L2TP
本帮助主要介绍以下内容:
特性简介
L2TP(Layer 2 Tunneling Protocol,二层隧道协议)通过在公共网络(如Internet)上建立点到点的L2TP隧道,将PPP(Point-to-Point Protocol,点对点协议)数据帧封装后通过L2TP隧道传输,使得远端用户(如企业驻外机构和出差人员)利用PPP接入公共网络后,能够通过L2TP隧道与企业内部网络通信,访问企业内部网络资源。
L2TP组网中的角色
在L2TP的组网中,角色分为以下三个部分:
远端系统
远端系统是要接入企业内部网络的远端用户和远端分支机构,通常是一个拨号用户的主机或私有网络中的一台设备。
LAC(L2TP Access Concentrator,L2TP访问集中器)
LAC是具有PPP和L2TP协议处理能力的设备,通常是一个当地ISP的NAS(Network Access Server,网络接入服务器),主要用于为PPP类型的用户提供接入服务。
LAC作为L2TP隧道的端点,位于LNS和远端系统之间,用于在LNS和远端系统之间传递报文。它把从远端系统收到的报文按照L2TP协议进行封装并送往LNS,同时也将从LNS收到的报文进行解封装并送往远端系统。
LNS(L2TP Network Server,L2TP网络服务器)
LNS是具有PPP和L2TP协议处理能力的设备,通常位于企业内部网络的边缘。
LNS作为L2TP隧道的另一侧端点,是LAC通过隧道传输的PPP会话的逻辑终点。L2TP通过在公共网络中建立L2TP隧道,将远端系统的PPP连接由原来的NAS延伸到了企业内部网络的LNS设备。
L2TP隧道模式
L2TP隧道包括NAS-Initiated、Client-Initiated和LAC-Auto-Initiated三种模式。
NAS-Initiated模式
如图-1所示,NAS-Initiated模式L2TP隧道的建立由LAC(即NAS)发起。远端系统的拨号用户通过PPPoE/ISDN拨入LAC后,由LAC向LNS发起建立L2TP隧道的请求。
NAS-Initiated模式L2TP隧道具有如下特点:
远端系统只需支持PPP协议,不需要支持L2TP。
对远端拨号用户的身份认证与计费既可由LAC代理完成,也可由LNS完成。
Client-Initiated模式
如图-2所示,Client-Initiated模式L2TP隧道的建立直接由LAC client(指本地支持L2TP协议的远端系统)发起。LAC client具有公网地址,并能够通过Internet与LNS通信后,如果在LAC client上触发L2TP拨号,则LAC client直接向LNS发起L2TP隧道建立请求,无需经过LAC设备建立隧道。
图-2 Client-Initiated模式L2TP隧道示意图
Client-Initiated模式L2TP隧道具有如下特点:
L2TP隧道在远端系统和LNS之间建立,具有较高的安全性。
Client-Initiated模式L2TP隧道对远端系统要求较高(远端系统必须是支持L2TP协议的LAC client,且能够与LNS通信),因此它的扩展性较差。
LAC-Auto-Initiated模式
采用NAS-Initiated方式建立L2TP隧道时,要求远端系统必须通过PPPoE/ISDN等拨号方式拨入LAC,且只有远端系统拨入LAC后,才能触发LAC向LNS发起建立隧道的请求。
如图-3所示,在LAC-Auto-Initiated模式下,不需要远端系统拨号触发,LAC采用特定L2TP组下配置的隧道参数建立L2TP隧道。远端系统访问LNS连接的内部网络时,LAC将通过L2TP隧道转发这些访问数据。
图-3 LAC-Auto-Initiated模式L2TP隧道示意图
LAC-Auto-Initiated模式L2TP隧道具有如下特点:
远端系统和LAC之间可以是任何基于IP的连接,不局限于拨号连接。
不需要远端系统上的拨号接入来触发建立L2TP隧道。
L2TP隧道创建成功后立即建立L2TP会话,然后在LAC和LNS之间进行PPP协商,LAC和LNS分别作为PPP客户端和PPP服务器端。
一条L2TP隧道上只承载一个L2TP会话。
LNS为LAC分配企业网内部的IP地址,而不是为远端系统分配。
vSystem相关说明
非缺省vSystem对于本特性的支持情况,请以页面的实际显示为准。
配置指南
