2024年6月10日发(作者:)
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
1
关于本章
1.1 L2TP简介
介绍L2TP的定义、目的和受益。
1.2 原理描述
介绍L2TP的实现原理。
1.3 应用场景
介绍L2TP的应用场景。
1.4 缺省配置
介绍L2TP的缺省配置。
1.5 配置L2TP
介绍L2TP配置的详细过程。
1.6 维护L2TP
如何强制中断L2TP连接、监控L2TP运行状况。
1.7 配置举例
介绍L2TP的配置举例。
1.8 常见配置错误
介绍L2TP配置中容易出现的错误。
1.9 FAQ
介绍L2TP的相关FAQ。
1.10 参考信息
介绍L2TP的参考标准和协议。
L2TP配置
L2TP连接建立在LAC和LNS之间,通过在不同场景下配置LAC和LNS,使远程用户使
用L2TP隧道访问总部。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
1
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
1.1 L2TP简介
介绍L2TP的定义、目的和受益。
定义
二层隧道协议L2TP(Layer 2 Tunneling Protocol)是虚拟私有拨号网VPDN(Virtual
Private Dial-up Network)隧道协议的一种,扩展了点到点协议PPP(Point-to-Point
Protocol)的应用,是远程拨号用户接入企业总部网络的一种重要VPN技术。
L2TP通过拨号网络,基于PPP的协商,建立企业分支用户到企业总部的隧道,使远程
用户可以接入企业总部。PPPoE(PPP over Ethernet)技术更是扩展了L2TP的应用范
围,通过以太网络连接Internet,建立远程移动办公人员到企业总部的L2TP隧道。
如图1-1所示,展现使用L2TP技术组建VPDN网络的典型场景。
图1-1 L2TP典型组网图
RADIUS服务器RADIUS服务器
PC
企业分支
NAS
(LAC)
拨号网络
Internet
LNS
企业总部
PC
PC
拨号用户
L2TP隧道
L2TP隧道
移动办公人员
(L2TP拨号软件)
PC
VPDN
目的
随着企业的发展和业务的增加,在不同地域成立的分支机构和出差的员工,需要和总
部建立快速、安全和可靠的网络连接。传统的拨号网络需要租用因特网服务提供商ISP
(Internet Service Provider)的电话线路,申请公共的号码或IP地址,不仅产生高额的
费用,而且无法为远程用户尤其是出差员工提供便利的接入服务。为了更好的利用拨
号网络,方便远程用户的接入,产生了基于拨号网络的VPN,即VPDN。通过VPDN技
术,远程用户和企业总部网关之间建立了一条点到点虚拟链路。
VPDN有以下3种常用的隧道技术:
l
l
l
点到点隧道协议PPTP(Point-to-Point Tunneling Protocol)
二层转发L2F(Layer 2 Forwarding)
二层隧道协议L2TP(Layer 2 Tunneling Protocol)
L2TP集合了PPTP和L2F两种协议的优点,目前已被广泛接受,主要应用在单个或少数
远程终端通过公共网络接入企业内联网的需要。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
2
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
受益
L2TP对PPP报文进行封装,在公共网络上建立虚拟链路传输企业的私有数据,节省了
租用物理专线的高额费用。同时将企业从复杂和专业的网络维护中解放出来,只需要
维护私有网络和远程接入的用户,降低了维护成本。
L2TP还具有如下特点,可以为企业提供方便、安全和可靠的远程用户接入服务。
l灵活的身份验证机制以及高度的安全性
–
–
–
l
L2TP使用PPP提供的安全特性(如PAP、CHAP),对接入用户进行身份认
证。
L2TP定义了控制消息的加密传输方式,支持L2TP隧道的认证。
L2TP对传输的数据不加密,但可以和因特网协议安全协议IPSec(Internet
Protocol Security)结合应用,为数据传输提供高度的安全保证。
多协议传输
L2TP传输PPP数据包,PPP可以传输多种协议报文,所以L2TP可以在IP网络,帧
中继永久虚拟电路(PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用。
l支持RADIUS(Remote Authentication Dial-in User Service)服务器的验证
L2TP对接入用户不仅支持本地认证,还支持将拨号接入的用户名和密码发往
RADIUS服务器进行认证,为企业管理接入用户提供了更多的选择。
l
l
支持私网地址分配
应用L2TP的企业总部网关,可以为远程用户动态分配私网地址。
可靠性
L2TP协议支持备份LNS,当一个主LNS不可达之后,LAC可以与备份LNS建立连
接,增强了VPN服务的可靠性。
相关资料
视频:
l
l
AR G3系列路由器VPN相关培训
华为AR路由器L2TP特性介绍
1.2 原理描述
介绍L2TP的实现原理。
1.2.1 基本概念
如图1-2所示为L2TP的典型组网,以下为L2TP的相关的概念。
l
l
l
l
l
l
VPDN
PPP终端
NAS
LAC
LNS
隧道和会话
华为专有和保密信息
版权所有 © 华为技术有限公司
3
文档版本 06 (2016-09-15)
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
图1-2 L2TP组网图
VPDN
RADIUS服务器RADIUS服务器
企业分支
NAS
(LAC)
拨号网络
Internet
LNS
企业总部
PC
PPP终端
PC
L2TP隧道
L2TP会话
IP
UDP
L2TP
PPPDATA
VPDN
VPDN是承载PPP报文的VPN,可以为企业、小型ISP、移动办公人员提供接入服务。
PPP终端接入拨号网络,拨号到NAS。NAS收到PPP报文后进行L2TP封装,最外层的IP
报头经过公网路由转发后到达LNS。LNS收到报文后解封装,还原PPP报文,完成了
PPP报文在公共网络上的透明传输,从而在PPP终端和LNS之间建立了VPDN连接。
随着以太网络的普及,PPP终端不再受限于传统的拨号网络,使用PPPoE技术,即可通
过以太网络接入LAC。
PPP终端
L2TP应用中,PPP终端指发起拨号,将数据封装为PPP类型的设备,如远程用户PC、
企业分支网关等。
NAS
NAS网络接入服务器(Network Access Server)主要由ISP维护,连接拨号网络,是距
离PPP终端地理位置最近的接入点。NAS用于传统的拨号网络中,为远程拨号用户提供
VPDN服务,和企业总部建立隧道连接。
LAC
L2TP访问集中器LAC(L2TP Access Concentrator)是交换网络上具有PPP和L2TP处理
能力的设备。LAC根据PPP报文中所携带的用户名或者域名信息,和LNS建立L2TP隧
道连接,将PPP协商延展到LNS。
在不同的组网环境中,LAC可以是不同的设备:
l在传统的拨号网络中,ISP在NAS上部署LAC。
企业分支
NAS
(LAC)
拨号网络
Internet
LNS
PPP终端
PC
L2TP隧道
企业总部
PC
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
4
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
l在企业分支的以太网络中,为PPP终端配备网关设备,网关作为PPPoE服务器,同
时部署为LAC。
企业分支
LAC
(PPPoE服务器)
Internet
PPPoE
PPP终端
(PPPoE客户端)
L2TP隧道
LNS
企业总部
PC
PC
l出差人员使用PC终端接入Internet,在PC上安装L2TP拨号软件,则PC终端为
LAC。
LAC
LNS
(L2TP拨号软件)
PC
企业总部
Internet
PC
L2TP隧道
LAC可以发起建立多条L2TP隧道使数据流之间相互隔离,即LAC可以承载多条VPDN
连接。
LAC在LNS和PPP终端之间传递数据。即LAC从PPP终端收到报文后进行L2TP封装发送
至LNS,从LNS收到报文后进行解封装并发送至PPP终端。
LNS
L2TP网络服务器LNS(L2TP Network Server)是终止PPP会话的一端,通过LNS的认
证,PPP会话协商成功,远程用户可以访问企业总部的资源。对L2TP协商,LNS是
LAC的对端设备,即LAC和LNS建立了L2TP隧道;对PPP,LNS是PPP会话的逻辑终止
端点,即PPP终端和LNS建立了一条点到点的虚拟链路。
LNS位于企业总部私网与公网边界,通常是企业总部的网关设备。必要时,LNS还兼有
网络地址转换(NAT)功能,对企业总部网络内的私有IP地址与公共IP地址进行转换。
隧道和会话
在LAC和LNS的L2TP交互过程中存在两种类型的连接。
l隧道(Tunnel)连接
L2TP隧道在LAC和LNS之间建立,一对LAC和LNS可以建立多个L2TP隧道,一个
L2TP隧道可以包含多个L2TP会话。
l会话(Session)连接
L2TP会话发生在隧道连接成功之后,L2TP会话表示承载在隧道连接中的一个PPP
会话过程。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
5
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
1.2.2 工作原理
L2TP协议架构
L2TP协议包含两种类型的消息,控制消息和数据消息,消息的传输在LAC和LNS之间
进行。L2TP协议通过这两种消息,扩展了PPP的应用。
l控制消息
用于L2TP隧道和会话连接的建立、维护和拆除。在控制消息的传输过程中,使用
消息丢失重传和定时检测隧道连通性等机制来保证控制消息传输的可靠性,支持
对控制消息的流量控制和拥塞控制。
l数据消息
用于封装PPP数据帧并在隧道上传输。数据消息是不可靠的传输,不重传丢失的数
据报文,不支持对数据消息的流量控制和拥塞控制。
图1-3说明了PPP报文、控制消息和数据消息在L2TP协议架构中的位置和关系。
图1-3 L2TP协议架构
PPP帧
L2TP数据消息
L2TP数据通道
(不可靠)
包传输网络
L2TP控制消息
L2TP控制通道
(可靠)
控制消息承载在L2TP控制通道上,控制通道实现了控制消息的可靠传输,将控制消息
封装在L2TP报头内,再经过IP网络传输。
数据消息携带PPP帧承载在不可靠的数据通道上,对PPP帧进行L2TP封装,再经过IP网
络传输。
L2TP协议使用UDP端口1701,这个端口号仅用于初始隧道的建立。L2TP隧道发起方任
选一个空闲端口向接收方的1701端口发送报文;接收方收到报文后,也任选一个空闲
端口,给发起方的选定的端口回送报文。至此,双方的端口选定,并在隧道连通的时
间内不再改变。
L2TP报文结构
远程用户拨号产生的PPP报文经L2TP封装后的报文格式如图1-4所示。
图1-4 L2TP报文格式
20 bytes
New IP
Header
8 bytes6 bytes4 bytes
PPP
Header
20 bytes
Original IP
Header
DataUDP HeaderL2TP Header
L2TP报文进行了多次封装,比原始报文多出38个字节(如果需要携带序列号信息,则
比原始报文多出42个字节),封装后报文的长度可能会超出接口的MTU值,而L2TP协
议本身不支持报文分片功能,这时需要设备支持对IP报文的分片功能。当L2TP报文长
度超出发送接口的MTU值时,在发送接口进行报文分片处理,接收端对收到分片报文
进行还原,重组为L2TP报文。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
6
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
L2TP报文封装
L2TP是PPP的扩展,使PPP报文可以通过隧道方式在公网网络中传输。
如果组网中只应用PPP,则PPP终端发起的拨号,最远只能到达拨号网络的边缘节点
NAS,此时NAS可以称为PPP会话的终止节点。而应用L2TP,则可以使PPP报文在公网
透传,到达企业总部的LNS,此时LNS相当于PPP会话的终止节点。
图1-5 L2TP报文封装图
PPP终端
LAC
(NAS)
拨号网络
Internet
LNS
企业总部
PC
企业分支
IP报文
IP
Packet
PPP封装
IP
Packet
L2TP封装
L2TP
(AVP)
IP
Packet
IP
Packet
PPP
IP
UDPPPP
+
PPP
IP
Packet
=
L2TP
(AVP)
IP
UDP
+
L2TP
(AVP)
=
IP
Packet
IP
UDP
-
L2TP
(AVP)
-
PPP
IP
Packet
=
PPP
IP
UDPPPP
如图1-5所示,企业分支发送报文到企业总部,有以下过程:
1.
2.
PPP终端:IP数据报文进行PPP(链路层)封装,发送报文。
LAC:收到PPP报文后,根据报文携带的用户名或者域名判断接入用户是否为
VPDN用户。
–是VPDN用户:对PPP报文进行L2TP封装,根据LNS的公网地址,再对L2TP
报文进行UDP和IP封装。封装后的报文最外层为公网IP地址,经过公网路由
转发到达LNS。
非VPDN用户:对PPP报文进行PPP解封装,此时LAC为PPP会话的终止节点。–
:收到L2TP报文后,依次解除外层的IP封装、L2TP封装、PPP封装,得到PPP
承载的信息,即PPP终端发送的IP数据报文。根据报文中的目的地址,查找路由表
使报文达到企业总部的目的主机。
企业总部回应分支用户时,回应报文到达LNS后查找路由表,根据转发接口进行L2TP
处理,报文封装的过程和分支到总部一致。
L2TP报文传输
L2TP传输PPP报文前,需要建立L2TP隧道和会话的连接。对于首次发起的L2TP连接,
有如下流程:
1.建立L2TP隧道连接
LAC收到远程用户的PPP协商请求时,LAC向LNS发起L2TP隧道请求。LAC和LNS
之间通过L2TP的控制消息,协商隧道ID、隧道认证等内容,协商成功后则建立起
一条L2TP隧道,由隧道ID进行标识。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
7
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
2.建立L2TP会话连接
如果L2TP隧道已存在,则在LAC和LNS之间通过L2TP的控制消息,协商会话ID等
内容,否则先建立L2TP隧道连接。会话中携带了LAC的LCP协商信息和用户认证
信息,LNS对收到的信息认证通过后,则通知LAC会话建立成功。L2TP会话连接
由会话ID进行标识。
3.传输PPP报文
L2TP会话建立成功后,PPP终端将数据报文发送至LAC,LAC根据L2TP隧道和会
话ID等信息,进行L2TP报文封装,并发送到LNS,LNS进行L2TP解封装处理,根
据路由转发表发送至目的主机,完成报文的传输。
1.2.3 工作过程
VPDN连接在远程用户和LNS之间建立。ISP将距离远程用户地理位置最近的NAS部署
为LAC,LAC和LNS之间建立L2TP隧道连接。
1.
2.
3.
远程用户在电话网络中拨号,发起PPP连接到ISP部署的本地NAS。
NAS接入远程用户的呼叫,和远程用户进行PPP协商。
NAS作为LAC,根据远程用户拨号的用户名或者域,判断接入的用户是否为VPDN
用户。如果接入用户是VPDN用户,则交由L2TP模块进行封装处理,将PPP报文通
过L2TP隧道发送到LNS;如果不是VPDN用户,则正常处理和转发PPP报文。
LNS从L2TP隧道收到远程用户的接入请求,对远程用户认证后,为远程用户分配
IP地址,通过隧道和LAC发送到远程用户。
远程用户获取IP地址,向总部主机发送报文进行通信。
LNS收到经由隧道传输的报文后,查找路由表,转发报文到内部目的主机。
4.
5.
6.
经过L2TP处理,远程用户使用拨号建立到LNS的点到点连接,其中LAC和Internet对用
户透明。具体报文处理过程如图1-6所示,LAC和LNS均使用远程认证。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
8
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
图1-6 L2TP隧道的呼叫建立流程
RADIUS服务器DNS服务器RADIUS服务器
(10) (13)用户接入请求
(11) (14)用户接入回应
(4) 用户
接入请
求
远程用户
拨号网络
LAC
(NAS)
(1) 建立呼叫连接
(2) PPP LCP协商
(3) PAP/CHAP认证
(7) 建立L2TP隧道
(8) 建立L2TP会话
(9) PPP协商信息
(12) (可选)CHAP重认证
(15) L2TP连接成功,分配IP
(16) 远程用户和总部通信
Internet
LNS
(5) 用
户接入
回应
(6) 解析
LNS域
(10)
(13)
名
(11)
(14)
企业总部
PC
PC
1.
2.
3.
4.
5.
6.
远程用户PC发起呼叫连接请求到LAC。
PC机和LAC进行PPP LCP协商。
LAC对PC机提供的用户信息进行CHAP认证。
LAC将用户信息(用户名和密码)发送给RADIUS服务器进行认证。
RADIUS服务器认证通过则返回对该用户认证的结果。
当LAC上指定LNS为域名时,LAC检查该LNS域名是否解析,如未解析则根据域
名向DNS服务器请求解析对应的IP。如果LNS的IP地址解析成功,则触发建立隧道
过程;否则用户上线失败。
LAC和LNS之间建立L2TP隧道连接。
LAC和LNS之间建立L2TP会话连接。
LNS处理在会话连接中收到的PPP协商信息。
7.
8.
9.
