• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

16-BRAS业务命令参考

目录

09-L2TP命令

本章节下载 09-L2TP命令  (289.70 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR8800-F/Command/Command_Manual/H3C_SR8800-F_CR-R7751PXX-6W102/16/201903/1160172_30005_0.htm

09-L2TP命令


1 L2TP

提示

目前仅CSPEX单板支持配置本功能。

 

1.1  L2TP配置命令

1.1.1  allow l2tp

allow l2tp命令用来配置LNS接受来自LAC的L2TP隧道建立请求,并建立L2TP隧道时使用的虚拟模板接口。

undo allow命令用来禁止和LAC上指定域名的用户或不带域名的用户建立会话。

【命令】

L2TP组1视图下:

allow l2tp virtual-template virtual-template-number [ local ip-address | remote remote-name ] [ domain domain-name ]

undo allow [ domain domain-name ]

非L2TP组1视图下:

allow l2tp virtual-template virtual-template-number { local ip-address | remote remote-name } [ domain domain-name ]

undo allow [ domain domain-name ]

【缺省情况】

LNS不接受任何LAC的L2TP隧道建立请求。

【视图】

L2TP组视图

【缺省用户角色】

network-admin

【参数】

virtual-template virtual-template-number:指定虚拟模板接口。其中,virtual-template-number为虚拟模板接口序号,取值范围为0~1023。LNS根据虚拟模板接口下配置的参数,动态地创建PPP会话。不同的PPP会话用来处理不同L2TP会话上的数据。

local ip-address:指定隧道本端绑定的IP地址。

remote remote-name:指定发起L2TP隧道建立请求的对端(即LAC)。其中,remote-name表示隧道对端的名称,为1~31个字符的字符串,区分大小写。

domain domain-name:指定允许建立L2TP会话的用户域名,domain-name表示用户域名,为1~255个字符的字符串,不区分大小写。用户所属ISP域信息是通过L2TP会话建立请求中ICCN(Incoming-Call-Connected)报文携带的PPP代理信息传递给LNS端的。NAS-Initiated模式下ICCN报文携带PPP代理信息,该模式下:LNS端在收到LAC端的L2TP会话建立请求时会检查隧道所在L2TP组下是否存在某allow l2tp命令中指定的domain-name与用户所属ISP域相同,如存在则使用该命令的配置建立L2TP会话;如不存在,则继续检查L2TP组下是否存在未指定domainallow l2tp命令,如存在则使用该命令的配置建立L2TP会话,否则不允许建立L2TP会话。

Client-Initiated模式和LAC-Auto-Initiated模式下ICCN报文不携带PPP代理信息,故LNS端无法获取用户所属ISP域信息,这两种模式下:LNS端在收到LAC端的L2TP会话建立请求时会检查L2TP组下是否存在未指定domainallow l2tp命令,如存在则使用该命令的配置建立L2TP会话,否则不允许建立L2TP会话。

【使用指导】

本命令需要在LNS设备上执行,用来指定LNS可以接受来自哪些LAC的L2TP隧道建立请求。

在L2TP组1下:

·     如果指定了local当本端接收到对端的隧道建立请求时,将检查隧道请求报文中的目的端IP地址是否与本参数指定的IP地址相同。当且仅当二者相同时接受对端的隧道建立请求,否则拒绝对端的隧道建立请求。指定隧道本端绑定的IP地址时,需要确保在LAC端指定的LNS端IP地址中至少有一个与本端绑定的IP地址相同。

·     如果指定了remote当本端接收到对端的隧道建立请求时,将检查隧道请求报文中的LAC端名称是否与本参数指定隧道对端名称相同。当且仅当二者相同时接受对端的隧道建立请求,否则拒绝对端的隧道建立请求。指定隧道对端名称时,需要确保指定的隧道对端名称和LAC端配置的隧道本端名称一致。

·     如果未指定localremote中任意一个,此时的L2TP组1又称为缺省L2TP组,这种情况下LNS端可以接受任何隧道对端的隧道建立请求。

非L2TP组1下

·     如果对端发送的隧道请求报文中的目的端IP地址或LAC端名称与本端某个非L2TP组1下配置的本端绑定的IP地址或者对端名称匹配,则LNS端采用该L2TP组下配置的隧道参数(如隧道验证功能)与该对端建立L2TP隧道。

·     如果对端发送的隧道请求报文中的目的端IP地址和LAC端名称未与本端任何非L2TP组1下配置的本端绑定的IP地址或者对端名称匹配,此时,若存在缺省L2TP组,则LNS端采用缺省L2TP组下配置的隧道参数与该对端建立的L2TP隧道,若不存在缺省L2TP组,则LNS端无法与该对端建立L2TP隧道。

undo allow命令不指定domain参数时,表示禁止和LAC上不带域名的用户建立会话;指定domain参数时,表示禁止和LAC上指定域名的用户建立会话。

如下情况下,建议用户在LNS上配置缺省L2TP组:

·     某些LAC(如采用Windows 2000 beta 2版本的主机)发送的L2TP隧道建立请求中本端名称为空。为了接受这种不知名的对端发起的隧道建立请求,LNS上需要配置缺省L2TP组。

·     LNS与多个LAC建立的L2TP隧道参数相同时,可以通过缺省L2TP组简化配置。

仅LNS模式的L2TP组下支持执行本命令,并且在同一个L2TP组下:

·     如果执行的第一条本命令中指定了remote,则后续执行的所有本命令必须都指定remote并且remote-name必须和执行的第一条命令中指定的remote-name相同。

·     如果执行的第一条本命令中指定了local,则后续执行的所有本命令必须都指定local并且ip-address必须和执行的第一条命令中指定的ip-address相同。

·     如果执行的第一条本命令中未指定remote或者local,则后续执行的所有本命令不能指定remote或者local

·     多次执行不指定domain参数的本命令时,最后一次执行的命令生效。

·     多次执行指定不同domain-name的本命令,多次执行的命令均生效。

·     多次执行指定相同domain参数的本命令时,最后一次执行的命令生效。

【举例】

# 配置LNS接受名称为aaa的对端(LAC)发起的L2TP隧道建立请求,并指定建立L2TP隧道时使用的虚拟模板接口为Virtual-Template2。对于其他名称的对端,LNS接受L2TP隧道建立请求,L2TP隧道建立时使用的虚拟模板接口为Virtual-Template1。

<Sysname> system-view

[Sysname] l2tp-group 1 mode lns

[Sysname-l2tp1] allow l2tp virtual-template 1

[Sysname-l2tp1] quit

[Sysname] l2tp-group 2 mode lns

[Sysname-l2tp2] allow l2tp virtual-template 2 remote aaa

【相关命令】

·     lns-ip

·     tunnel name

1.1.2  bandwidth

bandwidth命令用来配置接口的期望带宽。

undo bandwidth命令用来恢复缺省情况。

【命令】

bandwidth bandwidth-value

undo bandwidth

【缺省情况】

接口的期望带宽=接口的波特率÷1000(kbps)。

【视图】

虚拟PPP接口视图

【缺省用户角色】

network-admin

【参数】

bandwidth-value:表示接口的期望带宽,取值范围为1~400000000,单位为kbps。

【使用指导】

接口的期望带宽会影响链路的开销值。具体介绍请参见“三层技术-IP路由配置指导”中的“OSPF”、“OSPFv3”和“IS-IS”。

【举例】

# 设置虚拟PPP接口10的期望带宽为100kbps。

<Sysname> system-view

[Sysname] interface virtual-ppp 10

[Sysname-Virtual-PPP10] bandwidth 100

1.1.3  default

default命令用来恢复虚拟PPP接口的缺省配置。

【命令】

default

【视图】

虚拟PPP接口视图

【缺省用户角色】

network-admin

【使用指导】

注意

接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行该命令前,完全了解其对网络产生的影响。

 

您可以在执行default命令后通过display this命令确认执行效果。对于未能成功恢复缺省的配置,建议您查阅相关功能的命令手册,手工执行恢复该配置缺省情况的命令。如果操作仍然不能成功,您可以通过设备的提示信息定位原因。

