第3章 L2TP协议配置.doc

通用路由平台VRP 操作手册 VPN分册目 录目 录第3章 L2TP协议配置3-13.1 简介3-13.1.1 VPDN3-13.1.2 L2TP协议原理3-23.1.3 L2TP隧道模式和呼叫建立3-63.1.4 L2TP隧道交换3-83.1.5 采用L2TP实现接入三层VPN技术3-93.2 配置L2TP基本能力3-93.2.1 建立配置任务3-93.2.2 配置L2TP基本能力3-103.3 配置LAC侧3-113.3.1 建立配置任务3-113.3.2 配置LAC侧的L2TP连接3-123.3.3 配置LAC侧的用户验证3-123.4 配置LNS侧3-133.4.1 建立配置任务3-133.4.2 配置LNS侧的L2TP连接3-153.4.3 配置LNS侧的用户验证3-153.4.4 配置LNS侧的ACCM消息发送3-163.4.5 为接入用户分配地址3-163.5 配置隧道交换3-163.5.1 建立配置任务3-163.5.2 启动隧道交换功能3-173.6 调整L2TP连接3-183.6.1 建立配置任务3-183.6.2 配置L2TP连接的安全选项3-193.6.3 调整L2TP连接3-193.7 维护L2TP3-203.7.1 显示L2TP的运行状态3-203.7.2 强制挂断通道3-203.7.3 调试L2TP3-213.8 配置举例3-213.8.1 配置NAS-Initialized VPN示例3-213.8.2 配置Client-Initialized VPN示例3-233.8.3 配置单用户通过路由器与总部互联示例3-253.8.4 配置L2TP接入三层VPN示例3-273.8.5 配置隧道交换示例3-303.8.6 复杂的组网情况3-333.9 故障处理3-343.9.1 Tunnel建立失败3-343.9.2 PPP协商失败3-343.9.3 数据传输失败3-353.9.4 大报文传输失败3-35ii通用路由平台VRP 操作手册 VPN分册第3章 L2TP协议配置第3章 L2TP协议配置3.1 简介3.1.1 VPDN1. VPDN概述VPDN（Virtual Private Dial Network）是指利用公共网络（如ISDN和PSTN）的拨号功能及接入网来实现虚拟专用网，为企业、小型ISP、移动办公人员提供接入服务。VPDN采用专用的网络加密通信协议，在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络，通过虚拟加密隧道实现和企业总部之间的网络连接，而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。2. VPDN实现方式VPDN有下列两种实现方式：(1) NAS通过隧道协议与VPDN网关建立通道客户的PPP连接直接连到企业的网关，目前可使用的协议有L2F与L2TP。其优势在于：对用户透明，用户只需要登录一次就可以接入企业网络，由企业网进行用户认证和地址分配，不占用公共地址，用户可使用各种平台上网。这种方式需要NAS支持VPDN协议，需要认证系统支持VPDN属性，网关一般使用路由器或VPN专用服务器。(2) 客户机与VPDN网关建立隧道客户机先建立与Internet的连接，再通过专用的客户软件（如Win2000支持的L2TP客户端）与网关建立通道连接。其优势在于：用户上网的方式和地点没有限制，不需ISP介入。缺点是：用户需要安装专用的软件（一般采用Win2000平台），限制了用户使用的平台。3. 使用L2TP构建VPDNVPDN隧道协议分为PPTP、L2F和L2TP三种，目前使用最广泛的是L2TP。使用L2TP协议构建的VPDN应用的典型组网如图3-1所示：图3-1 应用L2TP构建的VPDN服务l L2TP访问集中器LAC（L2TP Access Concentrator）LAC是交换网络上有PPP端系统和L2TP处理能力的设备，一般是网络接入服务器NAS，通过PSTN/ISDN网络为用户提供接入服务。LAC位于LNS（L2TP Network Server）和远端系统（远地用户和远地分支机构）之间，在LNS和远端系统之间传递信息包：把从远端系统收到的信息包进行L2TP封装并送往LNS；将从LNS收到的信息包解封装并送往远端系统。LAC与远端系统间可采用本地连接或PPP链路，VPDN应用中通常使用PPP链路。l L2TP网络服务器LNSLNS是PPP端系统上用于处理L2TP协议服务器端部分的设备。LNS作为L2TP隧道的另一侧端点，是LAC的对端设备，是通过LAC进行隧道传输的PPP会话的逻辑终止端点。3.1.2 L2TP协议原理1. 