VPN配置
目录
目 录
第1章 VPN配置............................................................................................................................................................. 1
1.1 VPDN概述........................................................................................................................................................... 1
1.2 VPDN配置任务列表......................................................................................................................................... 1
1.3 VPDN配置任务.................................................................................................................................................. 2
1.3.1 VPDN模块封装...................................................................................................................................... 2
1.3.2 创建VPDN组........................................................................................................................................ 3
1.3.3 设置NAC的域名................................................................................................................................. 3
1.3.4 设置和NAC对通的远端NS的IP地址.......................................................................................... 3
1.3.5 设置和NAC对通的远端NS的域名................................................................................................ 4
1.3.6 设置VPDN组本地隧道名.................................................................................................................. 4
1.3.7 设置和NS对通的远端NAC的隧道名............................................................................................ 4
1.3.8 设置NS和CLIENT端进行重新认证............................................................................................... 4
1.3.9 设置NS和CLIENT端进行LCP重新协商...................................................................................... 5
1.3.10 设置在NS工作组上克隆配置的源端口...................................................................................... 5
1.3.11 设置L2TP通道认证.......................................................................................................................... 5
1.3.12 设置L2TP通道密码.......................................................................................................................... 5
1.3.13 设置L2TP隧道发送HELLO报文的时间间隔............................................................................. 5
1.3.14 设置L2TP隧道接收窗口大小........................................................................................................ 6
1.3.15 设置L2TP属性隐藏.......................................................................................................................... 6
1.3.16 设置PPTP隧道发送ECHO报文的时间间隔.............................................................................. 6
1.3.17 设置PPTP数据流量控制使能开关............................................................................................... 6
