203庄梓巍广域网VPNL2PTP网络综合实验Word格式.docx
《203庄梓巍广域网VPNL2PTP网络综合实验Word格式.docx》由会员分享,可在线阅读,更多相关《203庄梓巍广域网VPNL2PTP网络综合实验Word格式.docx(15页珍藏版)》请在冰点文库上搜索。
实验七广域网VPN(L2TP)网络综合实验
【实验名称】
广域网VPN(L2TP)网络综合实验
【实验目的】
在实验室环境下,根据真实网络建设搭建模拟环境,进行综合应用实验,指导学员如何规划实施广域网VPN(L2TP)网络建设规划
【预备知识】
L2TP原理基础,静态路由,L2TPVPN,ACL访问控制,安全控制等
【背景描述】
通过L2TPVPN配置实现总部与分公司内部网络之间的安全访问
【实验拓扑】
【实验设备】
核心设备:
路由器1台;
接入设备:
实验PC:
2台;
【实验步骤】
第一步路由器基本配置
(1)RA路由器基本配置
配置主机名RA
进入F0/0接口配置模式,为F0/0分配ip地址,激活网络接口并退出接口配置模式
进入F0/1接口配置模式,为F0/1分配ip地址,激活网络接口并退出接口配置模式
配置到RB内部网络192.168.0.0/24的静态路由
F0/0:
192.168.2.254
F0/1:
10.0.0.6
Iproute192.168.0.0255.255.255.010.0.0.5
(2)RB路由器基本配置
配置主机名RB
进入F0/0接口配置模式,为F0/0分配ip地址,定义F0/0接口连接内部网(即设置nat,命令:
ipnatinside),激活网络接口并退出接口配置模式
进入F0/1接口配置模式,为F0/1分配ip地址,定义F0/1接口连接外部网络(即设置nat,命令:
ipnatoutside),激活网络接口并退出接口配置模式
配置到RA内部网络192.168.2.0/24的默认路由
192.168.0.254ipnatinside
10.0.0.5ipnatoutside
Iproute192.168.2.0255.255.255.010.0.0.6
创建ACL102,除去到达目的地192.168.2.0网段的其他数据流才被NAT转换,而192.168.2.0为需要通过vpn访问的网段。
RB(config)#access-list102denyipany192.168.2.00.0.0.255
RB(config)#access-list102permitipanyany
设置内部符合ACL102的数据流进行NAPT,interfaceFastEthernet0/1的IP作为转换的IP,并配置NAT方式为NAPT
RB(config)#ipnatinsidesourcelist102interfaceFastEthernet0/1overload
(4)基本连通性测试。
本测试的测试pc为RB内部ip地址为192.168.0.233的主机(网关:
192.168.0.254),通过ping命令,测试到其他网络的连通性。
如果测试失败,请检查设备配置,确认设备配置无误。
A、测试到网关即RB内部网络接口F0/0的连通性
B、测试到RB外部网络接口F0/1的连通性
C、测试到RA外部网络接口F0/1的连通性
D、测试到RA内部网络接口F0/0的连通性
第二步L2TP配置及其验证
(1)RA路由器L2TP服务器端配置
配置用户信息用户名shanghai,密码shanghai,为对试图远程L2TP接入本地的客户端进行用户身份验证
创建本地地址池vpnuser,地址范围192.168.2.100-192.168.2.200,为远程VPN客户端用户在没有设置在VPN内使用的ip地址时分配地址
Iplocalpoolvpnuser192.168.2.100192.168.2.200
创建virtual-template1
Interfacevirtula-template1
选择PPP认证的种类,配置PPP认证使用pap
Pppauthenticationpap
设置最大传输单元为1400(命令:
mtu1400)
interfacevirtual-ppp1
Mtu1400
配置与F0/0共用一个ip地址
Ipunnumberedfastethernet0/0
配置对等ip地址使用地址池vpnuser,给VPN客户端从VPN地址池中随机分配一个地址
Peerdefaultipaddresspoolvpnuser
启用vpdn功能
Vpdnenable
创建vpdn-group组1
Vpdn-group1
允许接受远程客户端拨入
Accept-dialin
设置协议为L2TP协议
Protocoll2tp
关联virtual-template1
Virtual-template1
(2)RB路由器L2TP客户端配置
创建L2TP的一个类,类名为l2x
设置L2TP控制连接对应的本地主机名称shanghai
L2tp-classl2x
Hostnameshanghai
创建指定名称pw的pseudowire-class接口
Pseudowire-classpw
设置数据传输封装模式l2tpv2
Encapsulationl2tpv2
RB(config-pw-class)#protocoll2tpv212x
设置L2TP控制连接参数,引用12x
Protocoll2tpv212x
指定通道的本地接口(地址)为interfacef0/1
Iplocalinterfacef0/1
设置建立L2TP会话的virtual-ppp接口1
Interfacevirtual-ppp1
设置ip地址为协商模式——PPP支持IP地址的协商,在接入ISP访问Internet,此时与ISP相连接口的IP地址由ISP协商分配。
Ipaddressnegotiate
与L2TP服务器端设置相同的最大传输单元MTU
激活网络接口
定义该接口连接外部网络(即设置nat)
RB(config-if)#ipnatoutside
配置PAP认证客户端的用户名shanghai和口令shanghai发送到对端
设置pseudowire规则,远程LNS(l2tp网络服务器)的地址是10.0.0.6,全局标号为12,引用的Pseudowire-class的名称是PW。
Usernameshanghaipasswordshanghai
Pseudowire10.0.0.612pw-classpw
设置路由,指定到beijing总部网络192.168.2.0的访问通过virtual-PPP1接口
Iproute192.168.2.0255.255.255.0virtual-ppp1
定义访问控制列表,只允许VPN访问的ip数据包通过——即只允许所有访问目的地址为网段192.168.2.0的ip数据包通过
RB(config)#access-list101permitipany192.168.2.00.0.0.255
RB(config)#access-list101denyipanyany
配置动态NATP功能,所有VPN访问的数据通过Virtual-PPP1做NAT转发
RB(config)#ipnatinsidesourcelist101interfaceVirtual-PPP1overload
第三步VPN配置验证
A、相关日志信息
RA#
%UPDOWN:
InterfaceVirtual-Access1,changedstatetoup
!
