M000 0010 L2TP配置中文版V11定稿.docx
《M000 0010 L2TP配置中文版V11定稿.docx》由会员分享,可在线阅读,更多相关《M000 0010 L2TP配置中文版V11定稿.docx(12页珍藏版)》请在冰豆网上搜索。
M0000010L2TP配置中文版V11定稿
L2TP的配置任务及命令
LAC侧的配置:
AAA详细认证的配置可参见有关安全教材。
在LAC侧配置AAA认证时,如果选择了local(本地认证)方式,则需要在LAC侧配置本地用户名和口令。
LAC通过检查远程拨入用户名与口令是否与本地注册用户名/口令相符合来进行用户身份验证,以检查用户是否为合法VPN用户。
验证通过后才能发起建立隧道连接的请求,否则将该用户转入其它类型的服务。
在LAC端进行用户身份验证,用户名可以采用两种形式:
1、采用用户全名(fullusername)验证方式时,配置的本地用户名为VPN用户全名,口令为VPN用户注册口令。
2、采用特定域名用户(domain)验证方式时,配置的本地用户名为域名。
启动VPDN:
只有启用VPDN后,路由器上VPDN功能才能正常发挥作用;如果禁止VPDN,则即便配置了VPDN的参数路由器也不会提供相关功能。
缺省情况下,VPDN功能是被禁止的。
创建VPDN组:
为了进行VPDN的相关参数配置,还需要增加VPDN组,这不仅可以让VPDN功能可以灵活的被配置在路由器上,而且方便地实现了LAC和LNS之间一对一、一对多、多对一、多对多的组网应用。
VPDN组在LAC和LNS上独立编号,只需要保证LAC和LNS之间关联的VPDN组的相关配置(如接收的隧道对端名称、发起L2TP连接请求及LNS地址等)保持对应关系即可。
在创建VPDN组后,就可以在VPDN组配置模式下进行与该VPDN组相关的其它配置了,如本端名称、发起L2TP连接请求及LNS地址等。
VPDN组1作为缺省的VPDN组。
配置发起L2TP连接请求及LNS地址:
当拨入用户通过VPN用户的验证后,由LAC负责向某LNS发起建立隧道的请求。
本配置除指定LNS侧的IP地址外,LAC侧提供了三种用户的验证方式:
即根据用户全名(fullusername)验证、根据带特定域名的用户(domain)验证、根据被叫号码(dnis)验证。
LNS的IP地址最多可以配置五个,根据用户配置的IP地址的先后顺序查找。
LNS侧的配置
配置本地VPDN用户:
配置命令与LAC侧一致。
需要注意的是当LAC侧采用域名方式验证的时候,在LNS侧配置的本地用户名username采用“用户全名@域名”形式。
LAC将VPN用户输入的“用户全名@域名”和密码传送给LNS进行认证,LNS按照先本地认证后RADIUS认证的次序验证用户身份,确保该用户为合法的VPN用户。
如果本地认证通过则省略RADIUS认证。
VPN用户必须在LNS侧认证通过后才能访问内部资源。
启动VPDN以及创建VPDN组的方法与LAC侧的相同。
创建虚拟接口模板并为用户分配IP地址:
这里创建的虚模板是L2TP逻辑接口。
在L2TP中使用虚模版时,必须为虚模板配置自己的IP地址,不能借用其它接口的地址;用户端不能使用固定IP地址,应该使用由LNS分配的协商地址。
当使用ippool命令配置分配给对端的地址时,应确保虚模板地址与地址池地址属于同一网段。
配置接收呼叫的隧道对端名称:
LNS可以使用不同的虚拟接口模板接收不同LAC的创建隧道请求。
在接收到LAC发来的创建隧道(Tunnel)请求后,LNS需要检查LAC的名称是否与隧道对端名称相符合,从而决定是否允许隧道对方进行Tunnel的创建。
L2TP的配置举例
配置举例:
用户需要与总部进行通讯,总部网络的地址是采用私有的地址,如192.168.0.0/24的网络,则该用户将无法通过Internet直接访问内部的服务器。
通过建立VPN,用户就可以访问内部网络的数据。
在VPN用户的PC机上,配置如下:
新建一拨号网络,号码为LAC的接入号码;由LNS侧分配IP地址;
在出现后拨号终端后,输入的用户名为vpdnuser;密码为Hello;
作为LAC的路由器首先应该具有一个Internet上的合法地址,能与LNS互通。
在LAC路由器上,配置如下:
!
