DJ000012 IP VPN实验指导书 ISSUE10.docx

DJ000012 IP VPN实验指导书 ISSUE10.docx

《DJ000012 IP VPN实验指导书 ISSUE10.docx》由会员分享，可在线阅读，更多相关《DJ000012 IP VPN实验指导书 ISSUE10.docx（36页珍藏版）》请在冰豆网上搜索。

DJ000012IPVPN实验指导书ISSUE10

DJ000012

IPVPN实验指导书

ISSUE1.0

目录

课程说明1

实验说明1

版本说明1

实验目的1

实验任务1

相关资料1

第1章L2TP配置指导2

1.1组网及业务描述2

1.2命令行列表2

1.3配置流程图3

1.4配置步骤3

1.5结果验证4

1.6FAQ5

1.7附加任务6

1.8配置参考6

第2章GRE配置指导9

2.1组网及业务描述9

2.2命令行列表9

2.3配置流程图10

2.4配置步骤10

2.5结果验证11

2.6FAQ12

2.7配置参考13

第3章IPSec配置指导15

3.1组网及业务描述15

3.2命令行列表15

3.3配置流程图18

3.4配置步骤19

3.5结果验证20

3.6FAQ21

3.7附加任务22

3.8配置参考22

课程说明

实验说明

本实验指导书本主要介绍了IPVPN里各协议的基本业务配置方法及配置流程，涵盖了当前的主要二/三层VPN技术，相信您能通过本指导书了解基本的IPVPN业务的配置方法及配置流程。

版本说明

本指导书适用于VRP版本3.30与VRP版本5.10

实验目的

●了解IPVPN的基本原理

●掌握IPVPN的配置流程

●熟悉IPVPN的配置命令

实验任务

●配置L2TP

●配置GRE

●配置IPSec

相关资料

●VRP3.30操作手册

●VRP5.10操作手册

第1章L2TP配置指导

编写提示：

本上机指导书实用于版本V200R002，最后更新时间2005-05-08

1.1组网及业务描述

编写提示：

给出实验室里的组网图，并描述该组网的主要特征。

在描述的时候请注意在配置业务的时候涉及到的参数和说明请在这里注明。

图1-1

●路由器RTA与RTD通过Serial口相连，链路层封装PPP。

RTA与RTD相连的接口配置发送PPP认证信息，并配置IP地址为ppp-negotiate；RTD与RTA相连的接口配置PPP认证。

●RTA设备上连接RTD的接口必须为PPP链路，主要是通过PPP链路特点，实现发送用户名与密码。

●其中RTA与RTC的LoopBack地址作为私有网络进行相互访问

1.2命令行列表

表1-1

操作

版本

命令

使能L2TP

VRP3.30

l2tpenable

VRP5.10

l2tpenable

创建L2TP组

VRP3.30

l2tp-groupgroup-number

VRP5.10

l2tp-groupgroup-number

设置本端隧道名称

VRP3.30

tunnelnamename

VRP5.10

tunnelnamename

配置发起L2TP连接请求的触发条件及LNS地址

VRP3.30

startl2tp{ipX.X.X.X[ipX.X.X.X][ipX.X.X.X]...}{domaindomain-name|fullusernameuser-name}

VRP5.10

startl2tp{ipX.X.X.X[ipX.X.X.X][ipX.X.X.X]...}{domaindomain-name|fullusernameuser-name}

设置通道对端的名称

VRP3.30

allowl2tpvirtual-templatevirtual-template-numberremoteremote-name[domaindomain-name]

VRP5.10

allowl2tpvirtual-templatevirtual-template-numberremoteremote-name[domaindomain-name]

启用隧道验证

VRP3.30

tunnelauthentication

VRP5.10

tunnelauthentication

设置隧道验证的密码

VRP3.30

tunnelpassword{simple|cipher}password

VRP5.10

tunnelpassword{simple|cipher}password

设置用户名及密码

VRP3.30

local-userusernamepassword{simple|cipher}password

VRP5.10

local-userusernamepassword{simple|cipher}password

1.3配置流程图

图1-1

编写提示：

通过表格的形式列举实验中要使用到的主要的，典型的命令行列。

可以参考命令行手册。

主要数通采用。

1.4配置步骤

编写提示：

[列出需要完成实验所需要的步骤，并对各个步骤作必要说明。

说明应使学员可以更容易理解业务，同时在配置描述的时候给出相关参数（如下面的IP地址，密钥，名称等），尽量使得配置数据规范，避免配置冲突。

]

