- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
10-L2TP命令
本章节下载: 10-L2TP命令 (317.36 KB)
目 录
1.1.3 display l2tp session temporary
1.1.6 display ppp access-control interface
1.1.11 l2tp user-ip-conflict offline
1.1.12 l2tp virtual-template va-pool
1.1.17 ppp access-control enable
1.1.22 ppp user accept-format imsi-sn split
1.1.23 ppp user attach-format imsi-sn split
1.1.25 reset counters interface virtual-ppp
allow l2tp命令用来配置LNS接受来自指定LAC的L2TP隧道建立请求,并指定建立L2TP隧道时使用的虚拟模板接口。
undo allow命令用来恢复缺省情况。
【命令】
allow l2tp virtual-template virtual-template-number [ remote remote-name ]
【缺省情况】
LNS不接受任何LAC的L2TP隧道建立请求。
【视图】
L2TP组视图
【缺省用户角色】
network-admin
【参数】
virtual-template virtual-template-number:指定虚拟模板接口。其中,virtual-template-number为虚拟模板接口序号,取值范围为0~1023。LNS根据虚拟模板接口下配置的参数,动态地创建VA(Virtual Access,虚拟访问)接口。不同的VA接口用来处理不同L2TP会话上的数据。
remote remote-name:指定发起L2TP隧道建立请求的对端(即LAC)。其中,remote-name表示隧道对端的名称,为1~31个字符的字符串,区分大小写。
【使用指导】
本命令需要在LNS设备上执行,用来指定LNS可以接受来自哪些LAC的L2TP隧道建立请求。
在L2TP组1下,可以不指定隧道对端名称。即在L2TP组1下,本命令的格式为:allow l2tp virtual-template virtual-template-number [ remote remote-name ]。如果指定了隧道对端名称,则LNS只接受来自指定隧道对端的建立请求。如果不指定隧道对端名称,则LNS可以接受任何名称的隧道对端的建立请求,此时L2TP组1称为缺省L2TP组。
在其他L2TP组(非L2TP组1)下,必须指定隧道对端的名称。即在其他L2TP组下,本命令的格式为:allow l2tp virtual-template virtual-template-number remote remote-name。
如果发起建立请求的隧道对端与某个L2TP组下配置的对端名称匹配,则LNS与该对端建立L2TP隧道时采用该L2TP组下配置的隧道参数(如隧道验证功能、流控功能等)。如果隧道对端不与任何L2TP组下配置的对端名称匹配,则存在缺省L2TP组时,LNS与该对端建立的L2TP隧道采用缺省L2TP组下配置的隧道参数,不存在缺省L2TP组时,LNS无法与该对端建立L2TP隧道。
如下情况下,建议用户在LNS上配置缺省L2TP组:
· 某些LAC(如采用Windows 2000 beta 2版本的主机)发送的L2TP隧道建立请求中本端名称为空。为了接受这种不知名的对端发起的隧道建立请求,LNS上需要配置缺省L2TP组。
· LNS与多个LAC建立的L2TP隧道参数相同时,可以通过缺省L2TP组简化配置。
只能在LNS模式的L2TP组下执行本命令。LAC模式的L2TP组下不支持本命令。
执行本命令时要确保指定的隧道对端名称和LAC侧配置的隧道本端名称一致。
如果在同一个L2TP组下多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置LNS接受名称为aaa的对端(LAC)发起的L2TP隧道建立请求,并指定建立L2TP隧道时使用的虚拟模板接口为Virtual-Template2。对于其他名称的对端,LNS接受L2TP隧道建立请求,L2TP隧道建立时使用的虚拟模板接口为Virtual-Template1。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lns
[Sysname-l2tp1] allow l2tp virtual-template 1
[Sysname-l2tp1] quit
[Sysname] l2tp-group 2 mode lns
[Sysname-l2tp2] allow l2tp virtual-template 2 remote aaa
【相关命令】
· tunnel name
display l2tp session命令用来显示L2TP会话的信息。
【命令】
display l2tp session [ statistics ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
statistics:显示L2TP会话的统计信息。
【举例】
# 显示L2TP会话的统计信息。
<Sysname> display l2tp session statistics
Total number of sessions: 1
# 显示L2TP会话的信息。
<Sysname> display l2tp session
LocalSID RemoteSID LocalTID State
表1-1 display l2tp session命令显示信息描述表
|
字段 |
描述 |
|
Total number of sessions |
会话的数目 |
|
LocalSID |
本端的会话ID |
|
RemoteSID |
对端的会话ID |
|
LocalTID |
本端的隧道ID |
|
State |
会话的状态,取值包括: · Idle:空闲状态 · Wait-tunnel:等待建立隧道 · Wait-reply:等待ICRP报文 · Wait-connect:等待ICCN报文 · Established:会话成功建立 |
display l2tp session temporary命令用来显示当前L2TP非稳态会话的信息。
【命令】
display l2tp session temporary
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示当前L2TP非稳态会话信息。
<Sysname> display l2tp session temporary
Total number of temporary sessions: 6
LocalSID RemoteSID LocalTID State
2298 0 19699 Wait-tunnel
42805 0 19699 Wait-tunnel
17777 0 19699 Wait-tunnel
58284 0 19699 Wait-tunnel