【举例】

# 将虚拟PPP接口10恢复为缺省配置。

<Sysname> system-view

[Sysname] interface virtual-ppp 10

[Sysname-Virtual-PPP10] default

1.1.4  description

description命令用来设置接口的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

接口的描述信息为“该接口的接口名 Interface”,比如:Virtual-PPP254 Interface。

【视图】

虚拟PPP接口视图

【缺省用户角色】

network-admin

【参数】

text:接口描述信息,为1~255个字符的字符串,区分大小写。

【举例】

# 配置虚拟PPP接口10的描述信息为“virtual-interface”。

<Sysname> system-view

[Sysname] interface virtual-ppp 10

[Sysname-Virtual-PPP10] description virtual-interface

1.1.5  display interface virtual-ppp

display interface virtual-ppp命令用来显示虚拟PPP接口的相关信息。

【命令】

display interface [ virtual-ppp [ interface-number ] ] [ brief [ description | down ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

virtual-ppp [ interface-number ]:显示指定虚拟PPP接口的信息。interface-number表示虚拟PPP接口的编号,取值范围为0~255。如果不指定virtual-ppp参数,则显示设备支持的所有接口的相关信息。如果指定virtual-ppp参数,不指定interface-number参数,则显示所有已创建的虚拟PPP接口的相关信息。

brief:显示接口的概要信息。如果不指定该参数,则显示接口的详细信息。

description:显示用户配置的接口的全部描述信息。如果某接口的描述信息超过27个字符,不指定该参数时,只显示描述信息中的前27个字符,超出部分不显示;指定该参数时,可以显示全部描述信息。

down:显示当前物理状态为down的接口的信息以及down的原因。如果不指定该参数,则显示全部物理状态的接口的显示信息。

【举例】

# 显示虚拟PPP接口10的详细信息。

<Sysname> display interface virtual-ppp 10

Virtual-PPP10

Current state: Administratively DOWN

Line protocol state: DOWN

Description: Virtual-PPP10 Interface

Bandwidth: 100000 kbps

Maximum transmission unit: 1500

Hold timer: 10 seconds, retry times: 5

Internet address: 10.0.0.1/24 (primary)

Link layer protocol: PPP

LCP: initial

Physical: L2TP, baudrate: 100000000 bps

Last clearing of counters: Never

Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec

Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec

Input: 154 packets, 1880 bytes, 0 drops

Output: 155 packets, 1875 bytes, 0 drops

表1-1 display interface virtual-ppp命令显示信息描述表

字段

描述

Current state

接口当前的物理状态和管理状态,可能的取值及含义如下:

·     Administratively DOWN:表示该接口已经通过shutdown命令被关闭,即管理状态为关闭

·     DOWN:表示该接口的管理状态为开启,但物理状态为关闭(可能因为没有物理连线或者线路故障)

·     UP:该端口的管理状态和物理状态均为开启

Line protocol state

接口的链路层协议状态。其值由链路层经过参数协商决定,取值为:

·     UP:表示数据链路层协议状态为开启

·     UP(spoofing):表示该接口的数据链路层协议状态为开启,但实际可能没有对应的链路,或者所对应的链路不是永久存在而是按需建立。通常NULL、LoopBack等接口会具有该属性

·     DOWN:表示数据链路层协议状态为关闭

Description

接口的描述信息

Bandwidth

接口的期望带宽

Maximum transmission unit

接口的MTU

Hold timer

当前接口发送keepalive报文的周期,单位为秒

retry times

在多少个keepalive周期内没有收到keepalive报文的应答就拆除链路

Internet protocol processing: Disabled

接口当前不能处理IP报文

Internet address: 10.0.0.1/24 (primary)

接口的主IP地址

Link layer protocol

链路层封装的协议,取值为PPP

LCP

LCP(Link Control Protocol,链路控制协议)状态

Physical

接口的物理类型,取值为L2TP

baudrate

接口的波特率

Last clearing of counters

最后一次清除接口统计信息的时间(Never表示未清除过接口的统计信息)

Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec

当前接口最近300秒内输入报文的平均速率:

·     bytes/sec表示平均每秒输入的字节数

·     bits/sec表示平均每秒输入的比特数

·     packets/sec表示平均每秒输入的包数

Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec

当前接口最近300秒内输出报文的平均速率:

·     bytes/sec表示平均每秒输出的字节数

·     bits/sec表示平均每秒输出的比特数

·     packets/sec表示平均每秒输出的包数

Input: 154 packets, 1880 bytes, 0 drops

总计输入的报文数,总计输入的字节,总计丢弃的输入报文数

Output: 155 packets, 1875 bytes, 0 drops

总计输出的报文数, 总计输出的字节,总计丢弃的输出报文数

 

# 显示虚拟PPP接口10的概要信息。

<Sysname> display interface virtual-ppp 10 brief

Brief information on interfaces in route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface            Link Protocol Primary IP         Description

VPPP10               ADM  DOWN     10.0.0.1

# 显示所有当前物理状态为down的虚拟PPP接口的信息以及down的原因。

<Sysname> display interface virtual-ppp brief down

Brief information on interfaces in route mode:

Link: ADM - administratively down; Stby - standby

Interface            Link Cause

VPPP9                ADM  Administratively

VPPP10               ADM  Administratively

VPPP12               ADM  Administratively

# 显示虚拟PPP接口10的概要信息,包括用户配置的全部描述信息。

<Sysname> display interface Virtual-PPP 10 brief description

Brief information on interfaces in route mode:

Link: ADM - administratively down; Stby - standby

Protocol: (s) - spoofing

Interface            Link Protocol Primary IP         Description

VPPP10               ADM  DOWN     10.0.0.1

表1-2 display interface virtual-ppp brief命令显示信息描述表

字段

描述

Brief information on interfaces in route mode

三层模式下(route)的接口的概要信息,即三层接口的概要信息

Link: ADM - administratively down; Stby - standby

·     如果某接口的Link属性值为“ADM”,则表示该接口被管理员手工关闭了,需要在该接口下执行undo shutdown命令才能恢复端口本身的物理状态

·     如果某接口的Link属性值为“Stby”,则表示该接口是一个备份接口

Protocol: (s) - spoofing

如果某接口的Protocol属性值中带有“(s)”字符串,则表示该接口的数据链路层协议状态显示为UP,但实际可能没有对应的链路,或者对应的链路不是永久存在而是按需建立的。通常NULL、LoopBack等接口会具有该属性

Interface

接口名称缩写

Link

接口物理连接状态,取值为:

·     UP:表示接口物理上是连通的

·     DOWN:表示接口物理上不通

·     ADM:表示接口被手工关闭了,需要执行undo shutdown命令才能打开接口

Protocol

接口数据链路层协议状态,取值为:

·     UP:表示接口的数据链路层是连通的

·     DOWN:表示接口的数据链路层不通

·     UP(s):表示接口的数据链路层协议状态显示为UP,但实际可能没有对应的链路,或者对应的链路不是永久存在而是按需建立的。通常NULL、LoopBack等接口会取该值

Primary IP

接口主IP地址。当显示“--”时,表示接口下还未配置IP地址

Description

接口的描述信息

Cause

接口物理连接状态为down的原因,取值为:

·     Administratively:表示本链路被手工关闭了(配置了shutdown命令),需要执行undo shutdown命令才能恢复真实的物理状态

·     Not connected:表示没有物理连接(可能没有插网线或者网线故障)

 

1.1.6  display l2tp control-packet statistics

display l2tp control-packet statistics命令用来显示L2TP协议报文的统计信息。

【命令】

display l2tp control-packet statistics [ summary | tunnel [ tunnel-id ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

summary:显示所有L2TP隧道的L2TP协议报文的汇总统计信息。

tunnel:显示每个L2TP隧道的L2TP协议报文的统计信息。

tunnel-id:L2TP隧道ID,取值范围为1~65535。如果未指定本参数,将显示所有L2TP隧道的L2TP协议报文统计信息。

【使用指导】

如果未指定任何参数,将同时显示所有L2TP隧道协议报文的汇总统计信息和单独统计信息。

【举例】

# 显示所有L2TP隧道协议报文的汇总统计信息和单独统计信息。

<Sysname> display l2tp control-packet statistics

Summary packet statistics:

Recv SCCRQ  : 2           Sent SCCRQ  : 0           Rsnt SCCRQ  : 4

Recv SCCRP  : 0           Sent SCCRP  : 0           Rsnt SCCRP  : 0

Recv SCCCN  : 0           Sent SCCCN  : 0           Rsnt SCCCN  : 0

Recv STOPCCN: 2           Sent STOPCCN: 0           Rsnt STOPCCN: 0

Recv HELLO  : 0           Sent HELLO  : 0           Rsnt HELLO  : 0

Recv ICRQ   : 0           Sent ICRQ   : 0           Rsnt ICRQ   : 0

Recv ICRP   : 0           Sent ICRP   : 0           Rsnt ICRP   : 0

Recv ICCN   : 0           Sent ICCN   : 0           Rsnt ICCN   : 0

Recv CDN    : 0           Sent CDN    : 0           Rsnt CDN    : 0

 

Tunnel packet statistics: (LocalTID 10567)

Recv SCCRQ  : 1           Sent SCCRQ  : 0           Rsnt SCCRQ  : 2

Recv SCCRP  : 0           Sent SCCRP  : 0           Rsnt SCCRP  : 0

Recv SCCCN  : 0           Sent SCCCN  : 0           Rsnt SCCCN  : 0

Recv STOPCCN: 1           Sent STOPCCN: 0           Rsnt STOPCCN: 0

Recv HELLO  : 0           Sent HELLO  : 0           Rsnt HELLO  : 0

Recv ICRQ   : 0           Sent ICRQ   : 0           Rsnt ICRQ   : 0

Recv ICRP   : 0           Sent ICRP   : 0           Rsnt ICRP   : 0

Recv ICCN   : 0           Sent ICCN   : 0           Rsnt ICCN   : 0

Recv CDN    : 0           Sent CDN    : 0           Rsnt CDN    : 0

 

