- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
10-L2TP命令
本章节下载: 10-L2TP命令 (199.31 KB)
1.1.4 display ppp access-control interface
1.1.5 interface virtual-template
1.1.18 ppp user accept-format imsi-sn split
1.1.19 ppp user attach-format imsi-sn split
1.1.21 ppp access-control enable
1.1.22 ppp access-control match-fragments
【命令】
allow l2tp virtual-template virtual-template-number remote remote-name [ domain domain-name ]
【视图】
L2TP组视图
【缺省级别】
2:系统级
【参数】
virtual-template virtual-template-number:指定用于创建新的VA(Virtual Access,虚拟访问)接口时所用的虚接口模板。其中,virtual-template-number为虚接口模板序号,取值范围为0~1023。
remote remote-name:指定发起连接请求的隧道对端。其中,remote-name表示隧道对端的名称,为1~30个字符的字符串,区分大小写。
domain domain-name:指定发起连接请求的用户域。其中,domain-name表示ISP域名,为1~30个字符的字符串,不区分大小写。
【描述】
allow l2tp命令用来指定接收呼叫的虚拟接口模板、隧道对端名称和域名。undo allow命令用来取消配置。
缺省情况下,禁止接受呼入。
需要注意的是:
· 在L2TP多实例应用中,必须配置参数domain-name。
· 使用L2TP组号1(缺省的L2TP组号)时,可以不指定隧道对端名。即在组1下进行配置时,本命令的格式为:allow l2tp virtual-template virtual-template-number [ remote remote-name ] [ domain domain-name ]。任何名字的对端都能发起隧道请求。
· 如果在L2TP组1的配置模式下,仍指定对端名称,则L2TP组1不作为缺省的L2TP组。
· 在Windows 2000 beta 2版本中,VPN连接的本端名称为空,则路由器收到的对端名称为空。为了接收这种不知名的对端发起的隧道请求连接,或者用于测试目的,可以设置一个缺省的L2TP组。
· 命令allow l2tp使用在LNS侧,如果配置了隧道对端名称,要确保隧道对端的名称和LAC侧配置的本端名称一致。
相关配置可参考命令l2tp-group。
【举例】
# 接受名称为aaa的对端(LAC)发起L2TP隧道连接请求,并根据virtual-template 1创建virtual-access接口。
<Sysname> system-view
[Sysname] l2tp-group 2
[Sysname-l2tp2] allow l2tp virtual-template 1 remote aaa
# 将L2TP组1作为缺省的L2TP组,接受任何对端发起的L2TP隧道连接请求,并根据virtual-template 1创建virtual-access接口。
<Sysname> system-view
[Sysname] l2tp-group 1
[Sysname-l2tp1] allow l2tp virtual-template 1
【命令】
display l2tp session [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display l2tp session命令用来显示当前L2TP会话的信息。
相关配置可参考命令display l2tp tunnel。
【举例】
# 显示当前L2TP会话信息。
<Sysname> display l2tp session
Total session = 1
LocalSID RemoteSID LocalTID
17922 12990 1
表1-1 display l2tp session命令显示信息描述表
|
字段 |
描述 |
|
Total session |
会话的数目 |
|
LocalSID |
本端唯一标识一个会话的数值 |
|
RemoteSID |
对端唯一标识一个会话的数值 |
|
LocalTID |
隧道的本端标识号 |
【命令】
display l2tp tunnel [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display l2tp tunnel命令用来显示当前L2TP隧道的信息。
该命令的输出信息,可以帮助用户确定当前所建立的L2TP隧道信息。
【举例】
# 显示当前L2TP隧道信息。
<Sysname> display l2tp tunnel
Total tunnel = 1
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
1 1 20.1.1.2 1701 1 lns
表1-2 display l2tp tunnel命令显示信息描述表
|
字段 |
描述 |
|
Total tunnel |
隧道的数目 |
|
LocalTID |
本端唯一标识一个隧道的数值 |
|
RemoteTID |
对端唯一标识一个隧道的数值 |
|
RemoteAddress |
对端的IP地址 |
|
Port |
对端的端口号 |
|
Sessions |
此隧道上的会话数目 |
|
RemoteName |
对端的名称 |
【命令】
display ppp access-control interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
interface-type interface-number:接口的类型和编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ppp access-control interface命令用来显示VT接口产生的VA接口动态防火墙的统计信息。
【举例】
# 查看指定虚拟接口模板2产生的VA接口动态防火墙的统计信息。
<Sysname> display ppp access-control interface virtual-template 2
Interface: Virtual-Template2:0
User Name: mike
In-bound Policy: acl 3000
From 2000-04-29 18:47:05 to 2000-04-29 18:47:16
0 packets, 0 bytes, 0% permitted,
0 packets, 0 bytes, 0% denied,
0 packets, 0 bytes, 0% permitted default,
0 packets, 0 bytes, 0% denied default,
Totally 0 packets, 0 bytes, 0% permitted,
Totally 0 packets, 0 bytes, 0% denied.
