L2TP命令手册Word下载.docx

L2TP命令手册Word下载.docx

《L2TP命令手册Word下载.docx》由会员分享，可在线阅读，更多相关《L2TP命令手册Word下载.docx（11页珍藏版）》请在冰豆网上搜索。

VPDN隧道协议可分为PPTP、L2F和L2TP三种，目前使用最广泛的是L2TP。

1.2L2TP简述

L2TP（第二层隧道协议）是用来整合多协议拨号服务至现有的因特网服务提供商点。

在L2TP构建的VPDN中，网络组件包括以下三个部分：

•远端系统

远端系统是要接入VPDN网络的远地用户和远地分支机构，通常是一个拨号用户的主机或私有网络的一台路由设备。

•LAC（L2TPAccessConcentrator，L2TP访问集中器）

LAC是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备，通常是一个当地ISP的NAS，主要用于为PPP类型的用户提供接入服务。

LAC位于LNS和远端系统之间，用于在LNS和远端系统之间传递信息包。

它把从远端系统收到的信息包按照L2TP协议进行封装并送往LNS，同时也将从LNS收到的信息包进行解封装并送往远端系统。

LAC与远端系统之间采用本地连接或PPP链路，VPDN应用中通常为PPP链路。

•LNS（L2TPNetworkServer，L2TP网络服务器）

LNS既是PPP端系统，又是L2TP协议的服务器端，通常作为一个企业内部网的边缘设备。

LNS作为L2TP隧道的另一侧端点，是LAC的对端设备，是LAC进行隧道传输的PPP会话的逻辑终止端点。

通过在公网中建立L2TP隧道，将远端系统的PPP连接的另一端由原来的LAC在逻辑上延伸到了企业网内部的LNS。

PPP定义了多协议跨越第二层点对点链接的一个封装机制。

特别地，用户通过使用众多技术之一（如拨号POTS、ISDN、ADSL等）获得第二层连接到网络访问服务器（NAS），然后在此连接上运行PPP。

在这样的配置中，第二层终端点和PPP会话终点处于相同的物理设备中（如NAS），L2TP扩展了PPP模型，允许第二层和PPP终点处于不同的由包交换网络相互连接的设备中。

通过L2TP，用户在第二层连接到一个访问集中器（如调制解调器池、ADSLDSLAM等），然后这个集中器将建立PPP隧道到NAS。

这样，可以把PPP包的实际处理过程与L2连接的终点分离开来。

对于这样的分离，其明显的一个好处是，L2连接可以在一个（本地）电路集中器上终止，然后通过共享网络如帧中继电路或英特网扩展逻辑PPP会话，而不用在NAS上终止。

从用户角度看，直接在NAS上终止L2连接与使用L2TP没有什么功能上的区别。

L2TP协议也用来解决“多连接联选组分离”问题。

多链接PPP，一般用来集中ISDNB通道，需要构成多链接捆绑的所有通道在一个单网络访问服务器（NAS）上组合。

因为L2TP使得PPP会话可以出现在接收会话的物理点之外的位置，它用来使所有的通道出现在单个的NAS上，并允许多链接操作，即使是在物理呼叫分散在不同物理位置的NAS上的情况下。