Tunnel packet statistics: (LocalTID 8956)

Recv SCCRQ  : 1           Sent SCCRQ  : 0           Rsnt SCCRQ  : 2

Recv SCCRP  : 0           Sent SCCRP  : 0           Rsnt SCCRP  : 0

Recv SCCCN  : 0           Sent SCCCN  : 0           Rsnt SCCCN  : 0

Recv STOPCCN: 1           Sent STOPCCN: 0           Rsnt STOPCCN: 0

Recv HELLO  : 0           Sent HELLO  : 0           Rsnt HELLO  : 0

Recv ICRQ   : 0           Sent ICRQ   : 0           Rsnt ICRQ   : 0

Recv ICRP   : 0           Sent ICRP   : 0           Rsnt ICRP   : 0

Recv ICCN   : 0           Sent ICCN   : 0           Rsnt ICCN   : 0

Recv CDN    : 0           Sent CDN    : 0           Rsnt CDN    : 0

# 显示每个L2TP隧道的L2TP协议报文的统计信息。

<Sysname> display l2tp control-packet statistics tunnel

Tunnel packet statistics: (LocalTID 10567)

Recv SCCRQ  : 1           Sent SCCRQ  : 0           Rsnt SCCRQ  : 2

Recv SCCRP  : 0           Sent SCCRP  : 0           Rsnt SCCRP  : 0

Recv SCCCN  : 0           Sent SCCCN  : 0           Rsnt SCCCN  : 0

Recv STOPCCN: 1           Sent STOPCCN: 0           Rsnt STOPCCN: 0

Recv HELLO  : 0           Sent HELLO  : 0           Rsnt HELLO  : 0

Recv ICRQ   : 0           Sent ICRQ   : 0           Rsnt ICRQ   : 0

Recv ICRP   : 0           Sent ICRP   : 0           Rsnt ICRP   : 0

Recv ICCN   : 0           Sent ICCN   : 0           Rsnt ICCN   : 0

Recv CDN    : 0           Sent CDN    : 0           Rsnt CDN    : 0

 

Tunnel packet statistics: (LocalTID 8956)

Recv SCCRQ  : 1           Sent SCCRQ  : 0           Rsnt SCCRQ  : 2

Recv SCCRP  : 0           Sent SCCRP  : 0           Rsnt SCCRP  : 0

Recv SCCCN  : 0           Sent SCCCN  : 0           Rsnt SCCCN  : 0

Recv STOPCCN: 1           Sent STOPCCN: 0           Rsnt STOPCCN: 0

Recv HELLO  : 0           Sent HELLO  : 0           Rsnt HELLO  : 0

Recv ICRQ   : 0           Sent ICRQ   : 0           Rsnt ICRQ   : 0

Recv ICRP   : 0           Sent ICRP   : 0           Rsnt ICRP   : 0

Recv ICCN   : 0           Sent ICCN   : 0           Rsnt ICCN   : 0

Recv CDN    : 0           Sent CDN    : 0           Rsnt CDN    : 0

# 显示隧道ID为10567的L2TP隧道协议报文的统计信息。

<Sysname> display l2tp control-packet statistics tunnel 10567

Tunnel packet statistics: (LocalTID 10567)

Recv SCCRQ  : 1           Sent SCCRQ  : 0           Rsnt SCCRQ  : 2

Recv SCCRP  : 0           Sent SCCRP  : 0           Rsnt SCCRP  : 0

Recv SCCCN  : 0           Sent SCCCN  : 0           Rsnt SCCCN  : 0

Recv STOPCCN: 1           Sent STOPCCN: 0           Rsnt STOPCCN: 0

Recv HELLO  : 0           Sent HELLO  : 0           Rsnt HELLO  : 0

Recv ICRQ   : 0           Sent ICRQ   : 0           Rsnt ICRQ   : 0

Recv ICRP   : 0           Sent ICRP   : 0           Rsnt ICRP   : 0

Recv ICCN   : 0           Sent ICCN   : 0           Rsnt ICCN   : 0

Recv CDN    : 0           Sent CDN    : 0           Rsnt CDN    : 0

表1-3 display l2tp control-packet statistics命令显示信息描述表

字段

描述

Summary packet statistics

所有L2TP隧道的L2TP协议报文的汇总统计信息

Tunnel packet statistics

每个L2TP隧道的L2TP协议报文的统计信息

LocalTID

本端L2TP隧道ID

Recv SCCRQ

本端已接收的SCCRQ报文数

Recv SCCRP

本端已接收的SCCRP报文数

Recv SCCCN

本端已接收的SCCCN报文数

Recv STOPCCN

本端已接收的STOPCCN报文数

Recv HELLO

本端已接收的HELLO报文数

Recv ICRQ

本端已接收的ICRQ报文数

Recv ICRP

本端已接收的ICRP报文数

Recv ICCN

本端已接收的ICCN报文数

Recv CDN

本端已接收的CDN报文数

Sent SCCRQ

本端已发送的SCCRQ报文数

Sent SCCRP

本端已发送的SCCRP报文数

Sent SCCCN

本端已发送的SCCCN报文数

Sent STOPCCN

本端已发送的STOPCCN报文数

Sent HELLO

本端已发送的HELLO报文数

Sent ICRQ

本端已发送的ICRQ报文数

Sent ICRP

本端已发送的ICRP报文数

Sent ICCN

本端已发送的ICCN报文数

Sent CDN

本端已发送的CDN报文数

Rsnt SCCRQ

本端重传的SCCRQ报文数

Rsnt SCCRP

本端重传的SCCRP报文数

Rsnt SCCCN

本端重传的SCCCN报文数

Rsnt STOPCCN

本端重传的STOPCCN报文数

Rsnt HELLO

本端重传的HELLO报文数

Rsnt ICRQ

本端重传的ICRQ报文数

Rsnt ICRP

本端重传的ICRP报文数

Rsnt ICCN

本端重传的ICCN报文数

Rsnt CDN

本端重传的CDN报文数

 

【相关命令】

·     reset l2tp control-packet statistics

1.1.7  display l2tp session

display l2tp session命令用来显示L2TP会话的信息。

【命令】

display l2tp session [ [ lac | lns ] [ tunnel-id tunnel-id [ session-id session-id ] | local-address local-address | remote-address remote-address | username username ] [ verbose ] | statistics ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

lac:显示LAC端的L2TP会话信息。

lns:显示LNS端的L2TP会话信息。

tunnel-id tunnel-id:显示指定隧道ID的L2TP会话信息。tunnel-id表示本端隧道ID,取值范围为1~65535。

session-id session-id:显示指定会话ID的L2TP会话信息。session-id表示本端会话ID,取值范围为1~65535。

local-address local-address:显示指定本端地址的L2TP会话信息。local-address表示隧道本端IP地址。

remote-address remote-address:显示指定隧道对端地址的L2TP会话信息。remote-address表示隧道对端IP地址。

username username:显示指定用户名的L2TP会话信息。username表示用户名,为1~80个字符的字符串,区分大小写。

verbose:显示L2TP会话的详细信息。如果未指定本参数,则显示L2TP会话的简要信息。

statistics:显示L2TP会话的统计信息。

【举例】

# 显示L2TP会话的统计信息。

<Sysname> display l2tp session statistics

Total number of sessions: 1

# 显示所有L2TP会话的简要信息。

<Sysname> display l2tp session

LocalSID      RemoteSID      LocalTID      State        Username

89            36245          10878         Established  user1@d1

表1-4 display l2tp session命令显示信息描述表

字段

描述

Total number of sessions

会话的数目

LocalSID

本端的会话ID

RemoteSID

对端的会话ID

LocalTID

本端的隧道ID

State

会话的状态,取值包括:

·     Idle:空闲状态

·     Wait-tunnel:等待建立隧道

·     Wait-reply:等待ICRP报文

·     Wait-connect:等待ICCN报文

·     Established:会话成功建立

Username

PPP用户名(Client-Initiated和LAC-Auto-Initiated两种模式下,该字段无意义,永远显示为N/A)

 

# 显示隧道ID为45277、会话ID为32502的L2TP会话的详细信息。

<Sysname> display l2tp session tunnel-id 45277 session-id 32502 verbose

Local tunnel ID    : 45277

Local session ID   : 32502

Remote session ID  : 14670

PPP index          : 0xb0dd7ef6800001c1

User name          : N/A

Call serial number : 32502

LIP address        : 32768

Session mode       : LAC

Session state      : Established

Flow control       : Disabled

LAC-Auto-Initiated : Yes

Wait channel num   : 0

Age flag           : 0

Phy interface      : N/A

Bas interface      : N/A

User trace switch  : Disabled

表1-5 display l2tp session verbose命令显示信息描述表

字段

描述

Local tunnel ID

本端隧道ID

Local session ID

本端会话ID

Remote session ID

对端会话ID

PPP index

PPP索引

User name

PPP用户名(Client-Initiated和LAC-Auto-Initiated两种模式下,该字段无意义,永远显示为N/A)

