l2tp协议配置.ppt-道客多多_道客多多docduoduo.com

资源描述

1、L2TP协议配置,L2TP协议概述L2TP连接的维护以及PPP数据的传送都是通过L2TP消息的交换来完成的。这些消息通过UDP的1701端口承载于TCP/IP之上，L2TP消息可以分为两种类型，一种是控制消息，另一种是数据消息。PPP协议定义了一种封装技术，可以在二层点到点链路上传输多种协议数据包，这时，用户与NAS之间运行PPP，二层链路端点与PPP会话点在相同硬件设备上。L2TP协议提供了对PPP链路层数据包的隧道（Tunnel）传输支持，允许二层链路端点和PPP会话点驻留在不同设备上，并采用包交换技术进行信息交互，从而扩展了PPP模型。L2TP协议结合了L2F协议和PPTP协议的优点，成

2、为IETF有关二层隧道协议的工业标准。,AR2200支持的L2TP协议特性AR2200中支持的L2TP特性支持三种典型的L2TP隧道模式。,三种典型的L2TP隧道模式远端系统或LAC客户端（运行L2TP协议的主机）与LNS之间的隧道模式如图1所示：图1 三种典型的L2TP隧道模式示意图,有三种方式可以建立连接：NAS-Initialized：由远程拨号用户发起，远程系统通过PSTN/ISDN拨入LAC，由LAC通过Internet向LNS发起建立隧道连接请求。拨号用户地址由LNS分配；对远程拨号用户的验证与计费既可由LAC侧的代理完成，也可在LNS完成。Client-Initialized：直

3、接由LAC客户（指可在本地支持L2TP协议的用户）发起。此时LAC客户可直接向LNS发起隧道连接请求，无需再经过一个单独的LAC设备。此时，LAC客户地址的分配由LNS来完成。LAC-Auto-Initiated：通常情况下，L2TP的客户端是拨号连接到LAC的用户主机。此时用户与LAC的连接总是PPP连接。如果使用LAC同时作为客户端，用户与LAC之间的连接就不受限于PPP连接。用户可以直接通过IP连接，LAC也能够将用户的IP报文转发到LNS。使用LAC同时作为客户端，需要在LAC上建立一个虚拟的PPP用户，同时创建一个与之对应的虚拟PPP Server，该虚拟用户首先和虚拟Server进

4、行PPP协商，虚拟Server再通过建立L2TP隧道将PPP协商延续至LNS。AR2200支持同时作为LAC及LNS，并支持同时有多路用户呼入；只要内存及线路不受限制，L2TP可以同时接收和发起多个呼叫。,配置L2TP基本能力在L2TP的各项配置中，只有配置了L2TP的基本能力，才可进行其它L2TP相关功能特性的配置。,建立配置任务在配置L2TP基本能力前了解此特性的应用环境、配置此特性的前置任务和数据准备，可以帮助您快速、准确地完成配置任务。应用环境在L2TP的各项配置中，必须先启动L2TP、创建L2TP组，然后再进行其它功能特性的配置。根据路由器是作为LAC侧还是作为LNS侧，在一些具体的

5、配置选择上也有所不同。L2TP组是L2TP配置中的一个重要概念，创建L2TP组后，不仅可以在路由器上灵活地配置L2TP各项功能，而且能够方便地实现LAC和LNS之间一对一、一对多的组网应用。前置任务无数据准备在配置L2TP基本能力之前，需准备以下数据。1、L2TP组的组号2、LAC侧和LNS侧的隧道名,配置L2TP基本能力在L2TP的各项配置中，必须先启动L2TP、创建L2TP组，然后再进行其它功能特性的配置。根据设备是作为LAC侧还是作为LNS侧，在一些具体的配置选择上也有所不同。背景信息L2TP组在LAC和LNS上独立编号，只需要保证LAC和LNS之间关联的L2TP组的相关配置保持对应关系

