DJ000012 IP VPN实验指导书 ISSUE10.docx

1、DJ000012 IP VPN实验指导书 ISSUE10DJ000012IP VPN实验指导书 ISSUE 1.0 目 录课程说明 1实验说明 1版本说明 1实验目的 1实验任务 1相关资料 1第1章 L2TP配置指导 21.1 组网及业务描述 21.2 命令行列表 21.3 配置流程图 31.4 配置步骤 31.5 结果验证 41.6 FAQ 51.7 附加任务 61.8 配置参考 6第2章 GRE配置指导 92.1 组网及业务描述 92.2 命令行列表 92.3 配置流程图 102.4 配置步骤 102.5 结果验证 112.6 FAQ 122.7 配置参考 13第3章 IPSec配置指导

2、 153.1 组网及业务描述 153.2 命令行列表 153.3 配置流程图 183.4 配置步骤 193.5 结果验证 203.6 FAQ 213.7 附加任务 223.8 配置参考 22课程说明实验说明本实验指导书本主要介绍了IP VPN里各协议的基本业务配置方法及配置流程，涵盖了当前的主要二/三层VPN技术，相信您能通过本指导书了解基本的IP VPN业务的配置方法及配置流程。版本说明本指导书适用于VRP版本3.30与VRP版本5.10实验目的 了解IP VPN的基本原理 掌握IP VPN的配置流程 熟悉IP VPN的配置命令实验任务 配置L2TP 配置GRE 配置IPSec相关资料 VR

3、P3.30操作手册 VRP5.10操作手册第1章 L2TP配置指导编写提示：本上机指导书实用于版本V200R002，最后更新时间2005-05-081.1 组网及业务描述编写提示：给出实验室里的组网图，并描述该组网的主要特征。在描述的时候请注意在配置业务的时候涉及到的参数和说明请在这里注明。图1-1 路由器RTA与RTD通过Serial口相连，链路层封装PPP。RTA与RTD相连的接口配置发送PPP认证信息，并配置IP地址为ppp-negotiate；RTD与RTA相连的接口配置PPP认证。 RTA设备上连接RTD的接口必须为PPP链路，主要是通过PPP链路特点，实现发送用户名与密码。 其中R

4、TA与RTC的LoopBack地址作为私有网络进行相互访问1.2 命令行列表表1-1 操作版本命令使能L2TPVRP 3.30l2tp enableVRP 5.10l2tp enable创建L2TP组VRP 3.30l2tp-group group-numberVRP 5.10l2tp-group group-number设置本端隧道名称VRP 3.30tunnel name nameVRP 5.10tunnel name name配置发起L2TP连接请求的触发条件及LNS地址VRP 3.30start l2tp ip X.X.X.X ip X.X.X.X ip X.X.X.X . domai

5、n domain-name | fullusername user-name VRP 5.10start l2tp ip X.X.X.X ip X.X.X.X ip X.X.X.X . domain domain-name | fullusername user-name 设置通道对端的名称VRP 3.30allow l2tp virtual-template virtual-template-number remote remote-name domain domain-name VRP 5.10allow l2tp virtual-template virtual-template-num

6、ber remote remote-name domain domain-name 启用隧道验证VRP 3.30tunnel authenticationVRP 5.10tunnel authentication设置隧道验证的密码VRP 3.30tunnel password simple | cipher passwordVRP 5.10tunnel password simple | cipher password设置用户名及密码VRP 3.30local-user username password simple | cipher passwordVRP 5.10local-user u

7、sername password simple | cipher password1.3 配置流程图图1-1 编写提示：通过表格的形式列举实验中要使用到的主要的，典型的命令行列。可以参考命令行手册。主要数通采用。1.4 配置步骤编写提示：列出需要完成实验所需要的步骤，并对各个步骤作必要说明。说明应使学员可以更容易理解业务，同时在配置描述的时候给出相关参数（如下面的IP地址，密钥，名称等），尽量使得配置数据规范，避免配置冲突。(1) 激活L2TP在系统视图下，激活L2TP；(2) 创建L2TP组在系统视图下，创建L2TP组；(3) 配置LAC在LAC设备下，进入L2TP组视图下，配置发起L2TP

