VPDN:L2TP技术介绍-阿里云开发者社区

开发者社区> 云计算> 正文
登录阅读全文

VPDN:L2TP技术介绍

简介:

一、简单介绍

在PPP(点到点协议)中,1层物理链路建立和2层数据链路信息是可分离的。VPDN应用上述原理,使ISP可以通过3层网络把用户之间通过2层设备(链路访问集中器,LAC),并通过IP封装PPP帧转发到真正的PPP终结设备(链路网络服务器,LNS),从而建立完整的PPP链路。在用户端看来,该PPP链路是直接连接到后端二层终接设备的,其间没有三层信息交换。

虚拟拨号专网(VPDN)属于LAC与LNS之间的隧道协议。LAC与LNS是三层设备,因此上述两者可以部署在IP网络内。VPDN包含有两种技术,其中一种就是本文的核心部分:L2TP(2层隧道协议)。

wKioL1TaNBXS4h_5AAFMb5M0UXY503.jpg

如图,Client需要与远程网络LNS建立PPP二层连接,但2层链路的终结点在LAC上。一方面,Client与LAC继续保持PPP链路的建立;另一方面,LAC通过VPDN,在3层链路上与LNS建立L2TP隧道,并在Client和LNS之间转发通过IP封装的PPP帧。


二、配置

(一)Client拨号端

(一)物理端口

interface phy-intf

以太网口

pppoe enable

pppoe dialer-pool-member pool-number

其它口

encapsulation ppp

dialer pool pool-number

(二)拨号访问列表

dialer-list dialer-list-number protocol ip permit

(三)拨号端口

interface dialer 0

ip address negotiated

#dialer参数

dialer pool-number pool-number

dialer-group dialer-list-number

#ppp参数

ppp authentication chap callin

//注意,这里设置的domain必须与LACVPDN-GROUP内设置的domain参数一致,否则LAC无法激活到达LNSVPDN隧道

ppp chap hostname name@domain

ppp chap password ppp-password

二、链路集中连接LAC

(一)物理端口配置

interface phy-intf

以太网口

pppoe enable

pppoe-client dialer-pool-member pool-number

其它端口

encapsulation ppp

dialer pool-member pool-number

若使用以太网口,需要添加bba组,引用一个虚拟模板进行配置;使用其它口忽略该步骤

bba-group bba-gp-name global

 virtual-template intf-vt-num

interface virtual-template intf-vt-num

 ppp authentication chap

(二)拨号访问列表

dialer-list dialer-list-number protocol ip permit

(三)拨号虚拟端口

interface dialer0

encapsulation ppp

#dialer配置

dialer pool pool-number//物理端口引用的dial pool

dialer-group dialer-list-number

#ppp验证。这里只配置chap验证命令,不配置具体验证账号。验证账号在LNS

ppp authentication chap

(四)VPDN

vpdn enable

vpdn-group group-name

 request-dialin

  protocol l2tp

 domain domain//必须与ClientDialer口所配置的domain一样。否则无法激活VPDN隧道。

 initiate-to ip ip-address

下面两条命令必须配至少其中一条: 

l2tp tunnel password l2tp-password

local name local-host-name

(五)AAA认证

aaa new-model

aaa authentication ppp default local

aaa authorization network default local

(六)本地访问账号

username LAC password vpdn-peer-password

username LNS password vpdn-peer-password

#绿色字体必须完全一致

三、链路网络服务器LNS

(一)AAA认证

PPP链路进行认证,通过后授权访问本地网络

aaa new-model

aaa authentication ppp default local

aaa authorization network default local

(二)本地访问账号

3个账号,2个是与LAC建立VPDN隧道的,1个是与Client建立PPP链路的

user LNS password vpdn-peer-password

user LAC password vpdn-peer-password

user name@domain password ppp-password

(三)分配给对端拨号客户的地址池

ip local pool ppp_pool_num 192.168.0.1 192.168.0.100

(四)VPDN配置

vpdn enable

vpdn-group l2cp-vg-name

 接收连接,所以只能

 accept-dialin

  protocol l2tp

  该参数与之后的l2tp-vt-num必须一致

  virtual-template 1000

 #accept-dialer只能指定对方主机名

 terminate from host HOST

下面两条命令必须配至少其中一条: 

l2tp tunnel password l2tp-password

local name local-host-name

(五)虚拟模板

interface virtual-template intf-vt-num

 ip unnumbered Loopback

 peer default ip address pool POOL-NAME

 ppp authentication chap

三、检查验证

(一)在Client中可以使用show pppoe session检查PPPOE链路状态:

 wKiom1TaM1Cj0YZTAACQnEUBU50398.jpg

(二)LAC/LNS中可以使用show vpdn session l2tp检查L2TP的隧道状态

 wKioL1TaNFCRrLElAAC3Ee6Tw5M063.jpg

(三)LAC/LNS中使用debug vpdn l2x-events可以看到L2TP隧道建立过程。可以看到L2TP建立所经过的三个过程:IDLEWAIT-CTL-REPLYESTABLISHED

wKioL1TaM5zRW16_AAWObqE6wOY042.jpg 

 


本文转自 gole_huang 51CTO博客,原文链接:http://blog.51cto.com/golehuang/1613520


版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
云计算
使用钉钉扫一扫加入圈子
+ 订阅

时时分享云计算技术内容,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。

其他文章
最新文章