摘要本文主要要是讲解解的是如如何看待待3G、如如何通过过3G看看待我们们身边的的一些常常见链路路、如何何使用33G访问问不同的的MPLLS VVPN介绍由于3GG技术的的广泛使使用,HH3C公公司作为为全球网网络通信信领域的的领先厂厂家在支支持无线线3G通信信方面也也是走在在了前列列目前前支持完完备的33G通信信功能,包包括支持持WCDDMA、CDMMA20000和和TD--SCDDMA三三种制式式,支持持的接口口形态和和设备型型号也非非常丰富富1. 运营商提提供的33G拨号号软件界界面APN::访问接接入点,不不同的名名称代表表不同的的服务,常常用访问问公网的的名称为为3Gnnet,如如果运营营商给你你提供是是VPDDN服务务,那么么该名称称就为相相应的其其他名称称,例如如该处的的VPDDN服务务名称为为vpddn.bbjappn至至于VPPDN帐帐号有22种:一一种是运运营商给给你分配配,例如如上面的的sicc4@vvpn11.neet.如如果想自自己分配配帐号,也也可以, 但至少少域名必必须是运运营商指指定的,例如上面的@.;另外一种是自己分配相应的帐号和域名,但是有特殊的组网前提,大致说来为2次拨号,第一次拨号也必须使用运营商指定的域名,第二次拨号的使用的帐号和域名就由自己来任意设定(详细说明见下文7.3)。
2. 如何看待待3G3G封装装的是PPPP报文,且3G只是众多承载PPP报文的物理层的一种,因此从运用上讲,就像PPP0E一样,因此我们可以把3G成为“PPPO3G”3. 谁可以触触发L22TP拨拨号我们常见见的触发发L2TTP拨号号都是PPPPOOE,其其实3GG、seeriaal、ccposs、E11等都可可以,因为他他们都是是封装的的PPPP报文,触触发LAAC设备备拨号的的前提条条件就是是对PPPP进行行认证,认认证通过就可可以触发发L2TTP拨号号注:所谓谓的认证证通过是是相对概概念,如如何通过过关键要要看对应应的域里里面是如如何要求求例如在输输入doomaiin ssysttem后后在里面面有如下下几条命命令:[H3CC-issp-ssysttem]]autthennticcatiion pppp ? locaal SSpeccifyy loocall scchemme ///必须须有详细细的账户户和密码码及服务务类型才才能算认认证通过过nonee Speeciffy nnonee scchemme //无需有帐号号即可就算算认证通通过radiius--schhemee SSpeccifyy RAADIUUS sscheeme ///使用该该命令则则需在相相应的rradiius设设备上有有详细的的该账户户信息才才能算认认证通过过例如PPPPOEE:在LLAC的的VT00口上配置pppp autthennticcatiion--modde ppap//chaap后,一一旦认证证成功就就会触发发L2TTP拨号号(L22TP配配置省略略)如下下图所示示:例如seeriaal口(LL2TPP配置省省略)在在一端配配置帐号号和密码码,在LLAC这这一段sseriial口口上配置置pppp auutheentiicattionn-moode papp/chhap后后,也可可以触发发L2TTP拨号号,如下下图所示示:我们关注注这些链链路的另另外一个个目的就就是:既然我我们身边边有这么么多具有有链路层层是PPPP封装装的物理理层,那那么有一一天说不不定它可可以帮助助你实现现建立22层VPPN的梦梦:通过过与之互互联的LLAC设设备的配配合,也也可以实实现“不需要要特殊软软件版本本支持,也也无需人人工参与与,L22TP自自动拨号号” 如下下图所示示:LACLNSclient。
pppoe3Gserial4. 3G硬件件安装注注意事项项如下图所所示:我司设备备支持33G有22种形式式,一种种是3GG ussb mmodeem 、一一种是 3G sicc卡moodemm如上上图所示示注意:设设备对33G的支支持是除除了确定定版本以以外,还还要确定定接口对对应的槽槽号,下下面给出出我司设备备sicc槽位支支持情况况如下::SIC机型Slott 1Slott 2Slott 3Slott 4MSR 20--20ÖÖ MSR 20--21ÖÖ MSR 20--40´Ö´ÖMSR 30--20´Ö´ÖMSR 30--40´Ö´ÖMSR 30--60´Ö´ÖMSR 30--10´Ö MSR 30--11´Ö MSR 30--11EE´Ö MSR 30--11FF´Ö MSR 30--16´Ö´ÖMSR 50--40´Ö´ÖMSR 50--60´Ö´ÖMSR 20--10Ö MSR 20--11Ö MSR 20--12Ö MSR 20--13Ö MSR 20--15Ö ICG 22000´Ö 特别要关关注设备备的槽号号,不是是任何一一款设备备的任意意SICC槽位或者者USBB接口都都支持33G.注:目前前还没有有一个所所有设备备USBB接口支支持情况况的统计计,详细细的请咨咨询二线线为准,此此处列举举的目的的就是想想让你重重视这一一个问题题。