（1）激活L2TP

在系统视图下，激活L2TP；

（2）创建L2TP组

在系统视图下，创建L2TP组；

（3）配置LAC

在LAC设备下，进入L2TP组视图下，配置发起L2TP连接请求的触发条件及LNS地址，并根据需求配置额外功能；

（4）配置LNS

在LNS设备下，进入L2TP组视图下，配置通道对端的名称，并根据需求配置额外功能；

说明：

其中RTA与RTC的私有网络相互访问需要时，两路由器都需要到达远端私网的路由信息。

1.5结果验证

编写提示：

给出验证结果的方法和步骤。

验证的时候的方式多样一些，分步骤进行，这样就可以让学员在验证结果的时候能够更加充分地理解业务的工作原理。

（5）displayl2tptunnel/displayl2tpsession查看l2tp连接信息，可以看到建立了一条Tunnel；

[RTD]disl2tptunnel

LocalTIDRemoteTIDRemoteAddressPortSessionsRemoteName

1110.2.2.217011RTC

Totaltunnel=1

[RTD]disl2tpsession

LocalSIDRemoteSIDLocalTID

29326112361

Totalsession=1

（6）通过displayinterfaceserial2/0路由器端口是否成功获取LNS分配的IP地址；

[RTA]disints2/0

Serial2/0currentstate:

UP

Lineprotocolcurrentstate:

UP

Description:

Serial2/0Interface

TheMaximumTransmitUnitis1500,Holdtimeris10（sec）

InternetAddressisnegotiated,100.1.1.2/32

LinklayerprotocolisPPP

LCPopened,IPCPopened

Outputqueue:

（Urgentqueue:

Size/Length/Discards）0/50/0

Outputqueue:

（Protocolqueue:

Size/Length/Discards）0/500/0

Outputqueue:

（FIFOqueuing:

Size/Length/Discards）0/75/0

Physicallayerissynchronous,Baudrateis64000bps

InterfaceisDCE,CabletypeisV35

Last300secondsinputrate4.11bytes/sec,0.22packets/sec

Last300secondsoutputrate4.21bytes/sec,0.22packets/sec

Input:

1045packets,13286bytes

0broadcasts,0multicasts

0errors,0runts,0giants

0CRC,0alignerrors,0overruns

0dribbles,0aborts,0nobuffers

0frameerrors

Output:

1162packets,16432bytes

0errors,0underruns,0collisions

0deferred

DCD=UPDTR=UPDSR=UPRTS=UPCTS=UP

（7）Ping远端隧道端口的IP地址，检测隧道连通性；

[RTA]ping100.1.1.1

PING100.1.1.1:

56databytes,pressCTRL_Ctobreak

Replyfrom100.1.1.1:

bytes=56Sequence=1ttl=255time=29ms

Replyfrom100.1.1.1:

bytes=56Sequence=2ttl=255time=30ms

Replyfrom100.1.1.1:

bytes=56Sequence=3ttl=255time=28ms

Replyfrom100.1.1.1:

bytes=56Sequence=4ttl=255time=28ms

Replyfrom100.1.1.1:

bytes=56Sequence=5ttl=255time=29ms

---100.1.1.1pingstatistics---

5packet（s）transmitted

5packet（s）received

0.00%packetloss

round-tripmin/avg/max=28/28/30ms

1.6FAQ

编写提示：

列举在配置的过程中或者验证结果的时候可能出现的一些问题，并给出解答。

这里的问题应该是学员最容易犯的一些问题和错误。

老师在带上机的时候可以搜集这方面的问题，并将它们列举在这里。

Q：

组网图里出现LAC与LNS，这两个设备是L2TP技术非常重要的两个设备，请问这两个设备的功能是什么？

A：

LAC表示L2TP访问集中器（L2TPAccessConcentrator），是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备。

LNS表示L2TP网络服务器（L2TPNetworkServer），是PPP端系统上用于处理L2TP协议服务器端部分的设备。

LAC一般是一个网络接入服务器NAS，通过PSTN/ISDN网络为用户提供接入服务。

LAC位于LNS和远端系统（远地用户和远地分支机构）之间，把从远端系统收到的信息包按照L2TP协议封装并送往LNS，将从LNS收到的信息包解封装并送往远端系统。

LAC与远端系统之间可以采用本地连接或PPP链路，VPDN应用中通常为PPP链路。

LNS作为L2TP隧道的另一侧端点，是LAC的对端设备，是被LAC进行隧道传输的PPP会话的逻辑终止端点。

Q：

L2TP以基于什么协议来传输数据？

端口号是什么？

A：

L2TP数据以UDP报文的形式发送。

L2TP注册了UDP1701端口，但这个端口仅用于初始的隧道建立过程中。

L2TP隧道发起方任选一个空闲的端口（未必是1701）向接收方的1701端口发送报文；接收方收到报文后，也任选一个空闲的端口（未必是1701），给发送方的指定端口回送报文。

