华为二层隧道协议L2TP配置教程(三)
首页 > HuaWei > VPN   作者:浙江思唯网络  2016年11月23日 12:24 星期三  字号:   评论:0 条
时间:2016-11-23 12:24   评论:0 条 

华为二层隧道协议L2TP配置教程(三)

华为二层隧道协议L2TP配置教程(二)http://www.023wg.com/vpn/387.html

4、配置LAC自拨号发起L2TP连接

用户无需拨号,以任意方式接入LACLAC使用虚拟拨号接口发起PPP会话,并使用自拨号功能向LNS发起L2TP连接。

1、指定拨号的用户名称和密码。

[Huawei-Virtual-Template2]ppp pap local-user ?

  STRING<1-64>  User name

 

[Huawei-Virtual-Template2]ppp pap local-user 023wg.com ?

  password  Specify user password

 

[Huawei-Virtual-Template2]ppp pap local-user 023wg.com password ?

  cipher  Display the current password with cipher text

  simple  Display the current password with plain text

 

[Huawei-Virtual-Template2]ppp pap local-user 023wg.com password cipher ?

  STRING<1-32>/<24-56>  The UNENCRYPTED/ENCRYPTED password string

 

[Huawei-Virtual-Template2]ppp pap local-user 023wg.com password cipher www.023wg.com

 

2、使能LAC自拨号功能

[Huawei-Virtual-Template2]l2tp-auto-client enable

 

3、其它配置同前面

 

5、配置LCP重协商

LAC对接入用户认证,认证通过后,将认证信息发送给LNSLNS根据认证信息判断用户是否合法。

如果LNS不信任LAC,需要对远程用户二次认证,则可以使用LCP重协商功能。远程用户和LNS重新开始PPP协商,协商成功后才能建立L2TP连接。LCP重协商和CHAP强制认证无法同时生效,LCP重协商优先级高,如果同时配置,则设备进行LCP重协商。

[Huawei]l2tp-group 1

 

[Huawei-l2tp1]mandatory-lcp

 

6、配置强制CHAP认证

LNS收到LAC所传递的认证信息后,如果LNS对安全性要求较高,可使用强制CHAP认证功能,LNS只对远程用户进行CHAP认证。如果此时LAC使用了PAP的认证方式,就无法通过LNS的认证,不能建立L2TP会话。LCP重协商和CHAP强制认证无法同时生效,LCP重协商优先级高,如果同时配置,则设备进行LCP重协商。

[Huawei-l2tp1]mandatory-chap

 

7、配置主备LNS

对可靠性要求较高的企业,在总部部署双网关,一主一备。当主网关故障时,业务切换到备份网关,则LAC发起的L2TP连接请求无法到达主LNS,此时可以在LAC上同时配置总部备份网关的IP地址,当第一个地址不可达时,按配置的顺序向第二个地址发起L2TP连接请求,在LAC上实现LNS的主备功能。

[Huawei-l2tp1]start l2tp ip ?

  IP_ADDR<X.X.X.X>  IP address

 

[Huawei-l2tp1]start l2tp ip 10.1.2.1 ?

  domain        Specify the domain name of the client using the L2TP group

  fullusername  Specify the full name of the client using the L2TP group

  ip            Specify LNS IP address of the L2TP tunnel

 

 

8、配置AVP参数加密

L2TP连接的建立是通过在LACLNS之间交换控制消息,而控制消息中则携带了各种AVP参数,包含了用户名、密码等关键信息。此时通过部署AVP参数加密功能,在L2TP连接期间,对AVP参数加密,提高安全性。部署AVP参数加密功能,需要先部署L2TP隧道认证功能。

1、使能L2TP隧道认证功能

[Huawei-l2tp1]tunnel authentication

 

2、置隧道认证字,除了隧道认证,还可以用于加密AVP参数

[Huawei-l2tp1]tunnel password ?

  cipher  Encrypted text

  simple  Plain text

 

[Huawei-l2tp1]tunnel password cipher ?

  STRING<1-16>  The UNENCRYPTED/ENCRYPTED password string

 

[Huawei-l2tp1]tunnel password cipher www.023wg.com

 

3L2TP报文中的AVP参数加密,提高安全性

[Huawei-l2tp1]tunnel avp-hidden

 

9、配置L2TP隧道认证

对安全要求较高时,可部署L2TP隧道认证功能,LACLNS上需要配置相同的认证字。L2TP隧道建立过程时,互相验证对端的密钥是否和本端相同,达到简单的安全验证要求。

1、使能L2TP隧道认证功能

[Huawei-l2tp1]tunnel authentication

 

2、置隧道认证字,除了隧道认证,还可以用于加密AVP参数

[Huawei-l2tp1]tunnel password ?

  cipher  Encrypted text

  simple  Plain text

 

[Huawei-l2tp1]tunnel password cipher ?