Interface: Virtual-Template2:1
User Name: tim
In-bound Policy: acl 3001
From 2000-04-30 18:41:05 to 2000-04-30 18:47:16
0 packets, 0 bytes, 0% permitted,
0 packets, 0 bytes, 0% denied,
0 packets, 0 bytes, 0% permitted default,
0 packets, 0 bytes, 0% denied default,
Totally 0 packets, 0 bytes, 0% permitted,
Totally 0 packets, 0 bytes, 0% denied.
表1-3 display ppp access-control interface显示信息描述表
|
字段 |
描述 |
|
Interface |
PPP用户接入的VA接口 |
|
User Name |
PPP用户名 |
|
In-bound Policy |
为PPP用户创建的包过滤防火墙的ACL规则 |
|
From xx to xx |
防火墙生效的时间段 |
|
x packets, x bytes, x% permitted |
匹配防火墙ACL规则通过的报文数、报文字节数、通过率 |
|
x packets, x bytes, x% denied |
匹配防火墙ACL规则拒绝的报文数、报文字节数、拒绝率 |
|
x packets, x bytes, x% permitted default |
未匹配防火墙ACL规则缺省通过的报文数、报文字节数、通过率 |
|
x packets, x bytes, x% denied default |
未匹配防火墙ACL规则缺省拒绝的报文数、报文字节数、拒绝率 |
|
Totally x packets, x bytes, x% permitted |
总通过的报文数、报文字节数、通过率 |
|
Totally x packets, x bytes, x% denied |
总拒绝的报文数、报文字节数、拒绝率 |
【命令】
interface virtual-template virtual-template-number
undo interface virtual-template virtual-template-number
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
virtual-template-number:虚拟模板接口的序号,取值范围为0~1023。
【描述】
interface virtual-template命令用来创建虚拟模板接口,并进入虚拟模板接口视图。undo interface virtual-template命令用来删除虚拟模板接口。
缺省情况下,系统没有创建虚拟模板接口。
虚拟模板接口主要用于配置设备在运行过程中动态创建的虚拟访问接口的工作参数,如MP捆绑逻辑接口和L2TP逻辑接口等。
相关配置可参考命令allow l2tp。
【举例】
# 创建虚拟模板接口1,并进入虚拟模板接口视图。
<Sysname> system-view
[Sysname] interface virtual-template 1
【命令】
l2tp enable
undo l2tp enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
l2tp enable命令用来启用L2TP功能。undo l2tp enable命令用来关闭L2TP功能。
缺省情况下,L2TP功能处于关闭状态。
只有启用该功能后其他相关配置才能生效。
相关配置可参考命令l2tp-group。
【举例】
# 启用L2TP功能。
<Sysname> system-view
[Sysname] l2tp enable
【命令】
l2tpmoreexam enable
undo l2tpmoreexam enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
l2tpmoreexam enable命令用来启用L2TP多实例功能。undo l2tpmoreexam enable命令用来关闭L2TP多实例功能。
缺省情况下,L2TP多实例功能处于关闭状态。
需要注意的是,本命令在LNS端配置。
相关配置可参考命令l2tp enable。
【举例】
# 在LNS端启用L2TP多实例功能。
<Sysname> system-view
[Sysname] l2tpmoreexam enable
【命令】
l2tp-auto-client enable
undo l2tp-auto-client enable
【视图】
虚拟模板接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
