配置L2TP时,根据其工作方式的不同,必须完成的配置也有所不同。对于独立LAC方式,用户必须完成LAC侧的配置和LNS侧的配置,使用普通的拨号客户端即可。而对于客户LAC方式,端系统必须执行LAC功能,因而在完成LNS侧设置之外,还需要设置VPN客户端。这种客户端既可以是一台H3C路由器,也可以是H3CSecPoint VPN客户端软件。另外Windows系统自带的VPN客户端也具有基本的L2TP客户端功能。
1.LAC侧基本配置
(1)设置用户名、密码及配置用户验证 在LAC侧配置AAA认证时,如果选择了local(本地认证)方式,则需要在LAC侧配置本地用户名和口令。
LAC通过检查远程拨入用户名/口令与本地注册用户名/口令是否相符合来进行用户身份验证,以检查用户是否为合法VPN用户。验证通过后才能发起建立通道连接的请求,否则将该用户转入其他类型的服务。
在LAC端进行用户身份验证,用户名采用VPN用户全名,口令为VPN用户注册口令。
在LAC侧必须配置:
①配置用户名、密码。
②配置PPP用户验证类型。
③配置PPP域用户及认证方案。
相关配置命令请参考其相关的操作与命令手册。
(2)启用L2TP 只有启用了L2TP后,路由器上L2TP功能才能正常发挥作用;如果禁止L2TP,则即使配置了L2TP的参数,路由器也不会提供相关功能。
在LAC侧必须配置:
[H3C]l2tp enable
(3)创建L2TP组 为了进行L2TP的相关参数配置,还需要增加L2TP组,这不仅可以在路由器上灵活的配置L2TP各项功能,而且方便地实现了LAC和LNS之间一对一、一对多的组网应用。L2TP组在LAC和LNS上独立编号,只需要保证LAC和LNS之间关联的L2TP组的相关配置(如接收的通道对端名称、发起L2TP连接请求及LNS地址等)保持对应关系即可。
在LAC侧必须配置:
[H3C]l2tp-group group-number在创建L2Tp组后,就可以在L2TP组视图下进行和该L2TP组相关的其他配置了,如本端名称、发起L2TP连接请求及LNS地址等。
(4)设置发起L2TP连接请求及LNS地址 路由器不会随便与其他路由器或LNS服务器建立L2TP通道,需要满足一定的条件才会向其他路由器或LNS服务器发出建立L2TP连接的请求。通过配置对接入用户信息的判别条件,并指定相应的LNS端的IP地址,路由器可以鉴定用户是否为VPN用户,并决定是否向LNS发起连接。最多可以设置5个LNS,即允许存在备用LNS。正常运行时,本路由器(LAC)按照LNS配置的先后顺序,依次向对端(LNS)进行L2TP连接请求,直到某个LNS接受连接请求,该LNS就成为L2TP隧道的对端。发起L2TP连接请求的触发条件共支持3种:完整的用户名(fullusename)、带特定域名的用户(domain)、被叫号码(dnis)。
在LAC侧必须配置:
[H3C]start l2tp{ip-address[ip ip-addresS…]}{domain domain-name l fullusername user-name)
上述参数无缺省值,可根据实际情况进行配置,但必须配置一种触发条件,方可发出L2TP连接的请求。
2.LNS侧基本配置
(1)设置用户名、密码及配置用户验证 在LNS侧,如果配置了强制CHAP认证,则需要在LNS侧配置本地注册用户名和口令。
LNS通过检查远程拨入用户名/口令与本地注册用户名/口令是否相符合来进行用户身份验证,以检查用户是否为合法VPN用户。验证通过后就可以进行VPN用户和LNS的通信,否则将通知L2TP清除这个L2TP链接。
在LNS端进行用户身份验证,用户名可以采用两种形式:(www.xing528.com)
①用户名为VPN用户全名,口令为VPN用户注册口令。
②用户名为用户名+域名,口令为VPN用户注册口令。这些配置在LNS侧为可选配置,具体配置方法请参考LAC侧设置用户名、密码及配置本地验证的方法。
(2)启用L2TP 只有启用L2TP后,路由器上L2TP功能才能正常发挥作用;如禁止L2TP,则即便配置了L2TP的参数路由器也不会提供相关功能。这些配置在LNS侧必须配置:
[H3C]l2tp enable
(3)创建LZTP组 为了进行L2TP的相关参数配置,还需要增加L2TP组,这不仅可以在路由器上灵活配置L2TP各项功能,而且方便地实现了LAC和LNS之间一对一、一对多的组网应用。L2TP组在LAC和LNS上独立编号,只需要保证以两者之间关联的L2TP组的相关配置(如接收的通道对端名称、发起LZTP连接请求及LNS地址等)保持对应关系即可。
在LNS侧必须配置:
[H3C]l2tp-group group-number
(4)创建虚接口模板 虚拟接口模板主要用于配置路由器在运行过程中动态创建的虚接口的工作参数,如MP捆绑逻辑接口和L2TP逻辑接口等。
这里创建的虚模板是L2TP逻辑接口。在L2TP中使用虚模板时,必须为虚模板配置自己的IP地址,不能借用其他接口的地址;用户端不能使用固定IP地址,应该使用由LNS分配的协商地址。当使用IP pool命令配置分配给对端的地址时,应确保虚模板地址与地址池地址属于同一网段。
在LNS侧必须配置:
[H3C]interface virtual-template virtual-template-number
(5)设置本端地址及分配的地址池 当LAC与LNS之间的L2TP隧道连接建立之后,LNS需要从地址池中为VPN用户分配IP地址。在指定地址池之前,需要在域视图下用IP pool命令先定义一个地址池。
在LNS侧必须配置:
[H3C-Virtual-Template1]ip address XXXX netmask
[H3C-Virtual-Template1]remote address{pool pool-numoer}
(6)设置接收呼叫的虚接口模板、通道对端名称和域名 LNS可以使用不同的虚拟接口模板接收不同的LAC创建隧道的请求。在接收到LAC发来的创建隧道请求后,LNS需要检查LAC的名称是否与合法通道对端名称相符合,从而决定是否允许通道对方进行隧道的创建。
在LNS侧必须配置:
L2TP组不为1时:
[H3C-l2tp1]allow l2tp virtual-template virtual-template-number remote-name[domain domain-name]
L2TP组为1时:
[H3C-l2tp1]allow l2tp virtua-template virtual-template-number[remote remotename][domain domain-name]
当L2TP组号为1时(缺省的L2TP组号),可以不指定通道对端名remote-name。如果在L2TP组1的视图下,仍指定对端名称,则L2TP组1不作为缺省的L2TP组。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
