A continuación, vamos a hacer un ejemplo de una pequeña red en la que se va a configurar L2TP para implementar comunicación entre la sede y los usuarios en diferentes dominios de sucursal.
Vamos a tomar la siguiente topología como ejemplo:
Este ejemplo se aplica a todos los modelos de Router AR de V200R002C00 y versiones posteriores.
Como se muestra en la topología, los usuarios de las sucursales de la empresa LAN1 y LAN2 se conectan a LAC mediante PPPoE e inician conexiones con la sede de la empresa LAN3.
Se configuran dos dominios en LAC: aaa.com y bbb.com. Los usuarios en el dominio aaa.com se encuentran en el segmento de red 10.1.1.0/24 y los usuarios en el dominio bbb.com se encuentran en el segmento de red 10.2.1.0/24.
Hay una ruta accesible desde el LNS al LAC y se establece un túnel entre el LNS y el LAC. Después de autenticar a los usuarios de acceso, el LNS asigna direcciones IP y direcciones de puerta de enlace a los usuarios de acceso.
Configuración de LAC
sysname LAC
#
l2tp enable
#
aaa
authentication-scheme lmt
domain aaa.com
authentication-scheme lmt
domain bbb.com
authentication-scheme lmt
local-user user1@aaa.com password cipher %@%@/|S75*sxcH2@FQL=wn#2@I`a%@%@
local-user user1@aaa.com service-type ppp
local-user user1@aaa.com privilege level 0
local-user user2@bbb.com password cipher %@%@qh-<X%_2QB+^!UR+UkxUA/6<%@%@
local-user user2@bbb.com privilege level 0
local-user user2@bbb.com service-type ppp
#
interface Virtual-Template1
ppp authentication-mode chap
#
interface GigabitEthernet1/0/0
ip address 202.1.1.2 255.255.255.0
#
interface GigabitEthernet2/0/0
pppoe-server bind Virtual-Template 1
#
interface GigabitEthernet3/0/0
pppoe-server bind Virtual-Template 1
#
l2tp-group 1
tunnel password cipher %@%@/-#)Lg[S4F:#2~ZNvqa$]\DL%@%@
tunnel name lac1
start l2tp ip 202.1.1.1 domain aaa.com
#
l2tp-group 2
tunnel password cipher %@%@EB~j7Je>;@>uNr''D=J<]\WL%@%@
tunnel name lac2
start l2tp ip 202.1.1.1 domain bbb.com
#
Configuración de LNS
sysname LNS
#
l2tp enable
#
ip pool 1
gateway-list 10.1.1.1
network 10.1.1.0 mask 255.255.255.0
#
ip pool 2
gateway-list 10.2.1.1
network 10.2.1.0 mask 255.255.255.0
#
aaa
local-user user1@aaa.com password cipher %@%@/|S75*sxcH2@FQL=wn#2@I`a%@%@
local-user user1@aaa.com privilege level 0
local-user user1@aaa.com service-type ppp
local-user user2@bbb.com password cipher %@%@qh-<X%_2QB+^!UR+UkxUA/6<%@%@
local-user user2@bbb.com privilege level 0
local-user user2@bbb.com service-type ppp
#
interface Virtual-Template1
ppp authentication-mode chap
remote address pool 1
ip address 10.1.1.1 255.255.255.0
#
interface Virtual-Template2
ppp authentication-mode chap
remote address pool 2
ip address 10.2.1.1 255.255.255.0
#
interface GigabitEthernet1/0/0
ip address 202.1.1.1 255.255.255.0
#
interface GigabitEthernet2/0/0
ip address 10.3.1.1 255.255.255.0
#
l2tp-group 1
allow l2tp virtual-template 1 remote lac1
tunnel password cipher %@%@eS*)0t-0D!,~pa;IPll=3liC%@%@
tunnel name lns
#
l2tp-group 2
allow l2tp virtual-template 2 remote lac2
tunnel password cipher %@%@Cyor,=OAk#tWwA;%2\!W3lwj%@%@
tunnel name lns
#
Para verificar la configuración ejecute el comando display l2tp session en el LNS. Puedes ver que las dos sesiones están arriba.
PC1, PC2 y PC3 se pueden dar ping satisfactoriamente.
Se crea un grupo L2TP para cada dominio y diferentes grupos L2TP tienen diferentes nombres de túnel.
Un grupo L2TP utiliza la autenticación de túnel de forma predeterminada y las contraseñas en ambos extremos del túnel deben ser las mismas.