1.3.18 设置PPTP数据报文Round Trip Time.............................................................................................. 6
1.3.19 设置PPTP会话数据报文接收窗口的大小.................................................................................. 7
1.3.20 显示VPDN组...................................................................................................................................... 7
1.3.21 显示L2TP事件信息.......................................................................................................................... 7
1.3.22 显示L2TP包信息.............................................................................................................................. 7
1.3.23 显示L2TP交互过程中的错误........................................................................................................ 7
1.3.24 显示L2TP隧道统计信息................................................................................................................. 7
1.3.25 显示L2TP会话统计信息................................................................................................................. 8
1.3.26 显示PPTP事件信息......................................................................................................................... 8
1.3.27 显示PPTP包信息.............................................................................................................................. 8
1.3.28 显示PPTP交互过程中的错误........................................................................................................ 8
1.3.29 显示PPTP隧道统计信息................................................................................................................ 8
1.3.30 显示PPTP会话统计信息................................................................................................................ 8
1.3.31 显示PPTP流量统计信息................................................................................................................ 8
1.3.32 清除L2TP隧道................................................................................................................................... 9
1.3.33 清除L2TP会话................................................................................................................................... 9
- I -
目录
1.3.34 清除PPTP隧道.................................................................................................................................. 9
1.3.35 清除PPTP会话.................................................................................................................................. 9
1.4 配置示例............................................................................................................................................................ 9
1.4.1 采用L2TP协议配置示例................................................................................................................... 9
1.4.2 采用PPTP协议配置示例................................................................................................................ 11
