华为二层隧道协议L2TP配置教程(三)
华为二层隧道协议L2TP配置教程(二):http://www.023wg.com/vpn/387.html
4、配置LAC自拨号发起L2TP连接
用户无需拨号,以任意方式接入LAC,LAC使用虚拟拨号接口发起PPP会话,并使用自拨号功能向LNS发起L2TP连接。
1、指定拨号的用户名称和密码。
[Huawei-Virtual-Template2]ppp pap local-user ?
STRING<1-64> User name
[Huawei-Virtual-Template2]ppp pap local-user 023wg.com ?
password Specify user password
[Huawei-Virtual-Template2]ppp pap local-user 023wg.com password ?
cipher Display the current password with cipher text
simple Display the current password with plain text
[Huawei-Virtual-Template2]ppp pap local-user 023wg.com password cipher ?
STRING<1-32>/<24-56> The UNENCRYPTED/ENCRYPTED password string
[Huawei-Virtual-Template2]ppp pap local-user 023wg.com password cipher www.023wg.com
2、使能LAC自拨号功能
[Huawei-Virtual-Template2]l2tp-auto-client enable
3、其它配置同前面
5、配置LCP重协商
LAC对接入用户认证,认证通过后,将认证信息发送给LNS,LNS根据认证信息判断用户是否合法。
如果LNS不信任LAC,需要对远程用户二次认证,则可以使用LCP重协商功能。远程用户和LNS重新开始PPP协商,协商成功后才能建立L2TP连接。LCP重协商和CHAP强制认证无法同时生效,LCP重协商优先级高,如果同时配置,则设备进行LCP重协商。
[Huawei]l2tp-group 1
[Huawei-l2tp1]mandatory-lcp
6、配置强制CHAP认证
LNS收到LAC所传递的认证信息后,如果LNS对安全性要求较高,可使用强制CHAP认证功能,LNS只对远程用户进行CHAP认证。如果此时LAC使用了PAP的认证方式,就无法通过LNS的认证,不能建立L2TP会话。LCP重协商和CHAP强制认证无法同时生效,LCP重协商优先级高,如果同时配置,则设备进行LCP重协商。
[Huawei-l2tp1]mandatory-chap
对可靠性要求较高的企业,在总部部署双网关,一主一备。当主网关故障时,业务切换到备份网关,则LAC发起的L2TP连接请求无法到达主LNS,此时可以在LAC上同时配置总部备份网关的IP地址,当第一个地址不可达时,按配置的顺序向第二个地址发起L2TP连接请求,在LAC上实现LNS的主备功能。
[Huawei-l2tp1]start l2tp ip ?
IP_ADDR<X.X.X.X> IP address
[Huawei-l2tp1]start l2tp ip 10.1.2.1 ?
domain Specify the domain name of the client using the L2TP group
fullusername Specify the full name of the client using the L2TP group
ip Specify LNS IP address of the L2TP tunnel
8、配置AVP参数加密
L2TP连接的建立是通过在LAC和LNS之间交换控制消息,而控制消息中则携带了各种AVP参数,包含了用户名、密码等关键信息。此时通过部署AVP参数加密功能,在L2TP连接期间,对AVP参数加密,提高安全性。部署AVP参数加密功能,需要先部署L2TP隧道认证功能。
1、使能L2TP隧道认证功能
[Huawei-l2tp1]tunnel authentication
2、置隧道认证字,除了隧道认证,还可以用于加密AVP参数
[Huawei-l2tp1]tunnel password ?
cipher Encrypted text
simple Plain text
[Huawei-l2tp1]tunnel password cipher ?
STRING<1-16> The UNENCRYPTED/ENCRYPTED password string
[Huawei-l2tp1]tunnel password cipher www.023wg.com
3、L2TP报文中的AVP参数加密,提高安全性
[Huawei-l2tp1]tunnel avp-hidden
9、配置L2TP隧道认证
对安全要求较高时,可部署L2TP隧道认证功能,LAC和LNS上需要配置相同的认证字。L2TP隧道建立过程时,互相验证对端的密钥是否和本端相同,达到简单的安全验证要求。
1、使能L2TP隧道认证功能
[Huawei-l2tp1]tunnel authentication
2、置隧道认证字,除了隧道认证,还可以用于加密AVP参数
[Huawei-l2tp1]tunnel password ?
cipher Encrypted text
simple Plain text
[Huawei-l2tp1]tunnel password cipher ?