6、即可，如接收的通道对端名称、发起L2TP连接请求及LNS地址等。创建L2TP组后，就可以在L2TP组视图下进行和该L2TP组相关的其它配置了，如本端名称、发起L2TP连接请求及LNS地址。在LAC侧和LNS侧进行如下配置。,操作步骤执行命令system-view，进入系统视图。执行命令l2tp enable，使能L2TP。只有使能L2TP后，L2TP功能才能使用；如果禁止L2TP，则即便配置了L2TP的参数，路由器也不会提供相关功能。缺省情况下，L2TP功能是被禁止的，也没有任何L2TP组。执行命令l2tp-group group-number，创建L2TP组，并进入L2TP组视图。组号

7、为1表示缺省的L2TP组。为了接收这种不知名对端发起的通道请求连接，或者用于测试目的，可以设置一个缺省的L2TP组。执行命令tunnel name tunnel-name，设置本端隧道名称。用户可在LAC侧或LNS侧配置本端隧道名称。缺省情况下，本端隧道名称为路由器的主机名。说明： LAC侧隧道名称要与LNS侧配置的接收隧道对端名称保持一致。,配置LAC侧通过配置LAC侧，设备可以鉴定用户是否为接入用户并向LNS发起连接。,建立配置任务在配LAC侧前了解此特性的应用环境、配置此特性的前置任务和数据准备，可以帮助您快速、准确地完成配置任务。应用环境路由器不会主动与其它设备或LNS服务器建立L

8、2TP隧道，需要满足一定的条件后才会发出建立L2TP连接的请求。通过配置对接入用户信息的判别条件，并指定相应的LNS端的IP地址，路由器可以鉴定用户是否为接入用户并向LNS发起连接。发起L2TP连接请求的触发条件有两种：完整的用户名（full-user-name）、带特定域名的用户（domain）。必须配置一种触发条件，方可发出L2TP连接的请求。LAC端在发起隧道建立请求时，需要将本端隧道的源地址发给LNS，用于LAC与LNS的通信。前置任务在配置LAC侧之前，需完成以下任务：配置L2TP基本能力。,数据准备在配置LAC侧之前，需准备以下数据。序号数据1L2TP组的组号2LNS的IP地址3作

9、为L2TP连接触发条件的用户全名或域名4发起隧道建立请求时使用的接口类型和编号5用于认证的用户名和密码6如果使用RADIUS认证，需准备认证方案名称、RADIUS模板名称、RADIUS服务器IP地址和端口、密钥、重传次数,配置LAC侧的L2TP连接LAC在收到LAC客户端发起的呼叫后，LAC按照配置的LNS的先后顺序向各LNS发送建立L2TP隧道的连接请求，当得到LNS的接收应答后，该LNS就作为隧道的对端；否则LAC向下一个LNS发起隧道连接请求。背景信息在路由器上进行如下配置。操作步骤执行命令system-view，进入系统视图。执行命令l2tp-group group-number，进

10、入L2TP组视图。指定本端作为L2TP LAC端时发起呼叫的触发条件，选择如下方法之一：如果用户使用域名接入，执行命令start l2tp ip ip-address domain domain-name，指定触发条件为域名。如果用户使用全名接入，执行命令start l2tp ip ip-address fullusername user-name，指定触发条件为用户全名。,（可选）配置LAC自拨号功能路由器发起VPDN拨号，路由器既作为PPP客户端，同时又实现LAC的功能。背景信息很多企业分支、总部间希望能够构建VPN网络，但向网络运营商申请的VPN网络存在较高的费用。通过VPDN技术，

11、企业可以自己构建VPN网络，运营商只需要提供基础的Internet接入功能即可，这样可减少企业的费用。路由器自己拨号建立VPDN网络，分支路由器既做PPP Client，又做LAC。在路由器上进行如下配置。,操作步骤执行命令system-view，进入系统视图。执行命令interface virtual-template vt-number，创建并进入虚拟接口模板。配置虚拟接口的IP地址，可以通过三种方式配置，可任意选择其中一种方式进行配置：执行命令ip address ip-address mask | mask-length ，直接配置接口的IP地址。执行命令ip address

