DLink认证参考资料：14-VPN配置

VPN配置 目录 目 录 第1章 VPN配置............................................................................................................................................................. 1 1.1 VPDN概述........................................................................................................................................................... 1 1.2 VPDN配置任务列表......................................................................................................................................... 1 1.3 VPDN配置任务.................................................................................................................................................. 2 1.3.1 VPDN模块封装...................................................................................................................................... 2 1.3.2 创建VPDN组........................................................................................................................................ 3 1.3.3 设置NAC的域名................................................................................................................................. 3 1.3.4 设置和NAC对通的远端NS的IP地址.......................................................................................... 3 1.3.5 设置和NAC对通的远端NS的域名................................................................................................ 4 1.3.6 设置VPDN组本地隧道名.................................................................................................................. 4 1.3.7 设置和NS对通的远端NAC的隧道名............................................................................................ 4 1.3.8 设置NS和CLIENT端进行重新认证............................................................................................... 4 1.3.9 设置NS和CLIENT端进行LCP重新协商...................................................................................... 5 1.3.10 设置在NS工作组上克隆配置的源端口...................................................................................... 5 1.3.11 设置L2TP通道认证.......................................................................................................................... 5 1.3.12 设置L2TP通道密码.......................................................................................................................... 5 1.3.13 设置L2TP隧道发送HELLO报文的时间间隔............................................................................. 5 1.3.14 设置L2TP隧道接收窗口大小........................................................................................................ 6 1.3.15 设置L2TP属性隐藏.......................................................................................................................... 6 1.3.16 设置PPTP隧道发送ECHO报文的时间间隔.............................................................................. 6 1.3.17 设置PPTP数据流量控制使能开关............................................................................................... 