Call serial number

L2TP会话的呼叫号码

LIP address

LIP地址(该地址用于系统内部记录L2TP会话所在位置)

Session mode

L2TP会话模式:

·     LAC:表示LAC端的L2TP会话

·     LNS:表示LNS端的L2TP会话

Session state

会话状态,取值包括:

·     Idle:空闲状态

·     Wait-tunnel:等待建立隧道

·     Wait-reply:等待ICRP报文

·     Wait-connect:等待ICCN报文

·     Established:会话成功建立

Flow control

L2TP会话的流控功能的开启状态:

·     Enabled:开启

·     Disabled:关闭

LAC-Auto-Initiated

L2TP隧道是否为LAC-Auto-Initiated模式:

·     Yes:是

·     No:否

Waiting channel num

等待会话下驱动的板个数(每个通道对应一块板)

Age flag

未协商成功表项老化标识

Phy interface

物理接口,即LNS端隧道报文的入接口(LAC端上该字段无意义,永远显示为N/A)

Bas interface

BAS口(LAC端上该字段无意义,永远显示为N/A)

User trace switch

业务跟踪对象开关的开启状态(即是否通过trace access-user命令用来创建业务跟踪对象):

·     Enabled:开启

·     Disabled:关闭

 

1.1.8  display l2tp session temporary

display l2tp session temporary命令用来显示当前L2TP非稳态会话的信息。

【命令】

display l2tp session temporary

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示当前L2TP非稳态会话信息。

<Sysname> display l2tp session temporary

Total number of temporary sessions: 6

LocalSID    RemoteSID    LocalTID    State

2298        0            19699       Wait-tunnel

42805       0            19699       Wait-tunnel

17777       0            19699       Wait-tunnel

58284       0            19699       Wait-tunnel

33256       0            19699       Wait-tunnel

8228        0            19699       Wait-tunnel

表1-6 display l2tp session temporary命令显示信息描述表

字段

描述

Total number of temporary sessions

非稳态会话的数目

LocalSID

本端的非稳态会话ID

RemoteSID

对端的非稳态会话ID

LocalTID

本端的隧道ID

State

非稳态会话的状态,取值包括:

·     Idle:空闲状态

·     Wait-tunnel:等待建立隧道

·     Wait-reply:等待ICRP报文

·     Wait-connect:等待ICCN报文

 

1.1.9  display l2tp tunnel

display l2tp tunnel命令用来显示L2TP隧道的信息。

【命令】

display l2tp tunnel [ [ lac | lns ] [ group-number group-number | group-name group-name | local-address local-address | remote-address remote-address | tunnel-id tunnel-id | tunnel-name remote-name ] [ verbose ] | statistics ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

lac:显示LAC端的L2TP隧道信息。

lns:显示LNS端的L2TP隧道信息。

group-number group-number:显示指定L2TP组号的L2TP隧道信息。group-number表示L2TP组号,取值范围1~65535。

group-name group-name:显示指定L2TP组名的L2TP隧道信息。group-name表示L2TP组名,为1~32个字符的字符串,不区分大小写。

local-address local-address:显示指定本端IP地址的L2TP隧道信息。local-address表示本端隧道IP地址。

remote-address remote-address:显示指定对端IP地址的L2TP隧道信息。remote-address表示对端隧道IP地址。

tunnel-id tunnel-id:显示指定本端隧道ID的L2TP隧道信息。tunnel-id表示隧道ID,取值范围1~65535。

tunnel-name remote-name:显示指定隧道对端的名称的L2TP隧道信息。remote-name表示隧道对端的名称,为1~31个字符的字符串,区分大小写。

verbose:显示L2TP隧道的详细信息。如果未指定本参数,则显示L2TP隧道的简要信息。

statistics:显示L2TP隧道的统计信息。

【举例】

# 显示L2TP隧道的统计信息。

<Sysname> display l2tp tunnel statistics

Total number of tunnels: 1

# 显示所有L2TP隧道的简要信息。

<Sysname> display l2tp tunnel

LocalTID RemoteTID State         Sessions RemoteAddress    RemotePort RemoteName

10878    21        Established   1        20.1.1.2         1701       lns

表1-7 display l2tp tunnel命令显示信息描述表

字段

描述

Total number of tunnels

隧道的数目

LocalTID

本端的隧道ID

RemoteTID

对端的隧道ID

State

隧道的状态,取值包括:

·     Idle:空闲状态

·     Wait-reply:等待SCCRP报文

·     Wait-connect:等待SCCCN报文

·     Established:隧道成功建立

·     Stopping:正在下线

Sessions

此隧道上的会话数目

RemoteAddress

对端的IP地址

RemotePort

对端L2TP使用的UDP端口号

RemoteName

隧道对端的名称

 

# 显示L2TP隧道ID为10878的L2TP隧道的详细信息。

<Sysname> display l2tp tunnel tunnel-id 10878 verbose

Group number          : 1

Group mode            : LNS

Tunnel state          : Established

Tunnel type           : Group

Local tunnel ID       : 10878

Remote tunnel ID      : 28143

Local IP address      : 20.1.1.1

Remote IP address     : 20.1.1.2

Sessions              : 1

Send window size      : 1024

Send win lower-limit  : 5922

Send win upper-limit  : 5921

Recv window size      : 1024

Control message Nr    : 5924

Latest hello packet Ns: 5923

Recv same hello times : 0

Ack timeout times     : 0

Remote framing cap    : Both

Remote bearer cap     : Both

Remote protocol ver   : 1

Remote port           : 1701

Remote tunnel name    : LAC

Remote vendor name    : H3C Simware32

Tunnel auth           : Disabled

Assignment ID         : N/A

表1-8 display l2tp tunnel verbose命令显示信息描述表

字段

描述

Group number

隧道所属L2TP组的组号

Group mode

隧道所属L2TP组的模式,取值包括:

·     LAC:LAC模式,表示设备可以作为L2TP隧道的LAC端向LNS发起隧道建立请求

·     LNS:LNS模式,表示设备可以作为L2TP隧道的LNS端接受来自LAC的隧道建立请求

Tunnel state

隧道的状态,取值包括:

·     Idle:空闲状态

·     Wait-reply:等待SCCRP报文

·     Wait-connect:等待SCCCN报文

·     Established:隧道成功建立

·     Stopping:正在下线

Tunnel type

隧道的创建类型:

·     Group:通过L2TP组的配置来创建隧道

·     Radius:通过RADIUS服务器为LAC下发配置来创建隧道

Disconnect cause code

L2TP隧道连接断开的原因(仅在隧道连接被断开时,才显示该字段),取值包括:

·     L2TP fail:协商失败,例如:隧道协商过程中收到错误的报文

·     L2TP cut command:本端清除,如:管理员执行reset l2tp tunnel命令

·     L2TP peer clear:对端触发本端清除,如:收到对端发送的StopCCN报文

·     L2TP no response:对端无响应,如:本端报文重传多次但未收到对端正确的回应报文

·     N/A:其它未知原因导致隧道连接断开

Local tunnel ID

本端的L2TP隧道ID

Remote tunnel ID

对端的L2TP隧道ID

Local IP address

本端隧道IP地址

Remote IP address

对端隧道IP地址

Sessions

此隧道上的会话数目

Send window size

发送窗口大小

Send win lower-limit

发送窗口下限值

Send win upper-limit

发送窗口上限值

Recv window size

接收窗口大小

Control message Nr

期望接收控制报文的序列号

Latest hello packet Ns

最近一次收到Hello报文的Ns序号

Recv same hello times

收到相同序号的Hello报文的次数

Ack timeout times

ACK定时器超时次数

Remote framing cap

对端能够支持(接受和要求)的帧类型:

·     Sync:同步

·     Async:异步

·     Both:支持同步异步

Remote bearer cap

对端设备接口能够通过哪种媒介发送L2TP报文:

·     Digital:数字通道

·     Analog:模拟通道

·     Both:数字、模拟通道

Remote protocol ver

对端L2TP版本号

Remote port

对端使用的端口号

Remote tunnel name

对端隧道名称

Remote vendor name

对端设备描述

Tunnel auth

L2TP隧道验证功能的开启状态:

·     Enabled:开启

·     Disabled:关闭

Assignment ID

AAA下发的Assignment ID,用来标识会话承载在哪条隧道上(N/A表示AAA未下发的Assignment ID)

 

【相关命令】

·     reset l2tp tunnel

1.1.10  display l2tp-group

display l2tp-group命令用来显示L2TP组的信息。

【命令】

display l2tp-group [ group-number | group-name group-name ] [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

group-number:显示指定组号的L2TP组的信息。group-number表示L2TP组号,取值范围1~65535。

group-name group-name:显示指定组名的L2TP组的信息。group-name表示L2TP组名,为1~32个字符的字符串,不区分大小写。

verbose:显示L2TP组的详细信息。如果未指定本参数,则显示L2TP组的简要信息。

【使用指导】

如果未指定任何参数,将显示所有L2TP组的简要信息。

【举例】

# 显示所有L2TP组的简要信息。

<Sysname> display l2tp-group

Group-Number   Group-Name   Tunnels    Sessions

1              group1       2          20

2              N/A          3          120

表1-9 display l2tp-group命令显示信息描述表

字段

描述

Group-Number

L2TP组号

Group-Name

L2TP组名(N/A表示该L2TP组的组名为空)

