亚洲欧美另类激情综合区,国产+亚洲+欧洲,久久精品中文字幕一区二区三区,麻豆果冻传媒2021精品传媒一区,аⅴ天堂中文在线网

30.1 L2TP概述

PPP 定義了一種通過二層（L2）點對點連接傳輸多種協(xié)議報文的封裝機(jī)制。典型情況下，一個用戶通過某種接入技術(shù)（如 ISDN，ADSL 撥號等）獲得一個到網(wǎng)絡(luò)接入服務(wù)器（NAS）的二層連接，并在該連接上進(jìn)行 PPP 會話。在這樣的配置中，二層終節(jié)點和 PPP 會話的終節(jié)點位于同樣的物理設(shè)備上（也就是說，NAS）。

L2TP（Layer Two Tunneling Protocol）是一種二層隧道協(xié)議，它擴(kuò)展了 PPP的模型，通過二層隧道將 PPP 會話的終點延伸到另一個通過分組交換網(wǎng)互連的不同設(shè)備上，而不是二層接入的終節(jié)點。從而將 PPP 會話從二層終結(jié)的限制中解脫出來，擴(kuò)大了 PPP 的應(yīng)用范圍。

L2TP 包括 LAC 和 LNS 兩種功能：

• ?LAC（L2TP Access Concentrator）：L2TP 訪問集中器。是 L2TP 隧道的一個端點，是 L2TP 網(wǎng)絡(luò)服務(wù)器（LNS）的對等體（PEER）。LAC負(fù)責(zé)在一個 LNS 和一個遠(yuǎn)地系統(tǒng)之間轉(zhuǎn)發(fā) PPP 報文，并維護(hù) LAC 和LNS 之間的隧道（TUNNEL）和會話（SESSION）連接。

• LNS（L2TP Network Server）：L2TP 網(wǎng)絡(luò)服務(wù)器。是 L2TP 隧道的一個端點，是 LAC 的對等體。負(fù)責(zé)維護(hù)與遠(yuǎn)地系統(tǒng)之間的 PPP 連接，為遠(yuǎn)地系統(tǒng)提供對內(nèi)部網(wǎng)的訪問服務(wù)。

L2TP 隧道給遠(yuǎn)程撥號用戶提供了連接到 VPN 網(wǎng)關(guān)的解決方案，撥號 VPN又稱為 VPDN(Virtual Private Dial Network)。在這種應(yīng)用中，由 VPN 網(wǎng)關(guān)提供 LNS 功能，如果撥號用戶本身支持 L2TP，則可以采用自愿隧道模式直接連接到 LNS；如果撥號用戶本身不支持 L2TP，則可以通過當(dāng)?shù)?ISP 提供的 LAC 功能采用強(qiáng)制隧道模式連接到 LNS。這兩種連接方式的拓?fù)浣Y(jié)構(gòu)如下所示：

L2TP 客戶端直接接入 LNS

撥號用戶通過 LAC 遠(yuǎn)程接入 LNS

在一個 LNS 和 LAC 對之間存在著兩種類型的連接，一種是隧道（tunnel）連接，它定義了一個 LNS 和 LAC 對；另一種是會話（session）連接，它復(fù)用在隧道連接之上，用于表示承載在隧道連接中的每個 PPP 會話過程。

隧道透傳 PPP 幀

?

L2TP 連接的維護(hù)以及 PPP 數(shù)據(jù)的傳送都是通過 L2TP 報文的交換來完成的，這些報文封裝在 UDP 報文里，從而在承載在 TCP/IP 上。

L2TP 報文可以分為兩種類型，一種是控制報文，另一種是數(shù)據(jù)報文?？刂茍笪挠糜谒淼肋B接和會話連接的建立與維護(hù)?？刂茍笪牡膫鬏斒强煽康?，使用了報文編號確認(rèn)，滑動窗口，超時重傳，隧道?；顧z測等機(jī)制保證控制報文的傳輸。數(shù)據(jù)報文則用于承載用戶的 PPP 會話數(shù)據(jù)包。數(shù)據(jù)報文本身不保證可靠傳輸，應(yīng)該根據(jù)上層應(yīng)用由上層協(xié)議保證數(shù)據(jù)報文的可靠投遞。