配置用户列表
[Quidway]local-uservpdnuserpasswordcipherHello
!
配置AAA
[Quidway]aaa-enable
[Quidway]aaaauthentication-schemelogindefaultlocal
[Quidway]aaaaccounting-schemeoptional
!
启动VPDN
[Quidway]l2tpenable
!
创建VPDN组
[Quidway]l2tp-group1
!
配置本端名称
[Quidway-l2tp1]tunnelnamelac-end
!
配置发起L2TP连接请求
[Quidway-l2tp1]startl2tpip202.38.160.2fullusernamevpdnuser
!
启用隧道验证及配置密码
[Quidway-l2tp1]tunnelauthentication
[Quidway-l2tp1]tunnelpasswordsimplequidway
在LNS路由器上,配置如下:
!
配置用户列表
[Quidway]local-uservpdnuserpasswordcipherHello
!
配置AAA
[Quidway]aaa-enable
[Quidway]aaaauthentication-schemelogindefaultlocal
[Quidway]aaaaccounting-schemeoptional
!
设置一个本地的地址池,地址范围从192.168.0.2到192.168.0.100
[Quidway]ippool1192.168.0.2192.168.0.100
!
创建一个虚模板
[Quidway]interfacevirtual-template1
[Quidway-Virtual-Template1]ipaddress192.168.0.1255.255.255.0
[Quidway-Virtual-Template1]pppauthentication-modechap
!
使用地址池为用户分配IP地址
[Quidway-Virtual-Template1]remoteaddresspool1
!
启动VPDN
[Quidway]l2tpenable
!
创建VPDN组
[Quidway]l2tp-group1
!
配置本端名称
[Quidway-l2tp1]tunnelnamelns-end
!
接受名称为LAC的L2TP对端发起的呼叫,使用Virtual-Template1建立虚拟接口
[Quidway-l2tp1]allowl2tpvirtual-template1remotelac-end
!
启用隧道验证及配置密码
[Quidway-l2tp1]tunnelauthentication
[Quidway-l2tp1]tunnelpasswordsimplequidway
L2TP的可选的参数配置
可选配的参数如下:
配置本端名称:
用户可在LAC侧和LNS侧分别配置本端隧道名称。
LAC侧隧道名称要与LNS侧配置的接收隧道对端名称保持一致。
缺省情况下,本端名称为路由器的主机名。
启用隧道验证及配置密码:
本配置适用于LAC和LNS侧。
用户可根据实际需要决定是否在创建隧道连接之前启用隧道验证。
有下列三种隧道验证方式:
LAC对LNS进行验证
LNS对LAC进行验证
LAC与LNS之间互相验证
隧道验证请求可由LAC或LNS任何一侧发起,但只要有一方启用了隧道验证,只有在隧道两端密码完全一致的情况下隧道才能建立;若隧道两端都配置了禁止隧道验证,隧道验证的密码一致与否将不起作用。
配置隧道Hello报文发送时间间隔:
为了检测LAC和LNS之间隧道的连通性,LAC和LNS会定期向对端发送Hello报文,接收方接收到Hello报文后会进行响应。
当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时,重复发送,如果重复发送超过3次都没有收到对端的响应信息则认为L2TP隧道已经断开,需要在LAC和LNS之间重新建立隧道连接。
缺省情况下,隧道Hello报文的发送时间间隔为60秒。
