- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
09-L2TP配置
本章节下载: 09-L2TP配置 (905.78 KB)
目 录
1.13.1 NAS-Initiated模式L2TP隧道双栈用户配置举例(ND前缀池授权前缀)
1.13.2 Client-Initiated模式L2TP隧道配置举例
1.13.3 LAC-Auto-Initiated模式L2TP隧道配置举例
1.14.1 NAS-Initiated模式L2TP配置举例(1:1 pUP热备)(LAC转控分离)
1.14.2 Client-Initiated模式L2TP隧道配置举例(LNS转控分离)
1.14.3 LAC-Auto-Initiated模式L2TP隧道配置举例(LNS转控分离)
1.14.4 NAS-Initiated模式L2TP配置举例(LAC+LNS转控分离)
L2TP(Layer 2 Tunneling Protocol,二层隧道协议)通过在公共网络(如Internet)上建立点到点的L2TP隧道,将PPP(Point-to-Point Protocol,点对点协议)数据帧封装后通过L2TP隧道传输,使得远端用户(如企业驻外机构和出差人员)利用PPP接入公共网络后,能够通过L2TP隧道与企业内部网络通信,访问企业内部网络资源,从而为远端用户接入私有的企业网络提供了一种安全、经济且有效的方式。
图1-1 L2TP典型组网
如图1-1所示,L2TP的典型组网中包括以下三个部分:
· 远端系统
远端系统是要接入企业内部网络的远端用户和远端分支机构,通常是一个拨号用户的主机或私有网络中的一台设备。
· LAC(L2TP Access Concentrator,L2TP访问集中器)
LAC是具有PPP和L2TP协议处理能力的设备,通常是一个当地ISP的NAS(Network Access Server,网络接入服务器),主要用于为PPP类型的用户提供接入服务。
LAC作为L2TP隧道的端点,位于LNS和远端系统之间,用于在LNS和远端系统之间传递报文。它把从远端系统收到的报文按照L2TP协议进行封装并送往LNS,同时也将从LNS收到的报文进行解封装并送往远端系统。
· LNS(L2TP Network Server,L2TP网络服务器)
LNS是具有PPP和L2TP协议处理能力的设备,通常位于企业内部网络的边缘。
LNS作为L2TP隧道的另一侧端点,是LAC通过隧道传输的PPP会话的逻辑终点。L2TP通过在公共网络中建立L2TP隧道,将远端系统的PPP连接由原来的NAS延伸到了企业内部网络的LNS设备。
L2TP协议定义了两种消息:
· 控制消息:用于L2TP隧道和L2TP会话的建立、维护和拆除。控制消息的传输是可靠的,并且支持流量控制和拥塞控制。
· 数据消息:用于封装PPP帧,其格式如图1-2所示。数据消息的传输是不可靠的,若数据消息丢失,不予重传。数据消息支持流量控制,即支持对乱序的数据消息进行排序。
图1-2 L2TP数据消息格式
如图1-3所示,L2TP控制消息和L2TP数据消息均封装在UDP报文中。
图1-3 L2TP消息封装结构图
· L2TP协议本身没有数据分片功能,但是在进行IP封装时,可以在需要时进行分片。在LAC侧和LNS侧之间存在多条通信路径的情况下,分片可能导致报文在LAC侧重组失败,为保证报文不被分片,需要确保封装后的报文大小不能超过实际接口的MTU。
· 在L2TP只承载TCP业务的情况下,建议优先采用在系统视图配置较小的TCP MSS值(由tcp modify-mss命令配置)的方式规避封装后报文分片问题。
· 在L2TP承载TCP、UDP等多种业务的情况下,建议LNS侧VT接口上配置的MTU值≤(LNS设备上用于连接LAC侧的实际接口的MTU值-48)。若LNS侧未配置强制LCP重新协商,则配置VT接口的MTU不生效,故在配置VT接口的MTU时,要求同时在LNS侧配置强制LCP重新协商。
L2TP隧道是LAC和LNS之间的一条虚拟点到点连接。控制消息和数据消息都在L2TP隧道上传输。在同一对LAC和LNS之间可以建立多条L2TP隧道。每条隧道可以承载一个或多个L2TP会话。
L2TP会话复用在L2TP隧道之上,每个L2TP会话对应于一个PPP会话。当远端系统和LNS之间建立PPP会话时,LAC和LNS之间将建立与其对应的L2TP会话。属于该PPP会话的数据帧通过该L2TP会话所在的L2TP隧道传输。
L2TP隧道包括NAS-Initiated、Client-Initiated和LAC-Auto-Initiated三种模式。
NAS-Initiated模式下,LAC和LNS支持普通模式和转发与控制分离模式。本节以LAC和LNS工作在普通模式为例介绍L2TP隧道建立的过程。有关LAC和LNS工作在转发与控制分离模式的介绍请参见“1.1.5 L2TP支持转发与控制分离模式”。
如图1-4所示,NAS-Initiated模式L2TP隧道的建立由LAC(即NAS)发起。远端系统的拨号用户通过PPPoE拨入LAC后,由LAC向LNS发起建立L2TP隧道的请求。
图1-4 NAS-Initiated模式L2TP隧道示意图
NAS-Initiated模式L2TP隧道具有如下特点:
· 远端系统只需支持PPP协议,不需要支持L2TP。
· 对远端拨号用户的身份认证与计费既可由LAC代理完成,也可由LNS完成。
图1-5 NAS-Initiated模式L2TP隧道的建立流程
如图1-5所示,NAS-Initiated模式L2TP隧道的建立过程为:
(1) 远端系统Host A发起呼叫,请求建立连接。
(2) Host A和LAC(Device A)进行PPP LCP协商。
(3) LAC对Host A提供的PPP用户信息进行PAP或CHAP认证。
(4) LAC将认证信息(用户名、密码)发送给RADIUS服务器进行认证。
(5) RADIUS服务器认证该用户,并返回认证结果。
(6) 如果认证通过,且根据用户名或用户所属ISP域判断该用户为L2TP用户,则LAC向LNS(Device B)发起L2TP隧道建立请求。
(7) 在需要对隧道进行认证的情况下,LAC和LNS分别发送CHAP challenge信息,以验证对方身份。隧道验证通过后,LAC和LNS之间成功建立了L2TP隧道。
(8) LAC和LNS在L2TP隧道上协商建立L2TP会话。
(9) LAC将PPP用户信息和PPP协商参数等传送给LNS。
(10) LNS将认证信息发送给RADIUS服务器进行认证。
(11) RADIUS服务器认证该用户,并返回认证结果。
(12) 认证通过后,LNS为Host A分配一个企业网内部的IP地址。
(13) 获得IP地址后,PPP用户可以通过Host A访问企业内部资源。
在步骤(12)和(13)中,LAC负责在Host A和LNS之间转发报文。Host A和LAC之间交互的是PPP数据帧,LAC和LNS之间交互的是L2TP数据报文。
如图1-6所示,Client-Initiated模式L2TP隧道的建立直接由LAC client(指本地支持L2TP协议的远端系统)发起。LAC client具有公网地址,并能够通过Internet与LNS通信后,如果在LAC client上触发L2TP拨号,则LAC client直接向LNS发起L2TP隧道建立请求,无需经过LAC设备建立隧道。
图1-6 Client-Initiated模式L2TP隧道示意图
Client-Initiated模式L2TP隧道具有如下特点:
· L2TP隧道在远端系统和LNS之间建立,具有较高的安全性。
· Client-Initiated模式L2TP隧道对远端系统要求较高(远端系统必须是支持L2TP协议的LAC client,且能够与LNS通信),因此它的扩展性较差。
如图1-7所示,Client-Initiated模式L2TP隧道的建立过程与NAS-Initiated模式类似,此处不再赘述。
图1-7 Client-Initiated模式L2TP隧道的建立流程
采用NAS-Initiated方式建立L2TP隧道时,要求远端系统必须通过PPPoE等拨号方式拨入LAC,且只有远端系统拨入LAC后,才能触发LAC向LNS发起建立隧道的请求。
如图1-8所示,在LAC-Auto-Initiated模式下,不需要远端系统拨号触发,在LAC上通过执行l2tp-auto-client命令即可触发LAC建立L2TP隧道。远端系统访问LNS连接的内部网络时,LAC将通过L2TP隧道转发这些访问数据。
图1-8 LAC-Auto-Initiated模式L2TP隧道示意图
LAC-Auto-Initiated模式L2TP隧道具有如下特点:
· 远端系统和LAC之间可以是任何基于IP的连接,不局限于拨号连接。
· 不需要远端系统上的拨号接入来触发建立L2TP隧道。
· L2TP隧道创建成功后立即建立L2TP会话,然后在LAC和LNS之间进行PPP协商,LAC和LNS分别作为PPP客户端和PPP服务器端。
· LNS为LAC分配企业网内部的IP地址,而不是为远端系统分配。
如图1-9所示,LAC-Auto-Initiated模式L2TP隧道的建立过程与NAS-Initiated模式类似,此处不再赘述。
图1-9 LAC-Auto-Initiated模式L2TP隧道的建立流程
为解决传统BRAS(Broadband Remote Access Server,宽带远程接入服务器)中存在的控制平面与转发平面能力不匹配、无法共享资源以及新业务部署不及时等问题,业界提出了基于vBRAS(Virtual Broadband Remote Access Server,虚拟化宽带远程接入服务器)的转发与控制分离方案。
转发与控制分离是指将转发平面与控制平面完全解耦,二者互不约束。在转发与控制分离方案中,包括CP和UP两种角色,由二者共同实现BRAS功能。其中:
· CP(Control Plane,控制平面):负责完成用户身份认证、地址分配与管理等控制平面功能。其中,CP一般由vBRAS虚拟宽带远程接入服务器担任。
· UP(User Plane,用户平面):负责完成用户数据流量转发和流量控制等转发平面功能。
目前仅在NAS-Initiated模式下,并且拨号用户通过PPPoE方式拨入LAC时,LAC才支持转发与控制分离模式;LNS转发与控制分离不限制LAC端采用的隧道模式,即针对NAS-Initiated、Client-Initiated和LAC-Auto-Initiated三种模式时,LNS均支持转发与控制分离模式。以NAS-Initiated为例,转发与控制分离组网图如图1-10所示。
图1-10 NAS-Initiated模式L2TP隧道示意图
LAC CP和LAC UP之间,以及LNS CP和LNS UP之间都通过建立如下三条通道实现转发与控制分离功能:
· 管理通道:用作CP和UP之间配置下发的通道。
· 控制通道:用作CP和UP之间表项下发的通道。
· 协议通道:用作CP和UP之间协议报文交互的通道。
在转发与控制分离组网环境中,L2TP LAC和LNS都有三种工作模式:普通模式、控制模式和转发模式。其中控制模式和转发模式又统称为转发与控制分离模式。
· 普通模式:本模式下,设备的控制及数据转发业务均由同一LAC或LNS设备完成。工作在本模式的设备称作一体化设备。
· 控制模式:本模式下,设备仅完成控制业务。工作在本模式的设备称作LAC CP或LNS CP。
· 转发模式:本模式下,设备仅完成数据转发业务。工作在本模式的设备称作LAC UP或LNS UP。
· 除特殊说明外,本文中的LAC和LNS均指工作在普通模式的情况。
· 转发与控制分离模式下的L2TP组网中,本设备仅支持作为UP,不支持作为CP。
LAC端和LNS端的基本流程如下:
· LAC端:L2TP LAC转发与控制分离功能是在PPPoE转发与控制分离功能的基础上实现。在完成PPPoE协商进入L2TP协商阶段之后,LAC CP会将L2TP控制报文经过LAC UP转发给LNS,同样,LAC UP在收到LNS的控制报文之后会转发给LAC CP进行协商;在L2TP协商完成后LAC CP会将L2TP隧道和会话信息、PPP和PPPoE会话信息下发给LAC UP,后续的数据报文直接在LAC UP上进行转发。
· LNS端:LNS CP会将L2TP控制报文经过LNS UP转发给LAC,同样,LNS UP在收到LAC的控制报文之后会转发给LNS CP进行协商;在L2TP协商完成后LNS CP会将L2TP隧道和会话信息下发给LNS UP,后续的数据报文直接在LNS UP上进行转发。
具体流程如图1-11所示。
图1-11 转发与控制分离模式下的L2TP隧道建立流程
(1) 用户主机向LAC UP发送PPPoE discovery(发现阶段所有报文统称)报文。
(2) LAC UP通过VXLAN隧道将报文上送LAC CP处理。
(3) LAC CP创建PPPoE会话,进行PPP协商,LAC CP向AAA服务器发送认证请求,认证请求消息中包含用户名和密码等信息。
(4) AAA服务器认证该用户并返回认证结果。
(5) 若用户认证通过,且根据用户名或者用户所属ISP域判断该用户为L2TP用户,则LAC CP开始与LNS CP进行L2TP隧道和会话的协商。
(6) LAC CP将L2TP控制报文通过VXLAN隧道发送给LAC UP。
(7) LAC UP从LAC CP收到L2TP控制报文后,先VXLAN解封装,再将L2TP控制报文转发给LNS UP;LNS UP将从LAC UP收到的L2TP控制报文通过VXLAN隧道转发给LNS CP。
(8) LNS CP收到L2TP控制报文后,先VXLAN解封装,再根据解封装后的L2TP控制报文创建L2TP隧道,并将给LAC UP的回应报文通过VXLAN隧道发给LNS UP;LNS UP从LNS CP收到回应报文后,先VXLAN解封装,再将回应报文转发给LAC UP。
(9) LAC UP收到LNS回应的L2TP控制报文后,通过VXLAN隧道将L2TP控制报文转发给LAC CP。
(10) LAC CP收到L2TP控制报文后,先VXLAN解封装,再对L2TP控制报文进行相应的协商处理。重复步骤(6)~(10),LAC CP和LNS CP之间成功建立L2TP隧道和L2TP会话。
(11) LAC CP将建立的所有的L2TP隧道和会话信息、PPP和PPPoE会话信息通过CUSP通道下发给LAC UP;LNS CP将建立的所有L2TP隧道和会话信息通过CUSP通道下发给LNS UP。
(12) LAC CP将PPP用户信息和PPP协商参数等经LAC UP传送给LNS UP,LNS UP再转发给LNS CP。
(13) LNS CP将认证信息发送给RADIUS服务器进行认证。
(14) RADIUS服务器认证该用户,并返回认证结果。
(15) 认证通过后,LNS CP为Host A分配一个企业网内部的IP地址。
(16) 获得IP地址后,Host A可以访问企业内部资源。
在步骤(15)和(16)中,LAC UP负责在Host A和LNS UP之间转发报文。Host A和LAC UP之间交互的是PPP数据帧,LAC UP和LNS UP之间交互的是L2TP数据报文。
L2TP协议本身并不提供连接的安全性,但它可依赖于PPP提供的认证(比如CHAP、PAP等),因此具有PPP所具有的所有安全特性。
L2TP还可以与IPsec结合起来实现数据安全,使得通过L2TP所传输的数据更难被攻击。
L2TP传输PPP数据包,在PPP数据包内可以封装多种协议。
LAC和LNS可以将用户名和密码发往RADIUS服务器,由RADIUS服务器对用户身份进行认证。
LNS可以对远端系统的地址进行动态的分配和管理,可支持私有地址应用(RFC 1918)。为远端系统分配企业内部的私有地址,可以方便地址的管理并增加安全性。
可在LAC和LNS两处同时计费,即ISP处(用于产生账单)及企业网关(用于付费及审计)。L2TP能够提供数据传输的出/入包数、字节数以及连接的起始、结束时间等计费数据,AAA服务器可根据这些数据方便地进行网络计费。
L2TP协议支持备份LNS,当主LNS不可达之后,LAC可以与备份LNS建立连接,增加了L2TP服务的可靠性。
L2TP隧道采用NAS-Initiated模式时,LAC上的L2TP隧道属性可以通过RADIUS服务器来下发。此时,在LAC上只需开启L2TP服务,并配置采用AAA远程认证方式对PPP用户进行身份验证,无需进行其他L2TP配置。
当L2TP用户拨入LAC时,LAC作为RADIUS客户端将用户的身份信息发送给RADIUS服务器。RADIUS服务器对L2TP用户的身份进行验证。RADIUS服务器将验证结果返回给LAC,并将该用户对应的L2TP隧道属性下发给LAC。LAC根据下发的隧道属性,创建L2TP隧道和会话。
目前,RADIUS服务器可以为LAC下发的属性如表1-1所示。
表1-1 RADIUS服务器为LAC下发的主要属性列表
|
属性编号 |
属性名称 |
描述 |
|
64 |
Tunnel-Type |