6 1.3.18 设置PPTP数据报文Round Trip Time.............................................................................................. 6 1.3.19 设置PPTP会话数据报文接收窗口的大小.................................................................................. 7 1.3.20 显示VPDN组...................................................................................................................................... 7 1.3.21 显示L2TP事件信息.......................................................................................................................... 7 1.3.22 显示L2TP包信息.............................................................................................................................. 7 1.3.23 显示L2TP交互过程中的错误........................................................................................................ 7 1.3.24 显示L2TP隧道统计信息................................................................................................................. 7 1.3.25 显示L2TP会话统计信息................................................................................................................. 8 1.3.26 显示PPTP事件信息......................................................................................................................... 8 1.3.27 显示PPTP包信息.............................................................................................................................. 8 1.3.28 显示PPTP交互过程中的错误........................................................................................................ 8 1.3.29 显示PPTP隧道统计信息................................................................................................................ 8 1.3.30 显示PPTP会话统计信息................................................................................................................ 8 1.3.31 显示PPTP流量统计信息................................................................................................................ 8 1.3.32 清除L2TP隧道................................................................................................................................... 9 1.3.33 清除L2TP会话................................................................................................................................... 9 - I - 目录 1.3.34 清除PPTP隧道.................................................................................................................................. 9 1.3.35 清除PPTP会话.................................................................................................................................. 9 1.4 配置示例............................................................................................................................................................ 9 1.4.1 采用L2TP协议配置示例................................................................................................................... 9 1.4.2 采用PPTP协议配置示例................................................................................................................ 