M000 0010 L2TP配置(中文版V1.1)定稿.docVIP

L2TP的配置任务及命令 LAC侧的配置： AAA详细认证的配置可参见有关安全教材。 在LAC侧配置AAA认证时，如果选择了local（本地认证）方式，则需要在LAC侧配置本地用户名和口令。 LAC通过检查远程拨入用户名与口令是否与本地注册用户名/口令相符合来进行用户身份验证，以检查用户是否为合法VPN用户。验证通过后才能发起建立隧道连接的请求，否则将该用户转入其它类型的服务。 在LAC端进行用户身份验证，用户名可以采用两种形式： 1、采用用户全名（fullusername）验证方式时，配置的本地用户名为VPN用户全名，口令为VPN用户注册口令。 2、采用特定域名用户（domain）验证方式时，配置的本地用户名为域名。 启动VPDN： 只有启用VPDN后，路由器上VPDN功能才能正常发挥作用；如果禁止VPDN，则即便配置了VPDN的参数路由器也不会提供相关功能。缺省情况下，VPDN功能是被禁止的。 创建VPDN组： 为了进行VPDN的相关参数配置，还需要增加VPDN组，这不仅可以让VPDN功能可以灵活的被配置在路由器上，而且方便地实现了LAC和LNS之间一对一、一对多、多对一、多对多的组网应用。VPDN组在LAC和LNS上独立编号，只需要保证LAC和LNS之间关联的VPDN组的相关配置（如接收的隧道对端名称、发起L2TP连接请求及LNS地址等）保持对应关系即可。 在创建VPDN组后，就可以在VPDN组配置模式下进行与该VPDN组相关的其它配置了，如本端名称、发起L2TP连接请求及LNS地址等。VPDN组1作为缺省的VPDN组。 配置发起L2TP连接请求及LNS地址： 当拨入用户通过VPN用户的验证后，由LAC负责向某LNS发起建立隧道的请求。本配置除指定LNS侧的IP地址外，LAC侧提供了三种用户的验证方式：即根据用户全名（fullusername）验证、根据带特定域名的用户（domain）验证、根据被叫号码（dnis）验证。LNS的IP地址最多可以配置五个，根据用户配置的IP地址的先后顺序查找。  LNS侧的配置 配置本地VPDN用户： 配置命令与LAC侧一致。 需要注意的是当LAC侧采用域名方式验证的时候，在LNS侧配置的本地用户名username采用“用户全名@域名”形式。LAC将VPN用户输入的“用户全名@域名”和密码传送给LNS进行认证，LNS按照先本地认证后RADIUS认证的次序验证用户身份，确保该用户为合法的VPN用户。如果本地认证通过则省略RADIUS认证。VPN用户必须在LNS侧认证通过后才能访问内部资源。 启动VPDN以及创建VPDN组的方法与LAC侧的相同。 创建虚拟接口模板并为用户分配IP地址： 这里创建的虚模板是L2TP逻辑接口。在L2TP中使用虚模版时，必须为虚模板配置自己的IP地址，不能借用其它接口的地址；用户端不能使用固定IP地址，应该使用由LNS分配的协商地址。当使用ip pool命令配置分配给对端的地址时，应确保虚模板地址与地址池地址属于同一网段。 配置接收呼叫的隧道对端名称： LNS可以使用不同的虚拟接口模板接收不同LAC的创建隧道请求。在接收到LAC发来的创建隧道（Tunnel）请求后，LNS需要检查LAC的名称是否与隧道对端名称相符合，从而决定是否允许隧道对方进行Tunnel的创建。 L2TP的配置举例 配置举例： 用户需要与总部进行通讯， 总部网络的地址是采用私有的地址，如/24的网络，则该用户将无法通过Internet直接访问内部的服务器。通过建立VPN，用户就可以访问内部网络的数据。 在VPN用户的PC机上，配置如下： 新建一拨号网络，号码为LAC的接入号码；由LNS侧分配IP地址； 在出现后拨号终端后，输入的用户名为vpdnuser；密码为Hello； 作为LAC的路由器首先应该具有一个Internet上的合法地址，能与LNS互通。 在LAC路由器上，配置如下： ！配置用户列表 [Quidway] local-user vpdnuser password cipher Hello ! 配置AAA [Quidway] aaa-enable [Quidway] aaa authentication-scheme login default local [Quidway] aaa accounting-scheme optional ！启动VPDN [Quidway] l2tp enable ! 创建VPDN组 [Quidway] l2tp-group 1 ！配置本端名称 [Quidway-l2tp1] tunnel name lac-end ！配置发起L2TP连接请求 [Quidway-l2tp1] start l2tp ip fullusername vpdnuser ！