l2tp-auto-client enable命令用来触发LAC自动建立L2TP隧道。undo l2tp-auto-client enable命令用来拆除LAC自动建立的L2TP隧道。
缺省情况下,LAC没有建立L2TP隧道。
【举例】
# 配置触发LAC自动建立L2TP隧道。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] l2tp-auto-client enable
【命令】
l2tp-group group-number
undo l2tp-group group-number
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
group-number:L2TP组号,取值范围为1~1000。
【描述】
l2tp-group命令用来创建L2TP组,并进入L2TP组视图。undo l2tp-group命令用来删除L2TP组。
缺省情况下,没有创建任何L2TP组。
使用undo l2tp-group命令删除L2TP组后,该组的所有配置信息也将被删除。
相关配置可参考命令allow l2tp和start l2tp。
【举例】
# 创建L2TP组2,并进入L2TP组视图。
<Sysname> system-view
[Sysname] l2tp-group 2
[Sysname-l2tp2]
【命令】
mandatory-chap
undo mandatory-chap
【视图】
L2TP组视图
【缺省级别】
2:系统级
【参数】
无
【描述】
mandatory-chap命令用来强制LNS与用户端(Client)之间重新进行CHAP验证。undo mandatory-chap命令用来禁止CHAP的重新验证。
缺省情况下,系统不进行CHAP的重新验证。
LAC对用户端进行代理验证后,LNS对用户端再次进行验证,可以增加安全性。如果使用mandatory-chap命令,则对于由NAS初始化隧道连接的VPN用户端来说,会经过两次验证:一次是用户端在NAS端的验证,另一次是用户端在LNS端的验证。一些PPP用户端可能不支持进行第二次验证,这时,LNS端的CHAP验证会失败。
相关配置可参考命令mandatory-lcp。
【举例】
# 强制进行CHAP验证。
<Sysname> system-view
[Sysname] l2tp-group 1
[Sysname-l2tp1] mandatory-chap
【命令】
mandatory-lcp
undo mandatory-lcp
【视图】
L2TP组视图
【缺省级别】
2:系统级
【参数】
无
【描述】
mandatory-lcp命令用来强制LNS与用户端(Client)之间重新进行链路控制协议(Link Control Protocol)的协商。undo mandatory-lcp命令用来禁止LCP的重新协商。
缺省情况下,系统不重新进行LCP协商。
对于NAS-Initialized VPN的用户端,在一个PPP会话开始时,将先和NAS进行PPP协商。如果协商通过,则由NAS初始化隧道连接,并把与用户端协商收集到的信息传给LNS;LNS根据收到的代理验证信息判断用户是否合法。使用mandatory-lcp命令可以强制LNS与用户端重新进行LCP协商,忽略NAS的代理验证信息。如果一些PPP用户端不支持LCP的重新协商,则LCP重新协商过程会失败。
相关配置可参考命令mandatory-chap。
【举例】
# 强制进行LCP重新协商。
<Sysname> system-view
[Sysname] l2tp-group 1
【命令】
ppp lcp imsi accept
undo ppp lcp imsi accept
【视图】
虚拟模板接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ppp lcp imsi accept命令用来在Client上接受LNS侧发起的IMSI捆绑协商请求。undo ppp lcp imsi accept命令用来禁止接受IMSI捆绑协商请求。
缺省情况下,系统不接受LNS侧发起的IMSI捆绑协商请求。
【举例】
# 配置Client接受LNS侧发起的IMSI捆绑协商请求。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp lcp imsi accpet
【命令】
ppp lcp imsi request
undo ppp lcp imsi request
【视图】
虚拟模板接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ppp lcp imsi request命令用来在LNS侧发起的IMSI捆绑协商请求。undo ppp lcp imsi request命令用来禁止发起IMSI捆绑协商请求。
