2022年配置指导-LTP配置 .pdf

i 目 录1 L2TP 1-11.1 L2TP 简介 1-11.1.1 L2TP 典型组网 1-11.1.2 L2TP 消息类型及封装结构 1-21.1.3 L2TP 隧道和会话 1-21.1.4 L2TP 隧道模式及隧道建立过程 1-21.1.5 L2TP 协议的特点 1-61.1.6 协议规范 1-71.2 L2TP 配置任务简介 1-71.3 配置L2TP 基本功能 1-91.4 配置LAC端 1-91.4.1 配置向 LNS发起隧道建立请求的触发条件 1-91.4.2 配置LNS的IP地址 1-101.4.3 配置AVP数据的隐藏传输 1-101.4.4 配置LAC侧的AAA认证 1-101.4.5 配置LAC自动建立 L2TP隧道 1-111.5 配置LNS端 1-121.5.1 配置虚拟模板接口 1-121.5.2 配置LNS接受L2TP 隧道建立请求 1-121.5.3 配置LNS侧的用户验证 1-121.5.4 配置LNS侧的AAA认证 1-141.6 配置L2TP 可选参数 1-141.6.1 配置隧道验证 1-141.6.2 配置隧道 Hello报文发送时间间隔 1-151.6.3 配置L2TP 会话的流控功能 1-151.6.4 配置隧道报文的 DSCP 优先级 1-151.6.5 配置隧道对端所属的 VPN 1-161.7 L2TP 显示和维护 1-161.8 L2TP 典型配置举例 1-171.8.1 NAS-Initiated 模式 L2TP隧道配置举例 1-171.8.2 Client-Initiated 模式L2TP 隧道配置举例 1-191.8.3 LAC-Auto-Initiated模式L2TP 隧道配置举例 1-201.9 常见配置错误举例 1-22名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 25 页 - - - - - - - - - ii 1.9.1 错误之一 1-221.9.2 错误之二 1-23名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 25 页 - - - - - - - - - 1-1 1 L2TP 1.1 L2TP 简介L2TP （Layer 2 Tunneling Protocol，二层隧道协议）是目前使用最为广泛的VPDN （Virtual Private Dial-up Network，虚拟专用拨号网络）隧道协议。L2TP 通过在公共网络（如Internet ）上建立点到点的 L2TP 隧道，将PPP（Point-to-Point Protocol，点对点协议）数据帧封装后通过L2TP 隧道传输，使得远端用户（如企业驻外机构和出差人员）利用PPP 接入公共网络后，能够通过L2TP 隧道与企业内部网络通信，访问企业内部网络资源。L2TP 是一种二层VPN （Virtual Private Network，虚拟专用网络）技术，为远端用户接入私有的企业网络提供了一种安全、经济且有效的方式。1.1.1 L2TP 典型组网图1-1 L2TP 典型组网如 图 1-1 所示， L2TP 的典型组网中包括以下三个部分：?远端系统远端系统是要接入企业内部网络的远端用户和远端分支机构，通常是一个拨号用户的主机或私有网络中的一台设备。?LAC（L2TP Access Concentrator，L2TP 访问集中器）LAC 是具有 PPP 和 L2TP 协议处理能力的设备，通常是一个当地ISP 的 NAS （Network Access Server ，网络接入服务器） ，主要用于为PPP 类型的用户提供接入服务。LAC 作为 L2TP 隧道的端点，位于LNS 和远端系统之间，用于在LNS 和远端系统之间传递报文。它把从远端系统收到的报文按照L2TP 协议进行封装并送往LNS ，同时也将从LNS 收到的报文进行解封装并送往远端系统。?LNS（L2TP Network Server，L2TP 网络服务器）LNS 是具有 PPP 和 L2TP 协议处理能力的设备，通常位于企业内部网络的边缘。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 25 页 - - - - - - - - - 1-2 LNS 作为 L2TP 隧道的另一侧端点，是LAC 通过隧道传输的PPP 会话的逻辑终点。L2TP 通过在公共网络中建立L2TP 隧道， 将远端系统的PPP 连接由原来的NAS 延伸到了企业内部网络的LNS设备。1.1.2 L2TP 消息类型及封装结构L2TP 协议定义了两种消息：?控制消息：用于L2TP 隧道和 L2TP 会话的建立、维护和拆除。控制消息的传输是可靠的，并且支持流量控制和拥塞控制。?数据消息：用于封装PPP 帧，其格式如图 1-2 所示。