11 - II - VPN配置 第1章 VPN配置 1.1 VPDN概述 VPDN是L2TP模块以及PPTP模块中和VPDN组打交道的一个子模块，主要用于创建 和管理VPDN组信息， NAC（Network Access Concentrator）和NS(Network Server, 又称Tunnel Server)都需要从VPDN组配置中获取相关的信息，用于创建通道和会话。 这里要特别说明的是，在下面的说明中，对于L2TP协议，NAC被称作LAC（L2TP Access Concentrator），NS被称作LNS（L2TP Network Server）；对于PPTP，NAC被称作PAC （PPTP Access Concentrator），NS被称作PNS（PPTP Network Server）。 1.2 VPDN配置任务列表 null VPDN模块封装 null 创建VPDN组 null 设置NAC的域名 null 设置和NAC对通的远端NS的IP地址 null 设置VPDN组本地隧道名 null 设置和NS对通的远端NAC的隧道名 null 设置NS和CLIENT端进行重新认证 null 设置NS和CLIENT端进行LCP重新协商 null 设置在NS工作组上克隆配置的源端口 null 设置L2TP通道认证 null 设置L2TP通道密码 null 设置L2TP隧道发送HELLO报文的时间间隔 null 设置L2TP隧道接收窗口大小 null 设置L2TP属性隐藏 null 设置PPTP隧道发送ECHO报文的时间间隔 null 设置PPTP数据流量控制使能开关 null 设置PPTP数据报文Round Trip Time - 1 - VPN配置 null 设置PPTP会话数据报文接收窗口的大小 null 显示VPDN组 null 显示L2TP事件信息 null 显示L2TP包信息 null 显示L2TP交互过程中的错误 null 显示L2TP隧道统计信息 null 显示L2TP会话统计信息 null 显示PPTP事件信息 null 显示PPTP包信息 null 显示PPTP交互过程中的错误 null 显示PPTP隧道统计信息 null 显示PPTP会话统计信息 null 显示PPTP流量统计信息 null 清除L2TP隧道 null 清除L2TP会话 null 清除PPTP隧道 null 清除PPTP会话 1.3 VPDN配置任务 1.3.1 VPDN模块封装 只有封装VPDN模块时，CLIENT端才可能给NAC发LCP OPEN消息，缺省时，系统 VPDN功能是禁止的。当执行VPDN enable命令后，VPDN功能才被打开。NO命令禁 止VPDN子功能。 要绊定VPDN模块，使用下面命令： 命令 作用 vpdn enable 封装VPDN模块。 - 2 - VPN配置 1.3.2 创建VPDN组 通道控制块的信息都是从VPDN组中获得，目前最多可以支持创建300个VPDN组，要 创建VPDN组，使用下面命令： 命令 目的 vpdn-group group_number 创建VPDN组。 1. 将VPDN组设置成为NS拨入方式 VPDN组可以作为NAC或NS，将VPDN组设置成为NS的命令如下： 命令 目的 Accept-dialin 将VPDN组设置成为NS拨入方式。 2. 将VPDN组设置成为NAC拨入方式 VPDN组可以作为NAC或NS，将VPDN组设置成为NAC的命令如下： 命令 目的 Request-dialin 将VPDN组设置成为NAC拨入方式。 3. 协议绊定 VPDN组必须和相关的协议进行绊定，目前，我们已支持L2TP协议以及PPTP协议， VPDN组和协议绊定的命令如下： 命令 目的 Protocol l2tp 将VPDN组和L2TP协议绊定。 Protocol pptp 将VPDN组和PPTP协议绊定。 1.3.3 设置NAC的域名 只有对用户名在某个VPDN组的域中的LCP OPEN请求用户名，NAC才会作出响应， 发送SCCRQ消息，用户名必须包含’@’分割符，’@’后面的字符为用户所属的域名，设 置NAC的域名的命令如下： 命令 目的 Domain domain_name 设置NAC的域名。 1.3.4 设置和NAC对通的远端NS的IP地址 NAC在对CLIENT端发来的LCP OPEN请求作出响应，发送SCCRQ消息时，必须要 有一个目标NS，所以要指定和NAC对通的远端NS。本命令以直接指定IP地址的方式 来指定NS。也可以间接指定IP地址的方式来指定NS（指定域名，见设置和NAC对通 的远端NS的域名）。NAC可以按NS的优先级向多个NS发出请求。优先级相同按IP地 - 3 - VPN配置 址从小到大的顺序。如果没有响应，再发送到下一个IP地址或者域名所指定的NS。最 多可以指定5个不同NS，优先级取值从0到4，优先级值越小，优先级越高，相关命令 如下： 命令 说明 Initiate-to ip ipaddr priority priority_num 设置和NAC对通的远端NS的IP地址。 1.3.5 设置和NAC对通的远端NS的域名 NAC在对CLIENT端发来的LCP OPEN请求作出响应，发送SCCRQ消息时，必须要 有一个目标NS，所以要指定和NAC对通的远端NS的IP地址。除了用Initiate-to ip 直 接指定IP地址的方式外（见设置和NAC对通的远端NS的IP地址），还可以用命令 Initiate-to host-name以指定域名的方式来间接指定和NAC对通的NS的IP地址，VPDN 模块将通过DNS来查询域名所对应的IP地址。NAC可以按NS的优先级向多个NS发 出请求。优先级相同按IP地址从小到大的顺序。如果没有响应，再发送到下一个IP地址 或者域名所指定的NS。最多可以指定5个不同NS，优先级取值从0到4，优先级值越 小，优先级越高，相关命令如下： 命令 说明 Initiate-to host-name name priority priority_num 设置和NAC对通的远端NS的域名。 1.3.6 设置VPDN组本地隧道名 NAC在发送SCCRQ的时候必须将本地隧道名一起发送出去，这样NS才能根据远端发 来的隧道名找到本地对于的VDPN组，本地隧道名最多244位字符串，相关命令如下： 命令 目的 Local-name local_name 设置VPDN组本地隧道名。 