STRING<1-16> The UNENCRYPTED/ENCRYPTED password string
[Huawei-l2tp1]tunnel password cipher www.023wg.com
10、配置L2TP隧道连通性
Hello报文用于检测LAC和LNS之间隧道的连通性。Hello报文超时,则自动拆除建立的L2TP隧道,及时释放资源。企业可以根据实际需要,部署Hello报文的时间参数。
如果网络稳定,则可以加长Hello报文的发送时间间隔,减轻网络负担。
如果网络不稳定,则可以减少Hello报文的发送时间间隔,及时检测隧道状态。如果LAC上配置了主备LNS地址,当使用Hello报文检测到隧道不通时,自动向配置的第二个LNS的IP地址发起L2TP连接请求。
另外,设备作为LAC时,和某个LNS尝试建立隧道时发现无法与该LNS进行建立,可以将该LNS标记为不可用,并在一段时间(称为LNS锁定时间)内不再使用该LNS建立隧道。直到LNS锁定期结束,设备才尝试重新和该LNS建立隧道。
1、配置Hello报文的发送时间间隔
[Huawei-l2tp1]tunnel timer hello ?
INTEGER<0-1000> Interval(second)
[Huawei-l2tp1]tunnel timer hello 300
2、配置LNS锁定时间,该步骤只在LAC上执行。
[Huawei]l2tp aging ?
INTEGER<1-3600> Lns aging time(minute)
[Huawei]l2tp aging 120
11、查看当前设备上建立的L2TP会话信息
# 查看当前L2TP会话信息。
<Huawei> display l2tp session
Total session : 1
LocalSID RemoteSID LocalTID
1 1 1
|
项目 |
描述 |
|
Total session |
本端建立的L2TP会话总数。 |
|
LocalSID |
L2TP会话中的本端ID。 |
|
RemoteSID |
L2TP会话中的远端ID。 |
|
LocalTID |
L2TP会话所在隧道的本端ID。 |
# 查看L2TP隧道对端地址为60.1.3.1的L2TP会话信息。
<Huawei> display l2tp session destination-ip 60.1.3.1
Total session : 1
LocalSID RemoteSID LocalTID
----------------------------------------------------------------------------
1 1 1
# 查看L2TP本端会话ID为1的信息。
<Huawei> display l2tp session session-item 1
---------------------------------------------------------
Call id :1
Remote Call id :1
Call State :Up
Remote tunnel name :lac
Remote Address :60.1.3.1 port : 1701
Local tunnel name :lns
Local Address :60.1.3.2 port : 1701
Call serial number :1
Session username : NULL
Sequencing is :off
---------------------------------------------------------
|
项目 |
描述 |
|
Call id |
L2TP会话本端ID。 |
|
Remote Call id |
L2TP会话远端ID。 |
|
Call State |
L2TP会话建立后,则状态为Up。 |
|
Remote tunnel name |
L2TP会话所在隧道的远端隧道名称。 |
|
Remote Address |
L2TP会话所在隧道的远端IP地址。 |
|
Local tunnel name |
L2TP会话所在隧道的本端隧道名称。 |
|
Local Address |
L2TP会话所在隧道的本端IP地址。 |
|
Call serial number |
L2TP会话的序号。 |
|
Session username |
L2TP会话用户名称,缺省为NULL。 |
|
Sequencing is |
L2TP会话排序功能,缺省为off。 |
12、查看当前建立的L2TP隧道信息
# 查看当前L2TP隧道信息。
<Huawei> display l2tp tunnel
Total tunnel : 1
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
1 1 60.1.3.2 1701 1 lns
如果隧道中存在大量session会话,在删除隧道过程中查看隧道信息可能会出现session会话还存在现象。
|
项目 |
描述 |
|
Total tunnel |
本端建立的L2TP隧道的数目。 |
|
LocalTID |
L2TP隧道的本端ID。 |
|
RemoteTID |
L2TP隧道的远端ID。 |
|
RemoteAddress |
L2TP隧道的远端IP地址。 |
|
Port |
L2TP隧道远端使用的端口号,一般为1701。 |
|
Sesssions |
L2TP隧道上承载的会话数目。 |
|
Remote Name |
L2TP隧道远端的隧道名称。 |
# 查看L2TP隧道ID为1的隧道详细信息。
<Huawei> display l2tp tunnel tunnel-item 1
---------------------------------------------------------
Tunnel id :1
Remote Tunnel id :1
Tunnel State :Up
Remote tunnel name :lns
Remote Address :60.1.3.2 port : 1701
ReCall Address :60.1.3.2
Local tunnel name :lac
Local Address :60.1.3.1 port : 1701