数据消息的传输是不可靠的，若数据消息丢失，不予重传。数据消息支持流量控制，即支持对乱序的数据消息进行排序。图1-2 L2TP 数据消息格式如 图 1-3 所示， L2TP 控制消息和 L2TP 数据消息均封装在UDP 报文中。图1-3 L2TP 消息封装结构图1.1.3 L2TP 隧道和会话L2TP 隧道是 LAC 和 LNS 之间的一条虚拟点到点连接。控制消息和数据消息都在L2TP 隧道上传输。在同一对 LAC 和 LNS 之间可以建立多条L2TP 隧道。每条隧道可以承载一个或多个L2TP 会话。L2TP 会话复用在L2TP 隧道之上， 每个 L2TP 会话对应于一个PPP 会话。当远端系统和LNS 之间建立 PPP 会话时， LAC 和 LNS 之间将建立与其对应的L2TP 会话。属于该 PPP 会话的数据帧通过该 L2TP 会话所在的L2TP 隧道传输。1.1.4 L2TP 隧道模式及隧道建立过程L2TP 隧道包括 NAS-Initiated 、Client-Initiated和 LAC-Auto-Initiated三种模式。1. NAS-Initiated模式如 图 1-4 所示， NAS-Initiated 模式 L2TP 隧道的建立由 LAC （即 NAS ）发起。远端系统的拨号用户通过 PPPoE/ISDN 拨入LAC 后，由 LAC 向LNS 发起建立 L2TP 隧道的请求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 25 页 - - - - - - - - - 1-3 图1-4 NAS-Initiated模式 L2TP 隧道示意图NAS-Initiated模式 L2TP 隧道具有如下特点：?远端系统只需支持PPP 协议，不需要支持L2TP 。?对远端拨号用户的身份认证与计费既可由LAC 代理完成，也可由LNS 完成。图1-5 NAS-Initiated模式 L2TP 隧道的建立流程如 图 1-5 所示， NAS-Initiated 模式L2TP 隧道的建立过程为：(1) 远端系统 Host A 发起呼叫，请求建立连接。(2) Host A 和 LAC （Router A ）进行 PPP LCP 协商。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 25 页 - - - - - - - - - 1-4 (3) LAC对 Host A 提供的 PPP 用户信息进行PAP 或 CHAP 认证。(4) LAC将认证信息（用户名、密码）发送给RADIUS 服务器进行认证。(5) RADIUS服务器认证该用户，并返回认证结果。(6) 如果认证通过，且根据用户名或用户所属ISP 域判断该用户为L2TP 用户，则LAC 向 LNS（Router B ）发起 L2TP 隧道建立请求。(7) 在需要对隧道进行认证的情况下，LAC 和 LNS 分别发送CHAP challenge信息，以验证对方身份。隧道验证通过后，LAC 和 LNS 之间成功建立了L2TP 隧道。(8) LAC和 LNS 在 L2TP 隧道上协商建立L2TP 会话。(9) LAC将 PPP 用户信息和PPP 协商参数等传送给LNS 。(10) LNS将认证信息发送给RADIUS 服务器进行认证。(11) RADIUS服务器认证该用户，并返回认证结果。(12) 认证通过后，若LNS 上配置了强制CHAP 验证，则LNS 对 PPP 用户进行认证，发送CHAP challenge ，PPP 用户回应 CHAP response。(13) LNS再次将认证信息发送给RADIUS 服务器。(14) RADIUS服务器认证该用户，并返回认证结果。(15) 认证通过后， LNS 为 Host A 分配一个企业网内部的IP 地址。(16) 获得 IP 地址后， PPP 用户可以通过Host A 访问企业内部资源。在步骤 (12)、(15) 和(16) 中， LAC 负责在 Host A 和 LNS 之间转发报文。Host A 和 LAC 之间交互的是 PPP 数据帧， LAC 和 LNS 之间交互的是L2TP 数据报文。2. Client-Initiated模式如 图 1-6 所示， Client-Initiated模式L2TP 隧道的建立直接由LAC client （指本地支持L2TP 协议的远端系统）发起。LAC client具有公网地址，并能够通过Internet 与LNS 通信后，如果在LAC client 上触发 L2TP 拨号，则 LAC client 直接向 LNS 发起 L2TP 隧道建立请求，无需经过LAC设备建立隧道。