锐捷RSR系列路由器_VPN功能_L2TP-VPND1.0_L2TP 客户端典型配置

功能介绍

       在自发隧道模式下：远程接入客户端运行L2TP软件，充当了L2TP连接模型中的LAC。远程客户端/LAC（在RFC 2661中被称为“LAC客户”）连接到LNS，PPP帧通过L2TP隧道直接在客户和LNS之间转发。一般企业的总分机构互联场景下使用该场景。

应用场景

若总公司和分公司各自的内网要能够互相共享资料，且对数据的安全性要求不高，总公司对分公司路由器采用本地的用户名、密码方式进行验证，此时您可以在总公司和分公司的网络设备上启用强制模式的L2TP VPN，且PPP认证采用本地认证。

一、组网需求

某企业使由于业务拓展，在全国各地建立了若干分支机构；总部出口路由器通过运营商专线连接到互联网，各分支可能通过专线或者ADSL方式接入互联网。分支机构在业务开展过程中需要访问位于总部的业务服务器，同时需要对分支与总部间通信的数据进行加密，保证业务安全。

该场景通过在总部出口路由器和分支出口路由器间建立L2TP VPN来满足分支与总部间的业务互访需求。

二、组网拓扑

三、配置要点

1、配置LNS VPDN

2、配置LNS地址池和用户信息

3、配置LNSVirtual-Template接口

4、配置分支路由器PPP拨号

5、配置分支路由器L2TP CLASS

6、配置分支路由器L2TP pseudowire-class 接口

7、配置分支路由器的Virtual-ppp接口

四、配置步骤

1、配置LNS VPDN

vpdn enable

vpdn-group 1

accept-dialin

protocol l2tp

virtual-template 1

l2tp tunnel authentication//按需启用l2tp隧道认证功能

l2tp tunnel password ruijie//按需配置l2tp隧道密码为“ruijie”

注意：在LNS上配置了隧道认证和密码后，必须在L2TP客户端上也配置隧道认证和相同的密码，否则L2TP无法协商成功。

2、配置LNS地址池和用户信息

ip local pool p1 100.0.0.2 100.0.0.100//配置l2tp用户的地址池

username test password test//添加需要本地认证的L2TP客户端账号密码信息

3、配置LNS Virtual-Template接口

interface loopback 1//添加loopback接口，该接口地址用于供VPDN虚模板使用

ip address 100.0.0.1 255.255.255.255

interface Virtual-Template 1

ppp authentication pap chap//指定优先使用pap认证，同时支持chap认证

ip unnumbered Loopback 1              //指定虚模板引用loopback 1的地址

peer default ip address pool p1//指定l2tp客户端所使用的地址池

4、配置分支路由器PPP拨号

保证分支路由器已经正确接入互联网，并与LNS正常通信。

如果是ADSL拨号，请参考（“典型配置--->广域网接口配置--->ADSL拨号）

5、配置分支路由器L2TP CLASS

l2tp-class l2x

hostname site1 //（选配）

authentication //开启L2TP隧道认证

password ruijie //配置L2TP隧道认证密码为“ruijie”

注意：在l2TP客户端上配置的隧道认证密码必须与服务器上的相同，否则L2TP无法协商成功。

6、配置分支路由器L2TP pseudowire-class 接口

pseudowire-class pw

    encapsulation l2tpv2//指定使用l2tpv2封装

    protocol l2tpv2 l2x//指定协议类型为l2tpv2作为隧道协议，并指定使用"l2x"的l2tp class

    ip local interface dialer 0    //（选配）指定L2TP隧道协商的源地址，该地址为外网口地址

7、配置分支路由器的Virtual-ppp接口

interface Virtual-ppp 1

    ip ref

    ppp pap sent-username test password test  //配置L2TP的用户名和密码，使用PAP认证

    ip address negotiate//配置IP地址为自动分配

    pseudowire 10.0.0.1 12 pw-class pw//指定LNS的地址，并指定使用“pw”的pseudowire-class

五、配置验证

1、查看L2TP客户端上的状态信息

（1）配置完成后，分支路由器分自动发起L2TP拨号，如果拨号成功，如果拨号成功，在分支路由器上通过show ip interface brief命令可以看到该接口已经up，并且获取到了正确的IP地址。

（2）查看路由表，已经生成了一条virtual-ppp接口上直连的，LNSvirtual-template接口地址。

（3）在L2TP客户端上能够ping通LNS的virtual-template接口地址。

2、查看LNS上的状态信息

在LNS上通过show vpdn命令可以看到当前已经成功拨的用户信息：