12、 ppp-negotiate，通过接受PPP协商产生的由对端分配的IP地址。执行命令ip address unnumbered interface interface-type interface-number，配置接口借用其他接口的IP地址。,配置本地设备被对端设备验证的用户名及密码，选择如下方法之一：配置采用PAP方式验证时发送的用户名和口令：ppp pap local-user username password cipher | simple password 配置采用CHAP方式验证时发送的用户名和口令：执行命令ppp chap user username，配置CHAP认证的用

13、户名。执行命令ppp chap password cipher | simple password，配置CHAP认证的密码。在配置用户名和口令时，要和对端的设置的用户名和口令一致。缺省情况下，被对端以PAP方式验证时，本地设备发送的用户名和口令均为空。执行命令l2tp-auto-client enable，使能LAC自拨号功能。执行命令quit，退回系统视图。执行命令ip route-static ip-address mask | mask-length virtual-template vt-number,配置静态路由。需要在LAC上配置路由，目的地址段是总部，出接口是虚拟PPP用

14、户接口，这样报文会才会发给PPP接口，并通过已经建立的L2TP隧道发送给LNS。,（可选）配置LAC侧使用本地认证LAC对用户提供的认证信息进行本地认证。LAC上需要包含该用户名和对应的密码，选用密文还是用明文口令，需要看用户的需求，选用密文的安全度更高。背景信息说明：关于认证，授权和计费的详细信息，请参见Huawei AR2200系列企业路由器配置指南 - 安全.在路由器上进行如下配置。操作步骤执行命令system-view，进入系统视图。执行命令aaa，进入AAA视图。设置用户名及密码，执行命令local-user user-name password cipher passwo

15、rd。 LAC检查远程拨入用户名与口令是否与本地注册用户名与口令相符，以确认用户是否合法。LAC侧验证通过后才能发起建立隧道连接的请求。缺省情况下，LAC侧未配置本地用户名和口令。缺省的认证方法是本地认证，LAC侧必须配置本地认证的用户名和密码。,（可选）配置LAC侧使用RADIUS认证LAC将户提供的认证信息（用户名、密码）发送给RADIUS服务器进行认证。RADIUS协议的主要目的是为了大量的分散用户进行集中管理，对用户进行认证，分配权限以及进行计费。操作步骤创建AAA认证和计费方案在路由器上进行如下配置。执行命令system-view，进入系统视图。执行命令aaa，进入AAA视图。

16、执行命令authentication-scheme authentication-scheme-name，创建一个认证方案，并进入认证方案视图。执行命令authentication-mode radius，指定认证模式为RADIUS认证。执行命令quit，退回AAA视图。执行命令accounting-scheme accounting-scheme-name，创建一个计费方案，并进入计费方案视图。执行命令accounting-mode radius，配置使用RADIUS服务器计费。,配置RADIUS模板及其参数。在路由器上进行如下配置。执行命令system-view，进入系统视图。

17、执行命令radius-server template template-name，创建一个RADIUS服务器模板。执行命令radius-server authentication ip-address port，配置RADIUS认证服务器IP地址和端口。执行命令radius-server accounting ip-address port，配置RADIUS计费服务器IP地址和端口。执行命令radius-server shared-key cipher | simple key-string，配置RADIUS服务器密钥。执行命令radius-server retransmit retr

18、y-times，配置RADIUS服务器重传次数。配置域，应用RADIUS模板及认证和计费方案在路由器上进行如下配置。执行命令system-view，进入系统视图。执行命令aaa，进入AAA视图。执行命令domain domain-name，创建域，并进入域视图。执行命令radius-server template-name，应用RADIUS模板。执行命令authentication-scheme authentication-scheme-name，应用认证方案。执行命令accounting-scheme accounting-scheme-name，应用计费方案。说明：在R

19、ADIUS服务器上需要设置用户名和口令（与用户端的一致），并设置NAS侧设备接入RADIUS的IP地址、共享密钥、认证（和计费）的端口号。,检查配置结果LAC侧配置成功后，您可以查看到L2TP的通道信息和L2TP的会话信息。前提条件已经完成LAC侧功能的所有配置。操作步骤使用display l2tp tunnel命令查看当前的L2TP通道的信息。使用display l2tp session命令查看当前的L2TP会话的信息。使用display l2tp-group group-number 命令查看指定L2TP组的配置信息。,任务示例在LAC侧和LNS侧都配置成功且连接保持时，在LAC侧执行

