Конфигурирование L2TP LNS + LAC 1
Постройте схему в соответствии с рисунком ниже:
Рисунок
Настройте EcoRouter LNS
enable
configure
hostname LNS
radius-group RAD
# Пароль 1234 — идентичен настроенному на RADIUS
radius-server 10.1.1.2 secret 1234 priority 20
# Создание абонентского AAA-профиля
subscriber-aaa test
# Аутентификация и аккаунтинг будут проводиться
# с помощью серверов указанных в RADIUS-группе RAD
authentication radius RAD
accounting radius RAD
ip pool pppoe 1
# Назначение диапазона IP-адресов для абонентов
range 192.168.11.100-192.168.11.254
# Карта фильтрации разрешающая любой IPv4 трафик
filter-map policy ipv4 LAN 10
match any any any
set accept
# Префиксные списки разрешающие любые адреса
ip prefix-list ANY seq 5 permit any
ip prefix-list any seq 5 permit any
# Настройка политики для абонентов
subscriber-policy LAN 1
bandwidth in mbps 100
bandwidth out mbps 100
set filter-map in LAN
set filter-map out LAN
# Настройка сервиса абонентов
subscriber-service LAN
set policy LAN
subscriber-map test 10
match dynamic prefix-list any
set subscriber-service LAN
set aaa test
ppp-options PPP
# Подключить AAA-профиль
set aaa test
# Подключить сервис абонентов
set subscriber-service LAN
# Включить повторное согласование LCP
lcp renegotiation
# Выбрать возможные способы аутентификации
authentication pap chap
# Подключить пул адресов абонентов
pool ipv4 pppoe 1
# Задать шлюз по умолчанию
gateway 192.168.11.1
l2tp-profile L2TP
# Подключить профиль PPP
set ppp-options PPP
# Принимать любые адреса отправителя (source)
set allowed-ip ANY
# Принимать любые адреса назначения (destination)
ipv4 address any
# Наименование маршрутизатора
host-name LNS
# Наименование производителя
vendor-name LNS
# Пароль для соединения с LAC
secret tunnelpass
port ge0
service-instance LAN
encapsulation untagged
port ge1
service-instance radius
encapsulation untagged
interface bmi.1
connect port ge0 service-instance LAN
subscriber-map test
ip address 10.2.2.1/24
# Подключение профиля L2TP
set l2tp-profile L2TP
interface radius
connect port ge1 service-instance radius
ip address 10.1.1.1/24Когда на LNS в опциях PPP ppp-options PPP включено повторное согласование LCP lcp renegotiation, LNS игнорирует любые заранее согласованные параметры LCP и повторно согласовывает как параметры LCP, так и PPP-аутентификацию с PPP-клиентом.
Настройте RADIUS-сервер
На интерфейсе eth0 RADIUS-сервера установите IP-адрес 10.1.1.2 и маску 255.255.255.0.
/etc/raddb/clients.conf
client ecorouter {
ipaddr = 10.1.1.1
secret = 1234
} Пароль в строке secret = 1234 должен соответствовать указанному строке radius-group RAD > radius-server на LNS.
/etc/raddb/dictionary
VENDOR RDP 45555
BEGIN-VENDOR RDP
ATTRIBUTE SUBSCRIBER_POLICY 242 string
ATTRIBUTE FILTER_MAP_POLICY 247 string
ATTRIBUTE SERVICE_NAME 250 string
END-VENDOR RDP
ATTRIBUTE Class 25 octets/etc/raddb/users
DEFAULT Auth-Type := Accept
SERVICE_NAME += "LAN", Framed-Pool += "pppoe"Запустите сервер командой radiusd -X.
Настройте LAC
Приведённая ниже конфигурация реализована на базе маршрутизатора Cisco 7200.
enable
configure terminal
hostname LAC
vpdn enable
vpdn aaa attribute nas-ip-address vpdn-nas
vpdn search-order domain dnis
vpdn-group LAC
request-dialin
protocol l2tp
domain rdpinn.ru
initiate-to ip 10.2.2.1
source-ip 10.2.2.2
local name LAC
l2tp tunnel password 0 tunnelpass
bba-group pppoe MAIN-BBA
virtual-template 1
interface FastEthernet0/0
no ip address
duplex full
pppoe enable group MAIN-BBA
no shutdown
interface FastEthernet1/0
ip address 10.2.2.2 255.255.255.0
no shutdown
interface Virtual-Template1
description pppoe MAIN-BBA
no ip address
no peer default ip address
ppp mtu adaptive
ppp authentication chapНастройте PPPOE
/etc/ppp/peers/provider
defaultroute
plugin rp-pppoe.so
eth0
user admin10@rdpinn.ru
usepeerdns /etc/ppp/pap-secrets
# Secrets for authentication using PAP
# client server secret IP addresses
"admin10@rdpinn.ru" * "admin10" *Запустите клиента командой pon provider.
Проверьте работу построенной схемы
На L2TP1 и L2TP2 командой ip a проверьте появился ли PPP интерфейс.
На EcoRouter командой show subscribers проверьте наличие присоединённого абонента admin10@rdpinn.ru.