- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
10-L2TP命令
本章節下載: 10-L2TP命令 (199.31 KB)
1.1.4 display ppp access-control interface
1.1.5 interface virtual-template
1.1.18 ppp user accept-format imsi-sn split
1.1.19 ppp user attach-format imsi-sn split
1.1.21 ppp access-control enable
1.1.22 ppp access-control match-fragments
【命令】
allow l2tp virtual-template virtual-template-number remote remote-name [ domain domain-name ]
【視圖】
L2TP組視圖
【缺省級別】
2:係統級
【參數】
virtual-template virtual-template-number:指定用於創建新的VA(Virtual Access,虛擬訪問)接口時所用的虛接口模板。其中,virtual-template-number為虛接口模板序號,取值範圍為0~1023。
remote remote-name:指定發起連接請求的隧道對端。其中,remote-name表示隧道對端的名稱,為1~30個字符的字符串,區分大小寫。
domain domain-name:指定發起連接請求的用戶域。其中,domain-name表示ISP域名,為1~30個字符的字符串,不區分大小寫。
【描述】
allow l2tp命令用來指定接收呼叫的虛擬接口模板、隧道對端名稱和域名。undo allow命令用來取消配置。
缺省情況下,禁止接受呼入。
需要注意的是:
· 在L2TP多實例應用中,必須配置參數domain-name。
· 使用L2TP組號1(缺省的L2TP組號)時,可以不指定隧道對端名。即在組1下進行配置時,本命令的格式為:allow l2tp virtual-template virtual-template-number [ remote remote-name ] [ domain domain-name ]。任何名字的對端都能發起隧道請求。
· 如果在L2TP組1的配置模式下,仍指定對端名稱,則L2TP組1不作為缺省的L2TP組。
· 在Windows 2000 beta 2版本中,VPN連接的本端名稱為空,則路由器收到的對端名稱為空。為了接收這種不知名的對端發起的隧道請求連接,或者用於測試目的,可以設置一個缺省的L2TP組。
· 命令allow l2tp使用在LNS側,如果配置了隧道對端名稱,要確保隧道對端的名稱和LAC側配置的本端名稱一致。
相關配置可參考命令l2tp-group。
【舉例】
# 接受名稱為aaa的對端(LAC)發起L2TP隧道連接請求,並根據virtual-template 1創建virtual-access接口。
<Sysname> system-view
[Sysname] l2tp-group 2
[Sysname-l2tp2] allow l2tp virtual-template 1 remote aaa
# 將L2TP組1作為缺省的L2TP組,接受任何對端發起的L2TP隧道連接請求,並根據virtual-template 1創建virtual-access接口。
<Sysname> system-view
[Sysname] l2tp-group 1
[Sysname-l2tp1] allow l2tp virtual-template 1
【命令】
display l2tp session [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display l2tp session命令用來顯示當前L2TP會話的信息。
相關配置可參考命令display l2tp tunnel。
【舉例】
# 顯示當前L2TP會話信息。
<Sysname> display l2tp session
Total session = 1
LocalSID RemoteSID LocalTID
17922 12990 1
表1-1 display l2tp session命令顯示信息描述表
|
字段 |
描述 |
|
Total session |
會話的數目 |
|
LocalSID |
本端唯一標識一個會話的數值 |
|
RemoteSID |
對端唯一標識一個會話的數值 |
|
LocalTID |
隧道的本端標識號 |
【命令】
display l2tp tunnel [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display l2tp tunnel命令用來顯示當前L2TP隧道的信息。
該命令的輸出信息,可以幫助用戶確定當前所建立的L2TP隧道信息。
【舉例】
# 顯示當前L2TP隧道信息。
<Sysname> display l2tp tunnel
Total tunnel = 1
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
1 1 20.1.1.2 1701 1 lns
表1-2 display l2tp tunnel命令顯示信息描述表
|
字段 |
描述 |
|
Total tunnel |
隧道的數目 |
|
LocalTID |
本端唯一標識一個隧道的數值 |
|
RemoteTID |
對端唯一標識一個隧道的數值 |
|
RemoteAddress |
對端的IP地址 |
|
Port |
對端的端口號 |
|
Sessions |
此隧道上的會話數目 |
|
RemoteName |
對端的名稱 |
【命令】
display ppp access-control interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
interface-type interface-number:接口的類型和編號。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ppp access-control interface命令用來顯示VT接口產生的VA接口動態防火牆的統計信息。
【舉例】
# 查看指定虛擬接口模板2產生的VA接口動態防火牆的統計信息。
<Sysname> display ppp access-control interface virtual-template 2
Interface: Virtual-Template2:0
User Name: mike
In-bound Policy: acl 3000
From 2000-04-29 18:47:05 to 2000-04-29 18:47:16
0 packets, 0 bytes, 0% permitted,
0 packets, 0 bytes, 0% denied,
0 packets, 0 bytes, 0% permitted default,
0 packets, 0 bytes, 0% denied default,
Totally 0 packets, 0 bytes, 0% permitted,
Totally 0 packets, 0 bytes, 0% denied.
