术语:
L2TP :第二层隧道协议 Layer 2 Tunneling Protocol
L2TP :访问集中器L2TP Access Concentrator
L2TP :网络服务器L2TP Network Server
NAS:网络访问服务器Network Access Server
二层隧道协议L2TP 是一种基于点对点协议 PPP 的二层隧道协议。在由L2TP 构建的VPN 中,
有两种类型的服务器,一种是L2TP 访问集中器LAC,它是附属在网络上的具有PPP 端系统和
L2TP 协议 处理能力的设备,LAC 一般就是一个网络接入服务器,用于为用户提供网络接入服
务;另一种是L2TP 网络服务器LNS,一般就是路由 器,是PPP 端系统上用于处理L2TP 协议
服务器端部分的设备。
在LNS 和LAC 之间存在着两种类型的连接,一种是隧道(tunnel )连接,它定义了一个LNS
和LAC 对;另一种是会话(session )连接,它复用在隧道连接之上,用于表示承载在隧道连
接中的每个PPP 会话过程。L2TP 连接的维护以及PPP 数据的传送都是通过L2TP 消息的交换来
完成的,L2TP 消息可以分为两种类型,一种是控制消息,另一种是数据消息。控制消息用于
隧道连接和会话连接的建立与维护,数据消息用于承载用户的PPP 会话数据包。这些消息都通
过UDP 的1701 端口承载于TCP/IP 之上。
L2TP 访问集中器(LAC)作为L2TP 隧道的一个端点,是L2TP 网络服务器(LNS )的对
端。LAC 放在LNS 和远端系统之间,并在两者之间传送数据包。从LAC 向LNS 发送数据包需要
L2TP 隧道。LAC 与远端系统的连接是通过本地或PPP 链路。LNS 是L2TP 隧道的一个端点,是
LAC 的对端。LNS 是LAC 从远端系统传输的PPP 会话的逻辑终结点。NAS 为远程访问网络上的
用户提供本地网络访问,如PSTN 网络。NAS 通常可作为LAC 。
L2TP 只要求隧道媒介提供面向数据包的点对点的连接。L2TP 可以在IP(使用UDP),桢中继
永久虚拟电路(PVCs),X.25 虚拟电路(VCs)或ATM VCs 网络上使用。
LNS 路由 器配置:Building configuration...
Current configuration: ! version 12.1 service timestamps debug uptime service
timestamps log uptime service password-encryption !
//配置主机名
hostname vpdn !
//配置AAA //AAA 访问控制
aaa new-model aaa authentication login default local group radius
//用户登录的认证顺序为先在接入服务器本机认证,如未找到该用户,则通过radius 服务器
认证,仍未通过,则认证失败。
aaa authentication login radius enable aaa authentication ppp default local group
radius
//PPP 连接的认证方式,过程同上。用户登录的认证顺序为先在接入服务器本机认证,如未找
到该用户,则通过radius 服务器认证,仍未通过,则认证失败。
aaa authorization network default group radius local
//所有认证通过的用户都有访问网络的权限。
aaa accounting network default start-stop group radius
//网络访问的记账方式为在radius 服务器上记录网络访问的开始和结束时间。
aaa nas port extended enable password 7 !
//设置本地认证用户名和密码
username cisco password 7 cisco username test@test.l2tp.vpdn password 7 test !
memory-size iomem 25 ip subnet-zero no ip finger no ip domain-lookup !
//指定地址池的工作方式ip address-pool [dhcp-proxy-client | local]
ip address-pool local virtual-profile virtual-template 1
//配置VPDN 功能//打开VPDN 功能
vpdn enable no vpdn logging !
//建立一个VPDN-GROUP
vpdn-group 1 ! Default L2TP VPDN group accept-dialin
//使用的VPDN 协议为L2TP
protocol l2tpvirtual-template 1 lcp renegotiation on-mismatch
//L2TP TUNNEL 的密码设置,需双方约定
l2tp tunnel password 7 001C0710145F05 !
//配置Virtual-Template1
interface Virtual-Template1
//根据具体可选设置IP 地址与Serial0.1 相同,即配置借用地址
ip unnumbered Serial0.1 ip mroute-cache
//设置用户的IP 地址从地址池中分配//peer default ip address {ip-address | dhcp |
pool [pool-name]}
peer default ip address pool default
//设置认证方式
ppp authentication pap ! interface Serial0
no ip address encapsulation frame-relay IETF no fair-queue frame-relay lmi-type
ansi
!
interface Serial0.1 point-to-point ip address 211.90.34.193 255.255.255.252 no arp
frame-relay frame-relay interface-dlci 100
!
interface FastEthernet0 ip address 10.1.1.1 255.255.0.0 speed auto
!
//设置用户的IP 地址池// local pool {default | pool-name low-ip-address [high-ip-
address]}
ip local pool default 10.1.1.2 10.1.16.254 ip classless ip route 0.0.0.0 0.0.0.0
Serial0.1
no ip http server !
//设置认证服务器地址、端口、关键字和重传次数
radius-server host 211.90.8.197 auth-port 1645 acct-port 1646 key vpdn radius-
server retransmit 3
!
line con 0
transport input none
line aux 0
line vty 0 4
password 7 cisco
!
End
因篇幅问题不能全部显示,请点此查看更多更全内容