33256 0 19699 Wait-tunnel
8228 0 19699 Wait-tunnel
表1-2 display l2tp session temporary命令显示信息描述表
|
字段 |
描述 |
|
Total number of temporary sessions |
非稳态会话的数目 |
|
LocalSID |
本端的非稳态会话ID |
|
RemoteSID |
对端的非稳态会话ID |
|
LocalTID |
本端的隧道ID |
|
State |
非稳态会话的状态,取值包括: · Idle:空闲状态 · Wait-tunnel:等待建立隧道 · Wait-reply:等待ICRP报文 · Wait-connect:等待ICCN报文 |
display l2tp tunnel命令用来显示L2TP隧道的信息。
【命令】
display l2tp tunnel [ statistics ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
statistics:显示L2TP隧道的统计信息。
【举例】
# 显示L2TP隧道的统计信息。
<Sysname> display l2tp tunnel statistics
Total number of tunnels: 1
# 显示L2TP隧道的信息。
<Sysname> display l2tp tunnel
LocalTID RemoteTID State Sessions RemoteAddress RemotePort RemoteName
10878 21 Established 1 20.1.1.2 1701 lns
表1-3 display l2tp tunnel命令显示信息描述表
|
字段 |
描述 |
|
Total number of tunnels |
隧道的数目 |
|
LocalTID |
本端的隧道ID |
|
RemoteTID |
对端的隧道ID |
|
State |
隧道的状态,取值包括: · Idle:空闲状态 · Wait-reply:等待SCCRP报文 · Wait-connect:等待SCCCN报文 · Established:隧道成功建立 · Stopping:正在下线 |
|
Sessions |
此隧道上的会话数目 |
|
RemoteAddress |
对端的IP地址 |
|
RemotePort |
对端L2TP使用的UDP端口号 |
|
RemoteName |
隧道对端的名称 |
【相关命令】
· reset l2tp tunnel
display l2tp va-pool命令用来显示L2TP的VA池信息。
【命令】
display l2tp va-pool [ dynamic ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示L2TP的静态VA池信息。
<Sysname> display l2tp va-pool
VT interface Size Unused State
Virtual-Template1 1000 900 Normal
表1-4 display l2tp va-pool命令显示信息描述表
|
字段 |
描述 |
|
VT interface |
使用VA池的虚拟模板接口 |
|
Size |
用户申请的VA池容量 |
|
Unused |
VA池中可用的VA接口数量 |
|
State |
VA池当前的状态,取值包括: · Creating:表示正在创建VA池 · Destroying:表示正在删除VA池 · Normal:表示VA池已经创建完成 |
【相关命令】
· l2tp virtual-template va-pool
display ppp access-control interface命令用来显示虚拟模板接口产生的PPP会话的动态防火墙的统计信息。
【命令】
display ppp access-control interface virtual-template interface-number
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
virtual-template interface-number:显示指定虚拟模板接口产生的PPP会话的动态防火墙的统计信息。interface-number表示虚拟模板接口的编号,取值范围为已创建的虚拟模板接口的编号。
【举例】
# 查看指定虚拟模板接口2产生的PPP会话的动态防火墙的统计信息。
<Sysname> display ppp access-control interface virtual-template 2
Interface: Virtual-Access0
User Name: mike
In-bound Policy: acl 3000
Totally 0 packets, 0 bytes, 0% permitted,
Totally 0 packets, 0 bytes, 0% denied.
Interface: Virtual-Access1
User Name: tim
In-bound Policy: acl 3001
Totally 0 packets, 0 bytes, 0% permitted,
Totally 0 packets, 0 bytes, 0% denied.
表1-5 display ppp access-control interface显示信息描述表
|
字段 |
描述 |
|
Interface |
PPP用户接入的BAS接口 |
|
User Name |
PPP用户名 |
|
In-bound Policy |
为PPP用户创建的包过滤防火墙的ACL规则 |
|
Totally x packets, x bytes, x% permitted |
总通过的报文数、报文字节数、通过率 |
|
Totally x packets, x bytes, x% denied |
总拒绝的报文数、报文字节数、拒绝率 |
【相关命令】
· ppp access-control enable
ip dscp命令用来配置隧道报文的DSCP(Differentiated Services Code Point,区分服务编码点)优先级。
undo ip dscp命令用来恢复缺省情况。
【命令】
ip dscp dscp-value
undo ip dscp
【缺省情况】
隧道报文的DSCP优先级为0。
【视图】
L2TP组视图
【缺省用户角色】
network-admin
【参数】
dscp-value:隧道报文的DSCP优先级,取值范围为0~63。
【使用指导】
DSCP携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。通过本命令可以指定发送的L2TP隧道报文中携带的DSCP优先级的取值。
【举例】
# 配置隧道报文的DSCP优先级为50。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] ip dscp 50
l2tp enable命令用来开启L2TP功能。
undo l2tp enable命令用来关闭L2TP功能。
