MSR系列路由器
通过一个l2tp group实现多域认证
一、组网:
LNS作为企业出口网关,多个LAC在运营商,多个客户端通过PPPOE先拨上运营商的LAC,再触发LAC和LNS的建立l2tp隧道,从而实现对企业内部私网的访问。因为企业需要承载多重业务,所以不同的业务要求通过不同的域来认证。最终实现一个LNS对多个LAC的多域的l2tp接入。
二、问题描述:
LAC在运营商,总共有几百台BAS接入我司一台LNS,每一台LAC都有一个tunnel name,在做隧道连接的时候,除了l2tp group 1不用验证tunnel name之外,其他的l2tp group都需要验证tunnel name。因为如果有多个LAC的情况下,不验证tunnel name的话,就无法找到指定的l2tp group。但是现在企业又没有运营商的所有LAC的tunnel name信息,而且多域验证的通常做法就是配置多个l2tp group对应多个LAC的多域认证,故现在就出现了配置上的困难。
三、过程分析:
既然无法得到LAC tunnel name这个信息,而在其他l2tp group(除了l2tp group 1的其他所有的l2tp group)中必须配置验证tunnel name,那么就只配置l2tp group 1,无论对端是哪一台LAC发起的连接,LNS都用l2tp group 1提供服务。那么这样配置就需要把virtual-template 1绑定在l2tp group 1下,并且在virtual-template视图下配置ppp验证的时候不要带域名,而把域配置在全局下。这样LAC送过来的ppp验证信息会去全局下找域,从而认证成功。配置域的时候注意地址池的规划,virtul-template的接口地址要保证跟每个域的地址池都在一个网段。企业如果要实现业务之间的隔离的话,可以在LNS的virtual-template上配置防火墙以实现不同的域之间不能互相访问。配置如下:
LAC-1:
#
//全局下使能l2tp服务
l2tp enable
#
//配置对应第一种业务的域
domain h3c
access-limit disable
state active
idle-cut disable
self-service-url disable
#
//配置该域下的用户信息
local-user pc
password simple pc
service-type ppp
#
//l2tp组,不进行隧道验证
l2tp-group 1
undo tunnel authentication
//指定LNS的地址及发起l2tp隧道连接的域名
start l2tp ip 1.0.0.1 domain h3c
#
interface Ethernet0/0
port link-mode route
ip address 59.11.9.10 255.255.255.0
#
interface Ethernet0/1
port link-mode route
//将pppoe服务器与虚模板0绑定
pppoe-server bind Virtual-Template 0
#
interface Virtual-Template0
//配置虚模板0的认证方式和认证域
ppp authentication-mode chap domain h3c
#
LAC-2:
#
//全局下使能l2tp服务
l2tp enable
#
//配置对应第二种业务的域
domain 163
access-limit disable
state active
idle-cut disable
self-service-url disable
#
//配置该域下的用户信息
local-user pc2
password simple pc2
service-type ppp
#
//l2tp组,不进行隧道验证
l2tp-group 1
undo tunnel authentication
//指定LNS的地址及发起l2tp隧道连接的域名
start l2tp ip 1.0.0.1 domain 163
#
interface Ethernet0/0
port link-mode route
ip address 60.191.99.140 255.255.255.0
#
interface Ethernet0/1
port link-mode route
//将pppoe服务器与虚模板0绑定
pppoe-server bind Virtual-Template 0
#
interface Virtual-Template0
//配置虚模板0的认证方式和认证域
ppp authentication-mode chap domain 163
#
LNS:
#
//全局下使能l2tp服务
l2tp enable
#
//配置用于业务隔离的acl
acl number 3000
rule 0 deny ip source 100.0.1.0 0.0.0.255 destination 100.0.2.0 0.0.0.255
rule 1 deny ip source 100.0.2.0 0.0.0.255 destination 100.0.1.0 0.0.0.255
#
//配置各个业务的认证域
domain h3c
access-limit disable
state active
idle-cut disable
self-service-url disable
//配置第一个域的地址池,要保证和虚模板1的地址在同一个网段(16位掩码),又要和其他域不在同一网段(24位掩码)
ip pool 1 100.0.1.2 100.0.1.254
domain 163
access-limit disable
state active
idle-cut disable
self-service-url disable
//配置第二个域的地址池,要保证和虚模板1的地址在同一个网段(16位掩码),又要和其他域不在同一网段(24位掩码)
ip pool 1 100.0.2.2 100.0.2.254
#
//配置所有域的用户信息
local-user pc
password simple pc
service-type ppp
local-user pc2
password simple pc2
service-type ppp
#
//l2tp组,不采用隧道验证,并且不指定tunnel name和域名
l2tp-group 1
undo tunnel authentication
allow l2tp virtual-template 1
#
//虚模板1
interface Virtual-Template1
//用于域之间隔离的防火墙
firewall packet-filter 3000 inbound
ppp authentication-mode chap
remote address pool 1
//要把地址配成16位掩码的,以保证和每个域的ip地址池中的地址在同一网段
ip address 100.0.0.1 255.255.0.0
#
interface GigabitEthernet0/0
port link-mode route
ip address 1.0.0.1 255.255.255.0
#
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作