将接入请求信息发送给RADIUS服务器进行认证。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
9
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
服务器认证通过则返回响应信息。如果RADIUS服务器上为该用户配置了
Frame-IP、Frame-Route属性或者指定了地址池名称,响应报文中会携带该Frame-
IP、Frame-Route或者指定的地址池名称。
12.可选择是否对远程用户CHAP重认证,在LNS完成二次认证。
将二次认证信息发送给RADIUS服务器进行认证。
服务器认证通过则返回响应信息。
处理响应报文中携带的信息,保存分配给该用户的Frame-IP、Frame-Route或
者指定的地址池名称。L2TP连接成功,为远程用户分配IP地址。
16.远程用户和总部通信,LNS相当于远程用户的网关。
说明
选择执行步骤12时,需要执行步骤13和14,否则不需要执行。
1.3 应用场景
介绍L2TP的应用场景。
1.3.1 远程拨号用户发起L2TP隧道连接
企业出差员工的地理位置经常发生移动,并且随时需要和总部通信和访问总部内网资
源,直接通过Internet网络虽然可以访问总部网关,但总部网关无法对接入的用户进行
辨别和管理,这时将总部网关部署为LNS,出差员工在PC终端上使用L2TP拨号软件,
则可以在出差员工和总部网关之间建立虚拟的点到点连接。LNS可以对接入用户进行
身份验证,分配私网地址,如果部署ACL还可以管理接入用户的访问权限。
图1-7 远程拨号用户发起L2TP隧道连接图
移动办公人员
(L2TP拨号软件)
Internet
LNS
企业总部
PC
PC
L2TP隧道
1.3.2 LAC接入拨号请求发起L2TP隧道连接
企业总部在其他城市设有分支机构,分支机构位于传统的拨号网络。分支用户需要和
总部用户建立VPDN连接,于是分支向ISP申请L2TP服务,ISP将NAS部署为LAC,将
分支用户的拨号连接通过Internet延展到LNS。企业将总部的网关部署为LNS,为分支
用户提供接入服务,实现分支用户和总部网关之间的VPDN连接。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
10
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
图1-8 LAC接入拨号请求发起L2TP隧道连接图
企业分支
LAC
(NAS)
拨号网络
Internet
LNS
企业总部
PC
PPP终端
PC
L2TP隧道
1.3.3 LAC接入PPPoE用户发起L2TP隧道连接
企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入
Internet。总部用户需要和分支用户通信,由总部统一管理分支用户的接入,于是使用
L2TP功能将总部网关部署为LNS。分支用户的拨号报文无法直接在以太网络中传输,
需要使用PPPoE拨号软件部署为PPPoE客户端,而分支网关则作为PPPoE服务器和
LAC,使分支用户的呼叫请求到达总部。
图1-9 LAC接入PPPoE用户发起L2TP隧道连接图
LAC
(PPPoE服务器)
Internet
PPPoE
PPP终端
(PPPoE客户端)
L2TP隧道
企业分支
LNS
企业总部
PC
PC
1.3.4 LAC自拨号发起L2TP隧道连接
企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入
Internet。总部为分支用户提供接入服务,需要在分支和总部网关之间建立VPDN连
接。总部允许分支的任意用户接入,则只对分支网关认证,此时总部网关部署为
LNS,分支网关部署为LAC,并在分支网关创建虚拟拨号,触发到总部的L2TP隧道连
接。通过LAC自拨号的方式,在LAC和LNS之间建立虚拟的点到点连接,分支用户的IP
报文到达LAC后路由转发到虚拟拨号接口,报文送至LNS后经路由转发到达目的主
机。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
11
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
图1-10 LAC自拨号发起L2TP隧道连接图
企业分支
LAC
Internet
LNS
企业总部
PC
PC
PC
L2TP隧道
1.3.5 LAC接入多域用户发起L2TP隧道连接
企业总部和旗下子公司有业务往来,不同的子公司需要访问的总部的不同部门,总部
为不同子公司的员工提供接入服务,使用L2TP功能和子公司建立VPDN连接。因接入
用户较多,可以配置子公司的网关设备按照域名判断接入用户是否VPDN用户,简化
VPDN的部署。子公司之间使用不同的L2TP隧道,获取不同网段的IP地址。子公司用
户发起到总部的连接时,因为源地址和目的地址都由总部分配,所以总部可以配置
ACL实现对子公司访问权限的管理。
图1-11 LAC接入多域用户发起L2TP隧道连接
子公司A
PC
PC
总部-A部门
P
P
P
o
E
LAC
Internet
LNS
user@
P
P
子公司B
P
o
PC
E
L2TP隧道1
L2TP隧道2
PC
总部-B部门
user@
1.3.6 RADIUS服务器认证VPDN用户
企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入
Internet。总部为分支用户提供接入服务,需要在分支和总部网关之间建立VPDN连
接。企业将分支网关部署为LAC,总部网关部署为LNS,建立VPDN连接。同时将分支
网关部署为PPPoE服务器,和PPPoE客户端(分支用户)在以太网络交换PPP报文。
LAC和LNS都可以对分支用户进行认证,但接入用户数目较多时,不便于在设备本地
维护,可以部署RADIUS服务器认证接入用户。LAC侧的RADIUS服务器需要支持L2TP
认证,判断用户是否为VPDN用户,并反馈结果给LAC。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
12
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
图1-12 RADIUS服务器认证VPDN用户图
RADIUS服务器
RADIUS服务器
LAC
(PPPoE服务器)
企业分支
Internet
PPPoE
PPP终端
(PPPoE客户端)
L2TP隧道
LNS
企业总部
PC
PC
1.3.7 RADIUS服务器为L2TP用户分配Frame-IP、Frame-Route和
指定地址池
为了方便管理和降低企业用户信息维护成本,越来越多的企业使用RADIUS服务器对用
户信息进行统一管理。通过在RADIUS为每个用户配置Frame-IP、Frame-Route或指定地
址池等参数,在该用户上线时,通过LNS为其分配已经规划好的IP地址。
图1-13 RADIUS服务器为L2TP用户分配Frame-IP、Frame-Route和指定地址池
RADIUS服务器
L2TP用户
拨号网络
LAC
(NAS)
Internet
LNS
企业总部
PC
L2TP隧道
1.3.8 L2TP使用IPSec封装建立安全隧道连接
企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入
Internet。在企业总部和分支上部署L2TP功能建立VPDN连接,使分支用户可以访问总
部。当企业对数据和网络的安全性要求较高时,L2TP无法为报文传输提供足够的保
护,这时可以和IPSec功能结合使用,保护传输的数据,有效避免数据被截取或攻击。
在LAC上将数据报文先进行IPSec封装,再进L2TP封装,发往总部。在总部网关,部署
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
13
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
IPSec策略,最终还原数据。这种方式保护原始的数据报文,可根据需要对接入用户提
供保护。
图1-14 L2TP使用IPSec封装建立安全隧道连接图
LAC
(PPPoE服务器)
企业分支
Internet
PPPoE
PPP终端
(PPPoE客户端)
IPSec封装
L2TP封装
LNS
企业总部
PC
PC
相关主题
配置远程拨号用户通过L2TP Over IPSec方式接入总部的示例
1.3.9 IPSec使用L2TP封装建立安全隧道连接
企业出差用户和总部通信,使用L2TP功能建立VPDN连接,总部部署为LNS对接入的
用户进行认证。当出差用户需要向总部传输高机密信息时,L2TP无法为报文传输提供
足够的保护,这时可以和IPSec功能结合使用,保护传输的数据。在出差用户的PC终端
上运行拨号软件,将数据报文先进行L2TP封装,再进行IPSec封装,发往总部。在总部
网关,部署IPSec策略,最终还原数据。这种方式IPSec功能会对所有源地址为LAC、目
的地址为LNS的报文进行保护。
图1-15 IPSec使用L2TP封装建立安全隧道连接图
出差用户
(L2TP+IPSec
拨号软件)
Internet
LNS
企业总部
PC
PC
L2TP封装
IPSec封装
相关主题
配置远程拨号用户通过L2TP Over IPSec方式接入总部的示例
1.4 缺省配置
介绍L2TP的缺省配置。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
14
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
表1-1 L2TP缺省配置
参数
l2tp enable
tunnel authentication
tunnel password
tunnel name
tunnel avp-hidden
mandatory-chap
mandatory-lcp
tunnel timer hello
缺省值
未使能L2TP功能
使能L2TP隧道认证功能
无隧道认证字
隧道名称和设备名称相同
未使能AVP参数加密功能
未使能CHAP强制认证功能
未使能LCP重协商功能
Hello报文每隔60秒发送一次
1.5 配置L2TP
介绍L2TP配置的详细过程。
1.5.1 配置LAC接入呼叫发起L2TP连接
LAC作为PPPoE服务器,接入远程用户的拨号请求,根据请求中的用户信息,向LNS发
起L2TP连接。
背景信息
企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入
Internet。总部用户需要和分支用户通信,由总部统一管理分支用户的接入,于是使用
L2TP功能将总部网关部署为LNS。分支用户的拨号报文无法直接在以太网络中传输,
需要使用PPPoE拨号软件部署为PPPoE客户端,而分支网关则作为PPPoE服务器和
LAC,使分支用户的呼叫请求到达总部。
图1-16 LAC接入呼叫发起L2TP连接场景图
LAC
(PPPoE服务器)
Internet
PPPoE
PPP终端
(PPPoE客户端)
L2TP隧道
企业分支
LNS
企业总部
PC
PC
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
15
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
前置任务
在配置L2TP之前,需完成以下任务:
LAC和LNS接入Internet,路由可达。
配置流程
在配置LAC接入呼叫发起L2TP连接的任务中,LAC的配置流程如表1所示,LNS的配置
流程如表2所示:
表1-2 LAC配置流程
配置
配置AAA认证
(二选一)
步骤
配置本地认
证
配置远程认
证
使能L2TP
说明
在本地保存用户名、密码和服务类型,认证接入的用
户信息。
配置RADIUS服务器参数,在RADIUS服务器上保存
用户名、密码和用户类型,认证接入的用户信息。
全局使能L2TP。
在虚拟接口模板(VT接口)上配置PPP认证方式为
PAP或者CHAP,认证接入用户。
配置VT接口的IP地址,使接口协议生效。
配置用户侧物理接口作为PPPoE服务器。
配置L2TP参数,包括隧道名称、隧道密码、LNS地
址、VPDN用户名。
还可以配置AVP参数加密、主备LNS、Hello报文时
间。
配置LAC发起
L2TP连接
配置PPP协
商
配置L2TP组
表1-3 LNS配置流程
配置步骤
配置本地认
证
AAA认证
(二选一)
配置远程认
证
使能L2TP
配置LNS响应
L2TP连接
配置IP地址
池
说明
在本地保存用户名、密码和类型,认证接入的用户信
息。
如果配置了LCP重协商或者CHAP强制认证功能,也
用于对远程用户进行二次认证。
配置RADIUS服务器参数,在RADIUS服务器上保存
用户名、密码和用户类型,认证接入的用户信息。
如果配置了LCP重协商或者CHAP强制认证功能,也
用于对远程用户进行二次认证。
全局使能L2TP。
认证通过后,为远程用户动态分配IP地址。
如果为远程用户配置静态IP地址,则无需此步骤。
16
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
配置步骤说明
在虚拟接口模板(VT接口)上配置PPP认证方式为
PAP或者CHAP,认证接入用户,和LAC保持一致。
配置PPP协
商
配置IP地址,作为L2TP隧道的私网网关地址。
如果为远程用户动态分配IP地址,则引入IP地址池。
如果配置CHAP强制认证功能,则PPP认证方式必须
为CHAP。
配置L2TP组
配置L2TP参数,包括隧道名称、隧道密码、绑定VT
接口编号和LAC的隧道名称。
还可以配置AVP参数加密、Hello报文时间。
1.5.1.1 配置AAA认证和计费
背景信息
AAA提供了认证、授权和计费三种安全功能,用于管理接入用户,保证安全的连接请
求。LAC和LNS通过配置AAA的本地认证或者远程认证功能,对接入的远程用户进行
身份验证。
当接入用户只能通过LNS访问Internet时,为了管理接入用户上网时间或使用流量,可
以在LNS侧配置计费功能,从而对接入用户的上网时间和流量进行控制。
LAC会检查远程用户的用户名称或者域名称,判断是否为该远程用户建立到达LNS的
隧道。
l用户名称:适用于接入用户少,对用户单独管理,每个接入用户都会独占一条
L2TP隧道。
如果根据用户名称检查远程用户,则设备使用缺省的default域和default认证方
案,其中default认证方案使用缺省的local认证方式,即本地认证。
l域名称:适用于接入多个用户,对同一类用户集中管理,具有相同域名的用户共
用一条L2TP隧道。
如果根据域名称检查远程用户,则需要配置域及域所使用的认证方案。
LAC和LNS的AAA认证配置应保持一致。
有关AAA的详细配置内容,请参考《Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1200&AR2200&AR3200&AR360
0系列企业路由器 配置指南》中的“AAA配置”。
说明
如果LNS信任LAC,不需要对远程用户二次认证,则可以在LNS侧的认证方案视图下,执行
authentication-mode none命令配置认证模式为不进行认证,即直接让远程用户通过认证。
操作步骤
l配置本地认证
a.
b.
文档版本 06 (2016-09-15)
执行命令system-view,进入系统视图。
执行命令aaa,进入AAA视图。
华为专有和保密信息
版权所有 © 华为技术有限公司
17
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
c.执行命令authentication-scheme authentication-scheme-name,创建认证方案,
并进入认证方案视图。
设备缺省存在名称为default的认证方案,其认证方式为本地认证。
执行命令authentication-mode local,配置认证方式为local,即本地认证。
缺省情况下,认证方式为local,即本地认证方式。
执行命令quit,回到AAA视图。
执行命令domain domain-name,创建用户域,并进入域视图。
设备缺省存在名称为default的域,其认证方式为本地认证。
执行命令authentication-scheme authentication-scheme-name,为创建的域指定
认证方案。
执行命令quit,回到AAA视图。
执行命令local-user user-name password cipher password,配置本地用户名和
密码,作为VPDN用户信息保存在设备中,用于验证接入的远程用户。
其中密码保存为密文方式。
说明
d.
e.
f.
g.
h.
i.
为充分保证设备安全,请用户定期修改密码。
j.
k.
l
a.
b.
c.
d.
e.
执行命令local-user user-name service-type ppp,配置本地用户类型,L2TP协
议基于PPP协商,需要指定用户类型为ppp。
执行命令return,退回用户视图。
执行命令system-view,进入系统视图。
执行命令radius-server template template-name,创建RADIUS服务器模板,并
进入RADIUS服务器模板视图,用于配置RADIUS服务器的参数。
执行命令radius-server authentication ip-address port,配置RADIUS服务器的
IP地址和端口号。
执行命令radius-server accounting ip-address port,配置RADIUS计费服务器。
缺省情况下,未配置RADIUS计费服务器。
执行命令radius-server shared-key cipher key-string,配置和RADIUS服务器连
接时的共享密钥。
缺省情况下,RADIUS共享密钥是huawei,采用密文形式显示用户口令。
执行命令quit,回到系统视图。
执行命令aaa,进入AAA视图。
执行命令authentication-scheme authentication-scheme-name,创建认证方案,
并进入认证方案视图。
设备缺省存在名称为default的认证方案,其认证方式为本地认证。
执行命令authentication-mode radius,配置认证方式为radius,即RADIUS服
务器认证。
缺省情况下,认证方式为local,即本地认证方式。
(可选)执行命令accounting-scheme accounting-scheme-name,创建计费方
案,并进入计费方案视图。
缺省情况下,设备中有一个计费方案,计费方案配置名是default,default方
案不能删除,只能修改default方案下的参数。
配置远程认证和计费
f.
g.
h.
i.
j.
k.
文档版本 06 (2016-09-15)
(可选)执行命令accounting-mode radius,配置计费模式为RADIUS计费。
华为专有和保密信息
版权所有 © 华为技术有限公司
18
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
缺省情况下,计费模式采用不计费模式none。
l.(可选)执行命令accounting start-fail { online | offline },配置开始计费失败
策略。
缺省情况下,如果初始计费失败,不允许用户上线。
m.(可选)执行命令accounting realtime interval,使能实时计费并设置计费间
隔。
n.(可选)执行命令accounting interim-fail [ max-times times ] { online |
offline },配置允许的实时计费请求最大无响应次数,以及实时计费失败后采
取的策略。
执行命令quit,回到AAA视图。
执行命令domain domain-name,创建用户域,并进入域视图。
设备缺省存在名称为default的域,其认证方式为本地认证。
q.执行命令authentication-scheme authentication-scheme-name,为用户域指定认
证方案。
设备缺省存在名称为default的认证方案,认证方式为本地认证。
r.
s.
执行命令radius-server template-name,为用户域指定RADIUS服务器模板。
(可选)执行命令accounting-scheme accounting-scheme-name,配置域的计费
方案。
缺省情况下,域使用名为“default”的计费方案。“default”计费方案的策
略为:计费模式为不计费,关闭实时计费开关。
t.(可选)执行命令statistic enable,如果使用流量计费,需要在域下开启流量
统计功能。
缺省情况下,域的流量统计功能处于未使能状态。
u.
----结束
执行命令return,退回用户视图。
o.
p.
1.5.1.2 配置接入呼叫发起L2TP连接的LAC
背景信息
LAC在用户侧接入用户的呼叫请求,和用户进行PPP协商;同时配置L2TP参数,根据
接入用户的名称或者域,发起到LNS的l2TP连接。
配置有如下注意事项:
l
l
l
远程用户发起拨号连接请求时,认证方式应和LAC用户侧虚拟接口模板的配置保
持一致。
LAC上连接用户侧的接口需要配置IP地址,无特定要求,配置后接口的IP协议生
效。
L2TP缺省情况下使能隧道认证功能,未配置认证字。
–
–
如果使用隧道认证功能,则配置认证字,且LAC和LNS保持一致。
如果不使用隧道认证功能,则LAC和LNS都需要去使能隧道认证功能。
操作步骤
l配置LAC
华为专有和保密信息
版权所有 © 华为技术有限公司
19
文档版本 06 (2016-09-15)
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
a.
b.
c.
