知识库与软件

HiPER 810与cisco7206采用l2TP连接的处理过程

文档编号:487
浏览:8227 评分:80
最后更新于:2009-11-18

用户需求

1、7206作为L2TP服务端分配VPN账号接受拨入,810作为L2TP客户端拨出,只允许客户端访问服务端不允许服务端访问客户端。
2、L2TP VPN连上后只允许L2TP客户端能访问L2TP服务端,但是不允许L2TP客户端上外网。
3、当L2TP连接断开后,本地能上外网。
4、L2TP客户端必须采用服务端分配的隧道口令进行隧道加密。
网络环境如下:
沈阳铁通IDC机房采用7206型号设备接入,采用固定IP地址接入,艾泰HiPER 810 PPPoE 方式拨入,810作为L2TP客户端,7206作为L2TP服务端。
思路分析
1、810作为L2TP客户端拨出启用NAT,7206设备对VPN地址不做NAT转换或者对VPN地址池做ACL过滤,这样可以实现客户端访问服务端,但是服务端访问不到客户端。
2、要实现VPN连上后 本地无法上外网。可以通过本地做ACL策略只允许访问目的地址为VPN隧道的地址经过NAT转换,其他应用全部deny.但是这样做会导致VPN断开后,本地还是无法上外网。用另外一种方法实现,所有流量走VPN可以定义感兴趣的流量为一条缺省的0.0.0.0/0.0.0.0的路由绑定VPN线路。
具体配置操作如下:
 
1、配置客户端上网线路
默认的一条缺省路由
2、添加一条访问VPN服务端IP的静态路由绑定默认线路
 
 
此时看路由表,多了一条32位主机路由通过222.33.18.94转发
3、修改VPN的路由优先级盖过本地缺省路由,如图所示:
客户端配置隧道口令,口令为456789
hiper% set connection/cct tunnel secret 456789    用于隧道加密
做完以上配置后,L2TP已经显示已经连接,但是PING IDC机房的一个服务器IP不通,IP地址为10.0.170.38,查看上网监控的会话发现访问10.0.170.38的ICMP包产生的NAT会话还在,并且有去无回,可能在PC再未建立VPN之前就在PING 10.0.170.38但是PING不通,现在VPN连接上,但是NAT会话还存在,初步判断是NAT会话超时所造成的。
让用户在现场PING 对端VPN隧道其他的地址能通,如图所示:
上网监控页面清除当前的NAT会话,如图所示:
 
能PING通10.0.170.38
 
注:由于两端VPN未建立,PING 10.0.170.38这个IP是PING不通的,但是路由器收到这个ICMP包发现目的地址为10.0.170.38的IP地址会匹配路由表,进行NAT转发到外网,这个是路由器的一个工作机制。此时建立VPN后本应该是可以PING通10.0.170.38这个IP,但是由于之前PING 10.0.170.38的NAT记录还存在,那么路由器无法再建立一条新的目的地址为10.0.170.38的NAT记录走VPN线路,所以必须清楚掉原来的NAT会话记录或者等待这条NAT记录超时(217秒),注意在等待NAT记录超时的过程中不可以在触发这条NAT会话的记录也就是不要再去PING 10.0.170.38这个IP,这样可以确保NAT会话过了217秒自动消失,然后再去PING 10.0.170.38路由器此时才会再次建立一条目的地址为10.0.170.38的NAT记录走VPN线路,这样就可以PING通。

   2024 ©上海艾泰科技有限公司 版权所有 沪ICP备05037453号-1

   

      沪公网安备 31011702003579号