项目经验谈：L2TP VPN在校园网的应用

  下面我们用L2TP隧道技术组建校园网。如图所示：
    
   

    
    在组网图中，学校总部路由器作为LNS，分支学校路由器作为LAC（L2TP Access Concentrator），二者之间通过internet互联。
　　分支学校可以通过L2TP隧道与学校总部建立连接，在一个隧道连接上可以承载多个会话连接。

　　上述拓扑可以简化如下：

　　分支校园路由器         lac接入路由器                      lns校园总部路由器
　　R1 se1/0----------------R2 se1/0----------internet ----------R3
　　1.1.1.2                           1.1.1.3
　　（1）R1上主要配置：
　　!
　　interface Serial1/0
　　ip address negotiated
　　encapsulation ppp
　　serial restart-delay 0
　　ppp chap hostname xiaoyuanwang
　　ppp chap password 0 abcd
　　!
　　（2）R2（LAC）上主要配置：
　　！
　　vpdn enable
　　vpdn search-order domain
　　!
　　vpdn-group lac
　　request-dialin
　　protocol l2tp
　　domain cisco.com
　　initiate-to ip 1.1.1.3
　　local name R2
　　no l2tp tunnel authentication
　　!
　　!
　　interface Serial1/0
　　no ip address
　　encapsulation ppp
　　serial restart-delay 0
　　ppp authentication chap
　　!
　　（3）R3（LNS）上主要配置：
　　!
　　username xiaoyuanwang password 0 abcd
　　!
　　vpdn enable
　　!
　　vpdn-group lns
　　accept-dialin
　　protocol l2tp
　　virtual-template 1
　　terminate-from hostname R2
　　local name R3
　　no l2tp tunnel authentication
　　l2tp tunnel receive-window 8192
　　!
　　interface Loopback1
　　ip address 111.1.1.1 255.255.255.255
　　!
　　interface Virtual-Template1
　　ip unnumbered Loopback1
　　peer default ip address pool pool1
　　ppp authentication chap
　　!
　　ip local pool pool1 10.1.1.1 10.1.1.254
　　!
　　在移动用户访问校园网资源时，在PC上使用VPN Client软件，用户需要在VPN Client端输入用户名和密码，并通过在校园认证服务器上的认证，然后通过internet和校园的VPN网关建立L2TP隧道会话。

　　L2TP具有以下几个特性：

　　安全的身份验证机制：L2TP可以对隧道端点进行验证，但L2TP规定必须使用类似PPP CHAP的验证方式。

　　支持DHCP：LNS放置在校园网总部，可以对远端的用户的地址进行自动分配和管理。

　　可靠性：L2TP协议支持备份LNS，当一个主LNS不正常后，LAC可以重新与备份LNS建立连接。

　　统一的网络管理：L2TP是标准的RFC协议，可以统一采用SNMP进行网络管理。

　　在校园网的组建过程中，我们也可以采用IPSEC协议对校园重要数据进行加密，也可以采用GRE的方式。具体的组网方式应根据学校的具体应用来采用。

上一页  [1] [2] 

【责编:Zenghui】