30.2 配置L2TP

下一代安全防護(hù)平臺設(shè)備出廠默認(rèn)是沒有 L2TP 配置的，配置 L2TP，需要進(jìn)行地址池，認(rèn)證用戶組等配置。

30.2.1 配置認(rèn)證用戶

認(rèn)證用戶是在客戶端進(jìn)行撥號時進(jìn)行認(rèn)證使用的，包括用戶名，密碼的配置。

配置認(rèn)證用戶：進(jìn)入對象>用戶對象>用戶，點擊新建

參數(shù)說明：

用戶名：賬號的名稱，長度，限制為63個字符。

啟用：選中表示啟用此賬號。

類型：配置用戶類型是否是認(rèn)證用戶。

認(rèn)證用戶：認(rèn)證用戶的類型。

密碼：此賬號的密碼，如果使用RADIUS認(rèn)證。則不用配置密碼。

確認(rèn)密碼：確認(rèn)賬號密碼。

配置步驟：

1. 在用戶名一欄填寫賬號的名稱。
2. 點擊啟用
3. 類型選擇認(rèn)證用戶
4. 如果不用RADIUS認(rèn)證，則輸入密碼，并確認(rèn)一遍。
5. 如果通過RADIUS認(rèn)證，則選擇一個配置好的RADIUS配置。
6. 點擊提交。

?

30.2.2 配置用戶組

L2TP模板配置時必須需要一個用戶組，客戶端的撥號賬號必須是用戶組里包含的賬號。

配置用戶組：進(jìn)入對象>用戶對象>用戶組，點擊新建

名稱：用戶組的名稱

用戶成員：要加入用戶組的認(rèn)證用戶。

配置步驟：

1. 配置用戶組名稱。
2. 選取可選成員中的帳號，點擊加入到組中。
3. 點擊提交。

30.2.3 配置接口接入控制

進(jìn)入網(wǎng)絡(luò)>接口>物理接口，點擊某一接口，進(jìn)入編輯物理接口頁面

參數(shù)說明：

接口：物理接口名稱。

名稱：物理接口的別名。

管理狀態(tài)：物理接口的啟用或關(guān)閉，可選UP、DOWN。

協(xié)商模式：物理接口協(xié)商模式，可選自協(xié)商/非自協(xié)商。

速率：物理接口協(xié)商速率，單位Mbps?？蛇x1000/100/10.

雙工模式：物理接口雙工模式，分為全雙工/半雙工兩種（FULL/HALF）。

MTU：MTU值，范圍68-1500.

管理訪問：配置該接口地址上允許訪問的服務(wù)類別。

接入控制：接口在網(wǎng)絡(luò)中的接入方式。

配置步驟：

1. 配置地址模式為靜態(tài)，并配置正確的地址/掩碼。
2. 配置管理訪問。
3. 接入控制中選中 L2TP。
4. 點擊提交。

?

30.2.4 配置L2TP

進(jìn)入網(wǎng)絡(luò)>VPN>L2TP>配置，進(jìn)入 L2TP 的配置界面

參數(shù)說明：

啟用 L2TP： 選中表示啟用 L2TP 功能，否則停止 L2TP 功能。

起始 IP：用來進(jìn)行地址分配的起始地址。

終止 IP：用來進(jìn)行地址分配的終止地址。

用戶組：通過選中的用戶組來對撥號客戶端身份進(jìn)行驗證。

高級選項：可選的撥號用戶 DNS 和撥號用戶 WINS 配置，用于在客戶端撥

號成功后，為用戶撥號連接設(shè)置 DNS 和 WINS 地址?？蛇x的用戶唯一性檢

查約束同一用戶是否可以同時多次登入。

配置步驟：

1. 選中啟用 L2TP。
2. 配置起始 IP。
3. 配置終止 IP。
4. 選擇一個用戶組。
5. 點擊提交。

30.3 配置案例

30.3.1 案例1：在接口ge0/0上啟用L2TP

案例描述

在物理口 ge0/0 上配置 L2TP，允許客戶端進(jìn)行 L2TP 撥號。

配置步驟：

1. 進(jìn)入對象>用戶對象>用戶，點擊新建，如下圖：

2. 輸入?yún)?shù)。
3. 點擊提交完成設(shè)置。
4. 進(jìn)入對象>用戶對象>用戶組，點擊新建。

5. 輸入?yún)?shù)。
6. 點擊提交完成設(shè)置。
7. 進(jìn)入網(wǎng)絡(luò)>VPN>L2TP>配置，進(jìn)入 L2TP 的配置界面。

8. 輸入?yún)?shù)。
9. 點擊提交完成設(shè)置。
10. 進(jìn)入網(wǎng)絡(luò)>接口>物理接口，點擊接口 ge0/0，進(jìn)入編輯頁面。

11. 配置 IP 地址，在接入控制中選取 L2TP。
12. 點擊提交完成設(shè)置。

30.4 L2TP監(jiān)控與維護(hù)

30.4.1 察看L2TP會話信息

進(jìn)入網(wǎng)絡(luò)>VPN>L2TP>監(jiān)視器，察看 L2TP 的會話信息

在該頁面可以點擊可以使某一特定登錄用戶斷開，點擊可以斷開所有登錄用戶。

?

30.5 故障分析

30.5.1 L2TP客戶端撥號，無法建立連接

30.5.2

L2TP建立連接后，出現(xiàn)異常斷開