30.1 L2TP概述
PPP 定義了一種通過二層(L2)點(diǎn)對點(diǎn)連接傳輸多種協(xié)議報(bào)文的封裝機(jī)制。典型情況下,一個用戶通過某種接入技術(shù)(如 ISDN,ADSL 撥號等)獲得一個到網(wǎng)絡(luò)接入服務(wù)器(NAS)的二層連接,并在該連接上進(jìn)行 PPP 會話。在這樣的配置中,二層終節(jié)點(diǎn)和 PPP 會話的終節(jié)點(diǎn)位于同樣的物理設(shè)備上(也就是說,NAS)。
L2TP(Layer Two Tunneling Protocol)是一種二層隧道協(xié)議,它擴(kuò)展了 PPP的模型,通過二層隧道將 PPP 會話的終點(diǎn)延伸到另一個通過分組交換網(wǎng)互連的不同設(shè)備上,而不是二層接入的終節(jié)點(diǎn)。從而將 PPP 會話從二層終結(jié)的限制中解脫出來,擴(kuò)大了 PPP 的應(yīng)用范圍。
L2TP 包括 LAC 和 LNS 兩種功能:
- ?LAC(L2TP Access Concentrator):L2TP 訪問集中器。是 L2TP 隧道的一個端點(diǎn),是 L2TP 網(wǎng)絡(luò)服務(wù)器(LNS)的對等體(PEER)。LAC負(fù)責(zé)在一個 LNS 和一個遠(yuǎn)地系統(tǒng)之間轉(zhuǎn)發(fā) PPP 報(bào)文,并維護(hù) LAC 和LNS 之間的隧道(TUNNEL)和會話(SESSION)連接。
- LNS(L2TP Network Server):L2TP 網(wǎng)絡(luò)服務(wù)器。是 L2TP 隧道的一個端點(diǎn),是 LAC 的對等體。負(fù)責(zé)維護(hù)與遠(yuǎn)地系統(tǒng)之間的 PPP 連接,為遠(yuǎn)地系統(tǒng)提供對內(nèi)部網(wǎng)的訪問服務(wù)。
L2TP 隧道給遠(yuǎn)程撥號用戶提供了連接到 VPN 網(wǎng)關(guān)的解決方案,撥號 VPN又稱為 VPDN(Virtual Private Dial Network)。在這種應(yīng)用中,由 VPN 網(wǎng)關(guān)提供 LNS 功能,如果撥號用戶本身支持 L2TP,則可以采用自愿隧道模式直接連接到 LNS;如果撥號用戶本身不支持 L2TP,則可以通過當(dāng)?shù)?ISP 提供的 LAC 功能采用強(qiáng)制隧道模式連接到 LNS。這兩種連接方式的拓?fù)浣Y(jié)構(gòu)如下所示:
L2TP 客戶端直接接入 LNS
撥號用戶通過 LAC 遠(yuǎn)程接入 LNS
在一個 LNS 和 LAC 對之間存在著兩種類型的連接,一種是隧道(tunnel)連接,它定義了一個 LNS 和 LAC 對;另一種是會話(session)連接,它復(fù)用在隧道連接之上,用于表示承載在隧道連接中的每個 PPP 會話過程。
隧道透傳 PPP 幀
?
L2TP 連接的維護(hù)以及 PPP 數(shù)據(jù)的傳送都是通過 L2TP 報(bào)文的交換來完成的,這些報(bào)文封裝在 UDP 報(bào)文里,從而在承載在 TCP/IP 上。
L2TP 報(bào)文可以分為兩種類型,一種是控制報(bào)文,另一種是數(shù)據(jù)報(bào)文。控制報(bào)文用于隧道連接和會話連接的建立與維護(hù)。控制報(bào)文的傳輸是可靠的,使用了報(bào)文編號確認(rèn),滑動窗口,超時重傳,隧道保活檢測等機(jī)制保證控制報(bào)文的傳輸。數(shù)據(jù)報(bào)文則用于承載用戶的 PPP 會話數(shù)據(jù)包。數(shù)據(jù)報(bào)文本身不保證可靠傳輸,應(yīng)該根據(jù)上層應(yīng)用由上層協(xié)議保證數(shù)據(jù)報(bào)文的可靠投遞。
30.2 配置L2TP
下一代安全防護(hù)平臺設(shè)備出廠默認(rèn)是沒有 L2TP 配置的,配置 L2TP,需要進(jìn)行地址池,認(rèn)證用戶組等配置。
30.2.1 配置認(rèn)證用戶
認(rèn)證用戶是在客戶端進(jìn)行撥號時進(jìn)行認(rèn)證使用的,包括用戶名,密碼的配置。
配置認(rèn)證用戶:進(jìn)入對象>用戶對象>用戶,點(diǎn)擊新建
參數(shù)說明:
用戶名:賬號的名稱,長度,限制為63個字符。
啟用:選中表示啟用此賬號。
類型:配置用戶類型是否是認(rèn)證用戶。
認(rèn)證用戶:認(rèn)證用戶的類型。
密碼:此賬號的密碼,如果使用RADIUS認(rèn)證。則不用配置密碼。
確認(rèn)密碼:確認(rèn)賬號密碼。
配置步驟:
- 在用戶名一欄填寫賬號的名稱。
- 點(diǎn)擊啟用
- 類型選擇認(rèn)證用戶
- 如果不用RADIUS認(rèn)證,則輸入密碼,并確認(rèn)一遍。
- 如果通過RADIUS認(rèn)證,則選擇一個配置好的RADIUS配置。
- 點(diǎn)擊提交。
?