图1-6 Client-Initiated模式 L2TP 隧道示意图Client-Initiated模式 L2TP 隧道具有如下特点：?L2TP 隧道在远端系统和LNS 之间建立，具有较高的安全性。?Client-Initiated模式 L2TP 隧道对远端系统要求较高（远端系统必须是支持L2TP 协议的 LAC client，且能够与LNS 通信），因此它的扩展性较差。如 图 1-7 所示，Client-Initiated模式L2TP 隧道的建立过程与NAS-Initiated 模式类似，此处不再赘述。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 25 页 - - - - - - - - - 1-5 图1-7 Client-Initiated模式 L2TP 隧道的建立流程3. LAC-Auto-Initiated模式采用 NAS-Initiated方式建立L2TP 隧道时，要求远端系统必须通过PPPoE/ISDN等拨号方式拨入LAC ，且只有远端系统拨入LAC 后，才能触发LAC 向 LNS 发起建立隧道的请求。如图 1-8 所示，在LAC-Auto-Initiated模式下，不需要远端系统拨号触发，在LAC 上通过执行l2tp-auto-client命令即可触发 LAC建立 L2TP 隧道。远端系统访问LNS连接的内部网络时，LAC 将通过L2TP 隧道转发这些访问数据。图1-8 LAC-Auto-Initiated模式 L2TP 隧道示意图LAC-Auto-Initiated模式 L2TP 隧道具有如下特点：?远端系统和LAC 之间可以是任何基于IP 的连接，不局限于拨号连接。?不需要远端系统上的拨号接入来触发建立L2TP 隧道。?L2TP 隧道创建成功后立即建立L2TP 会话，然后在 LAC 和 LNS 之间进行PPP 协商， LAC 和LNS 分别作为 PPP 客户端和 PPP 服务器端。?一条 L2TP 隧道上只承载一个L2TP 会话。?LNS 为 LAC 分配企业网内部的IP 地址，而不是为远端系统分配。如 图 1-9 所示， LAC-Auto-Initiated模式L2TP 隧道的建立过程与NAS-Initiated 模式类似，此处不再赘述。(1) Tunnel setup request(2) CHAP authentication(challenge/response)(3) Setup a session(4) LCP negotiation and user authentication(5) Access request(6) Acesss accept(7) Authentication passes, and assign an IP addressLNSDevice ARADIUS serverLAC clientHost A(8) Access the private networkLANInternetRemote systemHost APrivate networkL2TP tunnelLAC auto initiatedLACDevice ALNSDevice BRADIUS server名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 25 页 - - - - - - - - - 1-6 图1-9 LAC-Auto-Initiated模式 L2TP 隧道的建立流程1.1.5 L2TP 协议的特点1. 灵活的身份验证机制以及高度的安全性L2TP 协议本身并不提供连接的安全性，但它可依赖于PPP 提供的认证（比如CHAP 、PAP 等） ，因此具有 PPP 所具有的所有安全特性。L2TP 还可以与 IPsec 结合起来实现数据安全，使得通过L2TP 所传输的数据更难被攻击。2. 多协议传输L2TP 传输 PPP 数据包，在PPP 数据包内可以封装多种协议。3. 支持 RADIUS 服务器的认证LAC 和 LNS 可以将用户名和密码发往RADIUS服务器，由RADIUS 服务器对用户身份进行认证。4. 支持内部地址分配LNS 可以对远端系统的地址进行动态的分配和管理，可支持私有地址应用（RFC 1918 ） 。为远端系统分配企业内部的私有地址，可以方便地址的管理并增加安全性。5. 网络计费的灵活性可在 LAC 和 LNS 两处同时计费， 即 ISP 处（用于产生帐单） 及企业网关 （用于付费及审计） 。L2TP能够提供数据传输的出/入包数、字节数以及连接的起始、结束时间等计费数据，AAA 服务器可根据这些数据方便地进行网络计费。6. 可靠性L2TP 协议支持备份LNS ，当主 LNS 不可达之后， LAC 可以与备份LNS 建立连接，增加了L2TP服务的可靠性。