部署LNS
应用环境
当ME60作为LNS时,需要对相应L2TP组进行进一步配置,使之具备LNS特性。LNS的基本特性是响应LAC的隧道建立请求,对用户进行认证并为之分配IP地址。
ME60提供专用的隧道板(将VSU设置为隧道板),用于处理隧道业务。因此ME60可作为多个LNS使用,每个LNS都可以配置IP地址。从外部看,就好像存在多台LNS。
在ME60中使用LNS组管理LNS业务,每个LNS组相当于一台LNS服务器,可以为LNS组指定IP地址,同时可指定LNS组所使用的隧道板。
配置思路
本例按如下思路配置:
在用户侧进行拨号配置
在NAS侧配置接入号码和RADIUS服务器
配置虚模板
配置L2TP组
配置地址池和域
配置LNS组
配置注意事项
配置LNS时,请注意以下事项:
在将ME60配置LNS之前,首先必须使能L2TP、创建L2TP组,使ME60具备基本的L2TP处理能力。
ME60作为LNS使用时,LNS地址只能是环回接口地址。
由于LNS无法感知用户的MAC地址,无法使用DHCP服务器为用户分配IP地址,所以LNS为用户分配的地址只能是本地地址池的地址。
当LNS和LAC对接时必须要有到达LAC的路由。以ME60作为LAC为例,当LAC配置随但源接口后,在LNS上必须配置到达该接口地址的路由。
组网需求
如下图所示,VPN用户访问公司总部的过程如下:
用户以普通的上网方式进行拨号上网。
在接入服务器(NAS)处对用户进行验证,发现是VPN用户,则由接入服务器向LNS发起隧道连接的请求。
在接入服务器与LNS隧道建立后,接入服务器把与VPN用户已经协商的内容作为报文内容传给LNS。
LNS再根据预协商的内容决定是否接受此连接。
用户与公司总部间的通信通过接入服务器与LNS之间的隧道传输。
用户通过域domain1接入,从地址池pool1获取地址。
NAS-Initialized VPN组网图
适用产品和版本
ME60版本为(VRP5.30-13)及后续版本。
配置步骤
说明
本节只列出了与L2TP相关的配置步骤。
步骤 1 用户侧的配置。
在用户侧,在拨号网络窗口中输入VPN用户名vpdnuser@domain1,口令Hello,拨入号码为170。在拨号后弹出的拨号终端窗口中输入用于RADIUS验证的用户名username和口令userpass。
步骤 2 NAS侧的配置。
以Quidway A8010接入服务器作为LAC侧设备。
# 在A8010上配置拨入号码为170。
# 在RADIUS服务器上设置一个用户名为username、口令为userpass的VPN用户,并设置相应的LNS侧设备的IP地址(本例中,LNS侧的IP地址为192.168.0.1)。
# 将本端的设备名称定义为A8010,需要进行隧道验证,隧道验证密码为quidway。
步骤 3 ME60(LNS侧)的配置。
# 创建并配置虚拟接口模板。 [ME60] interface virtual-template 1 [ME60-Virtual-Template1] ppp authentication-mode chap [ME60-Virtual-Template1] quit # 使能L2TP服务,创建一个L2TP组。 [ME60] l2tp enable [ME60] l2tp-group lns1 # 配置LNS侧本端名称及接收的隧道对端名称。 [ME60-l2tp-lns1] tunnel name lns [ME60-l2tp-lns1] allow l2tp virtual-template 1 remote A8010 # 启用隧道验证并设置隧道验证密码。 [ME60-l2tp-lns1] tunnel authentication [ME60-l2tp-lns1] tunnel password simple quidway [ME60-l2tp-lns1] quit # 定义一个地址池,为拨入用户分配地址。 [ME60] ip pool pool1 local [ME60-ip-pool-pool1] gateway 10.10.10.1 255.255.255.0 [ME60-ip-pool-pool1] section 0 10.10.10.2 10.10.10.100 [ME60-ip-pool-pool1] quit # 配置domain1域。 [ME60] aaa [ME60-aaa] domain domain1 [ME60-aaa-domain-domain1] authentication-scheme default0 [ME60-aaa-domain-domain1] accounting-scheme default0 [ME60-aaa-domain-domain1] ip-pool pool1 [ME60-aaa-domain-domain1] quit [ME60-aaa] quit # 配置环回接口0。 [ME60] interface loopback 0 [ME60-LoopBack0] ip address 192.168.0.1 255.255.255.255 [ME60-LoopBack0] quit # 创建LNS组group1。 [ME60] lns-group group1 # 为LNS组指定环回接口0。 [ME60-lns-group-group1] bind source loopback 0 # 为LNS组指定隧道板1。 [ME60-lns-group-group1] bind slot 1 [ME60-lns-group-group1] quit
验证结果
如果配置成功,则:
则可以在ME60执行上display l2tp-group 命令,可以看到L2TP组配置信息中,“GroupType”为“ACCEPT_DIALIN_L2TP”。
<Quidway> display l2tp-group lns1
-----------------------------------------------
L2tp-index: 3
Group-Name: lns1
GroupType: ACCEPT_DIALIN_L2TP
TunnelAuth: Not tunnel authentication
Tunnel aaa Auth: Not tunnel aaa-authentication
Tunnel Avp46: Not tunnel Avp46
LocalName: LNS
Encrypt : 0
avp-hidden: 0
load-share: 0
Radius-auth: 0
Hello : 60
Retransmit: 5
Timeout : 2
Idle cut : 60
SessionLimit: 49152
Used : 0
IfIndex : 4294967295
SrcIp : 255.255.255.255
VtNum : 1
RemoteName: lac1
DefaultDomain:default1
ForceChap : 0
LcpReg : 0
LnsNum : 0
LnsIPAddr :
-----------------------------------------------
在ME6执行命令display l2tp tunnel,可看到L2TP控制连接建立成功。例如:
<Quidway> display l2tp tunnel
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
22849 2 11.1.1.2 57344 1 lac
执行命令,可查看L2TP会话连接已建立。例如:
<Quidway> display l2tp session
LocalSID RemoteSID LocalTID
1 1 2
Total session = 1
