- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
17-L2TP
本章节下载: 17-L2TP (369.28 KB)
本帮助主要介绍以下内容:
· 特性简介
○ L2TP隧道模式
· 常见问题解答
○ 常见故障之一
○ 常见故障之二
· 配置指南
○ 配置L2TP
○ 隧道信息
L2TP(Layer 2 Tunneling Protocol,二层隧道协议)通过在公共网络(如Internet)上建立点到点的L2TP隧道,将PPP(Point-to-Point Protocol,点对点协议)数据帧封装后通过L2TP隧道传输,使得远端用户(如企业驻外机构和出差人员)利用PPP接入公共网络后,能够通过L2TP隧道与企业内部网络通信,访问企业内部网络资源。
在L2TP的组网中,角色分为以下三个部分:
远端系统是要接入企业内部网络的远端用户和远端分支机构,通常是一个拨号用户的主机或私有网络中的一台设备。
LAC是具有PPP和L2TP协议处理能力的设备,通常是一个当地ISP的NAS(Network Access Server,网络接入服务器),主要用于为PPP类型的用户提供接入服务。
LAC作为L2TP隧道的端点,位于LNS和远端系统之间,用于在LNS和远端系统之间传递报文。它把从远端系统收到的报文按照L2TP协议进行封装并送往LNS,同时也将从LNS收到的报文进行解封装并送往远端系统。
LNS是具有PPP和L2TP协议处理能力的设备,通常位于企业内部网络的边缘。
LNS作为L2TP隧道的另一侧端点,是LAC通过隧道传输的PPP会话的逻辑终点。L2TP通过在公共网络中建立L2TP隧道,将远端系统的PPP连接由原来的NAS延伸到了企业内部网络的LNS设备。
L2TP隧道包括NAS-Initiated、Client-Initiated和LAC-Auto-Initiated三种模式。
如图-1所示,NAS-Initiated模式L2TP隧道的建立由LAC(即NAS)发起。远端系统的拨号用户通过PPPoE/ISDN拨入LAC后,由LAC向LNS发起建立L2TP隧道的请求。
图-1 NAS-Initiated模式L2TP隧道示意图
NAS-Initiated模式L2TP隧道具有如下特点:
远端系统只需支持PPP协议,不需要支持L2TP。
对远端拨号用户的身份认证与计费既可由LAC代理完成,也可由LNS完成。
如图-2所示,Client-Initiated模式L2TP隧道的建立直接由LAC client(指本地支持L2TP协议的远端系统)发起。LAC client具有公网地址,并能够通过Internet与LNS通信后,如果在LAC client上触发L2TP拨号,则LAC client直接向LNS发起L2TP隧道建立请求,无需经过LAC设备建立隧道。
图-2 Client-Initiated模式L2TP隧道示意图
Client-Initiated模式L2TP隧道具有如下特点:
· L2TP隧道在远端系统和LNS之间建立,具有较高的安全性。
· Client-Initiated模式L2TP隧道对远端系统要求较高(远端系统必须是支持L2TP协议的LAC client,且能够与LNS通信),因此它的扩展性较差。
采用NAS-Initiated方式建立L2TP隧道时,要求远端系统必须通过PPPoE/ISDN等拨号方式拨入LAC,且只有远端系统拨入LAC后,才能触发LAC向LNS发起建立隧道的请求。
如图-3所示,在LAC-Auto-Initiated模式下,不需要远端系统拨号触发,LAC采用特定L2TP组下配置的隧道参数建立L2TP隧道。远端系统访问LNS连接的内部网络时,LAC将通过L2TP隧道转发这些访问数据。
图-3 LAC-Auto-Initiated模式L2TP隧道示意图
LAC-Auto-Initiated模式L2TP隧道具有如下特点:
· 远端系统和LAC之间可以是任何基于IP的连接,不局限于拨号连接。
· 不需要远端系统上的拨号接入来触发建立L2TP隧道。
· L2TP隧道创建成功后立即建立L2TP会话,然后在LAC和LNS之间进行PPP协商,LAC和LNS分别作为PPP客户端和PPP服务器端。