【命令】
l2tp enable
undo l2tp enable
【缺省情况】
L2TP功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
只有开启该功能后其他L2TP相关配置才能生效。
【举例】
# 开启L2TP功能。
<Sysname> system-view
[Sysname] l2tp enable
l2tp icrq-limit命令用来配置LNS端每秒能处理ICRQ(Incoming Call Request,入呼叫请求)报文的最大数目。
undo l2tp icrq-limit命令用来恢复缺省情况。
【命令】
l2tp icrq-limit number
undo l2tp icrq-limit
【缺省情况】
未限制每秒能处理ICRQ报文的最大数目。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
number:LNS端每秒能处理ICRQ报文的最大数目,取值范围为1~1000。
【使用指导】
为避免大量L2TP用户的突发上线请求对设备性能造成影响,同时又确保L2TP用户能够平稳上线,可以通过本命令调整设备接收处理ICRQ报文的速率。
【举例】
# 配置LNS端每秒最多能处理200个ICRQ报文。
<Sysname> system-view
[Sysname] l2tp icrq-limit 200
l2tp tsa-id命令用来配置LTS设备的TSA ID,并开启LTS设备的L2TP环路检测功能。
undo l2tp tsa-id命令用来恢复缺省情况。
【命令】
l2tp tsa-id tsa-id
undo l2tp tsa-id
【缺省情况】
未指定LTS设备的TSA ID,且LTS设备的L2TP环路检测功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
tsa-id:LTS设备的唯一标识,为1~64个字符的字符串,区分大小写。
【使用指导】
在L2TP隧道交换组网中,LTS通过ICRQ(Incoming Call Request,入呼叫请求)报文中的TSA(Tunnel Switching Aggregator,隧道交换聚合) ID AVP来避免环路。
LTS接收到ICRQ报文后,将报文中携带的所有TSA ID AVP中的TSA ID逐一与本地配置的TSA ID进行比较。如果TSA ID AVP中存在与本地相同的TSA ID,则表示存在环路,LTS立即拆除会话。否则,LTS将自己的TSA ID封装到新的TSA ID AVP中,LTS向它的下一跳LTS发送ICRQ报文时携带接收到的所有TSA ID AVP及本地封装的TSA ID AVP。
为不同LTS设备配置的TSA ID不能相同,否则会导致环路检测错误。
【举例】
# 配置LTS设备的TSA ID为lts0,并开启LTS设备的L2TP环路检测功能。
<Sysname> system-view
[Sysname] l2tp tsa-id lts0
l2tp user-ip-conflict offline命令用来配置当新上线L2TP用户的IP地址和已在线L2TP用户IP地址冲突时,允许新用户上线,并强制老用户下线。
undo l2tp user-ip-conflict命令用来恢复缺省情况。
【命令】
l2tp user-ip-conflict offline
undo l2tp user-ip-conflict
【缺省情况】
新上线L2TP用户的IP地址和已在线L2TP用户IP地址冲突时,禁止新用户上线,老用户继续保持在线。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
当新上线L2TP用户的IP地址和已在线L2TP用户IP地址冲突时,可根据实际需要选择禁止新用户上线或者强制老用户下线。
本命令仅对LNS端IPv4 L2TP用户生效。
【举例】
# 配置当新上线L2TP用户的IP地址和已在线用户IP地址冲突时,允许新用户上线,并强制老用户下线。
<Sysname> system-view
[Sysname] l2tp user-ip-conflict offline
l2tp virtual-template va-pool命令用来配置静态VA池。
undo l2tp virtual-template va-pool命令用来删除静态VA池。
【命令】
l2tp virtual-template template-number va-pool va-volume
undo l2tp virtual-template template-number va-pool
【缺省情况】
未配置任何静态VA池。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
virtual-template template-number:指定需要使用静态VA池的虚拟模板接口。该接口必须已经存在。
va-pool va-volume:指定需要创建的静态VA池的大小,取值范围为1~65534。
【使用指导】
LNS设备在用户上线创建会话时需要创建VA接口,用于和LAC交换数据。在用户下线后需要删除VA接口。由于创建/删除VA接口需要一定的时间,所以如果有大量用户上线/下线,L2TP连接的建立和拆除性能会受到影响。
VA池可以用来解决上述问题。VA池是在建立L2TP连接前事先创建的VA接口的集合。创建VA池后,当需要创建VA接口时,直接从VA池中获取一个VA接口,加快了L2TP连接的建立速度。当用户下线后,直接把VA接口放入VA池中,不需要删除VA接口,加快了L2TP连接的拆除速度。
每个虚拟模板接口只能关联一个静态VA池。如果想要修改使用的静态VA池的大小,只能先删除原来的配置,然后重新配置静态VA池。
创建/删除静态VA池需要花费一定的时间,请用户耐心等待。在静态VA池创建/删除过程中(还没创建/删除完成)允许用户上线/下线,但正在创建/删除的静态VA池不生效。
系统可能由于资源不足不能创建用户指定容量的静态VA池,用户可以通过display l2tp va-pool命令查看实际可用的静态VA池的容量以及静态VA池的状态。
VA池会占用较多的系统内存,请用户根据实际情况创建大小合适的静态VA池。
删除静态VA池时,如果已有在线用户使用该VA池中的VA接口,不会导致这些用户下线。
【举例】
# 为虚拟模板2创建容量为1000的静态VA池。
<Sysname> system-view
[Sysname] l2tp virtual-template 2 va-pool 1000
【相关命令】
· display l2tp va-pool
l2tp-group命令用来创建L2TP组。
undo l2tp-group命令用来删除L2TP组。
【命令】
l2tp-group group-number [ mode { lac | lns } ]
undo l2tp-group group-number
【缺省情况】
未配置任何L2TP组。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-number:L2TP组号,取值范围为1~65535。
mode:指定L2TP组的模式。
