203庄梓巍广域网VPNL2PTP网络综合实验Word格式.docx

1、实验七 广域网VPN（L2TP）网络综合实验【实验名称】 广域网VPN（L2TP）网络综合实验【实验目的】 在实验室环境下，根据真实网络建设搭建模拟环境，进行综合应用实验，指导学员如何规划实施广域网VPN（L2TP）网络建设规划【预备知识】 L2TP原理基础，静态路由，L2TP VPN，ACL访问控制，安全控制等【背景描述】 通过L2TP VPN配置实现总部与分公司内部网络之间的安全访问【实验拓扑】 【实验设备】 核心设备：路由器1台； 接入设备： 实验PC：2台；【实验步骤】 第一步 路由器基本配置（1）RA路由器基本配置配置主机名RA进入F0/0接口配置模式，为F0/0分配ip地址，激活网

2、络接口并退出接口配置模式进入F0/1接口配置模式，为F0/1分配ip地址，激活网络接口并退出接口配置模式配置到RB内部网络192.168.0.0/24的静态路由F0/0:192.168.2.254F0/1:10.0.0.6Ip route 192.168.0.0 255.255.255.0 10.0.0.5 （2）RB路由器基本配置配置主机名RB进入F0/0接口配置模式，为F0/0分配ip地址，定义F0/0接口连接内部网（即设置nat，命令：ip nat inside），激活网络接口并退出接口配置模式进入F0/1接口配置模式，为F0/1分配ip地址，定义F0/1接口连接外部网络（即设置nat，

3、命令：ip nat outside），激活网络接口并退出接口配置模式配置到RA内部网络192.168.2.0/24的默认路由192.168.0.254 ip nat inside10.0.0.5 ip nat outsideIp route 192.168.2.0 255.255.255.0 10.0.0.6创建ACL 102，除去到达目的地192.168.2.0网段的其他数据流才被NAT转换，而192.168.2.0为需要通过vpn访问的网段。RB（config）#access-list 102 deny ip any 192.168.2.0 0.0.0.255RB（config）#acce

4、ss-list 102 permit ip any any设置内部符合ACL102的数据流进行NAPT，interface FastEthernet0/1的IP作为转换的IP，并配置NAT方式为NAPTRB（config）#ip nat inside source list 102 interface FastEthernet0/1 overload（4）基本连通性测试。本测试的测试pc为RB内部ip地址为192.168.0.233的主机（网关：192.168.0.254），通过ping命令，测试到其他网络的连通性。如果测试失败，请检查设备配置，确认设备配置无误。A、测试到网关即RB内部网络接

5、口F0/0的连通性B、测试到RB外部网络接口F0/1的连通性C、测试到RA外部网络接口F0/1的连通性D、测试到RA内部网络接口F0/0的连通性第二步 L2TP配置及其验证（1）RA路由器L2TP服务器端配置配置用户信息用户名shanghai，密码shanghai，为对试图远程L2TP接入本地的客户端进行用户身份验证创建本地地址池vpnuser，地址范围192.168.2.100-192.168.2.200，为远程VPN客户端用户在没有设置在VPN内使用的ip地址时分配地址Ip local pool vpnuser 192.168.2.100 192.168.2.200创建virtual-te

6、mplate 1Interface virtula-template 1选择PPP认证的种类, 配置PPP认证使用papPpp authentication pap设置最大传输单元为1400（命令：mtu 1400）interface virtual-ppp 1Mtu 1400配置与F 0/0共用一个ip地址Ip unnumbered fastethernet 0/0配置对等ip地址使用地址池vpnuser，给VPN客户端从VPN地址池中随机分配一个地址Peer default ip address pool vpnuser启用vpdn功能Vpdn enable创建vpdn-group组1Vp

7、dn-group 1允许接受远程客户端拨入Accept-dialin设置协议为L2TP协议Protocol l2tp关联virtual-template 1Virtual-template 1（2）RB路由器L2TP客户端配置创建L2TP的一个类,类名为l2x设置L2TP控制连接对应的本地主机名称shanghaiL2tp-class l2xHostname shanghai创建指定名称pw的pseudowire-class接口Pseudowire-class pw设置数据传输封装模式l2tpv2Encapsulation l2tpv2RB（config-pw-class）#protocol l

8、2tpv2 12x设置L2TP控制连接参数，引用12xProtocol l2tpv2 12x指定通道的本地接口（地址）为interface f0/1Ip local interface f0/1设置建立L2TP会话的virtual-ppp接口1Interface virtual-ppp 1设置ip地址为协商模式PPP支持IP地址的协商，在接入ISP访问Internet，此时与ISP相连接口的IP地址由ISP协商分配。Ip address negotiate与L2TP服务器端设置相同的最大传输单元MTU激活网络接口定义该接口连接外部网络（即设置nat）RB（config-if）#ip nat o

