l2tp 的呼叫可以由nas(网络接入服务器)主动发起,也可以由客户端发起。下面将分别针对这两种情况举例说明。 2.5.1 nas-initialized vpn
在接入服务器(nas)处对此用户进行验证,发现是vpn 用户,则由接入服务器向lns 发起隧道连接的请求。
在接入服务器与lns 隧道建立后,接入服务器把与vpn 用户已经协商的内容作为报文内容传给lns。
用户与公司总部间的通信都通过接入服务器与lns 之间的隧道进行传输。
在用户侧,在拨号网络窗口中输入vpn 用户名vpdnuser,口令hello,拨入号码为170。在拨号后弹出的拨号终端窗口中输入radius 验证的用户名username 和口令userpass。
# 在radius 服务器上设置一个用户名为username、口令为userpass 的vpn 用户,并设置相应的lns 侧设备的ip 地址(本例中lns 侧与通道相连接的以太口的ip 地址为202.38.160.2)。 # 将本端的设备名称定义为lac,需要进行通道验证,通道验证密码为tunnelpwd。 [h3c] local-user vpdnuser [h3c-luser-vpdnuser] password simple hello [h3c-luser-vpdnuser] service-type ppp [h3c-isp-system] scheme local [h3c-isp-system] ip pool 1 192.168.0.2 192.168.0.100 # 配置虚模板virtual-template 的相关信息。 [h3c] interface virtual-template 1 [h3c-virtual-template1] ip address 192.168.0.1 255.255.255.0 [h3c-virtual-template1] ppp authentication-mode chap domain system [h3c-virtual-template1] remote address pool 1 [h3c-l2tp1] allow l2tp virtual-template 1 remote lac [h3c-l2tp1] tunnel authentication [h3c-l2tp1] tunnel password simple tunnelpwd 2.5.2 client-initialized vpn
用户首先连接internet,之后,直接由用户向lns 发起tunnel 连接的请求。在lns 接受此连接请求之后,vpn 用户与lns 之间就建立了一条虚拟的tunnel。用户与公司总部间的通信都通过vpn 用户与lns 之间的tunnel 进行传输。
在用户侧主机上必须装有l2tp 的客户端软件,如winvpn client,并且用户通过拨号方式连接到internet。然后再进行如下配置(设置的过程与相应的客户端软件有关,以下为设置的内容):
# 在用户侧设置vpn 用户名为vpdnuser,口令为hello。 # 将lns 的ip 地址设为防火墙的internet 接口地址(本例中lns 侧与通道相连接的以太口的ip 地址为202.38.160.2)。 # 修改连接属性,将采用的协议设置为l2tp,将加密属性设为自定义,并选择chap验证,进行通道验证,通道的密码为:tunnelpwd。 [h3c] local-user vpdnuser [h3c-luser-vpdnuser] password simple hello [h3c-luser-vpdnuser] service-type ppp [h3c-isp-system] scheme local [h3c-isp-system] ip pool 1 192.168.0.2 192.168.0.100 # 配置虚模板virtual-template 的相关信息。 [h3c] interface virtual-template 1 [h3c-virtual-template1] ip address 192.168.0.1 255.255.255.0 [h3c-virtual-template1] ppp authentication-mode chap domain system [h3c-virtual-template1] remote address pool 1 [h3c-l2tp1] allow l2tp virtual-template 1 [h3c-l2tp1] tunnel authentication [h3c-l2tp1] tunnel password simple tunnelpwd | 
发表于 2012-3-19 15:40:41