Конфигурирование L2TP для AR с несколькими доменами

Спецификации

Данный пример применяется ко всем моделям AR V200R002C00 и более поздним версиям.

Требования к сети

Как показано на Рис. 1-1, пользователи на корпоративных филиалах LAN1 и LAN2 подключаются к LAC с использованием PPPoE и соединяется с штаб-квартирой LAN3.

На LAC сконфигурированы два домена: aaa.com и bbb.com. Пользователи в домене aaa.com расположены на сегменте сети 10.1.1.0/24 и пользователи в домене bbb.com расположены на сетевом сегменте 10.2.1.0/24.

Существует доступный маршрут от LNS к LAC, и между LNS и LAC устанавливается туннель. После аутентификации пользователей LNS назначает IP-адреса и адреса шлюзов пользователям доступа.

Рис. 1-1 Диаграмма сети многодоменного доступа

Процедура

Шаг 1 Сконфигурируйте LAC.

#
 sysname LAC
#
 l2tp enable  //Включите L2TP.
#
aaa
 authentication-scheme lmt
 domain aaa.com
  authentication-scheme lmt
 domain bbb.com
  authentication-scheme lmt 
 local-user user1@aaa.com password cipher %@%@/|S75*sxcH2@FQL=wn#2@I`a%@%@
 local-user user1@aaa.com service-type ppp
 local-user user1@aaa.com privilege level 0
 local-user user2@bbb.com password cipher %@%@qh-<X%_2QB+^!UR+UkxUA/6<%@%@
 local-user user2@bbb.com privilege level 0
 local-user user2@bbb.com service-type ppp  //Настройте локальные имена пользователей и паролей на сервере PPPoE.
#
interface Virtual-Template1  //Создайте виртуальный шаблон интерфейса VT1 и настройте параметры для сервера PPPoE.
 ppp authentication-mode chap  //Установите режим аутентификации на CHAP.
#
interface GigabitEthernet1/0/0
 ip address 202.1.1.2 255.255.255.0
#
interface GigabitEthernet2/0/0
 pppoe-server bind Virtual-Template 1  //Включите сервер PPPoE на интерфейсе, импортируйте параметры, настроенные на VT1, и аутентифицируйте пользователей коммутируемого доступа.
#
interface GigabitEthernet3/0/0
 pppoe-server bind Virtual-Template 1
#
l2tp-group 1  //Создайте группу L2TP и установите параметры для настройки L2TP.
 tunnel password cipher %@%@/-#)Lg[S4F:#2~ZNvqa$]\DL%@%@  //Включите туннельную аутентификацию и задайте пароль cipher на huawei, который совпадает с паролем на одноранговом устройстве.
 tunnel name lac1  //Установите имя туннеля на lac1, которое идентифицируется одноранговым LNS.
 start l2tp ip 202.1.1.1 domain aaa.com  //Инициируйте настройку туннеля L2TP для однорангового устройства. В этом примере предполагается, что доменное имя пользователей доступа - aaa.com.
#
l2tp-group 2
 tunnel password cipher %@%@EB~j7Je>;@>uNr''D=J<]\WL%@%@
 tunnel name lac2
 start l2tp ip 202.1.1.1 domain bbb.com
#                                        

Шаг 2 Сконфигурируйте LNS.

#
 sysname LNS
#
 l2tp enable
#
ip pool 1  //Создайте пул IP-адресов 1, из которого IP-адреса выделяются для пользователей доступа.
 gateway-list 10.1.1.1  //Настройте адрес шлюза.
 network 10.1.1.0 mask 255.255.255.0  //Укажите диапазон IP-адресов.
#
ip pool 2
 gateway-list 10.2.1.1
 network 10.2.1.0 mask 255.255.255.0
#
aaa
 local-user user1@aaa.com password cipher %@%@/|S75*sxcH2@FQL=wn#2@I`a%@%@
 local-user user1@aaa.com privilege level 0
 local-user user1@aaa.com service-type ppp
 local-user user2@bbb.com password cipher %@%@qh-<X%_2QB+^!UR+UkxUA/6<%@%@
 local-user user2@bbb.com privilege level 0
 local-user user2@bbb.com service-type ppp
#
interface Virtual-Template1
 ppp authentication-mode chap
 remote address pool 1  //Импортируйте пул IP-адресов. Затем сервер PPPoE распределяет IP-адреса из пула IP-адресов для аутентифицированных пользователей.
 ip address 10.1.1.1 255.255.255.0  //Настройте адрес шлюза для пула адресов.
#
interface Virtual-Template2
 ppp authentication-mode chap
 remote address pool 2
 ip address 10.2.1.1 255.255.255.0
#
interface GigabitEthernet1/0/0
 ip address 202.1.1.1 255.255.255.0
#
interface GigabitEthernet2/0/0
 ip address 10.3.1.1 255.255.255.0
#
l2tp-group 1
 allow l2tp virtual-template 1 remote lac1  //Укажите имя удаленного конца туннеля и виртуальный шаблон, используемый удаленным концом.
 
 tunnel password cipher %@%@eS*)0t-0D!,~pa;IPll=3liC%@%@
 tunnel name lns
#
l2tp-group 2
 allow l2tp virtual-template 2 remote lac2
 tunnel password cipher %@%@Cyor,=OAk#tWwA;%2\!W3lwj%@%@
 tunnel name lns
#

Шаг 3 Проверьте конфигурацию.

# Выполните команду display l2tp session на LNS. Можно увидеть, что два сеанса настроены.

# PC1 и PC2 могут успешно пропинговать PC3.

Примечания к конфигурации

# Запустите команду display l2tp session на LNS. Вы можете видеть, что две сессии установлены.

# ПК1 и ПК2 могут успешно пропинговать ПК3.