注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

北边的风

IT 钓鱼 养生

 
 
 

日志

 
 

L2TP 配置命令(华为)详解  

2015-03-30 19:47:21|  分类: IT心得 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
第1章 L2TP 配置命令
1.1.1 allow l2tp
【命令】
allow l2tp virtual-template virtual-template-number remote remote-name
[ domain domain-name ]
undo allow
【视图】
L2TP 组视图
【参数】
virtual-template-number:指定用于创建新的虚拟访问接口(virtual access interface)
时所用的虚接口模板,取值范围是整数0~1023。
remote-name:指定发起连接请求的隧道对端的名称,对大小写有区别,取值为字
符串,长度为1~30。
domain-name:指定企业的名称,取值为字符串,长度为1~30。
【描述】
allow l2tp 命令用来指定接受呼叫时隧道对端的名称及所使用的Virtual-Template,
undo allow 命令用来取消隧道对端的名称及所使用的Virtual-Template。
缺省情况下,为禁止接受呼入。
此命令在 LNS 端使用。
在 L2TP 多实例应用中,必须配置参数domain-name。
使用 L2TP 组号1 时(缺省的L2TP 组号),可以不指定通道对端名remote-name,
在组1 下进行配置时,本命令的格式为:
allow l2tp virtual-template virtual-template-number [ remote remote-name ]
[ domain domain-name ]
如果在L2TP 组1 的配置模式下,仍指定对端名称,则L2TP 组1 不作为缺省的L2TP
组。如在Windows 2000 beta 2 版本中,VPN 连接的本端名称为NONE,则路由器
收到的对端名称为NONE。为了接收这种不知名的对端发起的通道请求连接,或者
用于测试目的,可以设置一个缺省的L2TP 组。
命令 allow l2tp 使用在LNS 侧,如果配置了通道对端名称,必须确保通道对端的名
称和LAC 侧配置的本端名称一致。
相关配置可参考命令 l2tp-group。
VRP3.4 命令手册(VPN) 第 1 章 L2TP 配置命令
1-2
【举例】
# 接受名称为AS8010 的对端(LAC)发起L2TP 隧道连接请求,并在virtual-template
1 上创建virtual-access 接口。
[Quidway-l2tp2] allow l2tp virtual-template 1 remote AS8010
# 将L2TP 组1 作为缺省的L2TP 组,接受任何对端发起的L2TP 通道连接请求,并
根据virtual-template 1 创建virtual-access 接口。
[Quidway] l2tp-group 1
[Quidway-l2tp1] allow l2tp virtual-template 1
1.1.2 debugging l2tp
【命令】
debugging l2tp { all | control | dump | error | event | hidden | payload |
time-stamp }
undo debugging l2tp { all | control | error | event | hidden | payload |
time-stamp }
【视图】
用户视图
【参数】
all:表示打开所有L2TP 调试信息开关。
control:表示打开控制报文调试开关。
dump:表示打开PPP 报文调试开关。
error:表示打开差错信息的调试开关。
event:表示打开事件调试信息开关。
hidden:表示打开隐藏AVP 的调试开始信息开关。
payload:表示打开L2TP 数据报文调试开关。
time-stamp:表示打开显示时间戳的调试开关。
【描述】
debugging l2tp 命令用来打开L2TP 调试信息开关,undo debugging l2tp 命令用
来关闭L2TP 调试信息开关。
【举例】
# 打开所有L2TP 调试信息开关。
<Quidway> debugging l2tp all
VRP3.4 命令手册(VPN) 第 1 章 L2TP 配置命令
1-3
1.1.3 display l2tp session
【命令】
display l2tp session
【视图】
所有视图
【参数】

