你缺中间设备,正常应该是server--lns-lac--PC6 G, ?: O, @4 I% z+ m
你没有LAC设备,另外,路由器IOS可能是不支持。站里有这方面的资料,我给你贴出来你参考一下吧!# o& `: E. S. y) J& `2 v
宽带VPDN测试手记0 {( o! c3 J- i& ^
随着VPN技术的逐渐成熟,VPN电路在好多地方开始广泛应用。
/ ^' V v2 [2 l+ `' |. Z; U# y9 XVPN与传统的跨广域网的专用网络的区别是,传统的跨广域网的专用2 S9 S2 b% P- @. x/ g1 A
网络是通过租用专线来实现的,而VPN是利用公共网络如INTERNET、) n1 E; E; j8 d. M9 V: F
ATM网络、分组网来实现远程的广域连接。从技术上,VPDN采用隧道) ]# Y, W9 @) N( n
的方式,从接入服务器到企业的网关之间,接入隧道,让数据的流量1 D2 ]5 T& Z" ?
和公网的流量分开,用户可以通过隧道的方式登录到企业的内部网,
5 T8 `- c, q$ i同时对经过隧道传输的数据进行加密,保证数据仅被指定的发送者和
0 ~& V7 \2 {7 Q4 m( m) `. I接收者所理解,从而让数据传输具有私有性和安全性。所谓“隧道”$ j6 _6 I4 @ F
就是这样一种封装技术,它利用一种网络传输协议,将其他协议产生/ p" l. d6 B: ~8 t( o7 ]1 R2 [
的数据报文封装在它自己的报文中,在网络中传输。第二层隧道就是
- }! s" X4 f5 C+ N, A3 l将第二层(数据链路层)帧封装在网络层报文中,形成IP报文,在% q1 ^5 K& r8 M8 c* e( [% F) h/ ?5 E
Internet中传输。
( ^; @% [) L/ |% z. n) t 今年上半年,我县医保中心在跟我局提出网络改造的时候我们/ j8 }' r6 E! a+ A& N% k
对其建议开放宽带VPDN电路。对此我们有以下几点理由:1、网络用
4 X: E" q$ W9 Y0 P) |户多为私人开的医药商店,支付的网络费用不能太多。VPDN电路费
9 Z: v) G' d6 `用低廉,适合这类消费群体。2、VPDN电路网络结构简单。用户不需6 z6 k) N3 h% `8 G# s0 ^6 D
要重新购买设备,只要到电信局申请安装宽带网就可以了、维护很方
8 W# c' P0 M9 ?, y( V便。最愉快的是医保中心,开放VPDN电路可以节省他们的路由器投- k W0 T2 q( t$ p; U. W$ `+ H0 E' O
资。以前使用DDN电路时一台路由器只能接12个用户(CISCO 2611,
; K: x8 }4 U2 j# w% a8 ?4 r这要看使用什么广域网卡,但最多好象只能提供16个端口),按照他+ s5 g& E5 N% I
们的用户数量至少要5到6台路由器,而开放VPDN电路只要一台路
6 v; a; ^9 J5 n0 j( g$ ?' p由器就够了。另外也方便他们维护。以前使用DDN电路机架上一大堆1 y% I# ?2 _. y1 h! e% J
电缆,现在好了,只有两三根网线,一对光缆。机架里清清爽爽。3、& j) ]0 c% \2 u: F. t% o# U% m4 G" Z
网速大幅提高,以前DDN电路9.6K/s ,现在用户端采用ADSL接入。
6 ^6 k0 C1 o/ u2 g! Q7 y下行达到2M/s,上行640K/s.到医保中心的中继也从2M提到100M。4、% |7 p+ \, x1 Y5 L0 a$ d. t
以后每增加一个接入点只需象安装一个宽带ADSL接入用户一样,很
4 T/ X5 U; G8 b简单!对电信和医保中心都很方便,可以节省人力和物力。
0 s6 k' X3 ^2 ?0 O2 K9 N) ]' [; i 下面我把这次开放宽带VPDN电路的测试过程叙述如下。供大家% H: S( y X' |4 c
参考:/ ~0 z4 D- f& p- U7 Q- }+ b# {( j
组网简单介绍:, c6 @& q" `; } u9 W$ F
. f9 d- F& O( ^5 Q0 ~! a7 k
LAC(L2TP访问中心)我们利用现有宽带网的汇聚设备--华为的
2 H3 W% T8 Y r% a5 o5 UMA5200。
8 y/ c4 U+ ?! k1 i( ~LNS(L2TP网络服务器)我们用的是思科2611路由器,在这次测试过
2 ]8 l- _7 B7 ~4 R" T6 e程中我们也对华为2630路由器进行了试用。下面将对这两种路由器1 D4 N |8 v5 }, Y% \; s! b
分别测试。
5 j5 Y. l2 Z, ?- W7 j. U! K 在测试之前,我们要搞清楚L2TP隧道的呼叫建立过程。远程用
. _0 v2 j' t( @# J/ }户访问企业INTRANET时呼叫建立L2TP隧道的过程即是VPDN的建立* j1 F. P3 c$ o9 r
过程。这一过程如下:a.远程用户 使用adsl宽带拨号呼叫本地的