配置准备
配置LAC端基本配置
LAC端基本配置的具体配置步骤如下:
单击“网络 > VPN > L2TP > L2TP”,单击<启用L2TP>以开启L2TP功能。
图-4 启用L2TP
在“L2TP”页面,单击<新建>按钮,进入“新建L2TP”页面,组类型选择LAC,具体的配置参数如下表所示。
图-5 新建组类型为LAC的L2TP
表-1 组类型为LAC的L2TP参数配置
参数
说明
组类型
L2TP的组类型包括LAC和LNS,LAC作为L2TP隧道的端点,位于LNS和远端系统之间,用于在LNS和远端系统之间传递报文,LAC模式和LNS模式的L2TP组可以同时存在
LAC:表示设备可以作为L2TP隧道的LAC端向LNS发起隧道建立请求。
LNS:表示设备可以作为L2TP隧道的LNS端接受来自LAC的隧道建立请求。
L2TP组号
L2TP的组号
本端隧道名称
隧道本端的名称在LAC和LNS进行隧道协商时使用,它用来标识本端隧道,以供对端识别。如果不配置本端隧道名称,缺省情况下使用设备名称作为本端隧道名称
隧道密码认证
L2TP隧道验证功能用来防止本端设备与非法的对端设备建立L2TP隧道,提高网络的安全性
隧道密码
如果用户需要修改隧道验证的密钥,请在隧道开始协商前进行,否则修改的密钥不生效
确认隧道密码
再次输入隧道密码进行确认
L2TP服务器端地址
指定LNS端的IP地址,最多可以配置5个地址
PPP认证方式
采用PAP或CHAP认证时,需要与LNS侧的用户信息一致
用户名
PAP认证或CHAP认证的用户名
密码
PAP认证或CHAP认证的密码
单击“确定”按钮,完成配置。
配置LAC端高级配置(可选)
LAC端高级配置的具体配置步骤如下:
单击“网络 > VPN > L2TP > L2TP”,单击<启用L2TP>以开启L2TP功能。
图-6 启用L2TP
在“L2TP”页面,单击<新建>按钮,进入“新建L2TP”页面,在“高级配置”区域进行配置,具体的配置参数如下表所示。
图-7 组类型为LAC的L2TP的高级配置
表-2 组类型为LAC的L2TP的高级配置参数配置
参数
说明
Hello报文间隔
设备按照本功能配置的时间间隔周期性发送Hello报文,以免LAC和LNS之间的L2TP隧道和会话在超时后被删除
AVP隐藏功能
如果用户不希望这些信息(如用户密码)被窃取,则可以使用本功能将AVP数据的传输方式配置为隐藏传输,本功能仅在开启隧道密码认证功能后生效
流控功能
L2TP会话的流控功能是指在L2TP会话上传递的报文中携带序列号,通过序列号检测是否存在丢包,并根据序列号对乱序报文进行排序
单击“确定”按钮,完成配置。
配置LNS端基本配置
LNS端基本配置的具体配置步骤如下:
单击“网络 > VPN > L2TP > L2TP”,单击<启用L2TP>以开启L2TP功能。
图-8 启用L2TP
在“L2TP”页面,单击<新建>按钮,进入“新建L2TP”页面,组类型选择LNS,具体的配置参数如下表所示。
图-9 新建组类型为LNS的L2TP
表-3 组类型为LNS的L2TP参数配置
参数
说明
组类型
L2TP的组类型包括LAC和LNS,LAC作为L2TP隧道的端点,位于LNS和远端系统之间,用于在LNS和远端系统之间传递报文,LAC模式和LNS模式的L2TP组可以同时存在
LAC:表示设备可以作为L2TP隧道的LAC端向LNS发起隧道建立请求。
LNS:表示设备可以作为L2TP隧道的LNS端接受来自LAC的隧道建立请求。
L2TP组号
L2TP的组号
本端隧道名称
隧道本端的名称在LAC和LNS进行隧道协商时使用,它用来标识本端隧道,以供对端识别。如果不配置本端隧道名称,缺省情况下使用设备名称作为本端隧道名称
对端隧道名称
当L2TP组号不为1时,必须配置对端隧道名称
隧道密码认证
L2TP隧道验证功能用来防止本端设备与非法的对端设备建立L2TP隧道,提高网络的安全性
隧道密码
如果用户需要修改隧道验证的密钥,请在隧道开始协商前进行,否则修改的密钥不生效
确认隧道密码
再次输入隧道密码进行确认
PPP认证方式
采用PAP或CHAP认证时,需要与LNS侧的用户信息一致
PPP服务器地址
虚拟PPP接口的IP地址,用于协商PPP连接
子网掩码
虚拟PPP接口的IP地址的子网掩码
用户地址池
用户可以使用的地址池范围,可以是单个地址,也可以是地址范围
单击“确定”按钮,完成配置。
配置LNS端高级配置(可选)