【描述】
display l2tp session 命令用来显示当前的L2TP 会话的信息。
该命令的输出信息,可以帮助用户确定当前建立的 L2TP 会话信息。
相关配置可参考命令 display l2tp tunnel。
【举例】
# 显示当前L2TP 会话信息。
<Quidway> display l2tp session
LocalSID RemoteSID LocalTID Idle-Time-Left
1 1 2 600
表1-1 display L2tp session 显示信息的域描述
域 描述
Total session Session 的数目
LocalSID 本端唯一标识一个会话的数值
RemoteSID 对端唯一标识一个会话的数值
LocalTID 隧道的本端标识号
Idle-Time-Left 会话距离超时挂断剩余时间
1.1.4 display l2tp tunnel
【命令】
display l2tp tunnel
【视图】
所有视图
VRP3.4 命令手册(VPN) 第 1 章 L2TP 配置命令
1-4
【参数】

【描述】
display l2tp tunnel 命令用来显示当前的L2TP 隧道的信息。
该命令的输出信息,可以帮助用户确定当前所建立的 L2TP 隧道信息。
相关配置可参考命令 display l2tp session。
【举例】
# 显示当前L2TP 隧道信息。
<Quidway> display l2tp tunnel
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName keepstand
2 22849 11.1.1.1 1701 1 lns YES
Total tunnel = 1
表1-2 display L2tp tunnel 显示信息的域描述
域 描述
Total tunnel Tunnel 的数目
LocalTID 本端唯一标识一个隧道的数值
RemoteTID 对端唯一标识一个隧道的数值
RemoteAddress 对端的IP 地址
Port 对端的端口号
Sesssions 此隧道上的会话数目
Remote Name 对端的名称
KeepStand 是否设置了连接保持功能
1.1.5 display l2tp user
【命令】
display l2tp user
【视图】
所有视图
【参数】

VRP3.4 命令手册(VPN) 第 1 章 L2TP 配置命令
1-5
【描述】
display l2tp user 命令用来显示当前L2TP 用户的信息。
相关配置可参考命令 display l2tp tunnel,display l2tp session。
【举例】
# 显示当前L2TP 会话信息。
<Quidway> display l2tp user
User Name LocalSID RemoteSID LocalTID
w@h3c 1 1 2
Total user = 1
表1-3 display L2tp user 显示信息的域描述
域 描述
User Name 用户名
LocalSID 会话连接的本端标识号
RemoteSID 会话连接的对端标识号
LocalTID 隧道的本端标识号
Total user 用户的数目
1.1.6 interface virtual-template
【命令】
interface virtual-template virtual-template-number
undo interface virtual-template virtual-template-number
【视图】
系统视图
【参数】
virtual-template-number:标识虚接口模板序号,取值为整数,范围是0~1023。
【描述】
interface virtual-template 命令用来创建虚接口模板, undo interface
virtual-template 命令用来删除虚接口模板。
缺省情况下,系统没有创建虚接口模板。
虚接口模板主要用于配置路由器在运行过程中动态创建的虚接口的工作参数,如MP
捆绑逻辑接口和L2TP 逻辑接口等。
VRP3.4 命令手册(VPN) 第 1 章 L2TP 配置命令
1-6
相关配置可参考命令allow l2tp。
【举例】
# 创建虚接口模板1 并进入该视图。
[Quidway] interface virtual-template 1
1.1.7 l2tp-auto-client enable
【命令】
l2tp-auto-client enable
undo l2tp-auto-client enable
【视图】
虚拟模板接口视图
【参数】

【描述】
l2tp-auto-client enable 命令用来使能LAC 客户端建立L2TP 隧道。undo
l2tp-auto-client enable 命令用来取消LAC 客户端建立L2TP 隧道。
【举例】
# 进入虚拟模板接口视图。
[Quidway] interface virtual-template 1
# 使能LAC 客户端建立L2TP 隧道。
[Quidway-Virtual-Template1] l2tp-auto-client enable
1.1.8 l2tp enable
【命令】
l2tp enable
undo l2tp enable
【视图】
系统视图
【参数】