+ X! Q3 T9 h6 T* K1 o, eISP,建 立一个PPP连接。b.ISP网络的L2TP访问中心LAC接受该
, ?7 L- B& f3 W" h- w9 h/ q# N连接,建立PPP链路。C.用户和LNS协商链路控制协议LCP建立连接
5 z& B3 l+ \ K5 i7 @- Y: n的过程中,L2TP访问中心LAC使用CHAP或PAP对用户进行部分论证,
! V: }4 G5 l. i- l( o( I包括用户名、密码的验证,以确定该用户是否是VPDN的客户,若用- R' P9 E# E1 N0 B. M5 T
户不是VPDN用户,则继续进行认证,看该用户是否可访问INTERNET$ u/ w7 B6 K2 N* O* ?& p3 [# l$ c8 e
或其它相关服务。如用户是VPDN客户,则被映射到一个特定命名的- U Z; Y! Y' N! N
终端点(L2TP网络服务器LNS)。d.隧道终端点、L2TP访问中心LAC3 O6 d& _( l7 P% e; B$ O9 V' F
和LNS互相认证,通过后建立隧道;或者,LNS不对LAC进行隧道认8 @. R- |$ P- X( \
证,直接接受建立隧道的请求。接着,系统就为用户建立一个L2TP1 m. t9 t2 Z# a2 O
会话;L2TP访问中心将有选择地传播CHAP/PAP认证了的信息到L2TP. I- b0 v, r% y, A* V1 h6 A
网络服务器LNS,LNS将过滤这些商定选项并将其和认证信息直接送
7 ?. w2 f' n, B O6 l到虚拟访问接口。e.若在虚拟模板接口上配置的选 项与L2TP访问中
. a2 W" W* @8 ^心LAC的商定选项不匹配,则连接失败,并向L2TP访问中心LAC发
! J2 M N( d8 O1 L; t8 @出断开的信号。若在路由器虚拟模板接口上配置的选项与L2TP访问
/ B, n* l" h) J中心LAC的商定选项相匹配,则连接成功,VPDN建立,在用户拨号
( f- ]% i8 _8 s点和LNS之间出现独占的交换过程。即好象直接拨号到了LNS,感觉
2 W$ n5 U8 A. J& Q* U不到LAC的存在。
, G9 N' t' [) \. s% j! XLAC(MA5200)上配置如下:
7 N0 N8 {4 c8 T0 C* B* A1 ^interface loopback 1 //配置loopback1地址; N: d2 D$ o) c1 R* j/ |4 E5 q( Y( L
ip address X.X.X.X X.X.X.X * {) U8 g/ I# W9 A+ J* N- T
vpdn-group 1
/ Z' j) I; T8 z3 Y) ?$ S) ]4 G- q @accept dialin pppoe authentication pap
* \& @7 N4 I# [: ^' Dl2tp enable //启用L2TP功能: `2 _1 D0 y* T, d1 ^
l2tp-group 1
# e$ @ B; m! j + ]6 r. ?- D p3 c( y+ c* v* f! |. J& F( w
start l2tp ip x.x.x.x // 指定LNS地址
: A* E X5 L. N+ R: H3 O/ ^+ Ktunnel timeout 8 // 使用默认/设置 L2TP隧道Hello报文发送间隔4 F# g& y: S3 C* _& W+ Q$ t- o
domain bydx
% y4 o9 A* i4 i/ P: A. T5 xl2tp 1 //开启当前域的L2TP功能
1 U! Y6 M5 z/ \ ?1 p- @+ Pset state active
5 X% \9 p8 u7 J0 a- ^exit, Y! C+ _, R% V2 }
最后就是添加用户
/ U1 B9 M6 D" o. o7 h 在MA5200配置AAA认证时,如果选择了local(本地认证)方式,( Z) `' }& x2 H$ E# s
则需要在MA5200配置本地用户名和口令,我们在测试时就是采用本地
7 @) Y, J2 h( Y* q8 d6 P8 x$ l认证方式。MA5200通过检查拨入用户名与口令是否与本地注册用户名
+ I, f2 h1 ^1 s/口令相符合来进行用户身份验证,以检查用户是否为合法VPN用户。
" K2 |$ r, ^9 z8 {验证通过后才能发起建立通道连接的请求,否则将该用户转入其它类# f9 u( `( X0 B) {* z5 A
型的服务。
# [5 L% O+ `3 |5 p* m在MA5200进行用户身份验证,用户名采用VPN用户全名,口令为VPN H9 s/ \3 d' L, o3 K- y
用户注册口令。) A( `- ?: P, y. `
7 Z* a2 n- y0 y) e+ q注意:MA5200上L2TP由SPU板处理,在开通L2TP业务前,请确认: E+ H; D* _' _. n
你是否有SPU板,它是实现L2TP的必备板.
