知

SR6600系列路由器 VPE--L2tp over IPSec 的配置方法

2011-02-16 发表

0关注
0收藏 1460浏览

张盛楠

张盛楠段

粉丝：人关注：人

SR6600系列路由器 L2TP+IPSec VPE的配置方法

一、 组网需求：

1.    用户服务器位于私网中，由于出差频繁，客户需要从PC机通过L2tp拨入MPLS vpn业务访问私网的各种服务。

2.    MPLS骨干网络中间的P设备不具备MPLS转发能力，只能进行IP转发

需求分析：

PC通过L2tp 拨入MPLS vpn，这就要求客户侧的PE设备可以终结IP vpn （L2tp），即作为VPE出现在网络中

P设备不具备MPLS转发能力，因此我们需要在VPE和PE设备之间建立GRE隧道，将MPLS报文作为GRE的乘客协议将整个MPLS报文转换为IP报文经过P设备转发后到达PE后再进行MPLS处理

二、 组网图：

组网设备： SR6600 路由器 3台版本R2420P07

PC（预装inode客户端进行 L2tp+IPSec）

三、 配置步骤：

VPE 配置

sysname VPE

#

l2tp enable

#

ike local-name gateway     //与PC间的IPSec

#

domain default enable system

#

router id 1.1.1.1

#

telnet server enable

#

mpls lsr-id 1.1.1.1

#

ip vpn-instance test       //私网业务vpn

route-distinguisher 1:1

vpn-target 1:1 export-extcommunity

vpn-target 1:1 import-extcommunity

#

acl number 3000           //IPSec 匹配VPE和PE间网段

rule 0 permit ip source 10.1.1.1 0 destination 20.1.1.2 0

#

mpls

#

mpls ldp

#

domain system

access-limit disable

state active

idle-cut disable

self-service-url disable

ip pool 0 192.168.1.2 192.168.1.10 //为L2tp用户分配地址

#

ike proposal 1

#

ike peer pc                         //与PC间的IPSec 需用野蛮模式

exchange-mode aggressive

proposal 1

pre-shared-key cipher xxxx

id-type name

remote-name pc

#

ike peer pe                       //与PE 间的IPSec

proposal 1

pre-shared-key cipher xxxx

remote-address 20.1.1.2

#

ipsec proposal 1

#

ipsec policy-template pc 1      //与PC间的IPSec需用template

ike-peer pc

proposal 1

#

ipsec policy computer 1 isakmp template pc

#

ipsec policy test 1 isakmp

security acl 3000

ike-peer pe

proposal 1

#

user-group system

#

local-user routerman             //配置L2tp用户

password simple 111

authorization-attribute level 3

service-type ppp

#

l2tp-group 1

allow l2tp virtual-template 1

tunnel password simple 111111   //可以取消隧道认证

tunnel name access              //需配置隧道名称

#

interface Virtual-Template1

ppp authentication-mode pap domain system

remote address pool

mtu 1200

ip binding vpn-instance test   //虚模板绑定vpn实例

ip address 192.168.1.1 255.255.255.0

#

interface NULL0

#

interface LoopBack0

ip address 1.1.1.1 255.255.255.255

#

interface GigabitEthernet0/1

ip address 10.1.1.1 255.255.255.252

ipsec policy test

interface GigabitEthernet0/2    //与PC直连的接口

ip address 207.1.1.1 255.255.255.252

ipsec policy computer

#

interface Tunnel0

ip address 100.1.1.1 255.255.255.252

source 10.1.1.1

destination 20.1.1.2

mpls                          //使能tunnel的MPLS能力

mpls ldp

#

bgp 100

undo synchronization

peer 3.3.3.3 as-number 100

peer 3.3.3.3 connect-interface LoopBack0

#

ipv4-family vpn-instance test

import-route direct

#

ipv4-family vpnv4

peer 3.3.3.3 enable

#

ip route-static 3.3.3.3 255.255.255.255 Tunnel0

//配置到PE 走tunnel 路由

ip route-static 20.1.1.0 255.255.255.0 10.1.1.2

PE 配置

#

sysname PE

#

domain default enable system

#

router id 3.3.3.3

#

telnet server enable

#

mpls lsr-id 3.3.3.3

#

ip vpn-instance test

route-distinguisher 1:1

vpn-target 1:1 export-extcommunity

vpn-target 1:1 import-extcommunity

#

acl number 3000