1.3.7 设置和NS对通的远端NAC的隧道名 NS在收到SCCRQ消息以后，根据SCCRQ消息带的NAC端的隧道名，在本地查找远 端隧道名和NAC隧道名匹配的VPDN组，所以作为NS的VPDN组可以配置和NS对通 的远端隧道名，以便于在收到SCCRQ消息后，进行匹配,如果一个VPDN组没有配置对 通的远端隧道名，那么它就是默认的VPDN组，在没有其他匹配的VPDN组时，就采用 它的信息。 命令 作用 Terminate-from remote_nac_name 设置和NS对通的远端NAC的隧道名。 1.3.8 设置NS和CLIENT端进行重新认证 在会话建立成功，且NS代替NAC对CLIENT端进行认证以后，可以选择NS和CLIENT 重新进行认证的过程. 值得注意的是，只有绑定L2TP协议时该命令才有效。相关命令如 下： - 4 - VPN配置 命令 目的 Force-local-chap 设置NS和CLIENT端进行重新认证。 1.3.9 设置NS和CLIENT端进行LCP重新协商 在会话建立成功，NS可以选择和CLIENT端重新进行整个PPP协议的重新协商，值得 注意的是，只有绑定L2TP协议时该命令才有效。对于PPTP，无论该命令配置与否，PNS 均与Client端重新进行协商。相关命令如下： 命令 目的 lcp-renegotiation 设置NS和CLIENT端进行LCP重新协商 。 1.3.10 设置在NS工作组上克隆配置的源端口 NS在SESSION建立以后，必须通过某个虚拟接口和CLIENT进行交互，虚拟接口号可 以是已经创建的虚拟模块接口，如果这个端口没有创建，则创建该接口,相关命令如下： 命令 目的 virtual-template virtual-temp-num 设置在NS工作组上克隆配置的源端口 1.3.11 设置L2TP通道认证 可以在LAC和LNS之间进行类似CHAP的认证过程，只有认证通过以后才能建立通道。 该命令为L2TP专有命令。相关命令如下： 命令 作用 L2tp tunnel authen 设置通道认证。 1.3.12 设置L2TP通道密码 如果在LNS和LAC都配置了通道认证，必须在两边的通道都配置了相同的密码，认证才 能成功,通道密码最多254个字符。该命令为L2TP专有命令。设置通道密码命令如下： 命令 作用 L2tp tunnel password password 设置通道密码。 1.3.13 设置L2TP隧道发送HELLO报文的时间间隔 LAC和LNS在会话建立成功以后，要定期相互发送HELLO报文，以检测链路是否正常， 发送HELLO报文的时间间隔可以设置，缺省为60，其取值范围是5-100，单位为秒。该 命令为L2TP专有命令。相关的设置命令如下： 命令 作用 L2tp tunnel hello hellointerval 设置发送HELLO报文的时间间隔。 - 5 - VPN配置 1.3.14 设置L2TP隧道接收窗口大小 本命令用来指定本地接收BUFFER大小。同时在L2TP隧道协商时告知对端，对端根据 这个值设定相应发送报文的滑动窗口大小。滑动窗口的大小取值是4到100。该命令为 L2TP专有命令。相关的设置命令如下： 命令 目的 L2tp tunnel receive-window receive-window-size 设置隧道接收窗口大小。 1.3.15 设置L2TP属性隐藏 改命令对敏感信息进行隐藏仅仅本地配置了隧道密码，这个命令才实际生效。缺省情况 下是不进行隐藏。该命令为L2TP专有命令。相关的设置命令如下： 命令 目的 L2tp hidden 设置L2TP属性隐藏。 1.3.16 设置PPTP隧道发送ECHO报文的时间间隔 PAC和PNS在通道建立成功以后，要定期相互发送ECHO报文，以检测链路是否正常， 发送ECHO报文的时间间隔可以设置，缺省为60，其取值范围是5-1000，单位为秒。 该命令为PPTP专有命令。只有绑定了PPTP协议，该命令才能配置。相关的设置命令 如下： 命令 目的 pptp tunnel echo echointerval 设置发送ECHO报文的时间间隔。 1.3.17 设置PPTP数据流量控制使能开关 该命令设置PPTP数据流量功能是否启用。配置这个命令才会使流量控制功能实际生效。 缺省情况下不启用该功能。由于启用该功能给路由器CPU带来额外的开销，不推荐用户 使用该功能。该命令为PPTP专有命令。只有绑定了PPTP协议，该命令才能配置。相 关的设置命令如下： 命令 目的 pptp flow-control enable 启用PPTP数据流量控制功能 1.3.18 设置PPTP数据报文Round Trip Time 该命令设置数据报文Round Trip Time。缺省情况下为300毫秒。该时间将用来设置PPTP 数据报文确认超时时间的一个初始值。该命令为PPTP专有命令。只有绑定了PPTP协 议，该命令才能配置。该命令只有在流量控制功能启用后才实际有效。相关的设置命令 如下： 命令 目的 pptp flow-control static-rtt rtt 设置数据报文Round Trip Time。 - 6 - VPN配置 1.3.19 设置PPTP会话数据报文接收窗口的大小 该命令设置会话数据报文接收窗口的大小。缺省情况下为4。该接收窗口大小在建立会话 将告知对端以便对端初始化发送滑动窗口大小。该命令为PPTP专有命令。只有绑定了 PPTP协议，该命令才能配置。该命令只有在流量控制功能启用后才实际有效。相关的设 置命令如下： 命令 目的 pptp flow-control receive-window recv-wins 设置PPTP会话数据报文接收窗口的大小。 1.3.20 显示VPDN组 显示当前创建的VPDN组信息,相关命令如下： 命令 目的 Show vpdn group 显示VPDN组。 1.3.21 显示L2TP事件信息 显示L2TP通道和会话建立过程中的控制信息,相关命令如下： 命令 目的 Debug l2tp event 显示L2TP事件信息。 1.3.22 显示L2TP包信息 显示L2TP通道和会话建立过程中的IP报文内容信息，相关命令如下： 命令 目的 Debug l2tp packet 显示L2TP包信息。 1.3.23 显示L2TP交互过程中的错误 显示L2TP通道和会话建立过程中的错误信息,相关命令如下： 命令 目的 Debug l2tp error 显示L2TP交互过程中的错误。 1.3.24 显示L2TP隧道统计信息 显示L2TP隧道统计信息，相关命令如下： 命令 目的 show l2tp tunnel 显示L2TP隧道统计信息。 - 7 - VPN配置 1.3.25 显示L2TP会话统计信息 显示L2TP会话统计信息,相关命令如下： 命令 目的 show l2tp session 显示L2TP会话统计信息 1.3.26 显示PPTP事件信息 显示PPTP通道和会话建立过程中的控制信息，相关命令如下： 命令 目的 Debug pptp event 显示PPTP事件信息。 