- II -
VPN配置
第1章 VPN配置
1.1 VPDN概述
VPDN是L2TP模块以及PPTP模块中和VPDN组打交道的一个子模块,主要用于创建
和管理VPDN组信息, NAC(Network Access Concentrator)和NS(Network Server,
又称Tunnel Server)都需要从VPDN组配置中获取相关的信息,用于创建通道和会话。
这里要特别说明的是,在下面的说明中,对于L2TP协议,NAC被称作LAC(L2TP Access
Concentrator),NS被称作LNS(L2TP Network Server);对于PPTP,NAC被称作PAC
(PPTP Access Concentrator),NS被称作PNS(PPTP Network Server)。
1.2 VPDN配置任务列表
null VPDN模块封装
null 创建VPDN组
null 设置NAC的域名
null 设置和NAC对通的远端NS的IP地址
null 设置VPDN组本地隧道名
null 设置和NS对通的远端NAC的隧道名
null 设置NS和CLIENT端进行重新认证
null 设置NS和CLIENT端进行LCP重新协商
null 设置在NS工作组上克隆配置的源端口
null 设置L2TP通道认证
null 设置L2TP通道密码
null 设置L2TP隧道发送HELLO报文的时间间隔
null 设置L2TP隧道接收窗口大小
null 设置L2TP属性隐藏
null 设置PPTP隧道发送ECHO报文的时间间隔
null 设置PPTP数据流量控制使能开关
null 设置PPTP数据报文Round Trip Time
- 1 -
VPN配置
null 设置PPTP会话数据报文接收窗口的大小
null 显示VPDN组
null 显示L2TP事件信息
null 显示L2TP包信息
null 显示L2TP交互过程中的错误
null 显示L2TP隧道统计信息
null 显示L2TP会话统计信息
null 显示PPTP事件信息
null 显示PPTP包信息
null 显示PPTP交互过程中的错误
null 显示PPTP隧道统计信息
null 显示PPTP会话统计信息
null 显示PPTP流量统计信息
null 清除L2TP隧道
null 清除L2TP会话
null 清除PPTP隧道
null 清除PPTP会话
1.3 VPDN配置任务
1.3.1 VPDN模块封装
只有封装VPDN模块时,CLIENT端才可能给NAC发LCP OPEN消息,缺省时,系统
VPDN功能是禁止的。当执行VPDN enable命令后,VPDN功能才被打开。NO命令禁
止VPDN子功能。
要绊定VPDN模块,使用下面命令:
命令 作用
vpdn enable
封装VPDN模块。
- 2 -
VPN配置
1.3.2 创建VPDN组
通道控制块的信息都是从VPDN组中获得,目前最多可以支持创建300个VPDN组,要
创建VPDN组,使用下面命令:
命令 目的
vpdn-group group_number
创建VPDN组。
1. 将VPDN组设置成为NS拨入方式
VPDN组可以作为NAC或NS,将VPDN组设置成为NS的命令如下:
命令 目的
Accept-dialin
将VPDN组设置成为NS拨入方式。
2. 将VPDN组设置成为NAC拨入方式
VPDN组可以作为NAC或NS,将VPDN组设置成为NAC的命令如下:
命令 目的
Request-dialin
将VPDN组设置成为NAC拨入方式。
3. 协议绊定
VPDN组必须和相关的协议进行绊定,目前,我们已支持L2TP协议以及PPTP协议,
VPDN组和协议绊定的命令如下:
命令 目的
Protocol l2tp
将VPDN组和L2TP协议绊定。
Protocol pptp
将VPDN组和PPTP协议绊定。
1.3.3 设置NAC的域名
只有对用户名在某个VPDN组的域中的LCP OPEN请求用户名,NAC才会作出响应,
发送SCCRQ消息,用户名必须包含’@’分割符,’@’后面的字符为用户所属的域名,设
置NAC的域名的命令如下:
命令 目的
Domain domain_name
设置NAC的域名。
1.3.4 设置和NAC对通的远端NS的IP地址
NAC在对CLIENT端发来的LCP OPEN请求作出响应,发送SCCRQ消息时,必须要
有一个目标NS,所以要指定和NAC对通的远端NS。本命令以直接指定IP地址的方式
来指定NS。也可以间接指定IP地址的方式来指定NS(指定域名,见设置和NAC对通
的远端NS的域名)。NAC可以按NS的优先级向多个NS发出请求。优先级相同按IP地
- 3 -
VPN配置
址从小到大的顺序。如果没有响应,再发送到下一个IP地址或者域名所指定的NS。最
多可以指定5个不同NS,优先级取值从0到4,优先级值越小,优先级越高,相关命令
如下:
命令 说明
Initiate-to ip ipaddr priority priority_num
设置和NAC对通的远端NS的IP地址。
1.3.5 设置和NAC对通的远端NS的域名
NAC在对CLIENT端发来的LCP OPEN请求作出响应,发送SCCRQ消息时,必须要
有一个目标NS,所以要指定和NAC对通的远端NS的IP地址。除了用Initiate-to ip 直
接指定IP地址的方式外(见设置和NAC对通的远端NS的IP地址),还可以用命令
Initiate-to host-name以指定域名的方式来间接指定和NAC对通的NS的IP地址,VPDN
模块将通过DNS来查询域名所对应的IP地址。NAC可以按NS的优先级向多个NS发
出请求。优先级相同按IP地址从小到大的顺序。如果没有响应,再发送到下一个IP地址
或者域名所指定的NS。最多可以指定5个不同NS,优先级取值从0到4,优先级值越
小,优先级越高,相关命令如下:
命令 说明
Initiate-to host-name name priority priority_num
设置和NAC对通的远端NS的域名。
1.3.6 设置VPDN组本地隧道名
NAC在发送SCCRQ的时候必须将本地隧道名一起发送出去,这样NS才能根据远端发
来的隧道名找到本地对于的VDPN组,本地隧道名最多244位字符串,相关命令如下:
命令 目的
Local-name local_name
设置VPDN组本地隧道名。
1.3.7 设置和NS对通的远端NAC的隧道名
NS在收到SCCRQ消息以后,根据SCCRQ消息带的NAC端的隧道名,在本地查找远
端隧道名和NAC隧道名匹配的VPDN组,所以作为NS的VPDN组可以配置和NS对通