0 [* I- q; i# \* l8 I7 RLNS端配置
- x2 q2 L/ E: O: U4 c1. CISCO 2611配置
) c" P9 o9 Q+ @4 c* E/ h' ybydx-vpdn#show run
( @- ^ I! z! x3 Sbsp;
( e% q/ v( N' x; u" [Building configuration...
, L, m$ G' q& f. ]- @7 R
! E7 ~/ x; B# A* q/ } ZCurrent configuration : 1309 bytes ) |0 C5 v t$ e
! - r- M) v. l5 T7 J& f/ ^" m! E0 r
version 12.1 6 [' R# p0 n4 ?8 N/ K
service timestamps debug uptime 2 C0 P7 Y7 Y- `3 R( A
service timestamps log uptime
7 F4 o. L/ ^& g9 ?% kno service password-encryption &nb
2 s" \( ]8 o# Ssp; ' L, q$ f# f9 Z# N$ y4 n1 h
! , v# j" \$ u& v4 {5 R
hostname bydx-vpdn
" P8 \4 d; z7 G: ]: o0 x( a. A!
/ N0 D L1 f- M) G! w# Vaaa new-model ! F; h/ O- ], {2 S+ L' S) L
aaa authentication login default local //密码本地认证 V( Z q. K8 |- x) t; O
aaa authentication ppp default local 2 m8 B7 H6 B% b
aaa accounting network default wait-start group radius # g* K5 ?% q4 @8 C
enable password XXX &n
: {* @" j" W+ ~! T; cbsp;
. |! `* n( t1 d& G8 G$ w J!
~/ e+ j9 L* d, R8 Y- Uusername root password 0 **** : q& J# x+ i* D V9 @- A
username by@bydx password 0 123456 //增加一个VPDN用户 要与LAC
9 ~3 x# x, @- t对应起来。 : K- E0 X/ t- a
!
0 E3 r+ D" p# \+ l, Bmemory-size iomem 10
7 d: q! n2 W7 L6 c6 jip subnet-zero 0 E/ a4 U, ]+ ~# B6 z# H# q* J
bsp;
8 L% @0 c3 E6 U6 C" m8 Pno ip domain-lookup 6 T4 Q* [8 L$ T) O* T# h; n4 ]
! " \# E2 i9 B) D2 Y& m3 v& X
ip address-pool local
8 O7 M5 N+ _: N; L4 Q6 L3 e4 ?virtual-profile virtual-template 1 # Z" t6 F# J0 |1 w* Q6 v( m4 H
vpdn enable
; ]" B5 n5 Y% d+ W5 w!
7 @, ]' h% C2 `4 q; " Y4 i8 ?# m/ B% v, [
vpdn-group 2
- i$ U. ]2 ~' o4 |# H! Default L2TP VPDN group
a1 [- C2 B; U* ?* N4 t accept-dialin
* B& S( n% R: w7 _, z$ Y9 l+ F protocol l2tp
+ O% J* d( c6 W& E5 y virtual-template 1
5 S! G) G! n" b) W lcp renegotiation always : L- S. ?2 K+ Q
no l2tp tunnel authentication //不进行隧道密码验证
1 y9 A5 R6 }6 C, i!