LNS端高级配置的具体配置步骤如下:
单击“网络 > VPN > L2TP > L2TP”,单击<启用L2TP>以开启L2TP功能。
图-10 启用L2TP
在“L2TP”页面,单击<新建>按钮,进入“新建L2TP”页面,在“高级配置”区域进行配置,具体的配置参数如下表所示。
图-11 组类型为LNS的L2TP的高级配置
表-4 组类型为LNS的L2TP参数配置
参数
说明
Hello报文间隔
为了检测LAC和LNS之间隧道的连通性,LAC和LNS会定期向对端发送Hello报文,接收方接收到Hello报文后会进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时,重复发送,如果重复发送5次仍没有收到对端的响应信息则认为L2TP隧道已经断开。设备按照本功能配置的时间间隔周期性发送Hello报文,以免LAC和LNS之间的L2TP隧道和会话在超时后被删除
AVP隐藏功能
如果用户不希望这些信息(如用户密码)被窃取,则可以使用本功能将AVP数据的传输方式配置为隐藏传输,本功能仅在开启隧道密码认证功能后生效
流控功能
L2TP会话的流控功能是指在L2TP会话上传递的报文中携带序列号,通过序列号检测是否存在丢包,并根据序列号对乱序报文进行排序
强制LCP重协商
当LAC对用户进行验证后,为了增强安全性,LNS可以再次对用户进行验证。在这种情况下,将对用户进行两次验证,第一次发生在LAC端,第二次发生在LNS端,只有两次验证全部成功后,L2TP隧道才能建立。
在L2TP组网中,LNS端对用户的验证方式有三种:
代理验证:由LAC代替LNS对用户进行验证,并将用户的所有验证信息及LAC端本身配置的验证方式发送给LNS。LNS根据接收到的信息及本端配置的验证方式,判断用户是否合法。
强制本端CHAP认证:强制在LAC代理验证成功后,LNS再次对用户进行CHAP验证。
强制LCP重协商:忽略LAC端的代理验证信息,强制LNS与用户间重新进行LCP(Link Control Protocol,链路控制协议)协商。
验证方式的优先级从高到底依次为:强制LCP重协商、强制本端CHAP认证和代理验证。
如果在LNS上同时配置强制LCP重协商和强制本端CHAP认证,L2TP将使用强制LCP重协商。
如果只配置强制本端CHAP认证,则在LAC代理验证成功后,LNS再次对用户进行CHAP验证。
如果既不配置强制LCP重协商,也不配置强制本端CHAP认证,则对用户进行代理验证。
强制本端CHAP认证
单击“确定”按钮,完成配置。
查看L2TP隧道信息
在“隧道信息”页面,可以查看L2TP隧道的隧道ID、对端地址、对端端口、组类型、隧道状态等信息。
常见问题解答
如下列举了基本的Troubleshooting以供参考。
常见故障之一
故障现象
通过“VPN > L2TP > 隧道信息”,查看不到隧道信息(即隧道未成功建立)。
故障排除
可能有以下原因:
LAC端配置的L2TP服务器端地址不正确。
LAC端和LNS端配置的PPP认证方式不一致。
LAC端配置的用户名和密码错误,或者是LNS端不存在相应的用户。
LNS端上的组号不为1时,配置的LAC端隧道名称与LNS端配置的隧道名称不一致。
隧道验证不通过:
如果LAC和LNS两端都开启了隧道验证功能,则两端密钥不为空并且完全一致的情况下,二者之间才能成功建立L2TP隧道。
如果LAC和LNS中的一端开启了隧道验证功能,则另一端可不开启隧道验证功能,但需要两端密钥不为空并且完全一致,二者之间才能成功建立L2TP隧道。
常见故障之二
故障现象
通过“VPN > L2TP > 隧道信息”,查看隧道成功建立,但是数据传输失败(如不能Ping通私网侧主机)
故障排除
可能有如下原因:
路由问题:LAC和LNS上需要存在到达对端私网的路由,否则会导致数据传输失败。在LAC和LNS上查看设备上是否存在到达对端私网的路由。若不存在,则需要配置静态路由或动态路由协议,在设备上添加该路由。
安全策略:LNS端的VT接口需要加入到安全域,并在安全策略中放行该安全域到Local安全域的相关流量,否则数据会因为安全策略的原因被设备丢弃。
网络拥挤:Internet主干网产生拥挤,丢包现象严重。L2TP是基于UDP进行传输的,UDP不对报文进行差错控制。如果是在线路质量不稳定的情况下进行L2TP应用,有可能会产生Ping不通对端的情况。