国家 / 地区

H3C MSR 系列路由器 Web配置指导(V5)-R2311-V1.06

25-L2TP

本章节下载  (950.02 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Configure/User_Manual/H3C_MSR_Web_(V5)-R2311-V1.06/201212/767944_30005_0.htm

25-L2TP


1 L2TP

Web页面提供了L2TP隧道LNS端的配置功能,具体如下:

·              启用L2TP功能

·              配置L2TP用户组

·              查看L2TP隧道信息

1.1  概述

VPDN(Virtual Private Dial-up Network,虚拟专用拨号网络)是指利用公共网络(如ISDN或PSTN)的拨号功能接入公共网络,实现虚拟专用网,从而为企业、小型ISP、移动办公人员等提供接入服务。即,VPDN为远端用户与私有企业网之间提供了一种经济而有效的点到点连接方式。

L2TP(Layer 2 Tunneling Protocol,二层隧道协议)是目前使用最广泛的VPDN隧道协议。使用L2TP协议构建的VPDN应用的典型组网如下图所示。

图1-1 应用L2TP构建的VPDN服务

 

在L2TP构建的VPDN中,网络组件包括以下三个部分:

·              远端系统:要接入VPDN网络的远地用户和远地分支机构,通常是一个拨号用户的主机或私有网络的一台路由设备。

·              LAC(L2TP Access Concentrator,L2TP访问集中器):附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备,通常是一个当地ISP的NAS(Network Access Server,网络接入服务器),主要用于为PPP类型的用户提供接入服务。LAC位于LNS和远端系统之间,用于在LNS和远端系统之间传递信息包。它把从远端系统收到的信息包按照L2TP协议进行封装并送往LNS,同时也将从LNS收到的信息包进行解封装并送往远端系统。LAC与远端系统之间采用本地连接或PPP链路,VPDN应用中通常为PPP链路。

·              LNS(L2TP Network Server,L2TP网络服务器):既是PPP端系统,又是L2TP协议的服务器端,通常作为一个企业内部网的边缘设备。LNS作为L2TP隧道的另一侧端点,是LAC的对端设备,是LAC进行隧道传输的PPP会话的逻辑终止端点。通过在公网中建立L2TP隧道,将远端系统的PPP连接的另一端由原来的LAC在逻辑上延伸到了企业网内部端的LNS。

说明

关于L2TP协议的详细介绍请参见《H3C MSR系列路由器 配置指导(V5)》,“二层技术-广域网接入配置指导”中的“L2TP”。

 

1.2  启用L2TP功能

(1)      在导航栏中选择“VPN > L2TP > L2TP配置”,进入如下图所示的页面。

(2)      在页面的上半部分选中“启用L2TP功能”前的复选框。

(3)      单击<确定>按钮完成操作。

图1-2 L2TP配置

 

1.3  新建L2TP用户组

(1)      在导航栏中选择“VPN > L2TP> L2TP配置”,进入如图1-2所示的页面。

(2)      在页面下半部分单击<新建>按钮,进入新建L2TP用户组的配置页面,如下图所示。

图1-3 新建L2TP用户组

 

(3)      配置L2TP用户组的信息,详细配置如下表所示。

(4)      单击<确定>按钮完成操作。

表1-1 新建L2TP用户组的详细配置

配置项

说明

L2TP用户组名称

设置L2TP用户组的名称

对端隧道名称

设置对端的隧道名称

本端隧道名称

设置本端的隧道名称

隧道验证

设置是否在该组中启用L2TP隧道验证功能,当启用隧道验证时需要设置隧道验证密码

隧道验证请求可由LAC或LNS任何一侧发起。只要有一端启用了隧道验证,则只有在对端也启用了隧道验证,两端密码完全一致且不为空的情况下,隧道才能建立;否则本端将自动断开隧道连接。若隧道两端都禁止了隧道验证,隧道验证的密码一致与否将不起作用