至此，双方的端口选定，并在隧道保持连通的时间段内不再改变。

Q：

请简单描述隧道与会话之间的关系？

A：

在一个LNS和LAC对之间存在着两种类型的连接，一种是隧道（Tunnel）连接，它定义了一个LNS和LAC对；另一种是会话（Session）连接，它复用在隧道连接之上，用于表示承载在隧道连接中的每个PPP会话过程。

同一对LAC和LNS之间可以建立多个L2TP隧道，隧道由一个控制连接和一个或多个会话（Session）组成。

会话连接必须在隧道建立（包括身份保护、L2TP版本、帧类型、硬件传输类型等信息的交换）成功之后进行，每个会话连接对应于LAC和LNS之间的一个PPP数据流。

控制消息和PPP数据报文都在隧道上传输。

L2TP使用Hello报文来检测隧道的连通性。

LAC和LNS定时向对端发送Hello报文，若在一段时间内未收到Hello报文的应答，该会话将被清除。

1.7附加任务

L2TP是VPDN里的其中一种，它通过LAC拨号的方式来建立隧道，LAC可以是路由器，也可以是终端设备，如PC。

请尝试用PC设备作为LAC拨号与LNS建立隧道。

编写提示：

学员除了完成前面的主要业务配置之外，还可以在以上配置的基础之上，附加一些其他的业务。

如通过修改，删除，添加某些参数的形式，来观察原来的业务会发生的改变。

通过这种方式，学员就可以进一步地理解所配置的业务。

1.8配置参考

编写提示：

给出要得出实验结果所需要的完整的数据配置。

这一部分主要是提供给基础一般或者比较差的学员，供他们在配置业务的时候参考。

这里的配置必须要保证它的正确性，也就是说当学员按照命令行配置的时候，能够得到在前面结果验证中的结果。

1.8.1端口配置

1.配置RTA

system-view

[RTA]intloopback0

[RTA-LoopBack0]ipadd1.1.1.1255.255.255.255

[RTA]intserial2/0

[RTA-Serial2/0]ipaddppp-negotiate

2.配置RTD

system-view

[RTD]intserial2/0

[RTD-Serial2/0]undoipadd

[RTD-Ethernet0/0]ipadd10.2.2.1255.255.255.252

3.配置RTC

system-view

[RTC]intethernet0/0

[RTC-Ethernet0/0]ipadd10.2.2.2255.255.255.252

[RTC]intVirtual-Template0

[RTC-Virtual-Template0]ipaddress100.1.1.1255.255.255.0

1.8.2L2TP配置

1.配置RTA

（8）发送用户名及密码

[RTA-Serial2/0]pppchapuservpdnuser

[RTA-Serial2/0]pppchappasswordsimplehuawei

2.配置RTD

（9）设置本地用户数据库

[RTD]local-uservpdnuserpasswordsimplehuawei

（10）配置认证方法

[RTD-Serial2/0]pppauthentication-modechap

（11）配置LAC

[RTD]l2tpenable

[RTD]l2tp-group100

[RTD-l2tp100]startl2tpip10.2.2.1fullusernamevpdnuser

[RTD-l2tp100]tunnelpasswordsimplel2tp

说明：

默认的情况下，隧道认证是被打开的。

也就是说在隧道认证功能被打开的情况下我们必需配置LAC与LNS双方一致的密码；

在这里LAC隧道名的配置是可选的，因为在默认的情况下采用路由器本身的名字，即：

RTD

3.配置RTC

（12）设置本地用户数据库

[RTC]local-uservpdnuserpasswordsimplehuawei

（13）创建地址池

[Quidway]ippool0100.1.1.2100.1.1.100

（14）配置virtual-template端口

[RTC]intVirtual-Template0

[RTC-Virtual-Template0]pppauthentication-modechap

[RTC-Virtual-Template0]remoteaddresspool0

（15）配置LNS

[RTC]l2tpenable

[RTC]l2tp-group100

[RTC-l2tp100]tunnelpasswordsimplel2tp

[RTC-l2tp100]allowl2tpvirtual-template0remoteRTD

说明：

在这里远程LAC隧道名的配置必需与LAC的隧道名一致才能建立隧道，LAC与LNS在默认的情况下都采用路由器本身的名字，这可以通过人工手动更改；

第2章

GRE配置指导

2.1组网及业务描述

编写提示：

给出实验室里的组网图，并描述该组网的主要特征。

在描述的时候请注意在配置业务的时候涉及到的参数和说明请在这里注明。

图2-1

