M000 0010 L2TP配置中文版V11定稿.docx

1、M000 0010 L2TP配置中文版V11定稿L2TP的配置任务及命令LAC侧的配置：AAA详细认证的配置可参见有关安全教材。在LAC侧配置AAA认证时，如果选择了local（本地认证）方式，则需要在LAC侧配置本地用户名和口令。LAC通过检查远程拨入用户名与口令是否与本地注册用户名/口令相符合来进行用户身份验证，以检查用户是否为合法VPN用户。验证通过后才能发起建立隧道连接的请求，否则将该用户转入其它类型的服务。在LAC端进行用户身份验证，用户名可以采用两种形式：1、采用用户全名（fullusername）验证方式时，配置的本地用户名为VPN用户全名，口令为VPN用户注册口令。2、采用特定

2、域名用户（domain）验证方式时，配置的本地用户名为域名。启动VPDN：只有启用VPDN后，路由器上VPDN功能才能正常发挥作用；如果禁止VPDN，则即便配置了VPDN的参数路由器也不会提供相关功能。缺省情况下，VPDN功能是被禁止的。创建VPDN组：为了进行VPDN的相关参数配置，还需要增加VPDN组，这不仅可以让VPDN功能可以灵活的被配置在路由器上，而且方便地实现了LAC和LNS之间一对一、一对多、多对一、多对多的组网应用。VPDN组在LAC和LNS上独立编号，只需要保证LAC和LNS之间关联的VPDN组的相关配置（如接收的隧道对端名称、发起L2TP连接请求及LNS地址等）保持对应关系

3、即可。在创建VPDN组后，就可以在VPDN组配置模式下进行与该VPDN组相关的其它配置了，如本端名称、发起L2TP连接请求及LNS地址等。VPDN组1作为缺省的VPDN组。配置发起L2TP连接请求及LNS地址：当拨入用户通过VPN用户的验证后，由LAC负责向某LNS发起建立隧道的请求。本配置除指定LNS侧的IP地址外，LAC侧提供了三种用户的验证方式：即根据用户全名（fullusername）验证、根据带特定域名的用户（domain）验证、根据被叫号码（dnis）验证。LNS的IP地址最多可以配置五个，根据用户配置的IP地址的先后顺序查找。LNS侧的配置配置本地VPDN用户：配置命令与LAC侧

4、一致。需要注意的是当LAC侧采用域名方式验证的时候，在LNS侧配置的本地用户名username采用“用户全名域名”形式。LAC将VPN用户输入的“用户全名域名”和密码传送给LNS进行认证，LNS按照先本地认证后RADIUS认证的次序验证用户身份，确保该用户为合法的VPN用户。如果本地认证通过则省略RADIUS认证。VPN用户必须在LNS侧认证通过后才能访问内部资源。启动VPDN以及创建VPDN组的方法与LAC侧的相同。创建虚拟接口模板并为用户分配IP地址：这里创建的虚模板是L2TP逻辑接口。在L2TP中使用虚模版时，必须为虚模板配置自己的IP地址，不能借用其它接口的地址；用户端不能使用固定IP

5、地址，应该使用由LNS分配的协商地址。当使用ip pool命令配置分配给对端的地址时，应确保虚模板地址与地址池地址属于同一网段。配置接收呼叫的隧道对端名称：LNS可以使用不同的虚拟接口模板接收不同LAC的创建隧道请求。在接收到LAC发来的创建隧道（Tunnel）请求后，LNS需要检查LAC的名称是否与隧道对端名称相符合，从而决定是否允许隧道对方进行Tunnel的创建。L2TP的配置举例配置举例：用户需要与总部进行通讯， 总部网络的地址是采用私有的地址，如192.168.0.0/24的网络，则该用户将无法通过Internet直接访问内部的服务器。通过建立VPN，用户就可以访问内部网络的数据。在V

6、PN用户的PC机上，配置如下：新建一拨号网络，号码为LAC的接入号码；由LNS侧分配IP地址；在出现后拨号终端后，输入的用户名为vpdnuser；密码为Hello；作为LAC的路由器首先应该具有一个Internet上的合法地址，能与LNS互通。在LAC路由器上，配置如下：！配置用户列表Quidway local-user vpdnuser password cipher Hello! 配置AAAQuidway aaa-enableQuidway aaa authentication-scheme login default localQuidway aaa accounting-scheme

7、optional！启动VPDNQuidway l2tp enable! 创建VPDN组Quidway l2tp-group 1！配置本端名称Quidway-l2tp1 tunnel name lac-end！配置发起L2TP连接请求Quidway-l2tp1 start l2tp ip 202.38.160.2 fullusername vpdnuser ！启用隧道验证及配置密码Quidway-l2tp1 tunnel authenticationQuidway-l2tp1 tunnel password simple quidway在LNS路由器上，配置如下：！配置用户列表Quidway l

8、ocal-user vpdnuser password cipher Hello！配置AAAQuidway aaa-enableQuidway aaa authentication-scheme login default localQuidway aaa accounting-scheme optional！设置一个本地的地址池，地址范围从192.168.0.2 到 192.168.0.100Quidway ip pool 1 192.168.0.2 192.168.0.100！创建一个虚模板Quidway interface virtual-template 1Quidway-Virtua

