配置Client-Initialized VPN
应用环境
当用户通过远程接入访问公司网络时,可以选用VPDN方式(Virtual Private Dial Network)。VPDN利用公共网络(如ISDN或PSTN)的拨号功能及接入网来实现虚拟专用网,为企业、小型ISP和移动办公人员提供接入服务。
Client-Initialized VPN是VPDN实现方式的一种。客户机先建立与Internet的连接,再通过专用的客户软件(如Win2000支持的L2TP客户端)与网关建立通道连接。对用户上网的方式的地点没有限制,不需要ISP介入。
配置思路
在部署Client-Initialized VPN时,采用如下的配置思路:
1. 用户连接Internet后,直接由用户向LNS发起Tunnel连接的请求。
2. LNS接受此连接请求之后,VPN用户与LNS之间建立一条虚拟Tunnel。
3. 如果数据需要加密,还要在LNS侧设备启用IPSec。
配置注意事项
这种方式需要用户安装专用的软件(一般采用Win2000平台),限制了用户使用的平台。
配置实例一
组网需求
如下图,出差员工通过PSTN网络连接到NAS,公司总部的LNS侧路由器RouterA通过Internet与NAS相连。
要求由出差员工直接向LNS发起连接请求,与LNS的通讯数据通过隧道Tunnel传输。
Client-Initialized VPN组网图
适用产品和版本
NAS侧设备可以使用NE05/NE08E/NE16E/NE20/NE20E中的任一款路由器,版本为(VRP5.30)及后续版本。
LNS侧设备可以使用NE05/NE08E/NE16E/NE20/NE20E/NE40/NE80/S8016中的任一款路由器,版本为(VRP5.30)及后续版本。
配置步骤
步骤 1 用户侧的配置
用户侧主机上必须装有L2TP客户端软件,并通过拨号方式连接到Internet。然后再进行如下配置(设置过程与相应的客户端软件有关):
在用户侧设置VPN用户名为vpdnuser,口令为Hello。
将LNS的IP地址指定为软件中路由器的Internet接口地址(本例中LNS侧与通道相连接的串口的IP地址为202.38.160.2)。
修改连接属性,将采用的协议设置为L2TP。
如果用户侧主机提供IPSec功能,需要禁用IPSec。
步骤 2 LNS侧路由器的配置
# 创建并配置虚拟接口模板。 <Quidway> system-view [Quidway] sysname RouterA [RouterA] interface virtual-template 1 [RouterA-Virtual-Template1] ip address 192.168.0.1 255.255.255.0 [RouterA-Virtual-Template1] ppp authentication-mode chap [RouterA-Virtual-Template1] remote address pool 1 [RouterA-Virtual-Template1] quit # 使能L2TP服务,并创建一个L2TP组。 [RouterA] l2tp enable [RouterA] l2tp-group 1 # 配置LNS侧本端名称及接收的通道对端名称。 [RouterA-l2tp1] tunnel name LNS [RouterA-l2tp1] allow l2tp virtual-template 1 remote vpdnuser # 禁止通道验证。 [RouterA-l2tp1] undo tunnel authentication # 定义一个地址池,为拨入用户分配地址。 [RouterA] aaa [RouterA-aaa] ip pool 1 192.168.0.2 192.168.0.100 # 设置用户名及口令(应与用户侧的设置一致)。 [RouterA-aaa] local-user vpdnuser password simple Hello [RouterA-aaa] quit
验证结果
配置成功后,当该VPN用户上线时,在LNS上执行display l2tp tunnel命令可看到隧道建立成功。
[LNS] display l2tp tunnel
Total tunnel = 1
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
1 1 100.1.1.1 2134 1 vpdnuser
在LNS上执行display l2tp session命令可看到会话连接建立情况。
[LNS] display l2tp session
Total session = 1
LocalSID RemoteSID LocalTID
1576 1036 1
同时VPN用户可以访问公司总部。
配置实例二
组网需求
如下图,LAC客户端通过Internet连接到公司总部的LNS侧路由器RouterA。要求由出差员工直接向LNS发起连接请求,与LNS的通讯数据通过隧道Tunnel传输。先使用L2TP封装第二层数据,对身份认证;再使用IPSec对数据进行加密。
使用IPSec加密的Client-Initialized VPN
适用产品和版本