●RTA、RTB、RTC属于VPN骨干网，它们之间运行OSPF。

●RTA和RTC之间使用三层隧道协议GRE，实现RTA和RTC的LoopBack之间互联。

●当隧道建立以后，配置Tunnel的路由

2.2命令行列表

表2-1

操作

版本

命令

创建Tunnel接口

VRP3.30

interfacetunnelinterface-number

VRP5.10

interfacetunnelinterface-number

配置隧道接口供GRE或CRLSP隧道使用

VRP3.30

tunnel-protocolgre

VRP5.10

tunnel-protocolgre

设置Tunnel接口的源端地址

VRP3.30

source{ip-address|interface-typeinterface-number}

VRP5.10

source{ip-address|interface-typeinterface-number}

设置Tunnel接口的目的端地址

VRP3.30

destinationip-address

VRP5.10

destinationip-address

配置静态路由

VRP3.30

iproute-staticdestination-ip-address{mask|mask-length}tunneltunnel-number

VRP5.10

iproute-staticdestination-ip-address{mask|mask-length}tunneltunnel-number

说明：

当在分布式设备上创建Tunnel接口时，建议Tunnel接口的槽号与所设置的源端接口所在槽位保持一致，即，使用发出GRE报文的实际接口的槽位号，这样可以提高转发效率。

2.3配置流程图

图2-1

编写提示：

通过表格的形式列举实验中要使用到的主要的，典型的命令行列。

可以参考命令行手册。

主要数通采用。

2.4配置步骤

编写提示：

[列出需要完成实验所需要的步骤，并对各个步骤作必要说明。

说明应使学员可以更容易理解业务，同时在配置描述的时候给出相关参数（如下面的IP地址，密钥，名称等），尽量使得配置数据规范，避免配置冲突。

]

（16）创建Tunnel端口，产设置IP地址

在边缘设备上，如RTA与RTC的系统视图下，创建Tunnel端口，并设置Tunnel端口的IP地址；

（17）指定源端地址

RTA与RTC上都分别需要指定源端地址，即发出GRE报文的实际物理接口IP地址；在Tunnel端口视图下配置该命令；

（18）指定目的地址

RTA与RTC上都分别需要指定目的地址，即接收GRE报文的实际物理接口IP地址；在Tunnel端口视图下配置该命令；

（19）配置Tunnel的路由

在RTA上设置一条到达RTC私网的静态路由，下一跳为远端的Tunnel地址；在RTC上设置一条到达RTA私网的静态路由，下一跳为远端的Tunnel地址；

2.5结果验证

编写提示：

给出验证结果的方法和步骤。

验证的时候的方式多样一些，分步骤进行，这样就可以让学员在验证结果的时候能够更加充分地理解业务的工作原理。

（20）在RTA上通过displayinttunnel0查看GRE隧道端口信息

[RTA]disintTunnel0

Tunnel0currentstate:

UP

Lineprotocolcurrentstate:

UP

Description:

Tunnel0Interface

TheMaximumTransmitUnitis64000

InternetAddressis100.1.1.1/30

EncapsulationisTUNNEL,loopbacknotset

Tunnelsource10.1.1.1,destination192.2.2.1

Tunnelkeepalivedisable

Tunnelprotocol/transportGRE/IP,keydisabled

Checksummingofpacketsdisabled

Last300secondsinput:

0bytes/sec,0packets/sec

Last300secondsoutput:

0bytes/sec,0packets/sec

0packetsinput,0bytes

0inputerror

0packetsoutput,0bytes

0outputerror

（21）另外也通过打开debugtunnel信息，观看隧道端口由DOWN变为UP的变化；

%Aug3117:

36:

052005RTAIFNET/5/UPDOWN:

LineprotocolontheinterfaceTunnel0isUP

*0.2475608RTATUNNEL/8/debug:

Tunnel-ctl:

checkTunnel0state.

*0.2475609RTATUNNEL/8/debug:

Tunnel0Mtuis64000

*0.2475610RTATUNNEL/8/debug:

Tunnel-ctl:

Thetunnel（0x605）stateisup.

说明：

打开debug之前需要在用户视图下