VRP3.4 命令手册(VPN) 第 1 章 L2TP 配置命令
1-7
【描述】
l2tp enable 命令用来启用L2TP 功能,undo l2tp enable 命令用来禁止L2TP 功能。
缺省情况下,L2TP 功能被禁止。
使用本命令来显式的指定是否启用 L2TP 功能,只有启用该功能后才能开展VPN 业
务。
相关配置可参考命令 l2tp-group。
【举例】
# 在路由器上启用L2TP 功能。
[Quidway] l2tp enable
1.1.9 l2tpmoreexam enable
【命令】
l2tpmoreexam enable
undo l2tpmoreexam enable
【视图】
系统视图
【参数】

【描述】
本命令在 LNS 端配置。
l2tpmoreexam enable 命令用来启用L2TP 多实例功能,undo l2tpmoreexam
enable 命令用来禁止L2TP 多实例功能。
缺省情况下,L2TP 多实例功能被禁止。
使用 l2tpmoreexam enable 命令启用L2TP 多实例功能,只有启用该功能后才能开
展L2TP 多实例业务。
相关配置可参考命令 l2tp enable。
【举例】
# 在路由器(LNS 端)上启用L2TP 多实例功能。
[Quidway] l2tpmoreexam enable
VRP3.4 命令手册(VPN) 第 1 章 L2TP 配置命令
1-8
1.1.10 l2tp-group
【命令】
l2tp-group group-number
undo l2tp-group group-number
【视图】
系统视图
【参数】
group-number:标识L2TP 组号,取值为整数,范围为1~1000。
【描述】
l2tp-group 命令用来创建L2TP 组,undo l2tp-group 命令用来删除L2TP 组。
缺省情况下,系统没有创建 L2TP 组。
使用 l2tp-group 命令创建一个L2TP 组(L2TP 组1 可以作为缺省的L2TP 组)。
使用undo l2tp-group 命令删除L2TP 组后,该组的所有配置信息也将被删除。
相关配置可参考命令 allow l2tp,start l2tp。
【举例】
# 创建L2TP 组2,并进入L2TP 组2 视图。
[Quidway] l2tp-group 2
[Quidway-l2tp2]
1.1.11 mandatory-chap
【命令】
mandatory-chap
undo mandatory-chap
【视图】
L2TP 组视图
【参数】

【描述】
mandatory-chap 命令用来强制LNS 与用户端(Client)之间重新进行CHAP 验证,
undo mandatory-chap 命令用来禁止CHAP 的重新验证。
缺省情况下,系统不进行 CHAP 的重新验证。
VRP3.4 命令手册(VPN) 第 1 章 L2TP 配置命令
1-9
在LAC 对用户端进行代理验证后,LNS 对用户端再次进行验证,可以增加安全性。
如果使用mandatory-chap 命令,则对于由接入服务器初始化隧道连接的VPN 的
用户端来说,会经过两次验证:一次是用户端在接入服务器端的验证,另一次是用
户端在LNS 端的验证。一些PPP 用户端可能不支持进行第二次验证,这时,本端
的CHAP 验证会失败。
相关配置可参考命令 mandatory-lcp。
【举例】
# 强制进行CHAP 验证。
[Quidway-l2tp1] mandatory-chap
1.1.12 mandatory-lcp
【命令】
mandatory-lcp
undo mandatory-lcp
【视图】
L2TP 组视图
【参数】