  STRING<1-16>  The UNENCRYPTED/ENCRYPTED password string

 

[Huawei-l2tp1]tunnel password cipher www.023wg.com

 

10、配置L2TP隧道连通性

Hello报文用于检测LACLNS之间隧道的连通性。Hello报文超时,则自动拆除建立的L2TP隧道,及时释放资源。企业可以根据实际需要,部署Hello报文的时间参数。

如果网络稳定,则可以加长Hello报文的发送时间间隔,减轻网络负担。

如果网络不稳定,则可以减少Hello报文的发送时间间隔,及时检测隧道状态。如果LAC上配置了主备LNS地址,当使用Hello报文检测到隧道不通时,自动向配置的第二个LNSIP地址发起L2TP连接请求。

另外,设备作为LAC时,和某个LNS尝试建立隧道时发现无法与该LNS进行建立,可以将该LNS标记为不可用,并在一段时间(称为LNS锁定时间)内不再使用该LNS建立隧道。直到LNS锁定期结束,设备才尝试重新和该LNS建立隧道。

1、配置Hello报文的发送时间间隔

[Huawei-l2tp1]tunnel timer hello ?

  INTEGER<0-1000>  Interval(second)

 

[Huawei-l2tp1]tunnel timer hello 300

 

2、配置LNS锁定时间,该步骤只在LAC上执行。

[Huawei]l2tp aging ?

  INTEGER<1-3600>  Lns aging time(minute)

 

[Huawei]l2tp aging 120

 

11、查看当前设备上建立的L2TP会话信息

# 查看当前L2TP会话信息。

<Huawei> display l2tp session

 

 Total session : 1

 LocalSID  RemoteSID  LocalTID

  1         1          1

display l2tp session命令输出信息描述

项目

描述

Total session

本端建立的L2TP会话总数。

LocalSID

L2TP会话中的本端ID

RemoteSID

L2TP会话中的远端ID

LocalTID

L2TP会话所在隧道的本端ID

 

# 查看L2TP隧道对端地址为60.1.3.1L2TP会话信息。

<Huawei> display l2tp session destination-ip 60.1.3.1

 

 Total session : 1

 LocalSID  RemoteSID  LocalTID

 ----------------------------------------------------------------------------

  1          1         1                       

# 查看L2TP本端会话ID1的信息。

<Huawei> display l2tp session session-item 1

  ---------------------------------------------------------

    Call id             :1

    Remote Call id      :1

    Call State          :Up

    Remote tunnel name  :lac

    Remote Address      :60.1.3.1   port : 1701

    Local tunnel name   :lns

    Local Address       :60.1.3.2   port : 1701

    Call serial number  :1

    Session username    : NULL

    Sequencing is       :off

  ---------------------------------------------------------

display l2tp session命令输出信息描述

项目

描述

Call id

L2TP会话本端ID

Remote Call id

L2TP会话远端ID

Call State

L2TP会话建立后,则状态为Up

Remote tunnel name

L2TP会话所在隧道的远端隧道名称。

Remote Address

L2TP会话所在隧道的远端IP地址。

Local tunnel name

L2TP会话所在隧道的本端隧道名称。

Local Address

L2TP会话所在隧道的本端IP地址。

Call serial number

L2TP会话的序号。

Session username

L2TP会话用户名称,缺省为NULL

Sequencing is

L2TP会话排序功能,缺省为off

 

12、查看当前建立的L2TP隧道信息

# 查看当前L2TP隧道信息。

<Huawei> display l2tp tunnel

 

 Total tunnel : 1

 LocalTID RemoteTID RemoteAddress    Port   Sessions RemoteName

 1        1         60.1.3.2         1701   1        lns

 

如果隧道中存在大量session会话,在删除隧道过程中查看隧道信息可能会出现session会话还存在现象。

display l2tp tunnel命令输出信息描述

项目

描述

Total tunnel

本端建立的L2TP隧道的数目。

LocalTID

L2TP隧道的本端ID

RemoteTID

L2TP隧道的远端ID

RemoteAddress

L2TP隧道的远端IP地址。

Port

L2TP隧道远端使用的端口号,一般为1701

Sesssions

L2TP隧道上承载的会话数目。

Remote Name

L2TP隧道远端的隧道名称。

 