Interface: Virtual-Template2:1
User Name: tim
In-bound Policy: acl 3001
From 2000-04-30 18:41:05 to 2000-04-30 18:47:16
0 packets, 0 bytes, 0% permitted,
0 packets, 0 bytes, 0% denied,
0 packets, 0 bytes, 0% permitted default,
0 packets, 0 bytes, 0% denied default,
Totally 0 packets, 0 bytes, 0% permitted,
Totally 0 packets, 0 bytes, 0% denied.
表1-3 display ppp access-control interface顯示信息描述表
|
字段 |
描述 |
|
Interface |
PPP用戶接入的VA接口 |
|
User Name |
PPP用戶名 |
|
In-bound Policy |
為PPP用戶創建的包過濾防火牆的ACL規則 |
|
From xx to xx |
防火牆生效的時間段 |
|
x packets, x bytes, x% permitted |
匹配防火牆ACL規則通過的報文數、報文字節數、通過率 |
|
x packets, x bytes, x% denied |
匹配防火牆ACL規則拒絕的報文數、報文字節數、拒絕率 |
|
x packets, x bytes, x% permitted default |
未匹配防火牆ACL規則缺省通過的報文數、報文字節數、通過率 |
|
x packets, x bytes, x% denied default |
未匹配防火牆ACL規則缺省拒絕的報文數、報文字節數、拒絕率 |
|
Totally x packets, x bytes, x% permitted |
總通過的報文數、報文字節數、通過率 |
|
Totally x packets, x bytes, x% denied |
總拒絕的報文數、報文字節數、拒絕率 |
【命令】
interface virtual-template virtual-template-number
undo interface virtual-template virtual-template-number
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
virtual-template-number:虛擬模板接口的序號,取值範圍為0~1023。
【描述】
interface virtual-template命令用來創建虛擬模板接口,並進入虛擬模板接口視圖。undo interface virtual-template命令用來刪除虛擬模板接口。
缺省情況下,係統沒有創建虛擬模板接口。
虛擬模板接口主要用於配置設備在運行過程中動態創建的虛擬訪問接口的工作參數,如MP捆綁邏輯接口和L2TP邏輯接口等。
相關配置可參考命令allow l2tp。
【舉例】
# 創建虛擬模板接口1,並進入虛擬模板接口視圖。
<Sysname> system-view
[Sysname] interface virtual-template 1
【命令】
l2tp enable
undo l2tp enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
l2tp enable命令用來啟用L2TP功能。undo l2tp enable命令用來關閉L2TP功能。
缺省情況下,L2TP功能處於關閉狀態。
隻有啟用該功能後其他相關配置才能生效。
相關配置可參考命令l2tp-group。
【舉例】
# 啟用L2TP功能。
<Sysname> system-view
[Sysname] l2tp enable
【命令】
l2tpmoreexam enable
undo l2tpmoreexam enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
l2tpmoreexam enable命令用來啟用L2TP多實例功能。undo l2tpmoreexam enable命令用來關閉L2TP多實例功能。
缺省情況下,L2TP多實例功能處於關閉狀態。
需要注意的是,本命令在LNS端配置。
相關配置可參考命令l2tp enable。
【舉例】
# 在LNS端啟用L2TP多實例功能。
<Sysname> system-view
[Sysname] l2tpmoreexam enable
【命令】
l2tp-auto-client enable
undo l2tp-auto-client enable
【視圖】
虛擬模板接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