5. 3G访问问企业网网的常见见组网方方式5.1普普通APPN组网网所谓的普普通APPN组网网就是33G开通通访问公公网能力力,获得得公网地地址后,通通过自己己的公网网地址与与企业出出口的公公网地址址建立VVPN的的方式,达达到访问问企业内内部网络络的目的的组网网图如下下:5.2VVPDNN组网由于3GG本身是是封装的的PPPP协议,因因此我们们暂且可可以把这这种运用用叫“ppppo3gg”,所谓的的VPDDN组网网就是把把3G本本身封装装的PPPP报文文通过运运营商自自己建立立的LAAC设备备转交到到客户自自己建立立的LNNS设备备上,因因此通过过这种方方式可以以建立VVPN6. 一次3GG测试碰碰到的问问题LACLNS3G链路Ip:59.247.10.1分支1总部MSR5040问题现象象:如上图所所示以分分支1里里面的源源地址的的报文去去访问私私网2里里面的地地址,都都无法正正常的返返回,除除非以私私网1里里面的33G接口口地址定位过程程:才开始以以自己的的PC机机作为分分支1内网设设备去访访问总部部,无法正正常访问问,检查查分支MMSR550400发现OOSPFF邻居能能够建立立,在22端也能够看看到对方方私网里里面的路路由,可可就是不不能以分分支1(3G接口除外)里面的源地址去访问总部,在MSR5040上PING 总部有正常,开始怀疑自己某个地方配置错误所致,反复检查配置,无果。
突然想起为什么OSPF能正常?在MSR5040上PING总部能够正常?难道说与源地址有关,分别通过带不同的源地址PING测试后,验证了自己的想法,既然是这样,于是尝试性的建立GRE通道(通道的源为3G的接口地址),GRE能够解决该问题,于是又在3G接口做NAT转换,也能解决问题事后发现这次测试联通提供的3G链路有点怪,PPP地址协商的时候,正常情况下应该在路由表里面有2个DIRECT 路由表,一个是自己的,一个是对端的,但是这次无论怎么协商都只有自己的地址,没有对端的这次最大的遗憾是无法与联通的技术人员沟通,为什么会出现这样的问题)解决办法法:既然然只能使使用3GG接口的的地址,那那么我们们可以建建立GRRE通道道,或者者做NAAT转换换,因为为经过这这2种方式处处理后从从分支MMSR550400发出的的报文的的源地址址都是33G接口口的地址址7. 如何通过过3G访访问不同同的mpplsVVPN上次到国国家信息息中心去去测试,客客户提出出一种需需求,那那就是希希望不同同MPLLS VVPN的的客户通通过自己己的3GG网卡能能够访问问到自己己所属的的MPLLS VVPN及及公网,且且访问公公网时就就不能访访问自己己部门的的MPLLS VPNN、访问问自己部部门MPPLS VPPN的时时候就不不能访问问公网。
这种需需求大大大超出了了我们测测试方案案的准备备,毕竟竟最初的的测试方方案上只只是提及及移动客客户通过过3G拨号号到企业业网且且客户的的3G网络络是VPPDN网网络,该该3G网络络结构与与我前期期所认为为的普通通的appn网络络还不一一样,在在该需求求下还要要分别考考虑设备备使用3GG和PCC使用3GG的情况况思路大致致为LNNS设备备上为LL2TPP多实例例加上VVT口与与VPNN绑定的的配置方式式对于设备备插3GG:由于设设备插33G不存存在访问问不同的的VPNN情况,因因此它只只是当一一个P设设备或者者PE,通通过互联联地址透透传所有有的VPPN数据据,所以以无论哪哪种方案案都与该该设备插插3G无无关,下下面着重重讲解PPC插33G的情情况7.1方方案一 使用用相同用用户名带带不同的的域名例如:域名Vpn11.neet ------------à电电子政务务网Vpn22.neet-----------àintternnetVpn33.neet--------à部门门VPNN用户:Sic11如果用户户想要访访问电子子政务网网则使用用 siic1@@vpnn1.nnet 的用户户名拨号号如果用户户想要访访问innterrnett则使用用sicc1@vvpn22.neet的用用户名拨拨号。