【描述】
mandatory-lcp 命令用来在LNS与用户端(Client)之间重新进行链路控制协议(Link
Control Protocol)的协商,undo mandatory-lcp 命令用来禁止LCP 的重新协商。
缺省情况下,系统不重新进行 LCP 协商。
对于 NAS-Initialized VPN 的用户端,在一个PPP 会话开始时,将先和网络接入服
务器(NAS)进行PPP 协商。如果协商通过,则由接入服务器初始化隧道连接,并
把与用户端协商收集到的信息传给LNS;LNS 根据收到的代理验证信息判断用户是
否合法。使用mandatory-lcp 命令可以强制LNS 与用户端重新进行LCP 协商,这
就忽略NAS 的代理验证信息。如果一些PPP 用户端可能不支持LCP 的重新协商,
则LCP 重新协商过程会失败。
相关配置可参考命令 mandatory-chap。
【举例】
# 允许进行LCP 重新协商。
[Quidway-l2tp1] mandatory-lcp
VRP3.4 命令手册(VPN) 第 1 章 L2TP 配置命令
1-10
1.1.13 reset l2tp session
【命令】
reset l2tp session session-id
【视图】
用户视图
【参数】
session-id:会话连接的本端标识号。
【描述】
reset l2tp session 命令用于强制断开一个会话连接。当用户再次呼入时,会话可
以重新建立。
相关配置可参考命令 reset l2tp tunnel。
【举例】
# 强制断开L2TP 会话连接。
<Quidway> reset l2tp session 1
1.1.14 reset l2tp tunnel
【命令】
reset l2tp tunnel { remote-name | tunnel-id }
【视图】
用户视图
【参数】
remote-name:为隧道对端的名称,取值为字符串,长度为1~30。
tunnel-id:为隧道本端的标识号。
【描述】
reset l2tp tunnel 命令用来断开指定的隧道(Tunnel)连接,同时断开隧道内的所
有会话(Session)连接。
命令 reset l2tp tunnel 用于强制断开一个隧道连接。当对端用户再次呼入时,隧道
可以重新建立。通过指定隧道的对端名称来确定需要断开的隧道连接。如果没有符
合条件的隧道连接存在,则对当前的隧道连接没有影响。如果有多个符合条件的隧
道连接存在(同一个名称,不同IP 地址),则断开所有符合条件的隧道连接。指定
tunnel-id 时,只断开对应的隧道连接。
VRP3.4 命令手册(VPN) 第 1 章 L2TP 配置命令
1-11
相关配置可参考命令display l2tp tunnel。
【举例】
# 断开对端名称为AS8010 的Tunnel 连接。
<Quidway> reset l2tp tunnel AS8010
1.1.15 reset l2tp user
【命令】
reset l2tp user user-name
【视图】
用户视图
【参数】
user-name:为L2TP 的用户名。
【描述】
reset l2tp user 命令用于强制断开该用户的连接。当用户再次呼入时,可以重新接
入。
相关配置可参考命令 reset l2tp tunnel,reset l2tp session。
【举例】
# 强制断开当前L2TP 用户的连接。
<Quidway> reset l2tp user quidway@h3c
1.1.16 session idle-time
【命令】
session idle-time time
undo session idle-time
【视图】
L2TP 组视图
【参数】
time:超时时间长度,以秒为单位,取值范围为0~10000。缺省为0,表示不超时。
【描述】
session idle-time 命令用来设置L2TP 会话超时挂断的超时时间,并触发超时挂断
功能。undo session idle-time 命令用来禁止L2TP 会话超时断开。
VRP3.4 命令手册(VPN) 第 1 章 L2TP 配置命令
1-12
缺省情况下,L2TP 会话不会超时。
【举例】
# 进入l2tp 组视图。
[Quidway] l2tp-group 1
# 设定L2TP 会话超时挂断时间为600 秒。
[Quidway] session idle-time 600
1.1.17 start l2tp
【命令】
start l2tp { ip ip-addr [ ip ip-addr ] [ ip ip-addr ] ... } { domain domain-name |
fullusername user-name }
undo start
【视图】
L2TP 组视图
【参数】
ip ip-addr:表识隧道对端(LNS)的IP 地址,最多可以设置五个,彼此形成备份
LNS。
domain-name:指定触发连接请求的用户域名,对大小写敏感,取值为字符串,长
度为1~30。
user-name:指定触发连接请求的用户全名,对大小写敏感,取值为字符串,长度
为1~32。
【描述】
start l2tp 命令用来指定本端作为L2TP LAC 端时发起呼叫的触发条件,undo start
l2tp 命令用来删除指定的触发条件。
此命令在 LAC 端使用。使用此命令指定LNS 的IP 地址,并支持多种触发连接请求。
? 可以根据用户域名来发起建立隧道的连接请求。比如用户所在公司的域名为
huawei.com,则可以指定包含huawei.com 域名的用户为VPN 用户。
? 可以根据用户所呼叫的号码来确定用户是否是VPN 用户。比如指定号码
8810188 为特服号码,则拨叫此号码的接入用户是VPN 用户。
? 可以直接通过用户全名来指定该用户为 VPN 用户。
如果发现是 VPN 用户,则本端(LAC)按照配置的LNS 的先后顺序向某个LNS 发
送建立L2TP 隧道的连接请求,当得到LNS 的接收应答后,该LNS 就作为隧道的
对端;否则LAC 向下一个LNS 发起隧道连接请求。
VRP3.4 命令手册(VPN) 第 1 章 L2TP 配置命令
1-13
这几种VPN 用户判定方式之间可能存在冲突的情况,如对全用户名指定的LNS 地
址是1.1.1.1,而根据域名指定的LNS 地址为1.1.1.2,有必要规定一下查找用户的
先后顺序。查找的顺序为:先根据完整的用户名查看是否存在根据此用户名指定的
L2TP 组;如果没有找到,再根据域名进行查找。
【举例】
# 根据域名huawei.com 来判断VPN 用户,对应的总部L2TP 接入服务器的IP 地址
为202.38.168.1。
[Quidway-l2tp1] start l2tp ip 202.38.168.1 domain huawei.com
1.1.18 start l2tp tunnel
【命令】
start l2tp tunnel
【视图】
L2TP 组视图
【参数】

