VPN路由器配置如下:请解释画线部分含义: Vpdh－groupl－(1) Accept－dialin protocol 12tp virtual－

正确答案：

（3）问题3分析
　　MPLS最初是用来提高路由器的转发速度而提出的一个协议，MPLS协议的关键是引入了标签（Label ）交换概念；标签是一种短的，易于处理的，不包含拓扑信息，只具有局部意义的信息内容。
　　在MPLS网络中，IP包在进入第一个MPLS设备时，MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签；以后所有MPLS网络中节点都是依据这个标签作为转发依据；当IP包最终离开MPLS网络时，标签被边缘路由器分离。
MPLS在逻辑上可以分为LER（Label Switching Edge Router）和LSR（Label Switching Router）；其中LER是MPLS网络同其它网络的边缘设备，它提供流量分类和标签映射，标签移除的功能；而LSR是MPLS网络的核心交换机，它提供标签交换，标签分发的功能。
　　作为一种高效的IP骨干网技术平台，MPLS为实现VPN提供了一种灵活的并且具有可扩展性的技术基础，并且具有网络配置简单、动态发现相邻节点、直接利用现有路由协议、具有良好的可扩展性等特点。
　　为支持基于MPLS的VPN特性必须实现如下功能：
?LDP（Label Distribution Protocol）标签分布协议，是MPLS的信令协议，用以管理和分配标签；
?MPLS转发模块，根据报文上的标签和本地映射表进行二、三层间交换；
?MBGP和BGP扩展，用来传递VPN路由和承载VPN属性、QoS信息、标签等内容；
?路由管理的VPN扩展，建立多路由表，用以支持VPN路由。

　　在MPLS VPN的连接模型中，网络由运营商的骨干网与用户的各个Site组成，所谓VPN就是对Site集合的划分，一个VPN就对应一个由若干Site组成的集合。而MPLS VPN网络中的路由设备，也相应分为三类：
　　CE（Custom Edge）——用户Site中直接与服务提供商相连的边缘设备；
　　PE（Provider Edge）——骨干网中的边缘设备，它直接与用户的CE相连；
　　P 路由器（Provider Router）——骨干网中不与CE直接相连的设备。

　　MPLS VPN的组成原理：　　
（1）MPLS VPN的网络构造由服务提供商来完成。在这种网络构造中，由服务提供商向用户提供VPN服务，用户感觉不到公共网络的存在，就好像拥有独立的网络资源一样。
（2）同样对于服务提供商骨干网络内部的 P 路由器，也就是不与CE 直接相连的路由器而言，也不知道有VPN的存在，仅仅负责骨干网内部的数据传输。但其必须能够支持MPLS协议，并使能该协议。
（3）所有的VPN的构建、连接和管理工作都是在PE上进行的。PE位于服务提供商网络的边缘，从PE的角度来看，用户的一个连通的IP 系统被视为一个Site，每一个Site通过CE与PE相连，Site是构成VPN的基本单元。
（4）一个VPN是由多个Site组成的，一个Site也可以同时属于不同的VPN。属于同一个VPN的两个Site通过服务提供商的公共网络相连，VPN数据在公共网络上传播，必须要保证数据传输的私有性和安全性。也就是说，从属于某个VPN的Site发送出来的报文只能转发到同样属于这个VPN的Site里去，而不能被转发到其他Site中去。
（5）同时，任何两个没有共同的Site的VPN都可以使用重叠的地址空间，即在用户的私有网络中使用自己独立的地址空间，而不用考虑是否与其他VPN或公网的地址空间冲突。所有这些就都需要依赖于VRF（VPN Routing & Forwarding　Instance）。
关于VPN路由转发实例（VPN Routing & Forwarding Instance）、路由标识（Route Distinguisher）、多协议 BGP（MultiProtocol BGP）、BGP 扩展团体属性（Extended Community）、BGP 路由刷新（Route Refresh）的详细技术内容，在本文中不做介绍，请参阅相关技术资料。
以下为问题3的MPLS VPN环境介绍及MPLS VPN的有关配置。