LAC侧设备可以使用NE05/NE08E/NE16E/NE20/NE20E中的任一款路由器,版本为(VRP5.30)及后续版本。
LNS侧设备可以使用NE05/NE08E/NE16E/NE20/NE20E/NE40/NE80/S8016中的任一款路由器,版本为(VRP5.30)及后续版本。
配置步骤
步骤 1 用户侧的配置
用户侧主机上必须装有L2TP客户端软件,并必须支持IPSec(如Windows XP的Profession版本、Windows 2000)。用户通过拨号方式连接到Internet。然后用户侧需要进行如下配置(设置过程与相应的客户端软件有关):
在用户侧设置VPN客户端主机名为client1。
新建一个VPN连接,将连接的IP地址设置为LNS接入L2TP的接口IP地址(本例中为LNS侧与通道相连接的串口的IP地址202.38.160.2)。
设置VPN用户名为vpdnuser,密码为Hello。
修改连接属性,将采用的协议设置为L2TP。
将VPN类型设置为L2TP IPSec VPN,IPSec的密钥设置为与IKE中的验证字pre-shared-key一致,即12345。
步骤 2 LNS侧路由器的L2TP配置
# 创建并配置虚拟接口模板。 <Quidway> system-view [Quidway] sysname lns [lns] interface virtual-template 1 [lns-Virtual-Template1] ip address 192.168.0.1 255.255.255.0 [lns-Virtual-Template1] ppp authentication-mode chap [lns-Virtual-Template1] remote address pool 1 [lns-Virtual-Template1] quit # 使能L2TP服务,并创建一个L2TP组。 [lns] l2tp enable [lns] l2tp-group 1 # 配置LNS侧本端名称及接收的通道对端名称。 [lns-l2tp1] tunnel name LNS [lns-l2tp1] allow l2tp virtual-template 1 remote client1 # 禁止通道验证。 [lns-l2tp1] undo tunnel authentication # 定义一个地址池,为拨入用户分配地址。 [lns] aaa [lns-aaa] ip pool 1 192.168.0.2 192.168.0.100 [lns-aaa] quit # 设置用户名及口令(应与用户侧的设置一致)。 [lns-aaa] local-user vpdnuser password simple Hello [lns-aaa] quit
步骤 3 LNS侧的IPSec配置
# 配置IKE协商。 [lns] ike local-name lns [lns] ike peer peer1 [lns-ike-peer-peer1] exchange-mode aggressive [lns-ike-peer-peer1] local-id-type name [lns-ike-peer-peer1] pre-shared-key 12345 [lns-ike-peer-peer1] remote-name client1 [lns-ike-peer-peer1] quit
说明:IKE Peer的远端名称应为VPN客户端主机名称,本例为client1。
# 配置IPSec安全提议和安全策略。 [lns] ipsec proposal p1 [lns-ipsec-proposal-p1] quit [lns] ipsec policy-template template1 1 [lns-ipsec-policy-templet-template1-1] ike-peer peer1 [lns-ipsec-policy-templet-template1-1] proposal p1 [lns-ipsec-policy-templet-template1-1] quit [lns] ipsec policy policy1 1 isakmp template template1 # 在Internet侧的接口上应用安全策略。 [lns] interface Serial 1/0/0 [lns-Serial1/0/0] ipsec policy policy1 [lns-Serial1/0/0] quit
验证结果
配置成功后,当该VPN用户上线时,在LNS上执行display l2tp tunnel命令可看到隧道建立成功。
[LNS] display l2tp tunnel
Total tunnel = 1
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
1 1 100.1.1.1 2134 1 client1
在LNS上执行display l2tp session命令可看到会话连接建立成功。
[LNS] display l2tp session
Total session = 1
LocalSID RemoteSID LocalTID
1576 1036 1
同时VPN用户可以访问公司总部。