功能介绍

L2TP强制隧道模式：在强制隧道模式下，LAC端终结来自远程接入客户的呼叫，然后通过中间网络以隧道方式将PPP会话延伸到LNS。这种模式不要求远程接入客户端了解L2TP，远程接入客户只需要使用PPP拨号到LAC即可。3G解决方案就是采用这种模式。

应用场景

若总公司和分公司各自的内网要能够互相共享资料，且对数据的安全性要求不高，总公司对分公司路由器采用本地的用户名、密码方式进行验证，此时您可以在总公司和分公司的网络设备上启用强制模式的L2TP VPN，且PPP认证采用本地认证。

一、组网需求

某企业使由于业务拓展，在全国各地建立了若干分支机构；总部出口路由器通过运营商专线连接到互联网，各分支可能通过专线或者ADSL方式接入互联网。分支机构在业务开展过程中需要访问位于总部的业务服务器，同时需要对分支与总部间通信的数据进行加密，保证业务安全。

该场景通过在总部出口路由器和分支出口路由器间建立L2TP VPN来满足分支与总部间的业务互访需求。

二、组网拓扑

模拟拓扑：

三、配置要点

L2TP VPN2.0和1.0的配置主要区别在于LNS端的配置：1、必须首先创建virtual-vpdn2.0接口 2、LNS的vpdn-group必须指定source-ip 3、virtual-vpdn的接口必须配置静态IP地址 4、地址池的配置和调用使用新的命令注：virtual-vpdn的接口会自动调整MSS（扣除L2TP封装的报头长度）,但如果和其他vpn嵌套使用，则需要手工更改MSS。

具体配置步骤与内容如下：

1、配置LNS VPDN

2、配置LNS地址池和用户信息

3、配置LNS virtual-vpdn 接口

4、配置分支路由器PPP拨号

5、配置分支路由器L2TP CLASS

6、配置分支路由器L2TP pseudowire-class 接口

7、配置分支路由器的Virtual-ppp接口

四、配置步骤

1、配置LNS VPDN

vpdn enable

interface virtual-vpdn 1 //先创建virtual-vpdn接口，该接口必须提前创建完毕。

vpdn-group 1

accept-dialin

source-ip 12.1.1.2 //必须配置，该地址为LAC拨入请求报文的目的地址，一般为专线出口地址。

protocol l2tp

virtual-vpdn 1 //该配置必须要求上面的协议设置为l2tp，否则在配置过程中，将不会出现该命令。

l2tp tunnel authentication //按需启用l2tp隧道认证功能

l2tp tunnel password ruijie //按需配置l2tp隧道验证密码为“ruijie”

注意：

1）在LNS上配置了隧道认证和密码后，必须在L2TP客户端上也配置隧道认证和相同的密码，否则L2TP无法协商成功。

2）如果LAC拨入请求报文的目的地址为LNS的loopback地址时，source-ip命令不生效，必须使用bind slot-id 命令来代替source-ip，slot-id为专线出口所在的线卡槽位号。在10.4(3b31)p1版本以上支持该命令

2、配置LNS地址池和用户信息

ppp ip pool test 创建ppp地址池test

address 192.1.1.2 19.1.2.254 配置test地址池的ip范围

username test password test //添加需要本地认证的L2TP客户端账号密码信息

3、配置LNS Virtual-vpdn接口

interface Virtual-vpdn 1

ppp authentication chap

ip address 10.1.1.1 255.255.255.0 //virtual-vpdn接口必须静态配置IP地址

PPP ip address pool test //在接口下调用为vpdn配置的地址池，配置命令和原来的l2tp配置方式不同

五、配置验证

1、查看LNS上的状态信息

（1）在LNS上通过show vpdn命令可以看到当前已经成功拨的用户信息：

已经有2个用户成功拨入

（2）在LNS上查看对应的vpdn接口

只生成了一个vpdn的虚拟接口。

（3）确认对应客户端的路由表

都生成了两个拨入客户端对应的主机路由。