Tunnels

L2TP组下的隧道总数

Sessions

L2TP组下的会话总数

 

# 显示组号为1的L2TP组的详细信息。

<Sysname> display l2tp-group 1 verbose

Group number      : 1

Group name        : lac1

Group mode        : LAC

Tunnels           : 2

Sessions          : 20

Tunnel auth       : Disabled

Local tunnel name : lac

Tunnel recv window: 1024

Tunnel send window: 0

AVP hidden        : No

Hello interval(s) : 60

IP DSCP           : 255

Flow control      : Disabled

VPN instance      : N/A

LNS IP count      : 1

Source IP         : 190.1.1.1

Tunnel per user   : No

Trigger           : FullUsername: user1

VSRP source IP    : 0.0.0.0

VSRP instance     : N/A

# 显示组号为2的L2TP组的详细信息。

<Sysname> display l2tp-group 2 verbose

Group number      : 2

Group name        : lns1

Group mode        : LNS

Tunnels           : 2

Sessions          : 20

Tunnel auth       : Disabled

Local tunnel name : lns

Tunnel recv window: 1024

Tunnel send window: 0

AVP hidden        : No

Hello interval(s) : 60

IP DSCP           : 255

Flow control      : Disabled

VPN instance      : N/A

VT number         : 1

Local IP address  : 190.1.1.2

Remote tunnel name: lac

Mandatory CHAP    : No

Mandatory LCP     : No

表1-10 display l2tp-group verbose命令显示信息描述表

字段

描述

Group number

L2TP组号

Group name

L2TP组名(N/A表示该L2TP组的组名为空)

Group mode

L2TP组的模式,取值包括:

·     LAC:LAC模式,表示设备可以作为L2TP隧道的LAC端向LNS发起隧道建立请求

·     LNS:LNS模式,表示设备可以作为L2TP隧道的LNS端接受来自LAC的隧道建立请求

Tunnel auth

L2TP隧道验证功能的开启状态:

·     Enabled:开启

·     Disabled:关闭

Local tunnel name

L2TP隧道本端的名称(N/A表示未指定L2TP隧道本端的名称)

Tunnel recv window

L2TP隧道接收窗口的大小

Tunnel send window

L2TP隧道发送窗口的大小

AVP hidden

L2TP隧道是否采用隐藏方式(即密文方式)传输AVP数据:

·     Yes:是

·     No:否

Hello interval(s)

L2TP隧道中Hello报文的发送时间间隔,单位为秒

IP DSCP

L2TP隧道报文的DSCP优先级

Flow control

L2TP会话的流控功能的开启状态:

·     Enabled:开启

·     Disabled:关闭

VPN instance

L2TP隧道对端所属的VPN实例(N/A表示L2TP隧道对端属于公网)

LNS IP count

在LAC端配置的LNS的IP地址个数

Tunnel source IP

L2TP隧道的源端IP地址,即封装后L2TP隧道报文的源地址

Tunnel per user

是否允许每个L2TP用户单独使用一条L2TP隧道:

·     Yes:允许

·     No:不允许

Trigger

LAC端向LNS端发起隧道建立请求的触发条件,取值包括:

·     UserDomainname: domain-name:指定接入用户的域名与配置的域名匹配时,LAC向LNS发起L2TP隧道建立请求。其中,domain-name表示配置的域名

·     FullUsername: user-name:指定接入用户的用户名与配置的完整用户名匹配时,LAC向LNS发起L2TP隧道建立请求。其中,user-name表示配置的完整用户名

VSRP source IP

(暂不支持)多机备份情况下L2TP隧道的源端地址,即封装后L2TP隧道报文的源地址

VSRP instance

(暂不支持)L2TP组关联的多机备份实例(N/A表示该L2TP组未关联多机备份实例)

VT number

LNS端建立L2TP隧道时使用的虚拟模板接口

Local IP address

隧道本端绑定的IP地址

Remote tunnel name

发起L2TP隧道建立请求的隧道对端的名称(N/A表示未指定发起L2TP隧道建立请求的隧道对端的名称)

Mandatory CHAP

是否强制LNS对用户进行CHAP验证:

·     Yes:强制

·     No:未强制

Mandatory LCP

是否强制LNS与用户进行LCP协商:

·     Yes:强制

·     No:未强制

 

【相关命令】

·     l2tp group

1.1.11  interface virtual-ppp

interface virtual-ppp命令用来创建虚拟PPP接口,并进入虚拟PPP接口视图。如果虚拟PPP接口已经创建,则该命令用来直接进入虚拟PPP接口视图。

undo interface virtual-ppp命令用来删除虚拟PPP接口。

【命令】

interface virtual-ppp interface-number

undo interface virtual-ppp interface-number

【缺省情况】

未配置任何虚拟PPP接口。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interface-number:虚拟PPP接口的编号,取值范围为0~255。

【使用指导】

配置LAC-Auto-Initiated模式的L2TP隧道时,需要在LAC端创建虚拟PPP接口。

【举例】

# 创建虚拟PPP接口10,并进入虚拟PPP接口视图。

<Sysname> system-view

[Sysname] interface virtual-ppp 10

[Sysname-Virtual-PPP10]

1.1.12  ip dscp

ip dscp命令用来配置隧道报文的DSCP(Differentiated Services Code Point,区分服务编码点)优先级。

undo ip dscp命令用来恢复缺省情况。

【命令】

ip dscp dscp-value

undo ip dscp

【缺省情况】

隧道报文的DSCP优先级为0。

【视图】

L2TP组视图

【缺省用户角色】

network-admin

【参数】

dscp-value:隧道报文的DSCP优先级,取值范围为0~63。

【使用指导】

DSCP携带在IP报文中前6个比特的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。通过本命令可以指定发送的L2TP隧道报文中携带的DSCP优先级的取值。

【举例】

# 配置隧道报文的DSCP优先级为50。

<Sysname> system-view

[Sysname] l2tp-group 1 mode lac

[Sysname-l2tp1] ip dscp 50

1.1.13  l2tp enable

l2tp enable命令用来开启L2TP功能。

undo l2tp enable命令用来关闭L2TP功能。

【命令】

l2tp enable

undo l2tp enable

【缺省情况】

L2TP功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

只有开启该功能后其他L2TP相关配置才能生效。

【举例】

# 开启L2TP功能。

<Sysname> system-view

[Sysname] l2tp enable

1.1.14  l2tp icrq-limit

l2tp icrq-limit命令用来配置LNS端每秒能处理ICRQ(Incoming Call Request,入呼叫请求)报文的最大数目。

undo l2tp icrq-limit命令用来恢复缺省情况。

【命令】

l2tp icrq-limit number

undo l2tp icrq-limit

【缺省情况】

未限制每秒能处理ICRQ报文的最大数目。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

number:LNS端每秒能处理ICRQ报文的最大数目,取值范围为1~60000。

【使用指导】

为避免大量L2TP用户的突发上线请求对设备性能造成影响,同时又确保L2TP用户能够平稳上线,可以通过本命令限制设备接收处理ICRQ报文的速率。

【举例】

# 配置LNS端每秒最多能处理200个ICRQ报文。

<Sysname> system-view

[Sysname] l2tp icrq-limit 200

1.1.15  l2tp sccrq-limit

l2tp sccrq-limit命令用来配置LNS端每秒能处理SCCRQ(Start Control Connection Request,开始连接请求)报文的最大数目。

undo l2tp sccrq-limit命令用来恢复缺省情况。

【命令】

l2tp sccrq-limit number

undo l2tp sccrq-limit

【缺省情况】

未限制每秒能处理SCCRQ报文的最大数目。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

number:LNS端每秒能处理SCCRQ报文的最大数目,取值范围为1~10000。

【使用指导】

在多个LAC设备接入同一个LNS设备的组网环境中,多个LAC设备可能会同时发起L2TP隧道建立请求,并且每个隧道中又会发送大量的会话建立请求,此时会造成LNS设备因不能及时处理请求报文导致用户无法正常上线。为了避免上述情况对LNS设备性能造成影响,同时又确保L2TP用户能够平稳上线,可以通过本命令限制设备接收处理SCCRQ报文的速率。

需要注意的是,本命令配置后,设备会采用一定的算法把每秒能处理SCCRQ报文的最大数目从1逐渐增大到number,而非立即按配置的number进行限速。故在设备每秒能处理SCCRQ报文的最大数目增大到number之前,即使某时刻收到的SCCRQ报文数小于number,也可能存在SCCRQ报文被丢弃的情况。