图中，s0表示第零号串口，e0表示第零号以太网口；P路由器分别通过s0，s1，s2，s3与PE1，PE2，PE3，PE4相连；各用户网络的AS号码分别为65410、65420、65430、65440，核心网络的AS号码为100；VPN-A为国库支付VPN，VPN-B为视频监控VPN。

PE1的配置：
# VRF配置
Quidway#config terminal
#进入到配置模式
Quidway(config)#ip vrf vpna
#创建VPN实例vpna
Quidway(config-vrf)#rd 100:1
#配置vpna的rd为：100:1
Quidway(config-vrf)#route-target both 100:1
#配置rd为100:1的站点可以双向接收此VPN路由
Quidway(config-vrf)#route-target import 100:2
#可以接收到rd为100:2站点发送过来的VPN路由
Quidway(config-vrf)#route-target export 100:3
#配置rd为100:3的站点可以接收此VPN路由
Quidway(config-vrf)#exit
#退出接口配置模式

# 接口配置
Quidway(config)#interface e 0
#进入到以态网e0口
Quidway(config-if-Ethernet0)#ip vrf forwarding vpna
#将接口添加到vpna实例中
Quidway(config-if-Ethernet0)#ip address 168.1.1.2 255.255.0.0
#配置接口地址
Quidway(config-if-Ethernet0)#exit
#退出接口配置模式
Quidway(config)#interface s 0
#进入到串行接口s0口
Quidway(config-if-Serial0)#ip address 172.1.1.1 255.255.0.0
#配置接口地址
Quidway(config-if-Serial0)#exit
#退出接口配置模式

# PE-CE配置
Quidway(config)#router bgp 100
#使能bpg，自治系统号100
Quidway(config-router-bgp)#address-family ipv4 vrf vpna
#在BGP的IPV4 VRF VPNA地址簇中引入路由信息
Quidway(config-router-af)#neighbor 168.1.1.1 remote-as 65410
#建立ipv4 vrf VPNA中的邻居，传递VRF路由
Quidway(config-router-af)#neighbor 168.1.1.1 activate
#建立ipv4 vrf VPNA中的邻居，并激活邻居
Quidway(config-router-af)#redistribute connected
#引入直连路由
Quidway(config-router-af)#exit-address-family
#退出当前配置模式
Quidway(config-router-bgp)#exit
#退出

# PE-PE配置
Quidway(config)#router bgp 100
#使能bpg，自治系统号100
Quidway(config-router-bgp)#redistribute ospf metric 6
#引入ospf路由并配置metric值为 6
Quidway(config-router-bgp)#address-family vpnv4
#配置VPNV4 iBGP路由，用以在PE之间传播MBGP VPN路由
Quidway(config-router-af)#neighbor 172.2.1.1 remote-as 100
#建立邻居
Quidway(config-router-af)#neighbor 172.2.1.1 activate
#激活邻居
Quidway(config-router-af)#neighbor 172.3.1.1 remote-as 100
Quidway(config-router-af)#neighbor 172.3.1.1 activate
Quidway(config-router-af)#neighbor 172.4.1.1 remote-as 100
Quidway(config-router-af)#neighbor 172.4.1.1 activate
Quidway(config-router-af)#exit-address
Quidway(config-router-bgp)#exit
# OSPF配置
Quidway(config)#router ospf
#启用OSPF功能
Quidway(config-router-ospf)#network 172.1.1.0 0.0.255.255 area 0
#发布ospf路由信息到区域0
Quidway(config-router-ospf)#exit
# MPLS配置
Quidway(config)#mpls lsr id 172.1.1.1
#配置mpls的lsr id标识
Quidway(config)#mpls ldp
#启用mpls ldp标签协议
Quidway(config-mpls-ldp)#exit
Quidway(config)#interface s 0
Quidway(config-if-Serial0)#mpls ldp enable
#在接口下启用mpls标签功能
Quidway(config-if-Serial0)#exit
Quidway(config)#exit
Quidway#