如果不进行此项配置,LAC或LNS将采用此缺省值为周期向对端发送Hello报文。
配置域名分隔符及查找顺序:
当LAC侧存在大量L2TP域名接入用户的情况下,顺序查找用户很费时间,此时可通过在LAC侧配置必要的查找策略(如前后缀分隔符)来加快查找速度。
分隔符有前缀分隔符和后缀分隔符两种类型。
分隔符可为“@”、“#”、“&”、“/”四类特殊字符。
带前缀分隔符的用户如:
#vpdnuser;带后缀分隔符用户如:
vpdnuser@。
在查找时将分离用户名与前/后缀分隔符,仅按照定义的规则查找,由此大大加快了查找速度。
在域名方式下,配置了前/后缀分隔符后,有四种查找规则可供选择:
dnisdomain(先按被叫号码查找,再按域名查找)
dnisonly(仅按照被叫号码查找)
domaindnis(先按域名查找,再被叫号码查找)
domainonly(仅按照域名查找)
该命令仅仅配置了被叫号码和域名之间的查找顺序,而在实际查找过程中,一定是先按照全用户名进行查找,然后再按照该命令的配置顺序依次进行查找。
缺省情况下,先根据被叫号码,再根据域名进行查找。
配置强制挂断隧道:
当用户数为零、网络发生故障或当管理员主动要求挂断隧道时,就会产生隧道清除过程。
LAC和LNS任何一端都可主动发起隧道清除请求,强制挂断隧道后,该隧道上的所有控制连接与会话连接也将被清除。
隧道挂断后,当有新用户拨入时,还可再次重新建立隧道。
配置强制本端CHAP验证:
本配置仅适用于LNS侧,当LAC对用户进行代理验证后,LNS可再次对用户进行验证。
此时将对用户进行两次验证,第一次发生在LAC侧,第二次发生在LNS侧,只有两次验证全部成功后,L2TP通道才能建立。
配置强制LCP重新协商:
本配置仅适用于LNS侧,对由ISP发起的VPN服务请求(NAS-InitializedVPN,NAS:
NetworkAccessServer),在PPP会话开始时,用户先和NAS(网络接入服务器)进行PPP协商。
若协商通过,则由NAS初始化L2TP隧道连接,并将用户信息传递给LNS,由LNS根据收到的代理验证信息,判断用户是否合法。
但在某些特定的情况下(如需在LNS侧也要进行验证与计费),需要强制LNS与用户间重新进行LCP协商,此时将忽略NAS侧的代理验证信息。
在L2TP组网中,LNS侧对用户的验证方式有三种:
代理验证、强制CHAP验证和LCP重协商。
这三种验证方式中,LCP重协商的优先级最高,如果在LNS上同时配置LCP重协商和强制CHAP验证,L2TP将优先使用LCP重协商并采用相应虚拟接口模板上配置的验证方式。
如果只配置强制CHAP验证,而没有配置LCP重协商,则LNS对用户进行CHAP验证,为了确保验证的正常进行,还需在LNS侧配置用户名、密码及用户验证,并启用AAA后,才能进行强制本端CHAP验证。
如果既不配置LCP重协商,也不配置强制CHAP验证,则LNS对用户进行代理验证。
所谓代理验证是指:
LAC将从用户处得到的所有验证信息及LAC端本身配置的验证方式发送给LNS,LNS结合这些信息和LAC传送来的验证方式对用户进行验证。
在LNS使用代理验证时,如果LNS侧虚拟接口模板配置的验证方式为CHAP,而LAC端配置的验证方式为PAP,则由于LNS要求的CHAP验证级别高于LAC能够提供的PAP验证级别,所以验证将无法通过,会话不能正确建立。
而其他LAC和LNS的组合都采用LAC配置的验证方式,而不管LNS侧虚拟接口模板上配置的验证方式。
配置L2TP最大会话数:
在Quidway系列模块化路由器上,用户可以根据实际需要配置允许的最大会话(Session)数目,从而有效地控制并发的VPN用户数量,使其保持在合理的范围内,确保每个VPN连接都能满足较好的服务质量。
LNS和LAC侧都可以配置本端可允许的最大会话数,但以小的那一端为准。
缺省情况下,本端L2TP最大会话数为1000个。
L2TP隧道的呼叫建立流程
L2TP隧道的呼叫建立流程过程为:
用户端PC机发起呼叫连接请求;
PC机和LAC进行PPPLCP协商,确保之间的物理链路正常;
LAC对PC机提供的用户信息进行PAP或CHAP认证;
