SE800配置指南 - 图文(4)

! 3.5 L2TP配臵 L2TP又称VPDN，根据通道建立的方式不同可分为静态或动态两种；静态L2TP由LAC侧根据用户名@域名来指定隧道参数，而动态L2TP则由LAC侧将用户名发送至radius服务器，由radius服务器对用户进行认证并下发与用户关联的L2TP隧道参数给LAC,再由LAC来为用户建立隧道。 3.5.1 静态L2TP配臵 配臵环境说明 LAC侧为125.40.255.3 LNS侧为125.40.255.1，均使用loopback地址作为隧道终结点。 用户通过pppoe软件拨入LAC，LAC通过用户名中的后缀来发起l2tp遂道连接，LAC与LNS建立遂道后由LNS对用户进行再次认证和IP地址分配。 LAC侧的配臵： LAC侧的配臵任务包括以下： 1. 设定域； 2. 设定用户遂道认证选项； 3. 设定遂道参数； context local domain l2tp-test ! aaa authentication subscriber none ！ interface lo loopback ip add 125.40.255.3 ! subscriber default ip address pool tunnel domain ! l2tp-peer name LNS1 media udp-ip remote ip 125.40.255.1 local 125.40.255.3 指定对端地址和LNS的名称 local-name LAC1 指定本端LAC的名称 function lac-only 指定本端为LAC侧 domain l2tp-test 指定通过哪个域名来建立L2TP隧道 ! LNS侧的配臵： 1. 配臵域名； 2. 配臵地址池； 3. 配臵遂道参数； 4. 配臵用户参数； domain l2tp-test aaa authentication subscriber none ! interface lo loopback ip add 125.40.255.1 ! interface l2tp-LNS multibind 配臵L2TP用户使用的地址池 ip address 10.0.0.1/24 ip pool 10.0.0.0/24 name l2tp-pool 给地址池命名 ! subscriber name lisi 配臵L2TP用户 password lisi ip address pool name l2tp-pool 从指定地址池获取 tunnel domain 通过域名来建立L2TP隧道 ! l2tp-peer name LAC1 media udp-ip remote ip 125.40.255.3 local 125.40.255.1 local-name LNS1 function lns-only domain l2tp-test ! 这样当用户用lisi@l2tp-test和密码lisi登录的时候就会触发l2tp遂道的建立。拨号成功后用户将获得10.0.0.0/24上的一个IP地址。 [local]LNS#show subscribers active all Circuit L2TP LNS 5927048 Internal Circuit 255/16:1023:63/5/2/5927048 Current port-limit unlimited ip pool l2tp-pool (applied from sub_default) ip address 10.0.0.8 (applied from pool) tunnel type 3 (applied) tunnel medium type 1 (applied) tunnel server endpoint 125.40.255.1 (applied) tunnel client endpoint 125.40.255.3 (applied) tunnel server auth ID LNS1 (applied) tunnel client auth ID LAC1 (applied) tunnel max sessions 65535 (applied) tunnel max tunnels 32767 (applied) tunnel function 2 (applied) tunnel connection LAC1:23447:62740 (applied) tunnel vendor avp (applied) tunnel vendor avp (applied) [local] LNS #show subscribers address username lisi@l2tp-test [KHost Interface Nhop cct 10.0.0.8 l2tp-LNS L2TP LNS 5927048 [local]LNS#show l2tp peer [K Conf. Tun Ses Peer Name Local Name Role Source Count Count -------------------- -------------------- ---- ------ ----- ----- LAC1 LNS1 LNS Local 1 2 3.5.2 动态L2TP配臵 本次项目中L2TP业务中的认证，隧道参数，隧道发起均由radius来指定。Se800作为LAC，将用户名发送给radius服务器，radius服务器返回L2TP属性值给LAC,然后 se800根据这些参数来为用户建立到LNS的L2TP tunnel连接，根据域建立相应的通道。 图3-4-4 动态l2tp建立过程 配臵如下： ! context l2tp 进入VR配臵模式 domain l2tp-test ! radius server 221.13.223.140 key henancnc oldports radius attribute nas-ip-address interface dial-loopback aaa authentication subscriber radius aaa accounting subscriber radius aaa authorization tunnel radius 指定通过radius来作l2tp授权 radius accounting server 221.13.223.140 key henancnc oldports ! subscriber default ip address pool tunnel domain 指定用户通过domain来进行l2tp遂道请求 ! 将要进行拨号的用户名和密码告诉radius管理员，让管理员添加L2TP用户即可实现。 通过show sub scriber active和show l2tp-peer来查看用户隧道建立状态。 3.6 MPLS/VPN配臵范例 通过BGP协议承载mpls VPN， 按照RD来动态建立BGP VPN通道，通过BGP的邻居关系来灵活控制VPN的终结点，SE800作为PE路由器用来提供IP网络到MPLS网络的边缘，河南网通骨干网上的GSR作为P路由器来完成线速转发MPLS/VPN数据。 MPLS/VPN应用如下图所示： 图3-6-1 MPLS BGP/VPN配臵环境 mpls bgp/vpn通过在现网上运行承载ipv4 vpn的BGP协议来交换各VPN内网的路由信息，与现役的BGP IPV4路由协议无冲突，要保证TCP连接及MPLS标签路径的连通性就可以灵活部署VPN. Bgp/vpn在部署时与BGP路由协议有许多相似之处，其中之一就是邻居的建立模式，可以根据需要灵活地设计不同的邻居关系来达到您的应用要求。 说明： VRF:VPN routing/forwarding instance，VPN路由表及相关的VPN IP转发表被统称为VPN路由和转发实例（VRF） VPN VR是创建给某一VPN用户使用的虚拟路由器 RD：router distinguish路由标识符,是用来确定隧道唯一性的标识符 3.6.1 PE路由器(SE800)配臵 目前全省尚未部署业务路由器，而思科6509不具备PE路由器的能力，因此在本期工程完成SE800的部署后，可使用SE800作为PE路由器在全省范围内开通MPLS业务。 配臵任务包括 １．启用MPLS和LDP协议 ２．使能BGP VPN功能 ３．创建VPN虚拟路由器：创建VPN接口，创建VPN路由，建立VPN通道 ４．将VPN接口绑定到物理接口 192.168.100.1的配臵： context local interface lo-loopback local-loopback ip add 125.40.255.19/32 ! router bgp 65130 ! peer-group mpls-vpn internal 建立名为mpls-vpn的BGP邻居组 update-source local-loopback next-hop-self no address-family ipv4 unicast address-family ipv4 vpn 启用BGP VPN功能 ! neighbor 125.40.255.59 interna 指定BGP VPN邻居地址 peer-group mpls-vpn 将邻居放入特定组 ! 全局模式下： context VPN1 vpn-rd 125.40.255.19:10001 建立名为VPN1的VR，指定RD（路由标识符） interface BGP-VPN-INT-1 mul ip address 192.168.100.1/24 创建VPN用户网关 router bgp vpn 启用BGP VPN协议用来传递私网路由信息 address-family ipv4 unicast export route-target 10001:1 (用作路由导出) import route-target 10001:1 redistribute static redistribute connected 全局模式下： port ethernet 6/1 绑定物理接口 dot1q pvc 999 bind interface BGP-VPN-INT-1 VPN1