lac:LAC模式,表示设备可以作为L2TP隧道的LAC端向LNS发起隧道建立请求。
lns:LNS模式,表示设备可以作为L2TP隧道的LNS端接受来自LAC的隧道建立请求。
【使用指导】
通过本命令创建L2TP组时,必须携带mode关键字,指定L2TP组的模式。通过本命令进入已经创建的L2TP组视图时,不需要携带mode关键字。
在L2TP组视图下,可以配置L2TP隧道的参数,如隧道验证功能、流控功能等。
一台设备上可以同时存在LAC模式和LNS模式的L2TP组。
【举例】
# 创建L2TP组2,指定L2TP组模式为LAC,并进入L2TP组视图。
<Sysname> system-view
[Sysname] l2tp-group 2 mode lac
[Sysname-l2tp2]
【相关命令】
· allow l2tp
· lns-ip
· user
lns-ip命令用来在LAC端配置LNS的IP地址或域名。
undo lns-ip命令用来在LAC端删除LNS的IP地址或域名。
【命令】
lns-ip { ip-address| host-name name }&<1-5>
undo lns-ip
【缺省情况】
未在LAC端指定LNS的IP地址和域名。
【视图】
L2TP组视图
【缺省用户角色】
network-admin
【参数】
ip-address:LNS的IP地址。
host-name name:LNS的主机名称(即域名)。域名格式由“.”分隔的字符串组成(如example.com),每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过253个字符。不区分大小写,字符串中可以包含字母、数字、“-”、“_”或“.”。
&<1-5>表示前面的参数最多可以输入5次。
【使用指导】
当LNS端IP地址固定时,可以通过lns-ip ip-address直接指定LNS端的IP地址;当LNS端IP地址不固定时,可以通过lns-ip host-name指定LNS端的域名,LAC会将域名交给域名解析模块处理,并根据域名解析模块返回的IP地址发起建立L2TP隧道的请求。关于域名解析的详细描述请参见“网络互通配置指导”中的“域名解析”。
在建立L2TP隧道时,LAC将按照LNS的IP地址或域名配置的先后顺序依次向每个LNS发送建立L2TP隧道的请求。LAC接收到某个LNS的接受应答后,该LNS就作为隧道的对端;否则,LAC向下一个LNS发起隧道建立请求。
只能在LAC模式的L2TP组下执行本命令。LNS模式的L2TP组下不支持本命令。
如果在同一个L2TP组下多次执行本命令,最后一次执行的命令生效。
【举例】
# 在LAC端配置LNS的IP地址为202.1.1.1。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] lns-ip 202.1.1.1
# 在LAC端配置LNS的域名为example.com。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] lns-ip host-name example.com
mandatory-chap命令用来强制LNS重新对用户进行CHAP验证。
undo mandatory-chap命令用来恢复缺省情况。
【命令】
mandatory-chap
undo mandatory-chap
【缺省情况】
LNS不会重新对用户进行CHAP验证。
【视图】
L2TP组视图
【缺省用户角色】
network-admin
【使用指导】
缺省情况下,LAC代替LNS对用户进行验证,并将用户的所有验证信息及LAC端本身配置的验证方式发送给LNS。LNS根据接收到的信息及LNS端配置的验证方式,判断用户是否合法。
为了增加安全性,可以执行mandatory-chap命令,强制在LAC代理验证成功后,LNS再次对用户进行CHAP验证。
执行mandatory-chap命令配置强制CHAP验证后,对于NAS-Initiated模式L2TP隧道的用户来说,会经过两次验证:一次是在NAS端的验证,另一次是在LNS端的验证。一些用户可能不支持进行第二次验证,这时,LNS端的CHAP重新验证会失败。在这种情况下,建议不要开启LNS的强制CHAP验证功能。
只能在LNS模式的L2TP组下执行本命令。LAC模式的L2TP组下不支持本命令。
本命令只对NAS-Initiated模式的L2TP隧道有效,对Client-Initiated模式的L2TP隧道无效。
mandatory-lcp命令的优先级高于本命令,即如果在L2TP组下同时执行了mandatory-chap命令和mandatory-lcp命令,则LNS与用户重新进行LCP协商。
【举例】
# 强制LNS重新对用户进行CHAP验证。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lns
[Sysname-l2tp1] mandatory-chap
【相关命令】
· mandatory-lcp
mandatory-lcp命令用来强制LNS与用户重新进行LCP(Link Control Protocol,链路控制协议)协商。
undo mandatory-lcp命令用来恢复缺省情况。
【命令】
mandatory-lcp
undo mandatory-lcp
【缺省情况】
LNS不会与用户重新进行LCP协商。
【视图】
L2TP组视图
【缺省用户角色】
network-admin
【使用指导】
缺省情况下,对于NAS-Initialized模式的L2TP隧道,用户先和LAC进行LCP协商。如果协商通过,则由LAC发起L2TP隧道建立请求,并把与用户协商时收集到的信息(包括验证信息)发送给LNS。LNS根据接收到的信息判断用户是否合法。LNS不会与用户重新进行LCP协商。
LAC与用户协商出来的LCP参数可能不是LNS期望的参数。此时,需要在LNS上执行mandatory-lcp命令,强制LNS与用户重新进行LCP协商,忽略LAC发送的信息。
如果一些PPP用户不支持LCP重新协商,则LCP重新协商过程会失败。在这种情况下,建议不要开启LNS的强制LCP重协商功能。
只能在LNS模式的L2TP组下执行本命令。LAC模式的L2TP组下不支持本命令。
本命令只对NAS-Initiated模式的L2TP隧道有效,对Client-Initiated模式的隧道无效。
本命令的优先级高于mandatory-chap命令,即如果在L2TP组下同时执行了mandatory-chap命令和mandatory-lcp命令,则LNS与用户重新进行LCP协商。
【举例】
# 强制LNS与用户重新进行LCP协商。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lns
【相关命令】
· mandatory-chap
ppp access-control enable命令用来开启基于L2TP接入的EAD功能。
undo ppp access-control enable命令用来关闭基于L2TP接入的EAD功能。
【命令】
ppp access-control enable
undo ppp access-control enable
【缺省情况】