如果用户户想要访访问部门门VPNN则使用用sicc1@vvpn33.neet的用用户名拨拨号在MPLLS里面面找一台台PE或或者是MMCE做做LNSS,假设设客户有有3个VVPN,则则在LNNS上建建立对应应的3个个VT口口,每个个VT与与一个VVPN相相绑定,然然后建立立对应的的3个ll2tpp-grroupp组,每每个l22tp--grooup下下面的VVT口与与VPNN域名相相对应这样无论论是什么么VPNN用户,只只要在33G拨号号时在账账户里面面带上自自己的域域名信息息(如下图所示)就就可触发发LACC设备上上相应的的l2ttp-ggrouup去拨拨号,在在LNSS端,根根据域名名把该用用户与相相应的VVPN绑绑定,这这样就可可以访问问自己所所属的VVPN小结:该该方式客客户只需需用运营营商提供供的3GG拨号软软件进行行一次拨拨号就可可以达到到访问不不同的VVPN网网络的目目的7.2方方案二 不同的的用户名名带相同同的域名名域名:Vpn11.neet用户名Sic11 ------------à电子子政务网网Sic22----------àiinteerneetSic33--------à部门VVPN如果用户户想要访访问电子子政务网网则使用用 siic1@@vpnn1.nnet 的用户户名拨号号如果用户户想要访访问innterrnett则使用用sicc2@vppn1.neet的用用户名拨拨号。
如果用户户想要访访问部门门VPNN则使用用sicc3@vppn1.neet的用用户名拨拨号既然客户户不愿意意自己以以后每使使用一个个域名,就就去给运运营商交交涉,那那么我们们都统统统使用运运营商给给定的域域名(例例如Vt),为了了区分客客户想要要访问不不同的VVPN,关关键点就就需要根根据不同同账户分分配不同同的IPP地址,然后根据IP地址来做策略该配置分2种情况;一种如果LNS是PE设备的情况,可按照多角色主机策略路由的方式配置我们可以把策略路由和多角色主机功能都直接做在上面,另外一种如果LNS设备是CE的情况,没有VPN的配置,它只根据不同的VPN用户分配不同的网段地址,然后在与它互联的上层PE上配置策略路由,把不同的网段地址策略到相应的VPN里面去 LNS设设备为CCE的配配置大致致如下::Mpls网络PELNS CE该LNS与我司的IMC配合,只对不同的VPN拨号用户分配不同的网段地址;用不同网段来区分不同的VPN该接口配置策略路由,把从LNS侧过来不同网段数据策略到不同的VPN里面去Vpn1 用户Vpn2 用户Vpn3 用户L2tp拨号对于LNNS设备备为PEE的配置置大致如如下:Mpls网络PE LNSVpn1用户Vpn2用户Vpn3用户L2tp拨号l2tp-group 1 undo tunnel authentication allow l2tp virtual-template 0 interface Virtual-Template0 remote address pool 1 ip policy-based-route vpn ip address 100.1.1.1 255.255.255.0 如上图在在VT口口里面直直接配置置策略路路由,该该策略路路由的功功能是把把不同IIP地址址网段的的数据策略到不不同的VVPN里里面去。
小结:以以上方式式客户只只需用运运营商提提供的33G拨号号软件进进行一次次拨号就就可以达达到访问问不同的的VPNN网络的的目的注意事项项:(1)如如果该PPE设备备为MSSR50040,则则VPNN用户是是无法访访问该PPE设备备的上的的相关VVPN地地址,但但是可以以访问该该设备VPPN的外外部地址址2)如如果该PPE设备备是SRR66002,则则无法使使用模糊糊的回程程反向路路由返回回到自己己的VPPN7.2.1 LNS设设备为PPE的配配置示例例(该处处只给出出关键配配置)#配置的的策略路路由,目目的就是是把从3G口上上来的不不同的源源地址网网段的用用户策略略到不同同的vppn里面面去//配置置策略路路由,使使不同的的VPNN用户到到自己所所属的VVPN里里面去查查找路由由poliicy--bassed--rouutevvpn perrmitt noode 1if-mmatcch aacl(VVPN11用户的的源地址址)applly aacceess--vpnn vppn-iinsttancce vvpn11 poliicy--bassed--rouute vpnn peermiit nnodee 