20、命令display l2tp tunnel，可以看到L2TP控制连接建立成功。例如： display l2tp tunnel Total tunnel = 1 LocalTID RemoteTID RemoteAddress Port Sessions RemoteName 1 1 202.38.160.1 57344 1 LAC 执行display l2tp session命令，可查看L2TP会话连接已建立。例如： display l2tp session Total session = 1 LocalSID RemoteSID LocalTID 2036 1469 1 执行display

21、l2tp-group group-number 命令，可查看指定L2TP组的配置信息。, display l2tp-group 1 L2tp-index : 1 GroupType : REQUEST_DIALIN_L2TP TunnelAuth : Use tunnel authentication LocalName : lac1 Encrypt : 0 Hello : 60 Retransmit : 5 Timeout : 2 IfIndex : 4294967295 SrcIp : 255.255.255.255 VtNum : 0 RemoteName : ForceChap : 0

22、 LcpReg : 0 LcpMismatch : 0 tunnel each user : 0,配置L2TP连接参数创建L2TP连接后，可以对L2TP的相关参数进行配置或调整。,建立配置任务在调整L2TP连接前了解此特性的应用环境、配置此特性的前置任务和数据准备，可以帮助您快速、准确地完成配置任务。应用环境本节介绍的配置任务都是L2TP的公共配置，可以在LAC或LNS上应用：隧道验证：隧道验证请求可由LAC或LNS任何一侧发起。只有两端都启用了隧道验证，两端密码完全一致并且不为空的情况下，隧道才能建立；否则本端将自动断开隧道连接。如果隧道两端都禁止隧道验证，隧道验证的密码一致与否将不起作用。

23、AVP隐藏传输：L2TP协议使用AVP（Attribute Value Pair，属性值对）来传递和协商L2TP的参数属性。为了保证安全，可以将AVP隐藏起来传输。Hello报文发送：为了检测LAC和LNS之间通道的连通性，LAC和LNS定期向对端发送Hello报文，接收方接收到Hello报文后进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时，重复发送，如果重复发送超过3次仍没有收到对端的响应信息，则认为L2TP隧道已经断开，需要在LAC和LNS之间重新建立隧道连接。说明：本节介绍的都是可选配置，多数应用中保持缺省设置即可。,配置L2TP连接的安全选项为了增强L2

24、TP连接的安全性，可以配置隧道两端都需要对对方进行验证、配置在创建隧道连接之前启用隧道验证以及配置将AVP数据配置成为隐藏传输。背景信息在LNS侧或LAC侧进行如下配置。,操作步骤执行命令system-view，进入系统视图。执行命令l2tp-group group-number，进入L2TP组视图。执行命令tunnel authentication，启用隧道验证。缺省情况下，启用隧道验证。用户可根据实际需要决定是否在创建隧道连接之前启用隧道验证。为保证通道安全，建议不要禁用隧道验证。说明：如果在LAC侧或LNS侧启用了隧道验证，则对端也需要进行同样的配置。,设置隧道验证的密码，选择

25、如下方案之一：如果要使密码以不加密的形式显示，执行命令tunnel password simple password。如果要使密码以加密的形式显示，执行命令tunnel password cipher password。缺省情况下，隧道验证的密码为空。执行命令tunnel avp-hidden，将AVP数据以隐含的方式传输。缺省情况下，AVP采用明文形式传输。隐含AVP功能只有在两端都使用隧道验证的情况下才起作用。,调整L2TP连接创建L2TP连接后，可以对L2TP的通道Hello报文发送时间间隔进行配置或调整。背景信息在LAS或LNS侧进行如下配置。操作步骤执行命令system-view

26、，进入系统视图。执行命令l2tp-group group-number，进入L2TP组视图。执行命令tunnel timer hello interval，设置通道Hello报文发送时间间隔。通道Hello报文的缺省发送时间间隔为60秒。,维护L2TP如何强制挂断通道、监控L2TP协议运行状况。强制挂断通道当用户数为零、网络发生故障或需要主动要求挂断通道时，可以执行reset l2tp tunnel命令来强制断开指定的隧道（Tunnel）连接和隧道内的会话连接。操作步骤在用户视图下执行命令reset l2tp tunnel peer-name remote-name | local-id