协议背景PPP协议定义了一种封装技术，可以在二层点到点链路上传输多种协议数据包，这时，用户与NAS之间运行PPP，二层链路端点与PPP会话点在相同硬件设备上。L2TP协议提供了对PPP链路层数据包的隧道（Tunnel）传输支持，允许二层链路端点和PPP会话点驻留在不同设备上，并采用包交换技术进行信息交互，从而扩展了PPP模型。L2TP协议结合了L2F协议和PPTP协议的优点，成为IETF有关二层隧道协议的工业标准。关于L2TP的详细介绍，可以参考RFC2661（Layer Two Tunneling Protocol L2TP）。2. 基本概念(1) 控制消息和数据消息L2TP中存在两种消息：l 控制消息：用于隧道和会话连接的建立、维护以及传输控制。采用可靠传输，支持对控制消息的流量控制和拥塞控制；l 数据消息：用于封装PPP帧并在隧道上传输。采用不可靠传输，即，不重传丢失的数据报文，不支持对数据消息的流量控制和拥塞控制。(2) 隧道和会话L2TP是面向连接的，在一个LNS和LAC对之间存在两种类型的连接：l 隧道（Tunnel）连接：定义一个LNS和LAC对；l 会话（Session）连接：复用在隧道连接之上，表示承载在隧道连接中的一个PPP会话过程。同一对LAC和LNS之间可以建立多个L2TP隧道，隧道由一个控制连接和一个或多个会话连接组成。会话连接必须在隧道建立（包括身份保护、L2TP版本、帧类型、硬件传输类型等信息的交换）成功后进行，每个会话连接对应LAC和LNS之间的一个PPP数据流。控制消息和PPP报文都在隧道上传输。L2TP使用Hello报文检测隧道的连通性。LAC和LNS定时向对端发送Hello报文，若在一段时间内未收到Hello报文的应答，该会话将被清除。& 说明：在VRP中，允许建立的L2TP隧道数目和可接入的会话数与具体使用的产品相关。对于NE16E路由器，每块接口板最多允许创建4095条L2TP隧道，整机最多允许创建8190条L2TP隧道。& 说明：可接入的最大会话数由License决定。如果需要购买License，请联系华为公司技术支持工程师或代理商。(3) L2TP协议结构图3-2 L2TP协议结构图3-2描述了PPP帧和控制通道以及数据通道之间的关系：PPP帧在不可靠的L2TP数据通道内传输，控制消息在可靠的L2TP控制通道内传输。L2TP数据以UDP报文形式发送。L2TP注册了UDP端口1701，这个端口号仅用于初始隧道建立过程。L2TP隧道发起方任选一个空闲端口（未必是1701）向接收方的1701端口发送报文；接收方收到报文后，也任选一个空闲端口（未必是1701），给发送方的指定端口回送报文。至此，双方的端口选定，并在隧道连通的时间内不再改变。(4) L2TP报文头L2TP的控制消息和数据消息使用相同的报文头。图3-3 L2TP报文头格式L2TP报文头中标记为可选（opt）的字段，是指在数据消息中可选，在控制消息中则是必选的。表3-1 L2TP报文头字段描述字段名含义取值要求T类型（Type），取值为“0”时表示数据消息，取值为“1”时表示控制消息L长度在位标志，取值为“1”时表示报文头中存在长度字段Length控制消息中必须为“1”x保留位S顺序字段在位标志，取值为“1”时表示报文头中存在Ns和Nr字段控制消息中必须为“1”O取值为“1”时表示报文头中存在offset size字段控制消息中必须为“0”P优先级（Priority），只用于数据消息控制消息中必须为“0”Ver版本号，对于L2TPv2协议取值为“2”Length消息的总长度，单位为字节Tunnel ID隧道标识符，只具有本地意义Session ID会话标识符，只具有本地意义Ns当前消息的顺序号Nr希望接收的下一条控制消息的顺序号数据消息中是保留字段offset size偏移值，指示载荷数据开始的位置offset padding填充位L2TP报文头中包含隧道标识符（Tunnel ID）和会话标识符（Session ID）信息，隧道标识符与会话标识符由对端分配，用来标识不同的隧道和会话。隧道标识相同、会话标识不同的报文将被复用在一条隧道上。3. L2TP协议特点(1) 灵活的身份验证机制以及高度的安全性l L2TP本身并不保证连接的安全性，但它可利用PPP提供的认证机制（如CHAP、PAP），因此具有PPP的所有安全特性。l L2TP可以与IPSec结合，使通过L2TP所传输的数据更难被攻击。l 可根据特定的网络安全要求，在L2TP之上采用通道加密技术、端对端数据加密或应用层数据加密等方案来提高安全性。(2) 多协议传输L2TP传输PPP数据包，可以在PPP数据包内封装多种协议。(3) 支持RADIUS服务器的验证LAC端支持将用户名和密码发往RADIUS服务器进行验证申请，由RADIUS服务器负责接收用户的验证请求，完成验证。