隧道类型,目前只支持L2TP隧道类型 |
|
65 |
Tunnel-Medium-Type |
隧道的传输媒介类型,目前只支持IPv4 |
|
66 |
Tunnel-Client-Endpoint |
隧道源IP地址 |
|
67 |
Tunnel-Server-Endpoint |
LNS的IP地址 |
|
69 |
Tunnel-Password |
隧道验证密钥 |
|
81 |
Tunnel-Private-Group-Id |
隧道的Group ID LAC将该值发送给LNS,以便LNS根据该值进行相应的处理 |
|
82 |
Tunnel-Assignment-Id |
隧道的Assignment ID 用来标识会话承载在哪条隧道上,具有相同Tunnel-Assignment-Id、Tunnel-Server_Endpoint和Tunnel-Password的L2TP用户共用同一条L2TP隧道 |
|
83 |
Tunnel-Preference |
隧道的优先级 用来标识LNS IP地址的优先级,数值越小,优先级越高 |
|
90 |
Tunnel-Client-Auth-Id |
LAC端的隧道名称 用来标识本端隧道 |
仅在通过RADIUS服务器给LAC授权了64号属性(Tunnel-Type),且隧道类型为L2TP的情况下,才支持通过RADIUS服务器授权隧道属性方式建立隧道。
当采用RADIUS服务器授权隧道属性方式建立隧道时:
· 如果RADIUS服务器授权的隧道属性和LAC上通过命令行手工配置的隧道属性相同,则隧道属性的值以RADIUS服务器授权的属性为准。
· 对于RADIUS服务器未授权的隧道属性,则以LAC上通过命令行手工配置的属性为准。
· 如果RADIUS服务器通过83号属性Tunnel-Preference给LNS IP授权了优先级,那么LAC将按优先级从高到低依次向各LNS尝试建立隧道,直到和某个LNS成功建立隧道;对于具有相同优先级的LNS IP,LAC采用负载分担方式建立隧道。
· RADIUS服务器支持为同一LAC授权多组隧道属性,且每组隧道属性可以不同。例如可以为不同LNS的IP授权不同的隧道密码等隧道属性进行隧道的建立。
如图1-12所示,设备可以同时作为LNS和LAC,终结来自LAC的L2TP报文后,再将其通过L2TP隧道发送给最终的LNS,实现L2TP隧道的交换,即多跳L2TP隧道。同时作为LNS和LAC的设备称为LTS(L2TP Tunnel Switch,L2TP隧道交换)设备。
L2TP隧道交换功能具有如下作用:
· LAC和LNS位于不同的管理域时,可以简化LAC和LNS的配置与部署。所有的LAC都将LTS当作LNS,不需要感知网络中是否存在多个LNS,不需要区分LNS;所有LNS都将LTS当作LAC,不需要感知LAC的新增和删除。
· 不同用户可以共用LAC和LTS之间的L2TP隧道,由LTS将不同用户的数据分发给不同的LNS。
图1-12 L2TP隧道交换组网图
与L2TP相关的协议规范有:
· RFC 1661:The Point-to-Point Protocol (PPP)
· RFC 1918:Address Allocation for Private Internets
· RFC 2661:Layer Two Tunneling Protocol "L2TP"
· RFC 2868:RADIUS Attributes for Tunnel Protocol Support
standard工作模式下,仅下表所列单板支持本功能。
表1-2 单板信息一览表
|
单板类型 |
单板丝印 |
|
CSPEX单板 |
CSPEX-1304S、CSPEX-1404S、CSPEX-1504S |
sdn-wan工作模式下,设备不支持本功能。
当在某个LAC端上同时配置了NAS-Initiated和LAC-Auto-Initiated两种隧道模式时,如果在LAC端虚拟PPP接口上通过ppp authentication-mode命令配置了LAC端对LNS端的认证,则下列两种方式配置的用户名不允许相同,否则会导致L2TP功能异常。
· LAC端L2TP组视图下通过user fullusername命令配置的用户名。(NAS-Initiated模式)
· LNS端虚拟模板接口上通过ppp pap local-user命令或ppp chap user命令配置的用户名(即LNS端作为被认证方发给认证方LAC端的用户名)。
普通模式下LAC端配置任务如下:
(1) 配置L2TP基本功能
(2) 配置LAC端
仅NAS-Initiated模式下为必选,LAC-Auto-Initiated模式下不建议配置。
¡ (可选)配置每个L2TP用户单独使用一条L2TP隧道
¡ (可选)配置AVP数据的隐藏传输
仅NAS-Initiated模式下为必选,LAC-Auto-Initiated模式下不建议配置。
仅LAC-Auto-Initiated模式下为必选,NAS-Initiated模式下不建议配置。
¡ (可选)配置虚拟PPP接口的轮询功能
¡ (可选)恢复当前虚拟PPP接口的缺省配置
¡ (可选)配置LAC对LNS的锁定时间
(3) (可选)配置L2TP公共参数
¡ 配置隧道验证
(4) (可选)配置整机上线L2TP会话数目的告警阈值
(5) (可选)开启添加L2TP会话失败的Trap告警功能
LNS端配置任务如下:
(1) 配置L2TP基本功能
(2) 配置LNS端
¡ 配置虚拟模板接口
¡ (可选)配置LNS端的用户验证
¡ (可选)配置LNS端的AAA认证
¡ (可选)配置LNS端每秒能处理ICRQ报文的最大数目
¡ (可选)配置LNS端每秒能处理SCCRQ报文的数目
(3) (可选)配置L2TP公共参数
¡ 配置隧道验证
(4) (可选)配置整机上线L2TP会话数目的告警阈值
(5) (可选)开启添加L2TP会话失败的Trap告警功能
· 在转发与控制分离组网中,本设备仅支持作为UP,不支持作为CP。
· 本节仅介绍设备作为UP时的相关配置。有关CP的相关配置,请参见担任CP角色的设备的产品手册。
当LAC作为UP时,无需配置任何L2TP相关的配置。
LAC UP配置任务如下:
(1) 配置设备工作在转发模式
(2) 配置CP-UP连接管理
· 在转发与控制分离组网中,本设备仅支持作为UP,不支持作为CP。
· 本节仅介绍设备作为UP时的相关配置。有关CP的相关配置,请参见担任CP角色的设备的产品手册。
当LNS作为UP时,无需配置任何L2TP相关的配置。
LNS UP配置任务如下:
(1) 配置设备工作在转发模式
(2) 配置CP-UP连接管理
配置L2TP时,需要执行以下操作:
(1) 根据实际组网环境,判断需要的网络设备。
¡ 对于NAS-Initiated和LAC-Auto-Initiated模式,需要配置LAC和LNS两台网络设备。
¡ 对于Client-Initiated模式,只需要配置LNS一台网络设备。
(2) 规划好设备在网络中的角色,然后分别进行LAC或LNS端的相关配置,使设备具有LAC或LNS端功能。
L2TP基本功能的配置包括如下内容:
· 启用L2TP功能:只有启用L2TP后,设备上的L2TP功能才能正常发挥作用。
· 创建L2TP组:L2TP组用于配置L2TP的相关参数,它不仅增加了L2TP配置的灵活性,还方便地实现了LAC和LNS之间一对一、一对多的组网应用。L2TP组在LAC和LNS上独立编号,只需要保证LAC和LNS之间关联的L2TP组的相关配置(如隧道对端名称、LNS地址等)保持对应关系即可。
· 配置隧道本端的名称:隧道本端的名称在LAC和LNS进行隧道协商时使用,它用来标识本端隧道,以供对端识别。
LAC端设备的隧道建立方式有如下两种:
· 方式1:通过l2tp-group group-number mode lac命令创建L2TP组方式和LNS端建立隧道。
· 方式2:通过RADIUS服务器直接为LAC端授权隧道属性方式和LNS端建立隧道。
对于NAS-Initiated模式L2TP隧道,上述两种方式都支持;对于LAC-Auto-Initiated模式L2TP隧道,仅支持第一种方式。
对于NAS-Initiated模式,如果同时配置了方式1和方式2,则方式2的优先级高。
· 若RADIUS服务器给用户授权了64号属性(Tunnel-Type),且隧道类型为L2TP,则在建立L2TP隧道:
¡ 如果RADIUS服务器授权的隧道属性和LAC上通过命令行手工配置的隧道属性相同,则隧道属性的值以RADIUS服务器授权的属性为准。
¡ 对于RADIUS服务器未授权的隧道属性,则以LAC上通过命令行手工配置的属性为准。
· 若RADIUS服务器未给用户授权64号属性,设备将完全依据LAC端上的L2TP配置为用户建立L2TP隧道。
若RADIUS服务器给用户授权64号属性但隧道类型不是L2TP,则不允许触发L2TP流程。
(1) 进入系统视图。
system-view
(2) 开启L2TP功能。
l2tp enable
缺省情况下,L2TP功能处于关闭状态。
(3) 创建L2TP组,指定L2TP组的模式,并进入L2TP组视图。
l2tp-group group-number [ group-name group-name ] mode { lac | lns }
在LAC端需要指定L2TP组的模式为lac;在LNS端需要指定L2TP组的模式为lns。
(4) 配置隧道本端的名称。
tunnel name name
缺省情况下,隧道本端的名称为设备的名称。
LAC端配置的隧道本端名称要与LNS端配置的允许接受的L2TP隧道请求的隧道对端名称保持一致。
对于LAC,工作在转发模式时仅完成数据转发功能,用户的控制报文会上送LAC CP进行处理。
对于LNS,工作在转发模式时仅完成数据转发功能,用户的控制报文和PPP、DHCPv6、ND等协议报文会上送LNS CP进行处理。
(1) 进入系统视图。
system-view
(2) 配置设备工作在转发模式。
work-mode user-plane
本命令的详细介绍请参见“BRAS业务命令参考”中的“UCM”。
具体配置请参见vBRAS-CP产品配置指导中的“CP-UP连接管理”。
本配置用来指定LAC向LNS发起隧道建立请求的触发条件。只有PPP用户的信息与指定的触发条件匹配时,LAC才认为该PPP用户为L2TP用户,向LNS发起L2TP隧道建立请求。
触发条件分为如下几种:
· 用户所属域下指定L2TP组:PPP用户的ISP域下通过l2tp-group命令指定了L2TP组,即认为当前ISP域下用户均L2TP用户。用户认证通过后即向LNS发起隧道建立请求。
· 完整的用户名(fullusername):只有PPP用户的用户名与配置的完整用户名匹配时,才会向LNS发起L2TP隧道建立请求。
· 用户所属域的域名(domain):PPP用户的ISP域名与配置的域名匹配时,即向LNS发起L2TP隧道建立请求。
当拨号用户拨入LAC,并认证通过后,LAC按如下原则进行处理:
· 如果拨号用户所属的ISP域下通过l2tp-group命令指定了L2TP组,即认为当前ISP域下用户均L2TP用户。用户认证通过后即向LNS发起隧道建立请求。
· 如果拨号用户所属的ISP域下未通过l2tp-group命令指定L2TP组,则:
¡ 先根据拨号用户的用户名与LAC设备上所有L2TP组下配置的完整用户名(fullusername user-name)进行匹配,一旦和某个L2TP组下配置的完整用户名匹配,则使用该L2TP组触发隧道建立请求。
¡ 如果拨号用户的用户名与当前LAC设备上所有L2TP组下配置的完整用户名都不匹配,则使用拨号用户所属ISP域的域名与LAC设备上所有L2TP组下配置的域名(domain domain-name)进行匹配,一旦和某个L2TP组下配置的域名匹配,则使用该L2TP组触发隧道建立请求。如果拨号用户所属ISP域的域名与LAC设备上所有L2TP组下配置的域名都不匹配,则该用户无法触发隧道建立请求。
拨号用户所属ISP域的域名按如下原则选择:
· 选择AAA授权的域名。如果AAA授权的域名与LAC设备上所有L2TP组下配置的域名都不匹配,则进入下一步。
· 选择PPP链路认证阶段使用的认证域的域名。有关PPP链路认证阶段使用的认证域的选择原则,请参见“BRAS业务命令参考”中的“PPP”。
¡ 如果PPP链路认证阶段使用的认证域的是PPP强制认证域,但PPP强制认证域与LAC设备上所有L2TP组下配置的域名都不匹配时:
- 如果用户名中携带了域名,则继续使用用户名中携带的域名与当前LAC设备上所有L2TP组下配置的域名匹配,一旦和某个L2TP组下配置的域名匹配,则使用该L2TP组触发隧道建立请求。
- 如果用户名携带的域名与当前LAC设备上所有L2TP组下配置的域名都不匹配,则该用户无法触发隧道建立请求。
- 如果用户名中未携带域名,则该用户无法触发隧道建立请求。
¡ 如果PPP链路认证阶段使用的认证域的是:用户名中携带域、PPP非强制认证域,或AAA模块选择的认证域,则使用选择出的域名与当前LAC设备上所有L2TP组下配置的域名进行匹配:
- 如果选择出的域名与某个L2TP组下配置的域名匹配,则使用该L2TP组触发隧道建立请求。
- 如果选择出的域名与所有L2TP组下配置的域名都不匹配,则该用户无法触发隧道建立请求。
每个L2TP组下指定的domain domain-name或fullusername user-name都必须唯一,即各个L2TP组下指定的触发条件不允许相同。
如果在用户所属的ISP域下未通过l2tp-user radius-force命令配置强制使用RADIUS服务器授权的隧道属性建立L2TP隧道,则:
· 若RADIUS服务器给用户授权了64号属性(Tunnel-Type),且隧道类型为L2TP,则在建立L2TP隧道时:
¡ 优先使用RADIUS服务器授权的隧道属性。
¡ 对于RADIUS服务器未授权的隧道属性,则按如下先后顺序选择使用第一个存在的L2TP组中配置的属性。
- RADIUS授权的L2TP组(通过183号属性H3C-Tunnel-Group-Name下发)
- ISP域下指定的L2TP组(通过ISP域视图下的l2tp-group命令配置)
- 根据用户名或域名匹配到系统视图下配置的L2TP组(通过系统视图下的l2tp-group命令配置)
- 缺省L2TP组(通过L2TP组视图下的default-lac-group enable命令配置)
· 若RADIUS服务器未给用户授权64号属性,设备将完全依据L2TP组下的配置为用户建立L2TP隧道,并按如下先后顺序选择使用第一个存在的L2TP组中的配置。
¡ RADIUS授权的L2TP组(通过183号属性H3C-Tunnel-Group-Name下发)
¡ ISP域下指定的L2TP组(通过ISP域视图下的l2tp-group命令配置)
¡ 根据用户名或域名匹配到系统视图下配置的L2TP组(通过系统视图下的l2tp-group命令配置)
如果在用户所属的ISP域下通过l2tp-user radius-force命令配置了强制使用RADIUS服务器授权的隧道属性建立L2TP隧道,则仅当通过RADIUS服务器给用户授权了64号属性(Tunnel-Type),且隧道类型为L2TP时,LAC才认为该PPP用户为L2TP用户,进行后续的L2TP处理。这种情况下,L2TP按如下原则选择用于建立L2TP隧道的隧道属性:
· 优先使用RADIUS服务器授权的隧道属性。
· 对于RADIUS服务器未授权的隧道属性,则按如下先后顺序选择使用第一个存在的L2TP组中配置的属性。
¡ RADIUS授权的L2TP组(通过183号属性H3C-Tunnel-Group-Name下发)
¡ ISP域下指定的L2TP组(通过ISP域视图下的l2tp-group命令配置)
¡ 根据用户名或域名匹配到系统视图下配置的L2TP组(通过系统视图下的l2tp-group命令配置)
¡ 缺省L2TP组(通过L2TP组视图下的default-lac-group enable命令配置)
有关l2tp-user radius-force命令和ISP域视图下的l2tp-group命令的详细介绍,请参见“BRAS业务命令参考”中的“AAA”。
(1) 进入系统视图。
system-view
(2) 配置向LNS发起隧道建立请求的触发条件。请至少选择其中一项进行配置。
¡ 配置本端作为LAC端时向LNS发起隧道建立请求的触发条件。
进入LAC模式的L2TP组视图。
l2tp-group group-number [ group-name group-name ] [ mode lac ]
配置向LNS发起隧道建立请求的触发条件。
user { domain domain-name | fullusername user-name }
缺省情况下,没有指定本端作为LAC端时向LNS发起隧道建立请求的触发条件。
¡ 指定当前ISP域下L2TP用户使用的L2TP组。
进入ISP域视图。
domain name isp-name
