广域网VPNL2TP网络综合实验.docx
《广域网VPNL2TP网络综合实验.docx》由会员分享,可在线阅读,更多相关《广域网VPNL2TP网络综合实验.docx(37页珍藏版)》请在冰点文库上搜索。
广域网VPNL2TP网络综合实验
实验七广域网VPN(L2TP)网络综合实验
【实验名称】
广域网VPN(L2TP)网络综合实验
【实验原型】
某金融机构全省VPN网络建设(采用设备:
RG-R3662路由器、RG-R2690路由器、RG-R2624路由器)
【实验目的】
在实验室环境根据具体真实网络建设搭建模拟环境进行综合应用实验,指导学员如何规划实施广域网VPN(L2TP)网络建设规划
【预备知识】
L2TP原理基础,静态路由、L2TPVPN、ACL访问控制、安全控制等
【背景描述】
【实现功能】
实现各地市VPN互联互通
【实验拓扑】
【实验设备】
核心设备:
R36621台;
接入设备:
R26242台;S3550-241台;
实验PC:
3台;
【实验步骤】
第一步路由器基本配置
(1)R3642-A路由器基本配置
Red-Giant>
!
进入用户模式
Red-Giant>en
Red-Giant#
!
进入特权模式
Red-Giant#conft
!
进入全局配置模式
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Red-Giant(config)#hostnameR3642-A
!
配置主机名
R3642-A(config)#enablesecretstar
!
配置特权模式密码
R3642-A(config)#interfaceFastEthernet0
!
进入F0接口配置模式
R3642-A(config-if)#ipaddress10.0.0.10255.255.255.252
!
为F0分配ip地址
R3642-A(config-if)#noshut
!
激活网络接口
R3642-A(config-if)#exit
!
退出接口配置模式
R3642-A(config)#interfaceFastEthernet1
R3642-A(config-if)#ipaddress10.0.0.6255.255.255.252
R3642-A(config-if)#noshut
R3642-A(config-if)#exit
!
进入F1接口配置模式,为F1分配ip地址,激活网络接口并退出接口配置模式
R3642-A(config)#interfaceFastEthernet2
R3642-A(config-if)#ipaddress192.168.2.254255.255.255.0
R3642-A(config-if)#noshut
R3642-A(config-if)#exit
!
进入F2接口配置模式,为F2分配ip地址,激活网络接口并退出接口配置模式
R3642-A(config)#iproute192.168.0.0255.255.255.010.0.0.5
!
配置到R2624-B内部网络的静态路由
R3642-A(config)#iproute192.168.1.0255.255.255.010.0.0.9
!
配置到R2624-C内部网络的静态路由
R3642-A(config)#linevty04
!
进入vty配置模式
R3642-A(config-line)#passwordstar
!
配置telnet登陆密码为star
R3642-A(config-line)#login
!
设置远程登陆密码
R3642-A(config-line)#end
R3642-A#showipinterfacebrief
InterfaceIP-AddressOK?
MethodStatusProtocol
FastEthernet010.0.0.10YESmanualupup
FastEthernet110.0.0.6YESmanualupup
FastEthernet2unassignedYESunsetadministrativelydowndown
FastEthernet3192.168.2.254YESmanualupup
!
验证R3642-A接口配置信息包括ip地址和端口状态
(2)R3642-B路由器基本配置
Red-Giant>
Red-Giant>en
Red-Giant#
Red-Giant#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Red-Giant(config)#enablepasswordstar
Red-Giant(config)#linevty04
Red-Giant(config-line)#passwordstar
Red-Giant(config-line)#login
Red-Giant(config-line)#exit
Red-Giant(config)#hostnameR2624-B
R2624-B(config)#interfacefastEthernet1
R2624-B(config-if)#ipaddress10.0.0.5255.255.255.252
R2624-B(config-if)#ipnatoutside
!
定义F1接口连接外部网络
R2624-B(config-if)#noshutdown
R2624-B(config-if)#exit
R2624-B(config)#interfacefastEthernet0
R2624-B(config-if)#ipaddress192.168.0.254255.255.255.0
R2624-B(config-if)#ipnatinside
!
定义F0接口连接内部网络,此网络的地址需要被转换
R2624-B(config-if)#noshutdown
R2624-B(config-if)#exit
R2624-B(config)#iproute0.0.0.00.0.0.010.0.0.6
!
配置默认路由
R2624-B(config)#
R2624-B(config)#access-list102denyipany192.168.2.00.0.0.255
!
创建ACL102,定义使用Fa1为NAT的数据流。
192.168.2.0为需要通过vpn访问的网段
R2624-B(config)#access-list102permitipanyany
!
定义访问控制列表,定义访问列表,只有匹配该列表的地址才被转换
R2624-B(config)#
R2624-B(config)#ipnatinsidesourcelist102interfaceFastEthernet1overload
!
配置NAT方式为NAPT
R2624-B(config)#end
R2624-B#
R2624-B#showipinterfacebrief
InterfaceIP-AddressOK?