缺省情况下, LNS侧不发起的IMSI捆绑协商请求。
【举例】
#在LNS上配置发起IMSI捆绑协商请求。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp lcp imsi request
【命令】
ppp lcp imsi string imsi-info
undo ppp lcp imsi string
【视图】
虚拟模板接口视图
【缺省级别】
2:系统级
【参数】
string imsi-info:配置Client侧的IMSI信息。其中,imsi-info表示IMSI信息,为1~31个字符的字符串,区分大小写。
【描述】
ppp lcp imsi string命令用来配置Client侧的IMSI信息。undo ppp lcp imsi string命令用来删除Client侧的IMSI信息。
缺省情况下,IMSI信息可以从设备自动获取。
【举例】
#配置Client侧的IMSI信息为imsi1。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1]ppp lcp imsi string imsi1
【命令】
ppp lcp sn accept
undo ppp lcp sn accept
【视图】
虚拟模板接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ppp lcp sn accept命令用来在Client上接受LNS侧发起的SN捆绑协商请求。undo ppp lcp sn accept命令用来禁止接受SN捆绑协商请求。
缺省情况下,系统不接受LNS侧发起的SN捆绑协商请求。
【举例】
# 配置Client接受LNS侧发起的SN捆绑协商请求。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp lcp sn accpet
【命令】
ppp lcp sn request
undo ppp lcp sn request
【视图】
虚拟模板接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ppp lcp sn request命令用来在LNS侧发起的SN捆绑协商请求。undo ppp lcp sn request命令用来禁止发起SN捆绑协商请求。
缺省情况下,LNS侧不发起的SN捆绑协商请求。
【举例】
#在LNS上配置发起SN捆绑协商请求。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp lcp sn request
【命令】
ppp lcp sn string sn-info
undo ppp lcp sn string
【视图】
虚拟模板接口视图
【缺省级别】
2:系统级
【参数】
string sn-info:配置Client侧的SN信息。其中,sn-info表示SN信息,为1~31个字符的字符串,区分大小写。
【描述】
ppp lcp sn string命令用来配置Client侧的SN信息。undo ppp lcp sn string命令用来删除Client侧的SN信息。
缺省情况下,SN信息可以从设备自动获取。
【举例】
#配置Client侧的SN信息为sn1。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1]ppp lcp sn string sn1
【命令】
ppp user accept-format imsi-sn split splitchart
undo ppp user accept-format
【视图】
虚拟模板接口视图
【缺省级别】
2:系统级
【参数】
splitchart:IMSI/SN捆绑协商认证时拆分对端用户名使用的分隔符,长度为1个字符,可以为字母、数字或% # @等符号。
【描述】
ppp user accept -format imsi-sn split命令用来配置协商认证时拆分对端用户名使用的分隔符,例如splitchart为@,则接收到用户名imsiinfo@sninfo@username后,会将对端用户名拆分为imsiinfo、sninfo、username。undo ppp user accept-format命令用来恢复到缺省情况。
缺省情况下,未配置协商认证时拆分对端用户名使用的分隔符。
如果协商认证时没有协商到对端的IMSI/SN信息,则使用拆分出来的IMSI/SN 信息。
【举例】
#配置协商认证时拆分对端用户名使用的分隔符为为#。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1]ppp user accept-format imsi-sn split #
【命令】
ppp user attach-format imsi-sn split splitchart