(1) Tunnel setup request(2) CHAP authentication(challenge/response)(4) LCP negotiation and user authentication(5) Access request(6) Acesss accept(7) Authentication passes, and assign an IP addressLACDevice ALNSDevice BRADIUS serverRemote systemHost A(8) Access the enterprise network(3) Setup a session名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 25 页 - - - - - - - - - 1-7 7. 支持由 RADIUS 服务器为 LAC下发隧道属性L2TP 隧道采用NAS-Initiated模式时， LAC 上的 L2TP 隧道属性可以通过RADIUS 服务器来下发。此时，在LAC 上只需开启L2TP 服务，并配置采用AAA 远程认证方式对PPP 用户进行身份验证，无需进行其他L2TP 配置。当 L2TP 用户拨入LAC 时，LAC 作为 RADIUS 客户端将用户的身份信息发送给RADIUS 服务器。RADIUS 服务器对 L2TP 用户的身份进行验证。RADIUS 服务器将验证结果返回给LAC ，并将该用户对应的 L2TP 隧道属性下发给LAC 。LAC 根据下发的隧道属性，创建L2TP 隧道和会话。目前， RADIUS 服务器可以为 LAC 下发的属性如表 1-1 所示。表1-1 RADIUS 服务器为 LAC 下发的属性列表属性编号属性名称描述64 Tunnel-Type隧道类型，目前只支持L2TP 隧道类型65 Tunnel-Medium-Type隧道的传输媒介类型，目前只支持IPv4 67 Tunnel-Server-EndpointLNS 的IP地址69 Tunnel-Password 隧道验证密钥81 Tunnel-Private-Group-ID 隧道的 Group ID LAC 将该值发送给 LNS ，以便 LNS 根据该值进行相应的处理82 Tunnel-Assignment-ID 隧道的 Assignment ID 用来标识会话承载在哪条隧道上，具有相同Tunnel-Assignment-ID、Tunnel-Server_Endpoint和Tunnel-Password的L2TP 用户共用同一条L2TP 隧道目前，仅支持通过RADIUS 服务器下发一组L2TP 隧道属性，不支持同时下发多组隧道属性。如果既通过 RADIUS 服务器为 LAC 下发了隧道属性， 又在 LAC 上通过命令行手工配置了隧道属性，则以 RADIUS 服务器下发的属性为准。1.1.6 协议规范与 L2TP 相关的协议规范有：?RFC 1661 ：The Point-to-Point Protocol (PPP) ?RFC 1918 ：Address Allocation for Private Internets ?RFC 2661 ：Layer Two Tunneling Protocol L2TP ?RFC 2868 ：RADIUS Attributes for Tunnel Protocol Support 1.2 L2TP 配置任务简介配置 L2TP 时，需要执行以下操作：(1) 根据实际组网环境，判断需要的网络设备。对于NAS-Initiated和 LAC-Auto-Initiated模式，需要配置 LAC 和 LNS 两台网络设备；对于Client-Initiated模式，只需要配置LNS 一台网络设备。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 25 页 - - - - - - - - - 1-8 (2) 根据设备在网络中的角色，分别进行LAC 或 LNS 端的相关配置，使设备具有LAC 或 LNS 端功能。表1-2 LAC 端配置任务简介（NAS-Initiated和 LAC-Auto-Initiated模式）操作说明详细配置配置 L2TP 基本功能必选1.3 配置 LAC 端配置向 LNS 发起隧道建立请求的触发条件对于 NAS-Initiated 模式，为必选；LAC-Auto-Initiated模式下无需配置1.4.1 配置 LNS 的IP地址必选1.4.2 配置 AVP 数据的隐藏传输可选1.4.3 配置 LAC 侧的 AAA 认证对于 LAC-Auto-Initiated模式，为必选； NAS-Initiated模式下无需配置1.4.4 配置 LAC 自动建立 L2TP 隧道对于 LAC-Auto-Initiated模式，为必选； NAS-Initiated模式下无需配置1.4.5 配置 L2TP 可选参数配置隧道验证可选1.6.1 配置隧道 Hello 报文发送时间间隔1.6.2 开启 L2TP 会话的流控功能1.6.3 配置隧道报文的DSCP 优先级1.6.4 