1、实验七 广域网VPN(L2TP)网络综合实验【实验名称】 广域网VPN(L2TP)网络综合实验【实验目的】 在实验室环境下,根据真实网络建设搭建模拟环境,进行综合应用实验,指导学员如何规划实施广域网VPN(L2TP)网络建设规划【预备知识】 L2TP原理基础,静态路由,L2TP VPN,ACL访问控制,安全控制等【背景描述】 通过L2TP VPN配置实现总部与分公司内部网络之间的安全访问【实验拓扑】 【实验设备】 核心设备:路由器1台; 接入设备: 实验PC:2台;【实验步骤】 第一步 路由器基本配置(1)RA路由器基本配置配置主机名RA进入F0/0接口配置模式,为F0/0分配ip地址,激活网
2、络接口并退出接口配置模式进入F0/1接口配置模式,为F0/1分配ip地址,激活网络接口并退出接口配置模式配置到RB内部网络192.168.0.0/24的静态路由F0/0:192.168.2.254F0/1:10.0.0.6Ip route 192.168.0.0 255.255.255.0 10.0.0.5 (2)RB路由器基本配置配置主机名RB进入F0/0接口配置模式,为F0/0分配ip地址,定义F0/0接口连接内部网(即设置nat,命令:ip nat inside),激活网络接口并退出接口配置模式进入F0/1接口配置模式,为F0/1分配ip地址,定义F0/1接口连接外部网络(即设置nat,
3、命令:ip nat outside),激活网络接口并退出接口配置模式配置到RA内部网络192.168.2.0/24的默认路由192.168.0.254 ip nat inside10.0.0.5 ip nat outsideIp route 192.168.2.0 255.255.255.0 10.0.0.6创建ACL 102,除去到达目的地192.168.2.0网段的其他数据流才被NAT转换,而192.168.2.0为需要通过vpn访问的网段。RB(config)#access-list 102 deny ip any 192.168.2.0 0.0.0.255RB(config)#acce
4、ss-list 102 permit ip any any设置内部符合ACL102的数据流进行NAPT,interface FastEthernet0/1的IP作为转换的IP,并配置NAT方式为NAPTRB(config)#ip nat inside source list 102 interface FastEthernet0/1 overload(4)基本连通性测试。本测试的测试pc为RB内部ip地址为192.168.0.233的主机(网关:192.168.0.254),通过ping命令,测试到其他网络的连通性。如果测试失败,请检查设备配置,确认设备配置无误。A、测试到网关即RB内部网络接
5、口F0/0的连通性B、测试到RB外部网络接口F0/1的连通性C、测试到RA外部网络接口F0/1的连通性D、测试到RA内部网络接口F0/0的连通性第二步 L2TP配置及其验证(1)RA路由器L2TP服务器端配置配置用户信息用户名shanghai,密码shanghai,为对试图远程L2TP接入本地的客户端进行用户身份验证创建本地地址池vpnuser,地址范围192.168.2.100-192.168.2.200,为远程VPN客户端用户在没有设置在VPN内使用的ip地址时分配地址Ip local pool vpnuser 192.168.2.100 192.168.2.200创建virtual-te
6、mplate 1Interface virtula-template 1选择PPP认证的种类, 配置PPP认证使用papPpp authentication pap设置最大传输单元为1400(命令:mtu 1400)interface virtual-ppp 1Mtu 1400配置与F 0/0共用一个ip地址Ip unnumbered fastethernet 0/0配置对等ip地址使用地址池vpnuser,给VPN客户端从VPN地址池中随机分配一个地址Peer default ip address pool vpnuser启用vpdn功能Vpdn enable创建vpdn-group组1Vp
7、dn-group 1允许接受远程客户端拨入Accept-dialin设置协议为L2TP协议Protocol l2tp关联virtual-template 1Virtual-template 1(2)RB路由器L2TP客户端配置创建L2TP的一个类,类名为l2x设置L2TP控制连接对应的本地主机名称shanghaiL2tp-class l2xHostname shanghai创建指定名称pw的pseudowire-class接口Pseudowire-class pw设置数据传输封装模式l2tpv2Encapsulation l2tpv2RB(config-pw-class)#protocol l
8、2tpv2 12x设置L2TP控制连接参数,引用12xProtocol l2tpv2 12x指定通道的本地接口(地址)为interface f0/1Ip local interface f0/1设置建立L2TP会话的virtual-ppp接口1Interface virtual-ppp 1设置ip地址为协商模式PPP支持IP地址的协商,在接入ISP访问Internet,此时与ISP相连接口的IP地址由ISP协商分配。Ip address negotiate与L2TP服务器端设置相同的最大传输单元MTU激活网络接口定义该接口连接外部网络(即设置nat)RB(config-if)#ip nat o
9、utside配置PAP认证客户端的用户名shanghai和口令shanghai发送到对端设置pseudowire规则,远程LNS(l2tp网络服务器) 的地址是10.0.0.6,全局标号为12,引用的Pseudowire-class 的名称是PW。Username shanghai password shanghaiPseudowire 10.0.0.6 12 pw-class pw设置路由,指定到beijing总部网络192.168.2.0的访问通过virtual-PPP 1接口Ip route 192.168.2.0 255.255.255.0 virtual-ppp 1定义访问控制列表,