undo ppp user attach-format
【视图】
虚拟模板接口视图
【缺省级别】
2:系统级
【参数】
split splitchart :配置IMSI/SN捆绑协商认证时用户名发送使用的分隔符。其中,splitchart表示分隔符,长度为1个字符,可以为字母、数值或% # @等符号。
【描述】
ppp user attach-format imsi-sn split命令用来配置IMSI/SN捆绑协商认证时用户名的发送格式,例如设置splitchart为@,则以如下格式发送用户名imsiinfo@sninfo@username。undo ppp user attach-format命令用来删除用户名的发送格式。
缺省情况下,未配置协商认证时用户名的发送格式。
【举例】
#配置用户名的发送格式为imsiinfo#sninfo#username。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1]ppp user attach-format imsi-sn split #
【命令】
ppp user replace { imsi | sn }
undo ppp user replace imsi
【视图】
虚拟模板接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ppp user replace 命令用来配置使用IMSI/SN信息代替用户名进行IMSI/SN捆绑协商认证。undo ppp user replace imsi命令用来取消使用IMSI/SN信息代替用户名进行IMSI/SN捆绑协商认证。
缺省情况下,使用用户名进行IMSI/SN协商认证。
【举例】
#配置使用IMSI信息代替用户名进行IMSI捆绑协商认证。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp user replace imsi
【命令】
ppp access-control enable
undo ppp access-control enable
【视图】
虚拟模板接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
ppp access-control enable用来开启基于L2TP接入的EAD功能,即基于用户的报文过滤功能。 undo ppp access-control enable命令用来关闭基于L2TP接入的EAD功能。
缺省情况下,基于L2TP接入的EAD功能处于关闭状态。
需要注意的是:
· 对于VT下已经存在的VA不起作用,只对新创建的VA起作用。
· VT作为L2TP的LNS的接入接口时,可能需要根据不同用户使用不同的报文过滤策略。
· EAD功能开启后,可以透传CAMS/iMC报文给iNode设备,通知iNode设备一些EAD服务器的信息,例如IP地址等。
【举例】
# 开启VT接口的EAD功能。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] ppp access-control enable
【命令】
ppp access-control match-fragments { exactly | normally }
undo ppp access-control match-fragments
【视图】
虚拟模板接口视图
【缺省级别】
2:系统级
【参数】
exactly:配置VT接口下所有VA包过滤防火墙的分片匹配模式为精确模式。
normally:配置VT接口下所有VA包过滤防火墙的分片匹配模式为标准模式。
【描述】
ppp access-control match-fragments命令用来配置VT接口下所有VA包过滤防火墙的分片匹配模式。undo ppp access-control match-fragments命令用来恢复缺省情况。
缺省情况下,VT接口下所有VA包过滤防火墙的分片匹配模式为标准模式。
对于首片分片报文,无论配置了标准模式还是精确模式,都会匹配所有的ACL过滤规则(包含三层、四层及时间段、vpn-instance等特殊信息)。
对于非首片分片报文:
· 如果配置了标准模式,则只匹配三层信息及时间段、vpn-instance等特殊信息,忽略四层信息。当在高级ACL的规则中配置了四层过滤规则,而在接口上使用标准匹配模式时,四层过滤规则不生效。
· 如果配置了精确模式,则对ACL的所有过滤规则(包含三层、四层及时间段、vpn-instance等特殊信息)都进行匹配。
需要注意的是:
· 利用包含四层匹配规则的高级ACL过滤分片报文时,必须首先通过配置firewall fragments-inspect命令打开分片报文检测开关,记录首片分片报文的四层信息以获得后续分片的完整的匹配信息,然后在接口上再通过精确匹配ACL的全部规则来过滤分片报文。
· 对于VT下已经存在的VA不起作用,只对新创建的VA起作用。