指定当前ISP域下L2TP用户使用的L2TP组。
l2tp-group { group-name group-name | group-number group-number }
缺省情况下,当前ISP域下未指定L2TP用户使用的L2TP组。
当ISP域下通过本命令指定了L2TP组后,即认为当前ISP域下用户均L2TP用户。认证通过后即向LNS发起隧道建立请求。
¡ 配置缺省L2TP组。
进入LAC模式的L2TP组视图。
l2tp-group group-number [ group-name group-name ] [ mode lac ]
配置当前L2TP组为缺省L2TP组。
default-lac-group enable
缺省情况下,未配置当前L2TP组为缺省L2TP组。
当采用RADIUS服务器授权隧道属性方式建立L2TP隧道时,缺省L2TP组同时具备普通L2TP组功能和缺省L2TP组功能;当采用非RADIUS服务器授权隧道属性方式建立L2TP隧道时,缺省L2TP组不具备缺省L2TP组功能,仅可作为普通L2TP组使用。
当采用RADIUS服务器授权隧道属性方式建立L2TP隧道时:
- 如果RADIUS服务器授权的隧道属性不全,则需要使用本地L2TP组中配置的属性来补全授权信息。通过配置缺省L2TP组,可以确保在未能匹配其它L2TP组的情况下,最后可以使用缺省L2TP组中配置的属性来补全授权信息。
- 如果涉及到的认证域或者授权域较多,为简化配置,避免为不同的域配置不同的L2TP组,通过配置缺省L2TP组,可以使用缺省L2TP组中配置的属性为这些不同域的L2TP用户统一提供需要补全的授权信息。
LAC上最多可以配置五个LNS地址,并且支持主备模式和负载分担模式两种工作模式。
· 在主备模式下,当通过lns-ip命令配置了多个LNS地址时,LAC按照配置的先后顺序依次向各LNS尝试建立隧道,直到和某个LNS成功建立隧道。和LAC成功建立隧道的LNS称作主用LNS,其余LNS称作备用LNS,只有当主用LNS故障时,LAC才会选择备用LNS尝试建立隧道。
· 在负载分担模式下,当通过lns-ip命令配置了多个LNS地址时,LAC按照LNS的权重将L2TP业务分配到对应的LNS上。
(1) 进入系统视图。
system-view
(2) 进入LAC模式的L2TP组视图。
l2tp-group group-number [ group-name group-name ] [ mode lac ]
(3) (可选)配置LAC工作在负载分担模式。
tunnel load-sharing
缺省情况下,LAC工作在主备模式。
因性能、可靠性等原因,当单个LNS无法满足大量L2TP业务需求时,可配置LAC端工作在负载分担模式。
(4) 配置LNS的IP地址。
lns-ip { ip-address [ weight lns-weight ] }&<1-5>
缺省情况下,没有指定LNS的IP地址。
仅在LAC工作在负载分担模式的情况下,weight参数配置后才生效。
在LNS转发与控制分离组网中,配置的LNS的IP地址必须为LNS UP上某个LoopBack口的地址
在LAC上配置了L2TP隧道的源端地址后,LAC会将该地址作为封装后L2TP隧道报文的源IP地址。
建议将L2TP隧道的源端地址配置为设备上某LoopBack接口的IP地址,以减小物理接口故障对L2TP业务造成的影响。但当LAC和LNS之间存在等价路由时,必须将L2TP隧道的源端地址通过source-ip命令配置或通过RADIUS服务器授权为设备上某LoopBack接口的IP地址。
(1) 进入系统视图。
system-view
(2) 进入LAC模式的L2TP组视图。
l2tp-group group-number [ group-name group-name ] [ mode lac ]
(3) 配置L2TP隧道的源端地址。
source-ip ip-address
缺省情况下,L2TP隧道的源端地址为本端隧道出接口的IP地址。
缺省情况下,多个L2TP用户可以复用同一个L2TP隧道。配置本功能后,该L2TP组下每个L2TP用户将独占一条L2TP隧道。
仅LAC端支持本配置。
(1) 进入系统视图。
system-view
(2) 进入LAC模式的L2TP组视图。
l2tp-group group-number [ group-name group-name ] mode lac
(3) 配置每个L2TP用户单独使用一条L2TP隧道。
tunnel-per-user
缺省情况下,同一个L2TP隧道可供多个L2TP用户使用。
L2TP协议通过AVP(Attribute Value Pair,属性值对)来传输隧道协商参数、会话协商参数和用户认证信息等。如果用户不希望这些信息(如用户密码)被窃取,则可以使用本配置将AVP数据的传输方式配置成为隐藏传输,即利用隧道验证密钥(通过tunnel password命令配置)对AVP数据进行加密传输。
只有使能了隧道验证功能,本配置才会生效。隧道验证功能的详细配置,请参见“1.9.1 配置隧道验证”。
(1) 进入系统视图。
system-view
(2) 进入LAC模式的L2TP组视图。
l2tp-group group-number [ group-name group-name ] [ mode lac ]
(3) 配置隧道采用隐藏方式传输AVP数据。
tunnel avp-hidden
缺省情况下,隧道采用明文方式传输AVP数据。
本配置用来通过AAA对远端拨入用户的身份信息(用户名、密码)进行认证。用户身份认证通过后,LAC才能发起建立隧道的请求,否则不会为用户建立隧道。
设备支持的AAA认证包括本地和远程两种认证方式:
· 如果选择本地认证方式,则需要在LAC端配置本地用户名和密码。LAC通过检查拨入用户的用户名/密码是否与本地配置的用户名/密码相符来验证用户身份。
· 如果选择远程认证方式,则需要在RADIUS/HWTACACS服务器上配置用户名和密码。LAC将拨入用户的用户名和密码发往服务器,由服务器对用户身份进行认证。
AAA相关的配置请参见“BRAS业务配置指导”中的“AAA”。
配置LAC端的AAA认证时,接入用户的接口上需要配置PPP用户的验证方式为PAP或CHAP,配置方法请参见“BRAS业务配置指导”中的“PPP”。
(1) 进入系统视图。
system-view
(2) 创建虚拟PPP接口,并进入虚拟PPP接口视图。
interface virtual-ppp interface-number
(3) 配置虚拟PPP接口的IP地址或IP地址可协商属性。请选择其中一项进行配置。
¡ 配置虚拟PPP接口的IP地址。
ip address address mask
缺省情况下,未配置接口的IP地址。
¡ 配置虚拟PPP接口的IP地址可协商属性,使该接口接受PPP协商产生的由对端分配的IP地址。
ip address ppp-negotiate
缺省情况下,未配置接口的IP地址可协商属性。
¡ 配置虚拟PPP接口借用指定接口的IP地址。
ip address unnumbered interface interface-type interface-number
缺省情况下,未配置接口借用其它接口的IP地址。
本命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“IP地址”。
(4) 配置PPP验证的被验证方。
通过ppp pap或ppp chap命令指定PPP用户支持的验证方法、PPP用户的用户名和密码,LNS对该PPP用户进行身份验证。配置方法请参见“BRAS业务命令参考”中的“PPP”。
(5) (可选)配置当前接口的描述信息。
description text
缺省情况下,接口的描述信息为“该接口的接口名 Interface”,比如:Virtual-PPP254 Interface。
(6) (可选)配置接口的MTU值。
mtu size
缺省情况下,虚拟PPP接口的MTU值为1500字节。
(7) (可选)配置接口的期望带宽。
bandwidth bandwidth-value
缺省情况下,接口的期望带宽=接口的波特率÷1000(kbit/s)。
(8) (可选)打开当前接口。
undo shutdown
缺省情况下,接口处于打开状态。
(9) 触发LAC自动建立L2TP隧道。
l2tp-auto-client l2tp-group group-number
缺省情况下,LAC没有建立L2TP隧道。
触发LAC建立L2TP隧道后,该隧道将始终存在,直到通过undo l2tp-auto-client或reset l2tp tunnel命令拆除该隧道。
虚拟PPP接口使用轮询机制来确认链路状态是否正常。
虚拟PPP接口会周期性地向对端发送keepalive报文(可以通过timer-hold命令修改keepalive报文的发送周期)。如果接口在retry个(可以通过timer-hold retry命令修改该个数)keepalive周期内无法收到对端发来的keepalive报文,链路层会认为对端故障,上报链路层Down。
如果将keepalive报文的发送周期配置为0秒,则不发送keepalive报文。
在速率非常低的链路上,keepalive周期和retry值不能配置过小。因为在低速链路上,大报文可能会需要很长的时间才能传送完毕,这样就会延迟keepalive报文的发送与接收。而接口如果在retry个keepalive周期之后仍然无法收到对端的keepalive报文,它就会认为链路发生故障。如果keepalive报文被延迟的时间超过接口的这个限制,链路就会被认为发生故障而被关闭。
(1) 进入系统视图。
system-view
(2) 创建虚拟PPP接口,并进入虚拟PPP接口视图。
interface virtual-ppp interface-number
(3) 配置接口发送keepalive报文的周期。
timer-hold seconds
缺省情况下,接口发送keepalive报文的周期为10秒。
(4) 配置接口在多少个keepalive周期内没有收到keepalive报文的应答就拆除链路。
timer-hold retry retries
缺省情况下,接口在5个keepalive周期内没有收到keepalive报文的应答就拆除链路。
接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行该命令前,完全了解其对网络产生的影响。
您可以在执行default命令后通过display this命令确认执行效果。对于未能成功恢复缺省的配置,建议您查阅相关功能的命令手册,手工执行恢复该配置缺省情况的命令。如果操作仍然不能成功,您可以通过设备的提示信息定位原因。
(1) 进入系统视图。
system-view
(2) 进入虚拟PPP接口视图。
interface virtual-ppp interface-number
(3) 恢复当前接口的缺省配置。
default
当LAC和某个LNS尝试建立L2TP隧道时,如果LAC在一定的时间内无法和该LNS成功建立L2TP隧道,则LAC会将该LNS锁定一段时间。在锁定时间内,LAC不会再尝试和该LNS建立L2TP隧道。当LNS锁定时间超时后,LAC在需要时可以继续尝试和该LNS建立L2TP隧道。
本命令配置后仅对被新锁定的LNS生效,对于已锁定的LNS无影响。
(1) 进入系统视图。
system-view
(2) 配置LAC对LNS的锁定时间。
l2tp aging seconds
L2TP会话建立之后,LNS需要创建一个PPP会话用于和LAC交换数据。PPP会话基于VT(Virtual Template,虚拟模板)接口上配置的参数动态创建。因此,配置LNS时需要首先创建VT接口,并配置该接口的参数。
VT接口的参数主要包括:
· 接口的IP地址
· 对PPP用户的验证方式
· LNS为PPP用户分配的IP地址
关于VT接口配置的详细介绍,请参见“BRAS业务配置指导”中的“PPP”以及“三层技术-IP业务配置指导”中的“IP地址”。
接收到LAC发来的隧道建立请求后,LNS需要检查LAC的隧道本端名称是否与本地配置的隧道对端名称相符合,从而决定是否与对端建立隧道,并确定创建PPP会话时使用的VT接口。
(1) 进入系统视图。
system-view
(2) 进入LNS模式的L2TP组视图。
l2tp-group group-number [ group-name group-name ] [ mode lns ]
(3) 配置LNS接受来自指定LAC的隧道建立请求,并指定建立隧道时使用的虚拟模板接口。请选择其中一项进行配置。
¡ L2TP组号为1。
allow l2tp virtual-template virtual-template-number [ local ip-address | remote remote-name ] [ domain domain-name ]
¡ L2TP组号不为1。
allow l2tp virtual-template virtual-template-number { local ip-address | remote remote-name } [ domain domain-name ]
缺省情况下,LNS不接受任何LAC的隧道建立请求。
当LAC对用户进行验证后,为了增强安全性,LNS可以再次对用户进行验证。在这种情况下,将对用户进行两次验证,第一次发生在LAC端,第二次发生在LNS端,只有两次验证全部成功后,L2TP隧道才能建立。
在L2TP组网中,LNS端对用户的验证方式有三种:
· 代理验证:由LAC代替LNS对用户进行验证,并将用户的所有验证信息及LAC端本身配置的验证方式发送给LNS。LNS根据接收到的信息及本端配置的验证方式,判断用户是否合法。
· 强制CHAP验证:强制在LAC代理验证成功后,LNS再次对用户进行CHAP验证。
· LCP重协商:忽略LAC端的代理验证信息,强制LNS与用户间重新进行LCP(Link Control Protocol,链路控制协议)协商。
验证方式的优先级从高到底依次为:LCP重协商、强制CHAP验证和代理验证。
· 如果在LNS上同时配置LCP重协商和强制CHAP验证,L2TP将使用LCP重协商。
· 如果只配置强制CHAP验证,则在LAC代理验证成功后,LNS再次对用户进行CHAP验证。
· 如果既不配置LCP重协商,也不配置强制CHAP验证,则对用户进行代理验证。
强制CHAP验证和LCP重协商两种验证方式仅对NAS-Initiated模式的L2TP隧道有效。
配置强制CHAP验证时,在LNS的VT接口下必须且只能配置PPP用户的验证方式为CHAP认证。
在某些特定的情况下(如LNS不接受LAC的LCP协商参数,希望和用户重新进行参数协商),需要强制LNS与用户重新进行LCP协商,并采用相应的虚拟模板接口上配置的验证方式对用户进行验证时可配置LCP重协商验证方式。
(1) 进入系统视图。
system-view
(2) 进入LNS模式的L2TP组视图。
l2tp-group group-number [ group-name group-name ] [ mode lns ]
(3) 强制LNS重新对用户进行CHAP验证。
mandatory-chap
缺省情况下,LNS不会重新对用户进行CHAP验证。
对于不支持进行第二次验证的用户,不建议配置本功能,否则将因LNS端的CHAP重新验证失败而导致L2TP隧道无法建立。
(4) 退回系统视图。
quit
(5) 进入VT接口并在该接口下配置PPP用户的验证方式为CHAP认证。
关于VT接口配置的详细介绍,请参见“BRAS业务配置指导”中的“PPP”。
(1) 进入系统视图。
system-view
(2) 进入LNS模式的L2TP组视图。
l2tp-group group-number [ group-name group-name ] [ mode lns ]
(3) 配置强制LNS与用户重新进行LCP协商。
mandatory-lcp
缺省情况下,LNS不会与用户重新进行LCP协商。
启用LCP重协商后,如果相应的虚拟模板接口上没有配置验证,则LNS将不对用户进行二次验证(这时用户只在LAC端接受一次验证)。
本配置用来通过AAA对远端拨入用户的身份信息(用户名、密码)进行认证。认证通过后,远端系统可以通过LNS访问企业内部网络。
对于NAS-Initiated隧道模式,当LNS端没有配置强制LCP重新协商时,必须在LNS端配置AAA认证;或者当LNS端配置了强制LCP重新协商,并且虚拟模板接口上配置了需要对PPP用户进行验证时,也必须在LNS端配置AAA认证。对于Client-Initiated和LAC-Auto-Initiated隧道模式,当虚拟模板接口上配置了需要对PPP用户进行验证时,必须在LNS端配置AAA认证。其他情况下无需在LNS端配置AAA认证。
LNS端支持的AAA配置与LAC端的相同,具体介绍及配置方法请参见“1.7.6 配置LAC端的AAA认证”。