l2tp-auto-client enable命令用來觸發LAC自動建立L2TP隧道。undo l2tp-auto-client enable命令用來拆除LAC自動建立的L2TP隧道。
缺省情況下,LAC沒有建立L2TP隧道。
【舉例】
# 配置觸發LAC自動建立L2TP隧道。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] l2tp-auto-client enable
【命令】
l2tp-group group-number
undo l2tp-group group-number
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
group-number:L2TP組號,取值範圍為1~1000。
【描述】
l2tp-group命令用來創建L2TP組,並進入L2TP組視圖。undo l2tp-group命令用來刪除L2TP組。
缺省情況下,沒有創建任何L2TP組。
使用undo l2tp-group命令刪除L2TP組後,該組的所有配置信息也將被刪除。
相關配置可參考命令allow l2tp和start l2tp。
【舉例】
# 創建L2TP組2,並進入L2TP組視圖。
<Sysname> system-view
[Sysname] l2tp-group 2
[Sysname-l2tp2]
【命令】
mandatory-chap
undo mandatory-chap
【視圖】
L2TP組視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
mandatory-chap命令用來強製LNS與用戶端(Client)之間重新進行CHAP驗證。undo mandatory-chap命令用來禁止CHAP的重新驗證。
缺省情況下,係統不進行CHAP的重新驗證。
LAC對用戶端進行代理驗證後,LNS對用戶端再次進行驗證,可以增加安全性。如果使用mandatory-chap命令,則對於由NAS初始化隧道連接的VPN用戶端來說,會經過兩次驗證:一次是用戶端在NAS端的驗證,另一次是用戶端在LNS端的驗證。一些PPP用戶端可能不支持進行第二次驗證,這時,LNS端的CHAP驗證會失敗。
相關配置可參考命令mandatory-lcp。
【舉例】
# 強製進行CHAP驗證。
<Sysname> system-view
[Sysname] l2tp-group 1
[Sysname-l2tp1] mandatory-chap
【命令】
mandatory-lcp
undo mandatory-lcp
【視圖】
L2TP組視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
mandatory-lcp命令用來強製LNS與用戶端(Client)之間重新進行鏈路控製協議(Link Control Protocol)的協商。undo mandatory-lcp命令用來禁止LCP的重新協商。
缺省情況下,係統不重新進行LCP協商。
對於NAS-Initialized VPN的用戶端,在一個PPP會話開始時,將先和NAS進行PPP協商。如果協商通過,則由NAS初始化隧道連接,並把與用戶端協商收集到的信息傳給LNS;LNS根據收到的代理驗證信息判斷用戶是否合法。使用mandatory-lcp命令可以強製LNS與用戶端重新進行LCP協商,忽略NAS的代理驗證信息。如果一些PPP用戶端不支持LCP的重新協商,則LCP重新協商過程會失敗。
相關配置可參考命令mandatory-chap。
【舉例】
# 強製進行LCP重新協商。
<Sysname> system-view
[Sysname] l2tp-group 1
【命令】
ppp lcp imsi accept
undo ppp lcp imsi accept
【視圖】
虛擬模板接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
ppp lcp imsi accept命令用來在Client上接受LNS側發起的IMSI捆綁協商請求。undo ppp lcp imsi accept命令用來禁止接受IMSI捆綁協商請求。
缺省情況下,係統不接受LNS側發起的IMSI捆綁協商請求。
【舉例】
# 配置Client接受LNS側發起的IMSI捆綁協商請求。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp lcp imsi accpet
【命令】
ppp lcp imsi request
undo ppp lcp imsi request
【視圖】
虛擬模板接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
ppp lcp imsi request命令用來在LNS側發起的IMSI捆綁協商請求。undo ppp lcp imsi request命令用來禁止發起IMSI捆綁協商請求。
缺省情況下, LNS側不發起的IMSI捆綁協商請求。