10、只允许VPN访问的ip数据包通过即只允许所有访问目的地址为网段192.168.2.0的ip数据包通过RB(config)#access-list 101 permit ip any 192.168.2.0 0.0.0.255RB(config)#access-list 101 deny ip any any配置动态NATP功能,所有VPN访问的数据通过Virtual-PPP1做NAT转发RB(config)#ip nat inside source list 101 interface Virtual-PPP1 overload第三步 VPN配置验证A、相关日志信息RA#%UPDOWN: In
11、terface Virtual-Access1, changed state to up!当有客户端拨入时,服务端若能够打印如上信息则表示L2TP呼叫已经建立,即链路层UP,否则表示L2TP协商存在问题,应检查L2TP的相关配置并进行相关调试: Line protocol on Interface Virtual-Access1, changed state to up若在如上信息之后立即打印如上信息则表示L2TP拨入成功,否则表示PPP协商和认证存在问题,应检查PPP相关配置,一般是认证或者IP地址配置问题RB# Interface Virtual-PPP1, changed state t
12、o up Line protocol on Interface Virtual-PPP1, changed state to upRB出现如上两条日志,说明和对端L2TP服务器 RA呼叫已经建立,L2TP拨入成功B、show vpdn信息我们可以使用show vpdn命令来显示当前的vpdn通道以及会话信息RA#show vpdn RB#show vpdn C、 测试VPN功能在RA,RB路由器上打开所有vpdn debug命令。(1)在RB内部的主机192.168.0.233/24访问RA的内部网络接口F2 ip地址为192.168.2.254/24(即用在上海部的主机ping北极总部的内部
13、网关),查看RA,RB的调试信息如下:(2)L2TP建立过程的调试信息RA调试信息RA#debug vpdn errorRA#debug vpdn eventRA#debug vpdn l2x-dataRA#debug vpdn l2x-errorsRA#debug vpdn l2x-eventsRA#debug vpdn l2x-packetsRA#debug vpdn packet RB调试信息【参考配置】RA#show runBuilding configuration.Current configuration : 977 bytes!version RGNOS 10.3.00(3),
14、 Release(38104)(Fri Apr 25 15:05:03 CST 2008 -ngcf49)hostname R1_RSR20_1vpdn enablevpdn-group 1 Default L2TP VPDN group accept-dialin protocol l2tp virtual-template 1no service password-encryptionip local pool vpnuser 192.168.2.100 192.168.2.200interface Serial 2/0 clock rate 64000interface FastEthe
15、rnet 0/0 ip address 192.168.2.254 255.255.255.0 duplex auto speed autointerface FastEthernet 0/1 ip address 10.0.0.6 255.255.255.0interface Virtual-Template 1 mtu 1400 ppp authentication pap ip unnumbered FastEthernet 0/0 peer default ip address pool vpnuserrouter ospf 4 redistribute connected route
16、-map 11 subnetsip route 192.168.0.0 255.255.255.0 10.0.0.5ref parameter 50 400line con 0line aux 0line vty 0 4 loginendRB#show run 1212 byteshostname R1_RSR20_2l2tp-class 12x hostname shanghaipseudowire-class pw encapsulation l2tpv2 protocol l2tpv2 12x ip local interface FastEthernet 0/1ip access-li
17、st extended 101 10 permit ip any 192.168.2.0 0.0.0.255 20 deny ip any anyip access-list extended 102 10 deny ip any 192.168.2.0 0.0.0.255 20 permit ip any any ip nat inside ip address 192.168.0.254 255.255.255.0 ip nat outside ip address 10.0.0.5 255.255.255.0interface Virtual-ppp 1 pseudowire 10.0.
18、0.6 12 pw-class pwip nat inside source list 102 interface FastEthernet 0/1 overloadip nat inside source list 101 interface Virtual-ppp 1 overloadip route 192.168.2.0 255.255.255.0 Virtual-ppp 1评分标准成绩范围要 求得分100分能满意地履行该技能并能带领他人履行该技能90-99分能够满意地履行该技能并对特殊情况有初步适应能力80-89分能够以较快的速度和较高质量满意地履行该技能70-79分能够不需任务帮助或指导满意地履行该全能60-69分能够满意地履行该技能,但需要定期的帮助或指导60分以下能够履行该技能的某些部分,但需帮助或指导才能履行全部技能
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2