【举例】
# 配置VT接口下所有VA包过滤防火墙的分片匹配模式为精确模式。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] ppp access-control match-fragments exactly
【命令】
reset l2tp tunnel { id tunnel-id | name remote-name }
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
id tunnel-id:断开指定本端标识的隧道连接。其中,tunnel-id表示隧道本端的标识号。
name remote-name:断开指定对端名称的隧道连接。其中,remote-name表示隧道对端的名称,为1~30个字符的字符串,区分大小写。
【描述】
reset l2tp tunnel命令用来断开指定的隧道连接,同时断开隧道内的所有会话连接。
需要注意的是:
· 强制断开一个隧道连接后,当对端用户再次呼入时,隧道可以重新建立。
· 通过指定隧道的对端名称来确定需要断开的隧道连接时,如果没有符合条件的隧道连接存在,则对当前的隧道连接没有影响;如果有多个符合条件的隧道连接存在(同一个名称,不同IP地址),则断开所有符合条件的隧道连接。
· 指定id时,只断开对应的隧道连接。
相关配置可参考命令display l2tp tunnel。
MSR系列路由器各款型对于本节所描述的命令及参数的支持情况有所不同,详细差异信息如下:
|
型号 |
命令 |
参数 |
描述 |
|
MSR800 |
reset l2tp tunnel |
tunnel-id |
取值范围是1~256 |
|
MSR 900 |
取值范围是1~256 |
||
|
MSR900-E |
取值范围是1~256 |
||
|
MSR 930 |
取值范围是1~256 |
||
|
MSR 20-1X |
取值范围是1~256 |
||
|
MSR 20 |
取值范围是1~256 |
||
|
MSR 30 |
取值范围是1~512 |
||
|
MSR 50 |
MPUF取值范围是1~1024 MPU-G2取值范围是1~4096 |
||
|
MSR 2600 |
取值范围是1~256 |
||
|
MSR3600-51F |
取值范围是1~512 |
【举例】
# 断开对端名称为aaa的Tunnel连接。
<Sysname> reset l2tp tunnel name aaa
【命令】
start l2tp { ip ip-address }&<1-5> { domain domain-name | fullusername user-name }
undo start
【视图】
L2TP组视图
【缺省级别】
2:系统级
【参数】
{ ip ip-address }&<1-5>:指定隧道对端(LNS)的IP地址。其中,ip-address表示LNS的IP地址,&<1-5>表示前面的参数最多可以输入5次。
domain domain-name:指定触发连接请求的用户域。其中,domain-name表示用户域名,为1~30个字符的字符串,不区分大小写。
fullusername user-name:指定触发连接请求的用户全名。其中,user-name表示用户全名,为1~32个字符的字符串,区分大小写。
【描述】
start l2tp命令用来配置本端作为L2TP LAC端时发起呼叫的触发条件。undo start命令用来删除配置的触发条件。
需要注意的是:
· 此命令在LAC端使用。使用此命令可以指定LNS的IP地址,并支持多种连接请求触发条件。
· 可以根据用户域名来发起建立隧道的连接请求。比如用户所在公司的域名为example.com,则可以指定包含example.com域名的用户为VPN用户。
· 可以直接通过用户全名来指定该用户为VPN用户。如果发现是VPN用户,则本端(LAC)按照LNS配置的先后顺序依次向每个LNS发送建立L2TP隧道的连接请求,接收到某个LNS的接受应答后,该LNS就作为隧道的对端;否则LAC向下一个LNS发起隧道连接请求。
【举例】
# 根据域名example.com来判断VPN用户,对应的总部LNS的IP地址为202.1.1.1。
<Sysname> system-view
[Sysname] l2tp-group 1
[Sysname-l2tp1] start l2tp ip 202.1.1.1 domain example.com
【命令】
tunnel authentication
undo tunnel authentication
【视图】
L2TP组视图
【缺省级别】
2:系统级
【参数】
无
【描述】
tunnel authentication命令用来启用L2TP的隧道验证功能。undo tunnel authentication命令用来取消L2TP隧道验证功能。