【舉例】
#在LNS上配置發起IMSI捆綁協商請求。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp lcp imsi request
【命令】
ppp lcp imsi string imsi-info
undo ppp lcp imsi string
【視圖】
虛擬模板接口視圖
【缺省級別】
2:係統級
【參數】
string imsi-info:配置Client側的IMSI信息。其中,imsi-info表示IMSI信息,為1~31個字符的字符串,區分大小寫。
【描述】
ppp lcp imsi string命令用來配置Client側的IMSI信息。undo ppp lcp imsi string命令用來刪除Client側的IMSI信息。
缺省情況下,IMSI信息可以從設備自動獲取。
【舉例】
#配置Client側的IMSI信息為imsi1。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1]ppp lcp imsi string imsi1
【命令】
ppp lcp sn accept
undo ppp lcp sn accept
【視圖】
虛擬模板接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
ppp lcp sn accept命令用來在Client上接受LNS側發起的SN捆綁協商請求。undo ppp lcp sn accept命令用來禁止接受SN捆綁協商請求。
缺省情況下,係統不接受LNS側發起的SN捆綁協商請求。
【舉例】
# 配置Client接受LNS側發起的SN捆綁協商請求。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp lcp sn accpet
【命令】
ppp lcp sn request
undo ppp lcp sn request
【視圖】
虛擬模板接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
ppp lcp sn request命令用來在LNS側發起的SN捆綁協商請求。undo ppp lcp sn request命令用來禁止發起SN捆綁協商請求。
缺省情況下,LNS側不發起的SN捆綁協商請求。
【舉例】
#在LNS上配置發起SN捆綁協商請求。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp lcp sn request
【命令】
ppp lcp sn string sn-info
undo ppp lcp sn string
【視圖】
虛擬模板接口視圖
【缺省級別】
2:係統級
【參數】
string sn-info:配置Client側的SN信息。其中,sn-info表示SN信息,為1~31個字符的字符串,區分大小寫。
【描述】
ppp lcp sn string命令用來配置Client側的SN信息。undo ppp lcp sn string命令用來刪除Client側的SN信息。
缺省情況下,SN信息可以從設備自動獲取。
【舉例】
#配置Client側的SN信息為sn1。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1]ppp lcp sn string sn1
【命令】
ppp user accept-format imsi-sn split splitchart
undo ppp user accept-format
【視圖】
虛擬模板接口視圖
【缺省級別】
2:係統級
【參數】
splitchart:IMSI/SN捆綁協商認證時拆分對端用戶名使用的分隔符,長度為1個字符,可以為字母、數字或% # @等符號。
【描述】
ppp user accept -format imsi-sn split命令用來配置協商認證時拆分對端用戶名使用的分隔符,例如splitchart為@,則接收到用戶名imsiinfo@sninfo@username後,會將對端用戶名拆分為imsiinfo、sninfo、username。undo ppp user accept-format命令用來恢複到缺省情況。
缺省情況下,未配置協商認證時拆分對端用戶名使用的分隔符。
如果協商認證時沒有協商到對端的IMSI/SN信息,則使用拆分出來的IMSI/SN 信息。
【舉例】
#配置協商認證時拆分對端用戶名使用的分隔符為為#。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1]ppp user accept-format imsi-sn split #
【命令】
ppp user attach-format imsi-sn split splitchart
undo ppp user attach-format
【視圖】
虛擬模板接口視圖
【缺省級別】
2:係統級
