L2TP作为LAC,在公网的出接口上配置NAT Outbound的ACL规则为允许所有报文通过时,L2TP隧道无法建立。

发布时间:  2017-04-13 浏览次数:  102 下载次数:  0
问题描述

客户端配置 
#                                                                         
 sysname LAC               
#                                                                               
 l2tp enable   //启用L2TP功能
#                                                                               
interface Virtual-Template1   //创建VT虚拟接口模板,配置拨号参数
 ppp chap user huawei
 ppp chap password cipher %@%@/|S75*sxcH2@FQL=wn#2@I`a%@%@    
 ip address ppp-negotiate
 l2tp-auto-client enable                                                        
#
acl 3001
rule 5 permit ip
#                                                                              
interface GigabitEthernet1/0/0                                                  
 ip address 10.1.1.1 255.255.255.0
#                                                                               
interface Cellular0/0/0   //配置4G接口
 dialer enable-circular   //使能DCC轮询功能
 dialer-group 1   //将此拨号口加入拨号控制列表,其编号和控制列表中的规则编号一致
 apn-profile lteprofile
 dialer number *99# autodial   //按拨号串进行自动拨号
 ip address negotiate    //自动获取运营商分配的IP地址,接入公网
 nat outbound 3001
# 
dialer-rule   //配置拨号控制列表
 dialer-rule 1 ip permit
#
apn profile lteprofile
 apn ltenet 
#
l2tp-group 1   //创建L2TP组,配置L2TP连接参数
 tunnel password cipher %@%@d'o6Xpp(i/i:WRC)`'0#3nJ*%@%@
 tunnel name LAC                                                                
 start l2tp ip 2.1.1.1 fullusername huawei                                     
#
ip route-static 0.0.0.0 0.0.0.0 Cellular0/0/0   //配置静态路由
ip route-static 10.1.0.0 255.255.255.0 Virtual-Template1
#                                                                               
return            
服务器端配置
#                                                                               
 sysname LNS               
#                                                                               
 l2tp enable   //启用L2TP功能
# 
ip pool 1   //创建IP地址池,为接入用户分配IP地址
 gateway-list 3.1.1.1
 network 3.1.1.0 mask 255.255.255.0
#
aaa   //配置L2TP的用户名和密码
 local-user huawei password cipher %^%#_<`.CO&(:LeS/$#F\H0Qv8B]KAZja3}3q'RNx;VI%^%#
 local-user huawei privilege level 0
 local-user huawei service-type ppp                                             
#                                                                               
interface Virtual-Template1   //创建VT虚拟接口模板,配置拨号参数
 ppp authentication-mode chap  
 remote address pool 1
 ip address 3.1.1.1 255.255.255.0                                              
#                                                                               
interface GigabitEthernet1/0/0                                                  
 ip address 10.1.0.1 255.255.255.0                                           
#                                                                               
interface GigabitEthernet2/0/0                                                  
 ip address 2.1.1.1 255.255.255.0                                              
#                                                                               
l2tp-group 1   //创建L2TP组,配置L2TP连接参数
 allow l2tp virtual-template 1 remote LAC                                       
 tunnel password cipher %@%@5j*=S&AGXK'J}kG])REK]_-o%@%@ 
 tunnel name LNS                                                                
#                                                                               
ip route-static 0.0.0.0 0.0.0.0 2.1.1.2   //配置静态路由
ip route-static 10.1.1.0 255.255.255.0 Virtual-Template1
#                                                                               
return 

处理过程

L2TP作为LAC,在公网的出接口上配置NAT OutboundACL规则为允许所有报文通过。

根因

NATL2TP协议报文进行转换后改变源端口进行转发,导致对端无法识别。

解决方案
在ACL上配置策略源地址为LAC侧内网地址,目的地址为LNS侧内网地址,动作为deny
其余放行 
在nat outbound 调用该策略


acl 3001
rule 1 deny source ip 10.1.1.0 0.0.0.255  destination 10.1.0.0 0.0.0.255


END