【举例】

# 配置LNS端每秒最多能处理200个SCCRQ报文。

<Sysname> system-view

[Sysname] l2tp sccrq-limit 200

1.1.16  l2tp tsa-id

l2tp tsa-id命令用来配置LTS设备的TSA ID,并开启LTS设备的L2TP环路检测功能。

undo l2tp tsa-id命令用来恢复缺省情况。

【命令】

l2tp tsa-id tsa-id

undo l2tp tsa-id

【缺省情况】

未指定LTS设备的TSA ID,且LTS设备的L2TP环路检测功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

tsa-id:LTS设备的唯一标识,为1~64个字符的字符串,区分大小写。

【使用指导】

在L2TP隧道交换组网中,LTS通过ICRQ(Incoming Call Request,入呼叫请求)报文中的TSA(Tunnel Switching Aggregator,隧道交换聚合) ID AVP来避免环路。

LTS接收到ICRQ报文后,将报文中携带的所有TSA ID AVP中的TSA ID逐一与本地配置的TSA ID进行比较。如果TSA ID AVP中存在与本地相同的TSA ID,则表示存在环路,LTS立即拆除会话。否则,LTS将自己的TSA ID封装到新的TSA ID AVP中,LTS向它的下一跳LTS发送ICRQ报文时携带接收到的所有TSA ID AVP及本地封装的TSA ID AVP。

为不同LTS设备配置的TSA ID不能相同,否则会导致环路检测错误。

【举例】

# 配置LTS设备的TSA ID为lts0,并开启LTS设备的L2TP环路检测功能。

<Sysname> system-view

[Sysname] l2tp tsa-id lts0

1.1.17  l2tp-auto-client

l2tp-auto-client命令用来触发LAC自动建立L2TP隧道。

undo l2tp-auto-client命令用来拆除LAC自动建立的L2TP隧道。

【命令】

l2tp-auto-client l2tp-group group-number

undo l2tp-auto-client

【缺省情况】

LAC不会自动建立L2TP隧道。

【视图】

虚拟PPP接口视图

【缺省用户角色】

network-admin

【参数】

l2tp-group group-number:指定LAC采用特定L2TP组下配置的隧道参数建立L2TP隧道。group-number为L2TP组号,取值范围为1~65535。

【使用指导】

配置本命令时指定的L2TP组必须已经创建,并且L2TP组的模式必须是LAC。

触发LAC建立L2TP隧道后,该隧道将始终存在,直到通过undo l2tp-auto-clientreset l2tp tunnel命令拆除该隧道。

【举例】

# 触发LAC自动建立L2TP隧道,建立隧道时采用L2TP组10下配置的隧道参数。

<Sysname> system-view

[Sysname] interface virtual-ppp 1

[Sysname-Virtual-PPP1] l2tp-auto-client l2tp-group 10

【相关命令】

·     l2tp-group

1.1.18  l2tp-group

l2tp-group命令用来创建L2TP组。

undo l2tp-group命令用来删除L2TP组。

【命令】

l2tp-group group-number [ group-name group-name ] [ mode { lac | lns } ]

undo l2tp-group group-number

【缺省情况】

未配置任何L2TP组。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

group-number:L2TP组号,取值范围为1~65535。

group-name group-name:指定L2TP组名。group-name表示指定的组名,为1~32个字符的字符串,不区分大小写。如果未指定本参数,则创建的L2TP组的组名为空。

mode:指定L2TP组的模式。

lac:LAC模式,表示设备可以作为L2TP隧道的LAC端向LNS发起隧道建立请求。

lns:LNS模式,表示设备可以作为L2TP隧道的LNS端接受来自LAC的隧道建立请求。

【使用指导】

通过本命令创建L2TP组时,必须携带mode关键字,指定L2TP组的模式。通过本命令进入已经创建的L2TP组视图时,不需要携带mode关键字。

在L2TP组视图下,可以配置L2TP隧道的参数,如隧道验证功能。

一台设备上可以同时存在LAC模式和LNS模式的L2TP组。

【举例】

# 创建L2TP组2,指定组名为g1,指定L2TP组模式为LAC,并进入L2TP组视图。

<Sysname> system-view

[Sysname] l2tp-group 2 group-name g1 mode lac

[Sysname-l2tp2]

【相关命令】

·     allow l2tp

·     lns-ip

·     user

1.1.19  lns-ip

lns-ip命令用来在LAC端配置LNS的IP地址。

undo lns-ip命令用来在LAC端删除LNS的IP地址。

【命令】

lns-ip { ip-address }&<1-5>

undo lns-ip

【缺省情况】

未在LAC端指定LNS的IP地址。

【视图】

L2TP组视图

【缺省用户角色】

network-admin

【参数】

{ ip-address }&<1-5>:LNS的IP地址,&<1-5>表示前面的参数最多可以输入5次。

【使用指导】

在建立L2TP隧道时,LAC将按照LNS的IP地址配置的先后顺序依次向每个LNS发送建立L2TP隧道的请求。LAC接收到某个LNS的接受应答后,该LNS就作为隧道的对端;否则,LAC向下一个LNS发起隧道建立请求。

只能在LAC模式的L2TP组下执行本命令。LNS模式的L2TP组下不支持本命令。

如果在同一个L2TP组下多次执行本命令,最后一次执行的命令生效。

【举例】

# 在LAC端配置LNS的IP地址为202.1.1.1。

<Sysname> system-view

[Sysname] l2tp-group 1 mode lac

[Sysname-l2tp1] lns-ip 202.1.1.1

1.1.20  mandatory-chap

mandatory-chap命令用来强制LNS对用户进行CHAP验证。

undo mandatory-chap命令用来恢复缺省情况。

【命令】

mandatory-chap

undo mandatory-chap

【缺省情况】

LNS不会对用户进行CHAP验证。

【视图】

L2TP组视图

【缺省用户角色】

network-admin

【使用指导】

缺省情况下,LAC代替LNS对用户进行验证,并将用户的所有验证信息及LAC端本身配置的验证方式发送给LNS。LNS根据接收到的信息及LNS端配置的验证方式,判断用户是否合法。

为了增加安全性,可以执行mandatory-chap命令,强制在LAC代理验证成功后,LNS再次对用户进行CHAP验证。

执行mandatory-chap命令配置强制CHAP验证后,对于NAS-Initiated模式L2TP隧道的用户来说,会经过两次验证:一次是在NAS端的验证,另一次是在LNS端的验证。一些用户可能不支持进行第二次验证,这时,LNS端的CHAP验证会失败。在这种情况下,建议不要开启LNS的强制CHAP验证功能。

只能在LNS模式的L2TP组下执行本命令。LAC模式的L2TP组下不支持本命令。

本命令只对NAS-Initiated模式的L2TP隧道有效,对Client-Initiated模式和LAC-Auto-Initiated模式的L2TP隧道无效。

mandatory-lcp命令的优先级高于本命令,即如果在L2TP组下同时执行了mandatory-chap命令和mandatory-lcp命令,则LNS与用户进行LCP协商。

【举例】

# 强制LNS对用户进行CHAP验证。

<Sysname> system-view

[Sysname] l2tp-group 1 mode lns

[Sysname-l2tp1] mandatory-chap

【相关命令】

·     mandatory-lcp

1.1.21  mandatory-lcp

mandatory-lcp命令用来强制LNS与用户进行LCP(Link Control Protocol,链路控制协议)协商。

undo mandatory-lcp命令用来恢复缺省情况。

【命令】

mandatory-lcp

undo mandatory-lcp

【缺省情况】

LNS不会与用户进行LCP协商。

【视图】

L2TP组视图

【缺省用户角色】

network-admin

【使用指导】

缺省情况下,对于NAS-Initialized模式的L2TP隧道,用户先和LAC进行LCP协商。如果协商通过,则由LAC发起L2TP隧道建立请求,并把与用户协商时收集到的信息(包括验证信息)发送给LNS。LNS根据接收到的信息判断用户是否合法。LNS不会与用户进行LCP协商。

LAC与用户协商出来的LCP参数可能不是LNS期望的参数。此时,需要在LNS上执行mandatory-lcp命令,强制LNS与用户进行LCP协商,忽略LAC发送的信息。

如果一些PPP用户不支持LCP协商,则LCP协商过程会失败。在这种情况下,建议不要开启LNS的强制LCP重协商功能。

只能在LNS模式的L2TP组下执行本命令。LAC模式的L2TP组下不支持本命令。

本命令只对NAS-Initiated模式的L2TP隧道有效,对Client-Initiated模式和LAC-Auto-Initiated模式的隧道无效。

本命令的优先级高于mandatory-chap命令,即如果在L2TP组下同时执行了mandatory-chap命令和mandatory-lcp命令,则LNS与用户进行LCP协商。

【举例】

# 强制LNS与用户进行LCP协商。

<Sysname> system-view

[Sysname] l2tp-group 1 mode lns

[Sysname-l2tp1] mandatory-lcp

【相关命令】

·     mandatory-chap

1.1.22  reset counters interface virtual-ppp

reset counters interface virtual-ppp命令用来清除虚拟PPP接口的统计信息。

【命令】

reset counters interface [ virtual-ppp [ interface-number ] ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

virtual-ppp [ interface-number ]:虚拟PPP接口的编号,取值范围为0~255。如果不指定virtual-pppinterface-number,则清除所有接口的统计信息;如果指定virtual-ppp而不指定interface-number,则清除所有虚拟PPP接口的统计信息;如果同时指定virtual-pppinterface-number,则清除指定虚拟PPP接口的统计信息。

