客戶端發起的L2TPv2隧道(使用ISR4000充當伺服器配置示例)
目錄
簡介
本文說明如何使用充當伺服器的Cisco 4000系列整合服務路由器ISR4451-X/K9(ISR4000)配置客戶端啟動的第2層隧道協定第2版(L2TPv2)隧道。
必要條件
需求
思科建議您在嘗試此設定之前符合以下要求:
- 用作伺服器的ISR4451-X/K9上的活動appxk9許可證
- 客戶端路由器和伺服器之間的第2層連線
採用元件
本文件所述內容不限於特定軟體和硬體版本。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
背景
客戶端啟動的撥入虛擬專用撥接網路(VPDN)隧道部署允許遠端使用者通過共用基礎設施訪問專用網路,並對專用資料進行端到端保護。客戶端發起的VPDN隧道不需要額外的安全性來保護客戶端和ISP網路訪問伺服器(NAS)之間的資料。
限制 — appxk9必須在ISR4000路由器上處於活動狀態。如果沒有此許可證,則在PPP協商結束時會向客戶端安裝路由,但客戶端與伺服器之間不會建立第3層連線。
設定
網路圖表
組態
客戶端路由器上的配置
客戶端路由器上的配置示例如下所示:
!
l2tp-class CISCO
!
pseudowire-class CLASS
encapsulation l2tpv2
ip local interface Vlan333
!
interface FastEthernet0/0
switchport access vlan 333
no ip address
no keepalive
!
interface Virtual-PPP1
ip address negotiated
ppp chap hostname cisco@cisco.com
ppp chap password 0 cisco
pseudowire 10.1.1.2 1 pw-class CLASS !! Specifies the IP address of the tunnel
server and the 32-bit virtual circuit identifier (VCID) shared between the
devices at each end of the control channel.
!
interface Vlan333
ip address 10.1.1.1 255.255.255.0
!
ISR4451上用作伺服器的配置
ISR4000上用作伺服器的配置示例如下所示:
vpdn enable
!
vpdn-group 1
accept-dialin
protocol l2tp
virtual-template 1
terminate-from hostname CLIENT
no l2tp tunnel authentication
!
license boot level appxk9 !! License must be appxk9
username cisco@cisco.com password 0 cisco
!
interface Loopback1
ip address 192.168.1.2 255.255.255.0
!
interface FastEthernet0/0
ip address 10.1.1.2 255.255.255.0
negotiation auto
!
ip local pool TEST 10.1.1.3 10.1.1.100
!
interface Virtual-Template1
ip unnumbered Loopback1
peer default ip address pool TEST
ppp authentication chap
!
驗證
使用本節內容,驗證您的組態。
輸出直譯器工具(僅供已註冊客戶使用)支援某些show命令。使用輸出直譯器工具來檢視show命令輸出的分析。
在客戶端路由器上進行驗證
輸入以下命令以驗證客戶端路由器上的配置:
CLIENT#show vpdn session
L2TP Session Information Total tunnels 1 sessions 1
LocID RemID TunID Username, Intf/ State Last Chg Uniq ID
Vcid, Circuit
9886 40437 48058 1, Vp1 est 00:17:51 17
!! Session up since 17:51 Minutes
CLIENT#show caller ip
Line User IP Address Local Number Remote Number <->
Vp1 SERVER 192.168.1.2 - - in
!! Tunnel Server
CLIENT#ping 192.168.1.2 !! Tunnel Server Reachable
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
CLIENT#show ppp all
Interface/ID OPEN+ Nego* Fail- Stage Peer Address Peer Name
------------ --------------------- -------- --------------- --------------------
Vp1 LCP+ IPCP+ CDPCP- LocalT 192.168.1.2 SERVER
在充當伺服器的ISR4000上進行驗證
SERVER#show license feature
Feature name Enforcement Evaluation Subscription Enabled RightToUse
appxk9 yes yes no yes yes
!! License must be Active
SERVER#show vpdn session
L2TP Session Information Total tunnels 1 sessions 1
LocID RemID TunID Username, Intf/ State Last Chg Uniq ID
Vcid, Circuit
40437 9886 19763 cisco@cisc..., Vi3.1 est 00:16:56 2
SERVER#show caller ip
Line User IP Address Local Number Remote Number <->
Vi3.1 cisco@cisco.com \
10.1.1.4 - - in
!! IP address of the Client allocated from local address pool (TEST)
SERVER#ping 10.1.1.4 !! Client reachable
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
疑難排解
使用標準VPDN/L2TP/PPP過程排除任何問題。但是,此調試清單也可能有所幫助。
debug ppp events
debug ppp error
debug ppp negotiation
debug vpdn error
debug vpdn event
debug vpdn l2x events
debug vpdn l2x errors
debug l2tp error
debug l2tp event
debug vtemplate event
debug vtemplate error
debug vtemplate cloning
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
18-Nov-2014 |
初始版本 |
意見