CE1的配置：
# 接口配置
Quidway#config terminal
Quidway(config)#interface e 0
Quidway(config-if-Ethernet0)#ip address 168.1.1.1 255.255.0.0
#配置以太口IP地址
Quidway(config-if-Ethernet0)#exit
# BGP配置
Quidway(config)#router bgp 65410
Quidway(config-router-bgp)#neighbor 168.1.1.2 remote-as 100
#配置BGP邻居
Quidway(config-router-bgp)#exit
Quidway(config)#exit
Quidway#

P路由器的配置：
# 接口配置
Quidway#config terminal
Quidway(config)#interface s 0
Quidway(config-if-Serial0)#ip address 172.1.1.2 255.255.0.0
Quidway(config-if-Serial0)#exit
Quidway(config)#interface s 1
Quidway(config-if-Serial0)#ip address 172.2.1.2 255.255.0.0
Quidway(config-if-Serial0)#exit
Quidway(config)#interface s 2
Quidway(config-if-Serial0)#ip address 172.3.1.2 255.255.0.0
Quidway(config-if-Serial0)#exit
Quidway(config)#interface s 3
Quidway(config-if-Serial0)#ip address 172.4.1.2 255.255.0.0
Quidway(config-if-Serial0)#exit
#配置各串口IP地址
# MPLS配置
Quidway(config)#mpls lsr id 172.1.1.2
#配置mpls的lsr id标识
Quidway(config)#mpls ldp
#启用mpls ldp标签协议
Quidway(config-mpls-ldp)#exit
Quidway(config)#interface s 0
Quidway(config-if-Serial0)#mpls ldp enable
#在接口下启用mpls标签功能
Quidway(config-if-Serial0)#exit
Quidway(config)#
Quidway(config)#interface s 1
Quidway(config-if-Serial0)#mpls ldp enable
Quidway(config-if-Serial0)#exit
Quidway(config)#
Quidway(config)#interface s 2
Quidway(config-if-Serial0)#mpls ldp enable
Quidway(config-if-Serial0)#exit
Quidway(config)#
Quidway(config)#interface s 3
Quidway(config-if-Serial0)#mpls ldp enable
Quidway(config-if-Serial0)#exit
Quidway(config)#
# OSPF配置
Quidway(config)#router ospf
Quidway(config-router-ospf)#network 172.1.1.0 0.0.255.255 area 0
Quidway(config-router-ospf)#network 172.2.1.0 0.0.255.255 area 0
Quidway(config-router-ospf)#network 172.3.1.0 0.0.255.255 area 0
Quidway(config-router-ospf)#network 172.4.1.0 0.0.255.255 area 0
其他PE的配置与PE1相似，其他CE的配置与CE1相似，不重复列举。
【问题3】
（1）VPN接口配置
将相应的接口加入VPN实例中；
进入接口配置模式，配置接口的IP地址。
（2）PE-CE配置
启用路由协议BGP，并设置自治区号；
在BGP的IPV4 VRF实例地址簇中引入路由信息；
建立IPV4 VRF实例的邻居关系，激活并传递VRF路由；
在BGP中引入直连路由。
（3）OSPF配置
启用OSPF路由协议；
配置路由区域及网络地址信息。
（4）MPLS配置
配置MPLS的LSR ID标识；
启用路由器的MPLS LDP标签协议；
在网络接口上启用MPLS LDP标签协议。