0 Z; e$ O. r2 }( S* mbsp;
7 U W( I, H6 C; ^! A interface Ethernet0/0
' x; ]* s5 N) C* ]1 T6 x) B4 B" c ip address X.X.X.X 255.255.255.252 //可访问公网IP地址 ,与LAC
# t* g& R5 w$ c9 d4 g对应起来
6 {1 q }2 L0 a. D$ J) W. o. L no ip mroute-cache //禁用组播Multicast交换功能
6 x% V S+ d9 ^1 _+ G+ k5 k full-duplex
/ Y: }9 i: G9 |1 h! N1 E9 Q I!
$ s j: u! A: hinterface Ethernet1/0 7 {5 ?9 q+ K) K, o1 U7 t, k" v" G
ip address 132.234.201.110 255.255.255.128 //局域网私网IP 1 s6 n0 |" F6 {
full-duplex 2 C" q3 J* G) r$ e, _! d7 C8 M
; # ^1 f0 j8 s8 x# P! f5 `
! " Z' m9 r# x* [4 l3 A( a1 l9 A
interface Virtual-Template1 //虚模板接口1 ; }3 A' M! m0 d* n) n9 A; C
ip unnumbered Ethernet1/0 //配置无编号IP地址(从以太口1/0上
% X6 k4 T4 F! O0 P, x5 A# E借用IP地址) , ^$ _$ p- X# w N
peer default ip address pool pool-1 / y. i+ J: |! b. M
ppp authentication pap //使用PAP对PPP进行论证 - H; Q8 U2 U) q/ m
!
: D* Y- C' j0 m5 p/ Cip local pool pool-1 132.234.201.122 132.234.201.126 //配置
5 R$ P+ {$ T; t) L$ ^6 e( C- O: nLNS地址池
6 {: F$ G' m g* j( |" Fip classless 6 I5 V. d/ w" C: _
ip route 0.0.0.0 0.0.0.0 61.155.66.201 //配置静态路由 7 ~$ f4 H* v, D% ~# q; X! i" `
ip route 132.0.0.0 255.0.0.0 132.234.201.1
p7 b, |9 n u: M3 L+ b& Gno ip http server
( H. C0 J0 j4 ^- L0 `/ o' m!
* u+ c% l {+ s6 P) z7 L! ' G/ e7 j; G9 {( N: a: g% y
line con 0
6 s9 b/ p+ G4 Q( ]" R2 }line aux 0
( V) q9 b0 k+ ]( t; X. tline vty 0 4 4 c" e1 o9 x8 k7 c
password cisco 7 O4 e2 k) i @. q. |$ W
!
2 W. d# O3 A J% n7 O% c' i6 c! Xend / l% A1 \6 H- x8 H+ J
bydx-vpdn#' ~3 v& d& ~# W6 Z/ f" `
至此设置全部结束,可以拨号测试了。用PC通过ADSL拨建好的VPDN
# R' C' C7 t$ Z L. `帐号。拨号软件采用星光极速软件。测试结果:可以正常获得内部地) J+ X" Q9 c4 p9 [ o. ?1 q
址,PC机操作系统为windows XP时可以正常访问内部服务器,PC机
5 S5 X! a/ D/ i5 J, S" A& ]. _操作系统为windows 2000时不能访问内部服务器也不能ping通服务5 c, s+ C: h, ^" W0 d4 b( j
器,PC机操作系统为windows 98时不能访问内部服务器也不能ping
: O* g8 A* X& y/ ~通服务器。改用ENTERNET 300 拨号软件拨号。测试结果:可以正常
& h1 ^8 u& I- x获得内部地址,PC机操作系统为windows XP、win2000、win98都可
# ~, j I1 ]9 O [3 a$ A- i以正常访问内部服务器。说明两种拨号软件在拨号机制上存在不同,$ G( p! p4 L) g. s* T
可以通过抓包分析。由于目前WIN98用户很少,没有找到用户测试,
+ ]. ]2 |) Z) H8 k% e7 u" J这项工作一直被搁置。
" D% ?) r. p9 i+ A. ~9 g. S 在这次测试过程中我也用华为的2630路由器做了测试。数据据6 \, m; m3 ?7 T( i# P9 G
如下:) d; N$ u# {& L/ d* @ R6 j( W1 ?; v9 ~
2. Huawei Quitway 2630 设置
1 K) ] K/ R: g% M% U1 p7 _2 G. T [by_yc_wd]dis curr ) A' I( M% h2 h* U3 Y( K
Now create configuration...