为避免大量L2TP用户的突发上线请求对设备性能造成影响,同时又确保L2TP用户能够平稳上线,可以通过本节配置限制设备接收处理ICRQ报文的速率。
(1) 进入系统视图。
system-view
(2) 配置LNS端每秒能处理ICRQ报文的最大数目。
l2tp icrq-limit number
缺省情况下,未限制LNS端每秒能处理ICRQ报文的最大数目。
在多个LAC设备接入同一个LNS设备的组网环境中,多个LAC设备可能会同时发起L2TP隧道建立请求,并且每个隧道中又会发送大量的会话建立请求,此时:
· 如果max-number过大,会对LNS设备性能造成影响,大量请求报文因不能得到及时处理导致用户无法正常上线。
· 如果min-number过小,大量超限请求报文因不能得到及时处理导致用户无法正常上线。
为了避免上述情况对LNS设备性能造成影响,同时又确保L2TP用户能够平稳上线,请根据实际需要合理配置LNS端每秒能处理SCCRQ报文的最大和最小数目。
配置本功能后,设备会采用一定的算法把每秒能处理SCCRQ报文的最大数目从min-number逐渐增大到max-number,而非立即按配置的最大值max-number进行限速。故在设备每秒能处理SCCRQ报文的最大数目从min-number增大到max-number之前,即使某时刻收到的SCCRQ报文数小于max-number,也可能存在SCCRQ报文被丢弃的情况。
(1) 进入系统视图。
system-view
(2) 配置LNS端每秒能处理SCCRQ报文的最大和最小数目。
l2tp sccrq-limit max-number [ minimum min-number ]
缺省情况下,未限制LNS端每秒能处理SCCRQ报文的最大和最小数目。
隧道验证请求可由LAC或LNS任何一端发起。
如果LAC和LNS两端都开启了隧道验证功能,则两端密钥(通过tunnel password命令配置)不为空并且完全一致的情况下,二者之间才能成功建立L2TP隧道。
如果LAC和LNS中的一端开启了隧道验证功能,则另一端可不开启隧道验证功能,但需要两端密钥(通过tunnel password命令配置)不为空并且完全一致,二者之间才能成功建立L2TP隧道。
如果LAC和LNS两端都禁用隧道验证功能,则无论两端是否配置密钥、密钥是否相同,都不影响隧道建立。
为了保证隧道安全,建议用户不要禁用隧道验证功能。
隧道建立成功后,修改隧道验证的密钥不影响当前隧道的正常通信;当隧道断开后重新建立时使用修改后的密钥进行隧道验证。
(1) 进入系统视图。
system-view
(2) 进入L2TP组视图。
l2tp-group group-number [ group-name group-name ] [ mode { lac | lns } ]
(3) 开启L2TP的隧道验证功能。
tunnel authentication
缺省情况下,L2TP隧道验证功能处于开启状态。
(4) 配置隧道验证密钥。
tunnel password { cipher | simple } string
缺省情况下,未配置隧道验证密钥。
为了检测LAC和LNS之间隧道的连通性,LAC和LNS会定期向对端发送Hello报文,接收方接收到Hello报文后会进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时,重复发送,如果重复发送8次仍没有收到对端的响应信息则认为L2TP隧道已经断开。
(1) 进入系统视图。
system-view
(2) 进入L2TP组视图。
l2tp-group group-number [ group-name group-name ] [ mode { lac | lns } ]
(3) 配置隧道中Hello报文的发送时间间隔。
tunnel timer hello hello-interval
缺省情况下,隧道中Hello报文的发送时间间隔为60秒。
DSCP(Differentiated Services Code Point,区分服务编码点)携带在IP报文中的ToS字段,用来体现报文自身的优先等级,决定报文传输的优先程度。
通过本配置指定隧道报文的DSCP优先级后,当流量经过L2TP隧道转发时,L2TP将其封装为IP报文并将IP报文头中的DSCP优先级设置为指定的值。
(1) 进入系统视图。
system-view
(2) 进入L2TP组视图。
l2tp-group group-number [ group-name group-name ] [ mode { lac | lns } ]
(3) 配置隧道报文的DSCP优先级。
ip dscp dscp-value
缺省情况下,L2TP隧道报文的DSCP优先级为0。
在L2TP隧道交换组网中,LTS通过ICRQ(Incoming Call Request,入呼叫请求)报文中的TSA(Tunnel Switching Aggregator,隧道交换聚合)ID AVP来避免环路。
LTS接收到ICRQ报文后,将报文中携带的所有TSA ID AVP中的TSA ID逐一与本地配置的TSA ID进行比较。如果TSA ID AVP中存在与本地相同的TSA ID,则表示存在环路,LTS立即拆除会话。否则,LTS将自己的TSA ID封装到新的TSA ID AVP中,LTS向它的下一跳LTS发送ICRQ报文时携带接收到的所有TSA ID AVP及本地封装的TSA ID AVP。
需要为不同LTS设备配置的不同的TSA ID,否则会导致环路检测错误。
(1) 进入系统视图。
system-view
(2) 配置LTS设备的TSA ID,并开启LTS设备的L2TP环路检测功能。
l2tp tsa-id tsa-id
缺省情况下,未指定LTS设备的TSA ID,且LTS设备的L2TP环路检测功能处于关闭状态。
如果乱序报文过多,可以通过调整L2TP接收窗口的大小进行缓解。当出现乱序报文的时候,如果乱序报文NS(L2TP报文中用于标识当前报文序列号的字段)在接收窗范围内,设备会先将报文缓存起来,等待NS等于接收窗下沿的报文到达。当收到NS等于接收窗下沿的报文时,则对其(NS等于接收窗下沿的报文)进行处理,处理完该报文后,接收窗下沿加1;如果此时缓存中存在NS等于接收窗下沿的报文,则继续处理;如不存在,则继续等待NS等于接收窗下沿的报文到达;依次类推。对于超过接收窗范围的报文进行丢弃。
在L2TP隧道建立时,接收窗口大小以L2TP组视图下配置的接收窗口大小为准。隧道建立完成后通过本特性修改L2TP隧道接收窗口的大小对已经建立的隧道接收窗口的大小无影响。
(1) 进入系统视图。
system-view
(2) 进入L2TP组视图。
l2tp-group group-number [ group-name group-name ] [ mode { lac | lns } ]
(3) 配置L2TP隧道接收窗口的大小。
tunnel window receive size
缺省情况下,L2TP隧道接收窗口的大小为1024。
在某些组网中可能出现对端的报文接收处理能力和对端接收窗口的大小不匹配的情况(例如:对端实际的报文接收处理能力为10,但接收窗口的大小为20),此时可以通过本特性调整本端L2TP隧道发送窗口的大小来适配对端的实际报文接收处理能力,以保证L2TP用户平稳上线。
在L2TP隧道建立时会获取L2TP组视图下配置的发送窗口大小。如果配置的发送窗口大小为0,则按缺省情况处理;如果配置的发送窗口大小非0,则以配置的发送窗口大小为准。隧道建立完成后通过本配置修改L2TP隧道发送窗口的大小对已经建立的隧道发送窗口的大小无影响。
(1) 进入系统视图。
system-view
(2) 进入L2TP组视图。
l2tp-group group-number [ group-name group-name ] [ mode { lac | lns } ]
(3) 配置L2TP隧道发送窗口的大小。
tunnel window send size
缺省情况下,L2TP隧道发送窗口的大小为0,即本端发送窗口的大小以隧道建立过程中对端携带的接收窗口大小的属性值为准,如果隧道建立过程中对端没有携带接收窗口大小属性,则本端隧道发送窗口的大小为4。
当LAC设备上存在L2TP隧道时,不能修改L2TP隧道ID分配范围。
(1) 进入系统视图。
system-view
(2) 配置L2TP隧道ID的分配范围。
l2tp tunnel-id low-id high-id
缺省情况下,L2TP隧道ID的分配范围为1~65535。
开启L2TP隧道告警功能后,当L2TP隧道Up/Down时均会输出Trap告警信息。
为确保Trap告警信息可以正常输出到NMS主机,除了开启L2TP隧道告警功能外,还需要正确配置SNMP告警功能。有关SNMP告警功能的介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
当需要新建/拆除大量L2TP隧道时,为避免输出大量Trap告警影响设备性能,建议在新建/拆除L2TP隧道前,关闭L2TP隧道告警功能
(1) 进入系统视图。
system-view
(2) 进入L2TP组视图。
l2tp-group group-number [ group-name group-name ] [ mode { lac | lns } ]
(3) 开启L2TP隧道告警功能。
tunnel-alarm enable
缺省情况下,L2TP隧道告警功能处于开启状态。
整机上线L2TP会话数目,是指整个设备上线的L2TP会话的总数目。(独立运行模式)
整机上线L2TP会话数目,是指整个IRF系统上线的L2TP会话的总数目。(IRF模式)
可通过本功能分别配置L2TP会话数的上限和下限告警阈值,使得L2TP会话数目大于或小于某个设定值时能够自动触发告警,便于管理员及时了解现网的在线用户情况。管理员可通过display l2tp session statistics命令查看当前在线L2TP会话总数。
假定整机允许上线的L2TP会话的最大数目为a,上限告警阈值为b,下限告警为c,则:
· 当在线L2TP会话数目超过上限a×b或低于下限a×c时,都将打印对应告警信息。
· 当在线L2TP会话数目恢复到正常数值范围后,打印恢复信息。
为避免特殊情况下在线L2TP会话数目在临界区反复变化导致频繁打印告警信息和恢复信息,当在线L2TP会话数目从上限或下限恢复时,系统内部有一个缓冲区,缓冲区大小为在线L2TP会话数目上下限差值的10%,假定为d,d=a×(b-c)÷10,仅当在线L2TP会话数目恢复到小于a×b-d或大于a×c+d时才会打印恢复信息。
例如,假定a为1000,b为80%,c为20%,则d=a×(b-c)÷10=1000×(80%-20%)÷10=1000×60%÷10=600÷10=60,则:
· 当在线L2TP会话数目超过上限a×b=1000×80%=800时,打印上限告警信息。当在线L2TP会话数目恢复到小于a×b-d=800-60=740时,打印恢复信息。
· 当在线L2TP会话数目低于下限a×c=1000×20%=200时,打印下限告警信息。当在线L2TP会话数目恢复到大于a×c+d=200+60=260时,打印恢复信息。
输出的上限告警信息和恢复信息均包含日志信息和Trap告警信息。需要注意的是,为确保Trap告警信息可以正常输出到NMS主机,除了需要正确配置SNMP告警功能外,还需要配置snmp-agent trap enable user-warning-threshold命令。
配置上限告警阈值必须大于下限告警阈值。
(1) 进入系统视图。
system-view
(2) 配置整机上线L2TP会话数目的告警阈值。
l2tp session-threshold { lower-limit lower-limit-value | upper-limit upper-limit-value }
缺省情况下,整机上线L2TP会话数目的上限告警阈值为100,下限告警阈值为0。
(3) 开启整机接入用户数的Trap告警功能。
snmp-agent trap enable user-warning-threshold
缺省情况下,整机接入用户数的Trap告警功能处于关闭状态。
本命令的详细介绍,请参见“BRAS业务命令参考”中的“UCM”。
开启添加L2TP会话失败的Trap告警功能后,当设备添加L2TP会话失败(例如:已有L2TP会话数达到设备允许的最大值时,将无法创建新的L2TP会话)时将会生成Trap告警信息。生成的Trap告警信息将被送到设备的SNMP模块,通过设置SNMP中的Trap告警信息的发送参数,来决定Trap告警信息输出的相关属性。有关Trap告警的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
开启本功能时,执行snmp-agent trap enable l2tp命令与snmp-agent trap enable l2tp add-session-failed命令的配置效果相同,都是开启添加L2TP会话失败的Trap告警功能。
(1) 进入系统视图。
system-view
(2) 开启添加L2TP会话失败的Trap告警功能。
snmp-agent trap enable l2tp [ add-session-failed ]
缺省情况下,添加L2TP会话失败的Trap告警功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后L2TP的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以强制断开指定的L2TP隧道。
表1-3 L2TP显示和维护
|
操作 |
命令 |
|
显示BAS接口的相关信息 |
display interface [ bas-interface [ interface-number ] ] [ brief [ description | down ] ] |
|
显示当前处于锁定状态的LNS信息 |
display l2tp aging |
|
显示虚拟PPP接口的相关信息 |
display interface [ virtual-ppp [ interface-number ] ] [ brief [ description | down ] ] |
|
显示L2TP协议报文的统计信息 |
display l2tp control-packet statistics [ summary | tunnel [ tunnel-id ] ] |
|
显示LNS端报文限速的配置信息 |
display l2tp packet-limit configuration |
|
显示LNS端报文限速的统计信息 |
display l2tp packet-limit statistics |
|
显示当前L2TP会话的信息 |
display l2tp session [ [ lac | lns ] [ [ local-address local-address | tunnel-id tunnel-id [ session-id session-id ] ] * | remote-address remote-address | username username ] ] [ statistics | verbose ] |
|
显示当前L2TP非稳态会话的信息 |
display l2tp session temporary |
|
显示L2TP的统计信息 |
(独立运行模式) display l2tp statistics { { all | failure-reason } [ slot slot-number ] } (IRF模式) display l2tp statistics { { all | failure-reason } [ chassis chassis-number slot slot-number ] } |
|
显示当前L2TP隧道的信息 |
display l2tp tunnel [ [ lac | lns ] [ group-name group-name | group-number group-number | [ local-address local-address | tunnel-id tunnel-id ] * | remote-address remote-address | tunnel-name remote-name ] ] [ statistics | verbose ] |
|
显示L2TP组的信息 |
display l2tp-group [ group-number | group-name group-name ] [ verbose ] |
|
解除LNS的锁定状态 |
reset l2tp aging [ ip-address ] |
|
清除虚拟PPP接口的统计信息 |
reset counters interface [ virtual-ppp [ interface-number ] ] |