1.3.27 显示PPTP包信息 显示PPTP通道和会话建立过程中的IP报文内容信息，相关命令如下： 命令 目的 Debug pptp packet 显示PPTP包信息。 1.3.28 显示PPTP交互过程中的错误 显示PPTP通道和会话建立过程中的错误信息，相关命令如下： 命令 目的 Debug pptp error 显示PPTP交互过程中的错误。 1.3.29 显示PPTP隧道统计信息 显示L2TP隧道统计信息，相关命令如下： 命令 目的 show pptp tunnel 显示PPTP隧道统计信息。 1.3.30 显示PPTP会话统计信息 显示PPTP会话统计信息,相关命令如下： 命令 目的 show pptp session 显示PPTP会话统计信息。 1.3.31 显示PPTP流量统计信息 显示PPTP流量统计信息，相关命令如下： - 8 - VPN配置 命令 目的 show pptp traffic 显示PPTP流量统计信息。 1.3.32 清除L2TP隧道 清除L2TP指定隧道,相关命令如下： 命令 目的 clear l2tp tunnel tunlID 清除L2TP指定隧道。 1.3.33 清除L2TP会话 清除L2TP指定会话,相关命令如下： 命令 目的 clear l2tp session tunnelID tunlID sesionID sessionID 清除L2TP指定会话。 1.3.34 清除PPTP隧道 清除PPTP指定隧道,相关命令如下： 命令 目的 clear pptp tunnel tunlID 清除PPTP指定隧道。 1.3.35 清除PPTP会话 清除PPTP指定会话,相关命令如下： 命令 目的 clear pptp session tunlID tunlID sesionID sessionID 清除PPTP指定会话。 1.4 配置示例 1.4.1 采用L2TP协议配置示例 下面是一个普通配置例子。采用L2TP协议。 路由器RouterA-CLIENT和RouterA-LAC的串口1均封装PPP协议，LAC采用CHAP 认证；CHAP认证的用户名必须输入对端路由器的prompt下的用户名；两台路由器CHAP 认证的password必须相同，路由器RouterA-LAC和RouterA-LNS都通过以太网口0相 连。如下图所示： - 9 - VPN配置 图 1 采用L2TP协议配置示例图 配置如下： Client端配置如下： username ht1@domain.com.cn password 123 interface Serial0/0 ip address 11.9.9.1 255.255.255.0 no ip directed-broadcast encapsulation ppp ppp chap hostname ht1@domain.com.cn LAC配置如下 username ht1@domain.com.cn password 123 interface Serial0/0 ip address 11.9.9.2 255.255.255.0 no ip directed-broadcast encapsulation ppp ppp authentication chap ppp chap hostname ht1@domain.com.cn physical-layer speed 115200 vpdn-group 1 request-dialin domain domain.com.cn protocol l2tp initiate-to ip 192.168.20.204 priority 1 no l2tp tunnel authentication local-name lac source-ip 192.168.20.92 LNS配置如下 username ht1@domain.com.cn password 123 vpdn-group 1 accept-dialin terninate-from lac protocol l2tp no l2tp tunnel authentication virtual-template 1 interface Virtual-Template1 ip address 11.9.9.3 255.255.255.0 - 10 - VPN配置 ppp authentication chap ppp chap hostname ht1@domain.com.cn 1.4.2 采用PPTP协议配置示例 路由器支持一种Virtual-tunnel端口（简称VN端口），当该端口配置在作为PAC的路由 器上时，可以代替客户端的作用，从而使Client端和NAC合二为一。这样两个LAN的 路由器可以跨越Internet通过第二层隧道虚拟互联，从而实现公司各个分支机构LAN与 公司总部LAN虚拟互联的VPN网络。 下面的示例中，我们将采用PPTP协议。PAC采用CHAP认证；CHAP认证的用户名必 须输入对端路由器的prompt下的用户名；两台路由器CHAP认证的password必须相同， 路由器RouterA-PAC和RouterA-PNS都通过以太网口0相连。如图2所示： 图2 采用PPTP协议配置示例图 配置如下： PAC端配置如下： username ht1@domain.com.cn password 123 interface virtual-tunnel 1 ip address 11.9.9.1 255.255.255.0 no ip directed-broadcast ppp chap hostname ht1@domain.com.cn vpdn-group 1 request-dialin protocol pptp domain domain.com.cn initiate-to ip 192.168.20.204 priority 1 local-name pac PNS配置如下 username ht1@domain.com.cn password 123 vpdn-group 1 accept-dialin protocol pptp terninate-from pac virtual-template 1 interface Virtual-Template1 - 11 - VPN配置 - 12 - ip address 11.9.9.3 255.255.255.0 ppp authentication chap ppp chap hostname ht1@domain.com.cn