【使用指导】

在某些情况下,需要统计一定时间内某接口的流量,这就需要在统计开始前清除该接口原有的统计信息,重新进行统计。

【举例】

# 清除虚拟PPP接口10的统计信息。

<Sysname> reset counters interface virtual-ppp 10

1.1.23  reset l2tp control-packet statistics

reset l2tp control-packet statistics命令用来清除L2TP协议报文的统计信息。

【命令】

reset l2tp control-packet statistics [ summary | tunnel [ tunnel-id ] ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

summary:清除所有L2TP隧道协议报文的汇总统计信息。

tunnel:清除每个L2TP隧道的L2TP协议报文的统计信息。

tunnel-id:L2TP隧道ID,取值范围为1~65535。如果未指定本参数,将清除所有L2TP隧道的L2TP协议报文统计信息。

【使用指导】

如果未指定任何参数,将同时清除所有L2TP隧道协议报文的汇总统计信息和单独统计信息。

【举例】

# 清除所有L2TP隧道协议报文的汇总统计信息和单独统计信息。

<Sysname> reset l2tp control-packet statistics

【相关命令】

·     display l2tp control-packet statistics

1.1.24  reset l2tp tunnel

reset l2tp tunnel命令用来断开L2TP隧道,同时断开该隧道内的所有会话。

【命令】

reset l2tp tunnel { id tunnel-id | name remote-name }

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

id tunnel-id:断开隧道ID为指定值的L2TP隧道。tunnel-id为隧道ID,取值范围为1~65535。

name remote-name:断开与指定隧道对端之间的L2TP隧道。remote-name表示隧道对端的名称,为1~31个字符的字符串,区分大小写。

【使用指导】

在用户数为零、网络发生故障等情况下,可以通过本命令强制断开指定的L2TP隧道。LAC和LNS任何一端都可主动发起断开L2TP隧道的请求。隧道断开后,该隧道上的所有L2TP会话也将被清除。

强制断开一个L2TP隧道后,当对端用户再次呼入时,隧道可以重新建立。

通过指定隧道的对端名称来确定需要断开的L2TP隧道时,如果没有符合条件的L2TP隧道存在,则对当前的L2TP隧道没有影响;如果有多个符合条件的L2TP隧道存在(同一个名称,不同IP地址),则断开所有符合条件的L2TP隧道。

【举例】

# 断开对端名称为aaa的L2TP隧道,并断开该隧道内的所有会话。

<Sysname> reset l2tp tunnel tunnel-name aaa

【相关命令】

·     display l2tp tunnel

1.1.25  shutdown

shutdown命令用来关闭接口。

undo shutdown命令用来打开接口。

【命令】

shutdown

undo shutdown

【缺省情况】

接口处于打开状态。

【视图】

虚拟PPP接口视图

【缺省用户角色】

network-admin

【举例】

# 关闭虚拟PPP接口10。

<Sysname> system-view

[Sysname] interface virtual-ppp 10

[Sysname-Virtual-PPP10] shutdown

1.1.26  source-ip

source-ip命令用来设置L2TP隧道的源端地址,即封装后L2TP隧道报文的源地址。

undo source-ip命令用来恢复缺省情况。

【命令】

source-ip ip-address

undo source-ip

【缺省情况】

L2TP隧道的源端地址为本端隧道出接口的IP地址。

【视图】

L2TP组视图

【缺省用户角色】

network-admin

network-operator

【参数】

ip-address:L2TP隧道的源端IP地址。

【使用指导】

建议将L2TP隧道的源端地址配置为设备上某LoopBack接口的IP地址,以减小物理接口故障对L2TP业务造成的影响。

只能在LAC模式的L2TP组下执行本命令。LNS模式的L2TP组下不支持本命令。

【举例】

# 设置L2TP隧道的源端地址为2.2.2.2。

<Sysname> system-view

[Sysname] l2tp-group 1 mode lac

[Sysname-l2tp1] source-ip 2.2.2.2

1.1.27  tunnel authentication

tunnel authentication命令用来开启L2TP隧道验证功能。

undo tunnel authentication命令用来关闭L2TP隧道验证功能。

【命令】

tunnel authentication

undo tunnel authentication

【缺省情况】

L2TP隧道验证功能处于开启状态。

【视图】

L2TP组视图

【缺省用户角色】

network-admin

【使用指导】

L2TP隧道验证功能用来防止本端设备与非法的对端设备建立L2TP隧道,提高网络的安全性。

如果LAC和LNS两端都开启了隧道验证功能,则两端密钥(通过tunnel password命令配置)不为空并且完全一致的情况下,二者之间才能成功建立L2TP隧道。

如果LAC和LNS中的一端开启了隧道验证功能,则另一端可不开启隧道验证功能,但需要两端密钥(通过tunnel password命令配置)不为空并且完全一致,二者之间才能成功建立L2TP隧道。

如果LAC和LNS两端都禁用隧道验证功能,则无论两端是否配置密钥、密钥是否相同,都不影响隧道建立。

为了保证隧道安全,建议用户不要禁用隧道验证功能。

【举例】

# 开启L2TP隧道验证功能。

<Sysname> system-view

[Sysname] l2tp-group 1 mode lns

[Sysname-l2tp1] tunnel authentication

【相关命令】

·     tunnel password

1.1.28  tunnel avp-hidden

tunnel avp-hidden命令用来配置隧道采用隐藏方式(即密文方式)传输AVP数据。

undo tunnel avp-hidden命令用来恢复缺省情况。

【命令】

tunnel avp-hidden

undo tunnel avp-hidden

【缺省情况】

隧道采用明文方式传输AVP数据。

【视图】

L2TP组视图

【缺省用户角色】

network-admin

【使用指导】

L2TP协议通过AVP(Attribute Value Pair,属性值对)来传输隧道协商参数、会话协商参数和用户认证信息等。如果用户不希望这些信息(如用户密码)被窃取,则可以使用本配置将AVP数据的传输方式配置为隐藏传输,即利用隧道验证密钥(通过tunnel password命令配置)对AVP数据进行加密传输。

LAC和LNS模式的L2TP组下都可以执行本命令。但是,目前LNS模式的L2TP组下本命令不会生效。

只有通过tunnel authentication命令开启隧道验证功能后,本命令才会生效。

【举例】

# 配置AVP数据采用隐藏方式传输。

<Sysname> system-view

[Sysname] l2tp-group 1 mode lac

[Sysname-l2tp1] tunnel avp-hidden

【相关命令】

·     tunnel authentication

·     tunnel password

1.1.29  tunnel name

tunnel name命令用来配置隧道本端的名称。

undo tunnel name命令用来恢复缺省情况。

【命令】

tunnel name name

undo tunnel name

【缺省情况】

隧道本端的名称为设备的名称。设备名称的详细介绍,请参见“基础配置指导”中的“设备管理”。

【视图】

L2TP组视图

【缺省用户角色】

network-admin

【参数】

name:隧道本端的名称,为1~31个字符的字符串,区分大小写。

【举例】

# 配置隧道本端的名称为itsme。

<Sysname> system-view

[Sysname] l2tp-group 1 mode lns

[Sysname-l2tp1] tunnel name itsme

【相关命令】

·     sysname(基础配置命令参考/设备管理)

1.1.30  tunnel password

tunnel password命令用来配置隧道验证密钥。

undo tunnel password命令用来恢复缺省情况。

【命令】

tunnel password { cipher | simple } string

undo tunnel password

【缺省情况】

未配置隧道验证密钥。

【视图】

L2TP组视图

【缺省用户角色】

network-admin

【参数】

cipher:以密文方式设置密钥。

simple:以明文方式设置密钥,该密钥将以密文形式存储。

string:隧道验证密钥,区分大小写。如果是cipher方式,则string为1~53个字符的密文字符串;如果是simple方式,则string为1~16个字符的明文字符串。