9、l-Template1 ip address 192.168.0.1 255.255.255.0Quidway-Virtual-Template1 ppp authentication-mode chap！使用地址池为用户分配IP地址Quidway-Virtual-Template1 remote address pool 1！启动VPDNQuidway l2tp enable! 创建VPDN组Quidway l2tp-group 1！配置本端名称Quidway-l2tp1 tunnel name lns-end！接受名称为LAC的L2TP对端发起的呼叫，使用Virtual-Template

10、1建立虚拟接口Quidway-l2tp1 allow l2tp virtual-template 1 remote lac-end！启用隧道验证及配置密码Quidway-l2tp1 tunnel authenticationQuidway-l2tp1 tunnel password simple quidwayL2TP的可选的参数配置可选配的参数如下：配置本端名称：用户可在LAC侧和LNS侧分别配置本端隧道名称。LAC侧隧道名称要与LNS侧配置的接收隧道对端名称保持一致。缺省情况下，本端名称为路由器的主机名。启用隧道验证及配置密码：本配置适用于LAC和LNS侧。用户可根据实际需要决定是否在创建

11、隧道连接之前启用隧道验证。有下列三种隧道验证方式：LAC对LNS进行验证LNS对LAC进行验证LAC与LNS之间互相验证隧道验证请求可由LAC或LNS任何一侧发起，但只要有一方启用了隧道验证，只有在隧道两端密码完全一致的情况下隧道才能建立；若隧道两端都配置了禁止隧道验证，隧道验证的密码一致与否将不起作用。配置隧道Hello报文发送时间间隔：为了检测LAC和LNS之间隧道的连通性，LAC和LNS会定期向对端发送Hello报文，接收方接收到Hello报文后会进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时，重复发送，如果重复发送超过3次都没有收到对端的响应信息则认为L2T

12、P隧道已经断开，需要在LAC和LNS之间重新建立隧道连接。缺省情况下，隧道Hello报文的发送时间间隔为60秒。如果不进行此项配置，LAC或LNS将采用此缺省值为周期向对端发送Hello报文。配置域名分隔符及查找顺序：当LAC侧存在大量L2TP域名接入用户的情况下，顺序查找用户很费时间，此时可通过在LAC侧配置必要的查找策略（如前后缀分隔符）来加快查找速度。分隔符有前缀分隔符和后缀分隔符两种类型。分隔符可为“”、“#”、“&”、“/”四类特殊字符。带前缀分隔符的用户如：#vpdnuser；带后缀分隔符用户如：vpdnuser。在查找时将分离用户名与前/后缀分隔符，仅按照定义的规则查找，由此大大

13、加快了查找速度。在域名方式下，配置了前/后缀分隔符后，有四种查找规则可供选择：dnisdomain（先按被叫号码查找，再按域名查找）dnisonly（仅按照被叫号码查找）domaindnis（先按域名查找，再被叫号码查找）domainonly（仅按照域名查找）该命令仅仅配置了被叫号码和域名之间的查找顺序，而在实际查找过程中，一定是先按照全用户名进行查找，然后再按照该命令的配置顺序依次进行查找。缺省情况下，先根据被叫号码，再根据域名进行查找。配置强制挂断隧道：当用户数为零、网络发生故障或当管理员主动要求挂断隧道时，就会产生隧道清除过程。LAC和LNS任何一端都可主动发起隧道清除请求，强制挂断隧道

14、后，该隧道上的所有控制连接与会话连接也将被清除。隧道挂断后，当有新用户拨入时，还可再次重新建立隧道。配置强制本端CHAP验证：本配置仅适用于LNS侧，当LAC对用户进行代理验证后，LNS可再次对用户进行验证。此时将对用户进行两次验证，第一次发生在LAC侧，第二次发生在LNS侧，只有两次验证全部成功后，L2TP通道才能建立。配置强制LCP重新协商：本配置仅适用于LNS侧，对由ISP发起的VPN服务请求（NAS-Initialized VPN, NAS: Network Access Server），在PPP会话开始时，用户先和NAS（网络接入服务器）进行PPP协商。若协商通过，则由NAS初始化L

15、2TP隧道连接，并将用户信息传递给LNS，由LNS根据收到的代理验证信息，判断用户是否合法。但在某些特定的情况下（如需在LNS侧也要进行验证与计费），需要强制LNS与用户间重新进行LCP协商，此时将忽略NAS侧的代理验证信息。在L2TP组网中，LNS侧对用户的验证方式有三种：代理验证、强制CHAP验证和LCP重协商。这三种验证方式中，LCP重协商的优先级最高，如果在LNS上同时配置LCP重协商和强制CHAP验证，L2TP将优先使用LCP重协商并采用相应虚拟接口模板上配置的验证方式。如果只配置强制CHAP验证，而没有配置LCP重协商，则LNS对用户进行CHAP验证，为了确保验证的正常进行，还需在