|
清除L2TP协议报文的统计信息 |
reset l2tp control-packet statistics [ summary | tunnel [ tunnel-id ] ] |
|
清除LNS端报文限速的统计信息 |
reset l2tp packet-limit statistics |
|
清除L2TP的统计信息 |
(独立运行模式) reset l2tp statistics { { all | failure-reason } [ slot slot-number ] } (IRF模式) reset l2tp statistics { { all | failure-reason } [ chassis chassis-number slot slot-number ] } |
|
强制断开指定的L2TP隧道 |
reset l2tp tunnel [ [ local-address local-address | tunnel-id tunnel-id ] * | tunnel-name remote-name ] |
PPP双栈用户通过LAC接入LNS,在LAC和LNS之间建立L2TP隧道,以便用户通过该L2TP隧道访问公司总部。LNS通过ND协议为Host分配IPv6地址。
在该场景下,Host通过ND协议中的RA报文获得IPv6地址前缀,通过IPv6CP协商获取IPv6接口标识,二者组合生成IPv6全球单播地址。其中,RA报文中的IPv6地址前缀来源于ND前缀池。
图1-13 NAS-Initiated模式L2TP隧道组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
(1) 配置LAC端
# 创建本地PPP用户user1,设置密码为123456TESTplat&!。
<LAC> system-view
[LAC] local-user user1 class network
[LAC-luser-network-user1] password simple 123456TESTplat&!
[LAC-luser-network-user1] service-type ppp
[LAC-luser-network-user1] quit
# 配置ISP域dm1对PPP用户采用本地AAA方案。
[LAC] domain name dm1
[LAC-isp-dm1] authentication ppp local
[LAC-isp-dm1] accounting ppp local
[LAC-isp-dm1] authorization ppp local
[LAC-isp-dm1] quit
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
[LAC] interface virtual-template 1
[LAC-Virtual-Template1] ppp authentication-mode chap domain dm1
[LAC-Virtual-Template1] quit
# 在接口Ten-GigabitEthernet3/1/2上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[LAC] interface ten-gigabitethernet 3/1/2
[LAC-Ten-GigabitEthernet3/1/2] pppoe-server bind virtual-template 1
[LAC-Ten-GigabitEthernet3/1/2] quit
# 开启L2TP功能。
[LAC] l2tp enable
# 创建LAC模式的L2TP组1,配置隧道本端名称为LAC,指定接入的PPP用户的用户名为user1时LAC向LNS发起隧道建立请求,并指定LNS地址为1.1.2.2。
[LAC] l2tp-group 1 mode lac
[LAC-l2tp1] tunnel name LAC
[LAC-l2tp1] user fullusername user1
[LAC-l2tp1] lns-ip 1.1.2.2
# 启用隧道验证功能,并设置隧道验证密钥为aabbcc。
[LAC-l2tp1] tunnel authentication
[LAC-l2tp1] tunnel password simple aabbcc
[LAC-l2tp1] quit
(2) 配置LNS端
# 创建本地PPP用户user1,设置密码为123456TESTplat&!。
<LNS> system-view
[LNS] local-user user1 class network
[LNS-luser-network-user1] password simple 123456TESTplat&!
[LNS-luser-network-user1] service-type ppp
[LNS-luser-network-user1] quit
# 启用DHCP服务。
[LNS] dhcp enable
# 配置本地BAS IP地址池pool1。
[LNS] ip pool pool1 bas local
[LNS-ip-pool-pool1] gateway 192.168.0.1 24
[LNS-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址192.168.0.1配置为禁用地址。
[LNS-ip-pool-pool1] forbidden-ip 192.168.0.1
[LNS-ip-pool-pool1] quit
# 配置前缀池1,包含的前缀为2003::/32,分配的前缀长度为64,即前缀池1包含2003::/64~2003:0:FFFF:FFFF::/64范围内的4294967296个前缀。
[LNS] ipv6 dhcp prefix-pool 1 prefix 2003::/32 assign-len 64
# 创建名称为pool1的IPv6地址池,并引用前缀池1。
[LNS] ipv6 pool pool1
[LNS-ipv6-pool-pool1] prefix-pool 1 export-route
[LNS-ipv6-pool-pool1] quit
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
[LNS] interface virtual-template 1
[LNS-Virtual-Template1] ppp authentication-mode chap domain dm1
# 取消对RA消息发布的抑制,并配置本端自动生成IPv6链路本地地址。
[LNS-Virtual-Template1] undo ipv6 nd ra halt
[LNS-Virtual-Template1] ipv6 address auto link-local
[LNS-Virtual-Template1] quit
# 配置ISP域dm1对PPP用户采用本地AAA方案,并授权IPv4地址池、ND前缀池及IPv6 DNS地址池信息。
[LNS] domain name dm1
[LNS-isp-dm1] authentication ppp local
[LNS-isp-dm1] accounting ppp local
[LNS-isp-dm1] authorization ppp local
[LNS-isp-dm1] authorization-attribute ip-pool pool1
[LNS-isp-dm1] authorization-attribute ipv6-nd-prefix-pool pool1
[LNS-isp-dm1] authorization-attribute primary-dns ipv6 8::8
[LNS-isp-dm1] quit
# 开启L2TP功能。
[LNS] l2tp enable
# 创建LNS模式的L2TP组1,配置隧道本端名称为LNS,指定接收呼叫的虚拟模板接口为VT1,并配置隧道对端名称为LAC。
[LNS] l2tp-group 1 mode lns
[LNS-l2tp1] tunnel name LNS
[LNS-l2tp1] allow l2tp virtual-template 1 remote LAC
# 启用隧道验证功能,并设置隧道验证密钥为aabbcc。
[LNS-l2tp1] tunnel authentication
[LNS-l2tp1] tunnel password simple aabbcc
[LNS-l2tp1] quit
(3) 配置Remote host端
在Remote host上配置PPPoE拨号连接,在拨号网络窗口中输入用户名user1和密码123456TESTplat&!进行拨号。
# 拨号连接成功后,在LNS端通过命令display access-user可查看在线用户的信息。
[LNS] display access-user
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x14 BAS0 192.168.0.2 - -/-
user1 LNS
2003::3001
# 拨号连接成功后,Remote host获取到IP地址192.168.0.2,并可以ping通LNS的私网地址192.168.0.1。
# 在LNS端,通过命令display l2tp tunnel可查看建立的L2TP隧道。
[LNS] display l2tp tunnel
LocalTID RemoteTID State Sessions RemoteAddress RemotePort
RemoteName
196 3542 Established 1 1.1.2.1 1701
LAC
# 在LNS端,通过命令display l2tp session可查看建立的L2TP会话。
[LNS] display l2tp session
LocalSID RemoteSID LocalTID State
Username
2041 64 196 Established
user1
PPP用户直接与LNS建立L2TP隧道,通过L2TP隧道访问公司总部。
图1-14 Client-Initiated模式L2TP隧道组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
(1) 配置LNS端
# 创建本地PPP用户user1,设置密码为123456TESTplat&!。
<LNS> system-view
[LNS] local-user user1 class network
[LNS-luser-network-user1] password simple 123456TESTplat&!
[LNS-luser-network-user1] service-type ppp
[LNS-luser-network-user1] quit
# 启用DHCP服务。
[LNS] dhcp enable
# 配置本地BAS IP地址池pool1。
[LNS] ip pool pool1 bas local
[LNS-ip-pool-pool1] gateway 192.168.0.1 24
[LNS-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址192.168.0.1配置为禁用地址。
[LNS-ip-pool-pool1] forbidden-ip 192.168.0.1
[LNS-ip-pool-pool1] quit
# 配置ISP域dm1对PPP用户采用本地AAA方案,并授权地址池。
[LNS] domain name dm1
[LNS-isp-dm1] authentication ppp local
[LNS-isp-dm1] accounting ppp local
[LNS-isp-dm1] authorization ppp local
[LNS-isp-dm1] authorization-attribute ip-pool pool1
[LNS-isp-dm1] quit
# 创建接口Virtual-Template1,PPP认证方式为CHAP。
[LNS] interface virtual-template 1
[LNS-Virtual-Template1] ppp authentication-mode chap domain dm1
[LNS-Virtual-Template1] quit
# 开启L2TP功能。
[LNS] l2tp enable
# 创建LNS模式的L2TP组1,配置隧道本端名称为LNS,指定接收呼叫的虚拟模板接口为VT1。
[LNS] l2tp-group 1 mode lns
[LNS-l2tp1] tunnel name LNS
[LNS-l2tp1] allow l2tp virtual-template 1
# 关闭L2TP隧道验证功能。
[LNS-l2tp1] undo tunnel authentication
[LNS-l2tp1] quit
(2) 配置Remote host端
配置IP地址为2.1.1.1,并配置路由,使得Remote host与LNS(IP地址为1.1.2.2)之间路由可达。
利用Windows系统创建虚拟专用L2TP网络连接,或安装L2TP客户端软件。
在Remote host上进行如下L2TP配置(设置的过程与相应的客户端软件有关,以下为设置的内容):
¡ 设置PPP用户名为user1,密码为123456TESTplat&!。
¡ 将LNS的IP地址设为安全网关的Internet接口地址(本例中LNS端与隧道相连接的以太网接口的IP地址为1.1.2.2)。
¡ 修改连接属性,将采用的协议设置为L2TP,将加密属性设为自定义,并选择CHAP验证。
# 在Remote host上触发L2TP拨号。拨号连接成功后,在LNS端通过命令display access-user可查看在线用户的信息。
[LNS] display access-user
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x14 BAS0 192.168.0.2 - -/-
user1 LNS
-
# 拨号连接成功后,Remote host获取到IP地址192.168.0.2,并可以Ping通LNS的私网地址192.168.0.1。
# 在LNS端,通过命令display l2tp session可查看建立的L2TP会话。
[LNS] display l2tp session
LocalSID RemoteSID LocalTID State
Username
89 36245 10878 Established
N/A
# 在LNS端,通过命令display l2tp tunnel可查看建立的L2TP隧道。
[LNS] display l2tp tunnel
LocalTID RemoteTID State Sessions RemoteAddress RemotePort
RemoteName
10878 21 Established 1 2.1.1.1 1701
PC
PPP用户接入之前,在LAC和LNS之间采用LAC-Auto-Initiated模式建立L2TP隧道。PPP用户接入后,通过已经建立的L2TP隧道访问公司总部。
图1-15 LAC-Auto-Initiated模式L2TP隧道组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
(1) 配置LAC端
# 开启L2TP功能。
<LAC> system-view
[LAC] l2tp enable
# 创建LAC模式的L2TP组1。
[LAC] l2tp-group 1 mode lac
# 配置LAC端本端名称为LAC,并指定LNS的IP地址为3.3.3.2。
[LAC-l2tp1] tunnel name LAC
[LAC-l2tp1] lns-ip 3.3.3.2
# 开启隧道验证功能,并设置隧道验证密钥为aabbcc。
[LAC-l2tp1] tunnel authentication
[LAC-l2tp1] tunnel password simple aabbcc
[LAC-l2tp1] quit
# 创建虚拟PPP接口Virtual-PPP 1,配置PPP用户的用户名为user1、密码为123456TESTplat&!,并配置PPP验证方式为PAP。
[LAC] interface virtual-ppp 1
[LAC-Virtual-PPP1] ip address ppp-negotiate
[LAC-Virtual-PPP1] ppp pap local-user user1 password simple 123456TESTplat&!