30.2.2 配置用戶組
L2TP模板配置時必須需要一個用戶組,客戶端的撥號賬號必須是用戶組里包含的賬號。
配置用戶組:進(jìn)入對象>用戶對象>用戶組,點(diǎn)擊新建
名稱:用戶組的名稱
用戶成員:要加入用戶組的認(rèn)證用戶。
配置步驟:
- 配置用戶組名稱。
- 選取可選成員中的帳號,點(diǎn)擊
加入到組中。 - 點(diǎn)擊提交。
30.2.3 配置接口接入控制
進(jìn)入網(wǎng)絡(luò)>接口>物理接口,點(diǎn)擊某一接口,進(jìn)入編輯物理接口頁面
參數(shù)說明:
接口:物理接口名稱。
名稱:物理接口的別名。
管理狀態(tài):物理接口的啟用或關(guān)閉,可選UP、DOWN。
協(xié)商模式:物理接口協(xié)商模式,可選自協(xié)商/非自協(xié)商。
速率:物理接口協(xié)商速率,單位Mbps。可選1000/100/10.
雙工模式:物理接口雙工模式,分為全雙工/半雙工兩種(FULL/HALF)。
MTU:MTU值,范圍68-1500.
管理訪問:配置該接口地址上允許訪問的服務(wù)類別。
接入控制:接口在網(wǎng)絡(luò)中的接入方式。
配置步驟:
- 配置地址模式為靜態(tài),并配置正確的地址/掩碼。
- 配置管理訪問。
- 接入控制中選中 L2TP。
- 點(diǎn)擊提交。
?
30.2.4 配置L2TP
進(jìn)入網(wǎng)絡(luò)>VPN>L2TP>配置,進(jìn)入 L2TP 的配置界面
參數(shù)說明:
啟用 L2TP: 選中表示啟用 L2TP 功能,否則停止 L2TP 功能。
起始 IP:用來進(jìn)行地址分配的起始地址。
終止 IP:用來進(jìn)行地址分配的終止地址。
用戶組:通過選中的用戶組來對撥號客戶端身份進(jìn)行驗(yàn)證。
高級選項(xiàng):可選的撥號用戶 DNS 和撥號用戶 WINS 配置,用于在客戶端撥
號成功后,為用戶撥號連接設(shè)置 DNS 和 WINS 地址。可選的用戶唯一性檢
查約束同一用戶是否可以同時多次登入。
配置步驟:
- 選中啟用 L2TP。
- 配置起始 IP。
- 配置終止 IP。
- 選擇一個用戶組。
- 點(diǎn)擊提交。
30.3 配置案例
30.3.1 案例1:在接口ge0/0上啟用L2TP
案例描述
在物理口 ge0/0 上配置 L2TP,允許客戶端進(jìn)行 L2TP 撥號。
配置步驟:
- 進(jìn)入對象>用戶對象>用戶,點(diǎn)擊新建,如下圖:
- 輸入?yún)?shù)。
- 點(diǎn)擊提交完成設(shè)置。
- 進(jìn)入對象>用戶對象>用戶組,點(diǎn)擊新建。
- 輸入?yún)?shù)。
- 點(diǎn)擊提交完成設(shè)置。
- 進(jìn)入網(wǎng)絡(luò)>VPN>L2TP>配置,進(jìn)入 L2TP 的配置界面。
- 輸入?yún)?shù)。
- 點(diǎn)擊提交完成設(shè)置。
- 進(jìn)入網(wǎng)絡(luò)>接口>物理接口,點(diǎn)擊接口 ge0/0,進(jìn)入編輯頁面。
- 配置 IP 地址,在接入控制中選取 L2TP。
- 點(diǎn)擊提交完成設(shè)置。
30.4 L2TP監(jiān)控與維護(hù)
30.4.1 察看L2TP會話信息
進(jìn)入網(wǎng)絡(luò)>VPN>L2TP>監(jiān)視器,察看 L2TP 的會話信息
在該頁面可以點(diǎn)擊
可以使某一特定登錄用戶斷開,點(diǎn)擊
可以斷開所有登錄用戶。
?
30.5 故障分析
30.5.1 L2TP客戶端撥號,無法建立連接
30.5.2
L2TP建立連接后,出現(xiàn)異常斷開