# 查看L2TP隧道ID1的隧道详细信息。

<Huawei> display l2tp tunnel tunnel-item 1

  ---------------------------------------------------------

    Tunnel id           :1

    Remote Tunnel id    :1

    Tunnel State        :Up

    Remote tunnel name  :lns

    Remote Address      :60.1.3.2   port : 1701

    ReCall Address      :60.1.3.2

    Local tunnel name   :lac

    Local Address       :60.1.3.1   port : 1701

    active sessions     :1

    Session Limit       :4294967295

    Control Ns          :170

    Control Nr          :169

    Retransmission      :5

    Timeout             :2

    Hello Interval      :60

    Local RWS           :4

    Remote RWS          :128

    OuterDscp           :0xff

  ---------------------------------------------------------

display l2tp tunnel命令输出信息描述

项目

描述

Tunnel id

L2TP隧道的本端ID

Remote Tunnel id

L2TP隧道的对端ID

Tunnel State

L2TP隧道建立成功后,状态为Up

Remote tunnel name

L2TP隧道的远端隧道名称。

Remote Address

L2TP隧道的远端IP地址及使用的端口号,一般为1701

ReCall Address

回调地址。

Local tunnel name

L2TP隧道的本端隧道名称。

Local Address

L2TP隧道的本端IP地址及使用的端口号,一般为1701

active sessions

L2TP隧道上当前建立的会话数目。

Session Limit

L2TP隧道上可以建立的最大会话数目。

Control Ns

隧道上发送的控制报文数目。

Control Nr

隧道上接收的控制报文数目。

Retransmission

发送控制报文失败后,重新发送的次数。

Timeout

控制报文重新发送的超时时间。

Hello Interval

Hello报文的发送时间间隔。

Local RWS

本端接收窗口的大小。

Remote RWS

远端接收窗口的大小。

OuterDscp

L2TP封装后的报文优先级,用于部署QoS

 

13、查看设备上存在的L2TP组和L2TP组的配置信息

# 查看当前存在的L2TP组。

<Huawei> display l2tp-group

-----------------------------------------

  L2TP-GROUP    GROUP-NUMBER

-----------------------------------------

  1               1

  2               2

  4               4

-----------------------------------------

display l2tp-group命令输出信息描述

项目

描述

L2TP-GROUP

使用L2TP组编号标识的L2TP组。

GROUP-NUMBER

L2TP组编号。

 

# 查看编号为1L2TP组配置信息。

<Huawei> display l2tp-group 1

 -----------------------------------------------

 L2tp-index         :   1

 GroupType          :   ACCEPT_DIALIN_L2TP

 TunnelAuth         :   Use tunnel authentication

 LocalName          :   lns

 Encrypt            :   0

 Hello              :   60

 Retransmit         :   5

 Timeout            :   2

 IfIndex            :   4294967295

 SrcIp              :   255.255.255.255

 VtNum              :   1

 RemoteName         :   lac1

 ForceChap          :   0

 LcpReg             :   0

 LcpMismatch        :   0

 tunnel each user   :   0

 -----------------------------------------------


display l2tp-group命令输出信息描述

项目

描述

L2tp-index

L2TP组编号。

GroupType

标识L2TP组的功能,有三种类型:

REQUEST_DIALIN_L2TP:设备作为LAC,接入用户的拨号,发起到LNSL2TP连接。

ACCEPT_DIALIN_L2TP:设备作为LNS,接入LAC发起的L2TP连接请求。

VPDNGROUPTYPE_NONEL2TP组的功能未配置。

TunnelAuth

是否使用隧道认证功能。

LocalName

L2TP隧道的本端隧道名称。

Encrypt

L2TP隧道是否配置了认证字进行隧道加密,用于隧道认证:

0:未配置认证字。

1:已配置认证字。

Hello

Hello报文的发送时间间隔,缺省为60秒。

Retransmit

控制报文发送失败后的重传次数,缺省为5次。

Timeout

控制报文的重传超时时间,缺省为2秒。

IfIndex

隧道绑定的接口索引。

SrcIp

隧道源接口IP地址。

VtNum

L2TP隧道使用的虚拟接口模板编号。

RemoteName

L2TP隧道的远端隧道名称。

ForceChap

是否使用CHAP强制认证功能:

0:否

1:是

LcpReg

是否使用LCP重协商功能:

0:否

1:是

LcpMismatch

PPP认证方式不匹配时,是否使用强制LCP重协商功能:

0:否

1:是

tunnel each user

是否为每一个L2TP用户单独创建一条L2TP隧道:

0:否

1:是

 您阅读这篇文章共花了: 
二维码加载中...
技术交流:欢迎在本文下方留言或加入QQ群:647682417 互相学习。     
本文地址:http://www.023wg.com/vpn/389.html
版权声明:若无注明,本文皆为“思唯网络教育博客”原创,转载请保留文章出处。
返回顶部    首页   
版权所有:思唯网络教育博客    浙江思唯网络