2 if-mmatcch aacl(VVPN22用户的的源地址址)applly aacceess--vpnn vppn-iinsttancce vvpn22 poliicy--bassed--rouute vpnn peermiit nnodee 3if-mmatcch aacl(VVPN33用户的的源地址址)applly aacceess--vpnn vppn-iinsttancce vvpn33l2tpp-grroupp 0undoo tuunneel aauthhentticaatioon alloow ll2tpp viirtuual--temmplaate 0#建立33G所使使用的虚虚接口,在在里面运运用上面面所使用用策略路路由。
iinteerfaace Virrtuaal-TTempplatte 00ppp autthennticcatiion--modde cchapp remoote adddresss ppooll 1 ip aaddrresss 1440.11.1..1 2255..2555.2555.00 ip ppoliicy--bassed--rouute vpnn #建立回回程的静静态路由由ip rroutte-sstattic vpnn-innstaancee vppn1 X.XX.X..X(vpnn1网段段)2555.2255..2555.0 Virrtuaal-TTempplatte 00ip rroutte-sstattic vpnn-innstaancee vppn2X.XX.X..X(vvpn22 网段段)2555.2255..2555.0 Virrtuaal-TTempplatte 00ip rroutte-sstattic vpnn-innstaancee vppn3X.XX.X..X(vvpn33 网段段)2555.2255..2555.0 Virrtuaal-TTempplatte 00bgp 1 ipv44-faamilly vvpn--insstannce vpnn1 impoort--rouute staaticc //把我我们上面面的建立立的回程程路由发发布出去去,使数数据在远远端的设设备上能能够找到到回程路路由。
ipvv4-ffamiily vpnn-innstaancee vppn2 impoort--rouute staaticc //把我我们上面面的建立立的回程程路由导导入到bbgp里里面,使使数据在在远端的的设备上上能够找找到回程程路由ipv44-faamilly vvpn--insstannce vpnn2 impoort--rouute staaticc //把我我们上面面的建立立的回程程路由导导入到bbgp里里面,使使数据在在远端的的设备上上能够找找到回程程路由7.3方方案三,22次拨号号同一个用用户对同同一台LLNS设设备多次次拨号来来达到到到访问不不同的VVPN如如下图(示示例假设设VPNN1,VVPN22,VPPN3)第一次使使用运营营商提供供的3GG拨号软软件对LLNS拨拨号一次次,第二二次使用用我司提提供的iinodde软件件再拨号一一次。
毕毕竟实验验室没有有3G,大大家要做做测试的的话,可可以用PPPPOOE来模模拟3GG拨号,成成功后就就可用IINODDE软件件来模拟拟L2TTP进行行第二次次次拨号号)(1)第第一次拨拨号到VVT0口口,给该该用户的的分配的的IP不能能够路由由即访问问不到其其他地方方,它的作用用就只有有一个::为第二二次拨号号到其他他VPNN做跳板板数据据经过两两次封装装好处就是是:没有有域名限限制的烦烦恼第第一次拨拨号的域域名只能能是由运运营商提提供的以以外,但但第二次次拨号的的域名可可以由用用户自己己设置,与与运营商商无关,且且可以通通过INNODEE软件轻轻松实现现数据IIPSEEC加密密不好的就就是:数数据要两两次封装装,客户户PC机上上要单独独再装IINODDE软件件2)对对于以上上的方案案优化::假设客客户VPPN1是是intternnet网网,客户户平时上上该网的的时间最最多,因因此把第第一次拨拨号的入入口直接接与VPPN1绑绑定,有有特殊需需要客户户才去使使用INNODEE拨号其其他VPPN,这样简简化了客客户平均均拨号的的次数下面以PPE设备备为LNNS,按按照优化化方案给给出2次次拨号的的关键配置置示例l2tpp ennablle //使使能l22tpl2tppmorreexxameenabble///使能能多实例例radiius schhemee immc primmaryy auutheentiicattionn 1992.1168..2077.100 primmaryy acccouuntiing 1922.1668.2207..10 key autthennticcatiion imcc key acccounntinng iimc //使使用我司司的immc给认认证的客客户授权权和分配配固定的的IP地地址。
