Этот пример применяется ко всем моделям AR версии V200R002C00 и более поздних.
Как показано на схеме, у предприятия есть филиалы, расположенные в других городах, и эти филиалы используют сеть Ethernet для выхода в Интернет.
Пользователям в филиале необходимо установить защищенное подключение со штаб-квартирой. Протокол туннелирования L2TP развертывается между филиалом и штаб-квартирой. В филиале шлюз функционирует как сервер протокола PPPoE. Шлюз филиала также функционирует как L2TP LAC для установления туннелей L2TP со штаб-квартирой.
Шлюз в штаб-квартире предприятия настроен как сетевой сервер L2TP (LNS) для установления соединений L2TP между филиалом и штаб-квартирой. Сервер RADIUS в штаб-квартире аутентифицирует пользователей и распределяет IP-адреса для пользователей.
Процедура
Шаг 1 Настройте LAC.
# sysname LAC # l2tp enable //включите L2TP. # aaa //Настроить имя пользователя и пароль. local-user l2tp@huawei.com password cipher %^%#_<`.CO&(:LeS/$#F \H0Qv8B]KAZja3}3q'RNx;VI%^%# local-user l2tp@huawei.com privilege level 0 local-user l2tp@huawei.com service-type ppp # interface Virtual-Template1 //Создайте interface Virtual-Template1 и установите параметры удаленного доступа. ppp authentication-mode chap # interface GigabitEthernet1/0/0 ip address 1.1.2.1 255.255.255.0 # interface GigabitEthernet2/0/0 pppoe-server bind Virtual-Template 1 # l2tp-group 1 //Создайте группу L2TP и установите параметры подключения L2TP. tunnel password cipher %@%@/-#)Lg[S4F:#2~ZNvqa$]\DL%@%@ start l2tp ip 1.1.1.1 fullusername l2tp1@huawei.com # ip route-static 1.1.1.1 255.255.255.255 1.1.2.2 # return
Шаг 2 Настройте LNS.
# sysname LNS # l2tp enable //включите L2TP. # ip pool 1 //Создайте глобальный пул IP-адресов. gateway-list 10.1.1.1 network 10.1.1.0 mask 255.255.255.0 # radius-server template l2tp //Создайте шаблон сервера RADIUS. radius-server shared-key cipher %^%#}'|y>s-'m)@%$\X7QgS"Bc5M$iWmV:4aXREv:/~P%^%# radius-server authentication 10.2.1.2 1645 weight 80 # aaa //Настройка проверки подлинности RADIUS. authentication-scheme l2tp authentication-mode radius domain huawei.com authentication-scheme l2tp radius-server l2tp # interface Virtual-Template1 //Создайте interface Virtual-Template1 и установите параметры удаленного доступа. ppp authentication-mode chap domain huawei.com remote address pool 1 ip address 10.1.1.1 255.255.255.0 # interface GigabitEthernet1/0/0 ip address 1.1.1.1 255.255.255.0 # interface GigabitEthernet2/0/0 ip address 10.1.2.1 255.255.255.0 # l2tp-group 1 //Создайте группу L2TP и установите параметры подключения L2TP. allow l2tp virtual-template 1 tunnel password cipher %@%@EB~j7Je>;@>uNr''D=J<]\WL%@%@ # ip route-static 1.1.2.1 255.255.255.255 1.1.1.2 # return
Шаг 3 Проверьте конфигурацию.
# Запустите команду display l2tp tunnel на LAC или LNS. Вы можете обнаружить, что туннель L2TP и Sessions с номером 1 установлен. # Пользователи в штаб-квартире и филиале предприятия могут проверять связь (ping) и общаться друг с другом.
Замечания по конфигурации
- Группа L2TP использует аутентификацию туннеля по умолчанию, и пароли на обоих концах туннеля должны быть одинаковыми.
- При настройке статических маршрутов на LAC исходящий интерфейс в маршруте, предназначенном для сегмента сети штаб-квартиры, должен быть интерфейсом
VT1.
- Необходимо настроить статический маршрут на основе фактических данных, предназначенных для сервера RADIUS на LNS. В этом примере не настроен статический маршрут.