收藏
下载资源 加入VIP,省得不是一点点

广域网VPN(L2TP)网络综合实验.doc

上传人:ng****60 文档编号:3186456 上传时间:2019-05-24 格式:DOC 页数:23 大小:398.50KB
下载 相关 举报
广域网VPN(L2TP)网络综合实验.doc_第1页
第1页 / 共23页
广域网VPN(L2TP)网络综合实验.doc_第2页
第2页 / 共23页
广域网VPN(L2TP)网络综合实验.doc_第3页
第3页 / 共23页
广域网VPN(L2TP)网络综合实验.doc_第4页
第4页 / 共23页
广域网VPN(L2TP)网络综合实验.doc_第5页
第5页 / 共23页
点击查看更多>>
资源描述

1、Comment A1: 此处 背景描述 原本如此,可以联系南京售前王洋提供文字性描述富友Comment A2: 应该有文字性的描述实验七 广域网 VPN(L2TP)网络综合实验【实验名称】 广域网 VPN(L2TP)网络综合实验【实验原型】某金融机构全省 VPN网络建设(采用设备: RG-R3662路由器、RG-R2690 路由器、RG-R2624路由器)【实验目的】在实验室环境根据具体真实网络建设搭建模拟环境进行综合应用实验,指导学员如何规划实施广域网 VPN(L2TP)网络建设规划【预备知识】 L2TP原理基础,静态路由、 L2TP VPN、ACL 访问控制、安全控制等【背景描述】 【实现

2、功能】 实现各地市 VPN互联互通【实验拓扑】 【实验设备】 核心设备: R3662 1 台;接入设备:R2624 2 台; S3550-24 1 台; 实验 PC:3 台;【实验步骤】 第一步 路由器基本配置(1)R3642-A 路由器基本配置Red-Giant!进入用户模式Red-GiantenRed-Giant#!进入特权模式Red-Giant#conf t!进入全局配置模式Enter configuration commands, one per line. End with CNTL/Z.Red-Giant(config)#hostname R3642-A!配置主机名R3642-A(

3、config)#enable secret star!配置特权模式密码R3642-A(config)#interface FastEthernet0!进入 F0 接口配置模式R3642-A(config-if)# ip address 10.0.0.10 255.255.255.252!为 F0 分配 ip 地址R3642-A(config-if)# no shut!激活网络接口R3642-A(config-if)# exit!退出接口配置模式R3642-A(config)#interface FastEthernet1R3642-A(config-if)# ip address 10.0.0

4、.6 255.255.255.252R3642-A(config-if)# no shutR3642-A(config-if)# exit!进入 F1 接口配置模式,为 F1 分配 ip 地址,激活网络接口并退出接口配置模式R3642-A(config)#interface FastEthernet2R3642-A(config-if)# ip address 192.168.2.254 255.255.255.0R3642-A(config-if)# no shutR3642-A(config-if)# exit!进入 F2 接口配置模式,为 F2 分配 ip 地址,激活网络接口并退出接口配

5、置模式R3642-A(config)#ip route 192.168.0.0 255.255.255.0 10.0.0.5!配置到 R2624-B 内部网络的静态路由R3642-A(config)#ip route 192.168.1.0 255.255.255.0 10.0.0.9!配置到 R2624-C 内部网络的静态路由R3642-A(config)#line vty 0 4!进入 vty 配置模式R3642-A(config-line)# password star!配置 telnet 登陆密码为 starR3642-A(config-line)# login!设置远程登陆密码R36

6、42-A(config-line)#endR3642-A#show ip interface brief Interface IP-Address OK? Method Status ProtocolFastEthernet0 10.0.0.10 YES manual up up FastEthernet1 10.0.0.6 YES manual up up FastEthernet2 unassigned YES unset administratively down down FastEthernet3 192.168.2.254 YES manual up up !验证 R3642-A

7、接口配置信息包括 ip 地址和端口状态(2)R3642-B 路由器基本配置Red-GiantRed-GiantenRed-Giant#Red-Giant#conf tEnter configuration commands, one per line. End with CNTL/Z.Red-Giant(config)#enable password starRed-Giant(config)#line vty 0 4Comment A3: 这里拒绝 192.168.2.0网段不被转换要写清楚为什么Comment A4: 此处为增加部分,注释 ACL 102,若欠准确,直接更正即可富友Red-

8、Giant(config-line)#password starRed-Giant(config-line)#loginRed-Giant(config-line)#exit Red-Giant(config)#hostname R2624-BR2624-B(config)#interface fastEthernet 1R2624-B(config-if)#ip address 10.0.0.5 255.255.255.252R2624-B(config-if)#ip nat outside !定义 F1接口连接外部网络R2624-B(config-if)#no shutdown R2624