(4) 支持内部地址分配LNS可放置于企业网的防火墙之后，对远端用户地址进行动态分配和管理，并支持私有地址应用（RFC1918，Address Allocation for Private Internets）。(5) 网络计费的灵活性可在LAC和LNS同时计费，即ISP处（用于产生帐单）及企业网关（用于付费及审计）。L2TP能够提供数据传输的出入包数、字节数以及连接的起始、结束时间等计费数据，可根据这些数据方便地进行网络计费。(6) 可靠性L2TP协议支持备份LNS，当一个主LNS不可达之后，LAC可以与备份LNS建立连接，增强了VPN服务的可靠性和容错性。3.1.3 L2TP隧道模式和呼叫建立1. 两种典型的L2TP隧道模式远端系统或LAC客户端（运行L2TP协议的主机）与LNS之间的隧道模式如图3-4所示：图3-4 两种典型的L2TP隧道模式有两种方式可以建立连接：l NAS-Initialized：由远程拨号用户发起，远程系统通过PSTN/ISDN拨入LAC，由LAC通过Internet向LNS发起建立通道连接请求。拨号用户地址由LNS分配；对远程拨号用户的验证与计费既可由LAC侧的代理完成，也可在LNS完成。l Client-Initialized：直接由LAC客户（指可在本地支持L2TP协议的用户）发起。此时LAC客户可直接向LNS发起通道连接请求，无需再经过一个单独的LAC设备。此时，LAC客户地址的分配由LNS来完成。2. L2TP隧道会话的建立过程L2TP的典型组网如图3-5所示：图3-5 L2TP隧道的典型组网示意图L2TP隧道的呼叫建立流程如图3-6所示：图3-6 L2TP隧道的呼叫建立流程(1) 用户端PC机发起呼叫连接请求；(2) PC机和LAC端（RouterA）进行PPP LCP协商；(3) LAC对PC机提供的用户信息进行PAP或CHAP认证；(4) LAC将认证信息（用户名、密码）发送给RADIUS服务器进行认证；(5) RADIUS服务器认证该用户，如果认证通过则返回该用户对应的LNS地址等相关信息，并且LAC准备发起Tunnel连接请求；(6) LAC端向指定LNS发起Tunnel连接请求；(7) LAC端向指定LNS发送CHAP challenge信息，LNS回送该challenge响应消息CHAP response，并发送LNS侧的CHAP challenge，LAC返回该challenge的响应消息CHAP response；(8) 隧道验证通过；(9) LAC端将用户CHAP response、response identifier和PPP协商参数传送给LNS；(10) LNS将接入请求信息发送给RADIUS服务器进行认证；(11) RADIUS服务器认证该请求信息，如果认证通过则返回响应信息；(12) 若用户在LNS侧配置强制本端CHAP认证，则LNS对用户进行认证，发送CHAP challenge，用户侧回应CHAP response；(13) LNS再次将接入请求信息发送给RADIUS服务器进行认证；(14) RADIUS服务器认证该请求信息，如果认证通过则返回响应信息；(15) 验证通过，用户访问企业内部资源。3.1.4 L2TP隧道交换随着组网方式的多样化，VPDN的使用也越来越灵活。在某些组网环境中，一个会话可能需要跨越多个隧道才能到达目的地。隧道交换（Tunnel Switch）就是为了解决会话从一个隧道交换到另一个隧道而提出的一种新技术。图3-7 隧道交换组网在图3-7中，LAC和LNS之间增加一台设备RouterB作为TUNLSW。PC1访问PC2的过程如下：(1) PC1首先向LAC发起隧道建立请求，但它的目的地不是RouterC（LNS），而是中间的TUNLSW，这样，LAC和TUNLSW之间先建立一条隧道和会话；(2) TUNLSW发现这个会话的终结点不是自己后，向真正的LNS发起隧道建立请求；(3) TUNLSW将自己与LAC建立的会话续传到与LNS新建立的隧道上；(4) 会话到达真正的LNS后终结，建立真正的PPP连接。这样，PC1就可以访问PC2了。在这个过程中，会话在TUNLSW设备上从LAC与TUNLSW建立的隧道上交换到了TUNLSW和LNS建立的隧道上，即，由TUNLSW设备完成会话的隧道交换。就像乘坐公共汽车，第一次不能到达目的地，需要在中间站换乘一次才能到达目的地。TUNLSW设备就是会话的中转站，它通过隧道交换技术来实现会话的中转。图3-7是一个比较简单的例子，在实际组网可能需要中转多次才能到达真正的LNS。有多种协议可用于实现隧道交换，包括L2TP协议。使用L2TP实现隧道交换的解决方案也称为Multi-Hop L2TP。