lns

L2TP案例介绍

图1-01原网络拓扑

一、前篇介绍

原来网络的的拓扑情况如上图所示。当我们到客户那里后，了解到网络拓扑情况是一台

锐捷NBR80设备与Internet互联，与我们了解到的是两个情况。这也就意味着，我们要拿

我们自己的设备与其他厂商的设备互做L2TP。这可能就不是我所擅长的了，但为了满足客

户的需求我们还是那样去做了，可并不是很顺利，我们没能做成功。

所以接下来，我们想到的就是，还是让AR设备能和我们的SRG设备对做L2TP。这种

做法我们的把握更大些，毕竟AR与我们的SRG之间还是很有渊源的。我们想到的第一个

方法就是在不改变原客户的网络拓扑的情况下，透传过锐捷的设备实现AR与SRG间的直

接通信。也就是通过ip映射的办法把AR暴露到公网上来。但是我们实施了下，发现这种

方案也是没发实施的，因为锐捷那台设备唯一的一个公网地址还要带内网上网

（192.168.1.0/24），也就是说已经被用掉了，我们没法用它帮助我们去完成ip映射，实现

AR暴露在公网上。

呵呵，工作遇到了挫折，但是任务还在，工作还得继续。接下来我们想到了的就对客户

的网络做点动作了，那就是把锐捷这个设备给干掉，将锐捷的业务都转移到我AR上去，直

接物理上就把AR暴露到公网上来。我们具体的了解了下客户的网络情况，他们内网大概有

不到一百个点，包括下面的四个法院在内，而AR28-40的性能最保守的也能带500个点，

所以我们确认将锐捷的业务转移到AR上来，是完全没有问题的。但是紧接着我们又遇到了

问题，就是AR设备上的接口不够用了，他有3个FE和1个E1接口。E1接口不用想了，3

个FE也已经被用了，一个接内网，一个接视频会议，一个接语音。哈哈，大家不用着急，

前面工作当中我们遇到的的接口从地址这次帮了我们很大的忙。我们把视频会议与语音的业

务网段都整合到了内网的物理接口下面。这样就帮我们空出来了两个物理FE口，一个我们

用于接公网了，一个用于接原来要上公网的内网网段了（192.168.1.0/24）。这样AR成功的

被暴露到公网上来了，目的达到，第一步网络变动圆满完成。变动后的网络拓扑如下图“图

1-02”。

图1-02正式施工网络拓扑

二、后篇介绍

一波三折，终于可以正式的开展工作了，咱总算可以直奔主题去了。也就是我们开始想

要做的事了，直接做AR与SRG的L2TP。照着我们在家总结的文档，我们把命令都敲上去

了，就等着见证奇迹的那一刻了。哦耶，成功了！看见了！看见了！virtual-template1接口

link-protocl协议层up起来了，怎么怎么了，怎么又down了，又up了，又down了„„看

看通道情况，通道没起来，看看会话，没有会话。完了，没能做成功~白兴奋了~

接下来我们的工作，大家也就知道了。分析问题，重新配置，通过各种方法咨询可能的

原因。事在人为，最后问题还是被我们坚定的信心给攻克了。那时心情的激动，真是无以言

表啊~至于激动到什么程度，这里就不详叙了。言归正传，说我们怎么解决问题的。

我们用了往日里用的最多的方法，就是帮AR进行了固件升级。最后配置成功了，我成

功的看到了通道建立起来了，会话有了。兴奋啊，兴奋啦~哈哈。完成工作也是凌晨1点多

了。在往后就没什么好玩的东西了，我们用了将近一天的时间把所有的设备给他上架调试完

成。还有就是其中我们曾经怀疑AR设备不支持LNS到多支点的LAC,但是最后结果证明我

们的想法是错误的，就仅此而已了。

以上为我们这次出差工作的整个过程的小叙，为后面的配置内容做了个简单的背景资料

介绍。

三、配置篇介绍

接下来进入到L2TP配置内容总结了，其总结内容如下：

一、LAC侧的配置内容：

1.）配置LAC侧L2TP前提准备条件：

======================================================================

=====================

#打开防火墙包过滤策略

firewallpacket-filterdefaultpermitall

#配置公网口ip地址

inte0/0/0

ipadd202.180.189.7030

#配置内外口ip地址

intvlan1

ipadd192.168.10.124

#配置默认路由

iproute0.0.0.00.0.0.0202.180.189.69

#配置DHCP地址池

dhcprverip-pool1

network192.168.10.0mask255.255.255.0

gatelist192.168.10.1

dns-list202.102.192.68202.102.199.68

#检测物理联通性：

ping202.180.189.69

-------------------------------------------------------------------------------------