缺省情况下,L2TP隧道进行验证功能处于开启状态。
一般情况下,为了安全起见,隧道两端都需要对对方进行验证。如果为了进行网络的连通性测试或者是接收不知名对端发起的连接,可以不进行隧道验证。
【举例】
# 取消L2TP隧道验证功能。
<Sysname> system-view
[Sysname] l2tp-group 1
[Sysname-l2tp1] undo tunnel authentication
【命令】
tunnel avp-hidden
undo tunnel avp-hidden
【视图】
L2TP组视图
【缺省级别】
2:系统级
【参数】
无
【描述】
tunnel avp-hidden命令用来配置隧道采用隐藏方式传输AVP数据。undo tunnel avp-hidden命令用来恢复缺省情况。
缺省情况下,隧道采用明文方式传输AVP数据。
需要注意的是,该命令配置生效的条件是配置在LAC端并且已经使能了隧道验证。
【举例】
# 配置AVP数据采用隐藏方式传输。
<Sysname> system-view
[Sysname] l2tp-group 1
[Sysname-l2tp1] tunnel avp-hidden
【命令】
tunnel flow-control
undo tunnel flow-control
【视图】
L2TP组视图
【缺省级别】
2:系统级
【参数】
无
【描述】
tunnel flow-control命令用来开启L2TP隧道流控功能。undo tunnel flow-control命令用来关闭隧道流控功能。
缺省情况下,L2TP隧道流控功能处于关闭状态。
【举例】
# 开启L2TP隧道流控功能。
<Sysname> system-view
[Sysname] l2tp-group 1
[Sysname-l2tp1] tunnel flow-control
【命令】
tunnel name name
undo tunnel name
【视图】
L2TP组视图
【缺省级别】
2:系统级
【参数】
name:标识隧道本端的名称,为1~30个字符的字符串,区分大小写。
【描述】
tunnel name命令用来配置隧道本端的名称。undo tunnel name命令用来恢复缺省情况。
缺省情况下,隧道本端的名称为系统的名称。
当创建一个L2TP组时,本端名称将被初始化成系统的名称。
相关配置可参考“基础配置命令参考/设备管理”中的命令sysname。
【举例】
# 配置隧道本端名称为itsme。
<Sysname> system-view
[Sysname] l2tp-group 1
[Sysname-l2tp1] tunnel name itsme
【命令】
tunnel password { cipher | simple } password
undo tunnel password
【视图】
L2TP组视图
【缺省级别】
2:系统级
【参数】
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥。
password:标识隧道验证时使用的密钥,区分大小写。如果是cipher方式,则password为1~53个字符的密文字符串;如果是simple方式,则password为1~16个字符的明文字符串。
以明文或密文形式设置的密钥,均以密文的方式保存在配置文件中。
【描述】
tunnel password命令用来配置隧道验证时的密钥。undo tunnel password命令用来删除隧道验证的密钥。
缺省情况下,系统的隧道验证密钥为空。
【举例】
# 以明文方式配置隧道验证的密钥为yougotit。
<Sysname> system-view
[Sysname] l2tp-group 1
[Sysname-l2tp1] tunnel password simple yougotit
【命令】
tunnel timer hello hello-interval
undo tunnel timer hello
【视图】
L2TP组视图
【缺省级别】
2:系统级
【参数】
hello-interval:LAC或LNS在没有报文接收时发送Hello报文的时间间隔,取值范围为60~1000,单位为秒。
【描述】
tunnel timer hello命令用来配置隧道中Hello报文发送时间间隔。undo tunnel timer hello命令用来恢复缺省情况。
缺省情况下,隧道中Hello报文发送时间间隔为60秒。
在LNS和LAC侧,可以分别配置不同的Hello报文时间间隔。
【举例】
# 配置隧道中Hello报文的发送时间间隔为99秒。
<Sysname> system-view
[Sysname] l2tp-group 1
[Sysname-l2tp1] tunnel timer hello 99
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