rule 0 permit ip source 20.1.1.2 0 destination 10.1.1.1 0

#

mpls

#

mpls ldp

#

domain system

access-limit disable

state active

idle-cut disable

self-service-url disable

#

ike proposal 1

#

ike peer vpe

proposal 1

pre-shared-key cipher xxxx

remote-address 10.1.1.1

#

ipsec proposal 1

#

ipsec policy test 1 isakmp

security acl 3000

ike-peer vpe

proposal 1

#

user-group system

#

l2tp-group 1

tunnel name test

#

interface NULL0

#

interface LoopBack0

ip address 3.3.3.3 255.255.255.255

#

interface LoopBack1                    //测试时替代服务器地址

ip binding vpn-instance test

ip address 8.8.8.8 255.255.255.255

#

interface GigabitEthernet0/0

#

interface GigabitEthernet0/1

ip address 20.1.1.2 255.255.255.252

ipsec policy test

#

interface Tunnel0

ip address 100.1.1.2 255.255.255.252

source 20.1.1.2

destination 10.1.1.1

mpls

mpls ldp

#

bgp 100

undo synchronization

peer 1.1.1.1 as-number 100

peer 1.1.1.1 connect-interface LoopBack0

#

ipv4-family vpn-instance test

import-route direct

#

ipv4-family vpnv4

peer 1.1.1.1 enable

#

ip route-static 1.1.1.1 255.255.255.255 Tunnel0

ip route-static 10.1.1.0 255.255.255.0 20.1.1.1

PC 配置方法及效果验证请参照附件

四、 配置关键点：

1.       由于是PC通过L2tp+IPSec 拨入vpn 因此需注意要在virtual-template上绑定vpn实例

2.       MPLS+GRE+IPSec 中的IPSec 需要匹配IPSec网关间（VPE与PE）的网段地址

3.       GRE tunnel 需要使能MPLS转发能力和LDP能力

4.       PC 侧配置L2tp+IPSec参数要与VPE上的一致，具体要根据不同的PC拨号终端决定

是否需要配置L2tp tunnel name 和 tunnel authentication

5.       由于PC的私网地址是VPE分配的，因此IPSec 需要使用野蛮模式和template

6.       P设备上仅需要配置正确公网路由即可。

7.       此例中的公网路由由于组网比较简单使用的是静态路由，实际使用可以根据情况选用动态路由。

若您有关于案例的建议，请反馈：

作者在2019-06-10对此案例进行了修订

0 个评论

该案例暂时没有网友评论

编辑评论

侵犯我的权益 >

对根叔知了社区有害的内容 >

辱骂、歧视、挑衅等（不友善）

侵犯我的权益

泄露了我的隐私 >

侵犯了我企业的权益 >

抄袭了我的内容 >

诽谤我 >

辱骂、歧视、挑衅等（不友善）

骚扰我

泄露了我的隐私

您好，当您发现根叔知了上有泄漏您隐私的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您认为哪些内容泄露了您的隐私？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

侵犯了我企业的权益

您好，当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱，我们会在审核后尽快给您答复。

1. 您举报的内容是什么？（请在邮件中列出您举报的内容和链接地址）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）
3. 是哪家企业？（营业执照，单位登记证明等证件）
4. 您与该企业的关系是？（您是企业法人或被授权人，需提供企业委托授权书）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

原文链接或出处

诽谤我

您好，当您发现根叔知了上有诽谤您的内容时，您可以向根叔知了进行举报。请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱，我们会尽快处理。

1. 您举报的内容以及侵犯了您什么权益？（请在邮件中列出您举报的内容、链接地址，并给出简短的说明）
2. 您是谁？（身份证明材料，可以是身份证或护照等证件）

我们认为知名企业应该坦然接受公众讨论，对于答案中不准确的部分，我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

垃圾广告信息

色情、暴力、血腥等违反法律法规的内容

政治敏感

不规范转载 >

辱骂、歧视、挑衅等（不友善）

骚扰我

诱导投票

不规范转载

举报说明

✖

案例意见反馈

➤

网站相关: 关于我们; 服务条款; 帮助中心; 经验与权限; 积分规则

联系我们: 联系我们; 建议反馈

常用链接: 标杆的神器下载

关注我们: H3C官网; 新华三服务公众号; 安仔远程运维服务; 新华三商城

内容许可: 除特别说明外，用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

本图标版权归新华三集团所有，仅限本社区使用，切勿用做商业目的，违者必究

浙ICP备09064986号-1 浙公网安备 33010802004416号

✖

亲~登录后才可以操作哦!

确定

✖

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

✖

你的邮箱还未认证，请认证邮箱或绑定手机后进行当前操作

✖

产品线		搜索取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式	默认策略匹配全词匹配整句

SR6600系列路由器 VPE--L2tp over IPSec 的配置方法

编辑评论

提出建议