27、 tunnel-id ，强制挂断通道。指定删除的隧道名称时，将删除所有此名字的隧道；指定tunnel-id参数时，只删除指定的隧道。当用户数为零、网络发生故障或当管理员主动要求挂断通道时，就会产生隧道清除过程。LAC和LNS任何一端也可主动发起隧道清除请求，接收到清除请求的一端发送确认信息（ACK），并等待一定时间再进行隧道清除操作，以确保ACK消息丢失后能够正确接收到对端重传过来的清除请求。强制挂断通道后，该通道上的所有控制连接与会话连接也将被清除。通道挂断后，当有新用户拨入时，还可重新建立。,监控L2TP协议运行状况在日常维护工作中，执行与L2TP相关的display命令，了解L2TP协

28、议的运行情况。背景信息在日常维护工作中，可以在任意视图下选择执行以下命令，了解L2TP协议的运行情况。操作步骤使用display l2tp session命令查看当前的L2TP会话的信息。使用display l2tp tunnel命令查看当前的L2TP通道的信息。使用display access-user命令查看当前在线用户的信息。使用display l2tp-group命令查看当前L2TP组的信息。,调试L2TP在出现L2TP运行故障时，执行debugging命令进行调试，查看调试信息，定位故障并分析故障的原因。背景信息注意：打开调试开关将影响系统的性能。调试完毕后，应及时执行un

29、do debugging all命令关闭调试开关。在出现L2TP运行故障时，请在用户视图下执行下面的debugging命令进行调试，查看调试信息，定位故障并分析故障的原因。打开调试信息开关的操作步骤请参考配置指南系统管理中的“信息中心配置”。有关debugging命令的解释请参考 Debugging参考。,操作步骤在用户视图下执行debugging l2tp all命令打开所有的L2TP调试信息开关。在用户视图下执行debugging l2tp control命令打开控制报文调试开关。在用户视图下执行debugging l2tp dump命令打开PPP报文内容的调试开关。在用户视图下执

30、行debugging l2tp error命令打开L2TP差错信息的调试开关。在用户视图下执行debugging l2tp event命令打开L2TP的事件调试信息开关。在用户视图下执行用debugging l2tp hidden命令打开隐藏AVP的调试信息开关。在用户视图下执行debugging l2tp payload命令打开L2TP数据报文调试开关。在用户视图下执行debugging l2tp timestamp命令打开L2TP时间戳信息调试开关。,配置举例配置NAS-Initialized VPN示例（用户域名接入）以典型组网为背景，介绍如何配置NAS-Initialized

31、VPN示例，用户使用域名接入，在LAC侧和LNS侧均使用本地认证方式认证用户名和密码。组网需求如图1，PC1通过调制解调器Modem与PSTN网络相连，再连接到接入服务器LAC（本例的LAC使用路由器RouterA）。PC2通过隧道Tunnel与RouterA相连。LAC与LNS之间是广域网，LAC与LNS通讯通过隧道传输。用户使用域名接入，在LAC侧和LNS侧均使用本地认证方式认证用户名和密码。说明：配置与友商设备互通时，请根据实际情况确定是否需要配置翻转同步方式下Serial接口的时钟信号。,图1 配置NAS-Initialized VPN组网图,配置思路配置NAS-Initializ

32、ed VPN的思路如下：用户需要与总部进行通讯，而总部网络的地址采用的是私有地址，用户无法通过Internet直接访问内部服务器。因此，需要建立VPN，使用户可以访问内部网络的数据。用户接入时使用域名，LNS侧需要在域下配置为用户分配地址的地址池。数据准备为完成此配置例，需准备如下的数据：用户侧与LAC侧路由器的用户名、域名及口令。用户侧与LAC侧的用户名、域名及口令（需设置成相同值）LNS侧采用的协议，选择通道验证方式（这里用CHAP验证）、通道的密码；LNS侧本端名称及远端名称虚拟接口模板编号、IP地址、掩码L2TP组编号远端地址池编号、范围及掩码,操作步骤用户侧的配置创建一个拨号网络，