当有客户端拨入时,服务端若能够打印如上信息则表示L2TP呼叫已经建立,即链路层UP,否则表示L2TP协商存在问题,应检查L2TP的相关配置并进行相关调试:
LineprotocolonInterfaceVirtual-Access1,changedstatetoup
若在如上信息之后立即打印如上信息则表示L2TP拨入成功,否则表示PPP协商和认证存在问题,应检查PPP相关配置,一般是认证或者IP地址配置问题
RB#
InterfaceVirtual-PPP1,changedstatetoup
LineprotocolonInterfaceVirtual-PPP1,changedstatetoup
RB出现如上两条日志,说明和对端L2TP服务器RA呼叫已经建立,L2TP拨入成功
B、showvpdn信息
我们可以使用showvpdn命令来显示当前的vpdn通道以及会话信息
RA#showvpdn
RB#showvpdn
C、测试VPN功能
在RA,RB路由器上打开所有vpdndebug命令。
(1)在RB内部的主机192.168.0.233/24访问RA的内部网络接口F2ip地址为192.168.2.254/24(即用在上海部的主机ping北极总部的内部网关),查看RA,RB的调试信息如下:
(2)L2TP建立过程的调试信息
RA调试信息
RA#debugvpdnerror
RA#debugvpdnevent
RA#debugvpdnl2x-data
RA#debugvpdnl2x-errors
RA#debugvpdnl2x-events
RA#debugvpdnl2x-packets
RA#debugvpdnpacket
RB调试信息
【参考配置】
RA#showrun
Buildingconfiguration...
Currentconfiguration:
977bytes
!
versionRGNOS10.3.00(3),Release(38104)(FriApr2515:
05:
03CST2008-ngcf49)
hostnameR1_RSR20_1
vpdnenable
vpdn-group1
DefaultL2TPVPDNgroup
accept-dialin
protocoll2tp
virtual-template1
noservicepassword-encryption
iplocalpoolvpnuser192.168.2.100192.168.2.200
interfaceSerial2/0
clockrate64000
interfaceFastEthernet0/0
ipaddress192.168.2.254255.255.255.0
duplexauto
speedauto
interfaceFastEthernet0/1
ipaddress10.0.0.6255.255.255.0
interfaceVirtual-Template1
mtu1400
pppauthenticationpap
ipunnumberedFastEthernet0/0
peerdefaultipaddresspoolvpnuser
routerospf4
redistributeconnectedroute-map11subnets
iproute192.168.0.0255.255.255.010.0.0.5
refparameter50400
linecon0
lineaux0
linevty04
login
end
RB#showrun
1212bytes
hostnameR1_RSR20_2
l2tp-class12x
hostnameshanghai
pseudowire-classpw
encapsulationl2tpv2
protocoll2tpv212x
iplocalinterfaceFastEthernet0/1
ipaccess-listextended101
10permitipany192.168.2.00.0.0.255
20denyipanyany
ipaccess-listextended102
10denyipany192.168.2.00.0.0.255
20permitipanyany
ipnatinside
ipaddress192.168.0.254255.255.255.0
ipnatoutside
ipaddress10.0.0.5255.255.255.0
interfaceVirtual-ppp1
pseudowire10.0.0.612pw-classpw
ipnatinsidesourcelist102interfaceFastEthernet0/1overload
ipnatinsidesourcelist101interfaceVirtual-ppp1overload
iproute192.168.2.0255.255.255.0Virtual-ppp1
评分标准
成绩范围
要求
得分
100分
能满意地履行该技能并能带领他人履行该技能
90-99分
能够满意地履行该技能并对特殊情况有初步适应能力
80-89分
能够以较快的速度和较高质量满意地履行该技能
70-79分
能够不需任务帮助或指导满意地履行该全能
60-69分
能够满意地履行该技能,但需要定期的帮助或指导
60分以下
能够履行该技能的某些部分,但需帮助或指导才能履行全部技能
升级会员 