2.）LAC路由器侧L2TP的配置

======================================================================

====================

#配置L2tp-group组

l2tpenable

l2tp-group1

tunnelnameLAC//配置LAC侧本端名称，配置对端LNS的

IP地址。

startl2tpip202.180.189.69fullurnamel2tp

tunnelauthentication//启用通道验证并设置通道验证密码。

tunnelpasswordsimple123

quit

#配置虚模板Virtual-Template的相关信息。

interfacevirtual-template1

ipaddressppp-negotiate

pppchapurl2tp

pppchappasswordsimplel2tp123

pppauthentication-modechap

quit

(call-l2tplocal-url2tp)//LAC侧发起对LNS的呼叫，可以最后再呼叫

#将virtual-template1加入都untrust区域

firewallzoneuntrust

addintvirtual-template1

quit

#配置私网路由。

iproute-static192.168.0.016virtual-template1

注意：//呼叫LNS(call-l2tplocal-url2tp)，此时tunnel就能建立起来了,但是lac侧内网是访

问不了LNS网络的。

#配置lac侧在虚模板上的nat，使lac侧的内外（192.168.10.0/24）能直接访问LNS侧的网

络

aclnumber2000

rule0permitsource192.168.10.00.0.0.255

rule1denysourceany

firewallinterzonetrustuntrust

natoutbound2000interfacevitrual-template1

#设置用户名及口令。

local-url2tp

passwordsimplel2tp123

rvice-typeppp

二、LNS侧的配置内容总结：

1.）配置LAC侧L2TP前提准备条件：

a.)物理链路的可达性；

b.)路由的可达性，通讯正常了；

======================================================================

===

2.)LNS路由器的典型配置

#设置用户名及口令。

[Router]local-url2tp

[Router-lur-vpdnur]passwordsimplel2tp123

[Router-lur-vpdnur]rvice-typeppp

#启用L2TP服务，并设置一个L2TP组。

[Router]l2tpenable

[Router]l2tp-group1

#配置虚模板Virtual-Template的相关信息。

[Router]interfacevirtual-template1

[Router-virtual-template1]ipaddress192.168.0.20255.255.255.0

[Router-virtual-template1]remoteaddresspool1

[Router-virtual-template1]pppauthentication-modechap

[Router-virtual-template1]quit

#配置域。

[Router]domainsystem

[Router-isp-system]schemelocal

[Router-isp-system]ippool1192.168.0.1192.168.0.10

[Router-isp-system]quit

#配置LNS侧本端名称及接收的通道对端名称。

[Router]l2tp-group1

[Router-l2tp1]tunnelnameLNS

[Router-l2tp1]allowl2tpvirtual-template1

#启用通道验证并设置通道验证密码。

[Router-l2tp1]tunnelauthentication

[Router-l2tp1]tunnelpasswordsimple123

[Router-l2tp1]quit

#配置Serial1/0/0接口。

[Router]interfacerial1/0/0

[Router-Serial1/0/0]ipaddress202.180.189.6930

[Router-Serial1/0/0]quit

#配置私网路由。

[Router]iproute-static192.168.10.024virtual-template1

#启动L2TP连接

#在RouteA的虚模板接口视图下执行启动L2TP连接命令

[Router]interfacevirtual-template1

[Router-virtual-template1]l2tp-auto-clientenable

======================================================================

===================

四、L2TP(LNS-LAC)配置总结

1.)LNS侧配置:

1.虚模板：

-指定本接口的ip地址；

-为远程对端虚拟接口分配ip地址，指定地址池，即pool；

-虚接口的验证方式（chap,pap），写清ur与password；

-若是防火墙，指定接口的区域；

2.L2tp-group组：

-使能l2tp-group组；（这一步最好设置在虚接口起来之前）

-定义tunnel通道的本地name;

-指定通道使用的虚接口；

-定义tunnel是否经行验证，若验证，定义好相同的tunnel密码；

3.添加去往远程对端网络的静态路由，下一跳指向虚接口；

------------------------------------------------------

2.)LAC侧配置:

1.L2tp-group组：

-使能l2tp-group组；

-定义tunnel通道的本地name;

-指定将要发起连接的LNS接口地址；

-定义tunnel是否经行验证，若验证，定义好相同的tunnel密码；

2.虚模板：

-指定本接口的ip地址，自动获取；

-虚接口的验证方式，收集好LNS配置的“用户”与“密码”；

-发起l2tp连接；

3.添加去往远程对端网络的静态路由，下一跳指向虚接口；

-------------------------------------------------------

LNS与LAC的关系：

定义的“pool”和“本地用户与密码”是给LAC“虚接口”与“虚接口验证使用”

的；

与LAC两端，虚模板验证的用户名、密码，通道验证密码必须一致；

是客户端，是tunnel的发起端，所以要配置清楚他要想谁发起连接(startl2tpip

202.180.189,70fullurnamevpnur),这也是LAC收集信息时，必须知道对端LNS的公网口

地址；

是服务端的，进行配置时不需要收集什么信息，只要注意两端验证时“虚接口”与

“通道”的验证。

与LAC关系总结

-LNS进行配置时，不需要收集什么信息，只要注意两端验证时“虚接口”与“通道”

的验证以及为LAC定义的pool,即可。

-LAC需要收集的信息：

-LNS公网口地址

-虚接口验证方式

-通道验证密码