基于L2TP接入的EAD功能处于关闭状态。
【视图】
虚拟模板接口视图
【缺省用户角色】
network-admin
【使用指导】
本命令对于虚拟模板接口下已经存在的PPP会话不生效,仅对新创建的PPP会话生效。
虚拟模板接口作为LNS侧的接入接口时,可能需要根据不同用户使用不同的报文过滤策略。
EAD功能开启后,可以透传CAMS/iMC报文给iNode设备,通知iNode设备一些EAD服务器的信息,例如IP地址等。
【举例】
# 开启基于L2TP接入的EAD功能。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] ppp access-control enable
【相关命令】
· display ppp access-control interface
ppp lcp imsi request命令用来配置在LNS侧发起IMSI捆绑协商请求。
undo ppp lcp imsi request命令用来恢复缺省情况。
【命令】
ppp lcp imsi request
undo ppp lcp imsi request
【缺省情况】
LNS侧不发起IMSI捆绑协商请求。
【视图】
接口视图
【缺省用户角色】
network-admin
【举例】
# 配置在LNS侧发起IMSI捆绑协商请求。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp lcp imsi request
【相关命令】
· ppp lcp imsi accept
· ppp lcp imsi string
ppp lcp imsi string命令用来配置Client侧/LAC侧的IMSI信息。
undo ppp lcp imsi string命令用来恢复缺省情况。
【命令】
ppp lcp imsi string imsi-info
undo ppp lcp imsi string
【缺省情况】
IMSI信息从设备上自动获取。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
imsi-info:配置Client侧/LAC侧的IMSI信息,为1~31个字符的字符串,区分大小写。
【举例】
# 配置Client侧的IMSI信息为imsi1。
<Sysname> system-view
[Sysname] interface serial 2/1/0:0
[Sysname-Serial2/1/0:0] ppp lcp imsi string imsi1
# 配置LAC侧的IMSI信息为imsi1。
<Sysname> system-view
[Sysname] interface virtual-ppp 1
[Sysname-Virtual-PPP1] ppp lcp imsi string imsi1
【相关命令】
· ppp lcp imsi request
· ppp lcp imsi accept
ppp lcp sn request命令用来配置在LNS侧发起SN捆绑协商请求。
undo ppp lcp sn request命令用来恢复缺省情况。
【命令】
ppp lcp sn request
undo ppp lcp sn request
【缺省情况】
LNS侧不发起的SN捆绑协商请求。
【视图】
接口视图
【缺省用户角色】
network-admin
【举例】
# 配置在LNS侧发起SN捆绑协商请求。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp lcp sn request
【相关命令】
· ppp lcp sn accept
· ppp lcp sn string
ppp lcp sn string命令用来配置Client侧/LAC侧的IMSI信息。
undo ppp lcp sn string命令用来恢复缺省情况。
【命令】
ppp lcp sn string sn-info
undo ppp lcp sn string
【缺省情况】
SN信息从设备上自动获取。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
sn-info:配置Client侧/LAC侧的SN信息,为1~31个字符的字符串,区分大小写。
【举例】
# 配置Client侧的SN信息为sn1。
<Sysname> system-view
[Sysname] interface serial 2/1/0:0
[Sysname-Serial2/1/0:0] ppp lcp sn string sn1
# 配置LAC侧的SN信息为sn1。
<Sysname> system-view
[Sysname] interface virtual-ppp 1
[Sysname-Virtual-PPP1] ppp lcp sn string sn1
【相关命令】
· ppp lcp sn accept
· ppp lcp sn request
ppp user accept-format imsi-sn split命令用来配置协商认证时拆分对端用户名使用的分隔符。
undo ppp user accept-format命令用来恢复到缺省情况。
【命令】
ppp user accept-format imsi-sn split splitchart
undo ppp user accept-format
【缺省情况】
未配置协商认证时拆分对端用户名使用的分隔符。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
splitchart:IMSI/SN捆绑协商认证时拆分对端用户名使用的分隔符,长度为1个字符,可以为字母、数字或者%、#、@等符号。
【使用指导】
本命令用来配置协商认证时拆分对端用户名使用的分隔符,例如splitchart为@,则接收到用户名imsiinfo@sninfo@username后,会将对端用户名拆分为imsiinfo、sninfo、username。
如果协商认证时没有协商到对端的IMSI/SN信息,则使用拆分出来的IMSI/SN信息。
【举例】
# 配置协商认证时拆分对端用户名使用的分隔符为#。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp user accept-format imsi-sn split #
【相关命令】
· ppp user attach-format imsi-sn split
· ppp user replace
ppp user attach-format imsi-sn split命令用来配置协商认证时发送对端用户名使用的分隔符。
undo ppp user attach-format命令用来恢复缺省情况。
【命令】
ppp user attach-format imsi-sn split splitchart
undo ppp user attach-format
【缺省情况】
未配置协商认证时发送对端用户名使用的分隔符。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