domaain vpnn1.nnet ///模拟拟intternnet网网,该入入口是第第一次拨拨号的入入口,那那么该域域名必须须是运营营商所给给定的域域名,除除此以外外其他域域名客户户自己任任意设置置authhentticaatioon pppp raddiuss-scchemme iimcauthhoriizattionn pppp rradiius--schhemee immcaccoounttingg pppp rradiius--schhemee immcdomaain vpnn2.nnet //模拟拟电子政政务网 autthennticcatiion pppp raadiuus-sscheeme imcc autthorrizaatioon pppp raddiuss-scchemme iimcaccoounttingg pppp rradiius--schhemee immcdomaain vpnn3.neet ///模拟拟XX网网 autthennticcatiion pppp raadiuus-sscheeme imcc autthorrizaatioon pppp raddiuss-scchemme iimc acccounntinng pppp raddiuss-scchemme iimcinteerfaace Virrtuaal-TTempplatte0 pppp auutheentiicattionn-moode chaap ddomaain vpnn1.nnet///该入入口是第第一次拨拨号的入入口,那那么该域域名必须须是运营营商所给给定的域域名。
ip binndinng vvpn--insstannce vpnn1 ///访问iinteerneet的入入口 ip adddresss 1150..1.11.1 2555.2555.2255..0 # inteerfaace Virrtuaal-TTempplatte1 pppp auutheentiicattionn-moode chaap ddomaain vpnn2.nnet ip binndinng vvpn--insstannce vpnn2 ///访问问电子政政务的入入口 ip adddresss 1160..1.11.1 2555.2555.2255..0 # inteerfaace Virrtuaal-TTempplatte2 ppp autthennticcatiion--modde cchapp ddomaain vpnn3.neet ip bbinddingg vppn-iinsttancce vvpn33.neet///访问XXX VVPN的的入口 ip adddresss 55.5..5.55 2555.2255..2555.0 l2tpp-grroupp 1 unddo ttunnnel autthennticcatiion alllow l2ttp vvirttuall-teempllatee 0 remmoteeXX doomaiin vvpn11.neet//该模模板是用用于3GG的第一一次拨号号,那么么这里的的XX、vpnn1.nnet都都必须是是指定运运营商指指定。
l2tpp-grroupp 2 unddo ttunnnel autthennticcatiion alllow l2ttp vvirttuall-teempllatee 1 remmotee LAAC ddomaain vpnn2.nnet l2tpp-grroupp 3 unddo ttunnnel autthennticcatiion alllow l2ttp vvirttuall-teempllatee 2 remmoteeLACC doomaiin vvpn22.neet(3)IINODDE 拨拨号效果果模拟图图小结:以以上方式式客户需需拨号22次,第第一次拨拨号使用用运营商商提供的的3G拨拨号软件件,第二二次使用用我司的的inoode软软件拨号号就可以以达到访访问不同同的VPPN网络络的目的的。