MethodStatusProtocol
FastEthernet0192.168.0.254YESmanualupup
FastEthernet110.0.0.5YESmanualupup
!
验证R2624-B接口配置信息,包括ip地址,端口状态等信息
(3)R3642-C路由器基本配置
Red-Giant>
Red-Giant>en
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
Red-Giant#hostnameR2624-C
R2624-C(config)#
R2624-C(config)#enablepasswordstar
R2624-C(config)#
R2624-C(config)#interfaceFastEthernet0
R2624-C(config-if)#ipaddress192.168.1.254255.255.255.0
R2624-C(config-if)#ipnatinside
R2624-C(config-if)#noshut
R2624-C(config-if)#exit
R2624-C(config)#
R2624-C(config)#interfaceFastEthernet1
R2624-C(config-if)#ipaddress10.0.0.9255.255.255.252
R2624-C(config-if)#noshut
R2624-C(config-if)#ipnatoutside
R2624-C(config-if)#exit
R2624-C(config)#
R2624-C(config)#iproute0.0.0.00.0.0.010.0.0.10
!
配置默认路由
R2624-C(config)#
R2624-C(config)#access-list102denyipany192.168.2.00.0.0.255
R2624-C(config)#access-list102permitipanyany
!
定义访问控制列表
R2624-C(config)#ipnatinsidesourcelist102interfaceFastEthernet1overload
R2624-C(config)#
R2624-C(config)#linevty04
R2624-C(config-line)#passwordstar
R2624-C(config-line)#login
R2624-C(config-line)#end
R2624-C#
R2624-C#showipinterfacebrief
InterfaceIP-AddressOK?
MethodStatusProtocol
FastEthernet0192.168.1.254YESNVRAMupup
FastEthernet110.0.0.9YESNVRAMupup
!
验证R2624-C的接口配置信息,包括ip地址,端口状态等信息
(4)基本连通性测试。
本测试的测试pc为R2624-B内部ip地址为192.168.0.233的主机,通过ping命令,测试到其他网络的连通性。
如果测试失败,请检查设备配置,确认设备配置无误。
D:
\>ipconfig
Windows2000IPConfiguration
Ethernetadapter本地连接:
Connection-specificDNSSuffix.:
IPAddress............:
192.168.0.233
SubnetMask...........:
255.255.255.0
DefaultGateway.........:
192.168.0.254
D:
\>ping192.168.0.254
Pinging192.168.0.254with32bytesofdata:
Replyfrom192.168.0.254:
bytes=32time<10msTTL=255
Control-C!
使用control和C的组合键中断ping测试
^C
!
测试到网关即R2624-B内部网络接口F0的连通性
D:
\>ping192.168.1.254
Pinging192.168.1.254with32bytesofdata:
Replyfrom192.168.1.254:
bytes=32time=2msTTL=253
Control-C
^C
!
测试到R2624-C内部网络接口F0的连通性
D:
\>ping10.0.0.5
Pinging10.0.0.5with32bytesofdata:
Replyfrom10.0.0.5:
bytes=32time<10msTTL=255
Control-C
^C
!
测试到网关即R2624-B外部网络接口F1的连通性
D:
\>ping10.0.0.6
Pinging10.0.0.6with32bytesofdata:
Replyfrom10.0.0.6:
bytes=32time=2msTTL=254
Control-C
^C
!
测试到网关即R3642-A外部网络接口F1的连通性
D:
\>ping10.0.0.9
Pinging10.0.0.9with32bytesofdata:
Replyfrom10.0.0.9:
bytes=32time=2msTTL=253
Control-C
^C
!
测试到R2624-C外部网络接口F1的连通性
D:
\>ping10.0.0.10
Pinging10.0.0.10with32bytesofdata:
Replyfrom10.0.0.10:
bytes=32time=2msTTL=254
Control-C
^C
!
测试到网关即R3642-A外部网络接口F0的连通性
第二步L2TP配置及其验证
(1)R3642-A路由器L2TP服务器端配置
R3642-A#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R3642-A(config)#vpdnenable
!
启用vpdn功能
R3642-A(config)#
R3642-A(config)#vpdn-group1
!
创建vpdn-group组
R3642-A(config-vpdn)#
!
进入vpdn-group接口配置模式
R3642-A(config-vpdn)#accept-dialin
!
允许接受远程客户端拨入
R3642-A(config-vpdn-acc-in)#protocoll2tp
!
设置协议为L2TP协议
R3642-A(config-vpdn-acc-in)#virtual-template1
!
关联virtual-template1
R3642-A(config-vpdn-acc-in)#exit
!
退出accept-dialin配置模式
R3642-A(config-vpdn)#exit
!
退出vpdn-group接口配置模式
R3642-A(config)#
R3642-A(config)#usernameshanghaipassword0shanghai
!
配置用户信息,是为了对试图远程L2TP接入本地的客户端进行用户身份验证
R3642-A(config)#usernamexianpassword0xian
!
配置用户信息,是为了对试图远程L2TP接入本地的客户端进行用户身份验证
R3642-A(config)#
R3642-A(config)#iplocalpoolVPDNUser192.168.2.100192.168.2.200
!
