配置NAS-Initialized VPN
应用环境
当用户通过远程接入访问公司网络时,可以选用VPDN方式(Virtual Private Dial Network)。VPDN利用公共网络(如ISDN或PSTN)的拨号功能及接入网来实现虚拟专用网,为企业、小型ISP和移动办公人员提供接入服务。
NAS(Network Access Server)是VPDN实现方式的一种。它通过隧道与VPDN网关建立通道,对用户透明。用户只需要登录一次就可以接入企业网络,由企业网络进行用户认证和地址分配,不占用公共地址,用户可使用各种平台上网。
配置思路
在部署NAS-Initialized VPN时,采用如下的配置思路:
1. 用户与LAC建立连接,根据实际需要采用不同的接入方式。
2. LAC与LNS之间建立L2TP隧道,并把认证协商的内容传给LNS。
3. LNS根据本地RADIUS服务器的认证结果决定是否接受此连接。
4. 如果接受此连接,则LNS侧根据在域下配置的地址池为用户分配IP地址,接入成功。
配置注意事项
这种方式需要NAS支持VPDN协议,需要认证系统支持VPDN属性,网关一般使用路由器或VPN专用服务器。
配置实例一
组网需求
如下图所示,作为LAC的路由器RouterA与作为LNS的路由器RouterB通过广域网相连。PC1通过调制解调器Modem与PSTN网络相连,再连接到LAC。PC2通过隧道与LAC相连。在LAC侧和LNS侧均使用本地认证方式认证用户名和密码。
要求用户使用域名接入LNS,访问公司总部。
单用户与总部互联示意图
适用产品和版本
LAC侧设备可以使用NE05/NE08E/NE16E/NE20/NE20E中的任一款路由器,版本为(VRP5.30)及后续版本。
LNS侧设备可以使用NE05/NE08E/NE16E/NE20/NE20E/NE40/NE80/S8016中的任一款路由器,版本为(VRP5.30)及后续版本。
配置步骤
步骤 1 PC上的配置
创建一个拨号网络,号码为RouterA路由器的接入号码,接收由LNS服务器端分配的地址。
在弹出的拨号终端窗口中输入用户名vpdnuser@huawei.com,口令为Hello(此用户名与口令已在公司LNS中注册)。
步骤 2 路由器RouterA(LAC侧)的配置
(本例中LAC侧与通道相连接的接口(Serial1/0/0)的IP地址为202.38.160.1,LNS侧与通道相连接的串口IP地址为202.38.160.2)。
# 在Serial1/0/0接口上配置IP地址并启动CHAP认证。 <Quidway> system-view [Quidway] sysname RouterA [RouterA] interface serial 1/0/0 [RouterA-Serial1/0/0] ip address 202.38.160.1 255.255.255.0 [RouterA-Serial1/0/0] ppp authentication-mode chap [RouterA-Serial1/0/0] quit # 设置一个L2TP组并配置相关属性。 [RouterA] l2tp enable [RouterA] l2tp-group 1 [RouterA-l2tp1] tunnel name LAC [RouterA-l2tp1] start l2tp ip 202.38.160.2 domain huawei.com # 启用通道验证并设置通道验证密码。 [RouterA-l2tp1] tunnel authentication [RouterA-l2tp1] tunnel password simple quidway [RouterA-l2tp1] quit # 配置域名后缀分隔符。 [RouterA] l2tp domain suffix-separator @ # 设置用户名及口令(应与用户侧的设置一致)。 [RouterA] aaa [RouterA-aaa] local-user vpdnuser@huawei.com password simple Hello # 配置用户接入时的域。 [RouterA-aaa] domain huawei.com
步骤 3 路由器RouterB(LNS侧)的配置
# 创建虚模板Virtual-Template并配置相关信息。 <Quidway> system-view [Quidway] sysname RouterB [RouterB] interface virtual-template 1 [RouterB-Virtual-Template1] ip address 192.168.0.1 255.255.255.0 [RouterB-Virtual-Template1] ppp authentication-mode chap [RouterB-Virtual-Template1] quit # 使能L2TP服务,并设置一个L2TP组。 [RouterB] l2tp enable [RouterB] l2tp-group 1 # 配置LNS侧本端名称及接收的通道对端名称。 [RouterB-l2tp1] tunnel name LNS [RouterB-l2tp1] allow l2tp virtual-template 1 remote LAC # 启用通道验证并设置通道验证密码。 [RouterB-l2tp1] tunnel authentication [RouterB-l2tp1] tunnel password simple quidway # 强制进行本端CHAP验证。 [RouterB-l2tp1] mandatory-chap [RouterB-l2tp1] quit # 设置用户名及口令(应与LAC侧的设置一致)。 [RouterB] aaa [RouterB-aaa] local-user vpdnuser@huawei.com password simple Hello # 配置用户接入时的域 [RouterB-aaa] domain huawei.com # 配置给用户分配的地址池。 [RouterB-aaa-domain-huawei.com] ip pool 1 192.168.0.2 192.168.0.100
验证结果
配置成功后,当有VPN用户上线时,分别在LAC和LNS上执行display l2tp tunnel命令可发现隧道建立成功。以LNS侧的显示为例:
[LNS] display l2tp tunnel
Total tunnel = 1
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
1 1 202.38.160.1 57344 1 LAC
执行display l2tp session命令可看到会话连接建立情况。以LNS侧的显示为例:
[LNS] display l2tp session
Total session = 1
LocalSID RemoteSID LocalTID
2036 1469 1
同时VPN用户可以访问公司总部。
配置实例二
组网需求
如下图,VPN用户通过PSTN或ISDN网络连接到作为LAC的接入服务器(NAS),公司总部的LNS侧路由器RouterA通过Internet与NAS相连。
要求VPN用户通过拨号方式接入LNS,访问公司总部。
NAS-Initialized VPN组网图
适用产品和版本
LAC侧设备可以使用NE05/NE08E/NE16E/NE20/NE20E中的任一款路由器,版本为(VRP5.30)及后续版本。
LNS侧设备可以使用NE05/NE08E/NE16E/NE20/NE20E/NE40/NE80/S8016中的任一款路由器,版本为(VRP5.30)及后续版本。
配置步骤
步骤 1 用户侧的配置
在用户侧,在拨号网络窗口中输入VPN用户名vpdnuser,口令Hello,拨入号码为170。在拨号后弹出的拨号终端窗口中输入用于RADIUS验证的用户名username和口令userpass。
步骤 2 NAS的配置
以Quidway A8010接入服务器作为LAC侧设备。
# 在A8010上配置拨入号码为170。
# 在RADIUS服务器上设置一个用户名为username、口令为userpass的VPN用户,并设置与LNS侧设备相连的接口的IP地址(本例中,NAS与通道相连接的串口IP地址为202.38.160.2)。
# 将本端的设备名称定义为A8010,需要进行通道验证,通道验证密码为quidway。
说明
A8010的配置请参见A8010相关手册。
步骤 3 LNS侧路由器的配置
# 创建并配置虚拟接口模板。
<Quidway> system-view [Quidway] sysname RouterA [RouterA] interface virtual-template 1 [RouterA-Virtual-Template1] ip address 192.168.0.1 255.255.255.0 [RouterA-Virtual-Template1] ppp authentication-mode chap [RouterA-Virtual-Template1] remote address pool 1 [RouterA-Virtual-Template1] quit # 使能L2TP服务,创建一个L2TP组。 [RouterA] l2tp enable [RouterA] l2tp-group 1 # 配置LNS侧本端名称及接收的通道对端名称。 [RouterA-l2tp1] tunnel name LNS [RouterA-l2tp1] allow l2tp virtual-template 1 remote A8010 # 启用通道验证并设置通道验证密码。 [RouterA-l2tp1] tunnel authentication [RouterA-l2tp1] tunnel password simple quidway [RouterA-l2tp1] quit # 定义一个地址池,为拨入用户分配地址。 [RouterA] aaa [RouterA-aaa] ip pool 1 192.168.0.2 192.168.0.100 # 设置用户名及口令(应与用户侧的设置一致)。 [RouterA-aaa] local-user vpdnuser password simple Hello [RouterA-aaa] quit
验证结果
配置成功后,当有VPN用户上线时,分别在LAC和LNS设备上执行display l2tp tunnel命令可看到隧道建立成功。以LAC的显示为例:
[LAC] display l2tp tunnel
Total tunnel = 1
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