8、连接请求的触发条件及LNS地址，并根据需求配置额外功能；(4) 配置LNS在LNS设备下，进入L2TP组视图下，配置通道对端的名称，并根据需求配置额外功能； 说明：其中RTA与RTC的私有网络相互访问需要时，两路由器都需要到达远端私网的路由信息。1.5 结果验证编写提示：给出验证结果的方法和步骤。验证的时候的方式多样一些，分步骤进行，这样就可以让学员在验证结果的时候能够更加充分地理解业务的工作原理。(5) display l2tp tunnel/display l2tp session查看l2tp连接信息，可以看到建立了一条Tunnel；RTDdis l2tp tunnel LocalTID

9、RemoteTID RemoteAddress Port Sessions RemoteName 1 1 10.2.2.2 1701 1 RTC Total tunnel = 1RTDdis l2tp session LocalSID RemoteSID LocalTID 29326 11236 1 Total session = 1(6) 通过display interface serial 2/0路由器端口是否成功获取LNS分配的IP地址；RTAdis int s2/0Serial2/0 current state :UP Line protocol current state :UPDe

10、scription : Serial2/0 Interface The Maximum Transmit Unit is 1500, Hold timer is 10(sec) Internet Address is negotiated, 100.1.1.2/32Link layer protocol is PPP LCP opened, IPCP openedOutput queue : (Urgent queue : Size/Length/Discards) 0/50/0Output queue : (Protocol queue : Size/Length/Discards) 0/5

11、00/0 Output queue : (FIFO queuing : Size/Length/Discards) 0/75/0Physical layer is synchronous,Baudrate is 64000 bpsInterface is DCE, Cable type is V35 Last 300 seconds input rate 4.11 bytes/sec, 0.22 packets/sec Last 300 seconds output rate 4.21 bytes/sec, 0.22 packets/sec Input: 1045 packets, 13286

12、 bytes 0 broadcasts, 0 multicasts 0 errors, 0 runts, 0 giants 0 CRC, 0 align errors, 0 overruns 0 dribbles, 0 aborts, 0 no buffers 0 frame errors Output:1162 packets, 16432 bytes 0 errors, 0 underruns, 0 collisions 0 deferred DCD=UP DTR=UP DSR=UP RTS=UP CTS=UP (7) Ping远端隧道端口的IP地址，检测隧道连通性；RTAping 100

13、.1.1.1 PING 100.1.1.1: 56 data bytes, press CTRL_C to break Reply from 100.1.1.1: bytes=56 Sequence=1 ttl=255 time=29 ms Reply from 100.1.1.1: bytes=56 Sequence=2 ttl=255 time=30 ms Reply from 100.1.1.1: bytes=56 Sequence=3 ttl=255 time=28 ms Reply from 100.1.1.1: bytes=56 Sequence=4 ttl=255 time=28

14、 ms Reply from 100.1.1.1: bytes=56 Sequence=5 ttl=255 time=29 ms - 100.1.1.1 ping statistics - 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 28/28/30 ms1.6 FAQ编写提示：列举在配置的过程中或者验证结果的时候可能出现的一些问题，并给出解答。这里的问题应该是学员最容易犯的一些问题和错误。老师在带上机的时候可以搜集这方面的问题，并将它们列举在这里。Q：组网图里出

15、现LAC与LNS，这两个设备是L2TP技术非常重要的两个设备，请问这两个设备的功能是什么？A：LAC表示L2TP访问集中器（L2TP Access Concentrator），是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备。LNS表示L2TP网络服务器（L2TP Network Server），是PPP端系统上用于处理L2TP协议服务器端部分的设备。LAC一般是一个网络接入服务器NAS，通过PSTN/ISDN网络为用户提供接入服务。LAC位于LNS和远端系统（远地用户和远地分支机构）之间，把从远端系统收到的信息包按照L2TP协议封装并送往LNS，将从LNS收到的信息包解封装并

16、送往远端系统。LAC与远端系统之间可以采用本地连接或PPP链路，VPDN应用中通常为PPP链路。LNS作为L2TP隧道的另一侧端点，是LAC的对端设备，是被LAC进行隧道传输的PPP会话的逻辑终止端点。Q：L2TP以基于什么协议来传输数据？端口号是什么？A：L2TP数据以UDP报文的形式发送。L2TP注册了UDP 1701端口，但这个端口仅用于初始的隧道建立过程中。L2TP隧道发起方任选一个空闲的端口（未必是1701）向接收方的1701端口发送报文；接收方收到报文后，也任选一个空闲的端口（未必是1701），给发送方的指定端口回送报文。至此，双方的端口选定，并在隧道保持连通的时间段内不再改变。Q