3.1.5 采用L2TP实现接入三层VPN技术在现在运营商的组网中，大多数采用了MPLS VPN的组网。这种方式可以满足大部分用户的需求，但是对于有些特殊的需求，只用MPLS VPN技术是不行的。比如一个用户本身在一个VPN内，但由于这个用户的身份比较特殊，他需要访问另一个VPN的资源。还有就是运营商需要给MPLS VPN的企业用户提供共享的LNS设备，可以让企业分布于各地的移动用户通过运营商提供的LNS设备（相当于企业的PE设备）来接入企业内部网络。由于LNS是多个企业用户共享的，因此运营商在LNS设备上必须能够将不同的企业用户接入到对应的企业的VPN中，这种需求可以采用L2TP协议来实现。这种技术也称为L2TP接入三层VPN技术。3.2 配置L2TP基本能力3.2.1 建立配置任务1. 应用环境在L2TP的各项配置中，必须先启动L2TP、创建L2TP组，然后再进行其它功能特性的配置。根据路由器是作为LAC侧还是作为LNS侧，在一些具体的配置选择上也有所不同。L2TP组是L2TP配置中的一个重要概念，创建L2TP组后，不仅可以在路由器上灵活地配置L2TP各项功能，而且能够方便地实现LAC和LNS之间一对一、一对多的组网应用。L2TP组在LAC和LNS上独立编号，只需要保证LAC和LNS之间关联的L2TP组的相关配置保持对应关系即可，如接收的通道对端名称、发起L2TP连接请求及LNS地址等。创建L2TP组后，就可以在L2TP组视图下进行和该L2TP组相关的其它配置了，如本端名称、发起L2TP连接请求及LNS地址。2. 前置任务无3. 数据准备在配置L2TP基本能力之前，需准备以下数据：序号数据1L2TP组的组号2LAC侧和LNS侧的隧道名4. 配置过程序号过程1配置L2TP基本能力3.2.2 配置L2TP基本能力步骤操作命令1进入系统视图system-view2使能L2TPl2tp enable3创建L2TP组，并进入L2TP组视图l2tp-group group-number4设置本端隧道名称tunnel name name只有使能L2TP后，L2TP功能才能使用；如果禁止L2TP，则即便配置了L2TP的参数，路由器也不会提供相关功能。缺省情况下，L2TP功能是被禁止的，也没有任何L2TP组。用户可在LAC侧或LNS侧配置本端隧道名称。缺省情况下，本端隧道名称为路由器的主机名。& 说明：LAC侧隧道名称要与LNS侧配置的接收隧道对端名称保持一致。3.3 配置LAC侧3.3.1 建立配置任务1. 应用环境路由器不会主动与其它路由器或LNS服务器建立L2TP隧道，需要满足一定的条件后才会发出建立L2TP连接的请求。通过配置对接入用户信息的判别条件，并指定相应的LNS端的IP地址，路由器可以鉴定用户是否为接入用户并向LNS发起连接。发起L2TP连接请求的触发条件有两种：完整的用户名（fullusername）、带特定域名的用户（domain）。必须配置一种触发条件，方可发出L2TP连接的请求。LAC端在发起隧道建立请求时，需要将本端隧道的源地址发给LNS，用于LAC与LNS的通信。为了提高LAC与LNS通信的可靠性，可以配置隧道源接口，使LAC在建立隧道时使用指定接口的IP地址做为隧道的源地址。2. 前置任务在配置LAC之前，需完成以下任务：配置L2TP基本能力3. 数据准备在配置LAC侧之前，需准备以下数据：序号数据1L2TP组的组号2LNS的IP地址3作为L2TP连接触发条件的用户名或域名4发起隧道建立请求时使用的接口类型和编号5本地认证的用户名和密码4. 配置过程序号过程1配置LAC侧的L2TP连接2配置LAC侧的用户验证3.3.2 配置LAC侧的L2TP连接步骤操作命令1进入系统视图system-view2进入L2TP组视图l2tp-group group-number3配置鉴别用户是否是VPN用户的方式，并设置LNS的IP地址start l2tp ip ip-address & domain domain-name | fullusername user-name 4配置隧道源接口tunnel source loopback interface-number最多可以设置五个LNS，即允许存在备用LNS。正常运行时，本路由器（LAC）按照LNS配置的先后顺序依次向对端（LNS）进行L2TP连接请求，直到某个LNS接受连接请求，该LNS就成为L2TP隧道的对端。步骤4是可选配置。缺省情况下，LAC发起隧道连接时，将实际使用的地址做为源地址发给LNS。如果配置的隧道源接口没有IP地址，也使用实际使用的地址做为源地址。& 说明：只有Loopback接口可以被指定为隧道源接口。