1 1 202.38.160.2 1701 1 LNS
执行display l2tp session命令可看到会话连接建立情况。以LAC的显示为例:
[LAC] display l2tp session
Total session = 1
LocalSID RemoteSID LocalTID
1469 2036 1
同时VPN用户可以访问公司总部。
配置实例三
组网需求
如下图,VPN用户通过PPPoE连接到LAC;LAC上连接RADIUS服务器,对用户进行认证和计费,用于产生账单;公司总部的LNS侧路由器RouterA通过Internet与LAC相连。LNS上也连接RADIUS服务器,用于付费及审计。
要求VPN用户通过RADIUS认证方式接入LNS,访问公司总部。
NAS-Initialized VPN组网图
适用产品和版本
LAC侧设备可以使用NE05/NE08E/NE16E/NE20/NE20E中的任一款路由器,版本为(VRP5.30)及后续版本。
LNS侧设备可以使用NE05/NE08E/NE16E/NE20/NE20E/NE40/NE80/S8016中的任一款路由器,版本为(VRP5.30)及后续版本。
配置步骤
步骤 1 用户侧的配置
在用户侧,在拨号网络窗口中输入VPN用户名(本例为vpdnuser@huawei.com),口令(本例为Hello)。在拨号后弹出的拨号终端窗口中输入用于RADIUS验证的用户名(本为username)和口令(本例为userpass)。
步骤 2 LAC侧的配置
# 配置到LNS的路由。具体配置过程略。
# 在Ethernet1/0/0接口上启动PPPoE及PAP认证。 <Quidway> system-view [Quidway] sysname LAC [LAC] interface virtual-template 1 [LAC-Virtual-Template1] ppp authentication-mode pap [LAC-Virtual-Template1] quit [LAC] interface ethernet 1/0/0 [LAC-Ethernet1/0/0] pppoe-server bind virtual-template 1 [LAC-Ethernet1/0/0] quit # 设置一个L2TP组并配置相关属性。 [LAC] l2tp enable [LAC] l2tp-group 1 [LAC-l2tp1] tunnel name LAC [LAC-l2tp1] start l2tp ip 100.3.1.2 domain huawei.com # 启用通道验证并设置通道验证密码(本例隧道验证密码设为quidway)。 [LAC-l2tp1] tunnel authentication [LAC-l2tp1] tunnel password simple quidway [LAC-l2tp1] quit # 在AAA中配置认证方案(本例认证方案名称为scheme1),设置用户名及口令(应与用户侧的设置一致)。认证方式为RADIUS。 <LAC> system-view [LAC] aaa [LAC–aaa] authentication-scheme scheme1 [LAC-aaa-authen-scheme1] authentication-mode radius [LAC-aaa-authen-scheme1] quit # 在AAA中配置计费方案(本例计费方案名称为scheme1),计费方式为RADIUS。 [LAC–aaa] accounting-scheme scheme1 [LAC–aaa-accounting-scheme1] accounting-mode radius [LAC–aaa-accounting-scheme1] quit # 配置RADIUS服务器模板(本例的RADIUS服务器模板名称设为radius1)。 [LAC] radius-server template radius1 # 配置RADIUS认证、计费服务器IP地址和端口(本例用于认证的端口号为1812、用于计费的端口号为1813)。 [LAC-radius-radius1] radius-server authentication 100.2.1.1 1812 [LAC-radius-radius1] radius-server accounting 100.2.1.1 1813 # 配置RADIUS服务器密钥、重传次数。 [LAC-radius-radius1] radius-server shared-key huawei [LAC-radius-radius1] radius-server retransmit 2 [LAC-radius-radius1] quit # 配置huawei域,在域下应用认证方案1、计费方案1、shiva的RADIUS模板。 [LAC-aaa] domain huawei.com [LAC-aaa-domain-huawei.com] authentication-scheme scheme1 [LAC-aaa-domain-huawei.com] accounting-scheme scheme1 [LAC-aaa-domain-huawei.com] radius-server radius1 [LAC-aaa-domain-huawei.com] quit [LAC-aaa] quit # 配置域名后缀分隔符。 [LAC] l2tp domain suffix-separator @
步骤 3 LAC侧的RADIUS上的配置
