辽宁 汤平

目前场景为路由器A 通过专线接入互联网，有固定的互联网地址，内部网络连接终端A。路由器B通过4G 无线网络接入互联网，动态获取网络地址，内部网络连接终端B。网络拓扑结构如图1 所示。

在路由器A 和路由器B启用网络地址转换(Network Address Translation,简称NAT)后，可实现终端A 和终端B 访问互联网资源。路由器主要配置如下：

图1 网络拓扑结构

图2 网络拓扑结构

按照上述配置，终端A 和终端B 均可访问互联网资源，如果要实现终端A 和终端B 之间网络可达，则需要路由器上配置静态一对一地址映射或内部服务器地址映射，但由于路由器B 通过4G 无线网络接入互联网，动态获取网络地址，在路由器B 上不能配置静态一对一地址映射或内部服务器地址映射，因此暂不能实现终端A 和终端B 之间网络可达。

解决思路

针对上述情况，主要是在路由器A 和路由器B 之间建立虚拟专用网络（Virtual Private Network,简 称VPN），即可实现终端A 和终端B 之间网络可达，综合考虑路由器A 有固定的互联网地址，路由器B 动态获取网络地址，采用二层隧道协 议（Layer 2 Tunneling Protocol,简 称L2TP）建立VPN。L2TP 协 议 是 扩 展了点到点（Point-to-Point Protocol,简称PPP）协议，是远程拨号用户接入总部网络的一种主要VPN 技术，因此采用L2TP 协议可解决终端A 和终端B 之间网络不可达问题。

规划L2TP 后的网络拓扑如图2 所示。

路由器A 通过专线接入互联网，配置为L2TP 服务器（L2TP Network Server,简称LNS），路由器B 通过4G 无线网络接入互联网，配置为L2TP客户端（L2TP Access Concentrator,简 称LAC），在路由器A 和路由器B 之间基于互联网建立L2TP VPN，再配置私网静态路由即可实现终端A 和终端B 之间网络可达。

配置步骤

此部分详细说明L2TP 协议相关配置，其中加黑字体是命令，倾斜字体是参数，#符号开头是说明。路由器接口配置可参照场景分析中的描述。

按照本节思路，如果另有路由器C 需实现终端C 分别与终端A、终端B 之间网络可达，仅需在路由器A（L2TP服务器端）为路由器C 创建账号（含用户名和口令），同时路由器C 作为L2TP 客户端与路由器A 建立VPN（不需要单独与路由器B 建立VPN），在路由器A、路由器B和路由器C 上分别配置私网静态路由，即可实现终端C分别与终端A、终端B 之间网络可达。网络拓扑如图3 所示。

图3 网络拓扑结构