选择区域语言: EN CN HK

04-二层技术-广域网接入命令参考

03-L2TP命令

本章节下载  (154.26 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Command/Command_Manual/H3C_SR6600_CR-R2420(V1.12)/04/201212/765519_30005_0.htm

03-L2TP命令


1 L2TP配置命令

1.1  L2TP配置命令

1.1.1  allow l2tp

【命令】

allow l2tp virtual-template virtual-template-number remote remote-name [ domain domain-name ]

undo allow

【视图】

L2TP组视图

【缺省级别】

2:系统级

【参数】

virtual-template virtual-template-number:指定用于创建新的虚拟访问接口(virtual access interface)时所用的虚接口模板。其中,virtual-template-number为虚接口模板序号,取值范围为0~1023。

remote remote-name:指定发起连接请求的隧道对端。其中,remote-name表示隧道对端的名称,为1~30个字符的字符串,区分大小写。

domain domain-name:指定发起连接请求的用户域。其中,domain-name表示ISP域名,为1~30个字符的字符串,不区分大小写。

【描述】

allow l2tp命令用来指定接收呼叫的虚拟接口模板、隧道对端名称和域名undo allow命令用来取消配置。

缺省情况下,禁止接受呼入。

需要注意的是:

l              在L2TP多实例应用中,必须配置参数domain-name

l              使用L2TP组号1(缺省的L2TP组号)时,可以不指定隧道对端名。即在组1下进行配置时,本命令的格式为:allow l2tp virtual-template virtual-template-number [ remote remote-name ] [ domain domain-name ]。任何名字的对端都能发起隧道请求。

l              如果在L2TP组1的配置模式下,仍指定对端名称,则L2TP组1不作为缺省的L2TP组。

l              在Windows 2000 beta 2版本中,VPN连接的本端名称为空,则路由器收到的对端名称为空。为了接收这种不知名的对端发起的隧道请求连接,或者用于测试目的,可以设置一个缺省的L2TP组。

l              命令allow l2tp使用在LNS侧,如果配置了隧道对端名称,要确保隧道对端的名称和LAC侧配置的本端名称一致。

相关配置可参考命令l2tp-group

【举例】

# 接受名称为aaa的对端(LAC)发起L2TP隧道连接请求,并根据virtual-template 1创建virtual-access接口。

<Sysname> system-view

[Sysname] l2tp-group 2

[Sysname-l2tp2] allow l2tp virtual-template 1 remote aaa

# 将L2TP组1作为缺省的L2TP组,接受任何对端发起的L2TP隧道连接请求,并根据virtual-template 1创建virtual-access接口。

<Sysname> system-view

[Sysname] l2tp-group 1

[Sysname-l2tp1] allow l2tp virtual-template 1

1.1.2  display l2tp session

【命令】

display l2tp session

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

【描述】

display l2tp session命令用来显示当前L2TP会话的信息。

相关配置可参考命令display l2tp tunnel

【举例】

# 显示当前L2TP会话信息。

<Sysname> display l2tp session

Total session = 1

 

 LocalSID  RemoteSID  LocalTID

  17922     12990      1

表1-1 display l2tp session命令显示信息描述表

字段

描述

Total session

会话的数目

LocalSID

本端唯一标识一个会话的数值

RemoteSID

对端唯一标识一个会话的数值

LocalTID

隧道的本端标识号

 

1.1.3  display l2tp tunnel

【命令】

display l2tp tunnel

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

【描述】

display l2tp tunnel命令用来显示当前L2TP隧道的信息。

该命令的输出信息,可以帮助用户确定当前所建立的L2TP隧道信息。

【举例】

# 显示当前L2TP隧道信息。

<Sysname> display l2tp tunnel

Total tunnel = 1

 

 LocalTID RemoteTID RemoteAddress    Port   Sessions RemoteName

 1        1         20.1.1.2         1701   1        lns

表1-2 display l2tp tunnel命令显示信息描述表

字段

描述

Total tunnel

隧道的数目

LocalTID

本端唯一标识一个隧道的数值

RemoteTID

对端唯一标识一个隧道的数值

RemoteAddress

对端的IP地址

Port

对端的端口号

Sessions

此隧道上的会话数目

RemoteName

对端的名称

 

1.1.4  interface virtual-template

【命令】

interface virtual-template virtual-template-number

undo interface virtual-template virtual-template-number

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

virtual-template-number:标识虚接口模板序号,取值范围为0~1023。

【描述】

interface virtual-template命令用来创建虚接口模板,并进入虚接口模板视图。undo interface virtual-template命令用来删除虚接口模板。

缺省情况下,系统没有创建虚接口模板。

虚接口模板主要用于配置路由器在运行过程中动态创建的虚拟访问接口的工作参数,如MP捆绑逻辑接口和L2TP逻辑接口等。

相关配置可参考命令allow l2tp

【举例】

# 创建虚接口模板1,并进入虚接口模板视图。

<Sysname> system-view

[Sysname] interface virtual-template 1

[Sysname-Virtual-Template1]