执行命令system-view,进入系统视图。
执行命令l2tp enable,全局使能L2TP功能。
执行命令interface virtual—template vt-number,创建VT虚拟接口模板,并进
入虚拟模板视图。
作为远程用户的PPPoE服务接口,定义了PPP协商的参数。
说明
一个VT接口不能同时被PPPoE业务和L2TP业务使用。
d.执行命令ppp authentication-mode { pap | chap },配置PPP认证方式为pap或
者chap,对远程用户进行认证。
LAC和LNS的认证方式应保持一致。
说明
PAP认证时,密码会在网络中以明文形式传输,存在安全风险。推荐使用CHAP认证。
e.执行命令mtu size,配置接口的最大传输单元值。
当与友商设备对接时,为了避免出现数据报文在其物理出接口进行分片后友
商设备无法重组等对接失败问题,建议在VT虚拟接口配置MTU值,取值必须
不大于L2TP报文的物理出接口MTU值(默认1500字节)减去L2TP报文封装
头长度(携带序列号信息时为42字节,否则为38字节)。例如,默认情况下
L2TP报文的物理出接口MTU值为1500,L2TP报文封装头长度为42,该步骤
中参数size取值必须不大于1458。
为了避免出现数据报文在VT接口进行分片后,在其物理出接口再次进行分
片,影响设备性能,建议在VT虚拟接口配置MTU值时,取值范围为1400~
1450。
f.
g.
h.
i.
j.
k.
执行命令quit,回到系统视图。
执行命令interface interface-type interface-number,进入连接远程用户的物理
接口视图。
执行命令pppoe-server bind virtual-template vt-number,配置接口作为PPPoE
服务器,绑定虚拟接口模板。
执行命令quit,回到系统视图。
执行命令l2tp-group group-number,创建L2TP组,并进入L2TP组视图。
用于配置L2TP连接参数,根据接入的远程用户,向LNS发起L2TP连接。
执行命令tunnel password { simple | cipher } password,配置L2TP隧道的密
码,需要和LNS保持一致。
缺省情况下,L2TP使能了隧道认证功能,未配置隧道认证字。
建议使用隧道认证功能,如果不使用隧道认证功能,则执行命令undo tunnel
authentication。
注意
如果使用simple选项,密码将以明文形式保存在配置文件中,存在安全隐
患。建议使用cipher选项,将密码加密保存。
l.执行命令tunnel name tunnel-name,配置隧道名称,用于发起L2TP连接时,
LNS根据LAC的隧道名称接入。
缺省情况下,如果未指定隧道名称,则设备名称作为隧道名称。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
20
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
m.执行以下命令来配置对端LNS的公网地址或者域名,发送控制消息的目的地
址。
n
start l2tp ip ip-address &<1-4> { domain domain-name | fullusername user-
name | interface interface-type interface-number | vpn-instance vpn-instance-
name fullusername user-name }
说明
仅V200R007C02版本支持配置vpn-instance关键字。
n
start l2tp host hostname { domain domain-name | fullusername user-name }
fullusername,指定VPDN用户的名称。允许为具有相同名称的远程用户
建立到达LNS的L2TP连接。
domain,指定VPDN用户的域名称。允许为具有相同域名称的远程用户
建立到达LNS的L2TP连接。
vpn-instance,指定L2TP组建立L2TP连接使用的IP地址所属的VPN实
例。
定义VPDN用户:
n
n
n
n.
----结束
执行命令return,退回用户视图。
1.5.1.3 配置响应L2TP连接的LNS
背景信息
LNS配置L2TP参数,根据LAC的隧道名称,响应LAC发起的L2TP连接请求。
配置有如下注意事项:
l
l
l
LNS在虚拟接口模板上配置PPP协商参数时,认证方式应和LAC保持一致。
如果L2TP组编号不为1,则需要指定对端LAC的隧道名称。
L2TP缺省情况下使能隧道认证功能,未配置认证字。
–
–
l
如果使用隧道认证功能,则配置认证字,且LAC和LNS保持一致。
如果不使用隧道认证功能,则LAC和LNS都需要去使能隧道认证功能。
当使用RADIUS认证时,如果RADIUS服务器为用户配置了Frame-IP、Frame-Route
属性,LNS将Frame-IP和Frame-Route下发给拨号用户,不再从本地地址池分配地
址(但是Frame-IP需要在本地地址池中)。
当使用RADIUS认证时,如果RADIUS服务器为用户配置了VPN实例属性,LNS上
的VT口不支持绑定VPN实例。
说明
l
LNS无法感知用户真实的MAC地址,使用的MAC地址是设备分配的虚拟MAC地址,和用户真实的
MAC地址无关。该MAC地址不是固定的,不能用于静态地址绑定等业务。
操作步骤
l配置LNS
a.
b.
c.
执行命令system-view,进入系统视图。
执行命令l2tp enable,全局使能L2TP功能。
执行命令ip pool ip-pool-name,创建一个全局IP地址池,并进入IP地址池视
图,用于为远程用户分配地址。
华为专有和保密信息
版权所有 © 华为技术有限公司
21
文档版本 06 (2016-09-15)
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
如果远程用户已经手工配置了静态IP地址,则无需配置地址池。
说明
L2TP只支持将ip pool命令配置的地址池的地址分配给用户,不支持其他地址池的属性信
息。
如果需要给用户分配DNS服务器地址,建议在配置AAA步骤中增加service-scheme命令。
d.
e.
f.
g.
执行命令network ip-address [ mask { mask | mask-length } ],配置网段地址,
作为远程用户的动态IP地址资源,网段内的IP地址会从大到小依次分配。
执行命令gateway-list ip-address &<1-8>,配置网关地址,分配给远程用户作
为其网关地址。
执行命令quit,回到系统视图。
执行命令interface virtual-template vt-number,创建虚拟接口模板,并进入虚
拟模板接口视图。
作为远程用户的私网网关接口,接入远程用户的L2TP连接,定义了PPP协商
的参数。
说明
一个VT接口不能同时被PPPoE业务和L2TP业务使用。
h.(可选)执行命令ppp keepalive in-traffic check,用来配置设备作为LNS
Server时,有入方向的流量就不发送心跳报文。
缺省情况下,设备作为LNS Server会定时发送心跳报文。
(可选)执行命令ppp keepalive echo enhance,用来使能在LNS设备入方向
接收到对端LAC设备发送的心跳报文时,不主动给LAC发送心跳报文的功
能。
缺省情况下,在LNS设备入方向接收到对端LAC设备发送的心跳报文,不主
动给LAC发送心跳报文的功能处于去使能状态。
i.
j.
k.
执行命令ip address ip-address { mask | mask-length },配置IP地址,作为远程
用户访问总部的网关地址。
执行命令remote address { ip-address | pool pool-name },指定地址池,为远程
用户动态分配IP地址。
如果远程用户已经手工配置了静态IP地址,则无需此步骤。
当使用RADIUS认证时,如果RADIUS服务器为用户指定了地址池名称或者
Frame-IP,则无需此步骤。LNS会从RADIUS服务器为该用户指定的地址池中
为远程用户分配IP地址。当L2TP支持配置多个地址池时,如果已经配置了
service-scheme命令为用户指定了地址池,则无需此步骤。LNS会从service-
scheme命令所指定的地址池中为远程用户分配IP地址。
说明
当多个用户携带相同的静态地址拨号时,如果LNS不采用强制地址分配方式,用户都可以
显示上线,但不能保证用户业务正常,客户需要规划正确的静态地址。如果用户要求设备
能够识别且只允许一个用户接入,需要保证用户规划的地址在地址池中并且配置ppp ipcp
remote-address forced命令。
l.执行命令ppp authentication-mode { pap | chap },配置PPP认证方式为pap或
者chap,对远程用户进行认证。
LAC和LNS的认证方式应保持一致。
说明
PAP认证时,密码会在网络中以明文形式传输,存在安全风险。推荐使用CHAP认证。
m.执行命令mtu size,配置接口的最大传输单元值。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
22
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
当与其他厂商设备对接时,为了避免出现数据报文在其物理出接口进行分片
后其他厂商设备无法重组等对接失败问题,建议在VT虚拟接口配置MTU值,
取值一定不大于L2TP报文的物理出接口MTU值(默认1500字节)减去L2TP
报文封装头长度(携带序列号信息时为42字节,否则为38字节)。例如,默
认情况下L2TP报文的物理出接口MTU值为1500,L2TP报文封装头长度为
42,该步骤中参数size取值一定不大于1458。
为了避免出现数据报文在VT接口进行分片后,在其物理出接口再次进行分
片,影响设备性能,建议在VT虚拟接口配置MTU值时,取值范围为1400~
1450。
n.
o.
执行命令quit,回到系统视图。
执行命令l2tp-group group-number,创建L2TP组,并进入L2TP组视图。
用于配置L2TP连接参数,接入LAC发起的连接。
当L2TP组编号为1时,可以配置为允许任意LAC接入。
p.执行命令tunnel password { simple | cipher } password,配置L2TP隧道的密
码,需要和LAC保持一致。
缺省情况下,L2TP使能了隧道认证功能,未配置隧道认证字。
建议使用隧道认证功能,如果不使用隧道认证功能,则执行命令undo tunnel
authentication。
注意
如果使用simple选项,密码将以明文形式保存在配置文件中,存在安全隐
患。建议使用cipher选项,将密码加密保存。
q.执行命令tunnel name tunnel-name,配置隧道名称,用于响应L2TP连接时,
建立隧道的协商参数。
缺省情况下,如果未指定隧道名称,则设备名称作为隧道名称。
r.执行命令allow l2tp virtual-template virtual-template-number [ remote remote-
name [ vpn-instance vpn-instance-name ] ],配置L2TP组作为LNS侧,响应LAC
发起的连接请求。
需要指定虚拟接口模板和接入的LAC隧道名称。
说明
仅V200R007C02版本支持vpn-instance关键字。
当L2TP组编号为1时,可以不指定对端LAC的隧道名称,表示允许任意LAC
接入。
s.
----结束
执行命令return,退回用户视图。
1.5.2 配置LAC自拨号发起L2TP连接
用户无需拨号,以任意方式接入LAC,LAC使用虚拟拨号接口发起PPP会话,并使用自
拨号功能向LNS发起L2TP连接。
背景信息
企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入
Internet。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
23
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
总部为分支用户提供接入服务,需要在分支和总部网关之间建立VPDN连接。总部允许
分支的任意用户接入,则只对分支网关认证,此时总部网关部署为LNS,分支网关部
署为LAC,并在分支网关创建虚拟拨号,触发到总部的L2TP隧道连接。通过LAC自拨
号的方式,在LAC和LNS之间建立虚拟的点到点连接,分支用户的IP报文到达LAC后路
由转发到虚拟拨号接口,经L2TP隧道发送至LNS,再经路由转发到达目的主机。
图1-17 LAC自拨号发起L2TP连接场景图
企业分支
LAC
Internet
LNS
企业总部
PC
PPP终端
PC
L2TP隧道
前置任务
在配置L2TP之前,需完成以下任务:
LAC和LNS接入Internet,路由可达。
分支用户和LAC建立局域网连接,LAC作为网关。
配置流程
在配置LAC接入呼叫发起L2TP连接的任务中,LAC的配置流程如表1所示,LNS的配置
流程如表2所示:
表1-4 LAC配置流程
配置步骤
使能L2TP
配置PPP协商
配置LAC发起
L2TP连接
配置L2TP组
说明
全局使能L2TP。
在虚拟接口模板(VT接口)上配置拨号参数,作
为虚拟拨号接口。
配置VT接口的IP地址,使接口IP协议生效。
配置L2TP参数,包括隧道名称、隧道密码、LNS
地址、VPDN用户名。
还可以配置AVP参数加密、主备LNS、Hello报文时
间。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
24
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
表1-5 LNS配置流程
配置步骤
配置本地认
证
AAA认证
(二选一)
配置远程认
证
说明
在本地保存用户名、密码和类型,认证接入的用户
信息。
如果配置了LCP重协商或者CHAP强制认证功能,
也用于对远程用户进行二次认证。
配置RADIUS服务器参数,在RADIUS服务器上保
存用户名、密码和用户类型,认证接入的用户信
息。
如果配置了LCP重协商或者CHAP强制认证功能,
也用于对远程用户进行二次认证。
全局使能L2TP。
认证通过后,可以为远程用户动态分配IP地址。
如果为远程用户配置静态IP地址,则无需此步骤。
在虚拟接口模板(VT接口)上配置PPP认证方式为
PAP或者CHAP,认证接入用户,和LAC保持一
致。
配置LNS响应
L2TP连接
配置PPP协商
配置IP地址,作为L2TP隧道的私网网关地址。
如果为远程用户动态分配IP地址,则引入IP地址
池。
如果配置CHAP强制认证功能,则PPP认证方式必
须为CHAP。
配置L2TP组
配置L2TP参数,包括隧道名称、隧道密码、绑定
VT接口编号和LAC的隧道名称。
还可以配置AVP参数加密、Hello报文时间。
使能L2TP
配置IP地址池
1.5.2.1 配置AAA认证和计费
背景信息
AAA提供了认证、授权和计费三种安全功能,用于管理接入用户,保证安全的连接请
求。LAC自拨号场景下,LNS通过配置AAA的本地认证或者远程认证功能,对接入的
LAC设备进行身份验证。
当接入用户通过LNS认证时,用户可以访问互联网,此时如果需要对接入用户访问的
网络资源进行计费,可以在LNS侧配置AAA计费功能。
有关AAA的详细配置内容,请参考《Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1200&AR2200&AR3200&AR360
0系列企业路由器 安全配置》中的“AAA配置”。
说明
如果LNS信任LAC,不需要对远程用户二次认证,则可以在LNS侧的认证方案视图下,执行
authentication-mode none命令配置认证模式为不进行认证,即直接让远程用户通过认证。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
25
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
操作步骤
l配置本地认证
a.
b.
c.
执行命令system-view,进入系统视图。
执行命令aaa,进入AAA视图。
执行命令authentication-scheme authentication-scheme-name,创建认证方案,
并进入认证方案视图。
设备缺省存在名称为default的认证方案,其认证方式为本地认证。
d.
e.
f.
g.
h.
i.
执行命令authentication-mode local,配置认证方式为local,即本地认证。
缺省情况下,认证方式为local,即本地认证方式。
执行命令quit,回到AAA视图。
执行命令domain domain-name,创建用户域,并进入域视图。
设备缺省存在名称为default的域,其认证方式为本地认证。
执行命令authentication-scheme authentication-scheme-name,为创建的域指定
认证方案。
执行命令quit,回到AAA视图。
执行命令local-user user-name password cipher password,配置本地用户名和
密码,作为VPDN用户信息保存在设备中,用于验证接入的远程用户。
其中密码保存为密文方式。
说明
为充分保证设备安全,请用户定期修改密码。
j.
k.
l
a.
b.
c.
d.
e.
执行命令local-user user-name service-type ppp,配置本地用户类型,L2TP协
议基于PPP协商,需要指定用户类型为ppp。
执行命令return,退回用户视图。
执行命令system-view,进入系统视图。
执行命令radius-server template template-name,创建RADIUS服务器模板,并
进入RADIUS服务器模板视图,用于配置RADIUS服务器的参数。
执行命令radius-server authentication ip-address port,配置RADIUS服务器的
IP地址和端口号。
执行命令radius-server accounting ip-address port,配置RADIUS计费服务器。
缺省情况下,未配置RADIUS计费服务器。
执行命令radius-server shared-key cipher key-string配置和RADIUS服务器连接
时的共享密钥。
缺省情况下,RADIUS共享密钥是huawei,采用密文形式显示用户口令。
执行命令quit,回到系统视图。
执行命令aaa,进入AAA视图。
执行命令authentication-scheme authentication-scheme-name,创建认证方案,
并进入认证方案视图。
设备缺省存在名称为default的认证方案,其认证方式为本地认证。
执行命令authentication-mode radius,配置认证方式为radius,即RADIUS服
务器认证。
缺省情况下,认证方式为local,即本地认证方式。
配置远程认证和计费
f.
g.
h.
i.
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
26
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
j.(可选)执行命令accounting-scheme accounting-scheme-name,创建计费方
案,并进入计费方案视图。
缺省情况下,设备中有一个计费方案,计费方案配置名是default,default方
案不能删除,只能修改default方案下的参数。
k.
l.
(可选)执行命令accounting-mode radius,配置计费模式为RADIUS计费。
缺省情况下,计费模式采用不计费模式none。
(可选)执行命令accounting start-fail { online | offline },配置开始计费失败
策略。
缺省情况下,如果初始计费失败,不允许用户上线。
m.(可选)执行命令accounting realtime interval,使能实时计费并设置计费间
隔。
n.(可选)执行命令accounting interim-fail [ max-times times ] { online |
offline },配置允许的实时计费请求最大无响应次数,以及实时计费失败后采
取的策略。
执行命令quit,回到AAA视图。
执行命令domain domain-name,创建用户域,并进入域视图。
设备缺省存在名称为default的域,其认证方式为本地认证。
q.执行命令authentication-scheme authentication-scheme-name,为用户域指定认
证方案。
设备缺省存在名称为default的认证方案,认证方式为本地认证。
r.
s.
执行命令radius-server template-name,为用户域指定RADIUS服务器模板。
(可选)执行命令accounting-scheme accounting-scheme-name,配置域的计费
方案。
缺省情况下,域使用名为“default”的计费方案。“default”计费方案的策
略为:计费模式为不计费,关闭实时计费开关。
t.(可选)执行命令statistic enable,如果使用流量计费,需要在域下开启流量
统计功能。
缺省情况下,域的流量统计功能处于未使能状态。
u.
----结束
执行命令return,退回用户视图。
o.
p.
1.5.2.2 配置自拨号发起L2TP连接的LAC
背景信息
LAC创建虚拟拨号接口,自动拨号,并发起到LNS的L2TP连接。
配置有如下注意事项:
l
l
l
LAC作为PPP拨号客户端,VT接口的IP地址可以使用PPP协商从LNS自动获取,也
可以手动指定静态IP地址。
LAC上VT接口的拨号参数(用户名,密码,认证方式),需要和LNS保持一致。
L2TP缺省情况下使能隧道认证功能,未配置认证字。
–
–
文档版本 06 (2016-09-15)
如果使用隧道认证功能,则配置认证字,且LAC和LNS保持一致。
如果不使用隧道认证功能,则LAC和LNS都需要去使能隧道认证功能。
华为专有和保密信息
版权所有 © 华为技术有限公司
27
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
操作步骤
l配置LAC
a.
b.
c.