3.3.3 配置LAC侧的用户验证步骤操作命令1进入系统视图system-view2进入AAA视图aaa3设置用户名及密码local-user user-name password simple | cipher passwordLAC检查远程拨入用户名与口令是否与本地注册用户名与口令相符，以确认用户是否合法。LAC侧验证通过后才能发起建立通道连接的请求。缺省情况下，LAC侧未配置本地用户名和口令。缺省的认证方法是本地认证，关于AAA的详细介绍请参见通用路由平台VRP 操作手册 安全分册。& 说明：LAC侧必须配置本地认证的用户名和密码。3.4 配置LNS侧3.4.1 建立配置任务1. 应用环境LNS可以使用不同的虚拟接口模板接收不同LAC创建隧道的请求。接收到LAC发来的创建隧道请求后，LNS检查LAC的名称是否与合法隧道对端名称相符，从而决定是否允许对端创建隧道。LAC对用户进行验证后，LNS可再次对用户进行验证。即，对用户进行两次验证：第一次发生在LAC侧，第二次发生在LNS侧。LNS侧验证通过后可以进行接入用户和LNS的通信，否则通知L2TP清除此L2TP连接。因此，只有LAC侧和LNS侧的验证全部成功后，L2TP通道才能建立。LNS侧对用户的验证方式有三种：代理验证、强制CHAP验证和LCP重协商。其中，LCP重协商的优先级最高。(1) LCP重协商LCP重协商使用相应虚拟接口模板VT上配置的验证方式。对由NAS发起的VPN服务请求（NAS-Initialized VPN），在PPP会话开始时，用户先和NAS进行PPP协商。若协商通过，则由NAS初始化L2TP通道连接，并将用户信息传递给LNS，由LNS根据收到的代理验证信息，判断用户是否合法。如果需要在LNS侧进行比LAC侧更严格的认证，或者LNS侧需要直接从用户获取某些信息（当LNS与LAC是不同厂商的设备时可能发生这种情况），则可以配置LNS与用户间进行LCP重协商，此时将忽略NAS侧的代理验证信息。(2) 强制CHAP验证如果只配置强制CHAP验证，则LNS对用户进行CHAP验证。(3) 代理验证如果既不配置LCP重协商，也不配置强制CHAP验证，则LNS对用户进行的是代理验证。在这种情况下，LAC将它从用户得到的所有验证信息发送给LNS，LNS根据LAC发来的验证信息和本地配置情况对用户进行验证。当LNS使用代理验证时，如果虚拟接口模板VT配置的验证方式为CHAP，而LAC端配置的验证方式为PAP，则由于LNS要求的CHAP验证级别高于LAC能够提供的PAP验证，验证将无法通过，会话也就不能正确建立。& 说明：只有一种情况LNS侧不对接入用户进行二次验证：启用LCP重协商后，不在相应的虚拟接口模板上配置验证。这时，用户只在LAC侧接受一次验证。2. 前置任务在配置LNS之前，需完成以下任务：l 配置L2TP基本能力l 创建用于建立L2TP连接的虚拟接口模板3. 数据准备在配置LNS侧之前，需准备以下数据：序号数据1L2TP组的组号2虚拟接口模板编号3对端的隧道名称4本地用户名和密码4. 配置过程序号过程1配置LNS侧的L2TP连接2配置LNS侧的用户验证3配置LNS侧的ACCM消息发送4为接入用户分配地址3.4.2 配置LNS侧的L2TP连接步骤操作命令1进入系统视图system-view2进入L2TP组视图l2tp-group group-number3设置通道对端的名称（L2TP组不为1）allow l2tp virtual-template virtual-template-number remote remote-name 4设置通道对端的名称（L2TP组为1）allow l2tp virtual-template virtual-template-number remote remote-name 当L2TP组号为1时（缺省的L2TP组号），可以不指定通道对端名remote-name。如果在L2TP组1视图下指定对端名称，则L2TP组1不再作为缺省的L2TP组。& 说明：l 只有组号为1的L2TP组才可以作为缺省组。l 对于同一个L2TP组，start命令和allow命令互斥，配置了一条命令之后另一条命令自动失效。3.4.3 配置LNS侧的用户验证步骤操作命令1进入系统视图system-view2进入L2TP组视图l2tp-group group-number3强制LCP重新协商mandatory-lcp4强制本端CHAP验证mandatory-chap5退回系统视图quit6进入AAA视图aaa7设置用户名及密码local-user user-name password simple | cipher password步骤3和步骤4根据实际需要选择一种即可，也可以都不配置，即，进行代理验证。缺省情况下，不进行本端CHAP验证，也不进行LCP重新协商。