L2TP使用以下两种信息类型，即控制信息和数据信息。

控制信息用于隧道和呼叫的建立、维持和清除。

数据信息用于封装隧道所携带的PPP帧。

控制信息利用L2TP中的一个可靠控制通道来确保发送。

当发生包丢失时，不转发数据信息。

2L2TP命令行配置

命令

[no]l2tp-enable

使用模式

配置模式（config）#

功能

（去）使能L2TP

参数解释

L2tp-ip-pool需要在去使能的情况下配置，再次使能后生效。

l2tp-ip-poolstart<

IPADDR>

end<

配置l2tpserver的地址池

当配置l2tp服务器时，拨入用户的ip地址将从本地址池中分配。

[no]dialerl2tp<

ID>

[删除]创建l2tp虚拟拨号接口

客户端ID范围L2TP[65-128]。

在L2TP组配置中由l2tpdiall2tp{id}命令绑定。

[129-254]属于服务器端。

[no]l2tp-dialWORD

[不]执行L2tp拨号

客户端进行l2tp拨号，WORD为l2tp组名

[no]l2tp-groupWORD

[删除]创建l2tp组

WORD为l2tp组名

username<

string>

配置模式（config-group）#

添加用户名

<

作为客户端拨号时需认证的用户名信息

password<

添加密码

作为客户端拨号时的密码

l2tp-dial<

IFNAME>

设置拨号端口

作为客户端拨号时绑定的拨号L2TP-NUM虚拟端口

peer-address<

指定L2TP对端接入或拨出地址

：

当作为服务器配置时，其为允许拨入的IP，且配置0.0.0.0表示允许所有用户拨入；

当作为客户端配置时，其为服务器的IP。

peer-port<

1-65535>

指定L2TP协商端口

端口

aaa-usergroup<

GROUPNAME>

（Server端需指定）配置绑定用户组

作为l2tp服务器时，需要配置认证用户及用户组，然后把用户组绑定到l2tp组，<

表示拨号接入的用户相关联的用户组。

secret<

设置L2tp隧道密钥

usergroup<

l2tp

创建l2tp用户组

showl2tp-configuration

配置模式（enable）#

查看l2tp配置

showl2tp-groupWORD

查看l2tp组的配置

WORD表示l2tp组名

showl2tp-tunnel

查看l2tp隧道

3典型配置举例

3.1server端配置

1.与eth0相连的PC为拨号端，以windowsXPSP3系统为例，需要建立拨号客户端，修改注册表等操作，如下：

1）建立客户端

2）创建拨号连接后，修改连接属性。

3）修改注册表。

注意：

修改注册表后计算机重启才能生效。

“开始”—“运行”—“regedit”

在“HKEY_LOCAL_MACHINE”—“SYSTEM”—“CurrentControlSet”—“RasMan”—“Parameters”目录下，添加一个值为1的DWORD表项，修改表项名称为“ProhibitIpSec”。

2.服务器端配置如下：

host#cont

host（config）#useraccessabcdlocal111111\\创建认证用户

host（config）#usergroupbbbl2tp\\创建l2tp认证用户组

host（config）#useraccessabcdgroupbbb\\认证用户关联用户组

host（config）#l2tp-ip-poolstart4.4.4.4end4.4.4.40\\创建服务器地址池

host（config）#l2tp-enable\\l2tp使能

host（config）#l2tp-groupserver\\创建l2tp组

host（l2tp-group-server）#peer-address0.0.0.0\\设置允许拨入用户，0.0.0.0表示允许任何用户拨入

host（l2tp-group-server）#aaa-usergroupbbb\\l2tp组关联认证用户组

host（l2tp-group-server）#exit

host（config）#inteth0

host（config-eth0）#ipaddress100.1.1.1/24

host（config-eth0）#accessl2tp\\接口下开启l2tp服务

host（config-eth0）#

host（config-eth0）#intvlan1

host（config-vlan1）#ipaddress192.168.1.1/24

host（config-vlan1）#exit

host（config）#

3.拨号成功后，可查看PC本地路由表，生成一条缺省路由，通过此路由可以访问内部PC及服务器。

3.2Client端配置

client配置：

host（config）#

host（config）#l2tp-enable\\l2tp使能

host（config）#dialerl2tp80\\创建l2tp虚拟拨号端口

devcreatenamel2tp

%2010-07-3010:

46:

57l2tp80linkchangetoUP

host（dialer-l2tp80）#usernameabcd\\配置拨号帐户名

host（dialer-l2tp80）#password111111\\配置拨号密码

host（dialer-l2tp80）#exit

host（config）#l2tp-groupclient\\创建l2tp组

host（l2tp-group-client）#peer-address100.1.1.1\\配置服务器IP

host（l2tp-group-client）#l2tpdiall2tp80\\绑定拨号虚拟接口

host（l2tp-group-client）#exit

host（config-eth0）#ipaddress100.1.1.2/24

host（config-eth0）#exit

host（config）#l2tp-dialclient\\手动进行拨号

拨号成功后，两设备间即建立了l2tp隧道，配置路由，两端私网间即可进行通信。

3.3典型组网

✧使用L2TP协议构建的VPDN应用的典型组网如图所示。

应用L2TP构建的VPDN服务

其中，LAC（L2TPAccessConcentrator，L2TP访问集中器）是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备。

LAC一般是一个网络接入服务器NAS，主要用于通过PSTN/ISDN网络为用户提供接入服务。

LNS（L2TPNetworkServer，L2TP网络服务器）是PPP端系统上用于处理L2TP协议服务器端部分的设备。

LAC位于LNS和远端系统（远地用户和远地分支机构）之间，用于在LNS和远端系统之间传递信息包。

✧两种典型的L2TP隧道模式

如图所示，远端系统或LAC客户端（运行L2TP协议的主机）与LNS之间的两种典型隧道模式如下：

•远端系统与LNS之间建立隧道

•LAC客户端与LNS之间建立隧道

两种典型的L2TP隧道模式

（1）由远程拨号用户发起。

远程系统通过PSTN/ISDN拨入LAC，由LAC通过Internet向LNS发起建立隧道连接请求。

拨号用户地址由LNS分配；

对远程拨号用户的验证与计费既可由LAC侧的代理完成，也可在LNS侧完成。

（2）直接由LAC客户（指可在本地支持L2TP协议的用户）发起。

此时LAC客户可直接向LNS发起隧道连接请求，无需再经过一个单独的LAC设备。

LAC客户地址的分配由LNS来完成。