配置隧道对端所属的VPN 1.6.5 表1-3 LNS 配置任务简介（NAS-Initiated 、Client-Initiated和 LAC-Auto-Initiated模式）操作说明详细配置配置 L2TP 基本功能必选1.3 配置 LNS 端配置虚拟模板接口必选1.5.1 配置 LNS 接受 L2TP 隧道建立请求必选1.5.2 配置 LNS 侧的用户验证可选1.5.3 配置 LNS 侧的 AAA 认证可选1.5.4 配置 L2TP 可选参数配置隧道验证可选1.6.1 配置隧道 Hello 报文发送时间间隔1.6.2 开启 L2TP 会话的流控功能1.6.3 配置隧道报文的DSCP 优先级1.6.4 配置隧道对端所属的VPN 1.6.5 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 25 页 - - - - - - - - - 1-9 1.3 配置L2TP 基本功能L2TP 基本功能的配置包括如下内容：?启用 L2TP 功能：只有启用L2TP 后，设备上的L2TP 功能才能正常发挥作用。?创建 L2TP 组： L2TP 组用于配置L2TP 的相关参数，它不仅增加了L2TP 配置的灵活性，还方便地实现了LAC 和 LNS 之间一对一、一对多的组网应用。L2TP 组在 LAC 和 LNS 上独立编号，只需要保证LAC 和 LNS 之间关联的L2TP 组的相关配置（如隧道对端名称、LNS 地址等）保持对应关系即可。?配置隧道本端的名称：隧道本端的名称在LAC 和 LNS 进行隧道协商时使用，它用来标识本端隧道，以供对端识别。表1-4 配置 L2TP 基本功能操作命令说明进入系统视图system-view - 开启 L2TP 功能l2tp enable 缺省情况下， L2TP 功能处于关闭状态创建 L2TP 组，指定 L2TP 组的模式，并进入 L2TP 组视图l2tp-group group-number mode lac | lns 缺省情况下，设备上不存在任何L2TP 组在LAC 侧需要指定 L2TP 组的模式为 lac ；在LNS 侧需要指定 L2TP 组的模式为 lns配置隧道本端的名称tunnel namename缺省情况下，隧道本端的名称为设备的名称LAC 侧配置的隧道本端名称要与LNS 侧配置的允许接受的 L2TP 隧道请求的隧道对端名称保持一致1.4 配置LAC端LAC 负责和相应的LNS 建立 L2TP 隧道，并负责在远端系统和LNS 之间转发报文。1.4.1 配置向 LNS发起隧道建立请求的触发条件本配置用来指定LAC 向 LNS 发起隧道建立请求的触发条件。只有 PPP 用户的信息与指定的触发条件匹配时， LAC 才认为该 PPP 用户为 L2TP 用户，向 LNS 发起 L2TP 隧道建立请求。触发条件分为如下两种：?完整的用户名（fullusername） ：只有 PPP 用户的用户名与配置的完整用户名匹配时，才会向 LNS 发起 L2TP 隧道建立请求。?带特定域名的用户名（domain ） ：PPP 用户的 ISP 域名与配置的域名匹配时，即向LNS 发起L2TP 隧道建立请求。表1-5 配置向 LNS 发起隧道建立请求的触发条件操作命令说明进入系统视图system-view - 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 25 页 - - - - - - - - - 1-10 操作命令说明进入 LAC 模式的 L2TP 组视图l2tp-groupgroup-number mode lac - 配置向 LNS 发起隧道建立请求的触发条件user domaindomain-name | fullusernameuser-name 缺省情况下，没有指定本端作为LAC 端时向LNS 发起隧道建立请求的触发条件1.4.2 配置LNS的IP地址LAC 上最多可以配置五个LNS 地址，即允许存在备用LNS 。LAC 按照 LNS 配置的先后顺序依次向每个 LNS 发送建立L2TP 隧道的请求。 LAC 接收到某个LNS 的接受应答后， 该 LNS 就作为隧道的对端；否则， LAC 向下一个 LNS 发起隧道建立请求。表1-6 配置 LNS 的 IP 地址操作命令说明进入系统视图system-view - 进入 LAC 模式的 L2TP 组视图l2tp-groupgroup-number mode lac - 配置 LNS 的IP地址lns-ip ip-address &缺省情况下，没有指定LNS 的IP地址1.4.3 配置AVP数据的隐藏传输L2TP 协议通过 AVP（Attribute Value Pair，属性值对）来传输隧道协商参数、会话协商参数和用户认证信息等。