【描述】
start l2tp tunnel 命令用来启动L2TP LAC 端发起呼叫。
此命令只在 LAC 端使用。
相关命令请参考 tunnel keepstanding。
【举例】
# 启动LAC 按照配置的LNS 的先后顺序发送建立L2TP 隧道的连接请求,即先向地
址为1.1.1.1 的LNS 发起,没有应答则顺序向下一个地址为2.2.2.2 的LNS 发起。
[Quidway-l2tp1] start l2tp ip 1.1.1.1 ip 2.2.2.2 fullusername vpdnuser
[Quidway-l2tp1] start l2tp tunnel
注意:
该命令需要与 tunnel keepstanding 命令配合使用,否则隧道建立好之后会立即被
拆除。
VRP3.4 命令手册(VPN) 第 1 章 L2TP 配置命令
1-14
1.1.19 tunnel authentication
【命令】
tunnel authentication
undo tunnel authentication
【视图】
L2TP 组视图
【参数】

【描述】
tunnel authentication 命令用来启用L2TP 的隧道验证功能,undo tunnel
authentication 命令用来取消L2TP 隧道验证功能。
缺省情况下,系统对 L2TP 隧道进行验证。
L2TP 隧道验证是缺省允许的。一般情况下,为了安全起见,隧道两端都需要对对方
进行验证。如果为了进行网络的连通性测试或者是接收不知名对端发起的连接,可
以不进行隧道验证。
【举例】
# 设置不验证隧道对端。
[Quidway-l2tp1] undo tunnel authentication
1.1.20 tunnel avp-hidden
【命令】
tunnel avp-hidden
undo tunnel avp-hidden
【视图】
L2TP 组视图
【参数】

【描述】
tunnel avp-hidden 命令用来配置对AVP(Attribute Value Pair,属性值对)数据
采用隐藏的方式进行传输,undo tunnel avp-hidden 命令用来恢复AVP 数据的缺
省传输方式。
VRP3.4 命令手册(VPN) 第 1 章 L2TP 配置命令
1-15
缺省情况下,隧道采用明文方式传输AVP 数据。
L2TP 协议的一些参数是通过AVP 数据来传输的,如果用户对这些数据的安全性要
求高,可以使用本命令将AVP 数据的传输方式配置成为隐藏传输。
【举例】
# 设置AVP 数据隐含传输。
[Quidway-l2tp1] tunnel avp-hidden
1.1.21 tunnel flow-control
【命令】
tunnel flow-control
undo tunnel flow-control
【视图】
L2TP 组视图
【参数】