[LAC-Virtual-PPP1] quit
# 配置私网路由,访问公司总部的报文将通过L2TP隧道转发。
[LAC] ip route-static 10.1.0.0 16 virtual-ppp 1
# 触发LAC发起L2TP隧道建立请求。
[LAC] interface virtual-ppp 1
[LAC-Virtual-PPP1] l2tp-auto-client l2tp-group 1
[LAC-Virtual-PPP1] quit
(2) 配置LNS端
# 创建本地PPP用户user1,配置密码为123456TESTplat&!。
<LNS> system-view
[LNS] local-user user1 class network
[LNS-luser-network-user1] password simple 123456TESTplat&!
[LNS-luser-network-user1] service-type ppp
[LNS-luser-network-user1] quit
# 创建接口Virtual-Template1,配置PPP认证方式为PAP。
[LNS] interface virtual-template 1
[LNS-Virtual-Template1] ppp authentication-mode pap domain dm1
[LNS-Virtual-Template1] quit
# 启用DHCP服务。
[LNS] dhcp enable
# 配置本地BAS IP地址池pool1。
[LNS] ip pool pool1 bas local
[LNS-ip-pool-pool1] gateway 192.168.0.1 30
[LNS-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址192.168.0.1配置为禁用地址。
[LNS-ip-pool-pool1] forbidden-ip 192.168.0.1
[LNS-ip-pool-pool1] quit
# 配置ISP域dm1对PPP用户采用本地AAA方案,并授权地址池。
[LNS] domain name dm1
[LNS-isp-dm1] authentication ppp local
[LNS-isp-dm1] accounting ppp local
[LNS-isp-dm1] authorization ppp local
[LNS-isp-dm1] authorization-attribute ip-pool pool1
[LNS-isp-dm1] quit
# 开启L2TP功能,并创建LNS模式的L2TP组1。
[LNS] l2tp enable
[LNS] l2tp-group 1 mode lns
# 配置LNS端本端名称为LNS,指定接收呼叫的虚拟模板接口为VT1,并配置隧道对端名称为LAC。
[LNS-l2tp1] tunnel name LNS
[LNS-l2tp1] allow l2tp virtual-template 1 remote LAC
# 启用隧道验证功能,并设置隧道验证密钥为aabbcc。
[LNS-l2tp1] tunnel authentication
[LNS-l2tp1] tunnel password simple aabbcc
[LNS-l2tp1] quit
# 配置私网路由,下一跳指定为LNS为LAC的Virtual-PPP 1接口分配的私网IP地址192.168.0.2使得访问PPP用户的报文将通过L2TP隧道转发。
[LNS] ip route-static 10.2.0.0 16 192.168.0.2
(3) 配置Remote host端
Remote host上应将LAC设置为网关。
# 在LNS端,通过命令display l2tp session可查看建立的L2TP会话。
[LNS] display l2tp session
LocalSID RemoteSID LocalTID State
Username
21409 3395 4501 Established
N/A
# 在LNS端,通过命令display l2tp tunnel可查看建立的L2TP隧道。
[LNS] display l2tp tunnel
LocalTID RemoteTID State Sessions RemoteAddress RemotePort
RemoteName
4501 524 Established 1 3.3.3.1 1701
LAC
# 在LNS端,可以Ping通LAC的私网地址10.2.0.1,说明10.2.0.0/16和10.1.0.0/16网络内的主机可以通过L2TP隧道通信。
[LNS] ping -a 10.1.0.1 10.2.0.1
Ping 10.2.0.1 (10.2.0.1): 56 data bytes, press CTRL+C to break
56 bytes from 10.2.0.1: icmp_seq=0 ttl=128 time=1.000 ms
56 bytes from 10.2.0.1: icmp_seq=1 ttl=128 time=1.000 ms
56 bytes from 10.2.0.1: icmp_seq=2 ttl=128 time=1.000 ms
56 bytes from 10.2.0.1: icmp_seq=3 ttl=128 time=1.000 ms
56 bytes from 10.2.0.1: icmp_seq=4 ttl=128 time=1.000 ms
--- Ping statistics for 10.2.0.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.000/1.000/1.000/0.000 ms
在LAC和LTS、LTS和LNS之间分别建立L2TP隧道,PPP用户通过多跳L2TP隧道访问公司总部。
图1-16 L2TP隧道交换组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
(1) 配置LAC端
# 创建本地PPP用户user1,设置密码为123456TESTplat&!。
<LAC> system-view
[LAC] local-user user1 class network
[LAC-luser-network-user1] password simple 123456TESTplat&!
[LAC-luser-network-user1] service-type ppp
[LAC-luser-network-user1] quit
# 配置ISP域对PPP用户采用本地AAA认证方案。
[LAC] domain name dm1
[LAC-isp-dm1] authentication ppp local
[LAC-isp-dm1] accounting ppp local
[LAC-isp-dm1] authorization ppp local
[LAC-isp-dm1] quit
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
[LAC] interface virtual-template 1
[LAC-Virtual-Template1] ppp authentication-mode chap domain dm1
[LAC-Virtual-Template1] quit
# 在接口Ten-GigabitEthernet3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[LAC] interface ten-gigabitethernet 3/1/1
[LAC-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[LAC-Ten-GigabitEthernet3/1/1] quit
# 开启L2TP功能。
[LAC] l2tp enable
# 创建LAC模式的L2TP组2,配置隧道本端名称为LAC,指定接入的PPP用户的用户名为user1时LAC向LNS发起隧道建立请求,并指定LNS地址为3.3.3.2。
[LAC] l2tp-group 1 mode lac
[LAC-l2tp1] tunnel name LAC
[LAC-l2tp1] user fullusername user1
[LAC-l2tp1] lns-ip 3.3.3.2
# 启用隧道验证功能,并设置隧道验证密钥为aabbcc。
[LAC-l2tp1] tunnel authentication
[LAC-l2tp1] tunnel password simple aabbcc
[LAC-l2tp1] quit
(2) 配置LTS端
# 创建本地PPP用户user1,设置密码为123456TESTplat&!。
<LTS> system-view
[LTS] local-user user1 class network
[LTS-luser-network-user1] password simple 123456TESTplat&!
[LTS-luser-network-user1] service-type ppp
[LTS-luser-network-user1] quit
# 配置ISP域dm1对PPP用户采用本地AAA认证方案。
[LTS] domain name dm1
[LTS-isp-dm1] authentication ppp local
[LTS-isp-dm1] accounting ppp local
[LTS-isp-dm1] authorization ppp local
[LTS-isp-dm1] quit
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
[LTS] interface virtual-template 1
[LTS-Virtual-Template1] ppp authentication-mode chap domain dm1
[LTS-Virtual-Template1] quit
# 开启L2TP功能。
[LTS] l2tp enable
# 创建LNS模式的L2TP组1,配置隧道本端名称为LTS,指定接收呼叫的虚拟模板接口为VT1,并配置隧道对端名称为LAC。
[LTS] l2tp-group 1 mode lns
[LTS-l2tp1] tunnel name LTS
[LTS-l2tp1] allow l2tp virtual-template 1 remote LAC
# 启用隧道验证功能,并设置隧道验证密钥为aabbcc。
[LTS-l2tp1] tunnel authentication
[LTS-l2tp1] tunnel password simple aabbcc
[LTS-l2tp1] quit
# 创建LAC模式的L2TP组11,配置隧道本端名称为LTS,指定接入的PPP用户的用户名为user1时LAC向LNS发起隧道建立请求,并指定LNS地址为5.5.5.2。
[LTS] l2tp-group 11 mode lac
[LAC-l2tp11] tunnel name LTS
[LTS-l2tp11] user fullusername user1
[LTS-l2tp11] lns-ip 5.5.5.2
# 启用隧道验证功能,并设置隧道验证密钥为aabbcc。
[LTS-l2tp11] tunnel authentication
[LTS-l2tp11] tunnel password simple aabbcc
[LTS-l2tp11] quit
(3) 配置LNS端
# 创建本地PPP用户user1,设置密码为123456TESTplat&!。
<LNS> system-view
[LNS] local-user user1 class network
[LNS-luser-network-user1] password simple 123456TESTplat&!
[LNS-luser-network-user1] service-type ppp
[LNS-luser-network-user1] quit
# 启用DHCP服务。
[LNS] dhcp enable
# 配置本地BAS IP地址池pool1。
[LNS] ip pool pool1 bas local
[LNS-ip-pool-pool1] gateway 192.168.0.1 24
[LNS-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址192.168.0.1配置为禁用地址。
[LNS-ip-pool-pool1] forbidden-ip 192.168.0.1
[LNS-ip-pool-pool1] quit
# 配置ISP域dm1对PPP用户采用本地AAA方案,并授权地址池。
[LNS] domain name dm1
[LNS-isp-dm1] authentication ppp local
[LNS-isp-dm1] accounting ppp local
[LNS-isp-dm1] authorization ppp local
[LNS-isp-dm1] authorization-attribute ip-pool pool1
[LNS-isp-dm1] quit
# 创建接口Virtual-Template1,PPP认证方式为CHAP。
[LNS] interface virtual-template 1
[LNS-Virtual-Template1] ppp authentication-mode chap domain dm1
[LNS-Virtual-Template1] quit
# 开启L2TP功能。
[LNS] l2tp enable
# 创建LNS模式的L2TP组1,配置隧道本端名称为LNS,指定接收呼叫的虚拟模板接口为VT1,并配置隧道对端名称为LTS。
[LNS] l2tp-group 1 mode lns
[LNS-l2tp1] tunnel name LNS
[LNS-l2tp1] allow l2tp virtual-template 1 remote LTS
# 启用隧道验证功能,并设置隧道验证密钥为aabbcc。
[LNS-l2tp1] tunnel authentication
[LNS-l2tp1] tunnel password simple aabbcc
[LNS-l2tp1] quit
(4) 配置 Remost host端
在Remote host上配置PPPoE拨号连接,在拨号网络窗口中输入用户名user1和密码123456TESTplat&!进行拨号。
· LNS端
# 拨号连接成功后,在LNS端通过命令display access-user可查看在线用户的信息。
[LNS] display access-user
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x14 BAS0 192.168.0.2 - -/-
user1 LNS
-
# 拨号连接成功后,Remote host获取到IP地址192.168.0.2。
# 在LNS端,通过命令display l2tp tunnel可查看建立的L2TP隧道。
[LNS] display l2tp tunnel
LocalTID RemoteTID State Sessions RemoteAddress RemotePort
RemoteName
35048 36940 Established 1 5.5.5.1 1701
LTS
# 在LNS端,通过命令display l2tp session可查看建立的L2TP会话。
[LNS] display l2tp session
LocalSID RemoteSID LocalTID State
Username
38563 36103 35048 Established
user1
· LTS设备
# 在LTS设备上查看建立的L2TP隧道。
[LTS] display l2tp tunnel
LocalTID RemoteTID State Sessions RemoteAddress RemotePort
RemoteName
11828 53339 Established 1 3.3.3.1 1701
LAC
36940 35048 Established 1 5.5.5.2 1701
LNS
# 在LTS设备上查看建立的L2TP会话。
[LTS] display l2tp session
LocalSID RemoteSID LocalTID State
Username
46605 35207 11828 Established
user1
36103 38563 36940 Established
user1
· LAC端
# 在LAC端查看建立的L2TP隧道。
[LAC] display l2tp tunnel
LocalTID RemoteTID State Sessions RemoteAddress RemotePort
RemoteName
53339 11828 Established 1 3.3.3.2 1701
LTS
# 在LAC端查看建立的L2TP会话。
[LAC] display l2tp session
LocalSID RemoteSID LocalTID State
Username
35207 46605 53339 Established
· 在转发与控制分离组网中,由CP和UP共同作为BRAS接入设备,对用户提供BRAS功能。
· 在转发与控制分离组网中,本设备仅支持作为UP,不支持作为CP。
· 担任CP角色的产品的不同版本的配置命令可能存在差异,本节CP上的配置仅供参考,有关CP上配置的详细介绍,请参见担任CP角色的设备的产品手册。
· PPP用户通过LAC接入LNS,在LAC和LNS之间建立L2TP隧道,以便用户通过该L2TP隧道访问公司总部。其中LAC工作在转控分离模式,LAC CP负责PPPoE用户的协商认证、L2TP隧道和会话的协商建立,LAC UP负责数据报文的转发和流量控制。
· 正常情况下,UP 1作为主UP,UP 2作为备UP。当UP 1上的接口Ten-GigabitEthernet3/1/1发生故障时,自动将用户上线接口从UP 1上的接口Ten-GigabitEthernet3/1/1切换为UP 2上的接口Ten-GigabitEthernet3/1/1,尽可能减少业务进程中断时间。
· 在主备UP之间配置保护隧道,以便在主UP正常,但用户上线主接口故障触发主备切换的情况下,当从LNS到用户侧的下行流量发送给原主UP后,原主UP可以通过保护隧道将下行流量发送给新的主UP进行转发处理。
· 当主UP故障时,从LNS到用户侧的下行流量直接发送给新的主UP进行转发处理。
图1-17 L2TP LAC转发与控制分离配置举例(1:1 pUP热备)组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置Device A(LAC UP1)
a. 配置LAC工作在转发模式。
# 配置LAC工作在转发模式。
<DeviceA> system-view
[DeviceA] work-mode user-plane
b. 配置保护隧道。
# 配置ISIS。
[DeviceA] isis 1
[DeviceA-isis-1] non-stop-routing
[DeviceA-isis-1] is-level level-2
[DeviceA-isis-1] cost-style wide