8. 如何进行行IPSSEC加加密8.1 INDDODEE上L22TP与与IPSSEC的的关系Inodde上ll2tpp 是ooverr ippsecc.8.2哪哪些需要要加密如下图所所示;LACLNS私网1由于与LLNS设设备互通通的既有有移动客客户端,又又有包含含很多私私网路由由的3GG网络设设备,因因此为了了对这些些数据都都进行保保护,就就必须区区别对待待;(1) 对于移动动客户端端来讲它它没有什什么私网网路由,所所以可以以在LNNS设备备出口上上配置IIPSEEC 模模板,通通过模板板协商出出所有需需要保护护的移动动客户端端,而33G网络络设备传传递的数据在该该接口上上无需被被IPSSEC处处理,正正常转发发2) 对于3GG网络设设备则是是通过IIPSEEC OOVERR GRRE的方方式,通通过3GG网络设设备与LLNS设设备建立立GREE通道,让让所有与与私网互互访的数数据走GGRE通通道,并并且可以以运行动动态路由由信息,传递分支路由,IPSEC由于是建立在GRE通道上的,所以ACL匹配的时候可以是PERMIT IP ALL.(3) 对于3GG网络设设备还可可以配置置IPSSEC隧隧道模式式,该模模式同样样可以运运行动态态路由协协议。
9. 如何对LL2TPP进行MMP绑定定需求:客客户需要要对部分分分支的的PPPP链路(例例如3GG接口,serial cpos等待)绑定,以此来提高带宽,因此LNS端的对应ppp也需要相应的处理(次oddeiuus-sscheeme例例如在cclieent端端任意配配置都可可,该处处是配置置与VTT口绑定定的方式式;关键键点是在在与LNNS设备备的这一一头必须须用账户绑绑定MPP 的方方式即pppp mp useer hh3c@vvpn11.neet bbindd Viirtuual--Temmplaate 1,且且配置maandaatorry-llcp(原原因就是是LCPP 阶段段告诉对对方我要要进行MMP绑定定,拨号号端是与与LACC设备进进行LCCP协商商,并没没有与LLNS设设备协商商,所以以要配置置该命令令,让LLNS端端与拨号号端俩再再次重新新协商),否则无无法成功功这样样可以让让LNSS端需要要绑定的的VT口口进行了了绑定,同同时不需需要绑定定的也不不相互影影响通信信clientLNS1Serial 0/2/0 serial 0/2/0 Serial 0/2/1 serial 0/2/1 interface Serial0/2/0 link-protocol ppp ppp chap user h3c@ ppp chap password simple 1234567890 ppp mp Virtual-Template 0 ip address ppp-negotiate # interface Serial0/2/1 link-protocol ppp ppp chap user h3c@ ppp chap password simple 1234567890 ppp mp Virtual-Template 0 ip address ppp-negotiate # interface Virtual-Template0 ppp mp binding-mode authentication ip address ppp-negotiate 8.8.8.81.1.1.2 ppp mp user h3c@ bind Virtual-Template 1 l2tp-group 1 undo tunnel authentication mandatory-lcp allow l2tp virtual-template 0 # interface Serial0/2/0 link-protocol ppp ip address 1.1.1.2 255.255.255.0 # interface Virtual-Template0 ppp authentication-mode chap ppp mp remote address pool 1 ip address 102.1.1.1 255.255.255.0 # interface Virtual-Template1 remote address 5.5.5.6 ip address 5.5.5.5 255.255.255.0 10. MPLSS 里面面不同VVPN用用户之间间如何互互访?(前面是是讲的网网络之外外的用户户如何其其访问自自己所属属VPNN,而这这个只是是简单的的翻版,讲讲的一个个VPNN怎样去去访问另另外的VVPN)需求:如如果VPPN1里里面的部部分用户户需要访访问VPPN2的的业务,有有没有一一种不需需要用MMPLSS技术或或者添加加什么策策略路由由等等就就能够实实现的方方式,有有,如下下图:请请使用LL2TPP方式;;在MPLLS网络络选择一一台PEE或者是是MCEE配置成成LNSS设备即即可,相应的的VT口口与相应应的VPPN绑定定,想要要访问其其他VPPN的客客户首先先通过LL2TPP拨号,只只要你有有该权限限,你就就可以访访问任何何你想要要访问的的VPNN。