9、-B(config-if)#exitR2624-B(config)#interface fastEthernet 0R2624-B(config-if)#ip address 192.168.0.254 255.255.255.0R2624-B(config-if)#ip nat inside !定义 F0接口连接内部网络,此网络的地址需要被转换R2624-B(config-if)#no shutdown R2624-B(config-if)#exitR2624-B(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.6!配置默认路由R2624-B(config)#

10、R2624-B(config)#access-list 102 deny ip any 192.168.2.0 0.0.0.255!创建 ACL 102,定义使用 Fa1为 NAT的数据流。192.168.2.0 为需要通过 vpn访问的网段R2624-B(config)#access-list 102 permit ip any any!定义访问控制列表,定义访问列表,只有匹配该列表的地址才被转换R2624-B(config)#R2624-B(config)#ip nat inside source list 102 interface FastEthernet1 overload!配置 N

11、AT方式为 NAPTR2624-B(config)#endR2624-B#R2624-B#show ip interface brief Interface IP-Address OK? Method Status ProtocolFastEthernet0 192.168.0.254 YES manual up up FastEthernet1 10.0.0.5 YES manual up up !验证 R2624-B接口配置信息,包括 ip地址,端口状态等信息(3)R3642-C 路由器基本配置Red-GiantRed-GiantenEnter configuration commands

12、, one per line. End with CNTL/Z.Red-Giant#hostname R2624-CR2624-C(config)#R2624-C(config)#enable password starR2624-C(config)#R2624-C(config)#interface FastEthernet0R2624-C(config-if)# ip address 192.168.1.254 255.255.255.0R2624-C(config-if)# ip nat insideR2624-C(config-if)# no shutR2624-C(config-if

13、)# exitR2624-C(config)#R2624-C(config)#interface FastEthernet1R2624-C(config-if)# ip address 10.0.0.9 255.255.255.252R2624-C(config-if)# no shutR2624-C(config-if)# ip nat outsideR2624-C(config-if)# exitR2624-C(config)#R2624-C(config)#ip route 0.0.0.0 0.0.0.0 10.0.0.10!配置默认路由R2624-C(config)#R2624-C(c

14、onfig)#access-list 102 deny ip any 192.168.2.0 0.0.0.255R2624-C(config)#access-list 102 permit ip any any!定义访问控制列表R2624-C(config)#ip nat inside source list 102 interface FastEthernet1 overload R2624-C(config)#R2624-C(config)#line vty 0 4R2624-C(config-line)# password starR2624-C(config-line)# loginR

15、2624-C(config-line)#endR2624-C#R2624-C#show ip interface brief Interface IP-Address OK? Method Status ProtocolFastEthernet0 192.168.1.254 YES NVRAM up up FastEthernet1 10.0.0.9 YES NVRAM up up !验证 R2624-C 的接口配置信息,包括 ip 地址,端口状态等信息(4)基本连通性测试。本测试的测试 pc 为 R2624-B 内部 ip 地址为 192.168.0.233 的主机,通过 ping 命令,测

16、试到其他网络的连通性。如果测试失败,请检查设备配置,确认设备配置无误。D:ipconfigWindows 2000 IP ConfigurationEthernet adapter 本地连接:Connection-specific DNS Suffix . :IP Address. . . . . . . . . . . . : 192.168.0.233Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.0.254D:ping 192.168.0.254Pin

17、ging 192.168.0.254 with 32 bytes of data:Reply from 192.168.0.254: bytes=32 timeping 192.168.1.254Pinging 192.168.1.254 with 32 bytes of data:Reply from 192.168.1.254: bytes=32 time=2ms TTL=253Control-CC!测试到 R2624-C 内部网络接口 F0 的连通性D:ping 10.0.0.5Pinging 10.0.0.5 with 32 bytes of data:Reply from 10.0.

18、0.5: bytes=32 timeping 10.0.0.6Pinging 10.0.0.6 with 32 bytes of data:Reply from 10.0.0.6: bytes=32 time=2ms TTL=254Control-CC!测试到网关即 R3642-A 外部网络接口 F1 的连通性D:ping 10.0.0.9Pinging 10.0.0.9 with 32 bytes of data:Reply from 10.0.0.9: bytes=32 time=2ms TTL=253Control-CC!测试到 R2624-C 外部网络接口 F1 的连通性D:ping

19、10.0.0.10Pinging 10.0.0.10 with 32 bytes of data:Reply from 10.0.0.10: bytes=32 time=2ms TTL=254Control-CC!测试到网关即 R3642-A 外部网络接口 F0 的连通性第二步 L2TP 配置及其验证(1)R3642-A 路由器 L2TP 服务器端配置R3642-A#conf tEnter configuration commands, one per line. End with CNTL/Z.R3642-A(config)#vpdn enable !启用 vpdn 功能R3642-A(co