如果用户不希望这些信息（如用户密码）被窃取，则可以使用本配置将AVP 数据的传输方式配置成为隐藏传输，即利用隧道验证密钥（通过tunnel password命令配置）对AVP 数据进行加密传输。只有使能了隧道验证功能，本配置才会生效。隧道验证功能的详细配置，请参见“1.6.1 配置隧道验证 ” 。表1-7 配置 AVP 数据的隐藏传输操作命令说明进入系统视图system-view - 进入 LAC 模式的 L2TP 组视图l2tp-groupgroup-number mode lac - 配置隧道采用隐藏方式传输AVP 数据tunnel avp-hidden 缺省情况下， 隧道采用明文方式传输 AVP 数据1.4.4 配置LAC侧的AAA认证本配置用来通过AAA 对远端拨入用户的身份信息（用户名、密码）进行认证。用户身份认证通过后， LAC 才能发起建立隧道的请求，否则不会为用户建立隧道。设备支持的AAA 认证包括本地和远程两种认证方式：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 25 页 - - - - - - - - - 1-11 ?如果选择本地认证方式，则需要在LAC 侧配置本地用户名和密码。LAC 通过检查拨入用户的用户名 /密码是否与本地配置的用户名/密码相符来验证用户身份。?如果选择远程认证方式，则需要在RADIUS/HWTACACS服务器上配置用户名和密码。LAC将拨入用户的用户名和密码发往服务器，由服务器对用户身份进行认证。AAA 相关的配置请参见“安全配置指导”中的“AAA ” 。配置 LAC 侧的 AAA 认证时，接入用户的接口上需要配置PPP 用户的验证方式为PAP 或 CHAP ，配置方法请参见“二层技术-广域网接入配置指导”中的“PPP ” 。1.4.5 配置LAC自动建立 L2TP隧道配置 LAC 自动建立 L2TP 隧道，需要进行以下操作：?创建虚拟 PPP 接口，并配置该接口的IP 地址。?在虚拟 PPP 接口下，配置 PPP 验证的被验证方， 即通过 ppp pap 或 ppp chap 命令指定PPP用户支持的验证方法、PPP 用户的用户名和密码，LNS 对该 PPP 用户进行身份验证。详细介绍请参见“二层技术-广域网接入命令参考”中的“PPP ” 。?触发 LAC 建立 L2TP 隧道。表1-8 配置 LAC 自动建立 L2TP 隧道操作命令说明进入系统视图system-view - 创建虚拟 PPP 接口，并进入虚拟PPP接口视图interface virtual-ppp interface-number缺省情况下，设备上不存在任何虚拟PPP 接口配置虚拟 PPP 接口的 IP地址ip addressaddress mask二者选其一缺省情况下，没有配置接口的IP地址配置虚拟 PPP 接口的 IP地址可协商属性，使该接口接受PPP 协商产生的由对端分配的 IP地址ip address ppp-negotiate 配置 PPP 验证的被验证方配置方法请参见“二层技术-广域网接入命令参考” 中的 “PPP”- 触发 LAC 自动建立 L2TP 隧道l2tp-auto-client l2tp-groupgroup-number缺省情况下， LAC 没有建立 L2TP 隧道触发 LAC 建立 L2TP 隧道后，该隧道将始终存在，直到通过undol2tp-auto-client或undo l2tp-groupgroup-number 命令拆除该隧道（可选）配置当前接口的描述信息descriptiontext缺省情况下， 接口的描述信息为 “该接口的接口名 Interface ”，比如：Virtual-PPP254 Interface （可选）配置轮询时间间隔timer-holdseconds缺省情况下，轮询时间间隔为10秒（可选）指定虚拟PPP 接口下流量的业务处理板（ MSR 5600 ）service slot slot-number缺省情况下， 没有指定虚拟 PPP 接口下流量的业务处理板（可选）配置接口的期望带宽bandwidthbandwidth-value缺省情况下，接口的期望带宽为0 （可选）恢复当前接口的缺省配置default - （可选）打开当前接口undo shutdown 缺省情况下，接口处于打开状态名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 25 页 - - - - - - - - - 1-12 1.5 配置LNS端LNS 响应 LAC 的隧道建立请求，负责对用户进行认证，并为用户分配IP 地址。1.5.1 配置虚拟模板接口L2TP 会话建立之后，LNS 需要创建一个VA（Virtual Access ，虚拟访问）接口用于和LAC 交换数据。VA 接口基于VT（Virtual Template ，虚拟模板）接口上配置的参数动态创建。因此，配置LNS时需要首先创建VT 接口，并配置该接口的参数。