第7招：LAC在自主拨号场景中，为什么要配置源NAT？

### LAC在自主拨号场景中配置源NAT的重要性 #### 一、L2TP自主拨号场景概述 L2TP（Layer 2 Tunneling Protocol）是一种常用的二层隧道协议，广泛应用于远程接入网络中。它能够通过互联网等公共网络为用户提供安全的数据传输通道。在L2TP网络中，主要涉及两种设备：LAC（L2TP Access Concentrator）和LNS（L2TP Network Server）。其中，LAC负责与终端用户建立连接并将其数据包封装进L2TP隧道中，再将这些数据包发送给LNS；LNS则负责接收来自LAC的数据包，并对其进行解封装，最终将数据包发送给目标网络。 在L2TP的应用场景中，有一种典型的配置方式称为“自主拨号”。在这种配置下，LAC与LNS之间建立的L2TP隧道无需用户的直接参与即可自动建立。这种方式适用于固定地点的远程站点，例如分支机构与总部之间的连接。 #### 二、为何需要配置源NAT？ 在L2TP自主拨号场景中，LAC通常需要配置源NAT（Source NAT），这是因为在实际通信过程中，如果没有正确配置源NAT，则可能会导致从远端站点（如分支机构）发往中心站点（如总部）的数据包无法正常回传。以下通过一个具体的示例来详细解释这一过程： #### 三、示例分析 假设存在如下网络结构： - 分支机构用户所在的本地网络为192.168.1.0/24。 - LAC侧的VT接口（虚拟模板接口）地址为172.16.1.1/24。 - LNS侧的VT接口地址（在本例中不重要，可以忽略）。 - 总部服务器的地址为10.1.1.1/24。 当分支机构用户试图访问总部服务器时，数据包的源地址为192.168.1.1，目的地址为10.1.1.1。LAC接收到该数据包后，会进行L2TP封装，并将封装后的数据包发送给LNS。封装后的数据包源地址变为LAC的公网地址1.1.1.1，目的地址为LNS的公网地址2.2.2.1。 当总部服务器收到LNS转发的数据包并进行回应时，回应的数据包源地址为10.1.1.1，目的地址为192.168.1.1。问题在于，LNS上没有指向192.168.1.0/24网段的路由，因此无法将回应的数据包正确地送回L2TP隧道，从而导致通信失败。 #### 四、解决方法：配置源NAT 为了解决上述问题，需要在LAC上配置源NAT策略。源NAT策略的作用是将分支机构用户发出的数据包的源地址从192.168.1.1转换为LAC的VT接口地址172.16.1.1。这样做的好处在于，总部服务器的回应数据包的目的地址就会变成172.16.1.1。当回应数据包到达LNS时，可以通过LNS上的UNR（User Network Route）路由表找到正确的路径，从而将数据包送回L2TP隧道，并最终送达分支机构用户。 #### 五、配置源NAT策略 配置源NAT的具体步骤如下： 1. 进入LAC的安全域间配置模式，假设分支机构用户位于Trust安全域，而VT接口位于Untrust安全域。 2. 配置源NAT策略，指定将Trust安全域中的流量出方向转换为Untrust安全域中的VT接口地址。 3. 使用Easy-IP特性，将转换后的源地址设置为VT接口的地址。 具体配置命令示例： ```bash [LAC]nat-policy interzone trust untrust outbound [LAC-nat-policy-interzone-trust-untrust-outbound]policy policy1 [LAC-nat-policy-interzone-trust-untrust-outbound-policy1]policy source 192.168.1.0 0.0.0.255 [LAC-nat-policy-interzone-trust-untrust-outbound-policy1]action source-nat [LAC-nat-policy-interzone-trust-untrust-outbound-policy1]easy-ip Virtual-Template vt1 [LAC-nat-policy-interzone-trust-untrust-outbound-policy1]quit ``` 通过以上配置，可以有效解决L2TP自主拨号场景中由于未配置源NAT而导致的通信故障问题。 #### 六、其他可能的解决方法及不足之处 除了配置源NAT之外，另一种可能的解决方法是在LNS上手动添加指向分支机构内网的路由。例如，可以添加一条目的网段为192.168.1.0/24，下一跳为172.16.1.1（即LAC侧VT接口地址）的路由。这种方法虽然能够解决问题，但存在以下不足之处： 1. **可扩展性差**：如果分支机构有多个子网，LNS上就需要添加多条路由，这对网络管理和维护造成巨大负担。 2. **灵活性低**：如果分支机构的子网地址发生变化，LNS上的路由也需要相应调整，这同样增加了管理难度。 配置源NAT是更为推荐的做法，它不仅解决了通信问题，还具有更好的可扩展性和灵活性。