33、号码为Huawei1路由器的接入号码，接收由LNS服务器端分配的地址。在弹出的拨号终端窗口中输入用户名，口令为Hello（此用户名与口令已在公司LNS中注册）。路由器RouterA（LAC侧）的配置（本例中LAC侧与通道相连接的接口（Serial1/0/0）的IP地址为202.38.160.1，LNS侧与通道相连接的串口（Serial1/0/0）的IP地址为202.38.160.2）。# 在Serial1/0/0接口上配置IP地址。 system-viewHuawei sysname RouterARouterA interface serial 1/0/0RouterA-Serial1/0

34、/0 link-protocol ppp RouterA-Serial1/0/0 ip address 202.38.160.1 255.255.255.0RouterA-Serial1/0/0 quit,# 设置一个L2TP组并配置相关属性。RouterA l2tp enableRouterA l2tp-group 1RouterA-l2tp1 tunnel name LACRouterA-l2tp1 start l2tp ip 202.38.160.2 domain # 启用通道验证并设置通道验证密码。RouterA-l2tp1 tunnel authenticationRouterA-

35、l2tp1 tunnel password simple quidwayRouterA-l2tp1 quit # 设置用户名及口令（应与用户侧的设置一致）。RouterA aaaRouterA-aaa local-user password cipher HelloRouterA-aaa local-user service-type ppp # 配置用户接入时的域RouterA-aaa domain ,路由器RouterB（LNS侧）的配置 # 与通道相连接的接口上配置IP地址。 system-viewHuawei sysname RouterBRouterB interface ser

36、ial 1/0/0RouterB-Serial1/0/0 link-protocol ppp RouterB-Serial1/0/0 ip address 202.38.160.2 255.255.255.0RouterB-Serial1/0/0 quit # 创建虚模板Virtual-Template并配置相关信息。RouterB interface virtual-template 1RouterB-Virtual-Template1 ip address 192.168.0.1 255.255.255.0RouterB-Virtual-Template1 ppp authenticati

37、on-mode chapRouterB-Virtual-Template1 quit # 使能L2TP服务，并设置一个L2TP组。RouterB l2tp enableRouterB l2tp-group 1 # 配置LNS侧本端名称及接收的通道对端名称。,RouterB-l2tp1 tunnel name LNSRouterB-l2tp1 allow l2tp virtual-template 1 remote LAC # 启用通道验证并设置通道验证密码。RouterB-l2tp1 tunnel authenticationRouterB-l2tp1 tunnel password simp

38、le quidway # 强制进行本端CHAP验证。RouterB-l2tp1 mandatory-chapRouterB-l2tp1 quit # 设置用户名及口令（应与LAC侧的设置一致）。RouterB aaaRouterB-aaa local-user password HelloRouterB-aaa local-user service-type ppp # 配置用户接入时的域RouterB-aaa domain RouterB-aaa-domain- quitRouterB-aaa quit # 配置给用户分配的地址池。RouterB ip pool 1RouterB-ip-

39、pool-1network 192.168.0.0 mask 24,检查配置结果 # 配置成功后，当有VPN用户上线时，分别在LAC和LNS上执行display l2tp tunnel命令可发现隧道建立成功。以LAC侧的显示为例：RouterB display l2tp tunnel Total tunnel = 1 LocalTID RemoteTID RemoteAddress Port Sessions RemoteName 1 1 202.38.160.1 57344 1 LAC # 执行display l2tp session命令可看到会话连接建立情况。以LNS侧的显示为例：Rout

40、erB display l2tp session Total session = 1 LocalSID RemoteSID LocalTID 2036 1469 1 # 同时VPN用户可以访问公司总部。配置文件RouterA的配置文件# sysname RouterA # l2tp enable # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin domain local-user pass