1.1.5  l2tp enable

【命令】

l2tp enable

undo l2tp enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

l2tp enable命令用来启用L2TP功能。undo l2tp enable命令用来关闭L2TP功能。

缺省情况下,L2TP功能处于关闭状态。

只有启用该功能后其他相关配置才能生效。

相关配置可参考命令l2tp-group

【举例】

# 启用L2TP功能。

<Sysname> system-view

[Sysname] l2tp enable

1.1.6  l2tp sendaccm enable

【命令】

l2tp sendaccm enable

undo l2tp sendaccm enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

l2tp sendaccm enable命令用来启用L2TP的ACCM消息发送功能。undo l2tp enable命令用来关闭L2TP的ACCM消息发送功能。

缺省情况下,L2TP的ACCM消息发送功能处于开启状态。

【举例】

# 关闭L2TP的ACCM消息发送功能。

<Sysname> system-view

[Sysname] undo l2tp sendaccm enable

1.1.7  l2tpmoreexam enable

【命令】

l2tpmoreexam enable

undo l2tpmoreexam enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

l2tpmoreexam enable命令用来启用L2TP多实例功能。undo l2tpmoreexam enable命令用来关闭L2TP多实例功能。

缺省情况下,L2TP多实例功能处于关闭状态。

需要注意的是,本命令在LNS端配置。

相关配置可参考命令l2tp enable

【举例】

# 在LNS端启用L2TP多实例功能。

<Sysname> system-view

[Sysname] l2tpmoreexam enable

1.1.8  l2tp-group

【命令】

l2tp-group group-number

undo l2tp-group group-number

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

group-number: L2TP组号,取值范围为1~1000。

【描述】

l2tp-group命令用来创建L2TP组,并进入L2TP组视图。undo l2tp-group命令用来删除L2TP组。

缺省情况下,没有创建任何L2TP组。

使用undo l2tp-group命令删除L2TP组后,该组的所有配置信息也将被删除。

相关配置可参考命令allow l2tpstart l2tp

【举例】

# 创建L2TP组2,并进入L2TP组视图。

<Sysname> system-view

[Sysname] l2tp-group 2

[Sysname-l2tp2]

1.1.9  mandatory-chap

【命令】

mandatory-chap

undo mandatory-chap

【视图】

L2TP组视图

【缺省级别】

2:系统级

【参数】

【描述】

mandatory-chap命令用来强制LNS与用户端(Client)之间重新进行CHAP验证。undo mandatory-chap命令用来禁止CHAP的重新验证。

缺省情况下,系统不进行CHAP的重新验证。

LAC对用户端进行代理验证后,LNS对用户端再次进行验证,可以增加安全性。如果使用mandatory-chap命令,则对于由NAS初始化隧道连接的VPN用户端来说,会经过两次验证:一次是用户端在NAS端的验证,另一次是用户端在LNS端的验证。一些PPP用户端可能不支持进行第二次验证,这时,LNS端的CHAP验证会失败。

相关配置可参考命令mandatory-lcp

【举例】

# 强制进行CHAP验证。

<Sysname> system-view

[Sysname] l2tp-group 1

[Sysname-l2tp1] mandatory-chap

1.1.10  mandatory-lcp

【命令】

mandatory-lcp

undo mandatory-lcp

【视图】

L2TP组视图

【缺省级别】

2:系统级

【参数】

【描述】

mandatory-lcp命令用来强制LNS与用户端(Client)之间重新进行链路控制协议(Link Control Protocol)的协商。undo mandatory-lcp命令用来禁止LCP的重新协商。

缺省情况下,系统不重新进行LCP协商。

对于NAS-Initialized VPN的用户端,在一个PPP会话开始时,将先和NAS进行PPP协商。如果协商通过,则由NAS初始化隧道连接,并把与用户端协商收集到的信息传给LNS;LNS根据收到的代理验证信息判断用户是否合法。使用mandatory-lcp命令可以强制LNS与用户端重新进行LCP协商,忽略NAS的代理验证信息。如果一些PPP用户端不支持LCP的重新协商,则LCP重新协商过程会失败。