提示

·       为了保证隧道安全,建议用户最好不要禁用隧道验证功能。如果为了进行网络连通性测试或者接收不知名对端发起的连接,则也可不进行隧道验证

·       如果要修改隧道验证密码,请在隧道完全拆除后进行,否则修改的密码不生效

隧道验证密码

PPP认证配置

PPP认证方式

设置本端对PPP用户进行认证的认证方式

认证方法可以选择PAP或CHAP,选择空表示不进行认证

ISP域名

设置用户认证采用的ISP域的名称

·       单击<新建>按钮,进入如图1-4所示的新建ISP域的页面,详细配置如表1-2所示

·       选择一个ISP域,单击<修改>按钮,进入修改该ISP域的页面,详细配置参见表1-2

·       选择一个ISP域,单击<删除>按钮,将该ISP域删除

如果设置了ISP域,则使用指定域进行认证,地址分配必须使用该域下配置的用户地址。如果没有设置ISP域,则会判断用户名中是否带有域名信息。如果带有域名信息,则以该域名为准;如果不带域名信息,则使用系统缺省的域(默认为system)

PPP地址配置

PPP Server地址/掩码

设置本端的IP地址和掩码

用户地址

设置给对端分配地址所用的地址池或直接给对端分配指定的IP地址

若在PPP认证配置中指定了ISP域名,则下拉框中为该ISP域下的地址池

·       单击<新建>按钮,进入如图1-5所示的新建地址池的页面,详细配置如表1-3所示

·       选择一个地址池,单击<修改>按钮,进入修改该地址池的页面,详细配置参见表1-3

·       选择一个地址池,单击<删除>按钮,将该地址池删除

强制分配地址

设置是否强制对端使用本端为其分配的IP地址,即不允许对端使用自行配置的IP地址

高级

Hello报文间隔

设置发送Hello报文的时间间隔

为了检测LAC和LNS之间隧道的连通性,LAC和LNS会定期向对端发送Hello报文,接收方接收到Hello报文后会进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时,重复发送,如果重复发送3次仍没有收到对端的响应信息则认为L2TP隧道已经断开,需要重新建立隧道连接

LNS端可以配置与LAC端不同的Hello报文间隔

AVP数据隐藏

设置是否采用隐藏方式传输AVP(Attribute Value Pair,属性值对)数据

L2TP协议的一些参数是通过AVP数据来传输的,如果用户对这些数据的安全性要求高,可以将AVP数据的传输方式配置成为隐藏传输,即对AVP数据进行加密

该配置项对于LNS端无效

流量控制

设置是否启用L2TP隧道流量控制功能

L2TP隧道的流量控制功能应用在数据报文的接收与发送过程中。启用流量控制功能后,会对接收到的乱序报文进行缓存和调整

强制本端CHAP认证

设置LNS侧的用户验证

当LAC对用户进行认证后,为了增强安全性,LNS可以再次对用户进行认证,只有两次认证全部成功后,L2TP隧道才能建立。L2TP组网中,LNS侧的用户认证方式有三种:

·       强制本端CHAP认证:启用此功能后,对于由NAS初始化(NAS-Initiated)隧道连接的VPN用户端来说,会经过两次认证。一次是用户端在接入服务器端的认证,另一次是用户端在LNS端的CHAP认证

·       强制LCP重协商:对由NAS初始化隧道连接的PPP用户端,在PPP会话开始时,用户先和NAS进行PPP协商。若协商通过,则由NAS初始化L2TP隧道连接,并将用户信息传递给LNS,由LNS根据收到的代理验证信息,判断用户是否合法。但在某些特定的情况下(如在LNS侧也要进行认证与计费),需要强制LNS与用户间重新进行LCP协商,此时将忽略NAS侧的代理认证信息

·       代理认证:如果强制本端CHAP认证和强制LCP重协商功能都不启用,则LNS对用户进行的是代理认证。在这种情况下,LAC将它从用户得到的所有认证信息及LAC端本身配置的认证方式发送给LNS

提示

·       三种认证方式中,强制LCP重协商的优先级最高,如果在LNS上同时启用强制LCP重协商和强制本端CHAP认证,L2TP将使用强制LCP重协商,并采用L2TP用户组中配置的PPP认证方式

·       一些PPP用户端可能不支持进行第二次认证,这时,本端的CHAP认证会失败

·       启用强制LCP重协商时,如果L2TP用户组中配置的PPP认证方式为不进行认证,则LNS将不对接入用户进行二次认证(这时用户只在LAC侧接受一次认证),直接将全局地址池的地址分配给PPP用户端