41、word cipher %$%$Y3qm;#zi:PmLuQNq&Rof%$%$ local-user service-type ppp,interface Serial1/0/0 link-protocol ppp ip address 202.38.160.1 255.255.255.0 # l2tp-group 1 tunnel password simple quidway tunnel name LAC start l2tp ip 202.38.160.2 domain # return RouterB的配置文件# sysname RouterB # ip pool 1 netw

42、ork 192.168.0.0 mask 255.255.255.0 # aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain local-user password cipher %$%$ozpl*6NO._kDHbF;RaXO%$%$ local-user service-type ppp # interface Virtual-Template1 ppp authentication-mode chap ip add

43、ress 192.168.0.1 255.255.255.0 # interface Serial1/0/0 link-protocol ppp ip address 202.38.160.2 255.255.255.0 # l2tp-group 1 mandatory-chap allow l2tp virtual-template 1 remote LAC tunnel password simple quidway tunnel name LNS # return,操作步骤执行命令system-view，进入系统视图。执行命令l2tp-group group-number，进入L2TP

44、组视图。执行命令tunnel authentication，启用隧道验证。缺省情况下，启用隧道验证。用户可根据实际需要决定是否在创建隧道连接之前启用隧道验证。为保证通道安全，建议不要禁用隧道验证。说明：,设置隧道验证的密码，选择如下方案之一：如果要使密码以不加密的形式显示，执行命令tunnel password simple password。如果要使密码以加密的形式显示，执行命令tunnel password cipher password。缺省情况下，隧道验证的密码为空。执行命令tunnel avp-hidden，将AVP数据以隐含的方式传输。缺省情况下，AVP采用明文形式传输。

45、隐含AVP功能只有在两端都使用隧道验证的情况下才起作用,调整L2TP连接创建L2TP连接后，可以对L2TP的通道Hello报文发送时间间隔进行配置或调整。背景信息在LAS或LNS侧进行如下配置。操作步骤执行命令system-view，进入系统视图。执行命令l2tp-group group-number，进入L2TP组视图。执行命令tunnel timer hello interval，设置通道Hello报文发送时间间隔。通道Hello报文的缺省发送时间间隔为60秒。,维护L2TP如何强制挂断通道、监控L2TP协议运行状况。,强制挂断通道当用户数为零、网络发生故障或需要主动要求挂断通道时，

46、可以执行reset l2tp tunnel命令来强制断开指定的隧道（Tunnel）连接和隧道内的会话连接。操作步骤在用户视图下执行命令reset l2tp tunnel peer-name remote-name | local-id tunnel-id ，强制挂断通道。指定删除的隧道名称时，将删除所有此名字的隧道；指定tunnel-id参数时，只删除指定的隧道。当用户数为零、网络发生故障或当管理员主动要求挂断通道时，就会产生隧道清除过程。LAC和LNS任何一端也可主动发起隧道清除请求，接收到清除请求的一端发送确认信息（ACK），并等待一定时间再进行隧道清除操作，以确保ACK消息丢失后能够正

47、确接收到对端重传过来的清除请求。强制挂断通道后，该通道上的所有控制连接与会话连接也将被清除。通道挂断后，当有新用户拨入时，还可重新建立。,监控L2TP协议运行状况在日常维护工作中，执行与L2TP相关的display命令，了解L2TP协议的运行情况。背景信息在日常维护工作中，可以在任意视图下选择执行以下命令，了解L2TP协议的运行情况。,操作步骤使用display l2tp session命令查看当前的L2TP会话的信息。使用display l2tp tunnel命令查看当前的L2TP通道的信息。使用display access-user命令查看当前在线用户的信息。使用display l2tp-group命令查看当前L2TP组的信息。,调试L2TP在出现L2TP运行故障时，执行debugging命令进行调试，查看调试信息，定位故障并分析故障的原因。背景信息注意：打开调试开关将影响系统的性能。调试完毕后，应及时执行undo debugging all命令关闭调试开关。在出现L2TP运行故障时，请在用户视图下执行下面的debugging命令进行调试，查看调试信息，定位故障并分析故障的原因。打开调试信息开关的操作步骤请参考配置指南系统管理中的“信息中心配置”。有关debugging命令的解释请参考 Debugging参考。,

展开阅读全文