MSR系列路由器通过一个l2tp group实现多域认证

MSR系列路由器

通过一个l2tp group实现多域认证

一、组网：

LNS作为企业出口网关，多个LAC在运营商，多个客户端通过PPPOE先拨上运营商的LAC，再触发LAC和LNS的建立l2tp隧道，从而实现对企业内部私网的访问。因为企业需要承载多重业务，所以不同的业务要求通过不同的域来认证。最终实现一个LNS对多个LAC的多域的l2tp接入。

二、问题描述：

LAC在运营商，总共有几百台BAS接入我司一台LNS，每一台LAC都有一个tunnel name，在做隧道连接的时候，除了l2tp group 1不用验证tunnel name之外，其他的l2tp group都需要验证tunnel name。因为如果有多个LAC的情况下，不验证tunnel name的话，就无法找到指定的l2tp group。但是现在企业又没有运营商的所有LAC的tunnel name信息，而且多域验证的通常做法就是配置多个l2tp group对应多个LAC的多域认证，故现在就出现了配置上的困难。

三、过程分析：

既然无法得到LAC tunnel name这个信息，而在其他l2tp group(除了l2tp group 1的其他所有的l2tp group)中必须配置验证tunnel name,那么就只配置l2tp group 1，无论对端是哪一台LAC发起的连接，LNS都用l2tp group 1提供服务。那么这样配置就需要把virtual-template 1绑定在l2tp group 1下，并且在virtual-template视图下配置ppp验证的时候不要带域名，而把域配置在全局下。这样LAC送过来的ppp验证信息会去全局下找域，从而认证成功。配置域的时候注意地址池的规划，virtul-template的接口地址要保证跟每个域的地址池都在一个网段。企业如果要实现业务之间的隔离的话，可以在LNS的virtual-template上配置防火墙以实现不同的域之间不能互相访问。配置如下：

LAC-1:

#

//全局下使能l2tp服务

 l2tp enable

#

//配置对应第一种业务的域

domain h3c

access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

//配置该域下的用户信息

local-user pc

 password simple pc

 service-type ppp

#

//l2tp组，不进行隧道验证

l2tp-group 1

 undo tunnel authentication

//指定LNS的地址及发起l2tp隧道连接的域名

 start l2tp ip 1.0.0.1 domain h3c

#

interface Ethernet0/0

 port link-mode route

 ip address 59.11.9.10 255.255.255.0

#

interface Ethernet0/1

 port link-mode route

//将pppoe服务器与虚模板0绑定

 pppoe-server bind Virtual-Template 0

#

interface Virtual-Template0

//配置虚模板0的认证方式和认证域

 ppp authentication-mode chap domain h3c

#

 

LAC-2:

 

#

//全局下使能l2tp服务

 l2tp enable

#

//配置对应第二种业务的域

domain 163

access-limit disable

 state active

 idle-cut disable

 self-service-url disable

#

//配置该域下的用户信息

local-user pc2

 password simple pc2

 service-type ppp

#

//l2tp组，不进行隧道验证

l2tp-group 1

 undo tunnel authentication

//指定LNS的地址及发起l2tp隧道连接的域名

 start l2tp ip 1.0.0.1 domain 163

#

interface Ethernet0/0

 port link-mode route

 ip address 60.191.99.140 255.255.255.0

#

interface Ethernet0/1

 port link-mode route

//将pppoe服务器与虚模板0绑定

 pppoe-server bind Virtual-Template 0

#

interface Virtual-Template0

//配置虚模板0的认证方式和认证域

 ppp authentication-mode chap domain 163

#

 

LNS:

 

#

//全局下使能l2tp服务

 l2tp enable

#

//配置用于业务隔离的acl

acl number 3000

 rule 0 deny ip source 100.0.1.0 0.0.0.255 destination 100.0.2.0 0.0.0.255

 rule 1 deny ip source 100.0.2.0 0.0.0.255 destination 100.0.1.0 0.0.0.255

#

//配置各个业务的认证域

domain h3c

 access-limit disable

 state active

 idle-cut disable

 self-service-url disable

//配置第一个域的地址池，要保证和虚模板1的地址在同一个网段（16位掩码），又要和其他域不在同一网段（24位掩码）

 ip pool 1 100.0.1.2 100.0.1.254

domain 163

 access-limit disable

 state active  

 idle-cut disable

 self-service-url disable

//配置第二个域的地址池，要保证和虚模板1的地址在同一个网段（16位掩码），又要和其他域不在同一网段（24位掩码）

 ip pool 1 100.0.2.2 100.0.2.254

#

//配置所有域的用户信息

local-user pc

 password simple pc

 service-type ppp

local-user pc2

 password simple pc2

 service-type ppp

#

//l2tp组，不采用隧道验证，并且不指定tunnel name和域名

l2tp-group 1   

 undo tunnel authentication

 allow l2tp virtual-template 1

#

//虚模板1

interface Virtual-Template1

//用于域之间隔离的防火墙

 firewall packet-filter 3000 inbound

 ppp authentication-mode chap

 remote address pool 1

//要把地址配成16位掩码的，以保证和每个域的ip地址池中的地址在同一网段

 ip address 100.0.0.1 255.255.0.0

#

interface GigabitEthernet0/0

 port link-mode route

 ip address 1.0.0.1 255.255.255.0

#