17、：请简单描述隧道与会话之间的关系？A：在一个LNS和LAC对之间存在着两种类型的连接，一种是隧道（Tunnel）连接，它定义了一个LNS和LAC对；另一种是会话（Session）连接，它复用在隧道连接之上，用于表示承载在隧道连接中的每个PPP会话过程。同一对LAC和LNS之间可以建立多个L2TP隧道，隧道由一个控制连接和一个或多个会话（Session）组成。会话连接必须在隧道建立（包括身份保护、L2TP版本、帧类型、硬件传输类型等信息的交换）成功之后进行，每个会话连接对应于LAC和LNS之间的一个PPP数据流。控制消息和PPP数据报文都在隧道上传输。L2TP使用Hello报文来检测隧道的连通性

18、。LAC和LNS定时向对端发送Hello报文，若在一段时间内未收到Hello报文的应答，该会话将被清除。1.7 附加任务L2TP是VPDN里的其中一种，它通过LAC拨号的方式来建立隧道，LAC可以是路由器，也可以是终端设备，如PC。请尝试用PC设备作为LAC拨号与LNS建立隧道。编写提示：学员除了完成前面的主要业务配置之外，还可以在以上配置的基础之上，附加一些其他的业务。如通过修改，删除，添加某些参数的形式，来观察原来的业务会发生的改变。通过这种方式，学员就可以进一步地理解所配置的业务。1.8 配置参考编写提示：给出要得出实验结果所需要的完整的数据配置。这一部分主要是提供给基础一般或者比较差的

19、学员，供他们在配置业务的时候参考。这里的配置必须要保证它的正确性，也就是说当学员按照命令行配置的时候，能够得到在前面结果验证中的结果。1.8.1 端口配置1. 配置RTAsystem-view RTAint loopback 0RTA-LoopBack0ip add 1.1.1.1 255.255.255.255RTAint serial 2/0RTA-Serial2/0ip add ppp-negotiate2. 配置RTDsystem-view RTDint serial 2/0RTD-Serial2/0undo ip addRTD-Ethernet0/0ip add 10.2.2.1 2

20、55.255.255.2523. 配置RTCsystem-view RTCint ethernet 0/0RTC-Ethernet0/0ip add 10.2.2.2 255.255.255.252RTCint Virtual-Template 0RTC-Virtual-Template0ip address 100.1.1.1 255.255.255.01.8.2 L2TP配置1. 配置RTA(8) 发送用户名及密码RTA-Serial2/0ppp chap user vpdnuserRTA-Serial2/0ppp chap password simple huawei2. 配置RTD(9

21、) 设置本地用户数据库RTDlocal-user vpdnuser password simple huawei(10) 配置认证方法RTD-Serial2/0ppp authentication-mode chap(11) 配置LACRTDl2tp enableRTDl2tp-group 100RTD-l2tp100start l2tp ip 10.2.2.1 fullusername vpdnuserRTD-l2tp100tunnel password simple l2tp 说明：默认的情况下，隧道认证是被打开的。也就是说在隧道认证功能被打开的情况下我们必需配置LAC与LNS双方一致的密

22、码；在这里LAC隧道名的配置是可选的，因为在默认的情况下采用路由器本身的名字，即：RTD3. 配置RTC(12) 设置本地用户数据库RTClocal-user vpdnuser password simple huawei(13) 创建地址池Quidwayip pool 0 100.1.1.2 100.1.1.100(14) 配置virtual-template端口RTCint Virtual-Template 0RTC-Virtual-Template0ppp authentication-mode chapRTC-Virtual-Template0remote address pool 0

23、(15) 配置LNSRTCl2tp enableRTCl2tp-group 100RTC-l2tp100tunnel password simple l2tpRTC-l2tp100allow l2tp virtual-template 0 remote RTD 说明：在这里远程LAC隧道名的配置必需与LAC的隧道名一致才能建立隧道，LAC与LNS在默认的情况下都采用路由器本身的名字，这可以通过人工手动更改；第2章 GRE配置指导2.1 组网及业务描述编写提示：给出实验室里的组网图，并描述该组网的主要特征。在描述的时候请注意在配置业务的时候涉及到的参数和说明请在这里注明。图2-1 RTA、RTB