20、nfig)#R3642-A(config)#vpdn-group 1!创建 vpdn-group 组R3642-A(config-vpdn)#!进入 vpdn-group 接口配置模式Comment A5: 这里制定了 MTU最大值,也要写一下为什么Comment A6: 设置最大传输单元R3642-A(config-vpdn)#accept-dialin !允许接受远程客户端拨入R3642-A(config-vpdn-acc-in)#protocol l2tp !设置协议为 L2TP协议R3642-A(config-vpdn-acc-in)#virtual-template 1!关联 vir

21、tual-template 1R3642-A(config-vpdn-acc-in)#exit!退出 accept-dialin配置模式R3642-A(config-vpdn)#exit!退出 vpdn-group接口配置模式R3642-A(config)#R3642-A(config)#username shanghai password 0 shanghai !配置用户信息,是为了对试图远程 L2TP接入本地的客户端进行用户身份验证R3642-A(config)#username xian password 0 xian!配置用户信息,是为了对试图远程 L2TP接入本地的客户端进行用户身份

22、验证R3642-A(config)#R3642-A(config)#ip local pool VPDNUser 192.168.2.100 192.168.2.200 !创建本地地址池,为远程 VPN客户端用户在没有设置在 VPN内使用的 ip地址时分配地址R3642-A(config)#interface virtual-template 1!创建 virtual-template 1R3642-A(config-if)#mtu 1400!设置最大传输单元R3642-A(config-if)#ip unnumbered fastEthernet 2!配置与 F2共用一个 ip地址R3642

23、-A(config-if)#peer default ip address pool VPDNUser!给 VPN客户端从 VPN地址池中随机分配一个地址R3642-A(config-if)#exitR3642-A(config)#end(2)R2624-A 路由器 L2TP客户端配置R2624-B#conf tEnter configuration commands, one per line. End with CNTL/Z.R2624-B(config)#l2tp-class 12x!创建 L2TP的一个类,类名为 l2xR2624-B(config-l2tp-class)#hostna

24、me shanghai!设置 L2TP控制连接对应的本地主机名称R2624-B(config-l2tp-class)#exitR2624-B(config)# R2624-B(config)#pseudowire-class pw!创建指定名称的 pseudowire-class接口R2624-B(config-pw-class)#encapsulation l2tpv2 !设置数据传输封装模式R2624-B(config-pw-class)#protocol l2tpv2 12x!设置 L2TP 控制连接参数R2624-B(config-pw-class)#ip local interfac

25、e f1R2624-B(config-pw-class)#exitR2624-B(config)#R2624-B(config)#interface virtual-ppp 1!创建指定的 virtual-ppp 接口设置建立 L2TP 会话的 virtual-ppp 接口R2624-B(config-if)#ip address negotiate R2624-B(config-if)#ip mtu 1400 R2624-B(config-if)#no shutdown R2624-B(config-if)#ip nat outside R2624-B(config-if)#ppp pap

26、sent-username shanghai password 0 shanghaiR2624-B(config-if)#pseudowire 10.0.0.6 12 pw-class pw!设置 pseudowire 规则R2624-B(config-if)#exitR2624-B(config)#R2624-B#conf tR2624-B(config)#ip route 192.168.2.0 255.255.255.0 virtual-PPP 1!指定到 beijing 总部网络的访问通过 virtual-PPP 1 接口R2624-B(config)#access-list 101

27、permit ip any 192.168.2.0 0.0.0.255R2624-B(config)#access-list 101 deny ip any any!定义访问控制列表R2624-B(config)#ip nat inside source list 101 interface Virtual-PPP1 overload !配置动态 NATP 功能R2624-B(config)#exitR2624-B#(3)R2624-C 路由器 L2TP 客户端配置R2624-C(config)#R2624-C(config)#l2tp-class 12xR2624-C(config-l2tp

28、-class)# hostname xianR2624-C(config-l2tp-class)# exitR2624-C(config)#R2624-C(config)#pseudowire-class pwR2624-C(config-pw-class)# encapsulation l2tpv2R2624-C(config-pw-class)# protocol l2tpv2 12xR2624-C(config-pw-class)# ip local interface FastEthernet1R2624-C(config-pw-class)# exitR2624-C(config)#

29、R2624-C(config)#interface Virtual-PPP1R2624-C(config-if)# ip address negotiateR2624-C(config-if)# ip mtu 1460R2624-C(config-if)# ip nat outsideR2624-C(config-if)# ppp pap sent-username xian password 0 xianR2624-C(config-if)# pseudowire 10.0.0.10 12 pw-class pwR2624-C(config-if)# exitR2624-C(config)#