· 一条L2TP隧道上只承载一个L2TP会话。
· LNS为LAC分配企业网内部的IP地址,而不是为远端系统分配。
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
如下列举了基本的Troubleshooting以供参考。
通过“VPN > L2TP > 隧道信息”,查看不到隧道信息(即隧道未成功建立)。
可能有以下原因:
· LAC端配置的L2TP服务器端地址不正确。
· LAC端和LNS端配置的PPP认证方式不一致。
· LAC端配置的用户名和密码错误,或者是LNS端不存在相应的用户。
· LNS端上的组号不为1时,配置的LAC端隧道名称与LNS端配置的隧道名称不一致。
· 隧道验证不通过:
○ 如果LAC和LNS两端都开启了隧道验证功能,则两端密钥不为空并且完全一致的情况下,二者之间才能成功建立L2TP隧道。
○ 如果LAC和LNS中的一端开启了隧道验证功能,则另一端可不开启隧道验证功能,但需要两端密钥不为空并且完全一致,二者之间才能成功建立L2TP隧道。
通过“VPN > L2TP > 隧道信息”,查看隧道成功建立,但是数据传输失败(如不能Ping通私网侧主机)
可能有如下原因:
· 路由问题:LAC和LNS上需要存在到达对端私网的路由,否则会导致数据传输失败。在LAC和LNS上查看设备上是否存在到达对端私网的路由。若不存在,则需要配置静态路由或动态路由协议,在设备上添加该路由。
· 安全策略:LNS端的VT接口需要加入到安全域,并在安全策略中放行该安全域到Local安全域的相关流量,否则数据会因为安全策略的原因被设备丢弃。
· 网络拥挤:Internet主干网产生拥挤,丢包现象严重。L2TP是基于UDP进行传输的,UDP不对报文进行差错控制。如果是在线路质量不稳定的情况下进行L2TP应用,有可能会产生Ping不通对端的情况。
1. 单击“网络 > VPN > L2TP > L2TP”。
2. 在“L2TP”页面,单击<新建>按钮,进入“新建L2TP”页面,具体配置如下:
表-1 L2TP配置
|
参数 |
说明 |
|
组类型 |
L2TP的组类型包括LAC和LNS,LAC作为L2TP隧道的端点,位于LNS和远端系统之间,用于在LNS和远端系统之间传递报文 |
|
L2TP组号 |
L2TP的组号 |
|
本端隧道名称 |
如果不配置本端隧道名称,缺省情况下使用设备名称作为本端隧道名称 |
|
对端隧道名称 |
当L2TP组号不为1时,必须配置对端隧道名称 |
|
隧道密码认证 |
L2TP隧道验证功能用来防止本端设备与非法的对端设备建立L2TP隧道,提高网络的安全性 |
|
隧道密码 |
如果用户需要修改隧道验证的密钥,请在隧道开始协商前进行,否则修改的密钥不生效 |
|
确认隧道密码 |
再次输入隧道密码进行确认 |
|
L2TP服务器端地址 |
指定LNS端的IP地址,最多可以配置5个地址 |
|
PPP认证方式 |
采用PAP或CHAP认证时,需要与LNS侧的用户信息一致 |
|
PPP服务器地址 |
虚拟PPP接口的IP地址,用于协商PPP连接 |
|
子网掩码 |
虚拟PPP接口的IP地址的子网掩码 |
|
用户地址池 |
用户可以使用的地址池范围,可以是单个地址,也可以是地址范围 |
|
Hello报文间隔 |
设备按照本功能配置的时间间隔周期性发送Hello报文,以免LAC和LNS之间的L2TP隧道和会话在超时后被删除 |
|
AVP隐藏功能 |
如果用户不希望这些信息(如用户密码)被窃取,则可以使用本功能将AVP数据的传输方式配置为隐藏传输,本功能仅在开启隧道密码认证功能后生效 |
|
流控功能 |
L2TP会话的流控功能是指在L2TP会话上传递的报文中携带序列号,通过序列号检测是否存在丢包,并根据序列号对乱序报文进行排序 |
3. 单击“确定”按钮,完成配置。
在“隧道信息”页面,可以查看L2TP隧道的隧道ID、对端地址、对端端口、组类型、隧道状态等信息。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