- ~- Y- x; ^1 [7 s* v- m Current configuration * @! G8 u3 M y/ I# g
nbsp; 1 l t. i8 }7 y. ^2 a
!
) |* n/ X& @& N( q version 1.74 ! p) y5 q$ [; O. E" _- ]; K
local-user byyb1@vpdn service-type ppp password simple 123456
: r4 B# u1 C0 d- e) @ 增加一个用户 3 g! c8 d: A9 o" v' O! Q h$ B
l2tp enable / x9 [2 U" q9 F2 |
l2tp match-order domain-dnis 8 T6 ]! I/ ]% l+ t, Q
l2tp domain suffix-separator @
& W/ ^3 w" U! F! `0 I$ d8 W3 h ip pool 1 192.168.20.101 192.168.20.254 //增加一个地址池
2 }. Q2 Z/ [% L7 X5 [, Y aaa-enable
4 n9 k! B5 _2 ?8 B0 [sp; : H9 O9 {' _4 n7 X$ h
aaa authentication-scheme local-first //本地认证
% d7 P+ S# Y- f8 b aaa authentication-scheme ppp default local ' J8 i, a. E3 C) P' ?( C
aaa authentication-scheme login default local : u5 \5 m% N' J- P7 n/ ]
aaa accounting-scheme optional + Z6 S2 `& u# b' `$ g" W7 n0 Y
sysname by_yc_wd
1 `+ |5 I& k1 R2 J/ H ! 5 [! K; `* {0 q# ^
interface Ethernet0 ' o9 S H, O; x# c* i
speed 10
* Z: G5 R$ x/ L! s/ `; v8 @ duplex full
?5 h7 n" Z) Z( c' H7 M; \- Rnbsp; , @; E* o: m# k+ ?. k) U
ip address X.X.X.X X.X.X.X //公网IP
+ J1 k; x5 P. c, w% v V !
! R3 ?1 E9 u6 M$ p interface Ethernet1 0 e& t9 c% w2 I
speed 100
7 p# G' I) S w: e- h duplex full
8 a+ K- W+ O' s- e ip address 192.168.20.4 255.255.255.0 //私网IP
' i. E% \; D9 o. H: u+ F6 s- i ! ' _7 a) |% B/ z; ~4 r
sp; 4 y" q) g' x# I0 Z( u
interface Virtual-Template1 //配虚模板1 ) o1 R; b1 f9 s" b: v
link-protocol ppp 6 P6 R2 h! Q! X
ppp authentication-mode pap
4 M X n6 N- R5 z remote address pool 1 ) |. u/ H) h: `$ v2 t0 ~
ip address unnumbered Ethernet1 0 o: c' {# Y3 L# x- p
! * A$ Y/ \. R" G: w" {4 F U) l
l2tp-group 1
) L" ^. S% p7 h- i a, s" m4 } ! Default L2TP group
+ z+ Z6 |8 ~8 Z2 y* K% wnbsp;
3 q& C* f0 S' H: Z allow l2tp virtual-template 1 ) ^' W" I N8 S
mandatory-lcp
8 H! W5 \: q/ }( A undo tunnel authentication //不进行隧道密码验证
% f. ~% j- b( T; U ! ! E( k: ?! H5 x4 o6 l5 ]
quit 6 @; U. W2 d1 g, r
ip route-static 0.0.0.0 0.0.0.0 X.X.X.X preference 60 4 S* d5 t5 F0 g5 L3 w) L
! 5 [9 w- A+ D2 {' t. U
! 8 ?; @. k7 ~- X0 y
; ; ^5 J; P2 `2 r: _$ G. ?
return
* D2 l3 M! Y: @8 G0 p& @7 q; i& y 用星空极速和ENTERNET 300 两种拨号软件分别作拨号测试,
$ D9 G& E" I) a不管是什么操作系统都可以访问内部服务器。 7 c% P! n$ p7 B; [, W" [9 u
有一点要注意的是:我们的MA5200版本号9308,在配公网IP
: S6 [4 e L, p" m地址时,此公网IP不能由MA5200分配,也就是说用户端网关不能是
: y) n; G7 V5 q& l3 H2 ]& W7 FMA5200,否则肯定不通。我在调测时在这上面浪费了很多时间。与华9 e* E& g0 G0 x7 o% Y
为厂家联系,华为研发人员说9310以后的版本可以支持MA5200做网( N$ N3 u: b) u+ q+ f
关(有待验证)。 |
所有IT类厂商认证考试题库下载
【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
[复制链接]
