配置隧道交换
应用环境
随着组网方式的多样化,VPDN的使用也越来越灵活。在某些组网环境中,一个会话可能需要跨越多个隧道才能到达目的地。
当L2TP会话需要跨越一条以上的隧道时,就需要使用隧道交换(Tunnel Switch)功能。
配置思路
在配置隧道交换时,采用如下的配置思路:
1. 在LAC侧配置L2TP功能并启用隧道验证功能。
2. 在TUNLSW上配置L2TP功能、启用隧道验证,并配置隧道交换功能。
3. 在LNS侧配置L2TP功能并启用隧道验证功能。
配置注意事项
必须先启动L2TP功能,再启动隧道交换功能,并创建两个L2TP组:
一个组用作TUNLSW作为LNS接受LAC发起的隧道建立请求。
另一个组用作TUNLSW作为LAC向新的TUNLSW或LNS发起新的隧道建立请求。
组网需求
如下图,LAC侧路由器RouterA下挂用户PC1,其GigabitEthernet接口与隧道交换路由器(TUNL SW)RouterB的GigabitEthernet接口相连。LNS侧路由器RouterC下挂PC2,并通过GigabitEthernet线与RouterB相连。
隧道交换组网图
适用产品和版本
LAC侧设备可以使用NE05/NE08E/NE16E/NE20/NE20E中的任一款路由器,版本为(VRP5.30)及后续版本。
LNS侧设备可以使用NE05/NE08E/NE16E/NE20/NE20E/NE40/NE80/S8016中的任一款路由器,版本为(VRP5.30)及后续版本。
配置步骤
步骤 1 LAC侧(RouterA)的配置
# 设置一个L2TP组并配置相关属性。 <RouterA> system-view [RouterA] l2tp enable [RouterA] l2tp-group 1 [RouterA-l2tp1] tunnel name LAC [RouterA-l2tp1] start l2tp ip 202.38.160.2 domain huawei.com # 启用通道验证并设置通道验证密码。 [RouterA-l2tp1] tunnel authentication [RouterA-l2tp1] tunnel password simple quidway [RouterA-l2tp1] quit # 配置域名后缀分隔符。 [RouterA] l2tp domain suffix-separator @ # 设置接口地址。 [RouterA] interface gigabitethernet1/2/0 [RouterA-GigabitEthernet1/2/0] ip address 202.38.160.1 255.255.255.0 [RouterA-GigabitEthernet1/2/0] quit # 配置用户名和密码。 [RouterA] aaa [RouterA-aaa] local-user user1@huawei.com password simple user1 # 配置用户接入时的域 [RouterA-aaa] domain huawei.com
步骤 2 TUNLSW侧(RouterB)的配置
# 配置隧道交换功能。 <RouterB> system-view [RouterB] tunnel switch enable # 配置虚模板Virtual-Template 1。 [RouterB] interface virtual-template 1 [RouterB-virtual-template1] ip address 192.168.0.1 255.255.255.0 [RouterB-virtual-template1] ppp authentication-mode chap [RouterB-virtual-template1] quit # 设置两个L2TP组并配置相关属性。 [RouterB] l2tp enable [RouterB] l2tp-group 1 [RouterB-l2tp1] tunnel name LNS [RouterB-l2tp1] allow l2tp virtual-template 1 remote LAC # 启用通道验证,并设置通道验证密码为quidway。 [RouterB-l2tp1] tunnel authentication [RouterB-l2tp1] tunnel password simple quidway [RouterB-l2tp1] quit [RouterB] l2tp-group 2 [RouterB-l2tp2] tunnel name LAC [RouterB-l2tp2] start l2tp ip 202.138.1.2 domain huawei.com # 启用通道验证并设置通道验证密码。 [RouterB-l2tp2] tunnel authentication [RouterB-l2tp2] tunnel password simple quidway [RouterB-l2tp2] quit # 配置域名后缀分隔符。 [RouterB] l2tp domain suffix-separator @ # 设置接口地址。 [RouterB] interface gigabitethernet1/2/0 [RouterB-GigabitEthernet1/2/0] ip address 202.38.160.2 255.255.255.0 [RouterB-GigabitEthernet1/2/0] quit [RouterB] interface gigabitethernet2/2/0 [RouterB-GigabitEthernet2/2/0] ip address 202.138.1.1 255.255.255.0 [RouterB-GigabitEthernet2/2/0] quit # 配置用户名和密码。 [RouterB] aaa [RouterB-aaa] local-user user1@huawei.com password simple user1 # 配置用户接入的域。 [RouterB-aaa] domain huawei.com
步骤 3 LNS侧(RouterC)的配置
# 配置虚模板Virtual-Template 1。 <RouterC> system-view [RouterC] interface virtual-template 1 [RouterC-virtual-template1] ip address 192.168.0.1 255.255.255.0 [RouterC-virtual-template1] ppp authentication-mode chap [RouterC-virtual-template1] quit # 设置L2TP组并配置相关属性。 [RouterC] l2tp enable [RouterC] l2tp-group 1 [RouterC-l2tp1] tunnel name LNS [RouterC-l2tp1] allow l2tp virtual-template 1 remote LAC # 启用通道验证,并设置通道验证密码为quidway。 [RouterC-l2tp1] tunnel authentication [RouterC-l2tp1] tunnel password simple quidway [RouterC-l2tp1] quit # 设置接口地址。 [RouterC] interface gigabitethernet1/2/0 [RouterC-GigabitEthernet1/2/0] ip address 202.138.1.2 255.255.255.0 [RouterC-GigabitEthernet1/2/0] quit # 配置用户名和密码。 [RouterC] aaa [RouterC-aaa] local-user user1@huawei.com password simple user1 # 配置用户接入的域。 [RouterC-aaa] domain huawei.com # 配置给用户分配的地址池。 [RouterC-aaa-domain-huawei.com] ip pool 1 192.168.0.2 192.168.0.100
验证结果
配置完成后,当有用户上线时,在TUNLSW设备上执行命令display l2tp tunnel可以看到以下信息:
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
1 1 202.38.160.1 57344 1 LAC
2 1 202.138.1.2 1701 1 LNS
Total tunnel = 2
