L2TP及VPN接入方式介绍.pptVIP

移动城域网 BRAS LAC 农业银行LNS SSID:专用 农行网络 这个场景适用于跨城域网，比如全省的所有农行访问省行的业务，当然在城域网内部的业务也可以，适合安全 性要求高，地址分配由客户自治掌握的应用。后面使用体彩来举例。 L2TP隧道发起方式 LAC发起 VPN用户：向LAC设备发起PPP连接。 LAC：判断用户是否是L2TP用户，如果是，判断用户向哪个LNS发起隧道请求。 LNS：为用户分配私网地址，准许用户接入内部网络。 目前电信和联通都采用的这种方式，用户发起PPPOE连接地址由LNS分配 BAS作为LAC的配置 看一个现网体彩的例子 domain sdticai －－－建立体彩的域，用户必须带域名上来 authentication-scheme none accounting-scheme none l2tp-group sdticai －－－关联体彩的L2TP l2tp-group sdticai －－－－－配置体彩的l2tp LAC数据 tunnel password simple xxxxxxxx tunnel name sd-lac start l2tp ip-address 202.102.170.132 tunnel source LoopBack0 L2TP实现细节 如上典型组网图中，Dialer为VPN用户，VPN用户发往LNS的数据，首先发给LAC，格式如下图，可以看出此段的数据是未经L2TP保护的 数据封装与转发过程： 1.1.1.2/24 LAC LNS 1.1.1.1/24 10.2.2.1/24 10.2.2.2/24 Dialer 以太网报文头 PPPOE 报文头 PPP 报文头 IP报文头 （私网地址） Data L2TP实现细节 LAC收到报文后，发现是去往LNS的，加上L2TP封装后，转发给LNS 数据封装与转发过程： 1.1.1.2/24 LAC LNS 1.1.1.1/24 10.2.2.1/24 10.2.2.2/24 Dialer 以太网 报文头 IP报文头 （公网地址） UDP 报文头 L2TP 报文头 PPP 报文头 IP报文头 （私网地址） Data LNS收到报文后解封装时发现是L2TP报文，根据L2TP报文头中的Tunnel ID和Session ID将其交给相应的进程处理 L2TP实现细节 同样，LNS发给VPN用户的报文由LNS封装好后交给LAC，LAC收到报文后，发现是L2TP报文，根据本地保存的L2TP连接等关系，将其解除L2TP封装后，重新封装成PPPOE报文发给Dialer主机 数据封装与转发过程： 1.1.1.2/24 LAC LNS 1.1.1.1/24 10.2.2.1/24 10.2.2.2/24 Dialer BAS开展BGP-VPN业务 移动城域网 BRAS VPN 农业银行专用VPN专线 SSID:专用 农行网络 SR VPN 这个场景适用于城域网内部，各分支站点访问总部资源，并且不需要上公网的客户，比如小企业分支等等，可以采用WLAN与GPON等专线结合的方式。后面采用烟台交运来举例 农业银行这个应用，如果是各地市采用VPN方式接入，但是需要访问省行，就需要与省行采用GRE方式互联。如果是济南一个地市，就采用专线接入农行就可以了。 BAS开展BGP-VPN业务 ip vpn-instance ytzongzhan －－建立烟台交运VPN route-distinguisher 65027:1318 vpn-target 65027:1318 export-extcommunity vpn-target 65027:1318 import-extcommunity radius-server group ytzongzhan －－配置交运使用的Radius服务器 radius-server authentication 61.156.10.84 1645 weight 0 radius-server authentication 61.156.13.85 1645 weight 0 radius-server accounting 61.156.10.84 1646 weight 0 radius-server accounting 61.156.13.85 1646 weight 0 radius-server shared-key 88----89 radius-server class-as-car radius-server attribute translate ip pool ytzongz