的远端隧道名,以便于在收到SCCRQ消息后,进行匹配,如果一个VPDN组没有配置对
通的远端隧道名,那么它就是默认的VPDN组,在没有其他匹配的VPDN组时,就采用
它的信息。
命令 作用
Terminate-from remote_nac_name
设置和NS对通的远端NAC的隧道名。
1.3.8 设置NS和CLIENT端进行重新认证
在会话建立成功,且NS代替NAC对CLIENT端进行认证以后,可以选择NS和CLIENT
重新进行认证的过程. 值得注意的是,只有绑定L2TP协议时该命令才有效。相关命令如
下:
- 4 -
VPN配置
命令 目的
Force-local-chap
设置NS和CLIENT端进行重新认证。
1.3.9 设置NS和CLIENT端进行LCP重新协商
在会话建立成功,NS可以选择和CLIENT端重新进行整个PPP协议的重新协商,值得
注意的是,只有绑定L2TP协议时该命令才有效。对于PPTP,无论该命令配置与否,PNS
均与Client端重新进行协商。相关命令如下:
命令 目的
lcp-renegotiation
设置NS和CLIENT端进行LCP重新协商 。
1.3.10 设置在NS工作组上克隆配置的源端口
NS在SESSION建立以后,必须通过某个虚拟接口和CLIENT进行交互,虚拟接口号可
以是已经创建的虚拟模块接口,如果这个端口没有创建,则创建该接口,相关命令如下:
命令 目的
virtual-template virtual-temp-num
设置在NS工作组上克隆配置的源端口
1.3.11 设置L2TP通道认证
可以在LAC和LNS之间进行类似CHAP的认证过程,只有认证通过以后才能建立通道。
该命令为L2TP专有命令。相关命令如下:
命令 作用
L2tp tunnel authen
设置通道认证。
1.3.12 设置L2TP通道密码
如果在LNS和LAC都配置了通道认证,必须在两边的通道都配置了相同的密码,认证才
能成功,通道密码最多254个字符。该命令为L2TP专有命令。设置通道密码命令如下:
命令 作用
L2tp tunnel password password
设置通道密码。
1.3.13 设置L2TP隧道发送HELLO报文的时间间隔
LAC和LNS在会话建立成功以后,要定期相互发送HELLO报文,以检测链路是否正常,
发送HELLO报文的时间间隔可以设置,缺省为60,其取值范围是5-100,单位为秒。该
命令为L2TP专有命令。相关的设置命令如下:
命令 作用
L2tp tunnel hello hellointerval
设置发送HELLO报文的时间间隔。
- 5 -
VPN配置
1.3.14 设置L2TP隧道接收窗口大小
本命令用来指定本地接收BUFFER大小。同时在L2TP隧道协商时告知对端,对端根据
这个值设定相应发送报文的滑动窗口大小。滑动窗口的大小取值是4到100。该命令为
L2TP专有命令。相关的设置命令如下:
命令 目的
L2tp tunnel receive-window
receive-window-size
设置隧道接收窗口大小。
1.3.15 设置L2TP属性隐藏
改命令对敏感信息进行隐藏仅仅本地配置了隧道密码,这个命令才实际生效。缺省情况
下是不进行隐藏。该命令为L2TP专有命令。相关的设置命令如下:
命令 目的
L2tp hidden
设置L2TP属性隐藏。
1.3.16 设置PPTP隧道发送ECHO报文的时间间隔
PAC和PNS在通道建立成功以后,要定期相互发送ECHO报文,以检测链路是否正常,
发送ECHO报文的时间间隔可以设置,缺省为60,其取值范围是5-1000,单位为秒。
该命令为PPTP专有命令。只有绑定了PPTP协议,该命令才能配置。相关的设置命令
如下:
命令 目的
pptp tunnel echo echointerval
设置发送ECHO报文的时间间隔。
1.3.17 设置PPTP数据流量控制使能开关
该命令设置PPTP数据流量功能是否启用。配置这个命令才会使流量控制功能实际生效。
缺省情况下不启用该功能。由于启用该功能给路由器CPU带来额外的开销,不推荐用户
使用该功能。该命令为PPTP专有命令。只有绑定了PPTP协议,该命令才能配置。相
关的设置命令如下:
命令 目的
pptp flow-control enable
启用PPTP数据流量控制功能
1.3.18 设置PPTP数据报文Round Trip Time
该命令设置数据报文Round Trip Time。缺省情况下为300毫秒。该时间将用来设置PPTP
数据报文确认超时时间的一个初始值。该命令为PPTP专有命令。只有绑定了PPTP协
议,该命令才能配置。该命令只有在流量控制功能启用后才实际有效。相关的设置命令
如下:
命令 目的
pptp flow-control static-rtt rtt
设置数据报文Round Trip Time。
- 6 -
VPN配置
1.3.19 设置PPTP会话数据报文接收窗口的大小
该命令设置会话数据报文接收窗口的大小。缺省情况下为4。该接收窗口大小在建立会话
将告知对端以便对端初始化发送滑动窗口大小。该命令为PPTP专有命令。只有绑定了
PPTP协议,该命令才能配置。该命令只有在流量控制功能启用后才实际有效。相关的设
置命令如下:
命令 目的
pptp flow-control receive-window
recv-wins
设置PPTP会话数据报文接收窗口的大小。
1.3.20 显示VPDN组
显示当前创建的VPDN组信息,相关命令如下:
命令 目的
Show vpdn group
显示VPDN组。
1.3.21 显示L2TP事件信息
显示L2TP通道和会话建立过程中的控制信息,相关命令如下:
命令 目的
Debug l2tp event
显示L2TP事件信息。
1.3.22 显示L2TP包信息
显示L2TP通道和会话建立过程中的IP报文内容信息,相关命令如下:
命令 目的
Debug l2tp packet
显示L2TP包信息。
1.3.23 显示L2TP交互过程中的错误
显示L2TP通道和会话建立过程中的错误信息,相关命令如下:
命令 目的
Debug l2tp error
显示L2TP交互过程中的错误。
1.3.24 显示L2TP隧道统计信息
显示L2TP隧道统计信息,相关命令如下:
命令 目的
show l2tp tunnel
显示L2TP隧道统计信息。
- 7 -
VPN配置
1.3.25 显示L2TP会话统计信息
显示L2TP会话统计信息,相关命令如下:
命令 目的
show l2tp session
显示L2TP会话统计信息
1.3.26 显示PPTP事件信息
