用Dynamips模拟CISCO L2TP隧道实验.docxVIP

用Dynamips模拟CISCO L2TP隧道实验 /1239505/359956一：L2TP隧道的规划实验环境：Dynamips 2.8 SecureCRT实验所用IOS镜像文件：c3640-ik9o3s-mz.124-10.bin实验拓扑图：基于L2TP的VPN实验有三种实现方式。分别是：Intranet VPN、Extranet VPN和Access VPNL2TP的三要素：LNS、LAC、Client分别有三个独立的主机设备担当，各自完成不同的任务。隧道的呼叫建立流程过程为：(1)用户端机发起呼叫连接请求；(2) PC机和LAC端进行协商；(3)对机提供的用户信息进行或CHAP认证；(4) LAC将认证信息（用户名、密码）发送给服务器进行认证；(5) RADIUS服务器认证该用户，如果认证通过则返回该用户对应的地址等相关信息，并且准备发起连接请求；(6)LAC端向指定发起连接请求；(7)LAC端向指定发送信息，回送该响应消息，并发送LNS侧的CHAP challenge，LAC返回该challenge的响应消息CHAP response;(8)隧道验证通过；(9)LAC端将用户CHAP response、response identifier和PPP协商参数传送给LNS；(10) LNS将接入请求信息发送给RADIUS服务器进行认证；(11)RADIUS服务器认证该请求信息，如果认证通过则返回响应信息；(12)若用户在LNS侧配置强制本端CHAP认证，则LNS对用户进行认证，发送CHAPchallenge，用户侧回应CHAP response；(13)LNS再次将接入请求信息发送给服务器进行认证；(14) RADIUS服务器认证该请求信息，如果认证通过则返回响应信息；(15)验证通过，用户访问企业内部资源。在实验环境下，我们用三台路由器来模拟PC、LCA和LNS二：L2TP隧道的配置PC上主要配置：interface Serial1/0ip address negotiated//通过PPP协商获得IP地址encapsulation ppp//封装ppp协议serial restart-delay 0//默认连续重启延时为0ppp chap hostname linuxtro@//使用chap协议传送l2tp客户端用户名ppp chap password 0 linuxtro//使用chap协议传送l2tp客户端密码?LAC上主要配置：interface Ethernet0/0 //LAC的外网口地址ip address 52full-duplexinterface Serial1/0//与客户端连接的网口no ip address//不配置IP地址encapsulation ppp//封装ppp协议serial restart-delay 0ppp authentication chap//使用chap验证?vpdn enable//启动L2TP/VPDNvpdn search-order domain//设置被叫号码与域名的查找先后顺序vpdn-group lac//建立名为lac的VPDN组request-dialin//配置为LAC端，发起L2TP隧道请求连接protocol l2tp//启用L2TP协议，也可以使用PPTPdomain //指定VPDN域名，用于触发VPDN隧道的建立initiate-to ip //指定LNS具体的IP地址local name lac//配置本地名为lacno l2tp tunnel authentication//不启用l2tp隧道验证ip route //配置静态路由?LNS上主要配置：interface Ethernet0/0 //LNS的外网口地址ip address 52full-duplexinterface Loopback1 //启用环回测试端口并配置IP地址ip address 0 55interface Virtual-Template1 //建立虚拟账号模板ip unnumbered Loopback1 //指定隧道端口，也可以是某个IP地址peer default ip address pool linuxtro //调用地址池，给客户端分配IP地址ppp authentication chap //LNS端要求发起CHAP认证ip local pool pool1 00 //建立动态地址池username linuxtro@ password 0 linuxtro //建立CHAP认证数据库vpdn enable //启动L2TP/VPDNvpdn-group lns //建立名为lns的VPDN组accept-dialin //配置为LN