• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

05-网络

目录

15-L2TP

本章节下载 15-L2TP  (291.33 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Configure/Operation_Manual/H3C_WCG(V7)/05/202202/1553486_30005_0.htm

15-L2TP

 

本帮助主要介绍以下内容:

·     特性简介

¡     L2TP组网中的角色

¡     L2TP隧道模式

·     常见问题解答

¡     常见故障之一

¡     常见故障之二

特性简介

L2TPLayer 2 Tunneling Protocol,二层隧道协议)通过在公共网络(如Internet)上建立点到点的L2TP隧道,将PPPPoint-to-Point Protocol,点对点协议)数据帧封装后通过L2TP隧道传输,使得远端用户(如企业驻外机构和出差人员)利用PPP接入公共网络后,能够通过L2TP隧道与企业内部网络通信,访问企业内部网络资源。

L2TP组网中的角色

L2TP的组网中,角色分为以下三个部分:

远端系统

远端系统是要接入企业内部网络的远端用户和远端分支机构,通常是一个拨号用户的主机或私有网络中的一台设备。

LACL2TP Access ConcentratorL2TP访问集中器)

LAC是具有PPPL2TP协议处理能力的设备,通常是一个当地ISPNASNetwork Access Server,网络接入服务器),主要用于为PPP类型的用户提供接入服务。

LAC作为L2TP隧道的端点,位于LNS和远端系统之间,用于在LNS和远端系统之间传递报文。它把从远端系统收到的报文按照L2TP协议进行封装并送往LNS,同时也将从LNS收到的报文进行解封装并送往远端系统。

LNSL2TP Network ServerL2TP网络服务器)

LNS是具有PPPL2TP协议处理能力的设备,通常位于企业内部网络的边缘。

LNS作为L2TP隧道的另一侧端点,是LAC通过隧道传输的PPP会话的逻辑终点。L2TP通过在公共网络中建立L2TP隧道,将远端系统的PPP连接由原来的NAS延伸到了企业内部网络的LNS设备。

L2TP隧道模式

L2TP隧道包括NAS-InitiatedClient-InitiatedLAC-Auto-Initiated三种模式。

NAS-Initiated模式

-1所示,NAS-Initiated模式L2TP隧道的建立由LAC(即NAS)发起。远端系统的拨号用户通过PPPoE/ISDN拨入LAC后,由LACLNS发起建立L2TP隧道的请求。

图-1 NAS-Initiated模式L2TP隧道示意图

 

NAS-Initiated模式L2TP隧道具有如下特点:

·     远端系统只需支持PPP协议,不需要支持L2TP

·     对远端拨号用户的身份认证与计费既可由LAC代理完成,也可由LNS完成。

Client-Initiated模式

-2所示,Client-Initiated模式L2TP隧道的建立直接由LAC client(指本地支持L2TP协议的远端系统)发起。LAC client具有公网地址,并能够通过InternetLNS通信后,如果在LAC client上触发L2TP拨号,则LAC client直接向LNS发起L2TP隧道建立请求,无需经过LAC设备建立隧道。

图-2 Client-Initiated模式L2TP隧道示意图

 

Client-Initiated模式L2TP隧道具有如下特点:

·     L2TP隧道在远端系统和LNS之间建立,具有较高的安全性。

·     Client-Initiated模式L2TP隧道对远端系统要求较高(远端系统必须是支持L2TP协议的LAC client,且能够与LNS通信),因此它的扩展性较差。

LAC-Auto-Initiated模式

采用NAS-Initiated方式建立L2TP隧道时,要求远端系统必须通过PPPoE/ISDN等拨号方式拨入LAC,且只有远端系统拨入LAC后,才能触发LACLNS发起建立隧道的请求。

-3所示,在LAC-Auto-Initiated模式下,不需要远端系统拨号触发,LAC采用特定L2TP组下配置的隧道参数建立L2TP隧道。远端系统访问LNS连接的内部网络时,LAC将通过L2TP隧道转发这些访问数据。

图-3 LAC-Auto-Initiated模式L2TP隧道示意图

 

LAC-Auto-Initiated模式L2TP隧道具有如下特点:

·     远端系统和LAC之间可以是任何基于IP的连接,不局限于拨号连接。

·     不需要远端系统上的拨号接入来触发建立L2TP隧道。

·     L2TP隧道创建成功后立即建立L2TP会话,然后在LACLNS之间进行PPP协商,LACLNS分别作为PPP客户端和PPP服务器端。

·     一条L2TP隧道上只承载一个L2TP会话。

·     LNSLAC分配企业网内部的IP地址,而不是为远端系统分配。

常见问题解答

如下列举了基本的Troubleshooting以供参考。

常见故障之一

故障现象

通过“VPN > L2TP > 隧道信息”,查看不到隧道信息(即隧道未成功建立)。

故障排除

可能有以下原因:

·     LAC端配置的L2TP服务器端地址不正确。

·     LAC端和LNS端配置的PPP认证方式不一致。

·     LAC端配置的用户名和密码错误,或者是LNS端不存在相应的用户。

·     LNS端上的组号不为1时,配置的LAC端隧道名称与LNS端配置的隧道名称不一致。

·     隧道验证不通过:

¡     如果LACLNS两端都开启了隧道验证功能,则两端密钥不为空并且完全一致的情况下,二者之间才能成功建立L2TP隧道。

¡     如果LACLNS中的一端开启了隧道验证功能,则另一端可不开启隧道验证功能,但需要两端密钥不为空并且完全一致,二者之间才能成功建立L2TP隧道。

常见故障之二

故障现象

通过“VPN > L2TP > 隧道信息”,查看隧道成功建立,但是数据传输失败(如不能Ping通私网侧主机)

故障排除

可能有如下原因:

·     路由问题:LACLNS上需要存在到达对端私网的路由,否则会导致数据传输失败。在LACLNS上查看设备上是否存在到达对端私网的路由。若不存在,则需要配置静态路由或动态路由协议,在设备上添加该路由。

·     安全策略:LNS端的VT接口需要加入到安全域,并在安全策略中放行该安全域到Local安全域的相关流量,否则数据会因为安全策略的原因被设备丢弃。

·     网络拥挤:Internet主干网产生拥挤,丢包现象严重。L2TP是基于UDP进行传输的,UDP不对报文进行差错控制。如果是在线路质量不稳定的情况下进行L2TP应用,有可能会产生Ping不通对端的情况。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们