创建本地地址池,为远程VPN客户端用户在没有设置在VPN内使用的ip地址时分配地址
R3642-A(config)#interfacevirtual-template1
!
创建virtual-template1
R3642-A(config-if)#mtu1400
!
设置最大传输单元
R3642-A(config-if)#ipunnumberedfastEthernet2
!
配置与F2共用一个ip地址
R3642-A(config-if)#peerdefaultipaddresspoolVPDNUser
!
给VPN客户端从VPN地址池中随机分配一个地址
R3642-A(config-if)#exit
R3642-A(config)#end
(2)R2624-A路由器L2TP客户端配置
R2624-B#conft
Enterconfigurationcommands,oneperline.EndwithCNTL/Z.
R2624-B(config)#l2tp-class12x
!
创建L2TP的一个类,类名为l2x
R2624-B(config-l2tp-class)#hostnameshanghai
!
设置L2TP控制连接对应的本地主机名称
R2624-B(config-l2tp-class)#exit
R2624-B(config)#
R2624-B(config)#pseudowire-classpw
!
创建指定名称的pseudowire-class接口
R2624-B(config-pw-class)#encapsulationl2tpv2
!
设置数据传输封装模式
R2624-B(config-pw-class)#protocoll2tpv212x
!
设置L2TP控制连接参数
R2624-B(config-pw-class)#iplocalinterfacef1
R2624-B(config-pw-class)#exit
R2624-B(config)#
R2624-B(config)#interfacevirtual-ppp1
!
创建指定的virtual-ppp接口设置建立L2TP会话的virtual-ppp接口
R2624-B(config-if)#ipaddressnegotiate
R2624-B(config-if)#ipmtu1400
R2624-B(config-if)#noshutdown
R2624-B(config-if)#ipnatoutside
R2624-B(config-if)#ppppapsent-usernameshanghaipassword0shanghai
R2624-B(config-if)#pseudowire10.0.0.612pw-classpw
!
设置pseudowire规则
R2624-B(config-if)#exit
R2624-B(config)#
R2624-B#conft
R2624-B(config)#iproute192.168.2.0255.255.255.0virtual-PPP1
!
指定到beijing总部网络的访问通过virtual-PPP1接口
R2624-B(config)#access-list101permitipany192.168.2.00.0.0.255
R2624-B(config)#access-list101denyipanyany
!
定义访问控制列表
R2624-B(config)#ipnatinsidesourcelist101interfaceVirtual-PPP1overload
!
配置动态NATP功能
R2624-B(config)#exit
R2624-B#
(3)R2624-C路由器L2TP客户端配置
R2624-C(config)#
R2624-C(config)#l2tp-class12x
R2624-C(config-l2tp-class)#hostnamexian
R2624-C(config-l2tp-class)#exit
R2624-C(config)#
R2624-C(config)#pseudowire-classpw
R2624-C(config-pw-class)#encapsulationl2tpv2
R2624-C(config-pw-class)#protocoll2tpv212x
R2624-C(config-pw-class)#iplocalinterfaceFastEthernet1
R2624-C(config-pw-class)#exit
R2624-C(config)#
R2624-C(config)#interfaceVirtual-PPP1
R2624-C(config-if)#ipaddressnegotiate
R2624-C(config-if)#ipmtu1460
R2624-C(config-if)#ipnatoutside
R2624-C(config-if)#ppppapsent-usernamexianpassword0xian
R2624-C(config-if)#pseudowire10.0.0.1012pw-classpw
R2624-C(config-if)#exit
R2624-C(config)#
R2624-C(config)#iproute192.168.2.0255.255.255.0virtual-PPP1
R2624-C(config)#
R2624-C(config)#access-list101permitipany192.168.2.00.0.0.255
R2624-C(config)#access-list101denyipanyany
R2624-C(config)#ipnatinsidesourcelist101interfaceVirtual-PPP1overload
(4)VPN配置验证
A、相关日志信息
R3642-A#
%UPDOWN:
InterfaceVirtual-Access1,changedstatetoup
!
当有客户端拨入时,服务端若能够打印如上信息则表示L2TP呼叫已经建立,即链路层UP,否则表示L2TP协商存在问题,应检查L2TP的相关配置并进行相关调试:
%UPDOWN:
LineprotocolonInterfaceVirtual-Access1,changedstatetoup
!
若在如上信息之后立即打印如上信息则表示L2TP拨入成功,否则表示PPP协商和认证存在问题,应检查PPP相关配置,一般是认证或者IP地址配置问题
R2624-B#
%UPDOWN:
InterfaceVirtual-PPP1,changedstatetoup
%UPDOWN:
LineprotocolonInterfaceVirtual-PPP1,changedstatetoup
!
R2624-B出现如上两条日志,说明和对端L2TP服务器R3642-A呼叫已经建立,L2TP拨入成功
B、showvpdn信息
我们可以使用showvpdn命令来显示当前的vpdn通道以及会话信息
R3642-A#showvpdn
L2TP
升级会员 