# 在RADIUS服务器上配置本服务器IP地址、用户名为username、口令为userpass(与用户侧一致),并设置相应的LAC侧设备的IP地址(本例为100.2.1.2)、共享密钥、认证(和计费)的端口号。
步骤 4 LNS侧路由器的配置
# 配置到LAC的路由。具体配置过程略。
# 创建并配置虚拟接口模板。 <Quidway> system-view [Quidway] sysname LNS [LNS] interface virtual-template 1 [LNS-Virtual-Template1] ip address 192.168.0.1 255.255.255.0 [LNS-Virtual-Template1] ppp authentication-mode chap [LNS-Virtual-Template1] remote address pool 1 [LNS-Virtual-Template1] quit # 使能L2TP服务,创建一个L2TP组。 [LNS] l2tp enable [LNS] l2tp-group 1 # 配置LNS侧本端名称及接收的通道对端名称。 [LNS-l2tp1] tunnel name LNS [LNS-l2tp1] allow l2tp virtual-template 1 remote LAC # 启用通道验证并设置通道验证密码。 [LNS-l2tp1] tunnel authentication [LNS-l2tp1] tunnel password simple quidway [LNS-l2tp1] quit # 在AAA中配置认证方案(本例认证方案名称为scheme1),设置用户名及口令(应与用户侧的设置一致)。认证方式为RADIUS。 <LNS> system-view [LNS] aaa [LNS–aaa] authentication-scheme scheme1 [LNS-aaa-authen-scheme1] authentication-mode radius [LNS-aaa-authen-scheme1] quit # 在AAA中配置计费方案(本例计费方案名称为scheme1),计费方式为RADIUS。 [LNS–aaa] accounting-scheme scheme1 [LNS–aaa-accounting-scheme1] accounting-mode radius [LNS–aaa-accounting-scheme1] quit # 配置RADIUS服务器模板(本例的RADIUS服务器模板名称设为radius1)。 [LNS] radius-server template radius1 # 配置RADIUS认证、计费服务器IP地址和端口(本例用于认证的端口号为1812、用于计费的端口号为1813)。 [LNS-radius-radius1] radius-server authentication 100.4.1.1 1812 [LNS-radius-radius1] radius-server accounting 100.4.1.1 1813 # 配置RADIUS服务器密钥、重传次数。 [LNS-radius-radius1] radius-server shared-key huawei [LNS-radius-radius1] radius-server retransmit 2 [LNS-radius-radius1] quit # 配置huawei域,在域下应用认证方案1、计费方案1、shiva的RADIUS模板。 [LNS-aaa] domain huawei.com [LNS-aaa-domain-huawei.com] authentication-scheme scheme1 [LNS-aaa-domain-huawei.com] accounting-scheme scheme1 [LNS-aaa-domain-huawei.com] radius-server radius1 [LNS-aaa-domain-huawei.com] quit # 定义一个地址池,为拨入用户分配地址。 [LNS] aaa [LNS-aaa] domain huawei.com [LNS-aaa-domain-huawei.com] ip pool 1 192.168.0.2 192.168.0.100
验证结果
配置成功后,当有VPN用户上线时,分别在LAC和LNS上执行display l2tp tunnel命令可看到隧道建立成功。以LAC的显示为例:
[LAC] display l2tp tunnel
Total tunnel = 1
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
1 1 100.3.1.2 1701 1 LNS
执行display l2tp session命令可看到会话连接建立情况。以LAC的显示为例:
[LAC] display l2tp session
Total session = 1
LocalSID RemoteSID LocalTID
1469 2036 1
同时VPN用户可以访问公司总部。