正确答案：第(1)处规则2允许主机36.48.0.3访问；第(2)处规则2禁止IP地址为36.48.0.0掩码为0.0.255.255的主机访问第(3)处规则2允许IP地址为36.0.0.0掩码为0.255.255.255的主机访问；第(4)处将访问规则2应用到接口ethernet 0。
第(1)处，规则2允许主机36.48.0.3访问；第(2)处，规则2禁止IP地址为36.48.0.0掩码为0.0.255.255的主机访问，第(3)处，规则2允许IP地址为36.0.0.0掩码为0.255.255.255的主机访问；第(4)处，将访问规则2应用到接口ethernet 0。

正确答案：Current configuration: version 11.3 no service password-encryption hostname2501 //路由器名称为2501 ip nat pool aaa 192.1.1.2192.1.1.10 netmask 255.255.255.0 //内部合法地址池名称为aaa地址范围为192.1.1.2～192.1.1. 10子网掩码为255.255.255.0 ip nat inside souse list 1 pool aaa //将由access-list 1指定的内部本地地址与指定的内部合法地址 池aaa进行地址转换。 interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside //指定与内部网络相连的内部端口为Ethemet0 interface Seria10 ip address 192.1.1.1 255.255.255.0 ip nat outside no ip mroute-cache bandwidth 2000 //带宽为2M no fair-queue clockrate 2000000 interface Seriall no ip address shutdown no ip classless ip route0.0.0.0 0.0.0.0 Seria10 //指定静态默认路由指向Seria10 access-list 1 permit 10.1.1.0 0.0.0.255 //定义一个标准的access-list 1以允许10.1.1.0网段子网掩码的反码为0.0.0.255的内部地址可以进行动态地址转换 line con 0 line aux 0 line vty 0 4 password cisco end
Current configuration: version 11.3 no service password-encryption hostname2501 //路由器名称为2501 ip nat pool aaa 192.1.1.2192.1.1.10 netmask 255.255.255.0 //内部合法地址池名称为aaa，地址范围为192.1.1.2～192.1.1. 10，子网掩码为255.255.255.0 ip nat inside souse list 1 pool aaa //将由access-list 1指定的内部本地地址与指定的内部合法地址 池aaa进行地址转换。 interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside //指定与内部网络相连的内部端口为Ethemet0 interface Seria10 ip address 192.1.1.1 255.255.255.0 ip nat outside no ip mroute-cache bandwidth 2000 //带宽为2M no fair-queue clockrate 2000000 interface Seriall no ip address shutdown no ip classless ip route0.0.0.0 0.0.0.0 Seria10 //指定静态默认路由指向Seria10 access-list 1 permit 10.1.1.0 0.0.0.255 //定义一个标准的access-list 1以允许10.1.1.0网段，子网掩码的反码为0.0.0.255的内部地址可以进行动态地址转换 line con 0 line aux 0 line vty 0 4 password cisco end

正确答案：(8)创建VPDN组1 (9)接受L2TP通道连接请求并根据虚接口模板1创建虚拟访问接收远程主机为a80-1的连接 (10)LCP再次协商处
(8)创建VPDN组1 (9)接受L2TP通道连接请求，并根据虚接口模板1创建虚拟访问，接收远程主机为a80-1的连接 (10)LCP再次协商处 解析：vpdn group命令的作用是创建一个VPDN组并进入该VPDN组配置模式，1表示所创建VPDN组的组号。第(2)处，accept-dislin protocol 12tp命令的作用是指定接受呼叫时，通道对端的名称及使用virtual-template号。L2TP通道连接请求，并根据vinual-template 1创建virtual-access接口，远端主机为splac。第(3)处，lcp renegotiation命令的作用是开启LNS与client之间重新协商，always表示一直允许进行LCP协商。