【描述】
tunnel flow-control 命令用来开启L2TP 通道流控功能,undo tunnel flow-control
命令用来关闭通道流控功能。
缺省情况下,关闭 L2TP 通道流控功能。
使用 tunnel flow-control 来开启L2TP 通道流控功能,以达到流控目的。
【举例】
# 开启通道流控。
[Quidway-l2tp1] tunnel flow-control
1.1.22 tunnel keepstanding
【命令】
tunnel keepstanding
undo tunnel keepstanding
【视图】
L2TP 组视图
VRP3.4 命令手册(VPN) 第 1 章 L2TP 配置命令
1-16
【参数】

【描述】
tunnel keepstanding 命令用来配置L2TP Tunnel 连接保持功能。undo tunnel
keepstanding 命令用来取消L2TP Tunnel 连接保持功能。
配置 L2TP Tunnel 连接保持功能后,即使隧道上没有Session 也不会因超时而挂断。
注意:
此命令需要在隧道两端同时配置才会生效。
【举例】
# 进入l2tp 组视图。
[Quidway] l2tp-group 1
# 使能L2TP Tunnel 连接保持功能。
[Quidway-l2tp1] tunnel keepstanding
1.1.23 tunnel name
【命令】
tunnel name name
undo tunnel name
【视图】
L2TP 组视图
【参数】
name:标识隧道本端的名称,取值为字符串,长度为1~30。
【描述】
tunnel name 命令用来指定隧道本端的名称,undo tunnel name 命令用来恢复本
端名称为缺省值。
缺省情况下,系统的本端名称为路由器名。
当创建一个 L2TP 组时,本端名称将被初始化成路由器的名称。
相关配置可参考命令 sysname。
VRP3.4 命令手册(VPN) 第 1 章 L2TP 配置命令
1-17
【举例】
# 设置隧道本端名称为itsme。
[Quidway-l2tp1] tunnel name itsme
1.1.24 tunnel password
【命令】
tunnel password { simple | cipher } password
undo tunnel password
【视图】
L2TP 组视图
【参数】
simple:密码以明文方式显示;
cipher:密码以密文方式显示;
password:标识隧道验证时使用的密码,取值为字符串,长度为1~16。
【描述】
tunnel password 命令用来指定隧道验证时的密码,undo tunnel password 命令
用来取消隧道验证的密码。
缺省情况下,系统的隧道验证密码为空。
【举例】
# 设置隧道验证的密码为yougotit,并且以密文方式显示。
[Quidway-l2tp1] tunnel password cipher yougotit
1.1.25 tunnel timer hello
【命令】
tunnel timer hello hello-interval
undo tunnel timer hello
【视图】
L2TP 组视图
【参数】
hello-interval:LAC 或LNS 在没有报文接收时发送Hello 报文的时间间隔,取值为
整数,单位为秒,范围为60~1000。
VRP3.4 命令手册(VPN) 第 1 章 L2TP 配置命令
1-18
【描述】
tunnel timer hello 命令用来设置隧道中Hello 报文发送时间间隔,undo tunnel
timer hello 命令用来恢复隧道中Hello 报文发送时间间隔为缺省值。
缺省情况下,Hello 报文每隔60 秒发送一次。
在 LNS 和LAC 侧,可以分别配置不同的Hello 报文时间间隔。使用undo tunnel
timer hello 命令把时间间隔恢复到缺省值。
【举例】
# 设置发送Hello 报文的时间间隔为99 秒
[Quidway-l2tp1] tunnel timer hello 99
  评论这张
 
阅读(233)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2016