相关配置可参考命令mandatory-chap

【举例】

# 强制进行LCP重新协商。

<Sysname> system-view

[Sysname] l2tp-group 1

[Sysname-l2tp1] mandatory-lcp

1.1.11  reset l2tp tunnel

【命令】

reset l2tp tunnel { id tunnel-id | name remote-name }

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

id tunnel-id:断开指定本端标识的隧道连接。其中,tunnel-id表示隧道本端的标识号,取值范围为1~18000。

name remote-name:断开指定对端名称的隧道连接。其中,remote-name表示隧道对端的名称,为1~30个字符的字符串,区分大小写。

【描述】

reset l2tp tunnel命令用来断开指定的隧道连接,同时断开隧道内的所有会话连接。

需要注意的是:

l              强制断开一个隧道连接后,当对端用户再次呼入时,隧道可以重新建立。

l              通过指定隧道的对端名称来确定需要断开的隧道连接时,如果没有符合条件的隧道连接存在,则对当前的隧道连接没有影响;如果有多个符合条件的隧道连接存在(同一个名称,不同IP地址),则断开所有符合条件的隧道连接。

l              指定id时,只断开对应的隧道连接。

相关配置可参考命令display l2tp tunnel

【举例】

# 断开对端名称为aaa的Tunnel连接。

<Sysname> reset l2tp tunnel name aaa

1.1.12  start l2tp

【命令】

start l2tp { ip ip-address }&<1-5> { domain domain-name | fullusername user-name }

undo start

【视图】

L2TP组视图

【缺省级别】

2:系统级

【参数】

{ip ip-address }&<1-5>:指定隧道对端(LNS)的IP地址。其中,ip-address表示LNS的IP地址,&<1-5>表示前面的参数最多可以输入5次。

domain domain-name:指定触发连接请求的用户域。其中,domain-name表示用户域名,1~30个字符的字符串,不区分大小写。

fullusername user-name:指定触发连接请求的用户全名。其中,user-name表示用户全名,为1~32个字符的字符串,区分大小写。

【描述】

start l2tp命令用来配置本端作为L2TP LAC端时发起呼叫的触发条件。undo start命令用来删除配置的触发条件。

需要注意的是:

l              此命令在LAC端使用。使用此命令可以指定LNS的IP地址,并支持多种连接请求触发条件。

l              可以根据用户域名来发起建立隧道的连接请求。比如用户所在公司的域名为aabbcc.net,则可以指定包含aabbcc.net域名的用户为VPN用户。

l              可以直接通过用户全名来指定该用户为VPN用户。如果发现是VPN用户,则本端(LAC)按照LNS配置的先后顺序依次向每个LNS发送建立L2TP隧道的连接请求,接收到某个LNS的接受应答后,该LNS就作为隧道的对端;否则LAC向下一个LNS发起隧道连接请求。

【举例】

# 根据域名aabbcc.net来判断VPN用户,对应的总部LNS的IP地址为202.1.1.1。

<Sysname> system-view

[Sysname] l2tp-group 1

[Sysname-l2tp1] start l2tp ip 202.1.1.1 domain aabbcc.net

1.1.13  tunnel authentication

【命令】

tunnel authentication

undo tunnel authentication

【视图】

L2TP组视图

【缺省级别】

2:系统级

【参数】

【描述】

tunnel authentication命令用来启用L2TP的隧道验证功能。undo tunnel authentication命令用来取消L2TP隧道验证功能。

