华为 MSR系列路由器 L2TP+IPsec+PPPOE实现一总部、多分通信
一、组网:
二、客户需求
分支通过PPPOE拨上LAC,并触发LAC和LNS建立L2TP隧道,要求分支和总部的内网可以互访。
三、设计方案
当拨号成功以后,总部网关LNS会给分支网关client分配一个IP地址,这时候他们之间就可以通信了。这个时候总部LNS只会有分支网关的路由,而不会有分支内网的路由,如果要实现总部内网和分支内网间的通信还是存在问题的,这个时候就要在总部配置一条目的地址为分支内网的静态路由,下一条指向分支网关,但是分支网关的IP地址是总部LNS这边的地址池里面动态分配的,所以下一条无法定义为具体的IP地址,只能定义为虚模板。不过这是一总部多分支的组网,所有的L2TP连接都是用的同一虚模板,所以无法满足用同一个下一跳地址实现和多个分支的通信。在这种情况下只能在L2TP上复用IPsec来实现路由功能,在LNS的虚接口virtual-template上下发IPsec策略,不同目的地址的数据流会触发不同的acl来和不同的IPsec对等体(分支)通信,这样就可以实现一对多的精确路由了。
四、配置
client-1配置 |
# //定义触发IPsec的数据流,匹配由本端内网始发的数据 acl number 3000 rule 0 permit ip source 172.16.2.0 0.0.0.255 # //配置IKE对等体 ike peer peer exchange-mode aggressive pre-shared-key 123 //以name的方式标示对等体 id-type name //标识对端name remote-name center //对等体的IP地址为LNS虚模板的地址 remote-address 100.0.0.1 //标识本端name local-name client # //创建安全提议,采用缺省配置 ipsec proposal def # //创建安全策略 ipsec policy policy 1 isakmp security acl 3000 ike-peer peer proposal def # //创建PPPOE拨号口 interface Dialer0 link-protocol ppp //验证方式为chap,并配置用户名和密码 ppp chap user pc@h3c ppp chap password simple pc //IP地址由PPP协商获得(由LNS分配) ip address ppp-negotiate //拨号用户,必须配置 dialer user pppoe //拨号捆绑,必须配置 dialer bundle 1 //应用安全策略,实现分支网关到总部网关的IPsec VPN ipsec policy policy # interface GigabitEthernet0/0 port link-mode route //在G0/0接口下使能pppoe-client,绑定拨号捆绑 pppoe-client dial-bundle-number 1 # interface GigabitEthernet0/1 port link-mode route ip address 172.16.2.1 255.255.255.0 # //默认路由指向LNS ip route-static 0.0.0.0 0.0.0.0 100.0.0.1 # |
Client-2配置 |
# //定义触发IPsec的数据流,匹配由本端内网始发的数据 acl number 3000 rule 0 permit ip source 172.16.3.0 0.0.0.255 # //配置IKE对等体 ike peer peer exchange-mode aggressive pre-shared-key 123 //以name的方式标示对等体 id-type name //标识对端name remote-name center //peer对等体的IP地址为LNS虚模板的地址 remote-address 100.0.0.1 //标识本端name local-name client # //创建安全提议,采用缺省配置 ipsec proposal def # //创建安全策略 ipsec policy policy 1 isakmp security acl 3000 ike-peer peer proposal def # //创建PPPOE拨号口 interface Dialer0 link-protocol ppp //验证方式为chap,并配置用户名和密码 ppp chap user pc2@h3c ppp chap password simple pc2 //IP地址由PPP协商获得(由LNS分配) ip address ppp-negotiate //拨号用户,必须配置 dialer user pppoe //拨号捆绑,必须配置 dialer bundle 1 //应用安全策略,实现分支网关到总部网关的IPsec VPN ipsec policy policy # interface GigabitEthernet0/0 port link-mode route //在G0/0接口下使能pppoe-client,绑定拨号捆绑 pppoe-client dial-bundle-number 1 # interface GigabitEthernet0/1 port link-mode route ip address 172.16.3.1 255.255.255.0 # //默认路由指向LNS ip route-static 0.0.0.0 0.0.0.0 100.0.0.1 # |
LAC配置 |
# //使能L2TP,必须配置 l2tp enable # //创建认证域 domain h3c access-limit disable state active idle-cut disable self-service-url disable # //为各个分支创建用户 local-user pc password simple pc service-type ppp local-user pc2 password simple pc2 service-type ppp # //L2TP组 l2tp-group 1 //不进行隧道认证 undo tunnel authentication //指定LNS的地址及发起L2TP隧道连接的域名 start l2tp ip 1.0.0.1 domain h3c # interface Ethernet0/0 port link-mode route //将PPPoE服务器与虚模板0绑定 pppoe-server bind Virtual-Template 0 # interface Ethernet0/1 port link-mode route ip address 2.0.0.1 255.255.255.0 # interface Virtual-Template0 //配置虚模板0的ppp认证方式和认证域 ppp authentication-mode chap domain h3c # |
RTD配置 |
# //使能L2TP l2tp enable # //配置认证域 domain h3c access-limit disable state active idle-cut disable self-service-url disable //在域内配置IP地址池,用于分配给client ip pool 1 100.0.0.2 100.0.0.255 # //配置IKE对等体 ike peer peer exchange-mode aggressive pre-shared-key 123 //用name标识对端 id-type name //配置对端name remote-name client //配置本端name local-name center # //配置安全提议,采用缺省配置 ipsec proposal def # //采用策略模板的方式 ipsec policy-template test 1 ike-peer peer proposal def # //根据策略模板test创建安全策略policy ipsec policy policy 1 isakmp template test # //为分支创建用户 local-user pc password simple pc service-type ppp local-user pc2 password simple pc2 service-type ppp # //L2TP组 l2tp-group 1 //不进行隧道验证 undo tunnel authentication //按照虚模板0来接受L2TP连接 allow l2tp virtual-template 0 # //虚模板0 interface Virtual-Template0 //对h3c域的用户进行ppp的chap认证 ppp authentication-mode chap domain h3c //指定对端地址为地址池中的地址 remote address pool 1 ip address 100.0.0.1 255.255.255.0 //下发安全策略来实现路由功能 ipsec policy policy # interface GigabitEthernet0/0 port link-mode route ip address 1.0.0.1 255.255.255.0 # //配置一条默认路由来实现和分支内网的互通 ip route-static 0.0.0.0 0.0.0.0 Virtual-Template0 # |
四、配置关键点
1. 配置client的时候,要配置一条默认路由,下一条指向LNS虚模板的地址。
2. 配置LNS的安全策略的时候,使用模板,不用配置acl。
3. 分别在分支网关的拨号口和总部网关(LNS)的虚模板接口上下发安全策略。
4. 总部网关(LNS)上要配置一条出口为虚模板0的默认路由,结合该接口上下发的安全策略给目的地址为分支内网的数据流指路。
(责任编辑:admin)
发表评论