执行命令system-view,进入系统视图。
执行命令l2tp enable,全局使能L2TP功能。
执行命令interface virtual—template vt-number,创建VT虚拟接口模板,并进
入虚拟模板视图。
VT接口作为虚拟拨号接口,需要配置拨号参数。
说明
一个VT接口不能同时被PPPoE业务和L2TP业务使用。
d.执行命令ip address ppp-negotiate,配置IP地址为动态获取,由LNS分配IP地
址。
还可以选择使用以下两种方式,使接口IP协议生效:
n
使用命令ip address ip-address { mask | mask-length },配置一个IP地址,
使接口的IP协议生效。
使用命令ip address unnumbered interface interface-type interface-
number,借用其他接口的IP地址。
n
e.执行命令ppp pap local-user username password { cipher | simple } password,
作为虚拟拨号接口,配置PPP协商的认证方式为pap,指定拨号的用户名称和
密码。
说明
选择simple选项时,密码将以明文形式保存在配置文件中,存在安全风险。建议使用
cipher选项,将密码加密保存。
如果认证方式使用chap,则执行如下两条命令:
n
n
ppp chap user username
ppp chap password { cipher | simple } password
说明
PAP认证时,密码会在网络中以明文形式传输,存在安全风险。
f.
g.
执行命令l2tp-auto-client enable,使能LAC自拨号功能。
执行命令mtu size,配置接口的最大传输单元值。
当与友商设备对接时,为了避免出现数据报文在其物理出接口进行分片后友
商设备无法重组等对接失败问题,建议在VT虚拟接口配置MTU值,取值必须
不大于L2TP报文的物理出接口MTU值(默认1500字节)减去L2TP报文封装
头长度(携带序列号信息时为42字节,否则为38字节)。例如,默认情况下
L2TP报文的物理出接口MTU值为1500,L2TP报文封装头长度为42,该步骤
中参数size取值必须不大于1458。
为了避免出现数据报文在VT接口进行分片后,在其物理出接口再次进行分
片,影响设备性能,建议在VT虚拟接口配置MTU值时,取值范围为1400~
1450。
h.
i.
j.
k.
文档版本 06 (2016-09-15)
执行命令quit,回到系统视图。
执行命令interface interface-type interface-number,进入连接用户侧的物理接
口视图。
执行命令ip address ip-address { mask | mask-length },配置接口的IP地址,作
为远程用户的网关地址。
执行命令quit,回到系统视图。
华为专有和保密信息
版权所有 © 华为技术有限公司
28
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
l.执行命令l2tp-group group-number,创建L2TP组,并进入L2TP组视图。
用于配置L2TP连接参数,根据接入的远程用户,向LNS发起L2TP连接。
m.执行命令tunnel password { simple | cipher } password,配置L2TP隧道的密
码,需要和LNS保持一致。
缺省情况下,L2TP使能了隧道认证功能,未配置隧道认证字。
建议使用隧道认证功能,如果不使用隧道认证功能,则执行命令undo tunnel
authentication。
注意
如果使用simple选项,密码将以明文形式保存在配置文件中,存在安全隐
患。建议使用cipher选项,将密码加密保存。
n.执行命令tunnel name tunnel-name,配置隧道名称,用于发起L2TP连接时,
LNS根据LAC的隧道名称接入。
缺省情况下,如果未指定隧道名称,则设备名称作为隧道名称。
o.执行以下命令来配置对端LNS的公网地址或者域名,发送控制消息的目的地
址。
n
start l2tp ip ip-address &<1-4> { domain domain-name | fullusername user-
name | interface interface-type interface-number | vpn-instance vpn-instance-
name fullusername user-name }
说明
仅V200R007C02版本支持配置vpn-instance关键字。
n
start l2tp host hostname { domain domain-name | fullusername user-name }
fullusername,指定VPDN用户的名称。允许为具有相同名称的远程用户
建立到达LNS的L2TP连接。
domain,指定VPDN用户的域名称。允许为具有相同域名称的远程用户
建立到达LNS的L2TP连接。
vpn-instance,指定L2TP组建立L2TP连接使用的IP地址所属的VPN实
例。
定义VPDN用户:
n
n
n
p.
----结束
执行命令return,退回用户视图。
1.5.2.3 配置响应L2TP连接的LNS
背景信息
LNS配置L2TP参数,根据LAC的隧道名称,响应LAC发起的L2TP连接请求。
配置有如下注意事项:
l
l
l
LNS在虚拟接口模板上配置PPP协商参数时,认证方式应和LAC保持一致。
如果L2TP组编号不为1,则需要指定对端LAC的隧道名称。
L2TP缺省情况下使能隧道认证功能,未配置认证字。
华为专有和保密信息
版权所有 © 华为技术有限公司
29
文档版本 06 (2016-09-15)
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
–
–
l
如果使用隧道认证功能,则配置认证字,且LAC和LNS保持一致。
如果不使用隧道认证功能,则LAC和LNS都需要去使能隧道认证功能。
当使用RADIUS认证时,如果RADIUS服务器为用户配置了Frame-IP、Frame-Route
属性,LNS将Frame-IP和Frame-Route下发给拨号用户,不再从本地地址池分配地
址(但是Frame-IP需要在本地地址池中)。
当使用RADIUS认证时,如果RADIUS服务器为用户配置了VPN实例属性,LNS上
的VT口不支持绑定VPN实例。
说明
l
LNS无法感知用户真实的MAC地址,使用的MAC地址是设备分配的虚拟MAC地址,和用户真实MAC
地址无关。该MAC地址不是固定的,不能用于静态地址绑定等业务。
操作步骤
l配置LNS
a.
b.
c.
执行命令system-view,进入系统视图。
执行命令l2tp enable,全局使能L2TP功能。
执行命令ip pool ip-pool-name,创建一个全局IP地址池,并进入IP地址池视
图,用于为远程用户分配地址。
如果远程用户已经手工配置了静态IP地址,则无需配置地址池。
说明
L2TP只支持将ip pool命令配置的地址池的地址分配给用户,不支持其他地址池的属性信
息。
如果需要给用户分配DNS服务器地址,建议在配置AAA步骤中增加service-scheme命令。
d.
e.
f.
g.
执行命令network ip-address [ mask { mask | mask-length } ],配置网段地址,
作为远程用户的动态IP地址资源,网段内的IP地址会从大到小依次分配。
执行命令gateway-list ip-address &<1-8>,配置网关地址,分配给远程用户作
为其网关地址。
执行命令quit,回到系统视图。
执行命令interface virtual-template vt-number,创建虚拟接口模板,并进入虚
拟模板接口视图。
作为远程用户的私网网关接口,接入远程用户的L2TP连接,定义了PPP协商
的参数。
说明
一个VT接口不能同时被PPPoE业务和L2TP业务使用。
h.(可选)执行命令ppp keepalive in-traffic check,用来配置设备作为LNS
Server时,有入方向的流量就不发送心跳报文。
缺省情况下,设备作为LNS Server会定时发送心跳报文。
(可选)执行命令ppp keepalive echo enhance,用来使能在LNS设备入方向
接收到对端LAC设备发送的心跳报文时,不主动给LAC发送心跳报文的功
能。
缺省情况下,在LNS设备入方向接收到对端LAC设备发送的心跳报文,不主
动给LAC发送心跳报文的功能处于去使能状态。
i.
j.
k.
执行命令ip address ip-address { mask | mask-length },配置IP地址,作为远程
用户访问总部的网关地址。
执行命令remote address { ip-address | pool pool-name },指定地址池,为远程
用户动态分配IP地址。
华为专有和保密信息
版权所有 © 华为技术有限公司
30
文档版本 06 (2016-09-15)
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
如果远程用户已经手工配置了静态IP地址,则无需此步骤。
当使用RADIUS认证时,如果RADIUS服务器为用户指定了地址池名称或者
Frame-IP,则无需此步骤。LNS会从RADIUS服务器为该用户指定的地址池中
为远程用户分配IP地址。当L2TP支持配置多个地址池时,如果已经配置了
service-scheme命令为用户指定了地址池,则无需此步骤。LNS会从service-
scheme命令所指定的地址池中为远程用户分配IP地址。
说明
当多个用户携带相同的静态地址拨号时,如果LNS不采用强制地址分配方式,用户都可以
显示上线,但不能保证用户业务正常,客户需要规划正确的静态地址。如果用户要求设备
能够识别且只允许一个用户接入,需要保证用户规划的地址在地址池中并且配置ppp ipcp
remote-address forced命令。
l.执行命令ppp authentication-mode { pap | chap },配置PPP认证方式为pap或
者chap,对远程用户进行认证。
LAC和LNS的认证方式应保持一致。
说明
PAP认证时,密码会在网络中以明文形式传输,存在安全风险。推荐使用CHAP认证。
m.执行命令mtu size,配置接口的最大传输单元值。
当与其他厂商设备对接时,为了避免出现数据报文在其物理出接口进行分片
后其他厂商设备无法重组等对接失败问题,建议在VT虚拟接口配置MTU值,
取值一定不大于L2TP报文的物理出接口MTU值(默认1500字节)减去L2TP
报文封装头长度(携带序列号信息时为42字节,否则为38字节)。例如,默
认情况下L2TP报文的物理出接口MTU值为1500,L2TP报文封装头长度为
42,该步骤中参数size取值一定不大于1458。
为了避免出现数据报文在VT接口进行分片后,在其物理出接口再次进行分
片,影响设备性能,建议在VT虚拟接口配置MTU值时,取值范围为1400~
1450。
n.
o.
执行命令quit,回到系统视图。
执行命令l2tp-group group-number,创建L2TP组,并进入L2TP组视图。
用于配置L2TP连接参数,接入LAC发起的连接。
当L2TP组编号为1时,可以配置为允许任意LAC接入。
p.执行命令tunnel password { simple | cipher } password,配置L2TP隧道的密
码,需要和LAC保持一致。
缺省情况下,L2TP使能了隧道认证功能,未配置隧道认证字。
建议使用隧道认证功能,如果不使用隧道认证功能,则执行命令undo tunnel
authentication。
注意
如果使用simple选项,密码将以明文形式保存在配置文件中,存在安全隐
患。建议使用cipher选项,将密码加密保存。
q.执行命令tunnel name tunnel-name,配置隧道名称,用于响应L2TP连接时,
建立隧道的协商参数。
缺省情况下,如果未指定隧道名称,则设备名称作为隧道名称。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
31
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
r.执行命令allow l2tp virtual-template virtual-template-number [ remote remote-
name [ vpn-instance vpn-instance-name ] ],配置L2TP组作为LNS侧,响应LAC
发起的连接请求。
需要指定虚拟接口模板和接入的LAC隧道名称。
说明
仅V200R007C02版本支持vpn-instance关键字。
当L2TP组编号为1时,可以不指定对端LAC的隧道名称,表示允许任意LAC
接入。
s.
----结束
执行命令return,退回用户视图。
1.5.3 配置L2TP的其他功能
配置L2TP的可选功能,例如LCP重协商、AVP参数加密、隧道认证功能,用户可以选
择配置,更好的保证L2TP业务。
前置条件
在配置L2TP的其他功能之前,需完成以下任务:
完成L2TP基本配置,满足在LAC和LNS之间建立L2TP连接。
前置任务
设备支持配置如下L2TP功能,可以更好的保证L2TP业务,用户可根据需要进行选择。
1.5.3.1 配置LCP重协商
背景信息
LAC对接入用户认证,认证通过后,将认证信息发送给LNS,LNS根据认证信息判断用
户是否合法。
如果LNS不信任LAC,需要对远程用户二次认证,则可以使用LCP重协商功能。远程用
户和LNS重新开始PPP协商,协商成功后才能建立L2TP连接。
LCP重协商和CHAP强制认证无法同时生效,LCP重协商优先级高,如果同时配置,则
设备进行LCP重协商。
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令l2tp-group group-number,进入L2TP组视图。
步骤3执行命令mandatory-lcp,启用LCP重协商功能。
----结束
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
32
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
1.5.3.2 配置强制CHAP认证
背景信息
LNS收到LAC所传递的认证信息后,如果LNS对安全性要求较高,可使用强制CHAP认
证功能,LNS只对远程用户进行CHAP认证。如果此时LAC使用了PAP的认证方式,就
无法通过LNS的认证,不能建立L2TP会话。
LCP重协商和CHAP强制认证无法同时生效,LCP重协商优先级高,如果同时配置,则
设备进行LCP重协商。
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令l2tp-group group-number,进入L2TP组视图。
步骤3执行命令mandatory-chap,启用强制CHAP认证功能。
----结束
1.5.3.3 配置主备LNS
背景信息
对可靠性要求较高的企业,在总部部署双网关,一主一备。当主网关故障时,业务切
换到备份网关,则LAC发起的L2TP连接请求无法到达主LNS,此时可以在LAC上同时
配置总部备份网关的IP地址,当第一个地址不可达时,按配置的顺序向第二个地址发
起L2TP连接请求,在LAC上实现LNS的主备功能。
图1-18 主备LNS示意图
LNS A
企业总部
PC
企业分支
LAC
(PPPoE服务器)
Internet
PPPoE
PPP终端
(PPPoE客户端)
PC
L2TP隧道
LNS B
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令l2tp-group group-number,进入L2TP组视图。
步骤3执行命令start l2tp ip ip-address &<1-4> { domain domain-name | fullusername user-
name },发起L2TP连接,最多可以设置4个LNS地址。
----结束
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
33
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
1.5.3.4 配置AVP参数加密
背景信息
L2TP连接的建立是通过在LAC和LNS之间交换控制消息,而控制消息中则携带了各种
AVP参数,包含了用户名、密码等关键信息。此时通过部署AVP参数加密功能,在
L2TP连接期间,对AVP参数加密,提高安全性。
部署AVP参数加密功能,需要先部署L2TP隧道认证功能。
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令l2tp-group group-number,进入L2TP组视图。
步骤3执行命令tunnel authentication,使能L2TP隧道认证功能。
步骤4执行命令tunnel password { simple | cipher } password,配置隧道认证字,除了隧道认
证,还可以用于加密AVP参数。
注意
如果使用simple选项,密码将以明文形式保存在配置文件中,存在安全隐患。建议使用
cipher选项,将密码加密保存。
步骤5执行命令tunnel avp-hidden,对L2TP报文中的AVP参数加密,提高安全性。
----结束
1.5.3.5 配置L2TP隧道认证
背景信息
对安全要求较高时,可部署L2TP隧道认证功能,LAC和LNS上需要配置相同的认证
字。
L2TP隧道建立过程时,互相验证对端的密钥是否和本端相同,达到简单的安全验证要
求。
操作步骤
步骤1执行命令system-view,进入系统视图。
步骤2执行命令l2tp-group group-number,进入L2TP组视图。
步骤3执行命令tunnel authentication,使能L2TP隧道认证功能。
步骤4执行命令tunnel password { simple | cipher } password,配置隧道认证字。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
34
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
注意
如果使用simple选项,密码将以明文形式保存在配置文件中,存在安全隐患。建议使用
cipher选项,将密码加密保存。
----结束
1.5.3.6 配置L2TP隧道连通性
背景信息
Hello报文用于检测LAC和LNS之间隧道的连通性。
Hello报文超时,则自动拆除建立的L2TP隧道,及时释放资源。企业可以根据实际需
要,部署Hello报文的时间参数。
l
l
如果网络稳定,则可以加长Hello报文的发送时间间隔,减轻网络负担。
如果网络不稳定,则可以减少Hello报文的发送时间间隔,及时检测隧道状态。如
果LAC上配置了主备LNS地址,当使用Hello报文检测到隧道不通时,自动向配置
的第二个LNS的IP地址发起L2TP连接请求。
另外,设备作为LAC时,和某个LNS尝试建立隧道时发现无法与该LNS进行建立,可以
将该LNS标记为不可用,并在一段时间(称为LNS锁定时间)内不再使用该LNS建立隧
道。直到LNS锁定期结束,设备才尝试重新和该LNS建立隧道。
操作步骤
l配置Hello报文的发送时间间隔
a.
b.
c.
执行命令system-view,进入系统视图。
执行命令l2tp-group group-number,进入L2TP组视图。
执行命令tunnel timer hello interval,配置Hello报文的发送时间间隔。
缺省情况下,每隔60秒发送一次Hello报文。
l配置LNS锁定时间
a.
b.