显示PPTP通道和会话建立过程中的控制信息,相关命令如下:
命令 目的
Debug pptp event
显示PPTP事件信息。
1.3.27 显示PPTP包信息
显示PPTP通道和会话建立过程中的IP报文内容信息,相关命令如下:
命令 目的
Debug pptp packet
显示PPTP包信息。
1.3.28 显示PPTP交互过程中的错误
显示PPTP通道和会话建立过程中的错误信息,相关命令如下:
命令 目的
Debug pptp error
显示PPTP交互过程中的错误。
1.3.29 显示PPTP隧道统计信息
显示L2TP隧道统计信息,相关命令如下:
命令 目的
show pptp tunnel
显示PPTP隧道统计信息。
1.3.30 显示PPTP会话统计信息
显示PPTP会话统计信息,相关命令如下:
命令 目的
show pptp session
显示PPTP会话统计信息。
1.3.31 显示PPTP流量统计信息
显示PPTP流量统计信息,相关命令如下:
- 8 -
VPN配置
命令 目的
show pptp traffic
显示PPTP流量统计信息。
1.3.32 清除L2TP隧道
清除L2TP指定隧道,相关命令如下:
命令 目的
clear l2tp tunnel tunlID
清除L2TP指定隧道。
1.3.33 清除L2TP会话
清除L2TP指定会话,相关命令如下:
命令 目的
clear l2tp session tunnelID tunlID
sesionID sessionID
清除L2TP指定会话。
1.3.34 清除PPTP隧道
清除PPTP指定隧道,相关命令如下:
命令 目的
clear pptp tunnel tunlID
清除PPTP指定隧道。
1.3.35 清除PPTP会话
清除PPTP指定会话,相关命令如下:
命令 目的
clear pptp session tunlID tunlID sesionID
sessionID
清除PPTP指定会话。
1.4 配置示例
1.4.1 采用L2TP协议配置示例
下面是一个普通配置例子。采用L2TP协议。
路由器RouterA-CLIENT和RouterA-LAC的串口1均封装PPP协议,LAC采用CHAP
认证;CHAP认证的用户名必须输入对端路由器的prompt下的用户名;两台路由器CHAP
认证的password必须相同,路由器RouterA-LAC和RouterA-LNS都通过以太网口0相
连。如下图所示:
- 9 -
VPN配置
图 1 采用L2TP协议配置示例图
配置如下:
Client端配置如下:
username ht1@domain.com.cn password 123
interface Serial0/0
ip address 11.9.9.1 255.255.255.0
no ip directed-broadcast
encapsulation ppp
ppp chap hostname ht1@domain.com.cn
LAC配置如下
username ht1@domain.com.cn password 123
interface Serial0/0
ip address 11.9.9.2 255.255.255.0
no ip directed-broadcast
encapsulation ppp
ppp authentication chap
ppp chap hostname ht1@domain.com.cn
physical-layer speed 115200
vpdn-group 1
request-dialin
domain domain.com.cn
protocol l2tp
initiate-to ip 192.168.20.204 priority 1
no l2tp tunnel authentication
local-name lac
source-ip 192.168.20.92
LNS配置如下
username ht1@domain.com.cn password 123
vpdn-group 1
accept-dialin
terninate-from lac
protocol l2tp
no l2tp tunnel authentication
virtual-template 1
interface Virtual-Template1
ip address 11.9.9.3 255.255.255.0
- 10 -
VPN配置
ppp authentication chap
ppp chap hostname ht1@domain.com.cn
1.4.2 采用PPTP协议配置示例
路由器支持一种Virtual-tunnel端口(简称VN端口),当该端口配置在作为PAC的路由
器上时,可以代替客户端的作用,从而使Client端和NAC合二为一。这样两个LAN的
路由器可以跨越Internet通过第二层隧道虚拟互联,从而实现公司各个分支机构LAN与
公司总部LAN虚拟互联的VPN网络。
下面的示例中,我们将采用PPTP协议。PAC采用CHAP认证;CHAP认证的用户名必
须输入对端路由器的prompt下的用户名;两台路由器CHAP认证的password必须相同,
路由器RouterA-PAC和RouterA-PNS都通过以太网口0相连。如图2所示:
图2 采用PPTP协议配置示例图
配置如下:
PAC端配置如下:
username ht1@domain.com.cn password 123
interface virtual-tunnel 1
ip address 11.9.9.1 255.255.255.0
no ip directed-broadcast
ppp chap hostname ht1@domain.com.cn
vpdn-group 1
request-dialin
protocol pptp
domain domain.com.cn
initiate-to ip 192.168.20.204 priority 1
local-name pac
PNS配置如下
username ht1@domain.com.cn password 123
vpdn-group 1
accept-dialin
protocol pptp
terninate-from pac
virtual-template 1
interface Virtual-Template1
- 11 -
VPN配置
- 12 -
ip address 11.9.9.3 255.255.255.0
ppp authentication chap
ppp chap hostname ht1@domain.com.cn