F1000-AI-05-G V9設備

支持的，給你找一下

1.10 L2TP典型配置舉例‌

.10  L2TP典型配置舉例‌

1.10.1  NAS-Initiated模式L2TP隧道配置舉例

1. 組網需求

PPP用戶通過LAC接入LNS，在LAC和LNS之間建立L2TP隧道，以便用戶通過該L2TP隧道訪問公司總部。

2. 組網圖

圖1-11 NAS-Initiated模式L2TP隧道配置組網圖

‌

3. 配置注意事項

需要將LNS設備的虛擬模板接口加入安全域，並放行Untrust域到Trust域、Untrust域到Local安全域的相關流量。

4. 配置步驟

(1)     LAC側的配置

# 配置接口IP地址、路由保證網絡可達，具體配置步驟略。

# 創建本地PPP用戶vpdnuser，設置密碼為123456TESTplat&!。

<LAC> system-view

[LAC] local-user vpdnuser class network

[LAC-luser-network-vpdnuser] password simple 123456TESTplat&!

[LAC-luser-network-vpdnuser] service-type ppp

[LAC-luser-network-vpdnuser] quit

# 配置ISP域system對PPP用戶采用本地驗證。

[LAC] domain name system

[LAC-isp-system] authentication ppp local

[LAC-isp-system] quit

# 在Async2/1/0接口上配置PPP認證方式為CHAP。

[LAC] interface async 2/1/0

[LAC-Async2/1/0] ppp authentication-mode chap

[LAC-Async2/1/0] quit

# 開啟L2TP功能。

[LAC] l2tp enable

# 創建LAC模式的L2TP組1，配置隧道本端名稱為LAC，指定接入的PPP用戶的用戶名為vpdnuser時LAC向LNS發起隧道建立請求，並指定LNS地址為1.1.2.2。

[LAC] l2tp-group 1 mode lac

[LAC-l2tp1] tunnel name LAC

[LAC-l2tp1] user fullusername vpdnuser

[LAC-l2tp1] lns-ip 1.1.2.2

# 啟用隧道驗證功能，並設置隧道驗證密鑰為aabbcc。

[LAC-l2tp1] tunnel authentication

[LAC-l2tp1] tunnel password simple aabbcc

[LAC-l2tp1] quit

(2)     LNS側的配置

# 配置接口IP地址、路由、安全域及域間策略保證網絡可達，具體配置步驟略。

# 創建本地PPP用戶vpdnuser，設置密碼為123456TESTplat&!。

<LNS> system-view

[LNS] local-user vpdnuser class network

[LNS-luser-network-vpdnuser] password simple 123456TESTplat&!

[LNS-luser-network-vpdnuser] service-type ppp

[LNS-luser-network-vpdnuser] quit

# 配置ISP域system對PPP用戶采用本地驗證。

[LNS] domain name system

[LNS-isp-system] authentication ppp local

[LNS-isp-system] quit

# 開啟L2TP功能。

[LNS] l2tp enable

# 配置PPP地址池。

[LNS] ip pool aaa 192.168.0.10 192.168.0.20

[LNS] ip pool aaa gateway 192.168.0.1

# 創建接口Virtual-Template1，PPP認證方式為CHAP，並使用地址池aaa為Client端分配IP地址。

[LNS] interface virtual-template 1

[LNS-Virtual-Template1] ppp authentication-mode chap domain system

[LNS-Virtual-Template1] ip address 192.168.0.1 24

[LNS-Virtual-Template1] remote address pool aaa

[LNS-Virtual-Template1] quit

# 將Virtual-Template1加入Untrust安全域，並創建Untrust域到Local域的域間實例，應用包過濾策略，允許相關流量通過。

[LNS] security-zone name Untrust

[LNS-security-zone-Untrust] import interface Virtual-Template 1

[LNS-security-zone-Untrust] quit

[LNS] acl basic 2000

[LNS-acl-ipv4-basic-2000] rule permit source any

[LNS-acl-ipv4-basic-2000] quit

[LNS] zone-pair security source untrust destination local

[LNS-zone-pair-security-Untrust-Local] packet-filter 2000

[LNS-zone-pair-security-Untrust-Local] quit

# 創建LNS模式的L2TP組1，配置隧道本端名稱為LNS，指定接收呼叫的虛擬模板接口為VT1，並配置隧道對端名稱為LAC。

[LNS] l2tp-group 1 mode lns

[LNS-l2tp1] tunnel name LNS

[LNS-l2tp1] allow l2tp virtual-template 1 remote LAC

# 啟用隧道驗證功能，並設置隧道驗證密鑰為aabbcc。

[LNS-l2tp1] tunnel authentication

[LNS-l2tp1] tunnel password simple aabbcc

[LNS-l2tp1] quit

(3)     Remote host側的配置

在Remote host上配置撥號連接，在撥號網絡窗口中輸入用戶名vpdnuser和密碼123456TESTplat&!進行撥號。

5. 驗證配置

# 撥號連接成功後，Remote host獲取到IP地址192.168.0.2，並可以ping通LNS的私網地址192.168.0.1。

# 在LNS側，通過命令display l2tp tunnel可查看建立的L2TP隧道。

[LNS] display l2tp tunnel

LocalTID RemoteTID State         Sessions RemoteAddress    RemotePort RemoteName

196      3542      Established   1        1.1.2.1          1701       LAC

# 在LNS側，通過命令display l2tp session可查看建立的L2TP會話。

[LNS] display l2tp session

LocalSID      RemoteSID      LocalTID      State

              Username

2041          64             196           Established

              vpdnuser