splitchart:IMSI/SN捆绑协商认证时发送用户名使用的分隔符,长度为1个字符,可以为字母、数值或者%、#、@等符号。
【使用指导】
本命令用来配置协商认证时发送对端用户名使用的分隔符,例如设置splitchart为@,则以如下格式发送用户名imsiinfo@sninfo@username。
【举例】
# 在Clinet侧配置协商认证时发送对端用户名使用的分隔符为#。
<Sysname> system-view
[Sysname] interface serial 2/1/0:0
[Sysname-Serial2/1/0:0] ppp user attach-format imsi-sn split #
# 在LAC侧配置协商认证时发送对端用户名使用的分隔符为#。
<Sysname> system-view
[Sysname] interface virtual-ppp 1
[Sysname-Virtual-PPP1] ppp user attach-format imsi-sn split #
【相关命令】
· ppp user accept-format imsi-sn split
· ppp user replace
ppp user replace命令用来配置使用IMSI/SN信息代替用户名进行IMSI/SN捆绑协商认证。
undo ppp user replace命令用来恢复缺省情况。
【命令】
ppp user replace { imsi | sn }
undo ppp user replace
【缺省情况】
使用用户名进行IMSI/SN协商认证。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
imsi:使用IMSI信息代替用户名进行IMSI/SN捆绑协商认证。
sn:使用SN信息代替用户名进行IMSI/SN捆绑协商认证。
【举例】
# 配置使用IMSI信息代替用户名进行IMSI/SN捆绑协商认证。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp user replace imsi
【相关命令】
· ppp user accept-format imsi-sn split
· ppp user attach-format imsi-sn split
reset counters interface virtual-ppp命令用来清除虚拟PPP接口的统计信息。
【命令】
reset counters interface [ virtual-ppp [ interface-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
virtual-ppp [ interface-number ]:虚拟PPP接口的编号,取值范围为0~255。如果不指定virtual-ppp和interface-number,则清除除VA接口外所有接口的统计信息;如果指定virtual-ppp而不指定interface-number,则清除所有虚拟PPP接口的统计信息;如果同时指定virtual-ppp和interface-number,则清除指定虚拟PPP接口的统计信息。
【使用指导】
在某些情况下,需要统计一定时间内某接口的流量,这就需要在统计开始前清除该接口原有的统计信息,重新进行统计。
【举例】
# 清除虚拟PPP接口10的统计信息。
<Sysname> reset counters interface virtual-ppp 10
reset l2tp tunnel命令用来断开L2TP隧道,同时断开该隧道内的所有会话。
【命令】
reset l2tp tunnel { id tunnel-id | name remote-name }
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
id tunnel-id:断开隧道ID为指定值的L2TP隧道。tunnel-id为隧道ID,取值范围为1~65535。
name remote-name:断开与指定隧道对端之间的L2TP隧道。remote-name表示隧道对端的名称,为1~31个字符的字符串,区分大小写。
【使用指导】
在用户数为零、网络发生故障等情况下,可以通过本命令强制断开指定的L2TP隧道。LAC和LNS任何一端都可主动发起断开L2TP隧道的请求。隧道断开后,该隧道上的所有L2TP会话也将被清除。
强制断开一个L2TP隧道后,当对端用户再次呼入时,隧道可以重新建立。
通过指定隧道的对端名称来确定需要断开的L2TP隧道时,如果没有符合条件的L2TP隧道存在,则对当前的L2TP隧道没有影响;如果有多个符合条件的L2TP隧道存在(同一个名称,不同IP地址),则断开所有符合条件的L2TP隧道。
【举例】
# 断开对端名称为aaa的L2TP隧道,并断开该隧道内的所有会话。
<Sysname> reset l2tp tunnel name aaa
【相关命令】
source-ip命令用来设置L2TP隧道的源端地址,即封装后L2TP隧道报文的源地址。
undo source-ip命令用来恢复缺省情况。
【命令】
source-ip ip-address
undo source-ip
【缺省情况】
L2TP隧道的源端地址为本端隧道出接口的IP地址。
【视图】
L2TP组视图
【缺省用户角色】
network-admin
【参数】
ip-address:L2TP隧道的源端IP地址。
【使用指导】
建议将L2TP隧道的源端地址配置为设备上某LoopBack接口的IP地址,以减小物理接口故障对L2TP业务造成的影响。
只能在LAC模式的L2TP组下执行本命令。LNS模式的L2TP组下不支持本命令。
【举例】
# 设置L2TP隧道的源端地址为2.2.2.2。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] source-ip 2.2.2.2
tunnel authentication命令用来开启L2TP隧道验证功能。
undo tunnel authentication命令用来关闭L2TP隧道验证功能。
【命令】
tunnel authentication
undo tunnel authentication
【缺省情况】
L2TP隧道验证功能处于开启状态。
【视图】
L2TP组视图
【缺省用户角色】
network-admin
【使用指导】
L2TP隧道验证功能用来防止本端设备与非法的对端设备建立L2TP隧道,提高网络的安全性。
如果LAC和LNS两端都开启了隧道验证功能,则两端密钥(通过tunnel password命令配置)不为空并且完全一致的情况下,二者之间才能成功建立L2TP隧道。
如果LAC和LNS中的一端开启了隧道验证功能,则另一端可不开启隧道验证功能,但需要两端密钥(通过tunnel password命令配置)不为空并且完全一致,二者之间才能成功建立L2TP隧道。
如果LAC和LNS两端都禁用隧道验证功能,则无论两端是否配置密钥、密钥是否相同,都不影响隧道建立。
为了保证隧道安全,建议用户不要禁用隧道验证功能。
【举例】
# 开启L2TP隧道验证功能。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lns
[Sysname-l2tp1] tunnel authentication