【參數】
split splitchart :配置IMSI/SN捆綁協商認證時用戶名發送使用的分隔符。其中,splitchart表示分隔符,長度為1個字符,可以為字母、數值或% # @等符號。
【描述】
ppp user attach-format imsi-sn split命令用來配置IMSI/SN捆綁協商認證時用戶名的發送格式,例如設置splitchart為@,則以如下格式發送用戶名imsiinfo@sninfo@username。undo ppp user attach-format命令用來刪除用戶名的發送格式。
缺省情況下,未配置協商認證時用戶名的發送格式。
【舉例】
#配置用戶名的發送格式為imsiinfo#sninfo#username。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1]ppp user attach-format imsi-sn split #
【命令】
ppp user replace { imsi | sn }
undo ppp user replace imsi
【視圖】
虛擬模板接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
ppp user replace 命令用來配置使用IMSI/SN信息代替用戶名進行IMSI/SN捆綁協商認證。undo ppp user replace imsi命令用來取消使用IMSI/SN信息代替用戶名進行IMSI/SN捆綁協商認證。
缺省情況下,使用用戶名進行IMSI/SN協商認證。
【舉例】
#配置使用IMSI信息代替用戶名進行IMSI捆綁協商認證。
<Sysname> system-view
[Sysname] interface virtual-template 1
[Sysname-Virtual-Template1] ppp user replace imsi
【命令】
ppp access-control enable
undo ppp access-control enable
【視圖】
虛擬模板接口視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
ppp access-control enable用來開啟基於L2TP接入的EAD功能,即基於用戶的報文過濾功能。 undo ppp access-control enable命令用來關閉基於L2TP接入的EAD功能。
缺省情況下,基於L2TP接入的EAD功能處於關閉狀態。
需要注意的是:
· 對於VT下已經存在的VA不起作用,隻對新創建的VA起作用。
· VT作為L2TP的LNS的接入接口時,可能需要根據不同用戶使用不同的報文過濾策略。
· EAD功能開啟後,可以透傳CAMS/iMC報文給iNode設備,通知iNode設備一些EAD服務器的信息,例如IP地址等。
【舉例】
# 開啟VT接口的EAD功能。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] ppp access-control enable
【命令】
ppp access-control match-fragments { exactly | normally }
undo ppp access-control match-fragments
【視圖】
虛擬模板接口視圖
【缺省級別】
2:係統級
【參數】
exactly:配置VT接口下所有VA包過濾防火牆的分片匹配模式為精確模式。
normally:配置VT接口下所有VA包過濾防火牆的分片匹配模式為標準模式。
【描述】
ppp access-control match-fragments命令用來配置VT接口下所有VA包過濾防火牆的分片匹配模式。undo ppp access-control match-fragments命令用來恢複缺省情況。
缺省情況下,VT接口下所有VA包過濾防火牆的分片匹配模式為標準模式。
對於首片分片報文,無論配置了標準模式還是精確模式,都會匹配所有的ACL過濾規則(包含三層、四層及時間段、vpn-instance等特殊信息)。
對於非首片分片報文:
· 如果配置了標準模式,則隻匹配三層信息及時間段、vpn-instance等特殊信息,忽略四層信息。當在高級ACL的規則中配置了四層過濾規則,而在接口上使用標準匹配模式時,四層過濾規則不生效。
· 如果配置了精確模式,則對ACL的所有過濾規則(包含三層、四層及時間段、vpn-instance等特殊信息)都進行匹配。
需要注意的是:
· 利用包含四層匹配規則的高級ACL過濾分片報文時,必須首先通過配置firewall fragments-inspect命令打開分片報文檢測開關,記錄首片分片報文的四層信息以獲得後續分片的完整的匹配信息,然後在接口上再通過精確匹配ACL的全部規則來過濾分片報文。
· 對於VT下已經存在的VA不起作用,隻對新創建的VA起作用。
【舉例】