9、utside配置PAP认证客户端的用户名shanghai和口令shanghai发送到对端设置pseudowire规则,远程LNS（l2tp网络服务器） 的地址是10.0.0.6，全局标号为12，引用的Pseudowire-class 的名称是PW。Username shanghai password shanghaiPseudowire 10.0.0.6 12 pw-class pw设置路由，指定到beijing总部网络192.168.2.0的访问通过virtual-PPP 1接口Ip route 192.168.2.0 255.255.255.0 virtual-ppp 1定义访问控制列表，

10、只允许VPN访问的ip数据包通过即只允许所有访问目的地址为网段192.168.2.0的ip数据包通过RB（config）#access-list 101 permit ip any 192.168.2.0 0.0.0.255RB（config）#access-list 101 deny ip any any配置动态NATP功能，所有VPN访问的数据通过Virtual-PPP1做NAT转发RB（config）#ip nat inside source list 101 interface Virtual-PPP1 overload第三步 VPN配置验证A、相关日志信息RA#%UPDOWN: In

11、terface Virtual-Access1, changed state to up！当有客户端拨入时，服务端若能够打印如上信息则表示L2TP呼叫已经建立，即链路层UP，否则表示L2TP协商存在问题，应检查L2TP的相关配置并进行相关调试： Line protocol on Interface Virtual-Access1, changed state to up若在如上信息之后立即打印如上信息则表示L2TP拨入成功，否则表示PPP协商和认证存在问题，应检查PPP相关配置，一般是认证或者IP地址配置问题RB# Interface Virtual-PPP1, changed state t

12、o up Line protocol on Interface Virtual-PPP1, changed state to upRB出现如上两条日志，说明和对端L2TP服务器 RA呼叫已经建立，L2TP拨入成功B、show vpdn信息我们可以使用show vpdn命令来显示当前的vpdn通道以及会话信息RA#show vpdn RB#show vpdn C、 测试VPN功能在RA，RB路由器上打开所有vpdn debug命令。（1）在RB内部的主机192.168.0.233/24访问RA的内部网络接口F2 ip地址为192.168.2.254/24（即用在上海部的主机ping北极总部的内部

13、网关），查看RA，RB的调试信息如下：（2）L2TP建立过程的调试信息RA调试信息RA#debug vpdn errorRA#debug vpdn eventRA#debug vpdn l2x-dataRA#debug vpdn l2x-errorsRA#debug vpdn l2x-eventsRA#debug vpdn l2x-packetsRA#debug vpdn packet RB调试信息【参考配置】RA#show runBuilding configuration.Current configuration : 977 bytes!version RGNOS 10.3.00（3）,

14、 Release（38104）（Fri Apr 25 15:05:03 CST 2008 -ngcf49）hostname R1_RSR20_1vpdn enablevpdn-group 1 Default L2TP VPDN group accept-dialin protocol l2tp virtual-template 1no service password-encryptionip local pool vpnuser 192.168.2.100 192.168.2.200interface Serial 2/0 clock rate 64000interface FastEthe

15、rnet 0/0 ip address 192.168.2.254 255.255.255.0 duplex auto speed autointerface FastEthernet 0/1 ip address 10.0.0.6 255.255.255.0interface Virtual-Template 1 mtu 1400 ppp authentication pap ip unnumbered FastEthernet 0/0 peer default ip address pool vpnuserrouter ospf 4 redistribute connected route

16、-map 11 subnetsip route 192.168.0.0 255.255.255.0 10.0.0.5ref parameter 50 400line con 0line aux 0line vty 0 4 loginendRB#show run 1212 byteshostname R1_RSR20_2l2tp-class 12x hostname shanghaipseudowire-class pw encapsulation l2tpv2 protocol l2tpv2 12x ip local interface FastEthernet 0/1ip access-li

17、st extended 101 10 permit ip any 192.168.2.0 0.0.0.255 20 deny ip any anyip access-list extended 102 10 deny ip any 192.168.2.0 0.0.0.255 20 permit ip any any ip nat inside ip address 192.168.0.254 255.255.255.0 ip nat outside ip address 10.0.0.5 255.255.255.0interface Virtual-ppp 1 pseudowire 10.0.

18、0.6 12 pw-class pwip nat inside source list 102 interface FastEthernet 0/1 overloadip nat inside source list 101 interface Virtual-ppp 1 overloadip route 192.168.2.0 255.255.255.0 Virtual-ppp 1评分标准成绩范围要 求得分100分能满意地履行该技能并能带领他人履行该技能90-99分能够满意地履行该技能并对特殊情况有初步适应能力80-89分能够以较快的速度和较高质量满意地履行该技能70-79分能够不需任务帮助或指导满意地履行该全能60-69分能够满意地履行该技能，但需要定期的帮助或指导60分以下能够履行该技能的某些部分，但需帮助或指导才能履行全部技能