【相关命令】
· tunnel password
tunnel avp-hidden命令用来配置隧道采用隐藏方式(即密文方式)传输AVP数据。
undo tunnel avp-hidden命令用来恢复缺省情况。
【命令】
tunnel avp-hidden
undo tunnel avp-hidden
【缺省情况】
隧道采用明文方式传输AVP数据。
【视图】
L2TP组视图
【缺省用户角色】
network-admin
【使用指导】
L2TP协议通过AVP(Attribute Value Pair,属性值对)来传输隧道协商参数、会话协商参数和用户认证信息等。如果用户不希望这些信息(如用户密码)被窃取,则可以使用本配置将AVP数据的传输方式配置为隐藏传输,即利用隧道验证密钥(通过tunnel password命令配置)对AVP数据进行加密传输。
LAC和LNS模式的L2TP组下都可以执行本命令。但是,目前LNS模式的L2TP组下本命令不会生效。
只有通过tunnel authentication命令开启隧道验证功能后,本命令才会生效。
【举例】
# 配置AVP数据采用隐藏方式传输。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] tunnel avp-hidden
【相关命令】
· tunnel authentication
· tunnel password
tunnel flow-control命令用来开启L2TP会话的流控功能。
undo tunnel flow-control命令用来关闭L2TP会话的流控功能。
【命令】
tunnel flow-control
undo tunnel flow-control
【缺省情况】
L2TP会话的流控功能处于关闭状态。
【视图】
L2TP组视图
【缺省用户角色】
network-admin
【使用指导】
L2TP会话的流控功能是指在L2TP会话上传递的报文中携带序列号,通过序列号检测是否存在丢包,并根据序列号对乱序报文进行排序。
L2TP会话的流控功能应用在L2TP数据报文的接收与发送过程中。
只要LAC和LNS中的一端开启了流控功能,二者之间建立的L2TP会话就支持流控功能。设备作为LAC时,L2TP会话建立后如果LNS上改变了流控功能的状态,则L2TP会话的流控功能状态随之改变。设备作为LNS时,L2TP会话建立后如果LAC上改变了流控功能的状态,则L2TP会话的流控功能状态不会随之改变。
【举例】
# 开启L2TP会话的流控功能。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] tunnel flow-control
tunnel name命令用来配置隧道本端的名称。
undo tunnel name命令用来恢复缺省情况。
【命令】
tunnel name name
undo tunnel name
【缺省情况】
隧道本端的名称为设备的名称。设备名称的详细介绍,请参见“基础配置指导”中的“设备管理”。
【视图】
L2TP组视图
【缺省用户角色】
network-admin
【参数】
name:隧道本端的名称,为1~31个字符的字符串,区分大小写。
【举例】
# 配置隧道本端的名称为itsme。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lns
[Sysname-l2tp1] tunnel name itsme
【相关命令】
· sysname(基础配置命令参考/设备管理)
tunnel password命令用来配置隧道验证密钥。
undo tunnel password命令用来恢复缺省情况。
【命令】
tunnel password { cipher | simple } string
undo tunnel password
【缺省情况】
未配置隧道验证密钥。
【视图】
L2TP组视图
【缺省用户角色】
network-admin
【参数】
cipher:以密文方式设置密钥。
simple:以明文方式设置密钥,该密钥将以密文形式存储。
string:隧道验证密钥,区分大小写。如果是cipher方式,则string为1~53个字符的密文字符串;如果是simple方式,则string为1~16个字符的明文字符串。
【使用指导】
只有通过tunnel authentication命令开启隧道验证功能后,本命令才会生效。
以明文或密文形式设置的密钥,均以密文的方式保存在配置文件中。
如果用户需要修改隧道验证的密钥,请在隧道开始协商前进行,否则修改的密钥不生效。
【举例】
# 以明文方式配置隧道验证密钥为yougotit。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] tunnel password simple yougotit
【相关命令】
· tunnel authentication
tunnel retransmit命令用来配置L2TP控制报文的超时重传次数。
undo tunnel retransmit命令用来恢复缺省情况。
【命令】
tunnel retransmit times
undo tunnel retransmit
【缺省情况】
L2TP控制报文的超时重传次数为9。
【视图】
L2TP组视图
【缺省用户角色】
network-admin
【参数】
times:L2TP控制报文的超时重传次数,取值范围为1~9。
【使用指导】
当本端向L2TP隧道的对端发送L2TP控制报文后,如果在一定时间(初始超时重传时间通过tunnel timeout命令配置)内未收到响应报文,则重传该报文。
当本端重传L2TP控制报文的次数达到本命令配置的次数后,如果依然未收到响应报文,则本端认为该L2TP隧道已经异常中断,将清除该隧道的相关信息。
【举例】
# 配置L2TP控制报文超时重传次数为3。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] tunnel retransmit 3
【相关命令】
· tunnel timeout
tunnel timeout命令用来配置L2TP控制报文的初始超时重传时间。
undo tunnel timeout命令用来恢复缺省情况。
【命令】
tunnel timeout timeout
undo tunnel timeout
【缺省情况】
L2TP控制报文的初始超时重传时间为1秒。
【视图】
L2TP组视图
【缺省用户角色】
network-admin
【参数】
timeout:L2TP控制报文的初始超时重传时间,取值范围为1~10,单位为秒。
【使用指导】
当本端向L2TP隧道的对端发送L2TP控制报文后,如果在超时重传时间内未收到响应报文,则重传该报文。当设备重传L2TP控制报文的次数达到tunnel retransmit命令配置的次数后,如果依然未收到响应报文,则本端认为该L2TP隧道已经异常中断,将清除该隧道的相关信息。
超时重传时间=初始超时重传时间×2已重传次数。当某次超时重传时间达到或超过16秒时,包括该次在内的所有剩余重传次数的超时重传时间都固定为16秒。例如tunnel retransmit命令配置的重传次数为5次,tunnel timeout命令配置的初始超时重传时间3秒,那么5次重传的超时时间间隔分别为3秒、6秒、12秒、16秒、16秒。