[DeviceA-isis-1] network-entity 10.0000.0000.0001.00
[DeviceA-isis-1] address-family ipv6
[DeviceA-isis-1-ipv6] quit
[DeviceA-isis-1] mpls te enable
[DeviceA-isis-1] quit
# 配置本节点的LSR ID为1.1.1.1,开启本节点的MPLS TE能力。
[DeviceA] mpls lsr-id 1.1.1.1
[DeviceA] mpls te
[DeviceA-te] quit
# 配置MPLS TE隧道。
[DeviceA] interface tunnel0 mode mpls-te
[DeviceA-Tunnel0] ip address unnumbered interface loopback0
[DeviceA-Tunnel0] destination 3.3.3.3
[DeviceA-Tunnel0] quit
[DeviceA] tunnel-policy 1
[DeviceA-tunnel-policy-1] preferred-path tunnel 0
[DeviceA-tunnel-policy-1] quit
[DeviceA] vsrp peer 1
[DeviceA-vsrp1] peer 3.3.3.3 local 1.1.1.1
[DeviceA-vsrp1] protect lsp-tunnel for-all-instance peer-ip 3.3.3.3 tunnel-policy 1
[DeviceA-vsrp1] quit
# 全局开启RSVP能力。
[DeviceA] rsvp
[DeviceA-rsvp] quit
[DeviceA] interface ten-gigabitethernet 3/1/2
[DeviceA-Ten-GigabitEthernet3/1/2] isis enable 1
[DeviceA-Ten-GigabitEthernet3/1/2] isis ipv6 enable 1
[DeviceA-Ten-GigabitEthernet3/1/2] mpls enable
[DeviceA-Ten-GigabitEthernet3/1/2] mpls te enable
[DeviceA-Ten-GigabitEthernet3/1/2] mpls te max-link-bandwidth percent 100
[DeviceA-Ten-GigabitEthernet3/1/2] mpls te max-reservable-bandwidth percent 100
[DeviceA-Ten-GigabitEthernet3/1/2] rsvp enable
[DeviceA-Ten-GigabitEthernet3/1/2] quit
(2) 配置Device B(LAC UP2)
a. 配置LAC工作在转发模式。
# 配置LAC工作在转发模式。
<DeviceB> system-view
[DeviceB] work-mode user-plane
b. 配置保护隧道。
# 配置ISIS。
[DeviceB] isis 1
[DeviceB-isis-1] non-stop-routing
[DeviceB-isis-1] is-level level-2
[DeviceB-isis-1] cost-style wide
[DeviceB-isis-1] network-entity 10.0000.0000.0002.00
[DeviceB-isis-1] address-family ipv6
[DeviceB-isis-1-ipv6] quit
[DeviceB-isis-1] mpls te enable
[DeviceB-isis-1] quit
# 配置本节点的LSR ID为3.3.3.3,开启本节点的MPLS TE能力。
[DeviceB] mpls lsr-id 3.3.3.3
[DeviceB] mpls te
[DeviceB-te] quit
# 配置MPLS TE隧道。
[DeviceB] interface tunnel0 mode mpls-te
[DeviceB-Tunnel0] ip address unnumbered interface loopback0
[DeviceB-Tunnel0] destination 1.1.1.1
[DeviceB-Tunnel0] quit
[DeviceB] tunnel-policy 1
[DeviceB-tunnel-policy-1] preferred-path tunnel 0
[DeviceB-tunnel-policy-1] quit
[DeviceB] vsrp peer 1
[DeviceB-vsrp1] peer 1.1.1.1 local 3.3.3.3
[DeviceB-vsrp1] protect lsp-tunnel for-all-instance peer-ip 1.1.1.1 tunnel-policy 1
[DeviceB-vsrp1] quit
# 全局开启RSVP能力。
[DeviceB] rsvp
[DeviceB-rsvp] quit
[DeviceB] interface ten-gigabitethernet 3/1/2
[DeviceB-Ten-GigabitEthernet3/1/2] isis enable 1
[DeviceB-Ten-GigabitEthernet3/1/2] isis ipv6 enable 1
[DeviceB-Ten-GigabitEthernet3/1/2] mpls enable
[DeviceB-Ten-GigabitEthernet3/1/2] mpls te enable
[DeviceB-Ten-GigabitEthernet3/1/2] mpls te max-link-bandwidth percent 100
[DeviceB-Ten-GigabitEthernet3/1/2] mpls te max-reservable-bandwidth percent 100
[DeviceB-Ten-GigabitEthernet3/1/2] rsvp enable
[DeviceB-Ten-GigabitEthernet3/1/2] quit
(3) CR
a. 配置保护隧道。
# 配置ISIS。
[CR] isis 1
[CR-isis-1] non-stop-routing
[CR-isis-1] is-level level-2
[CR-isis-1] cost-style wide
[CR-isis-1] network-entity 10.0000.0000.0003.00
[CR-isis-1] address-family ipv6
[CR-isis-1-ipv6] quit
[CR-isis-1] mpls te enable
[CR-isis-1] quit
# 配置本节点的LSR ID为4.4.4.4,开启本节点的MPLS TE能力。
[CR] mpls lsr-id 4.4.4.4
[CR] mpls te
[CR-te] quit
# 全局开启RSVP能力。
[CR] rsvp
[CR-rsvp] quit
[CR] interface ten-gigabitethernet 3/1/1
[CR-Ten-GigabitEthernet3/1/1] isis enable 1
[CR-Ten-GigabitEthernet3/1/1] isis ipv6 enable 1
[CR-Ten-GigabitEthernet3/1/1] mpls enable
[CR-Ten-GigabitEthernet3/1/1] mpls te enable
[CR-Ten-GigabitEthernet3/1/1] mpls te max-link-bandwidth percent 100
[CR-Ten-GigabitEthernet3/1/1] mpls te max-reservable-bandwidth percent 100
[CR-Ten-GigabitEthernet3/1/1] rsvp enable
[CR-Ten-GigabitEthernet3/1/1] quit
[CR] interface ten-gigabitethernet 3/1/2
[CR-Ten-GigabitEthernet3/1/2] isis enable 1
[CR-Ten-GigabitEthernet3/1/2] isis ipv6 enable 1
[CR-Ten-GigabitEthernet3/1/2] mpls enable
[CR-Ten-GigabitEthernet3/1/2] mpls te enable
[CR-Ten-GigabitEthernet3/1/2] mpls te max-link-bandwidth percent 100
[CR-Ten-GigabitEthernet3/1/2] mpls te max-reservable-bandwidth percent 100
[CR-Ten-GigabitEthernet3/1/2] rsvp enable
[CR-Ten-GigabitEthernet3/1/2] quit
(4) 配置Device C(LAC CP)
a. 配置PPPoE Server
# 创建一个PPPoE用户。
<DeviceC> system-view
[DeviceC] local-user user1 class network
[DeviceC-luser-network-user1] password simple pass1
[DeviceC-luser-network-user1] service-type ppp
[DeviceC-luser-network-user1] quit
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
[DeviceC] interface virtual-template 1
[DeviceC-Virtual-Template1] ppp authentication-mode chap domain dm1
[DeviceC-Virtual-Template1] quit
# 在远端接口Remote-XGE1024/3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[DeviceC] interface remote-xge 1024/3/1/1
[DeviceC-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[DeviceC-Remote-XGE1024/3/1/1] quit
# 在ISP域dm1下,配置域用户使用本地AAA方案。
[DeviceC] domain name dm1
[DeviceC-isp-dm1] authentication ppp local
[DeviceC-isp-dm1] accounting ppp local
[DeviceC-isp-dm1] authorization ppp local
[DeviceC-isp-dm1] quit
b. 配置UP备份组
# 创建UP备份组g1,并将UP 1024和UP 1025加入到该UP备份组中,并指定多机备份中的本端设备IP地址。
[DeviceC] up-backup-group g1
[DeviceC-up-backup-group-g1] backup up-id 1024 local-ip 1.1.1.1
This operation might lead to migration and cause the number of UP devices to exceed the upper limit. Continue? [Y/N]y
[DeviceC-up-backup-group-g1] backup up-id 1025 local-ip 3.3.3.3
This operation might lead to migration and cause the number of UP devices to exceed the upper limit. Continue? [Y/N]y
[DeviceC-up-backup-group-g1] quit
# 创建UP备份策略模板1,设置模式为热备模式,并配置UP 1024为主UP、UP 1025为备UP。
[DeviceC] up-backup-profile 1 hot-standby
[DeviceC-up-backup-profile-1] backup-group master remote-xge 1024/3/1/1 backup remote-xge 1025/3/1/1 vrid 1 resource-id 1
[DeviceC-up-backup-profile-1] quit
c. 配置L2TP
# 开启L2TP功能。
[DeviceC] l2tp enable
# 创建LAC模式的L2TP组1,配置隧道本端名称为LAC,指定接入的PPP用户的用户名为user1时LAC向LNS发起隧道建立请求,并指定LNS地址为1.1.2.2。
[DeviceC] l2tp-group 1 mode lac
[DeviceC-l2tp1] tunnel name LAC
[DeviceC-l2tp1] user fullusername user1
[DeviceC-l2tp1] lns-ip 1.1.2.2
# 启用隧道验证功能,并设置隧道验证密钥为aabbcc。
[DeviceC-l2tp1] tunnel authentication
[DeviceC-l2tp1] tunnel password simple aabbcc
# 配置UP 1024和UP 1025为一对主备UP,并指定该对主备UP建立L2TP隧道时使用的源端IP地址为123.1.1.1(请指定一个未被任何接口使用的地址作为隧道源IP地址,并确保该地址仅用于隧道的源IP地址,不再用作他途),主UP的路由开销值为60,备UP的路由开销值为70。
[DeviceC-l2tp1] l2tp-up-backup master 1024 backup 1025 lac-source-ip 123.1.1.1 master-cost 60 backup-cost 70
[DeviceC-l2tp1] quit
(5) 配置LNS端
# 配置静态路由,使LNS到LAC UP的源端IP地址123.1.1.1路由可达。
<LNS> system-view
[LNS] ip route-static 123.1.1.1 32 1.1.2.1
# 创建本地PPP用户user1,设置密码为pass1。
[LNS] local-user user1 class network
[LNS-luser-network-user1] password simple pass1
[LNS-luser-network-user1] service-type ppp
[LNS-luser-network-user1] quit
# 启用DHCP服务。
[LNS] dhcp enable
# 配置本地BAS IP地址池pool1。
[LNS] ip pool pool1 bas local
[LNS-ip-pool-pool1] gateway 192.168.0.1 24
[LNS-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址192.168.0.1配置为禁用地址。
[LNS-ip-pool-pool1] forbidden-ip 192.168.0.1
[LNS-ip-pool-pool1] quit
# 配置ISP域dm1对PPP用户采用本地AAA方案,并授权地址池。
[LNS] domain name dm1
[LNS-isp-dm1] authentication ppp local
[LNS-isp-dm1] accounting ppp local
[LNS-isp-dm1] authorization ppp local
[LNS-isp-dm1] authorization-attribute ip-pool pool1
[LNS-isp-dm1] quit
# 创建接口Virtual-Template1,PPP认证方式为CHAP。
[LNS] interface virtual-template 1
[LNS-Virtual-Template1] ppp authentication-mode chap domain dm1
[LNS-Virtual-Template1] quit
# 开启L2TP功能。
[LNS] l2tp enable
# 创建LNS模式的L2TP组1,配置隧道本端名称为LNS,指定接收呼叫的虚拟模板接口为VT1,并配置隧道对端名称为LAC。
[LNS] l2tp-group 1 mode lns
[LNS-l2tp1] tunnel name LNS
[LNS-l2tp1] allow l2tp virtual-template 1 remote LAC
# 启用隧道验证功能,并设置隧道验证密钥为aabbcc。
[LNS-l2tp1] tunnel authentication
[LNS-l2tp1] tunnel password simple aabbcc
[LNS-l2tp1] quit
(6) 配置Remote host端
在Remote host上配置PPPoE拨号连接,在拨号网络窗口中输入用户名user1和密码pass1进行拨号。
# 拨号连接成功后,在LAC CP上通过命令display access-user查看在线用户的信息。
[DeviceC] display access-user
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x14 R-XGE1024/3/1/1 - 5c3f-d5a8-0817 -/-
user1 PPPoE
-
# 在主UP 1024的Ten-GigabitEthernet3/1/1接口上执行shutdown后,再次在在LAC CP上通过命令display access-user查看在线用户的信息。
[DeviceC] display access-user
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x14 R-XGE1025/3/1/1 - 5c3f-d5a8-0817 -/-
user1 PPPoE
-
以上信息表明,Host A已通过自动切换到UP 1025上线,实现了LAC UP备份功能。
PPP用户直接与LNS建立L2TP隧道,通过L2TP隧道访问公司总部。
图1-18 Client-Initiated模式L2TP隧道组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置LNS UP
# 配置LNS工作在转发模式。
<LNS UP> system-view
[LNS UP] work-mode user-plane
(2) 配置LNS CP
# 创建本地PPP用户user1,设置密码为123456TESTplat&!。
<LNS CP> system-view
[LNS CP] local-user user1 class network
[LNS CP-luser-network-user1] password simple 123456TESTplat&!