# 配置VT接口下所有VA包過濾防火牆的分片匹配模式為精確模式。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] ppp access-control match-fragments exactly
【命令】
reset l2tp tunnel { id tunnel-id | name remote-name }
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
id tunnel-id:斷開指定本端標識的隧道連接。其中,tunnel-id表示隧道本端的標識號。
name remote-name:斷開指定對端名稱的隧道連接。其中,remote-name表示隧道對端的名稱,為1~30個字符的字符串,區分大小寫。
【描述】
reset l2tp tunnel命令用來斷開指定的隧道連接,同時斷開隧道內的所有會話連接。
需要注意的是:
· 強製斷開一個隧道連接後,當對端用戶再次呼入時,隧道可以重新建立。
· 通過指定隧道的對端名稱來確定需要斷開的隧道連接時,如果沒有符合條件的隧道連接存在,則對當前的隧道連接沒有影響;如果有多個符合條件的隧道連接存在(同一個名稱,不同IP地址),則斷開所有符合條件的隧道連接。
· 指定id時,隻斷開對應的隧道連接。
相關配置可參考命令display l2tp tunnel。
MSR係列路由器各款型對於本節所描述的命令及參數的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
參數 |
描述 |
|
MSR800 |
reset l2tp tunnel |
tunnel-id |
取值範圍是1~256 |
|
MSR 900 |
取值範圍是1~256 |
||
|
MSR900-E |
取值範圍是1~256 |
||
|
MSR 930 |
取值範圍是1~256 |
||
|
MSR 20-1X |
取值範圍是1~256 |
||
|
MSR 20 |
取值範圍是1~256 |
||
|
MSR 30 |
取值範圍是1~512 |
||
|
MSR 50 |
MPUF取值範圍是1~1024 MPU-G2取值範圍是1~4096 |
||
|
MSR 2600 |
取值範圍是1~256 |
||
|
MSR3600-51F |
取值範圍是1~512 |
【舉例】
# 斷開對端名稱為aaa的Tunnel連接。
<Sysname> reset l2tp tunnel name aaa
【命令】
start l2tp { ip ip-address }&<1-5> { domain domain-name | fullusername user-name }
undo start
【視圖】
L2TP組視圖
【缺省級別】
2:係統級
【參數】
{ ip ip-address }&<1-5>:指定隧道對端(LNS)的IP地址。其中,ip-address表示LNS的IP地址,&<1-5>表示前麵的參數最多可以輸入5次。
domain domain-name:指定觸發連接請求的用戶域。其中,domain-name表示用戶域名,為1~30個字符的字符串,不區分大小寫。
fullusername user-name:指定觸發連接請求的用戶全名。其中,user-name表示用戶全名,為1~32個字符的字符串,區分大小寫。
【描述】
start l2tp命令用來配置本端作為L2TP LAC端時發起呼叫的觸發條件。undo start命令用來刪除配置的觸發條件。
需要注意的是:
· 此命令在LAC端使用。使用此命令可以指定LNS的IP地址,並支持多種連接請求觸發條件。
· 可以根據用戶域名來發起建立隧道的連接請求。比如用戶所在公司的域名為example.com,則可以指定包含example.com域名的用戶為VPN用戶。
· 可以直接通過用戶全名來指定該用戶為VPN用戶。如果發現是VPN用戶,則本端(LAC)按照LNS配置的先後順序依次向每個LNS發送建立L2TP隧道的連接請求,接收到某個LNS的接受應答後,該LNS就作為隧道的對端;否則LAC向下一個LNS發起隧道連接請求。
【舉例】
# 根據域名example.com來判斷VPN用戶,對應的總部LNS的IP地址為202.1.1.1。
<Sysname> system-view
[Sysname] l2tp-group 1
[Sysname-l2tp1] start l2tp ip 202.1.1.1 domain example.com
【命令】
tunnel authentication
undo tunnel authentication
【視圖】
L2TP組視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
tunnel authentication命令用來啟用L2TP的隧道驗證功能。undo tunnel authentication命令用來取消L2TP隧道驗證功能。
缺省情況下,L2TP隧道進行驗證功能處於開啟狀態。