执行命令system-view,进入系统视图。
执行命令l2tp aging time,配置LNS锁定时间。
缺省情况下,LNS锁定时间为30秒。
该步骤只在LAC上执行。
----结束
1.5.4 检查配置结果
L2TP配置成功后,可以在LAC或LNS上查看到L2TP的配置信息、隧道状态和会话状
态。
前提条件
LAC和LNS之间成功建立L2TP会话。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
35
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
操作步骤
l
l
l
使用display l2tp tunnel命令查看本端和对端的L2TP隧道ID、会话ID,以及对端公
网地址等信息。
使用display l2tp session命令查看本端和对端的L2TP会话ID信息,以及所属的本端
隧道ID。
使用display l2tp-group [ group-number ]命令查看指定L2TP组的具体配置信息。
----结束
1.6 维护L2TP
如何强制中断L2TP连接、监控L2TP运行状况。
1.6.1 手动断开L2TP连接
背景信息
当用户数为零、网络发生故障或需要断开L2TP连接时,可以手动断开指定的L2TP隧道
或者会话连接。手动断开后,该L2TP隧道或者会话下的L2TP用户都会下线。
在断开L2TP连接之前,可以执行命令display l2tp tunnel查看需要断开的隧道ID或对端
隧道名称。执行命令display l2tp session查看需要断开的本端会话ID。
强制断开L2TP隧道后,该隧道上的所有控制连接与会话连接也将被清除,当有新用户
拨入时,还可重新建立。
操作步骤
l
l
在用户视图下执行命令reset l2tp tunnel { peer-name remote-name | local-id tunnel-
id },可根据本端隧道ID或者对端隧道名称,强制断开隧道连接。
在用户视图下执行命令reset l2tp session session-id session-id,可根据本端会话ID
强制断开会话连接。
----结束
1.6.2 监控L2TP隧道及会话状况
背景信息
在日常维护工作中,可以在任意视图下选择执行以下命令,了解L2TP协议的运行情
况。
操作步骤
l
l
l
执行命令display l2tp-group,查看设备上已存在的L2TP组编号。
执行命令display l2tp tunnel [ tunnel-item tunnel-item | tunnel-name tunnel-name ],
根据本端隧道ID或者对端隧道名称,查看指定隧道的具体连接参数。
执行命令display l2tp session [ destination-ip d-ip-address | session-item session-item |
source-ip s-ip-address ],根据L2TP隧道的公网源地址或者目的地址,查看对应的
会话ID;根据本端会话ID,查看指定会话的具体连接参数。
----结束
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
36
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
1.6.3 L2TP协议报文统计
背景信息
L2TP用户上线时,存在多种协议报文交互,可以执行display l2tp statistics tunnel命令
来查看L2TP协议报文的统计信息。
说明
仅V200R007C00版本支持L2TP协议报文统计。
操作步骤
l
l
在用户视图下执行命令display l2tp statistics tunnel [ local-id tunnel-id ],用来查看
L2TP协议报文的统计信息。
在用户视图下执行命令reset l2tp statistics tunnel [ local-id tunnel-id ],用来重置
L2TP协议报文的统计信息。
----结束
1.7 配置举例
介绍L2TP的配置举例。
1.7.1 配置远程拨号用户发起L2TP隧道连接示例
组网需求
如图1-19,企业出差员工的地理位置经常发生变动,并且随时需要和总部通信和访问
总部内网资源,直接通过Internet网络虽然可以访问总部网关,但总部网关无法对接入
的用户进行辨别和管理,这时将总部网关部署为LNS,出差员工在PC终端上使用L2TP
拨号软件,则可以在出差员工和总部网关之间建立虚拟的点到点连接。本示例在PC终
端上以Windows 7为例。
图1-19 配置远程拨号用户发起L2TP隧道连接组网图
出差用户
(L2TP拨号软件)
Internet
PC1
202.1.2.1/24
L2TP封装
192.168.2.2/24
GE1/0/0
202.1.1.1/24
LNS
企业总部
PC2
VT1
192.168.1.1/24
PC3
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
37
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
配置思路
配置远程拨号用户发起L2TP隧道连接的思路如下:
1.
2.
企业总部网关LNS接入Internet,作为LNS响应出差员工的L2TP请求。
出差员工接入Internet后,通过设置L2TP拨号软件,向LNS发起L2TP连接的请求。
操作步骤
步骤1配置LNS
# 配置公网IP地址及路由,假设访问公网路由的下一跳地址为202.1.1.2。
[Huawei] sysname LNS
[LNS] interface gigabitethernet 1/0/0
[LNS-GigabitEthernet1/0/0] ip address 202.1.1.1 255.255.255.0
[LNS-GigabitEthernet1/0/0] quit
[LNS] ip route-static 0.0.0.0 0 202.1.1.2
# 配置L2TP用户的用户名为huawei,密码为Huawei@1234,用户类型固定为ppp。
[LNS] aaa
[LNS-aaa] local-user huawei password
Please configure the login password (8-128)
It is recommended that the password consist of at least 2 types of characters, i
ncluding lowercase letters, uppercase letters, numerals and special characters.
Please enter password:
Please confirm password:
Info: Add a new user.
Warning: The new user supports all access modes. The management user access mode
s such as Telnet, SSH, FTP, HTTP, and Terminal have security risks. You are advi
sed to configure the required access modes only.
[LNS-aaa] local-user huawei service-type ppp
[LNS-aaa] quit
# 定义一个地址池,为拨入用户分配地址。
[LNS] ip pool lns
[LNS-ip-pool-lns] network 192.168.1.0 mask 24
[LNS-ip-pool-lns] gateway-list 192.168.1.1
[LNS-ip-pool-lns] quit
# 配置虚拟接口模板。
[LNS] interface virtual-template 1
[LNS-Virtual-Template1] ip address 192.168.1.1 255.255.255.0
[LNS-Virtual-Template1] ppp authentication-mode chap
[LNS-Virtual-Template1] remote address pool lns
[LNS-Virtual-Template1] quit
# 使能L2TP功能,并创建L2TP组编号为1。
[LNS] l2tp enable
[LNS] l2tp-group 1
# 禁止隧道认证功能,Windows 7不支持隧道认证。
[LNS-l2tp1] undo tunnel authentication
# 配置LNS绑定虚拟接口模板。
[LNS-l2tp1] allow l2tp virtual-template 1
步骤2配置Windows 7
# 修改Windows注册表,不使用数字证书认证功能。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
38
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
单击“开始 > 运行”,输入regedit打开注册表,找到路径HKEY_LOCAL_MACHINE
SystemCurrentControlSetServicesRasmanParameters,新建DWORD值,名称为
ProhibitIpSec,取值为1,修改完成后重启PC。
# 创建L2TP网络连接。
打开“网络和共享中心”,单击“设置新的连接或网络”,选择“连接到工作区”,
单击“下一步”。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
39
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
单击“使用我的Internet连接”。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
40
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
填入Internet地址,该地址为LNS的IP地址202.1.1.1,然后填入目标名称,作为网络连接
的名称,可自行定义,此处填为L2TP,选中“现在不连接;仅进行设置以便稍后连
接”,单击“下一步”。
填入用户名和密码,分别为huawei和Huawei@1234,单击“创建”。
说明
这里域无需配置。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
41
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
单击“关闭”。
# 配置L2TP连接的认证参数。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
42
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
打开“网络和共享中心”,单击“连接到网络”,可以看到已创建的L2TP,右击
L2TP选择“属性”,配置连接的参数。
如下“常规”页签中的参数不需要修改。
单击“选项”页签,勾选如下内容。
说明
此页面如果单击“PPP设置”,采用默认方式,不需要进行设置。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
43
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
单击“安全”页签,“VPN类型”可以选择默认的“自动”,也可以指定“使用IPsec
的第2层隧道协议”。
在“运行这些协议”的复选项中,勾选如下内容。
说明
此页面如果单击“高级设置”,会出现设置IPSec预共享密钥的窗体,请不要进行设置,此处并
非真正设置IPSec预共享密钥的地方。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
44
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
“网络”和“共享”这两个页签则无需修改。
打开“网络和共享中心”,单击“连接到网络”,可以看到已创建的L2TP,双击
L2TP连接,输入用户名和密码,单击“连接”。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
45
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
步骤3检查配置结果。
配置完成后PC1的L2TP连接正确获取私网IP地址192.168.1.254,和总部PC可以互通。
----结束
配置文件
LNS的配置文件。
#
sysname LNS
#
l2tp enable
#
interface GigabitEthernet1/0/0
ip address 202.1.1.1 255.255.255.0
#
aaa
local-user huawei password cipher %^%#_<`.CO&(:LeS/$#FH0Qv8B]KAZja3}3q'RNx;VI%^%#
local-user huawei privilege level 0
local-user huawei server-type ppp
#
l2tp-group 1
undo tunnel authentication
allow l2tp virtual-template 1
#
interface Virtual-Template1
ppp authentication-mode chap
remote address pool lns
ip address 192.168.1.1 255.255.255.0
#
ip pool lns
network 192.168.1.0 mask 255.255.255.0
gateway-list 192.168.1.1
#
ip route-static 0.0.0.0 0.0.0.0 202.1.1.2
#
return
相关资料
视频:Window 7用户如何配置L2TP拨号
1.7.2 配置LAC接入拨号用户发起L2TP隧道连接示例
组网需求
如图1-20,企业总部在其他城市设有分支机构,分支机构位于传统的拨号网络。
分支用户需要和总部用户建立VPDN连接,于是分支向ISP申请L2TP服务,ISP将NAS
部署为LAC,将分支用户的拨号连接请求通过公网发送到LNS。
企业将总部的网关部署为LNS,为分支用户提供接入服务,实现分支用户和总部网关
之间的L2TP连接。
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
46
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
图1-20 配置LAC接入拨号用户发起L2TP隧道连接组网图
VT1
192.168.1.1/24
L2TP隧道
LNS
拨号网络
LAC
(NAS)
Internet
GE1/0/0
202.1.1.1/24
企业分支
企业总部
PC1
PPP终端
PC3
PC2
配置思路
配置LNS的思路如下:
1.
2.
3.
4.
LNS需要认证分支拨号用户的身份信息,部署AAA认证,采用本地认证方式。
LNS需要对接入用户进行管理,创建IP地址池,为分支用户分配IP地址。
LNS需要和远程用户进行PPP协商,使用虚拟接口模板配置协商参数。
LNS需要接入LAC发起的L2TP连接请求,配置L2TP组和LAC建立隧道。
操作步骤
步骤1配置AAA认证,用户名为huawei,密码为Huawei@1234
[Huawei] sysname LNS
[LNS] aaa
[LNS-aaa] local-user huawei password
Please configure the login password (8-128)
It is recommended that the password consist of at least 2 types of characters, i
ncluding lowercase letters, uppercase letters, numerals and special characters.
Please enter password:
Please confirm password:
Info: Add a new user.
Warning: The new user supports all access modes. The management user access mode
s such as Telnet, SSH, FTP, HTTP, and Terminal have security risks. You are advi
sed to configure the required access modes only.
[LNS-aaa] local-user huawei service-type ppp
[LNS-aaa] quit
步骤2配置私网IP地址池
[LNS] ip pool l
[LNS-ip-pool-1] network 192.168.1.0 mask 24
[LNS-ip-pool-1] gateway-list 192.168.1.1
[LNS-ip-pool-1] quit
步骤3配置PPP协商参数
[LNS] interface virtual-template 1
[LNS-Virtual-Template1] ip address 192.168.1.1 255.255.255.0
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
47
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)
[LNS-Virtual-Template1] ppp authentication-mode chap
[LNS-Virtual-Template1] remote address pool 1
[LNS-Virtual-Template1] quit
1 L2TP配置
步骤4配置接入L2TP连接请求
# 使能L2TP服务,创建一个L2TP组。
[LNS] l2tp enable
[LNS] l2tp-group 1
# 配置LNS本端隧道名称及指定LAC的隧道名称。
[LNS-l2tp1] tunnel name LNS
[LNS-l2tp1] allow l2tp virtual-template 1 remote LAC
# 启用隧道认证功能并设置隧道认证字。
[LNS-l2tp1] tunnel authentication
[LNS-l2tp1] tunnel password cipher huawei
[LNS-l2tp1] quit
# 配置公网的IP地址及路由,假设访问公网的路由下一跳地址为202.1.1.2。
[LNS] interface gigabitethernet 1/0/0
[LNS-GigabitEthernet1/0/0] ip address 202.1.1.1 255.255.255.0
[LNS-GigabitEthernet1/0/0] quit
[LNS] ip route-static 0.0.0.0 0 202.1.1.2
步骤5检查配置结果
# 配置成功后,当PC1上线时,在LNS上执行display l2tp tunnel命令可看到隧道及会话
建立。
[LNS] display l2tp tunnel
Total tunnel : 1
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
1 1 202.1.2.1 1701 1 LAC
PC1和企业总部的主机可以互通。
----结束
配置文件
LNS的配置文件
#
sysname LNS
#
l2tp enable
#
ip pool 1
network 192.168.1.0 mask 255.255.255.0
gateway-list 192.168.1.1
#
aaa
local-user huawei password cipher %#%#;j'F'i@JbCCch++)yQe)<,]p>i4,b5-e4d5slpM-%#%#
local-user huawei privilege level 0
local-user huawei service-type ppp
#
interface Virtual-Template1
ppp authentication-mode chap
remote address pool 1
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet 1/0/0
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
48
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)
ip address 202.1.1.1 255.255.255.0
#
l2tp-group 1
allow l2tp virtual-template 1 remote LAC
tunnel password cipher %@%@/-#)Lg[S4F:#2
~
ZNvqa$]DL%@%@
tunnel name LNS
#
ip route-static 0.0.0.0 0.0.0.0 202.1.1.2
#
return
1 L2TP配置
1.7.3 配置LAC接入PPPoE用户发起L2TP隧道连接示例
组网需求
如图1-21,企业总部在其他城市设有分支机构,分支机构内部使用以太网络。
分支用户需要和总部用户建立VPDN连接,在分支和总部之间部署L2TP,其中分支机
构没有拨号网络,将分支的网关部署为PPPoE服务器,使分支用户的PPP拨号可以通过
以太网络传输,同时分支网关也作为LAC,和总部建立L2TP隧道。
企业总部的网关部署为LNS,为分支用户提供接入服务,实现分支用户和总部网关之
间的L2TP连接。
图1-21 配置LAC接入PPPoE用户发起L2TP隧道连接组网图
LAC
(PPPoE服务器)
企业分支
GE1/0/0
202.1.2.1/24
GE2/0/0
GE2/0/0
192.168.2.1/24
GE1/0/0
202.1.1.1/24
LNS
企业总部
Internet
PC1
o
E
P
P
P
L2TP隧道
PPP终端
(PPPoE客户端)
VT1
192.168.1.1/24
PC2
配置思路
配置LNS的思路如下:
1.
2.
3.
4.
5.
6.
7.
LAC需要通过以太网络接入分支用户的拨号,部署为PPPoE服务器,使用CHAP认
证。
LAC需要认证拨号用户的身份信息,部署AAA认证,采用本地认证方式。
LAC需要为符合条件的用户建立到达总部的L2TP连接。
LNS需要认证分支拨号用户的身份信息,部署AAA认证,采用本地认证方式。
LNS需要对接入用户进行管理,创建IP地址池,为分支用户分配IP地址。
LNS需要和远程用户进行PPP协商,使用虚拟接口模板配置协商参数。
LNS需要接入LAC发起的L2TP连接请求,配置L2TP组和LAC建立隧道。
操作步骤
步骤1配置LAC作为PPPoE服务器
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
49
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
# 创建虚拟接口模板,配置和分支用户进行PPP协商。
[Huawei] sysname LAC
[LAC] interface virtual-template 1
[LAC-Virtual-Template1] ppp authentication-mode chap
[LAC-Virtual-Template1] quit
# 在和用户连接的物理接口上配置PPPoE服务,引入虚拟接口模板。
[LAC] interface gigabitethernet 2/0/0
[LAC-GigabitEthernet2/0/0] pppoe-server bind virtual-template 1
[LAC-GigabitEthernet2/0/0] quit
步骤2配置LAC的AAA认证,用户名为huawei,密码为Huawei@1234
[LAC] aaa
[LAC-aaa] local-user huawei password
Please configure the login password (8-128)
It is recommended that the password consist of at least 2 types of characters, i
ncluding lowercase letters, uppercase letters, numerals and special characters.
Please enter password:
Please confirm password:
Info: Add a new user.
Warning: The new user supports all access modes. The management user access mode
s such as Telnet, SSH, FTP, HTTP, and Terminal have security risks. You are advi
sed to configure the required access modes only.
