- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
16-L2TP
本章节下载: 16-L2TP (297.86 KB)
本帮助主要介绍以下内容:
· 特性简介
○ L2TP隧道模式
· 常见问题解答
○ 常见故障之一
○ 常见故障之二
L2TP(Layer 2 Tunneling Protocol,二层隧道协议)通过在公共网络(如Internet)上建立点到点的L2TP隧道,将PPP(Point-to-Point Protocol,点对点协议)数据帧封装后通过L2TP隧道传输,使得远端用户(如企业驻外机构和出差人员)利用PPP接入公共网络后,能够通过L2TP隧道与企业内部网络通信,访问企业内部网络资源。
在L2TP的组网中,角色分为以下三个部分:
远端系统是要接入企业内部网络的远端用户和远端分支机构,通常是一个拨号用户的主机或私有网络中的一台设备。
LAC是具有PPP和L2TP协议处理能力的设备,通常是一个当地ISP的NAS(Network Access Server,网络接入服务器),主要用于为PPP类型的用户提供接入服务。
LAC作为L2TP隧道的端点,位于LNS和远端系统之间,用于在LNS和远端系统之间传递报文。它把从远端系统收到的报文按照L2TP协议进行封装并送往LNS,同时也将从LNS收到的报文进行解封装并送往远端系统。
LNS是具有PPP和L2TP协议处理能力的设备,通常位于企业内部网络的边缘。
LNS作为L2TP隧道的另一侧端点,是LAC通过隧道传输的PPP会话的逻辑终点。L2TP通过在公共网络中建立L2TP隧道,将远端系统的PPP连接由原来的NAS延伸到了企业内部网络的LNS设备。
L2TP隧道包括NAS-Initiated、Client-Initiated和LAC-Auto-Initiated三种模式。
如图-1所示,NAS-Initiated模式L2TP隧道的建立由LAC(即NAS)发起。远端系统的拨号用户通过PPPoE/ISDN拨入LAC后,由LAC向LNS发起建立L2TP隧道的请求。
图-1 NAS-Initiated模式L2TP隧道示意图
NAS-Initiated模式L2TP隧道具有如下特点:
远端系统只需支持PPP协议,不需要支持L2TP。
对远端拨号用户的身份认证与计费既可由LAC代理完成,也可由LNS完成。
如图-2所示,Client-Initiated模式L2TP隧道的建立直接由LAC client(指本地支持L2TP协议的远端系统)发起。LAC client具有公网地址,并能够通过Internet与LNS通信后,如果在LAC client上触发L2TP拨号,则LAC client直接向LNS发起L2TP隧道建立请求,无需经过LAC设备建立隧道。
图-2 Client-Initiated模式L2TP隧道示意图
Client-Initiated模式L2TP隧道具有如下特点:
· L2TP隧道在远端系统和LNS之间建立,具有较高的安全性。
· Client-Initiated模式L2TP隧道对远端系统要求较高(远端系统必须是支持L2TP协议的LAC client,且能够与LNS通信),因此它的扩展性较差。
采用NAS-Initiated方式建立L2TP隧道时,要求远端系统必须通过PPPoE/ISDN等拨号方式拨入LAC,且只有远端系统拨入LAC后,才能触发LAC向LNS发起建立隧道的请求。
如图-3所示,在LAC-Auto-Initiated模式下,不需要远端系统拨号触发,LAC采用特定L2TP组下配置的隧道参数建立L2TP隧道。远端系统访问LNS连接的内部网络时,LAC将通过L2TP隧道转发这些访问数据。
图-3 LAC-Auto-Initiated模式L2TP隧道示意图
LAC-Auto-Initiated模式L2TP隧道具有如下特点:
· 远端系统和LAC之间可以是任何基于IP的连接,不局限于拨号连接。
· 不需要远端系统上的拨号接入来触发建立L2TP隧道。
· L2TP隧道创建成功后立即建立L2TP会话,然后在LAC和LNS之间进行PPP协商,LAC和LNS分别作为PPP客户端和PPP服务器端。
· 一条L2TP隧道上只承载一个L2TP会话。
· LNS为LAC分配企业网内部的IP地址,而不是为远端系统分配。
通过“VPN > L2TP > 隧道信息”,查看不到隧道信息(即隧道未成功建立)。
可能有以下原因:
· LAC端配置的L2TP服务器端地址不正确。
· LAC端和LNS端配置的PPP认证方式不一致。
· LAC端配置的用户名和密码错误,或者是LNS端不存在相应的用户。
· LNS端上的组号不为1时,配置的LAC端隧道名称与LNS端配置的隧道名称不一致。
· 隧道验证不通过:
○ 如果LAC和LNS两端都开启了隧道验证功能,则两端密钥不为空并且完全一致的情况下,二者之间才能成功建立L2TP隧道。
○ 如果LAC和LNS中的一端开启了隧道验证功能,则另一端可不开启隧道验证功能,但需要两端密钥不为空并且完全一致,二者之间才能成功建立L2TP隧道。
通过“VPN > L2TP > 隧道信息”,查看隧道成功建立,但是数据传输失败(如不能Ping通私网侧主机)
可能有如下原因:
· 路由问题:LAC和LNS上需要存在到达对端私网的路由,否则会导致数据传输失败。在LAC和LNS上查看设备上是否存在到达对端私网的路由。若不存在,则需要配置静态路由或动态路由协议,在设备上添加该路由。
· 安全策略:LNS端的VT接口需要加入到安全域,并在安全策略中放行该安全域到Local安全域的相关流量,否则数据会因为安全策略的原因被设备丢弃。
· 网络拥挤:Internet主干网产生拥挤,丢包现象严重。L2TP是基于UDP进行传输的,UDP不对报文进行差错控制。如果是在线路质量不稳定的情况下进行L2TP应用,有可能会产生Ping不通对端的情况。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
