SR66/SR66-X系列路由器IPsec over L2tp应用中链路断开/恢复后Connection信息以及地址分配的情况

SR66/SR66-X系列路由器IPsec over L2tp

应用中链路断开/恢复后Connection信息以及地址分配的情况

 

关键字：SR66; IPsec over L2tp; dialer; connection;

一．            组网需求：

Client1、Client2、LAC和LNS四台路由器按下图组网，四台路由器角色分别为两台拨号客户端、LAC、LNS。我们需要观察当Client成功拨号后，Client掉电以及Client重启后，它们的地址，connection以及VT信息。

设备清单：2台MSR30-20（Client1和Client2，），版本为2207P14；

2台SR6602（LNS和LAC），版本为R3103P07；

二．            组网图：

三．    配置步骤：

 

Client1配置

sysname Client1 # ike peer h3c  exchange-mode aggressive  //使用IPsec野蛮模式  pre-shared-key simple h3c //使用预共享密钥提供身份验证  remote-name admin02  remote-address 192.168.0.10 //野蛮模式下发起端必须配置  local-name admin01          //name配置要与对端LNS相反 # ipsec proposal local # ipsec policy h3c 1 isakmp   ike-peer h3c  proposal local # interface Dialer0 //创建dialer口  link-protocol ppp  ppp chap user client1@system //配置拨号用户名  ppp chap password simple client1 //配置拨号用户密码  ip address ppp-negotiate //dialer口配置自动获取地址  dialer user anyone //配置dialer用户名  dialer-group 1 //配置dialer用户组  dialer bundle 1 //配置dialer绑定  ipsec policy h3c //将IPsec策略和dialer绑定 # interface GigabitEthernet0/0  port link-mode route  pppoe-client dial-bundle-number 1 //将dialer口绑定到G0/2 #  ip route-static 0.0.0.0 0.0.0.0 Dialer0 //配置到dialer口的缺省路由 #  dialer-rule 1 ip permit //dialer口出发条件，此时匹配所有 # Return

Client2配置

sysname Client2 # ike peer h3c  exchange-mode aggressive  //使用IPsec野蛮模式  pre-shared-key simple h3c //使用预共享密钥提供身份验证  remote-name admin02  remote-address 192.168.0.10 //野蛮模式下发起端必须配置  local-name admin01             //name配置要与对端LNS相反 # ipsec proposal local # ipsec policy h3c 1 isakmp   ike-peer h3c  proposal local # interface Dialer0 //创建dialer口  link-protocol ppp  ppp chap user client2@system //配置拨号用户名  ppp chap password simple client2 //配置拨号用户密码  ip address ppp-negotiate //dialer口配置自动获取地址  dialer user anyone //配置dialer用户名  dialer-group 1 //配置dialer用户组  dialer bundle 1 //配置dialer绑定  ipsec policy h3c //将IPsec策略和dialer绑定 # interface GigabitEthernet0/0  port link-mode route  pppoe-client dial-bundle-number 1 //将dialer口绑定到G0/2 #  ip route-static 0.0.0.0 0.0.0.0 Dialer0 //配置到dialer口的缺省路由 #  dialer-rule 1 ip permit //dialer口出发条件，此时匹配所有 # return

LAC配置

sysname LAC #  l2tp enable //启用L2tp功能 #  domain default enable system //默认域为system，系统缺省 # domain system  access-limit disable  state active  idle-cut disable  self-service-url disable # local-user client1  password cipher client1  service-type ppp   local-user client2  password cipher client2   service-type ppp                //创建两个本地用户 # l2tp-group 1 //配置LAC L2tp组  undo tunnel authentication  start l2tp ip 12.1.1.2 domain system //配置以域名形式触发L2tp的建立 ip地址使用对端LNS接口地址 # interface Virtual-Template0 //配置VT口  ppp authentication-mode chap //验证模式为chap # interface GigabitEthernet0/1  port link-mode route  ip address 12.1.1.1 255.255.255.0 # interface GigabitEthernet0/0  port link-mode route  pppoe-server bind Virtual-Template 0 //将VT口和G0/0绑定 # return

