L2TPVPN基本功能及NAS发起模式LAC配置步骤及示例.docxVIP

H3C L2TP VPN基本功能和NAS发起模式LAC配置步骤及示例（试读连载三） 2010-08-15 21:00:47标签：H3CL2TP VPN《路由器配置与管理完全手册》版权声明：原创作品，如需转载，请与作者联系。否则将追究法律责任。 以下内容摘自笔者即将出版，并正接受最优惠的7折预订的《路由器配置与管理完全手册——H3C篇》一书。预订请联系我（QQ。11.2? H3C路由器L2TP VPN配置在将设备配置为LAC（L2TP访问集中器）或LNS（L2TP网络服务器）之前，必须首先启用L2TP功能、创建L2TP组，使设备具有基本的L2TP处理能力；然后再根据不同的使用环境，分别进行LAC或LNS的特性配置，使设备具有LAC或LNS端功能。L2TP的连接参数为可选配置，在设备作为LAC、LNS时均可使用，请根据实际情况配置。这些具体的配置任务如表11-1所示，注意各项配置的是为必选，还是为可选。表11-1 H3C路由器L2TP配置任务简介11.2.1? H3C路由器L2TP基本功能的配置步骤及示例只有启用L2TP后，设备上的L2TP功能才能正常发挥作用；如果禁止L2TP，则即使配置了L2TP的参数，设备也不会提供相关功能，无论是NAS发起的，还是由VPN用户发起的。为了进行L2TP的相关参数配置，还需要创建L2TP组，在L2TP组中配置L2TP的各项功能，而不是在各VPN用户端进行配置。这不仅增加了L2TP配置的灵活性，而且方便地实现了LAC和LNS之间一对一、一对多的组网应用。L2TP组在LAC和LNS上独立编号，只需要保证LAC和LNS之间关联的L2TP组的相关配置（如隧道对端名称、LNS地址等）保持对应关系即可，不要求L2TP组号一样。隧道本端的名称在LAC和LNS进行隧道协商时使用。以上这些基本L2TP功能的配置步骤如表11-2所示。本节所介绍的配置，如果L2TP连接请求是由NAS发起的，则需要同时在LAC（NAS）和LNS（VPN服务器）上配置；如果是由VPN用户发起的，则仅需要在LNS上配置。表11-2 L2TP基本功能的配置步骤下面介绍以上配置步骤中的几个主要命令。1. l2tp enable命令“l2tp enable”系统视图命令用来启用L2TP功能。可用“undo l2tp enable”命令关闭L2TP功能。默认情况下，L2TP功能处于关闭状态。只有启用该功能后，其他相关配置才能生效。以下示例是启用L2TP功能。Sysname system-view[Sysname] l2tp enable2. l2tp-group命令“l2tp-groupgroup-number”系统视图命令用来创建L2TP组，并进入L2TP组视图。可使用“undo l2tp-groupgroup-number”命令用来删除L2TP组，删除L2TP组后，该组的所有配置信息也将被删除。参数group-number用来指定所创建的L2TP组号，取值范围为1~1000。默认情况下，没有创建任何L2TP组。以下示例是创建L2TP组2，并进入L2TP组视图。Sysname system-view[Sysname] l2tp-group 23. tunnel name命令“tunnel namename”命令用来配置隧道本端的名称。参数name用来指定所创建的隧道本端名称，为1~30个字符的字符串，区分大小写。但要注意，LAC侧隧道名称要与LNS侧配置的接收L2TP连接请求的隧道对端名称保持一致，反之亦然。可用“undo tunnel name”命令恢复默认情况。默认情况下，隧道本端的名称为系统的名称。当创建一个L2TP组时，本端名称将被初始化成系统的名称。以下示例是配置隧道本端名称为tun-1。Sysname system-view[Sysname] l2tp-group 1[Sysname-l2tp1] tunnel name tun-111.2.2? NAS发起模式L2TP LAC端的配置步骤与示例在NAS发起模式的L2TP VPN方案中（本节所介绍的配置全都仅适用于NAS发起模式L2TP VPN中，在VPN用户发起模式的L2TP VPN中无需配置），对L2TP用户进行验证并通过后，LAC就立即负责和相应的LNS建立隧道连接，并负责将用户报文通过隧道发送到LNS。VPN客户端只需要一次登录即可。但在进行LAC端的各项配置任务前，必须先启动L2TP、创建L2TP组，参见上节介绍。1.? L2TP连接请求的配置只有在满足一定的条件下，LAC端（NAS）才会向LNS服务器发出建立L2TP连接的请求，这是一个用户发起L2TP VPN连接请求时所进行的初始验证过程，但它不是直接针对VPN用户，而针对L2TP组进行的验证。通过配