正确答案：Current configuration: ! version 11.2 no service udp-small-servers no service tcp-small-servers hostname router1 ! enable secret 5 $ 1 $ XN08 $ Ttr8nfLoP9.2RgZhcBzkk/ enable password cisco ! ip subnet-zero ! controller E1 0 framing NO-CRC4 //帧类型为no-crc4 channel-group 0 timeslots 1 //建立逻辑通道组0与时隙1的映射 channel-group 1 timeslots 2 //建立逻辑通道组1与时隙2的映射 channel-group 2 timeslots 3 //建立逻辑通道组2与时隙3的映射 interface Ethernet0 ip address 133.118.40.1 255.255.0.0 media-type 10BaseT ! interface Ethernet1 no ip address shutdown ! interface Serial0:0 //逻辑接口 Serial0:0 ip address 202.119.96.1 255.255.255.252 encapsulation hdlc no ip mroute-cache interface Serial0:1 ip address 202.119.96.5 255.255.255.252 encapsulation hdlc no ip mroute-cache ! interface Serial0:2 ip address 202.119.96.9 255.255.255.252 encapsulation hdlc no ip mroute-cache no ip classless ip route 133.210.40.0 255.255.255.0 Serial0:0 ip route 133.210.41.0 255.255.255.0 Serial0:1 ip route 133.210.42.0 255.255.255.0 Serial0:2 line eon 0 line aux 0 line vty 0 4 password cicso login end
Current configuration: ! version 11.2 no service udp-small-servers no service tcp-small-servers hostname router1 ! enable secret 5 $ 1 $ XN08 $ Ttr8nfLoP9.2RgZhcBzkk/ enable password cisco ! ip subnet-zero ! controller E1 0 framing NO-CRC4 //帧类型为no-crc4 channel-group 0 timeslots 1 //建立逻辑通道组0与时隙1的映射 channel-group 1 timeslots 2 //建立逻辑通道组1与时隙2的映射 channel-group 2 timeslots 3 //建立逻辑通道组2与时隙3的映射 interface Ethernet0 ip address 133.118.40.1 255.255.0.0 media-type 10BaseT ! interface Ethernet1 no ip address shutdown ! interface Serial0:0 //逻辑接口 Serial0:0 ip address 202.119.96.1 255.255.255.252 encapsulation hdlc no ip mroute-cache interface Serial0:1 ip address 202.119.96.5 255.255.255.252 encapsulation hdlc no ip mroute-cache ! interface Serial0:2 ip address 202.119.96.9 255.255.255.252 encapsulation hdlc no ip mroute-cache no ip classless ip route 133.210.40.0 255.255.255.0 Serial0:0 ip route 133.210.41.0 255.255.255.0 Serial0:1 ip route 133.210.42.0 255.255.255.0 Serial0:2 line eon 0 line aux 0 line vty 0 4 password cicso login end

正确答案：(1)使VPDN功能生效。 (2)创建VPDN的组1。 (3)接受来自对端L2TP的连接制定使用的Virtual Template是Virtual-template 1远程主机为sp_lac。 (4)指定Tunnel本端名称是Bob。 (5)LNS与client之间重新协商链路控制协议。 (6)禁止L2TP通道的验证功能。
(1)使VPDN功能生效。 (2)创建VPDN的组1。 (3)接受来自对端L2TP的连接，制定使用的Virtual Template是Virtual-template 1，远程主机为sp_lac。 (4)指定Tunnel本端名称是Bob。 (5)LNS与client之间重新协商链路控制协议。 (6)禁止L2TP通道的验证功能。

正确答案：(1)创建VPDN组1(2)接受L2TP通道连接请求并根据虚接口模板1创建虚拟访问接收远程主机为a801的连接。(3)LCP再次协商。
(1)创建VPDN组1(2)接受L2TP通道连接请求，并根据虚接口模板1创建虚拟访问，接收远程主机为a801的连接。(3)LCP再次协商。

正确答案：

正确答案：(1)创建VPDN组1。 (2)接受L2TP通道连接请求并根据虚接口模板1创建虚拟访问接收远程主机为a801的连接。 (3)LCP再次协商。
(1)创建VPDN组1。 (2)接受L2TP通道连接请求，并根据虚接口模板1创建虚拟访问，接收远程主机为a801的连接。 (3)LCP再次协商。