Mpls网络PE MCEVpn1 用户Vpn2 用户lns10.1 配置示例例MPLS backbonePE1PPE2VPN 2VPN1lns1组网需需求:2张VPPN网络络,正常常情况下下互相不不能访问问现要要求VPPN1网网络里面面的一台台PC能能够访问问VPNN2网络络配置步骤骤:(1) 配置MPPLS的的基本能能力(配配置省略略)(2) 配置LNNS设备备(随便便选取一一台PEE作为LLNS设设备,该该处选取取PE11)l2tpp ennablle //使能能L2TTPdomaain vpnn.neet authhentticaatioon pppp loccalauthhoriizattionn pppp llocaalaccoounttingg pppp llocaal//建立立VPNN1用户户拨号的的域名,否否则使用用默认域域locaal-uuserr h33cservvicee-tyype pppppasssworrd ssimpple h3cc//建立立拨号使使用的帐帐号l2tpp-grroupp 1 unddo ttunnnel autthennticcatiion alllow l2ttp vvirttuall-teempllatee 0 # inteerfaace Virrtuaal-TTempplatte0 pppp auutheentiicattionn-moode chaap remmotee adddreess 6.66.6..2 ip bbinddingg vppn-iinsttancce vvpn22 //注意意,该处处绑定的的是VPPN2,即即拨号成成功就把把该用户户绑定到到VPNN2. ip adddresss 66.6..6.11 2555.2255..2555.0 inteerfaace LooopBaack11 ip bbinddingg vppn-iinsttancce vvpn11 //该处处的地址址很关键键,表示示用于接接收VPPN1网网络里面面的用户户L2TTP拨号号。
ip adddresss 44.4..4.44 2555.2255..2555.2555 (3)在在PC机机上使用用INOODE建建立L22TP拨拨号注意事项项:该用法与与具体的的设备有有关,此此处是用用SR666022 VVerssionn 5..20,, Reeleaase 24220P003做LLNS..11. 总结PPP OVEER 什什么都不不重要,重重要的是是它能传传递PPPPPPPP能能够提供供认证;;能够建建立通道道,所以以才想尽尽一切办办法让PPPP OVEER 到到任何能能OVEER 的的地方,为为了能在在二层EEtheerneet上传传递我们们开发了PPPPOOE ,为为了能够够在广域域网上传传递,我我们开发发出L22TP12. 附录12.11PPPP用户的的IP地地址分配配原则PPP用用户的IIP地址址分配原原则如下下:(1) 对于域域的用户户(包括括useeridd和usseriid@iisp--namme两种种用户)分分配地址址的优先先级如下下: 如果采采用RAADIUUS或TTACAACS认认证和授授权,并并且服务务器给用用户下发发了地址址,则采采用服务务器下发发的地址址。
如果服服务器没没有下发发地址,而而是下发发地址池池,则在在域视图图下相应应的地址址池中查查找地址址给用户户如果上述述两种方方式没有有分配到到地址或或是采用用本地认认证,则则根据接接口下的的配置给给用户分分配地址址如果接口口配置了了remmotee adddreess ip--adddresss并且且此地址址没有被被使用,则则给用户户分配此此地址如果接口口配置了了remmotee adddreess poool则在在域视图图下相应应的地址址池中查查找地址址给用户户分配如果接口口没有配配置reemotte aaddrresss,则在在域视图图下遍历历所有的的地址池池查找地地址给用用户分配配。