代理验证、强制CHAP验证和LCP重协商这三种验证方式都需要在LNS侧设置用户名和密码。在LNS侧配置的用户名和口令必须与LAC侧配置的用户名和口令一致。缺省的认证方法是本地认证，关于AAA的详细介绍请参见通用路由平台VRP 操作手册 安全分册。3.4.4 配置LNS侧的ACCM消息发送步骤操作命令1进入系统视图system-view2禁止LNS发送ACCM消息undo l2tp sendaccm enableRFC2661中提到，LNS可以通过ACCM消息，将LNS与PPP对端协商的ACCM情况通知LAC。实际应用中，各设备制造商的LAC对ACCM要求可能不同，LNS需要根据LAC的要求配置是否发送ACCM消息。缺省情况下，LNS发送ACCM消息。如果LAC要求不能收到ACCM，需要设置LNS端不发送ACCM消息。3.4.5 为接入用户分配地址在VRP中，每个接入用户都属于某个域，对于没有指定域的用户，将使用缺省域接入。当LAC与LNS之间的L2TP隧道连接建立后，LNS从用户接入时所属的域的地址池中为接入用户分配IP地址。关于地址池的配置和地址分配的详细介绍请参考通用路由平台VRP 操作手册 安全分册以及通用路由平台VRP 操作手册 IP业务分册。3.5 配置隧道交换3.5.1 建立配置任务1. 应用环境当L2TP会话需要跨越一条以上的隧道时，就需要使用隧道交换功能。必须先启动L2TP功能，再启动隧道交换功能，并创建两个L2TP组：一个组做为LNS接受LAC发起的隧道建立请求，另一个组做为LAC向新的TUNLSW或LNS发起新的隧道建立请求。2. 前置任务在配置隧道交换之前，需完成以下任务：配置L2TP基本能力3. 数据准备在配置隧道交换之前，需准备以下数据：序号数据1本TUNLSW作为LAC时的L2TP组号2本TUNLSW作为LNS时的L2TP组号4. 配置过程序号过程1启动隧道交换功能2进行LAC侧配置3进行LNS侧配置3.5.2 启动隧道交换功能步骤操作命令1进入系统视图system-view2启动隧道交换功能tunnel switch enable缺省情况下，关闭隧道交换功能。& 说明：本TUNLSW作为LAC和LNS时的配置，请分别参考“3.3 配置LAC侧”和“3.4 配置LNS侧”中的描述。3.6 调整L2TP连接3.6.1 建立配置任务1. 应用环境本节介绍的配置任务都是L2TP的公共配置，可以在LAC或LNS上应用。l 隧道验证：隧道验证请求可由LAC或LNS任何一侧发起。只要有一方启用了隧道验证，则只有在对端也启用了隧道验证，两端密码完全一致并且不为空的情况下，隧道才能建立；否则本端将自动断开隧道连接。如果隧道两端都禁止隧道验证，隧道验证的密码一致与否将不起作用。l AVP隐藏传输：L2TP协议使用AVP（Attribute Value Pair，属性值对）来传递和协商L2TP的参数属性。为了保证安全，可以将AVP隐藏起来传输。l Hello报文发送：为了检测LAC和LNS之间通道的连通性，LAC和LNS定期向对端发送Hello报文，接收方接收到Hello报文后进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时，重复发送，如果重复发送超过3次仍没有收到对端的响应信息，则认为L2TP隧道已经断开，需要在LAC和LNS之间重新建立隧道连接。& 说明：本节介绍的都是可选配置，多数应用中保持缺省设置即可。2. 前置任务无3. 数据准备在调整L2TP连接之前，需准备以下数据：序号数据1L2TP组号2隧道验证密码3Hello报文发送间隔时间4. 配置过程序号过程1配置L2TP连接的安全选项2调整L2TP连接3.6.2 配置L2TP连接的安全选项步骤操作命令1进入系统视图system-view2进入L2TP组视图l2tp-group group-number3启用隧道验证tunnel authentication4设置隧道验证的密码tunnel password simple | cipher password 5将AVP数据以隐含的方式传输tunnel avp-hidden用户可根据实际需要决定是否在创建隧道连接之前启用隧道验证。为保证通道安全，建议不要禁用隧道验证。缺省情况下，启用隧道验证，隧道验证的密码为空。& 说明：如果在LAC侧或LNS侧启用了隧道验证，则对端也需要进行同样的配置。缺省情况下，AVP采用明文形式传输。隐含AVP功能只有在两端都使用隧道验证的情况下才起作用。3.6.3 调整L2TP连接步骤操作命令1进入系统视图system-view2设置后缀分隔符l2tp domain suffix-separator separator3进入L2TP组视图l2tp-group group-number4设置通道Hello报文发送时间间隔tunnel timer hello hello-interval5开启流控功能tunnel flow-controlL2TP支持使用后缀分隔符“”，如：，前半部分是“vpdnuser”是用户名，后半部分“”是域名。