24、、RTC属于VPN骨干网，它们之间运行OSPF。 RTA和RTC之间使用三层隧道协议GRE，实现RTA和RTC的LoopBack之间互联。 当隧道建立以后，配置Tunnel的路由2.2 命令行列表表2-1 操作版本命令创建Tunnel接口VRP 3.30interface tunnel interface-numberVRP 5.10interface tunnel interface-number配置隧道接口供GRE或CRLSP隧道使用VRP 3.30tunnel-protocol greVRP 5.10tunnel-protocol gre设置Tunnel接口的源端地址VRP 3.30so

25、urce ip-address | interface-type interface-number VRP 5.10source ip-address | interface-type interface-number 设置Tunnel接口的目的端地址VRP 3.30destination ip-addressVRP 5.10destination ip-address配置静态路由VRP 3.30ip route-static destination-ip-address mask | mask-length tunnel tunnel-numberVRP 5.10ip route-stati

26、c destination-ip-address mask | mask-length tunnel tunnel-number 说明：当在分布式设备上创建Tunnel接口时，建议Tunnel接口的槽号与所设置的源端接口所在槽位保持一致，即，使用发出GRE报文的实际接口的槽位号，这样可以提高转发效率。2.3 配置流程图图2-1 编写提示：通过表格的形式列举实验中要使用到的主要的，典型的命令行列。可以参考命令行手册。主要数通采用。2.4 配置步骤编写提示：列出需要完成实验所需要的步骤，并对各个步骤作必要说明。说明应使学员可以更容易理解业务，同时在配置描述的时候给出相关参数（如下面的IP地址，密钥

27、，名称等），尽量使得配置数据规范，避免配置冲突。(16) 创建Tunnel端口，产设置IP地址在边缘设备上，如RTA与RTC的系统视图下，创建Tunnel端口，并设置Tunnel端口的IP地址； (17) 指定源端地址RTA与RTC上都分别需要指定源端地址，即发出GRE报文的实际物理接口IP地址；在Tunnel端口视图下配置该命令；(18) 指定目的地址RTA与RTC上都分别需要指定目的地址，即接收GRE报文的实际物理接口IP地址； 在Tunnel端口视图下配置该命令；(19) 配置Tunnel的路由在RTA上设置一条到达RTC私网的静态路由，下一跳为远端的Tunnel地址；在RTC上设置一条

28、到达RTA私网的静态路由，下一跳为远端的Tunnel地址；2.5 结果验证编写提示：给出验证结果的方法和步骤。验证的时候的方式多样一些，分步骤进行，这样就可以让学员在验证结果的时候能够更加充分地理解业务的工作原理。(20) 在RTA上通过display int tunnel 0查看GRE隧道端口信息RTAdis int Tunnel 0Tunnel0 current state :UP Line protocol current state :UPDescription : Tunnel0 Interface The Maximum Transmit Unit is 64000Internet

29、 Address is 100.1.1.1/30 Encapsulation is TUNNEL, loopback not setTunnel source 10.1.1.1, destination 192.2.2.1Tunnel keepalive disableTunnel protocol/transport GRE/IP, key disabledChecksumming of packets disabled Last 300 seconds input: 0 bytes/sec, 0 packets/sec Last 300 seconds output: 0 bytes/se

30、c, 0 packets/sec 0 packets input, 0 bytes 0 input error 0 packets output, 0 bytes 0 output error(21) 另外也通过打开debug tunnel信息，观看隧道端口由DOWN变为UP的变化； %Aug 31 17:36:05 2005 RTA IFNET/5/UPDOWN:Line protocol on the interface Tunnel0 is UP *0.2475608 RTA TUNNEL/8/debug:Tunnel-ctl: check Tunnel0 state.*0.2475609 RTA TUNNEL/8/debug:Tunnel0 Mtu is 64000*0.2475610 RTA TUNNEL/8/debug:Tunnel-ctl: The tunnel(0x605) state is up. 说明：打开debug之前需要在用户视图下