·       LNS侧使用代理验证,且LAC发送给LNS的用户验证信息合法时,如果L2TP用户组配置的验证方式为PAP,则代理验证成功,允许建立会话;如果L2TP用户组配置的验证方式为CHAP,而LAC端配置的验证方式为PAP,则由于LNS要求的CHAP验证级别高于LAC能够提供的PAP验证,代理验证失败,不允许建立会话

强制LCP重协商

 

图1-4 新建ISP

 

表1-2 新建ISP域的详细配置

配置项

说明

ISP域名称

设置ISP域的名称

PPP认证方案

主用方案

设置PPP用户的主用认证方案

·       HWTACACS:表示采用HWTACACS认证,使用的HWTACACS方案名称为system

·       Local:表示采用本地认证

·       None:表示不认证,即对用户非常信任,不进行合法性检查

·       RADIUS:表示采用RADIUS认证,使用的RADIUS方案名称固定system

·       选择空表示采用ISP域缺省的认证方案,缺省认证方案默认为Local

备选方案

当主用方案选择HWTACACS或RADIUS时,设置是否启用本地认证作为备选认证方案

PPP授权方案

主用方案

设置PPP用户的主用授权方案

·       HWTACACS:表示采用HWTACACS授权,使用的HWTACACS方案名称为system

·       Local:表示采用本地授权

·       None:表示接入设备不请求授权信息,不对用户可以使用的操作以及用户允许使用的网络服务进行授权,认证通过的PPP用户可直接访问网络

·       RADIUS:表示采用RADIUS授权,使用的RADIUS方案名称为system

·       选择空表示采用ISP域缺省的授权方案,缺省授权方案默认为Local

备选方案

当主用方案选择HWTACACS或RADIUS时,设置是否启用本地授权作为备选授权方案

PPP计费方案

计费

设置是否启用计费可选功能

在对用户实施计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若启用了计费可选功能,则用户可以继续使用网络资源,且系统不再为其向服务器发送实时计费更新报文,否则用户连接将被切断

主用方案

设置PPP用户的主用计费方案

·       HWTACACS:表示采用HWTACACS计费,使用的HWTACACS方案名称为system

·       Local:表示采用本地计费

·       None:表示不计费

·       RADIUS:表示采用RADIUS计费,使用的RADIUS方案名称为system

·       选择空表示采用ISP域缺省的计费方案,缺省计费方案默认为Local

备选方案

当主用方案选择HWTACACS或RADIUS时,设置是否启用本地计费作为备选计费方案

最大用户数

设置ISP域可容纳接入用户数的最大值,不设置时表示不限制ISP域可容纳的接入用户数

由于接入用户之间会发生资源的争用,因此适当地设置最大用户数可以使属于该ISP域的用户获得可靠的性能保障

 

图1-5 新建地址池

 

表1-3 新建地址池的详细配置

配置项

说明

域名

设置要配置的地址池所在的ISP域

地址池编号

设置地址池的编号

若指定地址池编号为1,则该地址池的名称为pool1

开始地址

设置地址池的开始IP地址和结束IP地址

开始和结束地址之间的地址数不能超过1024;如果只指定开始地址,则表示该地址池中只有开始地址一个IP地址

结束地址

 

1.4  查看L2TP隧道信息

(1)      在导航栏中选择“VPN > L2TP > 隧道信息”,进入L2TP隧道信息的显示页面,如下图所示。

图1-6 隧道信息

 

(2)      查看L2TP隧道的信息,详细说明如下表所示。

表1-4 L2TP隧道信息的详细说明

标题项

说明

本端隧道编号

本端唯一标识一个隧道的数值

对端隧道编号

对端唯一标识一个隧道的数值

对端隧道端口

对端隧道的端口

对端隧道IP地址

对端隧道的IP地址

会话数目

该隧道上的会话数目

对端隧道名称

对端隧道的名称

 

1.5  L2TP典型配置举例

1.5.1  Client-Initiated VPN典型配置举例

1. 组网需求

VPN用户访问公司总部过程如下:

(1)      用户首先连接Internet,之后直接由用户向LNS发起Tunnel连接的请求。

(2)      在LNS接受此连接请求之后,VPN用户与LNS之间就建立了一条虚拟的L2TP tunnel。

(3)      用户与公司总部间的通信都通过VPN用户与LNS之间的隧道进行传输。

图1-7 Client-Initiated VPN配置组网图

 

2. 配置用户侧

在用户侧主机上利用Windows系统创建虚拟专用网络连接,或安装L2TP的客户端软件,如WinVPN Client,通过拨号方式连接到Internet。用户侧主机的IP地址为2.1.1.1。配置路由,使得用户侧主机与LNS(IP地址为1.1.2.2)之间路由可达。

在用户侧主机上进行如下配置(设置的过程与相应的客户端软件有关,以下为设置的内容):

·              在用户侧设置VPN用户名为vpdnuser,密码为Hello。

·              将LNS的IP地址设为安全网关的Internet接口地址(本例中LNS侧与隧道相连接的以太网接口的IP地址为1.1.2.2)。

·              修改连接属性,将采用的协议设置为L2TP,将加密属性设为自定义,并选择CHAP验证。

3. 配置LNS侧

说明

在进行下面的配置前,需先配置接口的IP地址,并保证LNS与用户侧主机之间路由可达。

 

(1)      配置本地用户(用户名为vpdnuser,密码为Hello,服务类型为PPP)。

步骤1:在导航栏中选择“系统管理 > 用户管理”。

步骤2:单击“创建用户”页签。

步骤3:进行如下配置,如下图所示。

·              输入用户名为“vpdnuser”。

·              选择访问等级为“Configure”。

·              输入密码为“Hello”。

·              输入确认密码为“Hello”。

·              选择服务类型为“PPP服务”。

步骤4:点击<应用>按钮完成操作。

图1-8 配置本地用户

 

(2)      启用L2TP功能。

步骤1:在导航栏中选择“VPN > L2TP > L2TP配置”。

步骤2:如下图所示,选中“启用L2TP功能”前的复选框。

步骤3:单击<确定>按钮完成操作。

图1-9 启用L2TP功能

 

(3)      修改ISP域system的PPP认证方案。

步骤1:在L2TP配置页面单击<新建>按钮,进入新建L2TP用户组的页面。

步骤2:选择PPP认证方式为“CHAP”。

步骤3:选择ISP域名为“system”(缺省的ISP域)。

步骤4:单击“ISP域”下拉框后的<修改>按钮,进入修改ISP域的页面。

步骤5:如下图所示,选择PPP认证方案的主用方案服务器类型为“Local”。

步骤6:单击<确定>按钮完成ISP域的配置,返回到新建L2TP用户组的页面。

图1-10 配置对VPN用户采用本地认证

 

(4)      配置为用户侧分配地址所用的地址池。

步骤1:在新建L2TP用户组的页面单击“用户地址”下拉框后的<新建>按钮。

步骤2:在新建用户地址的页面进行如下配置,如下图所示。

·              选择域名为“system”。

·              输入地址池编号为“1”。

·              输入开始地址为“192.168.0.2”。

·              输入结束地址为“192.168.0.100”。

步骤3:单击<确定>按钮完成地址池的配置,返回到新建L2TP用户组的页面。

图1-11 配置为用户侧分配地址所用的地址池

 

(5)      新建L2TP用户组。

步骤1:继续在新建L2TP用户组的页面进行如下配置,如下图所示。

·              输入L2TP用户组名称为“test”。

·              输入对端隧道名称为“vpdnuser”。

·              输入本端隧道名称为“LNS”。

·              选择隧道验证为“禁用”。

·              输入PPP Server地址/掩码为“192.168.0.1/255.255.255.0”。

·              选择用户地址为“pool1”。

·              选择强制地址分配为“启用”。

步骤2:单击<确定>按钮完成操作。

图1-12 新建L2TP用户组

 

4. 配置结果验证

·              在用户侧主机上开启L2TP连接。连接成功后,用户主机获取到IP地址192.168.0.2,并可以ping通LNS的私网地址192.168.0.1。

·              在LNS的导航栏中选择“VPN > L2TP > 隧道信息”,可以查看到建立的L2TP隧道的信息,如下图所示。

图1-13 L2TP隧道信息

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!