30、R2624-C(config)#ip route 192.168.2.0 255.255.255.0 virtual-PPP 1R2624-C(config)#R2624-C(config)#access-list 101 permit ip any 192.168.2.0 0.0.0.255R2624-C(config)#access-list 101 deny ip any anyR2624-C(config)#ip nat inside source list 101 interface Virtual-PPP1 overload(4)VPN 配置验证A、相关日志信息R3642-A#%U

31、PDOWN: Interface Virtual-Access1, changed state to up!当有客户端拨入时,服务端若能够打印如上信息则表示 L2TP 呼叫已经建立,即链路层UP,否则表示 L2TP 协商存在问题,应检查 L2TP 的相关配置并进行相关调试:%UPDOWN: Line protocol on Interface Virtual-Access1, changed state to up!若在如上信息之后立即打印如上信息则表示 L2TP 拨入成功,否则表示 PPP 协商和认证存在问题,应检查 PPP 相关配置,一般是认证或者 IP 地址配置问题R2624-B#%UP

32、DOWN: Interface Virtual-PPP1, changed state to up%UPDOWN: Line protocol on Interface Virtual-PPP1, changed state to up!R2624-B 出现如上两条日志,说明和对端 L2TP 服务器 R3642-A 呼叫已经建立,L2TP拨入成功B、show vpdn 信息我们可以使用 show vpdn 命令来显示当前的 vpdn 通道以及会话信息R3642-A#show vpdn L2TP Tunnel and Session Information Total tunnels 2 ses

33、sions 2!已经建立的 L2TP 隧道数和呼叫数LocID RemID Remote Name State Remote Address Port Sessions L2TP Class/VPDN Group1 1 shanghai est 10.0.0.5 1701 1 12 1 xian est 10.0.0.9 1701 1 1!隧道信息。LocID=本地分配的隧道 ID, RemID=远程分配的隧道 ID,Remote Name=远程主机名,State=隧道状态,est 表示已经建立,RemoteAddress=远程主机地址,Port=本地 UDP 端口号,Sessions=此隧道

34、包含的呼叫数 ,L2TPClass/VPDN Group=此隧道建立时所用的 vpdn-group 配置组。LocID RemID TunID Username, Intf/ State Last ChgVcid, Circuit1 1 1 ,Vi1 est 00:45:311 1 2 ,Vi2 est 00:06:29!呼叫信息LocID=本地分配的呼叫 ID, RemID=远程分配的呼叫 ID,TunID=此呼叫所属的隧道 ID, Username, Intf/ Vcid, Circuit=用户名,接口简称,State=呼叫状态,est 表示已经建立,Last Chg=上一次呼叫状态变化距

35、离现在的时间%No active PPTP tunnelsR2624-B#show vpdn L2TP Tunnel and Session Information Total tunnels 1 sessions 1LocID RemID Remote Name State Remote Address Port Sessions L2TP Class/VPDN Group1 1 R3642-A est 10.0.0.6 1701 1 12xLocID RemID TunID Username, Intf/ State Last ChgVcid, Circuit1 1 1 12,Vi1 es

36、t 00:46:50%No active PPTP tunnelsR2624-B#R2624-C#show vpdn L2TP Tunnel and Session Information Total tunnels 1 sessions 1LocID RemID Remote Name State Remote Address Port Sessions L2TP Class/VPDN Group1 2 R3642-A est 10.0.0.10 1701 1 12xLocID RemID TunID Username, Intf/ State Last ChgVcid, Circuit1

37、1 1 12,Vi1 est 00:07:59%No active PPTP tunnelsR2624-C#第三步 测试 VPN 功能在 R3642-A,R2624-B,R2624-C 路由器上打开所有 vpdn debug 命令。(1)在 R2624-B 内部的主机 192.168.0.233/24 访问 R3642-A 的内部网络接口 F2 ip 地址为 192.168.2.254/24,R3642-A,R2624-B 的调试信息如下:R3642-A#VPDN PROCESS From tunnel: Received 100 byte pakVi1 VPDN PROCESS From t

38、unnel: Queue 64 byte pak to ppp parse and iqueueVi1 VPDN PROCESS From tunnel: Pak send successfulVi1 VPDN PROCESS Into tunnel: Sending 100 byte pakL2X: UDP socket write 100 bytes, 10.0.0.6(1701) to 10.0.0.5(1701)R3642-A#R2624-B#Vi1 VPDN PROCESS Into tunnel: Sending 100 byte pakL2X: UDP socket write 100 bytes, 10.0.0.5(1701) to 10.0.0.6(1701)

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 实用文档资料库 > 策划方案

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。