一般情況下,為了安全起見,隧道兩端都需要對對方進行驗證。如果為了進行網絡的連通性測試或者是接收不知名對端發起的連接,可以不進行隧道驗證。
【舉例】
# 取消L2TP隧道驗證功能。
<Sysname> system-view
[Sysname] l2tp-group 1
[Sysname-l2tp1] undo tunnel authentication
【命令】
tunnel avp-hidden
undo tunnel avp-hidden
【視圖】
L2TP組視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
tunnel avp-hidden命令用來配置隧道采用隱藏方式傳輸AVP數據。undo tunnel avp-hidden命令用來恢複缺省情況。
缺省情況下,隧道采用明文方式傳輸AVP數據。
需要注意的是,該命令配置生效的條件是配置在LAC端並且已經使能了隧道驗證。
【舉例】
# 配置AVP數據采用隱藏方式傳輸。
<Sysname> system-view
[Sysname] l2tp-group 1
[Sysname-l2tp1] tunnel avp-hidden
【命令】
tunnel flow-control
undo tunnel flow-control
【視圖】
L2TP組視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
tunnel flow-control命令用來開啟L2TP隧道流控功能。undo tunnel flow-control命令用來關閉隧道流控功能。
缺省情況下,L2TP隧道流控功能處於關閉狀態。
【舉例】
# 開啟L2TP隧道流控功能。
<Sysname> system-view
[Sysname] l2tp-group 1
[Sysname-l2tp1] tunnel flow-control
【命令】
tunnel name name
undo tunnel name
【視圖】
L2TP組視圖
【缺省級別】
2:係統級
【參數】
name:標識隧道本端的名稱,為1~30個字符的字符串,區分大小寫。
【描述】
tunnel name命令用來配置隧道本端的名稱。undo tunnel name命令用來恢複缺省情況。
缺省情況下,隧道本端的名稱為係統的名稱。
當創建一個L2TP組時,本端名稱將被初始化成係統的名稱。
相關配置可參考“基礎配置命令參考/設備管理”中的命令sysname。
【舉例】
# 配置隧道本端名稱為itsme。
<Sysname> system-view
[Sysname] l2tp-group 1
[Sysname-l2tp1] tunnel name itsme
【命令】
tunnel password { cipher | simple } password
undo tunnel password
【視圖】
L2TP組視圖
【缺省級別】
2:係統級
【參數】
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰。
password:標識隧道驗證時使用的密鑰,區分大小寫。如果是cipher方式,則password為1~53個字符的密文字符串;如果是simple方式,則password為1~16個字符的明文字符串。
以明文或密文形式設置的密鑰,均以密文的方式保存在配置文件中。
【描述】
tunnel password命令用來配置隧道驗證時的密鑰。undo tunnel password命令用來刪除隧道驗證的密鑰。
缺省情況下,係統的隧道驗證密鑰為空。
【舉例】
# 以明文方式配置隧道驗證的密鑰為yougotit。
<Sysname> system-view
[Sysname] l2tp-group 1
[Sysname-l2tp1] tunnel password simple yougotit
【命令】
tunnel timer hello hello-interval
undo tunnel timer hello
【視圖】
L2TP組視圖
【缺省級別】
2:係統級
【參數】
hello-interval:LAC或LNS在沒有報文接收時發送Hello報文的時間間隔,取值範圍為60~1000,單位為秒。
【描述】
tunnel timer hello命令用來配置隧道中Hello報文發送時間間隔。undo tunnel timer hello命令用來恢複缺省情況。
缺省情況下,隧道中Hello報文發送時間間隔為60秒。
在LNS和LAC側,可以分別配置不同的Hello報文時間間隔。
【舉例】
# 配置隧道中Hello報文的發送時間間隔為99秒。
<Sysname> system-view
[Sysname] l2tp-group 1
[Sysname-l2tp1] tunnel timer hello 99
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