LNS配置

sysname LNS #  l2tp enable //使能L2tp功能 # domain default enable system //默认域为system，系统缺省 # domain system  access-limit disable  state active  idle-cut disable  self-service-url disable ip pool 1 192.168.0.1 192.168.0.2 ip pool 2 192.168.0.3 192.168.0.9  //配置pool，给远端dialer口分配地址   此处地址池在后续的验证过程中会进行更改 # ike peer h3c02  exchange-mode aggressive //使用IPsec的野蛮模式  pre-shared-key simple 123 //使用预共享密钥进行身份验证  remote-name admin01  local-name admin02 # ipsec proposal local # ipsec policy-template h3c1 1 //使用IPsec模板  ike-peer h3c02  proposal local  reverse-route tag 80 //生成的静态路由tag值为80  reverse-route //启用反向路由，IPsec协商成功后自动生成去往保护流的静态路由 # ipsec policy h3c 1 isakmp template h3c1 //将IPsec模板和策略绑定 # local-user client1  password cipher client1  service-type ppp local-user client2  password cipher client2   service-type ppp                //创建两个本地用户 # l2tp-group 1 //创建LNS L2tp组  allow l2tp virtual-template 0  undo tunnel authentication # interface Virtual-Template0 //创建VT口  ppp authentication-mode chap //ppp验证模式为chap  remote address pool 1 //启用system域下地址池  ip address 192.168.0.10 255.255.255.0  ipsec policy h3c //将IPsec策略和VT口绑定 # interface GigabitEthernet0/1  ip address 12.1.1.1 255.255.255.0 # return

四．            实验现象

1.  配置完成后，等待两台MSR成功获取到IP地址后，我们在LNS上观察connection信息:

[LNS]dis connection

Index=2   ,Username=client1@system

IP=192.168.0.1

IPv6=N/A

Index=3   ,Username=client2@system

IP=192.168.0.2

IPv6=N/A

 Total 2 connection(s) matched. 

   由以上信息可得，两条链接均成功建立，client1与client2分别获得地址192.168.0.1和192.168.0.2，此时我们把Client2断掉，这时我们再查看connection信息：

[LNS]dis connection

Index=2   ,Username=client1@system

IP=192.168.0.1

IPv6=N/A

Index=3   ,Username=client2@system

IP=192.168.0.2

IPv6=N/A

 Total 2 connection(s) matched. 

此时，虽然client2已经掉线了，但是connection并没有消失仍然存在，经过较长一段时间后，client2的connection才会消失；

2.  在client2刚掉线时，就立刻恢复连接，待成功建立连接后，查看connection信息：

[LNS]dis connection

Index=2   ,Username=client1@system

IP=192.168.0.1

IPv6=N/A

Index=3   ,Username=client2@system

IP=192.168.0.2

IPv6=N/A

Index=4   ,Username=client2@system

IP=192.168.0.3

IPv6=N/A

 Total 3 connection(s) matched. 

     这时connection表中会出现三条连接信息，其中一条是之前的连接信息，另一条是现在的连接信息。这条之前的连接信息会在较长时间后消失，只剩下现存的连接信息。

3.             然后我们再将client2断掉，然后等待直至连接信息老化消失，只剩下client1的连接信息，这时我们将client2重新连接上，建立连接后在断开，反复做几次，然后观察connection信息：

[LNS]dis connection

Index=2   ,Username=client1@system

IP=192.168.0.1

IPv6=N/A

Index=7   ,Username=client2@system

IP=192.168.0.8

IPv6=N/A

Index=8   ,Username=client2@system

IP=192.168.0.9

IPv6=N/A

Index=9   ,Username=client2@system

IP=192.168.0.2

IPv6=N/A

 Total 4 connection(s) matched.

     观察可得，client2重新建立连接时，并不会从使用之前老化后空闲的地址，而是分配下一个地址，直到地址池用完后才会从头开始使用闲置地址；我们再将LNS中的地址池改为只有一个地址，同时新增一个地址池同样只有一个地址，这时将connection清空后，再重新建立连接，连接建立成功后，查看connection信息：

[LNS]dis connection

Index=1   ,Username=client1@system

IP=192.168.0.1

IPv6=N/A

Index=2   ,Username=client2@system

IP=192.168.0.2

IPv6=N/A

Total 2 connection(s) matched.

 由此，当地址池不够用时，可配置多个地址池来分配地址。

 

五．    总结

1.     客户端掉线后，LNS上的connection并不会立即消失，而是要等待一段时间；客户端重新上线后并不会使用原有的connection，而是重新建立新的connection。

2.  即使上一个connection老化，为新上线的用户分配的地址也不会被分配到老化的地址，而是得到当前最大已分配地址的下一个；

3.  如果配置有多个地址池，当前配置不够用时，LNS最自动分配下一个地址池的地址。