缺省情况下，没有后缀分隔符。通道Hello报文的缺省发送时间间隔为60秒。用户可以开启或关闭L2TP简单的通道流控功能，达到流控目的。缺省情况下，关闭通道流控功能。3.7 维护L2TP3.7.1 显示L2TP的运行状态在完成上述配置后，在任一视图下执行下面的display命令，查看L2TP的运行信息，检查配置的效果。运行信息的详细解释请参考通用路由平台VRP 命令手册。表3-2 显示L2TP的运行状态操作命令查看当前的L2TP通道的信息display l2tp tunnel查看当前的L2TP会话的信息display l2tp session3.7.2 强制挂断通道请在用户视图下进行下列操作。表3-3 强制挂断通道操作命令强制挂断通道reset l2tp tunnel remote-name | tunnel-id 指定删除的隧道名称时，将删除所有此名字的隧道；指定tunnel-id参数时，只删除指定的隧道。当用户数为零、网络发生故障或当管理员主动要求挂断通道时，就会产生隧道清除过程。LAC和LNS任何一端也可主动发起隧道清除请求，接收到清除请求的一端发送确认信息（ACK），并等待一定时间再进行隧道清除操作，以确保ACK消息丢失后能够正确接收到对端重传过来的清除请求。强制挂断通道后，该通道上的所有控制连接与会话连接也将被清除。通道挂断后，当有新用户拨入时，还可重新建立。3.7.3 调试L2TP在出现L2TP运行故障时，请在用户视图下执行下面的debugging命令对L2TP进行调试，查看调试信息，并定位故障的原因。输出调试信息的操作步骤请参考通用路由平台VRP 操作手册 系统分册 第6章 系统维护管理。表3-4 调试L2TP操作命令打开所有的L2TP调试信息开关debugging l2tp all打开控制报文调试开关debugging l2tp control打开PPP报文内容的调试开关debugging l2tp dump打开L2TP差错信息的调试开关debugging l2tp error打开L2TP的事件调试信息开关debugging l2tp event打开隐藏AVP的调试信息开关debugging l2tp hidden打开L2TP数据报文调试开关debugging l2tp payload打开L2TP时间戳信息调试开关debugging l2tp timestamp 注意：打开调试开关将影响系统的性能。调试完毕后，应及时执行undo debugging命令关闭调试开关。3.8 配置举例3.8.1 配置NAS-Initialized VPN示例1. 组网需求VPN用户访问公司总部过程如下：l 用户采用普通的拨号上网方式；l 在接入服务器（NAS）处对用户进行验证，发现是VPN用户，则由接入服务器向LNS发起隧道连接的请求；l 在接入服务器与LNS隧道建立后，接入服务器把与VPN用户已经协商的内容作为报文内容传给LNS；l LNS根据预协商的内容决定是否接受此连接；l 用户与公司总部间的通信通过接入服务器与LNS之间的隧道传输。用户通过缺省域（域名为default）接入，使用缺省的本地认证，从地址池分配地址。这种方式下，LNS侧在AAA视图下配置地址池。2. 组网图图3-11 NAS-Initialized VPN组网图3. 配置步骤(1) 用户侧的配置在用户侧，在拨号网络窗口中输入VPN用户名vpdnuser，口令Hello，拨入号码为170。在拨号后弹出的拨号终端窗口中输入用于RADIUS验证的用户名username和口令userpass。(2) NAS侧的配置以Quidway A8010接入服务器作为LAC侧设备。# 在A8010上配置拨入号码为170。# 在RADIUS服务器上设置一个用户名为username、口令为userpass的VPN用户，并设置相应的LNS侧设备的IP地址（本例中，LNS侧与通道相连接的串口IP地址为）。# 将本端的设备名称定义为A8010，需要进行通道验证，通道验证密码为quidway。(3) 路由器（LNS侧）的配置# 创建并配置虚拟接口模板。Quidway interface virtual-template 1Quidway-Virtual-Template1 ip address Quidway-Virtual-Template1 ppp authentication-mode chapQuidway-Virtual-Template1 remote address pool 1Quidway-Virtual-Template1 quit# 使能L2TP服务，创建一个L2TP组。