active sessions :1
Session Limit :4294967295
Control Ns :170
Control Nr :169
Retransmission :5
Timeout :2
Hello Interval :60
Local RWS :4
Remote RWS :128
OuterDscp :0xff
---------------------------------------------------------
|
项目 |
描述 |
|
Tunnel id |
L2TP隧道的本端ID。 |
|
Remote Tunnel id |
L2TP隧道的对端ID。 |
|
Tunnel State |
L2TP隧道建立成功后,状态为Up。 |
|
Remote tunnel name |
L2TP隧道的远端隧道名称。 |
|
Remote Address |
L2TP隧道的远端IP地址及使用的端口号,一般为1701。 |
|
ReCall Address |
回调地址。 |
|
Local tunnel name |
L2TP隧道的本端隧道名称。 |
|
Local Address |
L2TP隧道的本端IP地址及使用的端口号,一般为1701。 |
|
active sessions |
L2TP隧道上当前建立的会话数目。 |
|
Session Limit |
L2TP隧道上可以建立的最大会话数目。 |
|
Control Ns |
隧道上发送的控制报文数目。 |
|
Control Nr |
隧道上接收的控制报文数目。 |
|
Retransmission |
发送控制报文失败后,重新发送的次数。 |
|
Timeout |
控制报文重新发送的超时时间。 |
|
Hello Interval |
Hello报文的发送时间间隔。 |
|
Local RWS |
本端接收窗口的大小。 |
|
Remote RWS |
远端接收窗口的大小。 |
|
OuterDscp |
L2TP封装后的报文优先级,用于部署QoS。 |
13、查看设备上存在的L2TP组和L2TP组的配置信息
# 查看当前存在的L2TP组。
<Huawei> display l2tp-group
-----------------------------------------
L2TP-GROUP GROUP-NUMBER
-----------------------------------------
1 1
2 2
4 4
-----------------------------------------
|
项目 |
描述 |
|
L2TP-GROUP |
使用L2TP组编号标识的L2TP组。 |
|
GROUP-NUMBER |
L2TP组编号。 |
# 查看编号为1的L2TP组配置信息。
<Huawei> display l2tp-group 1
-----------------------------------------------
L2tp-index : 1
GroupType : ACCEPT_DIALIN_L2TP
TunnelAuth : Use tunnel authentication
LocalName : lns
Encrypt : 0
Hello : 60
Retransmit : 5
Timeout : 2
IfIndex : 4294967295
SrcIp : 255.255.255.255
VtNum : 1
RemoteName : lac1
ForceChap : 0
LcpReg : 0
LcpMismatch : 0
tunnel each user : 0
-----------------------------------------------
|
项目 |
描述 |
|
L2tp-index |
L2TP组编号。 |
|
GroupType |
标识L2TP组的功能,有三种类型: REQUEST_DIALIN_L2TP:设备作为LAC,接入用户的拨号,发起到LNS的L2TP连接。 ACCEPT_DIALIN_L2TP:设备作为LNS,接入LAC发起的L2TP连接请求。 VPDNGROUPTYPE_NONE:L2TP组的功能未配置。 |
|
TunnelAuth |
是否使用隧道认证功能。 |
|
LocalName |
L2TP隧道的本端隧道名称。 |
|
Encrypt |
L2TP隧道是否配置了认证字进行隧道加密,用于隧道认证: 0:未配置认证字。 1:已配置认证字。 |
|
Hello |
Hello报文的发送时间间隔,缺省为60秒。 |
|
Retransmit |
控制报文发送失败后的重传次数,缺省为5次。 |
|
Timeout |
控制报文的重传超时时间,缺省为2秒。 |
|
IfIndex |
隧道绑定的接口索引。 |
|
SrcIp |
隧道源接口IP地址。 |
|
VtNum |
L2TP隧道使用的虚拟接口模板编号。 |
|
RemoteName |
L2TP隧道的远端隧道名称。 |
|
ForceChap |
是否使用CHAP强制认证功能: 0:否 1:是 |
|
LcpReg |
是否使用LCP重协商功能: 0:否 1:是 |
|
LcpMismatch |
当PPP认证方式不匹配时,是否使用强制LCP重协商功能: 0:否 1:是 |
|
tunnel each user |
是否为每一个L2TP用户单独创建一条L2TP隧道: 0:否
1:是 |
您阅读这篇文章共花了: 
相关文章本文地址:http://www.023wg.com/vpn/389.html
版权声明:若无注明,本文皆为“Swiers思唯网络博客”原创,转载请保留文章出处。
-
enomothem 说:
是的,证书需要于你的实力匹配 -
墨殃 说:
谢谢楼主分享很详细 祝您工作愉快 -
冰尘 说:
我当年上学的时候也这么考虑过,不过没有你... -
你好 说:
在交换机B上ping 172.16.2网... -
随梦而追 说:
博主大人您好,我是2017年毕业的小伙子... -
燃灯大师 说:
我刚好参加此次比赛 -
曲别针 说:
多谢分享,赞! -
agony 说:
谢谢,受益匪浅 -
陈Huid 说:
谢谢分享 -
美股指数 说:
谢谢您的分享!