为避免设备在短时间内发送大量L2TP控制报文,影响设备性能,当设备上所有L2TP组中的L2TP隧道之和超过256时,设备会忽略tunnel timeout命令的配置,自动将L2TP控制报文的超时重传时间强制固定为16秒;当L2TP隧道总数下降到256及以下时,设备根据已重传次数和tunnel timeout命令的配置计算下次的超时重传时间。
【举例】
# 配置L2TP控制报文的初始超时重传时间为10秒。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] tunnel timeout 10
【相关命令】
· tunnel retransmit
tunnel timer hello命令用来配置隧道中Hello报文的发送时间间隔。
undo tunnel timer hello命令用来恢复缺省情况。
【命令】
tunnel timer hello hello-interval
undo tunnel timer hello
【缺省情况】
隧道中Hello报文的发送时间间隔为60秒。
【视图】
L2TP组视图
【缺省用户角色】
network-admin
【参数】
hello-interval:Hello报文的发送时间间隔,取值范围为60~1000,单位为秒。
【使用指导】
设备按照本命令配置的时间间隔周期性发送Hello报文,以免LAC和LNS之间的L2TP隧道和会话在超时后被删除。
在LNS和LAC上,可以配置不同的Hello报文发送时间间隔。
【举例】
# 配置隧道中Hello报文的发送时间间隔为90秒。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] tunnel timer hello 90
tunnel window receive命令用来配置L2TP隧道接收窗口的大小。
undo tunnel window receive命令用来恢复缺省情况。
【命令】
tunnel window receive size
undo tunnel window receive
【缺省情况】
L2TP隧道接收窗口的大小为1024。
【视图】
L2TP组视图
【缺省用户角色】
network-admin
【参数】
size:L2TP隧道接收窗口的大小,即本端可缓存处理的报文个数,取值范围为1~5000。
【使用指导】
如果乱序报文过多,可以通过调整L2TP接收窗口的大小进行缓解。当出现乱序报文的时候,如果乱序报文NS(L2TP报文中用于标识当前报文序列号的字段)在接收窗范围内,设备会先将报文缓存起来,等待NS等于接收窗下沿的报文到达。当收到NS等于接收窗下沿的报文时,则对其(NS等于接收窗下沿的报文)进行处理,处理完该报文后,接收窗下沿加1;如果此时缓存中存在NS等于接收窗下沿的报文,则继续处理;如不存在,则继续等待NS等于接收窗下沿的报文到达;依次类推。对于超过接收窗范围的报文进行丢弃。
在L2TP隧道建立时,接收窗口大小以L2TP组视图下配置的接收窗口大小为准。隧道建立完成后通过本命令修改L2TP隧道接收窗口的大小对已经建立的隧道接收窗口的大小无影响。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置隧道的接收窗口大小为128。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] tunnel window receive 128
【相关命令】
· tunnel window send
tunnel window send命令用来配置L2TP隧道发送窗口的大小。
undo tunnel window send命令用来恢复缺省情况。
【命令】
tunnel window send size
undo tunnel window send
【缺省情况】
L2TP隧道发送窗口的大小为0,即本端发送窗口的大小以隧道建立过程中对端携带的接收窗口大小的属性值为准,如果隧道建立过程中对端没有携带接收窗口大小属性,则本端隧道发送窗口的大小为4。
【视图】
L2TP组视图
【缺省用户角色】
network-admin
【参数】
size:L2TP隧道发送窗口的大小,即本端在未收到对端应答报文的情况下,可向对端发送的最大报文个数,取值范围为0~1024。
【使用指导】
在某些组网中可能出现对端的报文接收处理能力和对端接收窗口的大小不匹配的情况(例如:对端实际的报文接收处理能力为10,但接收窗口的大小为20),此时可以通过本命令调整本端L2TP隧道发送窗口的大小来适配对端的实际报文接收处理能力,以保证L2TP用户平稳上线。
在L2TP隧道建立时会获取L2TP组视图下配置的发送窗口大小。如果配置的发送窗口大小为0,则按缺省情况处理;如果配置的发送窗口大小非0,则以配置的发送窗口大小为准。隧道建立完成后通过本命令修改L2TP隧道发送窗口的大小对已经建立的隧道发送窗口的大小无影响。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置隧道的发送窗口大小为128。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] tunnel window send 128
【相关命令】
· tunnel window receive
user命令用来配置本端作为LAC端时向LNS发起隧道建立请求的触发条件。
undo user命令用来恢复缺省情况。
【命令】
user { domain domain-name | fullusername user-name }
undo user
【缺省情况】
未指定本端作为LAC端时向LNS发起隧道建立请求的触发条件。
【视图】
L2TP组视图
【缺省用户角色】
network-admin
【参数】
domain domain-name:指定接入用户的域名与配置的域名匹配时,LAC向LNS发起L2TP隧道建立请求。domain-name表示用户域名,为1~255个字符的字符串,不区分大小写。
fullusername user-name:指定接入用户的用户名与配置的完整用户名匹配时,LAC向LNS发起L2TP隧道建立请求。user-name表示完整的用户名,为1~255个字符的字符串,区分大小写。
【使用指导】
只有接入用户的域名或完整用户名符合本命令配置的触发条件时,LAC才会向对端LNS发送建立L2TP隧道的请求。
只能在LAC模式的L2TP组下执行本命令。LNS模式的L2TP组下不支持本命令。
如果在同一个L2TP组下多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置接入用户的完整用户名为test@dm1时,触发LAC向LNS发送L2TP隧道建立请求。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] user fullusername test@dm1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