【使用指导】

只有通过tunnel authentication命令开启隧道验证功能后,本命令才会生效。

以明文或密文形式设置的密钥,均以密文的方式保存在配置文件中。

如果用户需要修改隧道验证的密钥,请在隧道开始协商前进行,否则修改的密钥不生效。

【举例】

# 以明文方式配置隧道验证密钥为yougotit。

<Sysname> system-view

[Sysname] l2tp-group 1 mode lac

[Sysname-l2tp1] tunnel password simple yougotit

【相关命令】

·     tunnel authentication

1.1.31  tunnel timer hello

tunnel timer hello命令用来配置隧道中Hello报文的发送时间间隔。

undo tunnel timer hello命令用来恢复缺省情况。

【命令】

tunnel timer hello hello-interval

undo tunnel timer hello

【缺省情况】

隧道中Hello报文的发送时间间隔为60秒。

【视图】

L2TP组视图

【缺省用户角色】

network-admin

【参数】

hello-interval:Hello报文的发送时间间隔,取值范围为60~1000,单位为秒。

【使用指导】

设备按照本命令配置的时间间隔周期性发送Hello报文,以免LAC和LNS之间的L2TP隧道和会话在超时后被删除。

在LNS和LAC上,可以配置不同的Hello报文发送时间间隔。

【举例】

# 配置隧道中Hello报文的发送时间间隔为90秒。

<Sysname> system-view

[Sysname] l2tp-group 1 mode lac

[Sysname-l2tp1] tunnel timer hello 90

1.1.32  tunnel window receive

tunnel window receive命令用来配置L2TP隧道接收窗口的大小。

undo tunnel window receive命令用来恢复缺省情况。

【命令】

tunnel window receive size

undo tunnel window receive

【缺省情况】

L2TP隧道接收窗口的大小为1024。

【视图】

L2TP组视图

【缺省用户角色】

network-admin

【参数】

size:L2TP隧道接收窗口的大小,即本端可缓存处理的报文个数,取值范围为1~5000。

【使用指导】

如果乱序报文过多,可以通过调整L2TP接收窗口的大小进行缓解。当出现乱序报文的时候,如果乱序报文NS(L2TP报文中用于标识当前报文序列号的字段)在接收窗范围内,设备会先将报文缓存起来,等待NS等于接收窗下沿的报文到达。当收到NS等于接收窗下沿的报文时,则对其(NS等于接收窗下沿的报文)进行处理,处理完该报文后,接收窗下沿加1;如果此时缓存中存在NS等于接收窗下沿的报文,则继续处理;如不存在,则继续等待NS等于接收窗下沿的报文到达;依次类推。对于超过接收窗范围的报文进行丢弃。

在L2TP隧道建立时,接收窗口大小以L2TP组视图下配置的接收窗口大小为准。隧道建立完成后通过本命令修改L2TP隧道接收窗口的大小对已经建立的隧道接收窗口的大小无影响。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置隧道的接收窗口大小为128。

<Sysname> system-view

[Sysname] l2tp-group 1 mode lac

[Sysname-l2tp1] tunnel window receive 128

【相关命令】

·     tunnel window send

1.1.33  tunnel window send

tunnel window send命令用来配置L2TP隧道发送窗口的大小。

undo tunnel window send命令用来恢复缺省情况。

【命令】

tunnel window send size

undo tunnel window send

【缺省情况】

L2TP隧道发送窗口的大小为0,即本端发送窗口的大小以隧道建立过程中对端携带的接收窗口大小的属性值为准,如果隧道建立过程中对端没有携带接收窗口大小属性,则本端隧道发送窗口的大小为4。

【视图】

L2TP组视图

【缺省用户角色】

network-admin

【参数】

size:L2TP隧道发送窗口的大小,即本端在未收到对端应答报文的情况下,可向对端发送的最大报文个数,取值范围为0~1024。

【使用指导】

在某些组网中可能出现对端的报文接收处理能力和对端接收窗口的大小不匹配的情况(例如:对端实际的报文接收处理能力为10,但接收窗口的大小为20),此时可以通过本命令调整本端L2TP隧道发送窗口的大小来适配对端的实际报文接收处理能力,以保证L2TP用户平稳上线。

在L2TP隧道建立时会获取L2TP组视图下配置的发送窗口大小。如果配置的发送窗口大小为0,则按缺省情况处理;如果配置的发送窗口大小非0,则以配置的发送窗口大小为准。隧道建立完成后通过本命令修改L2TP隧道发送窗口的大小对已经建立的隧道发送窗口的大小无影响。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置隧道的发送窗口大小为128。

<Sysname> system-view

[Sysname] l2tp-group 1 mode lac

[Sysname-l2tp1] tunnel window send 128

【相关命令】

·     tunnel window receive

1.1.34  tunnel-per-user

tunnel-per-user命令用来配置每个L2TP用户单独使用一条L2TP隧道。

undo tunnel-per-user命令用来恢复缺省情况。

【命令】

tunnel-per-user

undo tunnel-per-user

【缺省情况】

同一个L2TP隧道可供多个L2TP用户使用。

【视图】

L2TP组视图

【缺省用户角色】

network-admin

【使用指导】

仅LAC模式的L2TP组视图下支持本命令。

【举例】

# 在LAC端配置每L2TP用户单独使用一条L2TP隧道。

<Sysname> system-view

[Sysname] l2tp-group 2 mode lac

[Sysname-l2tp2] tunnel-per-user

1.1.35  timer-hold

timer-hold命令用来配置接口发送keepalive报文的周期。

undo timer-hold命令用来恢复缺省情况。

【命令】

timer-hold seconds

undo timer-hold

【缺省情况】

接口发送keepalive报文的周期为10秒。

【视图】

虚拟PPP接口视图

【缺省用户角色】

network-admin

【参数】

seconds:接口发送keepalive报文的周期,取值范围为0~32767,单位为秒。

【使用指导】

虚拟PPP接口定期向对端发送keepalive报文。如果在一段时间内无法收到对端发来的keepalive报文,虚拟PPP接口的链路层会认为对端故障,上报链路层Down。

在速率非常低的链路上,参数seconds不能配置过小。因为在低速链路上,大报文可能会需要很长的时间才能传送完毕,这样就会延迟keepalive报文的发送与接收。而接口如果在retries个(可以通过timer-hold retry命令修改该个数)keepalive周期之后仍然无法收到对端的keepalive报文,它就会认为链路发生故障。如果keepalive报文被延迟的时间超过接口的这个限制,链路就会被认为发生故障而被关闭。

【举例】

# 配置虚拟PPP接口10发送keepalive报文的周期为20秒。

<Sysname> system-view

[Sysname] interface virtual-ppp 10

[Sysname-Virtual-PPP10] timer-hold 20

【相关命令】

·     timer-hold retry

1.1.36  timer-hold retry

timer-hold retry命令用来配置接口在多少个keepalive周期内没有收到keepalive报文的应答就拆除链路。

undo timer-hold retry命令用来恢复缺省情况。

【命令】

timer-hold retry retries

undo timer-hold retry

【缺省情况】

接口在5个keepalive周期内没有收到keepalive报文的应答就拆除链路。

【视图】

虚拟PPP接口视图

【缺省用户角色】

network-admin

【参数】

retries:接口在多少个keepalive周期内没有收到keepalive报文的应答就拆除链路,取值范围为1~255。

【使用指导】

虚拟PPP接口定期向对端发送keepalive报文。如果在一段时间内无法收到对端发来的keepalive报文,虚拟PPP接口的链路层会认为对端故障,上报链路层Down。

在速率非常低的链路上,参数retries不能配置过小。因为在低速链路上,大报文可能会需要很长的时间才能传送完毕,这样就会延迟keepalive报文的发送与接收。而接口如果在retries个keepalive周期之后仍然无法收到对端的keepalive报文,它就会认为链路发生故障。如果keepalive报文被延迟的时间超过接口的这个限制,链路就会被认为发生故障而被关闭。

【举例】

# 配置虚拟PPP接口10在10个keepalive周期内没有收到keepalive报文的应答就拆除链路。

<Sysname> system-view

[Sysname] interface virtual-ppp 10

[Sysname-Virtual-PPP10] timer-hold retry 10

【相关命令】

·     timer-hold

1.1.37  user

user命令用来配置本端作为LAC端时向LNS发起隧道建立请求的触发条件。

undo user命令用来恢复缺省情况。

【命令】

user { domain domain-name | fullusername user-name }

undo user

【缺省情况】

未指定本端作为LAC端时向LNS发起隧道建立请求的触发条件。

【视图】

L2TP组视图

【缺省用户角色】

network-admin

【参数】

domain domain-name:指定接入用户的域名与配置的域名匹配时,LAC向LNS发起L2TP隧道建立请求。domain-name表示配置的域名,为1~255个字符的字符串,不区分大小写。

fullusername user-name:指定接入用户的用户名与配置的完整用户名匹配时,LAC向LNS发起L2TP隧道建立请求。user-name表示配置的完整用户名,为1~255个字符的字符串,区分大小写。

【使用指导】

只能在LAC模式的L2TP组下执行本命令。LNS模式的L2TP组下不支持本命令。

当采用域名作为隧道建立请求的触发条件时,LAC端按如下先后顺序选择域名与配置的域名进行匹配:AAA授权的域名-->PPP链路认证阶段使用的认证域的域名。有关PPP链路认证阶段使用的认证域的选择原则,请参见“二层技术-广域网接入命令参考”中的“PPP”。

如果在同一个L2TP组下多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置接入用户的完整用户名为test@example.com时,触发LAC向LNS发送L2TP隧道建立请求。

<Sysname> system-view

[Sysname] l2tp-group 1 mode lac

[Sysname-l2tp1] user fullusername test@example.com

【相关命令】

·     ppp authentication-mode(二层技术-广域网接入命令参考/PPP)

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们