16、LNS侧配置用户名、密码及用户验证，并启用AAA后，才能进行强制本端CHAP验证。如果既不配置LCP重协商，也不配置强制CHAP验证，则LNS对用户进行代理验证。所谓代理验证是指：LAC将从用户处得到的所有验证信息及LAC端本身配置的验证方式发送给LNS，LNS结合这些信息和LAC传送来的验证方式对用户进行验证。在LNS使用代理验证时，如果LNS侧虚拟接口模板配置的验证方式为CHAP，而LAC端配置的验证方式为PAP，则由于LNS要求的CHAP验证级别高于LAC能够提供的PAP验证级别，所以验证将无法通过，会话不能正确建立。而其他LAC和LNS的组合都采用LAC配置的验证方式，而不管LNS侧虚

17、拟接口模板上配置的验证方式。配置L2TP最大会话数：在Quidway系列模块化路由器上，用户可以根据实际需要配置允许的最大会话（Session）数目，从而有效地控制并发的VPN用户数量，使其保持在合理的范围内，确保每个VPN连接都能满足较好的服务质量。LNS和LAC侧都可以配置本端可允许的最大会话数，但以小的那一端为准。缺省情况下，本端L2TP最大会话数为1000个。L2TP隧道的呼叫建立流程L2TP隧道的呼叫建立流程过程为：用户端PC机发起呼叫连接请求；PC机和LAC进行PPP LCP协商，确保之间的物理链路正常；LAC对PC机提供的用户信息进行PAP或CHAP认证；LAC将认证信息（用户名

18、、密码）发送给RADIUS服务器进行认证；RADIUS服务器认证该用户，如果认证通过则返回该用户对应的LNS地址等相关信息，并准备发起Tunnel连接请求；LAC端向指定LNS发起Tunnel连接请求；LAC端向指定LNS发送SCCRQ（Start-Control-Connection-Request）消息，其中包含LAC侧的CHAP challenge信息；LNS回送SCCRP（Start-Control-Connection-Reply）消息给LAC端，其中包括对接收到的LAC侧challenge的响应消息CHAP response，和LNS侧的CHAP challenge；LAC端向该L

19、NS发送SCCCN（Start-Control-Connection-Connect）消息，通知LNS隧道验证通过，其中包括对LNS侧challenge的响应消息CHAP response；LNS通知LAC端隧道验证通过；LAC端将用户CHAP response、response identifier和PPP协商参数传送给LNS；LNS将接入请求信息发送给RADIUS服务器进行认证；RADIUS服务器认证该请求信息，如果认证通过则返回响应信息；若用户在LNS侧配置强制本端CHAP认证，则LNS对用户进行认证，发送CHAP challenge；用户侧回应CHAP response；LNS再次将接

20、入请求信息发送给RADIUS服务器进行认证；RADIUS服务器认证该请求信息，如果认证通过则返回响应信息；验证通过，用户访问企业内部资源。L2TP的调试display l2tp tunnel 和display l2tp session 命令域的描述：Total tunnels：Tunnel的数目LocalID：本端唯一标识一个通道的数值RemoteID：对端唯一标识一个通道的数值RemName： 对端的名称RemAddress：对端的IP地址Port：对端的端口号Sessions：在此Tunnel上的Session数目Total sessions：Session的总数常用的L2TP的debug

21、ging命令的描述：control：表示打开控制报文调试开关error：表示打开差错信息的调试开关event：表示打开事件调试信息开关L2TP排错在进行VPN排错之前，请先确认LAC与LNS都已在公共网上，可以通过ping来测试两者间的连通性。故障之一：用户登录失败故障排除：用户登录失败主要有以下几种原因。（1）Tunnel建立失败，Tunnel不能建立的原因有：在LAC端，LNS的地址配置不正确。LNS（通常为路由器）端没有配置可以接收该通道对端的VPDN组，具体可以查看allow l2tp命令的说明。Tunnel验证不通过，若配置了验证，应保证双方的通道密码一致。若本端强制挂断了连接，而由

22、于网络传输等原因，对端还没有收到相应的Disconnet报文，此时立即发起了一个Tunnel连接，会连不上，因为对方必须相隔一定的时间才能侦测到链路被挂断，两个来自相同IP地址的对端发起的Tunnel连接是不允许的。（2）PPP协商不通过，可能原因有：LAC端配置的用户名与密码有误，或者是LNS端未设相应的用户。LNS端不能分配地址，比如地址池配置的较小，或没有进行配置。通道密码验证的类型不一致。如Windows 2000所创建的VPN连接缺省的验证类型为MSCHAP，若对端不支持MSCHAP，建议改为CHAP。故障之二：数据传输失败，在建立连接后数据不能传输，如Ping不通对端。故障排除：可能有如下原因： LAC配置的地址有误：一般情况下，由LNS分配地址，而LAC也可以指定自己的地址。若指定的地址和LNS所要分配的地址不属于同一个网段，就会发生这种情况，建议由LNS统一分配地址。 网络拥挤：Internet主干网产生拥挤，丢包现象严重。L2TP是基于UDP进行传输的，UDP不对报文进行差错控制；若是在线路质量不稳定的情况下进行L2TP应用，可能会产生Ping不通对端的情况。