1 ip address X.X.X.X netmask Quidw
41、ay-Virtual-Template1 remote address pool pool-number 86L2TP L2TP 的基本配置命令的基本配置命令的基本配置命令的基本配置命令lLNS 侧的配置侧的配置设置接收呼叫的虚拟接口模板、通道对端名称和域名设置接收呼叫的虚拟接口模板、通道对端名称和域名 L2TP组不为组不为1:Quidway-l2tp1 allow l2tp virtual-template virtual-template-number remote remote-name domain domain-name L2TP组为组为1:Quidway-l2tp1 allow l
42、2tp virtual-template virtual-template-number remote remote-name domain domain-name 87L2TPL2TP可选配置任务可选配置任务可选配置任务可选配置任务lLAC和LNS侧可选配的参数设置本端名称启用隧道验证及设置密码设置通道Hello报文发送时间间隔设置域名分隔符及查找顺序强制挂断通道lLNS侧可选配的参数强制本端CHAP认证强制LCP重新协商88L2TPL2TP的可选配置命令(未完)的可选配置命令(未完)的可选配置命令(未完)的可选配置命令(未完)lLAC侧和侧和LNS侧可选配的参数侧可选配的参数设置本端名称设
43、置本端名称 Quidway-l2tp1 tunnel name name启用隧道验证及设置密码启用隧道验证及设置密码 Quidway-l2tp1 tunnel authentication Quidway-l2tp1 tunnel password simple|cipher password 设置通道设置通道Hello报文发送时间间隔报文发送时间间隔 Quidway-l2tp1 tunnel timer hello hello-interval 89L2TPL2TP的可选配置命令(未完)的可选配置命令(未完)的可选配置命令(未完)的可选配置命令(未完)lLAC侧和侧和LNS侧可选配的参数侧可
44、选配的参数配置域名分隔符及查找顺序配置域名分隔符及查找顺序设置前缀分隔符设置前缀分隔符 Quidway-l2tp1 l2tp domain prefix-separator separator 设置后缀分隔符设置后缀分隔符 Quidway-l2tp1 l2tp domain suffix-separator separator 设置查找规则设置查找规则 Quidway-l2tp1 l2tp match-order dnis-domain|dnis|domain-dnis|domain 强制挂断通道强制挂断通道 reset l2tp tunnel remote-name|tunnel-id 90
45、L2TPL2TP的可选配置命令的可选配置命令的可选配置命令的可选配置命令lLNS侧可选配的参数侧可选配的参数强制本端强制本端CHAP验证验证 Quidway-l2tp1 mandatory-chap 强制强制LCP重新协商重新协商 Quidway-l2tp1 mandatory-lcp 91L2TPL2TP配置例子(未完)配置例子(未完)配置例子(未完)配置例子(未完)LACLNSLAC local-user LAC-luser- password simple HelloLAC domain LAC-isp- scheme localLAC l2tp enable LAC l2tp-grou
46、p 1 LAC-l2tp1 tunnel name LAC LAC-l2tp1 start l2tp ip 202.38.160.2 domain LAC-l2tp1 tunnel authenticationLAC-l2tp1 tunnel password simple quidway PSTN/ISDN92L2TPL2TP配置例子配置例子配置例子配置例子LNS local-user LNS-luser- password simple Hello LNS interface virtual-template 1LNS-virtual-template1 ip address 192.16
47、8.0.1 255.255.255.0LNS-virtual-template1 ppp authentication-mode chap domain LNS domain LNS-isp- scheme localLNS-isp- ip pool 1 192.168.0.2 192.168.0.100LNS l2tp enable LNS l2tp-group 1 LNS-l2tp1 tunnel name LNS LNS-l2tp1 allow l2tp virtual-template 1 remote LAC LNS-l2tp1 tunnel authenticationLNS-l2
48、tp1 tunnel password simple quidwayLACLNSPSTN/ISDN93L2TPL2TP信息显示和调试信息显示和调试信息显示和调试信息显示和调试l显示当前的显示当前的L2TP通道的信息通道的信息 Quidway display l2tp tunnelLocalID RemoteID RemName RemAddress Sessions Port 1 8 AS8010 172.168.10.2 1 1701Total tunnels=1 l显示当前的显示当前的L2TP会话的信息会话的信息 Quidway display l2tp sessionLocalIDRem
49、oteIDTunnelID 112 Total session=1 l 打开打开L2TP调试信息开关调试信息开关 debugging l2tp all|control|dump|error|event|hidden|payload|time-stamp 94L2TP L2TP 故障排除故障排除故障排除故障排除l用户登录失败用户登录失败 Tunnel建立失败建立失败 在在LAC端,端,LNS的地址设置不正确的地址设置不正确LNS(通常为路由器)端没有设置可以接收该隧道对端的(通常为路由器)端没有设置可以接收该隧道对端的L2TP组组Tunnel验证不通过,如果配置了验证,应该保证双方的隧道密码一致
50、验证不通过,如果配置了验证,应该保证双方的隧道密码一致 PPP协商不通过协商不通过 LAC端设置的用户名与密码有误,或者是端设置的用户名与密码有误,或者是LNS端没有设置相应的用户端没有设置相应的用户LNS端不能分配地址,比如地址池设置的较小,或没有进行设置端不能分配地址,比如地址池设置的较小,或没有进行设置密码验证类型不一致密码验证类型不一致l数据传输失败,在建立连接后数据不能传输,如数据传输失败,在建立连接后数据不能传输,如Ping不通对端不通对端 用户设置的地址有误用户设置的地址有误网络拥挤网络拥挤 95L2TPL2TP特点特点特点特点l方面远程漫游用户接入l节约费用l可以由ISP或组织