LAC将认证信息(用户名、密码)发送给RADIUS服务器进行认证;
RADIUS服务器认证该用户,如果认证通过则返回该用户对应的LNS地址等相关信息,并准备发起Tunnel连接请求;
LAC端向指定LNS发起Tunnel连接请求;
LAC端向指定LNS发送SCCRQ(Start-Control-Connection-Request)消息,其中包含LAC侧的CHAPchallenge信息;
LNS回送SCCRP(Start-Control-Connection-Reply)消息给LAC端,其中包括对接收到的LAC侧challenge的响应消息CHAPresponse,和LNS侧的CHAPchallenge;
LAC端向该LNS发送SCCCN(Start-Control-Connection-Connect)消息,通知LNS隧道验证通过,其中包括对LNS侧challenge的响应消息CHAPresponse;
LNS通知LAC端隧道验证通过;
LAC端将用户CHAPresponse、responseidentifier和PPP协商参数传送给LNS;
LNS将接入请求信息发送给RADIUS服务器进行认证;
RADIUS服务器认证该请求信息,如果认证通过则返回响应信息;
若用户在LNS侧配置强制本端CHAP认证,则LNS对用户进行认证,发送CHAPchallenge;
用户侧回应CHAPresponse;
LNS再次将接入请求信息发送给RADIUS服务器进行认证;
RADIUS服务器认证该请求信息,如果认证通过则返回响应信息;
验证通过,用户访问企业内部资源。
L2TP的调试
displayl2tptunnel和displayl2tpsession命令域的描述:
Totaltunnels:
Tunnel的数目
LocalID:
本端唯一标识一个通道的数值
RemoteID:
对端唯一标识一个通道的数值
RemName:
对端的名称
RemAddress:
对端的IP地址
Port:
对端的端口号
Sessions:
在此Tunnel上的Session数目
Totalsessions:
Session的总数
常用的L2TP的debugging命令的描述:
control:
表示打开控制报文调试开关
error:
表示打开差错信息的调试开关
event:
表示打开事件调试信息开关
L2TP排错
在进行VPN排错之前,请先确认LAC与LNS都已在公共网上,可以通过ping来测试两者间的连通性。
故障之一:
用户登录失败
故障排除:
用户登录失败主要有以下几种原因。
(1)Tunnel建立失败,Tunnel不能建立的原因有:
在LAC端,LNS的地址配置不正确。
LNS(通常为路由器)端没有配置可以接收该通道对端的VPDN组,具体可以查看allowl2tp命令的说明。
Tunnel验证不通过,若配置了验证,应保证双方的通道密码一致。
若本端强制挂断了连接,而由于网络传输等原因,对端还没有收到相应的Disconnet报文,此时立即发起了一个Tunnel连接,会连不上,因为对方必须相隔一定的时间才能侦测到链路被挂断,两个来自相同IP地址的对端发起的Tunnel连接是不允许的。
(2)PPP协商不通过,可能原因有:
LAC端配置的用户名与密码有误,或者是LNS端未设相应的用户。
LNS端不能分配地址,比如地址池配置的较小,或没有进行配置。
通道密码验证的类型不一致。
如Windows2000所创建的VPN连接缺省的验证类型为MSCHAP,若对端不支持MSCHAP,建议改为CHAP。
故障之二:
数据传输失败,在建立连接后数据不能传输,如Ping不通对端。
故障排除:
可能有如下原因:
LAC配置的地址有误:
一般情况下,由LNS分配地址,而LAC也可以指定自己的地址。
若指定的地址和LNS所要分配的地址不属于同一个网段,就会发生这种情况,建议由LNS统一分配地址。
网络拥挤:
Internet主干网产生拥挤,丢包现象严重。
L2TP是基于UDP进行传输的,UDP不对报文进行差错控制;若是在线路质量不稳定的情况下进行L2TP应用,可能会产生Ping不通对端的情况。
升级会员 