VT 接口的参数主要包括：?接口的 IP 地址?对 PPP 用户的验证方式?LNS 为 PPP 用户分配的IP 地址关于 VT 接口配置的详细介绍，请参见“二层技术-广域网接入配置指导”中的“PPP 和 MP ”以及“三层技术 -IP 业务配置指导”中的“IP 地址”。1.5.2 配置LNS接受L2TP隧道建立请求接收到 LAC 发来的隧道建立请求后，LNS 需要检查LAC 的隧道本端名称是否与本地配置的隧道对端名称相符合，从而决定是否与对端建立隧道，并确定创建VA 接口时使用的VT 接口。表1-9 配置 LNS 接受 L2TP 隧道建立请求操作命令说明进入系统视图system-view - 进入 LNS 模式的 L2TP 组视图l2tp-groupgroup-number mode lns - 配置 LNS 接受来自指定 LAC 的隧道建立请求，并指定建立隧道时使用的虚拟模板接口L2TP 组号不为 1 allow l2tp virtual-templatevirtual-template-numberremoteremote-name二者选其一缺省情况下， LNS 不接受任何 LAC的隧道建立请求使用 L2TP 组号 1时，可以不指定隧道对端名，即在组 1下LNS 可以接受任何名称的隧道对端的隧道建立请求L2TP 组号为 1 allow l2tp virtual-templatevirtual-template-number remoteremote-name 1.5.3 配置LNS侧的用户验证当 LAC 对用户进行验证后，为了增强安全性，LNS 可以再次对用户进行验证。在这种情况下，将对用户进行两次验证，第一次发生在LAC 侧，第二次发生在LNS 侧，只有两次验证全部成功后，L2TP 隧道才能建立。在 L2TP 组网中， LNS 侧对用户的验证方式有三种：?代理验证：由LAC 代替 LNS 对用户进行验证，并将用户的所有验证信息及LAC 端本身配置的验证方式发送给LNS 。 LNS 根据接收到的信息及本端配置的验证方式，判断用户是否合法。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 25 页 - - - - - - - - - 1-13 ?强制 CHAP 验证：强制在LAC 代理验证成功后，LNS 再次对用户进行CHAP 验证。?LCP 重协商：忽略LAC 侧的代理验证信息，强制LNS 与用户间重新进行LCP（Link Control Protocol ，链路控制协议）协商。验证方式的优先级从高到底依次为：LCP 重协商、强制CHAP 验证和代理验证。?如果在 LNS 上同时配置LCP 重协商和强制CHAP 验证， L2TP 将使用 LCP 重协商。?如果只配置强制CHAP 验证，则在 LAC 代理验证成功后， LNS 再次对用户进行CHAP 验证。?如果既不配置LCP 重协商，也不配置强制CHAP 验证，则对用户进行代理验证。1. 配置强制 CHAP 验证配置强制CHAP 验证后，对于NAS-Initiated模式 L2TP 隧道的用户来说，会经过两次验证：一次是在 NAS 端的验证， 另一次是在LNS 端的验证。 一些用户可能不支持进行第二次验证，这时，LNS端的 CHAP 重新验证会失败。在这种情况下，建议不要开启LNS 的强制 CHAP 验证功能。配置强制 CHAP 验证时，需要在LNS 的 VT 接口下配置PPP 用户的验证方式为CHAP 认证。表1-10配置强制 CHAP 验证操作命令说明进入系统视图system-view - 进入 LNS 模式的 L2TP 组视图l2tp-groupgroup-number modelns - 强制 LNS 重新对用户进行CHAP 验证mandatory-chap 缺省情况下， LNS 不会重新对用户进行CHAP 验证本命令只对 NAS-Initiated 模式的 L2TP隧道有效，对 Client-Initiated 模式和LAC-Auto-Initiated模式的隧道无效2. 配置强制 LCP 重新协商对于 NAS-Initiated模式 L2TP 隧道的 PPP 用户，在 PPP 会话开始时，先和NAS 进行 PPP 协商。若协商通过，则由NAS 触发建立 L2TP 隧道，并将用户信息传递给LNS ，由 LNS 根据收到的代理验证信息，判断用户是否合法。但在某些特定的情况下（如LNS 不接受 LAC 的 LCP 协商参数，希望和用户重新进行参数协商），需要强制LNS 与用户重新进行LCP 协商，并采用相应的虚拟模板接口上配置的验证方式对用户进行验证。启用 LCP 重协商后，如果相应的虚拟模板接口上没有配置验证，则LNS 将不对用户进行二次验证（这时用户只在LAC 侧接受一次验证） 。表1-11 配置强制本端LCP 重新协商操作命令说明进入系统视图system-vi