[LAC-aaa] local-user huawei service-type ppp
[LAC-aaa] quit
步骤3配置LAC发起L2TP连接
# 使能L2TP服务,创建一个L2TP组。
[LAC] l2tp enable
[LAC] l2tp-group 1
# 配置LAC本端隧道名称及指定LNS的公网IP地址。
[LAC-l2tp1] tunnel name lac
[LAC-l2tp1] start l2tp ip 202.1.1.1 fullusername huawei
# 启用隧道认证功能并设置隧道认证字,和LNS端保持一致。
[LAC-l2tp1] tunnel authentication
[LAC-l2tp1] tunnel password cipher huawei
[LAC-l2tp1] quit
# 配置公网的IP地址。
[LAC] interface gigabitethernet 1/0/0
[LAC-GigabitEthernet1/0/0] ip address 202.1.2.1 255.255.255.0
[LAC-GigabitEthernet1/0/0] quit
# 配置到LNS的路由,此处使用静态路由,假设下一跳的IP地址为202.1.2.2。
[LAC] ip route-static 202.1.1.1 32 202.1.2.2
步骤4配置LNS的AAA认证
[Huawei] sysname LNS
[LNS] aaa
[LNS-aaa] local-user huawei password cipher Huawei@1234
[LNS-aaa] local-user huawei service-type ppp
[LNS-aaa] quit
步骤5配置LNS的私网IP地址池
[LNS] ip pool 1
[LNS-ip-pool-1] network 192.168.1.0 mask 24
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
50
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)
[LNS-ip-pool-1] gateway-list 192.168.1.1
[LNS-ip-pool-1] quit
1 L2TP配置
步骤6配置LNS的PPP协商参数
[LNS] interface virtual-template 1
[LNS-Virtual-Template1] ip address 192.168.1.1 255.255.255.0
[LNS-Virtual-Template1] ppp authentication-mode chap
[LNS-Virtual-Template1] remote address pool 1
[LNS-Virtual-Template1] quit
步骤7配置LNS响应L2TP连接
# 使能L2TP服务,创建一个L2TP组。
[LNS] l2tp enable
[LNS] l2tp-group 1
# 配置LNS本端隧道名称及指定LAC的隧道名称。
[LNS-l2tp1] tunnel name lns
[LNS-l2tp1] allow l2tp virtual-template 1 remote lac
# 启用隧道认证功能并设置隧道认证字。
[LNS-l2tp1] tunnel authentication
[LNS-l2tp1] tunnel password cipher huawei
[LNS-l2tp1] quit
# 配置LNS的公网IP地址。
[LNS] interface gigabitethernet 1/0/0
[LNS-GigabitEthernet1/0/0] ip address 202.1.1.1 255.255.255.0
[LNS-GigabitEthernet1/0/0] quit
# 配置到LAC的路由,此处使用静态路由,假设下一跳的IP地址为202.1.1.2。
[LNS] ip route-static 202.1.2.1 32 202.1.1.2
# 配置私网的IP地址。
[LNS] interface gigabitethernet 2/0/0
[LNS-GigabitEthernet2/0/0] ip address 192.168.2.1 255.255.255.0
[LNS-GigabitEthernet2/0/0] quit
步骤8检查配置结果
# 配置成功后,当PC1上线时,在LAC上执行display pppoe-server session all命令可看
到PPPoE会话。
[LAC] display pppoe-server session all
SID Intf State OIntf RemMAC
LocMAC
1 Virtual-Template1:0 UP GE2/0/0 5489.98f7.2fcb 5489.9872.366f
# 在LAC或者LNS上执行display l2tp tunnel命令可看到L2TP隧道及会话建立,此处以
LNS为例:
[LNS] display l2tp tunnel
Total tunnel : 1
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
1 1 202.1.2.1 1701 1 lac
# PC1和企业总部的主机PC2可以互通。
----结束
文档版本 06 (2016-09-15)华为专有和保密信息
版权所有 © 华为技术有限公司
51
Huawei
AR120&AR150&AR160&AR200&AR500&AR510&AR1
200&AR2200&AR3200&AR3600 系列企业路由器
配置指南-VPN配置(通过命令行)1 L2TP配置
配置文件
lLAC的配置文件
#
sysname LAC
#
l2tp enable
#
aaa
local-user huawei password cipher %#%#t1AC(UnwvLO0Dx*vFG!3!zYT9+&Ps6$MXE&-MmL%#%#
local-user huawei privilege level 0
local-user huawei service-type ppp
#
interface Virtual-Template1
ppp authentication-mode chap
#
interface GigabitEthernet1/0/0
ip address 202.1.2.1 255.255.255.0
#
interface GigabitEthernet2/0/0
pppoe-server bind Virtual-Template 1
#
l2tp-group 1
tunnel password cipher %@%@/-#)Lg[S4F:#2
~
ZNvqa$]DL%@%@
tunnel name lac
start l2tp ip 202.1.1.1 fullusername huawei
#
ip route-static 202.1.1.1 255.255.255.255 202.1.2.2
#
return
lLNS的配置文件
#
sysname LNS
#
l2tp enable
#
ip pool 1
network 192.168.1.0 mask 255.255.255.0
gateway-list 192.168.1.1
#
aaa
local-user huawei password cipher %@%@/|S75*sxcH2@FQL=wn#2@I`a%@%@local-user huawei
password cipher %#%#IU}.Fcxz&CwD/DBsYy%aG*;'t">9+@O local-user huawei privilege level 0 local-user huawei service-type ppp # interface Virtual-Template1 ppp authentication-mode chap remote address pool 1 ip address 192.168.1.1 255.255.255.0 # interface GigabitEthernet1/0/0 ip address 202.1.1.1 255.255.255.0 # interface GigabitEthernet2/0/0 ip address 192.168.2.1 255.255.255.0 # l2tp-group 1 allow l2tp virtual-template 1 remote lac tunnel password cipher %@%@EB ~ j7Je>;@>uNr''D=J<]WL%@%@ tunnel name lns # ip route-static 202.1.2.1 255.255.255.255 202.1.1.2 # return 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 52 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行)1 L2TP配置 1.7.4 配置LAC自拨号发起L2TP隧道连接示例 组网需求 如图1-22所示,企业总部在其他城市设有分支机构,分支机构部署为以太网络。 总部为分支用户提供VPDN接入服务,允许分支内的任意用户接入,则LNS只需对LAC 进行身份认证,此时可以通过在LAC配置自拨号的方式,在LAC和LNS之间建立L2TP 连接。 图1-22 配置自拨号发起L2TP隧道连接组网图 GE2/0/0 192.168.10.1/24 GE2/0/0 192.168.2.1/24 GE1/0/0 202.1.1.1/24 企业分支 LAC GE1/0/0 202.1.2.1/24 LNS 企业总部 Internet PC1 192.168.10.2/24 L2TP隧道 VT1 192.168.1.1/24 PC2 192.168.2.2/24 配置思路 配置LAC自拨号功能的思路如下: 1. 2. 3. 在LAC上配置L2TP功能,PPP用户通过L2TP隧道向总部发出接入请求,总部认证 成功后建立隧道。 在LAC上配置到达LNS的路由,使能LAC的自拨号功能。 在LNS上配置L2TP功能及PPP用户,并配置访问公网的路由。 操作步骤 步骤1LAC的配置 # 配置公网IP地址。 [Huawei] sysname LAC [LAC] interface gigabitethernet 1/0/0 [LAC-GigabitEthernet1/0/0] ip address 202.1.2.1 255.255.255.0 [LAC-GigabitEthernet1/0/0] quit # 配置用户侧IP地址。 [LAC] interface gigabitethernet 2/0/0 [LAC-GigabitEthernet2/0/0] ip address 192.168.10.1 255.255.255.0 [LAC-GigabitEthernet2/0/0] quit # 全局使能L2TP并创建一个L2TP组并配置为用户名称为huawei的用户建立到达LNS的 L2TP连接。 [LAC] l2tp enable [LAC] l2tp-group 1 [LAC-l2tp1] tunnel name lac [LAC-l2tp1] start l2tp ip 202.1.1.1 fullusername huawei 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 53 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行)1 L2TP配置 # 启用通道验证并设置通道验证密码。 [LAC-l2tp1] tunnel authentication [LAC-l2tp1] tunnel password cipher huawei [LAC-l2tp1] quit # 配置虚拟PPP用户的用户名和密码,PPP认证方式以及IP地址。 [LAC] interface virtual-template 1 [LAC-Virtual-Template1] ppp chap user huawei [LAC-Virtual-Template1] ppp chap password cipher Huawei@1234 [LAC-Virtual-Template1] ip address ppp-negotiate [LAC-Virtual-Template1] quit # 配置公网路由,和LNS路由可达,以静态路由为例,假设下一跳IP地址为202.1.2.2。 [LAC] ip route-static 202.1.1.1 255.255.255.255 202.1.2.2 # 触发自拨号建立L2TP隧道。 [LAC] interface virtual-template 1 [LAC-Virtual-Template1] l2tp-auto-client enable [LAC-Virtual-Template1] quit # 配置私网路由,使得企业分支用户与总部私网互通。 [LAC] ip route-static 192.168.2.0 255.255.255.0 virtual-template 1 步骤2LNS的配置 # 配置LNS的公网IP地址。 [Huawei] sysname LNS [LNS] interface gigabitEthernet 1/0/0 [LNS-GigabitEthernet1/0/0] ip address 202.1.1.1 255.255.255.0 [LNS-GigabitEthernet1/0/0] quit # 配置LNS用户侧的IP地址。 [LNS] interface GigabitEthernet 2/0/0 [LNS-GigabitEthernet2/0/0] ip address 192.168.2.1 255.255.255.0 [LNS-GigabitEthernet2/0/0] quit # 配置LNS的AAA认证,用户名为huawei,密码为Huawei@1234。 [LNS] aaa [LNS-aaa] local-user huawei password Please configure the login password (8-128) It is recommended that the password consist of at least 2 types of characters, i ncluding lowercase letters, uppercase letters, numerals and special characters. Please enter password: Please confirm password: Info: Add a new user. Warning: The new user supports all access modes. The management user access mode s such as Telnet, SSH, FTP, HTTP, and Terminal have security risks. You are advi sed to configure the required access modes only. [LNS-aaa] local-user huawei service-type ppp [LNS-aaa] quit # 配置LNS的IP地址池,为LAC的拨号接口分配IP地址。 [LNS] ip pool 1 [LNS-ip-pool-1] network 192.168.1.0 mask 24 [LNS-ip-pool-1] gateway-list 192.168.1.1 [LNS-ip-pool-1] quit # 创建虚拟接口模板并配置PPP协商等参数。 [LNS] interface virtual-template 1 [LNS-Virtual-Template1] ppp authentication-mode chap 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 54 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行) [LNS-Virtual-Template1] remote address pool 1 [LNS-Virtual-Template1] ip address 192.168.1.1 255.255.255.0 [LNS-Virtual-Template1] quit 1 L2TP配置 # 使能L2TP服务,创建一个L2TP组。 [LNS] l2tp enable [LNS] l2tp-group 1 # 配置LNS本端隧道名称及指定LAC的隧道名称。 [LNS-l2tp1] tunnel name lns [LNS-l2tp1] allow l2tp virtual-template 1 remote lac # 启用隧道认证功能并设置隧道认证字。 [LNS-l2tp1] tunnel authentication [LNS-l2tp1] tunnel password cipher huawei [LNS-l2tp1] quit # 配置公网路由,和LAC路由可达,以静态路由为例,假设下一跳IP地址为202.1.1.2。 [LNS] ip route-static 202.1.2.1 255.255.255.255 202.1.1.2 # 配置私网路由,使得企业总部与企业分支用户私网互通。 [LNS] ip route-static 192.168.10.0 255.255.255.0 virtual-template 1 步骤3检查配置结果 # 在LAC或者LNS上执行display l2tp tunnel命令可看到L2TP隧道及会话建立,此处以 LNS为例: [LNS] display l2tp tunnel Total tunnel : 1 LocalTID RemoteTID RemoteAddress Port Sessions RemoteName 1 1 202.1.2.1 1701 1 lac # PC1和企业总部的主机PC2可以互通。 ----结束 配置文件 lLAC的配置文件 # sysname LAC # l2tp enable # interface Virtual-Template1 ppp chap user huawei ppp chap password cipher %^%#'&=6Q(|7-#|.]EB`mK$(h7[CY`2m}-YT)Q=Oh2 ~ 2%^%# ip address ppp-negotiate l2tp-auto-client enable # interface GigabitEthernet1/0/0 ip address 202.1.2.1 255.255.255.0 # interface GigabitEthernet2/0/0 ip address 192.168.10.1 255.255.255.0 # l2tp-group 1 tunnel password cipher %@%@/-#)Lg[S4F:#2 ~ ZNvqa$]DL%@%@ tunnel name lac start l2tp ip 202.1.1.1 fullusername huawei # ip route-static 192.168.2.0 255.255.255.0 Virtual-Template1 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 55 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行) ip route-static 202.1.1.1 255.255.255.255 202.1.2.2 # return 1 L2TP配置 lLNS的配置文件 # sysname LNS # l2tp enable # ip pool 1 network 192.168.1.0 mask 255.255.255.0 gateway-list 192.168.1.1 # aaa local-user huawei password cipher %#%#_<`.CO&(:LeS/$#FH0Qv8B]KAZja3}3q'RNx;VI%#%# local-user huawei privilege level 0 local-user huawei service-type ppp # interface Virtual-Template1 ppp authentication-mode chap remote address pool 1 ip address 192.168.1.1 255.255.255.0 # interface GigabitEthernet1/0/0 ip address 202.1.1.1 255.255.255.0 # interface GigabitEthernet2/0/0 ip address 192.168.2.1 255.255.255.0 # l2tp-group 1 allow l2tp virtual-template 1 remote lac tunnel password cipher %@%@EB ~ j7Je>;@>uNr''D=J<]WL%@%@ tunnel name lns # ip route-static 192.168.10.0 255.255.255.0 Virtual-Template1 ip route-static 202.1.2.1 255.255.255.255 202.1.1.2 # return 1.7.5 配置多个LAC自拨号发起L2TP隧道连接示例 组网需求 如图1-23所示,企业总部在其他城市设有分支机构,分支机构部署为以太网络。 总部为分支用户提供VPDN接入服务,允许分支内的任意用户接入,则LNS只需对LAC 进行身份认证,此时可以通过在LAC配置自拨号的方式,在LAC和LNS之间建立L2TP 连接。 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 56 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行)1 L2TP配置 图1-23 配置自拨号发起L2TP隧道连接组网图 GE2/0/0 10.1.10.1/24 企业分支 LAC_1 GE1/0/0 1.1.2.1/24 VT1 10.1.1.1/24 PC1 10.1.10.2/24 L2TP隧道 Internet GE1/0/0 1.1.1.1/24 GE2/0/0 10.1.2.1/24 LNS 企业总部 GE2/0/0 10.1.20.1/24 L2TP隧道 VT1 10.1.1.1/24 GE1/0/0 1.1.3.1/24 PC2 10.1.2.2/24 企业分支 LAC_2 PC3 10.1.20.2/24 配置思路 配置LAC自拨号功能的思路如下: 1. 2. 3. 在LAC上配置L2TP功能,PPP用户通过L2TP隧道向总部发出接入请求,总部认证 成功后建立隧道。 在LAC上配置到达LNS的路由,使能LAC的自拨号功能。 在LNS上配置L2TP功能及PPP用户,并配置访问公网的路由。 操作步骤 步骤1LAC_1的配置 # 配置公网IP地址。 [Huawei] sysname LAC_1 [LAC_1] interface gigabitethernet 1/0/0 [LAC_1-GigabitEthernet1/0/0] ip address 1.1.2.1 255.255.255.0 [LAC_1-GigabitEthernet1/0/0] quit # 配置用户侧IP地址。 [LAC_1] interface gigabitethernet 2/0/0 [LAC_1-GigabitEthernet2/0/0] ip address 10.1.10.1 255.255.255.0 [LAC_1-GigabitEthernet2/0/0] quit # 全局使能L2TP,创建一个L2TP组并配置用户名称为huawei的用户与LNS建立L2TP连 接。 [LAC_1] l2tp enable [LAC_1] l2tp-group 1 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 57 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行) [LAC_1-l2tp1] tunnel name lac_1 [LAC_1-l2tp1] start l2tp ip 1.1.1.1 fullusername huawei 1 L2TP配置 # 启用通道验证并设置通道验证密码。 [LAC_1-l2tp1] tunnel authentication [LAC_1-l2tp1] tunnel password cipher huawei [LAC_1-l2tp1] quit # 配置虚拟PPP用户的用户名和密码,PPP认证方式以及IP地址。 [LAC_1] interface virtual-template 1 [LAC_1-Virtual-Template1] ppp chap user huawei [LAC_1-Virtual-Template1] ppp chap password cipher Huawei@1234 [LAC_1-Virtual-Template1] ip address ppp-negotiate [LAC_1-Virtual-Template1] ospf p2mp-mask-ignore [LAC_1-Virtual-Template1] quit # 配置公网路由和LNS路由可达,以静态路由为例,假设下一跳IP地址为1.1.2.2。 [LAC_1] ip route-static 1.1.1.1 255.255.255.255 1.1.2.2 # 触发自拨号建立L2TP隧道。 [LAC_1] interface virtual-template 1 [LAC_1-Virtual-Template1] l2tp-auto-client enable [LAC_1-Virtual-Template1] quit # 配置私网路由,使得企业分支用户与总部私网互通。 [LAC_1] ospf 10 [LAC_1-ospf-10] area 0 [LAC_1-ospf-10-area-0.0.0.0] network 10.1.1.0 0.0.0.255 [LAC_1-ospf-10-area-0.0.0.0] network 10.1.10.0 0.0.0.255 [LAC_1-ospf-10-area-0.0.0.0] quit [LAC_1-ospf-10] quit 步骤2LAC_2的配置 # 配置公网IP地址。 [Huawei] sysname LAC_2 [LAC_2] interface gigabitethernet 1/0/0 [LAC_2-GigabitEthernet1/0/0] ip address 1.1.3.1 255.255.255.0 [LAC_2-GigabitEthernet1/0/0] quit # 配置用户侧IP地址。 [LAC_2] interface gigabitethernet 2/0/0 [LAC_2-GigabitEthernet2/0/0] ip address 10.1.20.1 255.255.255.0 [LAC_2-GigabitEthernet2/0/0] quit # 全局使能L2TP,创建一个L2TP组并配置用户名称为huawei的用户与LNS建立L2TP连 接。 [LAC_2] l2tp enable [LAC_2] l2tp-group 1 [LAC_2-l2tp1] tunnel name lac_2 [LAC_2-l2tp1] start l2tp ip 1.1.1.1 fullusername huawei # 启用通道验证并设置通道验证密码。 [LAC_2-l2tp1] tunnel authentication [LAC_2-l2tp1] tunnel password cipher huawei [LAC_2-l2tp1] quit # 配置虚拟PPP用户的用户名和密码,PPP认证方式以及IP地址。 [LAC_2] interface virtual-template 1 [LAC_2-Virtual-Template1] ppp chap user huawei 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 58 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行) [LAC_2-Virtual-Template1] ppp chap password cipher Huawei@1234 [LAC_2-Virtual-Template1] ip address ppp-negotiate [LAC_2-Virtual-Template1] ospf p2mp-mask-ignore [LAC_2-Virtual-Template1] quit 1 L2TP配置 # 配置公网路由和LNS路由可达,以静态路由为例,假设下一跳IP地址为1.1.3.2。 [LAC_2] ip route-static 1.1.1.1 255.255.255.255 1.1.3.2 # 触发自拨号建立L2TP隧道。 [LAC_2] interface virtual-template 1 [LAC_2-Virtual-Template1] l2tp-auto-client enable [LAC_2-Virtual-Template1] quit # 配置私网路由,使得企业分支用户与总部私网互通。 [LAC_2] ospf 10 [LAC_2-ospf-10] area 0 [LAC_2-ospf-10-area-0.0.0.0] network 10.1.1.0 0.0.0.255 [LAC_2-ospf-10-area-0.0.0.0] network 10.1.20.0 0.0.0.255 [LAC_2-ospf-10-area-0.0.0.0] quit [LAC_2-ospf-10] quit 步骤3LNS的配置 # 配置LNS的公网IP地址。 [Huawei] sysname LNS [LNS] interface gigabitethernet 1/0/0 [LNS-GigabitEthernet1/0/0] ip address 1.1.1.1 255.255.255.0 [LNS-GigabitEthernet1/0/0] quit # 配置LNS用户侧的IP地址。 [LNS] interface gigabitethernet 2/0/0 [LNS-GigabitEthernet2/0/0] ip address 10.1.2.1 255.255.255.0 [LNS-GigabitEthernet2/0/0] quit # 配置LNS的AAA认证,用户名为huawei,密码为Huawei@1234。 [LNS] aaa [LNS-aaa] local-user huawei password Please configure the login password (8-128) It is recommended that the password consist of at least 2 types of characters, i ncluding lowercase letters, uppercase letters, numerals and special characters. Please enter password: Please confirm password: Info: Add a new user. Warning: The new user supports all access modes. The management user access mode s such as Telnet, SSH, FTP, HTTP, and Terminal have security risks. You are advi sed to configure the required access modes only. [LNS-aaa] local-user huawei service-type ppp [LNS-aaa] quit # 配置LNS的IP地址池,为LAC的拨号接口分配IP地址。 [LNS] ip pool 1 [LNS-ip-pool-1] network 10.1.1.0 mask 24 [LNS-ip-pool-1] gateway-list 10.1.1.1 [LNS-ip-pool-1] quit # 创建虚拟接口模板并配置PPP协商等参数。 [LNS] interface virtual-template 1 [LNS-Virtual-Template1] ppp authentication-mode chap [LNS-Virtual-Template1] remote address pool 1 [LNS-Virtual-Template1] ip address 10.1.1.1 255.255.255.0 [LNS-Virtual-Template1] ospf network-type p2mp [LNS-Virtual-Template1] ospf timer hello 10 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 59 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行) [LNS-Virtual-Template1] ospf p2mp-mask-ignore [LNS-Virtual-Template1] quit 1 L2TP配置 # 使能L2TP服务,创建一个L2TP组。 [LNS] l2tp enable [LNS] l2tp-group 1 # 配置LNS本端隧道名称及指定LAC的隧道名称。 [LNS-l2tp1] tunnel name lns [LNS-l2tp1] allow l2tp virtual-template 1 # 启用隧道认证功能并设置隧道认证字。 [LNS-l2tp1] tunnel authentication [LNS-l2tp1] tunnel password cipher huawei [LNS-l2tp1] quit # 配置公网路由和LAC路由可达,以静态路由为例,假设下一跳IP地址为1.1.1.2。 [LNS] ip route-static 1.1.2.1 255.255.255.255 1.1.1.2 [LNS] ip route-static 1.1.3.1 255.255.255.255 1.1.1.2 # 配置私网路由,使得企业总部与企业分支用户私网互通。 [LNS] ospf 10 [LNS-ospf-10] area 0 [LNS-ospf-10-area-0.0.0.0] network 10.1.1.0 0.0.0.255 [LNS-ospf-10-area-0.0.0.0] network 10.1.2.0 0.0.0.255 [LNS-ospf-10-area-0.0.0.0] quit [LNS-ospf-10] quit 步骤4检查配置结果 # 在LAC或者LNS上执行display l2tp tunnel命令查看Sessions和RemoteName参数,可 看到会话建立及L2TP隧道,此处以LNS为例: [LNS] display l2tp tunnel Total tunnel : 2 LocalTID RemoteTID RemoteAddress Port Sessions RemoteName 1 1 1.1.2.1 1701 1 lac_1 2 1 1.1.3.1 1701 1 lac_2 # PC1和PC3分别可以与企业总部的主机PC2互通。 ----结束 配置文件 lLAC_1的配置文件 # sysname LAC_1 # l2tp enable # interface Virtual-Template1 ppp chap user huawei ppp chap password cipher %^%#'&=6Q(|7-#|.]EB`mK$(h7[CY`2m}-YT)Q=Oh2 ~ 2%^%# ip address ppp-negotiate l2tp-auto-client enable ospf p2mp-mask-ignore # interface GigabitEthernet1/0/0 ip address 1.1.2.1 255.255.255.0 # interface GigabitEthernet2/0/0 ip address 10.1.10.1 255.255.255.0 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 60 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行) # l2tp-group 1 tunnel password cipher %@%@/-#)Lg[S4F:#2 ~ ZNvqa$]DL%@%@ tunnel name lac_1 start l2tp ip 1.1.1.1 fullusername huawei # ospf 10 area 0.0.0.0 network 10.1.1.0 0.0.0.255 network 10.1.10.0 0.0.0.255 # ip route-static 1.1.1.1 255.255.255.255 1.1.2.2 # return 1 L2TP配置 lLAC_2的配置文件 # sysname LAC_2 # l2tp enable # interface Virtual-Template1 ppp chap user huawei ppp chap password cipher %^%#'&=6Q(|7-#|.]EB`mK$(h7[CY`2m}-YT)Q=Oh2 ~ 2%^%# ip address ppp-negotiate l2tp-auto-client enable ospf p2mp-mask-ignore # interface GigabitEthernet1/0/0 ip address 1.1.3.1 255.255.255.0 # interface GigabitEthernet2/0/0 ip address 10.1.20.1 255.255.255.0 # l2tp-group 1 tunnel password cipher %@%@6Za[BAw}f$WX}sX`]:QP1%.t%@%@ tunnel name lac_2 start l2tp ip 1.1.1.1 fullusername huawei # ospf 10 area 0.0.0.0 network 10.1.1.0 0.0.0.255 network 10.1.20.0 0.0.0.255 # ip route-static 1.1.1.1 255.255.255.255 1.1.3.2 # return lLNS的配置文件 # sysname LNS # l2tp enable # ip pool 1 gateway-list 10.1.1.1 network 10.1.1.0 mask 255.255.255.0 # aaa local-user huawei password cipher %#%#_<`.CO&(:LeS/$#FH0Qv8B]KAZja3}3q'RNx;VI%#%# local-user huawei privilege level 0 local-user huawei service-type ppp # interface Virtual-Template1 ppp authentication-mode chap remote address pool 1 ip address 10.1.1.1 255.255.255.0 ospf network-type p2mp ospf timer hello 10 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 61 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行) ospf p2mp-mask-ignore # interface GigabitEthernet1/0/0 ip address 1.1.1.1 255.255.255.0 # interface GigabitEthernet2/0/0 ip address 10.1.2.1 255.255.255.0 # l2tp-group 1 allow l2tp virtual-template 1 tunnel password cipher %@%@EB ~ j7Je>;@>uNr''D=J<]WL%@%@ tunnel name lns # ospf 10 area 0.0.0.0 network 10.1.1.0 0.0.0.255 network 10.1.2.0 0.0.0.255 # ip route-static 1.1.2.1 255.255.255.255 1.1.1.2 ip route-static 1.1.3.1 255.255.255.255 1.1.1.2 # return 1 L2TP配置 1.7.6 配置分支机构与总部之间通过L2TP Over IPSec方式实现安全 互通的示例 组网需求 如图1-24所示,LAC为企业分支网关,LNS为企业总部网关,分支通过LAC自拨号的方 式与总部建立L2TP隧道实现互通。 现企业希望通过L2TP隧道传输的业务进行安全保护,防止被窃取或篡改等。此时,可 以配置L2TP over IPSec的方式来加密保护企业分支和总部的业务。 图1-24 配置分支机构与总部之间通过L2TP Over IPSec方式实现安全互通组网图 GE2/0/0 10.1.10.1/24 企业分支 LAC GE1/0/0 1.1.2.1/24 GE1/0/0 1.1.1.1/24 GE2/0/0 10.1.2.1/24 LNS 企业总部 Internet PC1 10.1.10.2/24 L2TP over IPSec VT1 10.1.1.1/24 PC2 10.1.2.2/24 配置思路 采用如下思路配置分支机构与总部之间通过L2TP Over IPSec方式实现安全互通: 1. 2. 配置接口的IP地址和到对端的静态路由,保证两端路由可达。 在LAC上配置L2TP功能,PPP用户通过L2TP隧道向总部发出接入请求,总部认证 成功后建立隧道。 华为专有和保密信息 版权所有 © 华为技术有限公司 62 文档版本 06 (2016-09-15) Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行)1 L2TP配置 3. 4. 5. 6. 7. 8. 9. 在LAC上配置到达LNS的路由,使能LAC的自拨号功能。 在LNS上配置L2TP功能及PPP用户,并配置访问公网的路由。 配置ACL,以定义需要IPSec保护的数据流。 配置IPSec安全提议,定义IPSec的保护方法。 配置IKE对等体,定义对等体间IKE协商时的属性。 配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采 取何种保护方法。 在接口上应用安全策略组,使接口具有IPSec的保护功能。 操作步骤 步骤1配置接口的IP地址和到对端的静态路由 # 在LAC上配置接口的IP地址。 [Huawei] sysname LAC [LAC] interface gigabitethernet 1/0/0 [LAC-GigabitEthernet1/0/0] ip address 1.1.2.1 255.255.255.0 [LAC-GigabitEthernet1/0/0] quit [LAC] interface gigabitethernet 2/0/0 [LAC-GigabitEthernet2/0/0] ip address 10.1.10.1 255.255.255.0 [LAC-GigabitEthernet2/0/0] quit # 在LAC上配置公网路由实现和LNS路由可达。以静态路由为例,假设下一跳IP地址为 1.1.2.2。 [LAC] ip route-static 1.1.1.1 255.255.255.0 1.1.2.2 # 在LNS上配置接口的IP地址。 [Huawei] sysname LNS [LNS] interface gigabitEthernet 1/0/0 [LNS-GigabitEthernet1/0/0] ip address 1.1.1.1 255.255.255.0 [LNS-GigabitEthernet1/0/0] quit [LNS] interface gigabitEthernet 2/0/0 [LNS-GigabitEthernet2/0/0] ip address 10.1.2.1 255.255.255.0 [LNS-GigabitEthernet2/0/0] quit # 在LNS上配置公网路由实现和LAC路由可达。以静态路由为例,假设下一跳IP地址为 1.1.1.2。 [LNS] ip route-static 1.1.2.1 255.255.255.0 1.1.1.2 步骤2配置L2TP # 在LAC上全局使能L2TP,并创建一个L2TP组并配置为用户名称为huawei的用户建立 到达LNS的L2TP连接。 [LAC] l2tp enable [LAC] l2tp-group 1 [LAC-l2tp1] tunnel name lac [LAC-l2tp1] start l2tp ip 1.1.1.1 fullusername huawei # 在LAC上启用通道验证并设置通道验证密码。 [LAC-l2tp1] tunnel authentication [LAC-l2tp1] tunnel password cipher huawei [LAC-l2tp1] quit # 在LAC上配置虚拟PPP用户的用户名和密码,PPP认证方式以及IP地址。 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 63 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行) [LAC] interface virtual-template 1 [LAC-Virtual-Template1] ppp chap user huawei [LAC-Virtual-Template1] ppp chap password cipher Huawei@1234 [LAC-Virtual-Template1] ip address ppp-negotiate [LAC-Virtual-Template1] quit 1 L2TP配置 # 在LAC上触发自拨号建立L2TP隧道。 [LAC] interface virtual-template 1 [LAC-Virtual-Template1] l2tp-auto-client enable [LAC-Virtual-Template1] quit # 在LAC上配置私网路由,使得企业分支用户与总部私网互通。 [LAC] ip route-static 10.1.2.0 255.255.255.0 virtual-template 1 # 在LNS上配置LNS的AAA认证,用户名为huawei,密码为Huawei@1234。 [LNS] aaa [LNS-aaa] local-user huawei password Please configure the login password (8-128) It is recommended that the password consist of at least 2 types of characters, i ncluding lowercase letters, uppercase letters, numerals and special characters. Please enter password: Please confirm password: Info: Add a new user. Warning: The new user supports all access modes. The management user access mode s such as Telnet, SSH, FTP, HTTP, and Terminal have security risks. You are advi sed to configure the required access modes only. [LNS-aaa] local-user huawei service-type ppp [LNS-aaa] quit # 在LNS上配置LNS的IP地址池,为LAC的拨号接口分配IP地址。 [LNS] ip pool 1 [LNS-ip-pool-1] network 10.1.1.0 mask 24 [LNS-ip-pool-1] gateway-list 10.1.1.1 [LNS-ip-pool-1] quit # 在LNS上创建虚拟接口模板并配置PPP协商等参数。 [LNS] interface virtual-template 1 [LNS-Virtual-Template1] ppp authentication-mode chap [LNS-Virtual-Template1] remote address pool 1 [LNS-Virtual-Template1] ip address 10.1.1.1 255.255.255.0 [LNS-Virtual-Template1] quit # 在LNS上使能L2TP服务,创建一个L2TP组。 [LNS] l2tp enable [LNS] l2tp-group 1 # 在LNS上配置LNS本端隧道名称及指定LAC的隧道名称。 [LNS-l2tp1] tunnel name lns [LNS-l2tp1] allow l2tp virtual-template 1 remote lac # 在LNS上启用隧道认证功能并设置隧道认证字。 [LNS-l2tp1] tunnel authentication [LNS-l2tp1] tunnel password cipher huawei [LNS-l2tp1] quit # 在LNS上配置私网路由,使得企业总部与企业分支用户私网互通。 [LNS] ip route-static 10.1.10.0 255.255.255.0 virtual-template 1 步骤3配置ACL,定义各自要保护的数据流 # 在LAC上配置ACL。 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 64 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行)1 L2TP配置 [LAC] acl number 3101 [LAC-acl-adv-3101] rule permit ip source 1.1.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 [LAC-acl-adv-3101] quit # 在LNS上配置ACL。 [LNS] acl number 3101 [LNS-acl-adv-3101] rule permit ip source 1.1.1.0 0.0.0.255 destination 1.1.2.0 0.0.0.255 [LNS-acl-adv-3101] quit 步骤4创建IPSec安全提议 # 在LAC上配置IPSec安全提议。 [LAC] ipsec proposal tran1 [LAC-ipsec-proposal-tran1] esp authentication-algorithm sha2-256 [LAC-ipsec-proposal-tran1] esp encryption-algorithm aes-128 [LAC-ipsec-proposal-tran1] quit # 在LNS上配置IPSec安全提议。 [LNS] ipsec proposal tran1 [LNS-ipsec-proposal-tran1] esp authentication-algorithm sha2-256 [LNS-ipsec-proposal-tran1] esp encryption-algorithm aes-128 [LNS-ipsec-proposal-tran1] quit 步骤5配置IKE对等体 # 在LAC上配置IKE安全提议。 [LAC] ike proposal 5 [LAC-ike-proposal-5] encryption-algorithm aes-cbc-128 [LAC-ike-proposal-5] authentication-algorithm sha2-256 [LAC-ike-proposal-5] quit # 在LAC上配置IKE对等体,并根据默认配置,配置预共享密钥和对端ID。 [LAC] ike peer spub v1 [LAC-ike-peer-spub] ike-proposal 5 [LAC-ike-peer-spub] pre-shared-key cipher huawei [LAC-ike-peer-spub] remote-address 1.1.1.1 [LAC-ike-peer-spub] quit # 在LNS上配置IKE安全提议。 [LNS] ike proposal 5 [LNS-ike-proposal-5] encryption-algorithm aes-cbc-128 [LNS-ike-proposal-5] authentication-algorithm sha2-256 [LNS-ike-proposal-5] quit # 在LNS上配置IKE对等体,并根据默认配置,配置预共享密钥和对端ID。 [LNS] ike peer spua v1 [LNS-ike-peer-spua] ike-proposal 5 [LNS-ike-peer-spua] pre-shared-key cipher huawei [LNS-ike-peer-spua] remote-address 1.1.2.1 [LNS-ike-peer-spua] quit 步骤6创建安全策略 # 在LAC上配置IKE动态协商方式安全策略。 [LAC] ipsec policy map1 10 isakmp [LAC-ipsec-policy-isakmp-map1-10] ike-peer spub [LAC-ipsec-policy-isakmp-map1-10] proposal tran1 [LAC-ipsec-policy-isakmp-map1-10] security acl 3101 [LAC-ipsec-policy-isakmp-map1-10] quit # 在LNS上配置IKE动态协商方式安全策略。 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 65 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行) [LNS] ipsec policy use1 10 isakmp [LNS-ipsec-policy-isakmp-use1-10] ike-peer spua [LNS-ipsec-policy-isakmp-use1-10] proposal tran1 [LNS-ipsec-policy-isakmp-use1-10] security acl 3101 [LNS-ipsec-policy-isakmp-use1-10] quit 1 L2TP配置 步骤7接口上应用各自的安全策略组,使接口具有IPSec的保护功能 # 在LAC的接口上引用安全策略组。 [LAC] interface gigabitethernet 1/0/0 [LAC-GigabitEthernet1/0/0] ipsec policy map1 [LAC-GigabitEthernet1/0/0] quit # 在LNS的接口上引用安全策略组。 [LNS] interface gigabitethernet 1/0/0 [LNS-GigabitEthernet1/0/0] ipsec policy use1 [LNS-GigabitEthernet1/0/0] quit 步骤8检查配置结果 # 配置成功后,在主机PC1执行ping操作仍然可以ping通主机PC2,它们之间的数据传 输将被加密。执行display ipsec statistics esp命令可以查看数据包的统计信息。 # 在LAC上执行display ike sa命令可以查看当前由IKE建立的安全联盟。 [LAC] display ike sa Conn-ID Peer VPN Flag(s) Phase --------------------------------------------------------- 16 1.1.1.1 0 RD|ST 2 14 1.1.1.1 0 RD|ST 1 Flag Description: RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT # 在LAC或者LNS上执行display l2tp tunnel命令可看到L2TP隧道及会话建立,此处以 LAC为例: ----结束 配置文件 lLAC的配置文件 # sysname LAC # l2tp enable # acl number 3101 rule 5 permit ip source 1.1.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 # ipsec proposal tran1 esp authentication-algorithm sha2-256 esp encryption-algorithm aes-128 # ike proposal 5 encryption-algorithm aes-cbc-128 authentication-algorithm sha2-256 # ike peer spub v1 pre-shared-key cipher %^%#JvZxR2g8c;a9 ~ FPN ~ n'$7`DEV&=G(=Et02P/%*!%^%# ike-proposal 5 remote-address 1.1.1.1 # ipsec policy map1 10 isakmp security acl 3101 ike-peer spub 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 66 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行) proposal tran1 # interface Virtual-Template1 ppp chap user huawei ppp chap password cipher %@%@U>upTZ}mQM:rhRL:4;s$,(xf%@%@ ip address ppp-negotiate l2tp-auto-client enable # interface GigabitEthernet1/0/0 ip address 1.1.2.1 255.255.255.0 ipsec policy map1 # interface GigabitEthernet2/0/0 ip address 10.1.10.1 255.255.255.0 # l2tp-group 1 tunnel password cipher %@%@/-#)Lg[S4F:#2 ~ ZNvqa$]DL%@%@ tunnel name lac start l2tp ip 1.1.1.1 fullusername huawei # ip route-static 1.1.1.1 255.255.255.0 1.1.2.2 ip route-static 10.1.2.0 255.255.255.0 Virtual-Template1 # return 1 L2TP配置 lLNS的配置文件 # sysname LNS # l2tp enable # acl number 3101 rule 5 permit ip source 1.1.1.0 0.0.0.255 destination 1.1.2.0 0.0.0.255 # ipsec proposal tran1 esp authentication-algorithm sha2-256 esp encryption-algorithm aes-128 # ike proposal 5 encryption-algorithm aes-cbc-128 authentication-algorithm sha2-256 # ike peer spua v1 pre-shared-key cipher %^%#K{JG:rWVHPMnf;5|,GW(Luq'qi8BT4nOj%5W5=)%^%# ike-proposal 5 remote-address 1.1.2.1 # ipsec policy use1 10 isakmp security acl 3101 ike-peer spua proposal tran1 # ip pool 1 network 10.1.1.0 mask 255.255.255.0 gateway-list 10.1.1.1 # aaa local-user huawei service-type ppp # interface Virtual-Template1 ppp authentication-mode chap remote address pool 1 ip address 10.1.1.1 255.255.255.0 # interface GigabitEthernet1/0/0 ip address 1.1.1.1 255.255.255.0 ipsec policy use1 # 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 67 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行) interface GigabitEthernet2/0/0 ip address 10.1.2.1 255.255.255.0 # l2tp-group 1 allow l2tp virtual-template 1 remote lac tunnel password cipher %@%@EB ~ j7Je>;@>uNr''D=J<]WL%@%@ tunnel name lns # ip route-static 1.1.2.1 255.255.255.0 1.1.1.2 ip route-static 10.1.10.0 255.255.255.0 Virtual-Template1 # return 1 L2TP配置 1.7.7 配置LAC自拨号发起L2TP隧道连接示例(使用3G接口) 组网需求 如图1-25所示,企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配 备网关设备使用3G数据卡通过WCDMA网络接入Internet。 总部为分支用户提供VPDN接入服务,允许分支的任意用户接入,则LNS只对LAC进行 身份认证,此时可以通过LAC自拨号的方式,在LAC和LNS之间建立L2TP连接。 图1-25 配置LAC自拨号发起L2TP隧道连接组网图(使用3G接口) 3G Node B RouterA GE1/0/0 192.168.1.1/24 LAC PC LAN 192.168.1.2/24 L2TP Tunnel VT1 13.1.1.1/24 Server 企业总部 192.168.0.2/24 Cellular0/0/0 Internet RouterB GE2/0/0 12.1.1.1/24 LNS GE1/0/0 192.168.0.1/24 配置思路 配置LAC自拨号功能的思路如下: 1. 2. 3. 4. 配置LAC上的3G接口的拨号串,访问公网地址的路由。 在LAC上配置L2TP功能,PPP用户通过L2TP隧道向总部发出接入请求,总部认证 成功后建立隧道。 在LAC上配置访问公网的路由,路由出接口为3G接口,并使能LAC的自拨号功 能。 在LNS上配置L2TP功能及PPP用户,并配置访问公网的路由。 华为专有和保密信息 版权所有 © 华为技术有限公司 68 文档版本 06 (2016-09-15) Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行)1 L2TP配置 操作步骤 步骤1RouterA(LAC侧)的配置 本例中LAC侧与通道相连接的3G接口IP地址由3G网络运营商自动分配,LNS侧与通道 相连接的接口IP地址为12.1.1.1。 # 在Cellular0/0/0接口上配置拨号参数。 [Huawei] sysname RouterA [RouterA] dialer-rule [RouterA-dialer-rule] dialer-rule 1 ip permit [RouterA-dialer-rule] quit [RouterA] interface cellular 0/0/0 [RouterA-Cellular0/0/0] link-protocol ppp [RouterA-Cellular0/0/0] ip address ppp-negotiate [RouterA-Cellular0/0/0] dialer enable-circular [RouterA-Cellular0/0/0] dialer-group 1 [RouterA-Cellular0/0/0] dialer timer autodial 60 [RouterA-Cellular0/0/0] dialer number *99# autodial [RouterA-Cellular0/0/0] mode wcdma wcdma-precedence [RouterA-Cellular0/0/0] quit [RouterA] apn profile 3GNET [RouterA-apn-profile-3GNET] quit [RouterA] interface cellular 0/0/0 [RouterA-Cellular0/0/0] apn-profile 3GNET [RouterA-Cellular0/0/0] quit # 配置用户侧IP地址。 [RouterA] interface gigabitethernet 1/0/0 [RouterA-GigabitEthernet1/0/0] ip address 192.168.1.1 255.255.255.0 [RouterA-GigabitEthernet1/0/0] quit # 设置一个L2TP组并配置相关属性。 [RouterA] l2tp enable [RouterA] l2tp-group 1 [RouterA-l2tp1] tunnel name LAC [RouterA-l2tp1] start l2tp ip 12.1.1.1 fullusername huawei # 启用通道验证并设置通道验证密码。 [RouterA-l2tp1] tunnel authentication [RouterA-l2tp1] tunnel password cipher 123 [RouterA-l2tp1] quit # 配置虚拟PPP用户的用户名和密码,PPP认证方式以及IP地址。 [RouterA] interface virtual-template 1 [RouterA-Virtual-Template1] ppp chap user huawei [RouterA-Virtual-Template1] ppp chap password ciphe Huawei@1234 [RouterA-Virtual-Template1] ip address 13.1.1.2 255.255.255.0 [RouterA-Virtual-Template1] quit # 配置公网路由,访问公司总部的报文将通过3G接口转发。 [RouterA] ip route-static 0.0.0.0 0 Cellular0/0/0 # 触发LAC建立L2TP隧道。 [RouterA] interface virtual-template 1 [RouterA-virtual-template1] l2tp-auto-client enable [RouterA-virtual-template1] quit # 配置私网路由,使得企业分支用户与总部私网互通。 [RouterA] ip route-static 192.168.0.0 255.255.255.0 virtual-template 1 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 69 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行)1 L2TP配置 步骤2RouterB(LNS侧)的配置 # 与通道相连接的接口上配置IP地址。 [Huawei] sysname RouterB [RouterB] interface gigabitEthernet 2/0/0 [RouterB-GigabitEthernet2/0/0] ip address 12.1.1.1 255.255.255.0 [RouterB-GigabitEthernet2/0/0] quit # 配置私网IP地址。 [RouterB] interface GigabitEthernet 1/0/0 [RouterB-GigabitEthernet1/0/0] ip address 192.168.0.1 255.255.255.0 [RouterB-GigabitEthernet1/0/0] quit # 创建虚模板Virtual-Template并配置相关信息。 [RouterB] interface virtual-template 1 [RouterB-Virtual-Template1] ppp authentication-mode chap [RouterB-Virtual-Template1] ip address 13.1.1.1 255.255.255.0 [RouterB-Virtual-Template1] quit # 使能L2TP服务,并设置一个L2TP组。 [RouterB] l2tp enable [RouterB] l2tp-group 1 # 配置LNS侧本端名称及接收的通道对端名称。 [RouterB-l2tp1] tunnel name LNS [RouterB-l2tp1] allow l2tp virtual-template 1 remote LAC # 启用通道验证并设置通道验证密码。 [RouterB-l2tp1] tunnel authentication [RouterB-l2tp1] tunnel password cipher 123 [RouterB-l2tp1] quit # 设置用户名及口令分别为huawei和Huawei@1234(应与LAC侧的设置一致)。 [RouterB] aaa [RouterB-aaa] local-user huawei password Please configure the login password (8-128) It is recommended that the password consist of at least 2 types of characters, i ncluding lowercase letters, uppercase letters, numerals and special characters. Please enter password: Please confirm password: Info: Add a new user. Warning: The new user supports all access modes. The management user access mode s such as Telnet, SSH, FTP, HTTP, and Terminal have security risks. You are advi sed to configure the required access modes only. [RouterB-aaa] local-user huawei service-type ppp [RouterB-aaa] quit # 配置公网路由,假设访问公网的路由下一跳地址为12.1.1.2。 [RouterB] ip route-static 0.0.0.0 0 12.1.1.2 # 配置私网路由,使得企业总部与企业分支用户私网互通。 [RouterB] ip route-static 192.168.1.0 255.255.255.0 virtual-template 1 步骤3检查配置结果 # 配置成功后,分别在LAC和LNS上执行display l2tp tunnel命令可发现隧道建立成功, 以LAC侧的显示为例: [RouterA] display l2tp tunnel 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 70 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行) Total tunnel : 1 LocalTID RemoteTID RemoteAddress Port Sessions RemoteName 1 1 12.1.1.1 1701 1 LNS 1 L2TP配置 # 执行display l2tp session命令可看到会话连接建立情况,以LNS侧的显示为例: [RouterB] display l2tp session Total session : 1 LocalSID RemoteSID LocalTID 1 1 1 # 分支机构的PC可以访问公司总部服务器。 ----结束 配置文件 lRouterA的配置文件 # sysname RouterA # l2tp enable # interface Virtual-Template1 ppp chap user huawei ppp chap password cipher %^%#'&=6Q(|7-#|.]EB`mK$(h7[CY`2m}-YT)Q=Oh2 ~ 2%^%# ip address 13.1.1.2 255.255.255.0 l2tp-auto-client enable # interface Cellular0/0/0 link-protocol ppp ip address ppp-negotiate dialer enable-circular dialer-group 1 apn-profile 3GNET dialer timer autodial 60 dialer number *99# autodial # interface GigabitEthernet1/0/0 ip address 192.168.1.1 255.255.255.0 # l2tp-group 1 tunnel password cipher %@%@d'o6Xpp(i/i:WRC)`'0#3nJ*%@%@ tunnel name LAC start l2tp ip 12.1.1.1 fullusername huawei # dialer-rule dialer-rule 1 ip permit # apn profile 3GNET # ip route-static 0.0.0.0 0.0.0.0 Cellular0/0/0 ip route-static 192.168.0.0 255.255.255.0 Virtual-Template1 # return lRouterB的配置文件 # sysname RouterB # l2tp enable # aaa local-user huawei password cipher %#%#=_l!FR1dt!5=+,EbNt1VAr!4$QUwH local-user huawei privilege level 0 local-user huawei service-type ppp # 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 71 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行)1 L2TP配置 interface Virtual-Template1 ppp authentication-mode chap ip address 13.1.1.1 255.255.255.0 # interface GigabitEthernet1/0/0 ip address 192.168.0.1 255.255.255.0 # interface GigabitEthernet2/0/0 ip address 12.1.1.1 255.255.255.0 # l2tp-group 1 allow l2tp virtual-template 1 remote LAC tunnel password cipher %@%@5j*=S&AGXK'J}kG])REK]_-o%@%@ tunnel name LNS # ip route-static 0.0.0.0 0.0.0.0 12.1.1.2 ip route-static 192.168.1.0 255.255.255.0 Virtual-Template1 # return 1.8 常见配置错误 介绍L2TP配置中容易出现的错误。 1.8.1 用户登录失败 故障现象 在远程用户使用Windows XP自带的拨号软件发起L2TP连接,连接企业总部的LNS,拨 号失败。 处理步骤 在处理故障之前,请确认远程用户和LNS之间公网路由可达。 用户拨号失败,可能有以下原因造成: l l 用户拨号信息和LNS不一致。 可以在LNS上查看AAA视图下配置的用户信息。 LNS上的IP地址池配置错误。 IP地址池中未指定网关地址或者指定的网关地址错误。可以在LNS上的IP地址池中 使用命令gateway-list ip-address &<1-8>,将VT虚拟接口的IP地址指定为IP地址池 的网关地址。 l用户端和LNS上配置的隧道认证不一致。 可以在LNS上使用命令display l2tp-group [ group-number ],查看TunnelAuth字段 内容,是否启用了隧道认证功能。Windows XP不支持隧道认证功能,如果用户端 支持隧道认证,则还需要在L2TP组视图下查看隧道认证字是否和用户端一致。 lPPP协商参数不一致。 在LNS的VT接口视图下,确定配置的PPP认证方式是pap还是chap,使用命令 display l2tp-group [ group-number ]查看ForceChap字段内容,是否启用了强制 CHAP认证功能。如果启用强制CHAP认证,则VT接口视图下的认证方式需要为 chap,同时检查用户端的L2TP连接属性,确认允许的协议中是否勾选了设备支持 的PAP和CHAP。 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 72 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行)1 L2TP配置 图1-26 L2TP连接属性 1.8.2 建立L2TP连接后无法传输数据 故障现象 L2TP连接已经建立,但无法数据传输失败,远程用户无法ping通企业总部内的私网网 段。 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 73 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行)1 L2TP配置 处理步骤 数据传输失败,可能有以下原因造成: l l LNS上需要存在到达总部内的私网网段路由。 可以在LNS使用命令display ip routing-table,查看路由信息。 网络拥塞。 L2TP是基于UDP进行传输的,UDP不对报文进行差错控制。如果是在线路质量不 稳定的情况下进行L2TP应用,有可能会产生Ping不通对端的情况。 lLAC与远程用户协商之后的PPP报文格式无法被LNS识别。 一般情况下,LAC与远程用户进行PPP协商后,PPP报文格式可以被LNS识别。但 是,某些厂商的LAC设备与远程用户协商之后的PPP报文是压缩格式,如果LNS设 备无法识别这类报文,将造成远程用户无法ping通总部。此时可以在LNS使用命令 mandatory-lcp,使能LCP重协商功能,远程用户和LNS之间重新开始PPP协商,之 后发送的PPP报文就可以被LNS识别。 1.9 FAQ 介绍L2TP的相关FAQ。 1.9.1 设备从哪个版本开始能够支持L2TP穿越NAT 设备从V200R002C00SPC200版本开始支持该功能。 1.9.2 L2TP拨号要十几次才能成功,错误提示691 设备配置L2TP功能之后,用户接入时,需要拨号十几次才能成功,期间一直错误提示 691,出现该问题的原因是设备只支持16字节的challenge消息,其他不支持。当 challenge消息不为16字节时,chap认证不通过,给用户发送的提示为691(用户名或者 密码错误)。配置L2TP重协商功能,使得LNS和客户端自行协商challenge消息为16字 节,即可顺利拨号。 1.9.3 如何快速定位L2TP中LAC无法与LNS建立隧道的原因 配置L2TP功能时,如果遇到LAC无法与LNS建立隧道,可以采用如下操作快速定位故 障原因。 1. 2. 检查LAC上通过start l2tp命令指定的LNS地址是否路由可达。如果不可达,请配 置路由。 检查LNS上的L2TP配置,删除allow l2tp命令指定的remote参数。如果发现L2TP隧 道建立成功,则故障原因为LAC的隧道名称错误或者LNS指定的隧道名称错误。 请选择以下解决方法之一: – – 在LAC上通过命令tunnel name配置隧道本端的名称,使之与LNS的allow l2tp 命令指定的remote参数保持一致。 在LNS上通过命令allow l2tp修改remote参数,使之与LAC的配置的隧道名称 一致。如果LAC上没有通过命令tunnel name配置隧道本端的名称,则remote 参数取值为LAC的设备名称。 1.9.4 设备作为LNS信任LAC时,如何不对远程用户进行二次认证 LAC对接入用户认证,认证通过后,将认证信息发送给LNS,LNS根据认证信息判断用 户是否合法。 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 74 Huawei AR120&AR150&AR160&AR200&AR500&AR510&AR1 200&AR2200&AR3200&AR3600 系列企业路由器 配置指南-VPN配置(通过命令行)1 L2TP配置 如果LNS信任LAC,不需要对远程用户二次认证,则可以在LNS侧的认证方案视图下, 执行authentication-mode none命令配置认证模式为不进行认证,即直接让远程用户通 过认证。 1.10 参考信息 介绍L2TP的参考标准和协议。 本特性的参考资料清单如下: 文档编号 RFC 2661 描述 Layer Two Tunneling Protocol (L2TP) 文档版本 06 (2016-09-15)华为专有和保密信息 版权所有 © 华为技术有限公司 75
发布评论