缺省情况下,L2TP隧道进行验证功能处于开启状态。

一般情况下,为了安全起见,隧道两端都需要对对方进行验证。如果为了进行网络的连通性测试或者是接收不知名对端发起的连接,可以不进行隧道验证。

【举例】

# 取消L2TP隧道验证功能。

<Sysname> system-view

[Sysname] l2tp-group 1

[Sysname-l2tp1] undo tunnel authentication

1.1.14  tunnel avp-hidden

【命令】

tunnel avp-hidden

undo tunnel avp-hidden

【视图】

L2TP组视图

【缺省级别】

2:系统级

【参数】

【描述】

tunnel avp-hidden命令用来配置隧道采用隐藏方式传输AVP数据。undo tunnel avp-hidden命令用来恢复缺省情况。

缺省情况下,隧道采用明文方式传输AVP数据。

需要注意的是,该命令仅在LAC端配置有效。

【举例】

# 配置AVP数据采用隐藏方式传输。

<Sysname> system-view

[Sysname] l2tp-group 1

[Sysname-l2tp1] tunnel avp-hidden

1.1.15  tunnel flow-control

【命令】

tunnel flow-control

undo tunnel flow-control

【视图】

L2TP组视图

【缺省级别】

2:系统级

【参数】

【描述】

tunnel flow-control命令用来开启L2TP隧道流控功能。undo tunnel flow-control命令用来关闭隧道流控功能。

缺省情况下,L2TP隧道流控功能处于关闭状态。

【举例】

# 开启L2TP隧道流控功能。

<Sysname> system-view

[Sysname] l2tp-group 1

[Sysname-l2tp1] tunnel flow-control

1.1.16  tunnel name

【命令】

tunnel name name

undo tunnel name

【视图】

L2TP组视图

【缺省级别】

2:系统级

【参数】

name:标识隧道本端的名称,为1~30个字符的字符串,区分大小写。

【描述】

tunnel name命令用来配置隧道本端的名称。undo tunnel name命令用来恢复缺省情况。

缺省情况下,隧道本端的名称为系统的名称。

当创建一个L2TP组时,本端名称将被初始化成系统的名称。

相关配置可参考“基础配置命令参考/CLI”中的命令sysname

【举例】

# 配置隧道本端名称为itsme。

<Sysname> system-view

[Sysname] l2tp-group 1

[Sysname-l2tp1] tunnel name itsme

1.1.17  tunnel password

【命令】

tunnel password { simple | cipher } password

undo tunnel password

【视图】

L2TP组视图

【缺省级别】

2:系统级

【参数】

simple:密码以明文方式显示。

cipher:密码以密文方式显示。

password:标识隧道验证时使用的密码,区分大小写。

l              对于simple方式,必须是明文密码;

l              对于cipher方式,可以是密文密码也可以是明文密码。

明文密码可以是长度小于等于16的连续字符串,如:aabbcc。密文密码的长度必须是24位,如_(TT8F)Y\5SQ=^Q`MAF4<1!!。

【描述】

tunnel password命令用来配置隧道验证时的密码。undo tunnel password命令用来删除隧道验证的密码。

缺省情况下,系统的隧道验证密码为空。

【举例】

# 配置隧道验证的密码为yougotit,并且以密文方式显示。

<Sysname> system-view

[Sysname] l2tp-group 1

[Sysname-l2tp1] tunnel password cipher yougotit

1.1.18  tunnel timer hello

【命令】

tunnel timer hello hello-interval

undo tunnel timer hello

【视图】

L2TP组视图

【缺省级别】

2:系统级

【参数】

hello-interval:LAC或LNS在没有报文接收时发送Hello报文的时间间隔,取值范围为60~1000,单位为秒。

【描述】

tunnel timer hello命令用来配置隧道中Hello报文发送时间间隔。undo tunnel timer hello命令用来恢复缺省情况。

缺省情况下,隧道中Hello报文发送时间间隔为60秒。

在LNS和LAC侧,可以分别配置不同的Hello报文时间间隔。

【举例】

# 配置隧道中Hello报文的发送时间间隔为99秒。

<Sysname> system-view

[Sysname] l2tp-group 1

[Sysname-l2tp1] tunnel timer hello 99


2 基于L2TP接入的EAD功能配置命令

2.1  基于L2TP接入的EAD功能配置命令

2.1.1  display ppp access-control interface

【命令】

display ppp access-control interface interface-type interface-number

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

interface-type interface-number:接口的类型和编号。

【描述】

display ppp access-control interface命令用来显示VT接口产生的VA接口动态防火墙的统计信息。

【举例】

# 查看指定虚拟接口模板2产生的VA接口动态防火墙的统计信息。

<Sysname> display ppp access-control interface virtual-template 2

Interface: Virtual-Template2:0

  User Name: mike

  In-bound Policy: acl 3000

  From 2000-04-29 18:47:05  to 2000-04-29 18:47:16

     0 packets, 0 bytes, 0% permitted,

     0 packets, 0 bytes, 0% denied,

     0 packets, 0 bytes, 0% permitted default,

     0 packets, 0 bytes, 0% denied default,

  Totally 0 packets, 0 bytes, 0% permitted,

  Totally 0 packets, 0 bytes, 0% denied.

 

  Interface: Virtual-Template2:1

  User Name: tim

  In-bound Policy: acl 3001

  From 2000-04-30 18:41:05  to 2000-04-30 18:47:16

     0 packets, 0 bytes, 0% permitted,

     0 packets, 0 bytes, 0% denied,

     0 packets, 0 bytes, 0% permitted default,

     0 packets, 0 bytes, 0% denied default,

  Totally 0 packets, 0 bytes, 0% permitted,

  Totally 0 packets, 0 bytes, 0% denied.

表2-1        display ppp access-control interface显示信息描述表

字段

描述

Interface

PPP用户接入的VA接口

User Name

PPP用户名

In-bound Policy

为PPP用户创建的包过滤防火墙的ACL规则

From  xx to xx

防火墙生效的时间段

x packets, x bytes, x% permitted

匹配防火墙ACL规则通过的报文数、报文字节数、通过率

x packets, x bytes, x% denied

匹配防火墙ACL规则拒绝的报文数、报文字节数、拒绝率

x packets, x bytes, x% permitted default

未匹配防火墙ACL规则缺省通过的报文数、报文字节数、通过率

x packets, x bytes, x% denied default

未匹配防火墙ACL规则缺省拒绝的报文数、报文字节数、拒绝率

Totally x packets, x bytes, x% permitted

总通过的报文数、报文字节数、通过率

Totally x packets, x bytes, x% denied

总拒绝的报文数、报文字节数、拒绝率

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!