[LNS CP-luser-network-user1] service-type ppp
[LNS CP-luser-network-user1] quit
# 配置ODAP类型的IP地址池pool1。
[LNS CP] ip pool pool1 odap
[LNS CP-ip-pool-pool1] network 192.0.0.0 8 export-route
[LNS CP-ip-pool-pool1] subnet mask-length 16
[LNS CP-ip-pool-pool1] gateway 192.168.0.1 8
[LNS CP-ip-pool-pool1] forbidden-ip 192.168.0.1
[LNS CP-ip-pool-pool1] dns-list 8.8.8.8
[LNS CP-ip-pool-pool1] quit
# 配置ISP域dm1对PPP用户采用本地AAA方案,并授权地址池。
[LNS CP] domain name dm1
[LNS CP-isp-dm1] authentication ppp local
[LNS CP-isp-dm1] accounting ppp local
[LNS CP-isp-dm1] authorization ppp local
[LNS CP-isp-dm1] authorization-attribute ip-pool pool1
[LNS CP-isp-dm1] quit
# 创建接口Virtual-Template1,PPP认证方式为CHAP。
[LNS CP] interface virtual-template 1
[LNS CP-Virtual-Template1] ppp authentication-mode chap domain dm1
[LNS CP-Virtual-Template1] quit
# 开启L2TP功能。
[LNS CP] l2tp enable
# 创建LNS模式的L2TP组1,配置隧道本端名称为LNS,指定接收呼叫的虚拟模板接口为VT1。
[LNS CP] l2tp-group 1 mode lns
[LNS CP-l2tp1] tunnel name LNS
[LNS CP-l2tp1] allow l2tp virtual-template 1
# 关闭L2TP隧道验证功能。
[LNS CP-l2tp1] undo tunnel authentication
[LNS CP-l2tp1] quit
(3) 配置Remote host端
配置IP地址为2.1.1.1,并配置路由,使得Remote host与LNS(IP地址为1.1.1.1)之间路由可达。
利用Windows系统创建虚拟专用L2TP网络连接,或安装L2TP客户端软件。
在Remote host上进行如下L2TP配置(设置的过程与相应的客户端软件有关,以下为设置的内容):
¡ 设置PPP用户名为user1,密码为123456TESTplat&!。
¡ 将LNS的IP地址设为安全网关的Internet接口地址(本例中LNS端与隧道相连接的以太网接口的IP地址为1.1.1.1)。
¡ 修改连接属性,将采用的协议设置为L2TP,将加密属性设为自定义,并选择CHAP验证。
# 在Remote host上触发L2TP拨号。拨号连接成功后,在LNS端通过命令display access-user可查看在线用户的信息。
[LNS CP] display access-user
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x14 BAS0 192.0.0.1 - -/-
user1 LNS
-
# 拨号连接成功后,Remote host获取到IP地址192.0.0.1,并可以Ping通LNS的私网地址192.168.0.1。
# 在LNS端,通过命令display l2tp session可查看建立的L2TP会话。
[LNS CP] display l2tp session
Slot 97:
LocalSID RemoteSID LocalTID State UPID
Username
89 36245 10878 Established 1024
N/A
# 在LNS端,通过命令display l2tp tunnel可查看建立的L2TP隧道。
[LNS CP] display l2tp tunnel
Slot 97:
LocalTID RemoteTID State Sessions RemoteAddress RemotePort UPID
RemoteName
10878 21 Established 1 2.1.1.1 1701 1024
PC
PPP用户接入之前,在LAC和LNS之间采用LAC-Auto-Initiated模式建立L2TP隧道。PPP用户接入后,通过已经建立的L2TP隧道访问公司总部。
图1-19 LAC-Auto-Initiated模式L2TP隧道组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置LAC端
# 开启L2TP功能。
<LAC> system-view
[LAC] l2tp enable
# 创建LAC模式的L2TP组1。
[LAC] l2tp-group 1 mode lac
# 配置LAC端本端名称为LAC,并指定LNS地址为LNS UP上LoopBack0接口的IP地址1.1.1.1。
[LAC-l2tp1] tunnel name LAC
[LAC-l2tp1] lns-ip 1.1.1.1
# 开启隧道验证功能,并设置隧道验证密钥为aabbcc。
[LAC-l2tp1] tunnel authentication
[LAC-l2tp1] tunnel password simple aabbcc
[LAC-l2tp1] quit
# 创建虚拟PPP接口Virtual-PPP 1,配置PPP用户的用户名为user1、密码为123456TESTplat&!,并配置PPP验证方式为PAP。
[LAC] interface virtual-ppp 1
[LAC-Virtual-PPP1] ip address ppp-negotiate
[LAC-Virtual-PPP1] ppp pap local-user user1 password simple 123456TESTplat&!
[LAC-Virtual-PPP1] quit
# 配置私网路由,访问公司总部的报文将通过L2TP隧道转发。
[LAC] ip route-static 10.1.0.0 16 virtual-ppp 1
# 触发LAC发起L2TP隧道建立请求。
[LAC] interface virtual-ppp 1
[LAC-Virtual-PPP1] l2tp-auto-client l2tp-group 1
[LAC-Virtual-PPP1] quit
(2) 配置LNS UP
# 配置LNS工作在转发模式。
<LNS UP> system-view
[LNS UP] work-mode user-plane
(3) 配置LNS CP
# 创建本地PPP用户user1,配置密码为123456TESTplat&!。
<LNS CP> system-view
[LNS CP] local-user user1 class network
[LNS CP-luser-network-user1] password simple 123456TESTplat&!
[LNS CP-luser-network-user1] service-type ppp
[LNS CP-luser-network-user1] quit
# 创建接口Virtual-Template1,配置PPP认证方式为PAP。
[LNS CP] interface virtual-template 1
[LNS CP-Virtual-Template1] ppp authentication-mode pap domain dm1
[LNS CP-Virtual-Template1] quit
# 配置本地BAS IP地址池pool1。
[LNS CP] ip pool pool1 bas local
[LNS CP-ip-pool-pool1] gateway 192.168.0.1 30
[LNS CP-ip-pool-pool1] dns-list 8.8.8.8
# 将IP地址192.168.0.1配置为禁用地址。
[LNS CP-ip-pool-pool1] forbidden-ip 192.168.0.1
[LNS CP-ip-pool-pool1] quit
# 配置ISP域dm1对PPP用户采用本地AAA方案,并授权地址池。
[LNS CP] domain name dm1
[LNS CP-isp-dm1] authentication ppp local
[LNS CP-isp-dm1] accounting ppp local
[LNS CP-isp-dm1] authorization ppp local
[LNS CP-isp-dm1] authorization-attribute ip-pool pool1
[LNS CP-isp-dm1] quit
# 开启L2TP功能,并创建LNS模式的L2TP组1。
[LNS CP] l2tp enable
[LNS CP] l2tp-group 1 mode lns
# 配置LNS端本端名称为LNS,指定接收呼叫的虚拟模板接口为VT1,并配置隧道对端名称为LAC。
[LNS CP-l2tp1] tunnel name LNS
[LNS CP-l2tp1] allow l2tp virtual-template 1 remote LAC
# 启用隧道验证功能,并设置隧道验证密钥为aabbcc。
[LNS CP-l2tp1] tunnel authentication
[LNS CP-l2tp1] tunnel password simple aabbcc
[LNS CP-l2tp1] quit
# 配置私网路由,下一跳指定为LNS为LAC的Virtual-PPP 1接口分配的私网IP地址192.168.0.2使得访问PPP用户的报文将通过L2TP隧道转发。
[LNS CP] ip route-static 10.2.0.0 16 192.168.0.2
(4) 配置Remote host端
Remote host上应将LAC设置为网关。
# 在LNS端,通过命令display l2tp session可查看建立的L2TP会话。
[LNS CP] display l2tp session
Slot 97:
LocalSID RemoteSID LocalTID State UPID
Username
89 3395 4501 Established 1024
N/A
# 在LNS端,通过命令display l2tp tunnel可查看建立的L2TP隧道。
[LNS CP] display l2tp tunnel
Slot 97:
LocalTID RemoteTID State Sessions RemoteAddress RemotePort UPID
RemoteName
4501 524 Established 1 3.3.3.1 1701 1024
LAC
# 在LNS端,可以Ping通LAC的私网地址10.2.0.1,说明10.2.0.0/16和10.1.0.0/16网络内的主机可以通过L2TP隧道通信。
[LNS CP] ping -a 10.1.0.1 10.2.0.1
Ping 10.2.0.1 (10.2.0.1): 56 data bytes, press CTRL+C to break
56 bytes from 10.2.0.1: icmp_seq=0 ttl=128 time=1.000 ms
56 bytes from 10.2.0.1: icmp_seq=1 ttl=128 time=1.000 ms
56 bytes from 10.2.0.1: icmp_seq=2 ttl=128 time=1.000 ms
56 bytes from 10.2.0.1: icmp_seq=3 ttl=128 time=1.000 ms
56 bytes from 10.2.0.1: icmp_seq=4 ttl=128 time=1.000 ms
--- Ping statistics for 10.2.0.1 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.000/1.000/1.000/0.000 ms
PPP用户通过LAC接入LNS,在LAC和LNS之间建立L2TP隧道,以便用户通过该L2TP隧道访问公司总部。其中LAC和LNS都工作在转发与控制分离模式,LAC CP负责PPPoE用户的协商认证、L2TP隧道和会话的协商建立,LAC UP负责数据报文的转发和流量控制;LNS CP负责L2TP隧道和会话的协商建立,LNS UP负责数据报文的转发和流量控制。
图1-20 L2TP转发与控制分离配置举例组网图
在进行下面的配置之前,请先配置各接口的IP地址,并确保各设备之间路由可达。(具体配置过程略)
配置CP和UP间的管理通道、控制通道和协议隧道。(具体配置过程略)
(1) 配置LAC UP
# 配置LAC工作在转发模式。
<LAC UP> system-view
[LAC UP] work-mode user-plane
(2) 配置LAC CP
a. 配置PPPoE Server
# 创建一个PPPoE用户。
<LAC CP> system-view
[LAC CP] local-user user1 class network
[LAC CP-luser-network-user1] password simple 123456TESTplat&!
[LAC CP-luser-network-user1] service-type ppp
[LAC CP-luser-network-user1] quit
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
[LAC CP] interface virtual-template 1
[LAC CP-Virtual-Template1] ppp authentication-mode chap domain dm1
[LAC CP-Virtual-Template1] quit
# 在远端接口Remote-XGE1024/3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[LAC CP] interface remote-xge 1024/3/1/1
[LAC CP-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[LAC CP-Remote-XGE1024/3/1/1] quit
# 在ISP域dm1下,配置域用户使用本地AAA方案。
[LAC CP] domain name dm1
[LAC CP-isp-dm1] authentication ppp local
[LAC CP-isp-dm1] accounting ppp local
[LAC CP-isp-dm1] authorization ppp local
[LAC CP-isp-dm1] quit
b. 配置L2TP
# 开启L2TP功能。
[LAC CP] l2tp enable
# 创建LAC模式的L2TP组1,配置隧道本端名称为LAC,指定接入的PPP用户的用户名为user1时LAC向LNS发起隧道建立请求,并指定LNS地址为LNS UP上LoopBack0接口的IP地址1.1.1.1。
[LAC CP] l2tp-group 1 mode lac
[LAC CP-l2tp1] tunnel name LAC
[LAC CP-l2tp1] user fullusername user1
[LAC CP-l2tp1] lns-ip 1.1.1.1
# 启用隧道验证功能,并设置隧道验证密钥为aabbcc。
[LAC CP-l2tp1] tunnel authentication
[LAC CP-l2tp1] tunnel password simple aabbcc
# 在LAC CP上配置UP ID为1024的LAC UP建立L2TP隧道时使用的源端IP地址均为11.1.1.1。
[LAC CP-l2tp1] tunnel up-id 1024 source-ip 11.1.1.1
[LAC CP-l2tp1] quit
(3) 配置LNS UP
# 配置LNS工作在转发模式。
<LNS UP> system-view
[LNS UP] work-mode user-plane
(4) 配置LNS CP
# 创建本地PPP用户user1,设置密码为123456TESTplat&!。
<LNS CP> system-view
[LNS CP] local-user user1 class network
[LNS CP-luser-network-user1] password simple 123456TESTplat&!
[LNS CP-luser-network-user1] service-type ppp
[LNS CP-luser-network-user1] quit
# 配置ODAP类型的IP地址池pool1。
[LNS CP] ip pool pool1 odap
[LNS CP-ip-pool-pool1] network 192.0.0.0 8 export-route
[LNS CP-ip-pool-pool1] subnet mask-length 16
[LNS CP-ip-pool-pool1] gateway 192.168.0.1 8
[LNS CP-ip-pool-pool1] forbidden-ip 192.168.0.1
[LNS CP-ip-pool-pool1] dns-list 8.8.8.8
[LNS CP-ip-pool-pool1] quit
# 配置ISP域dm1对PPP用户采用本地AAA方案,并授权地址池。
[LNS CP] domain name dm1
[LNS CP-isp-dm1] authentication ppp local
[LNS CP-isp-dm1] accounting ppp local
[LNS CP-isp-dm1] authorization ppp local
[LNS CP-isp-dm1] authorization-attribute ip-pool pool1
[LNS CP-isp-dm1] quit
# 创建接口Virtual-Template1,PPP认证方式为CHAP。
[LNS CP] interface virtual-template 1
[LNS CP-Virtual-Template1] ppp authentication-mode chap domain dm1
[LNS CP-Virtual-Template1] quit
# 开启L2TP功能。
[LNS CP] l2tp enable
# 创建LNS模式的L2TP组1,配置隧道本端名称为LNS,指定接收呼叫的虚拟模板接口为VT1,并配置隧道对端名称为LAC。
[LNS CP] l2tp-group 1 mode lns
[LNS CP-l2tp1] tunnel name LNS
[LNS CP-l2tp1] allow l2tp virtual-template 1 remote LAC
# 启用隧道验证功能,并设置隧道验证密钥为aabbcc。
[LNS CP-l2tp1] tunnel authentication
[LNS CP-l2tp1] tunnel password simple aabbcc
[LNS CP-l2tp1] quit
(5) 配置Remote host端
在Remote host上配置PPPoE拨号连接,在拨号网络窗口中输入用户名user1和密码123456TESTplat&!进行拨号。
# 拨号连接成功后,在LAC CP上通过命令display access-user查看在线用户的信息。
[LAC CP] display access-user
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x14 R-XGE1024/3/1/1 - 5c3f-d5a8-0817 -/-
user1 PPPoE
-
# 拨号连接成功后,在LAC UP上通过命令display access-user user-plane查看在线用户的信息。
[LAC UP] display access-user user-plane
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x14 XGE3/1/1 - 5c3f-d5a8-0817 -/-
- PPPoE
-
# 拨号连接成功后,在LNS端通过命令display access-user可查看在线用户的信息。
[LNS CP] display access-user
Slot 97:
UserID Interface IP address MAC address S-/C-VLAN
Username Access type
IPv6 address
0x14 - 192.0.0.1 - -/-
user1 LNS
-
# 拨号连接成功后,Remote host获取到IP地址192.0.0.1,并可以ping通LNS的私网地址192.168.0.1。
# 在LNS端,通过命令display l2tp tunnel可查看建立的L2TP隧道。
[LNS CP] display l2tp tunnel up-id 1024
Slot 97:
LocalTID RemoteTID State Sessions RemoteAddress RemotePort UPID
RemoteName
196 3542 Established 1 11.1.1.1 1701 1024
LAC
# 在LNS端,通过命令display l2tp session可查看建立的L2TP会话。
[LNS CP] display l2tp session up-id 1024
Slot 97:
LocalSID RemoteSID LocalTID State UPID
Username
89 64 196 Established 1024
user1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