Quidway l2tp enableQuidway l2tp-group 1# 配置LNS侧本端名称及接收的通道对端名称。Quidway-l2tp1 tunnel name LNSQuidway-l2tp1 allow l2tp virtual-template 1 remote A8010# 启用通道验证并设置通道验证密码。Quidway-l2tp1 tunnel authenticationQuidway-l2tp1 tunnel password simple quidwayQuidway-l2tp1 quit# 定义一个地址池，为拨入用户分配地址。Quidway aaaQuidway-aaa ip poo1 1 00Quidway-aaa quit# 设置用户名及口令（应与用户侧的设置一致）。Quidway-aaa local-user vpdnuser password simple HelloQuidway-aaa quit3.8.2 配置Client-Initialized VPN示例1. 组网需求VPN用户访问公司总部过程如下：l 用户连接Internet后，直接由用户向LNS发起Tunnel连接的请求；l LNS接受此连接请求之后，VPN用户与LNS之间建立一条虚拟Tunnel；l 用户与公司总部间的通信通过VPN用户与LNS之间的Tunnel进行。用户通过缺省域（域名为default）接入，使用缺省的本地认证，从地址池分配地址。这种方式下，LNS侧在AAA视图下配置地址池。2. 组网图图3-12 Client-Initialized VPN组网图3. 配置步骤(1) 用户侧的配置用户侧主机上必须装有L2TP客户端软件，并通过拨号方式连接到Internet。然后再进行如下配置（设置过程与相应的客户端软件有关）：# 在用户侧设置VPN用户名为vpdnuser，口令为Hello。# 将LNS的IP地址设为路由器的Internet接口地址（本例中LNS侧与通道相连接的串口的IP地址为）。# 修改连接属性，将采用的协议设置为L2TP，将加密属性设为自定义，并选择CHAP验证，进行通道验证，通道的密码为：quidway。(2) 路由器（LNS侧）的配置# 创建并配置虚拟接口模板。Quidway interface virtual-template 1Quidway-Virtual-Template1 ip address Quidway-Virtual-Template1 ppp authentication-mode chapQuidway-Virtual-Template1 remote address pool 1Quidway-Virtual-Template1 quit# 使能L2TP服务，并创建一个L2TP组。Quidway l2tp enableQuidway l2tp-group 1# 配置LNS侧本端名称及接收的通道对端名称。Quidway-l2tp1 tunnel name LNSQuidway-l2tp1 allow l2tp virtual-template 1 remote vpdnuser# 启用通道验证并设置通道验证密码。Quidway-l2tp1 tunnel authenticationQuidway-l2tp1 tunnel password simple quidwayQuidway-l2tp1 quit# 定义一个地址池，为拨入用户分配地址。Quidway aaaQuidway-aaa ip poo1 1 00Quidway-aaa quit# 设置用户名及口令（应与用户侧的设置一致）。Quidway-aaa local-user vpdnuser password simple HelloQuidway-aaa quit3.8.3 配置单用户通过路由器与总部互联示例1. 组网需求用户需要与总部进行通讯，而总部网络的地址采用的是私有地址，如网络，用户无法通过Internet直接访问内部服务器。通过建立VPN，使用户可以访问内部网络的数据。用户接入时使用域名，因此，LNS侧需要在域下配置为用户分配地址的地址池。2. 组网图图3-13 单用户与总部互联示意图3. 配置步骤(1) 用户侧的配置创建一个拨号网络，号码为Quidway1路由器的接入号码，接收由LNS服务器端分配的地址。在弹出的拨号终端窗口中输入用户名，口令为Hello（此用户名与口令已在公司LNS中注册）。(2) 路由器Quidway1（LAC侧）的配置（本例中LAC侧的Serial1/0/0串口是用户接入接口，Serial1/0/0串口的IP地址为，LNS侧