- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
10-L2TP命令
本章節下載: 10-L2TP命令 (274.89 KB)
目 錄
1.1.3 display l2tp session temporary
1.1.6 display ppp access-control interface
1.1.11 l2tp virtual-template va-pool
1.1.15 ppp access-control enable
設備各款型對於本節所描述的特性支持情況有所不同,詳細差異信息如下:
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX1800H係列 |
WX1804H-PWR |
EWP-WX1804H-PWR-CN |
不支持 |
|
WX2500H係列 |
WX2508H-PWR-LTE WX2510H-PWR WX2510H-F-PWR WX2540H WX2540H-F WX2560H |
EWP-WX2508H-PWR-LTE EWP-WX2510H-PWR EWP-WX2510H-F-PWR EWP-WX2540H EWP-WX2540H-F EWP-WX2560H |
不支持 |
|
MAK係列 |
MAK204 MAK206 |
EWP-MAK204 EWP-MAK206 |
不支持 |
|
WX3000H係列 |
WX3010H WX3010H-X-PWR WX3010H-L-PWR WX3024H WX3024H-L-PWR WX3024H-F |
EWP-WX3010H EWP-WX3010H-X-PWR EWP-WX3010H-L-PWR EWP-WX3024H EWP-WX3024H-L-PWR EWP-WX3024H-F |
WX3010H支持 WX3010H-X支持 WX3010H-L不支持 WX3024H支持 WX3024H-L不支持 WX3024H-F支持 |
|
WX3500H係列 |
WX3508H WX3508H WX3510H WX3510H WX3520H WX3520H-F WX3540H WX3540H |
EWP-WX3508H EWP-WX3508H-F EWP-WX3510H EWP-WX3510H-F EWP-WX3520H EWP-WX3520H-F EWP-WX3540H EWP-WX3540H-F |
支持 |
|
WX5500E係列 |
WX5540E |
EWP-WX5510E EWP-WX5540E |
支持 |
|
WX5500H係列 |
WX5540H WX5560H WX5580H |
EWP-WX5540H EWP-WX5560H EWP-WX5580H |
|
|
AC插卡係列 |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
支持 |
|
產品係列 |
產品型號 |
產品代碼 |
說明 |
|
WX1800H係列 |
WX1804H-PWR WX1810H-PWR WX1820H WX1840H |
EWP-WX1804H-PWR EWP-WX1810H-PWR EWP-WX1820H EWP-WX1840H-GL |
支持 |
|
WX3800H係列 |
WX3820H WX3840H |
EWP-WX3820H-GL EWP-WX3840H-GL |
不支持 |
|
WX5800H係列 |
WX5860H |
EWP-WX5860H-GL |
不支持 |
allow l2tp命令用來配置LNS接受來自指定LAC的L2TP隧道建立請求,並指定建立L2TP隧道時使用的虛擬模板接口。
undo allow命令用來恢複缺省情況。
【命令】
allow l2tp virtual-template virtual-template-number [ remote remote-name ]
【缺省情況】
LNS不接受任何LAC的L2TP隧道建立請求。
【視圖】
L2TP組視圖
【缺省用戶角色】
network-admin
【參數】
virtual-template virtual-template-number:指定虛擬模板接口。其中,virtual-template-number為虛擬模板接口序號,取值範圍為0~1023。LNS根據虛擬模板接口下配置的參數,動態地創建VA(Virtual Access,虛擬訪問)接口。不同的VA接口用來處理不同L2TP會話上的數據。
remote remote-name:指定發起L2TP隧道建立請求的對端(即LAC)。其中,remote-name表示隧道對端的名稱,為1~31個字符的字符串,區分大小寫。
【使用指導】
本命令需要在LNS設備上執行,用來指定LNS可以接受來自哪些LAC的L2TP隧道建立請求。
在L2TP組1下,可以不指定隧道對端名稱。即在L2TP組1下,本命令的格式為:allow l2tp virtual-template virtual-template-number [ remote remote-name ]。如果指定了隧道對端名稱,則LNS隻接受來自指定隧道對端的建立請求。如果不指定隧道對端名稱,則LNS可以接受任何名稱的隧道對端的建立請求,此時L2TP組1稱為缺省L2TP組。
在其他L2TP組(非L2TP組1)下,必須指定隧道對端的名稱。即在其他L2TP組下,本命令的格式為:allow l2tp virtual-template virtual-template-number remote remote-name。
如果發起建立請求的隧道對端與某個L2TP組下配置的對端名稱匹配,則LNS與該對端建立L2TP隧道時采用該L2TP組下配置的隧道參數(如隧道驗證功能、流控功能等)。如果隧道對端不與任何L2TP組下配置的對端名稱匹配,則存在缺省L2TP組時,LNS與該對端建立的L2TP隧道采用缺省L2TP組下配置的隧道參數,不存在缺省L2TP組時,LNS無法與該對端建立L2TP隧道。
如下情況下,建議用戶在LNS上配置缺省L2TP組:
· 某些LAC(如采用Windows 2000 beta 2版本的主機)發送的L2TP隧道建立請求中本端名稱為空。為了接受這種不知名的對端發起的隧道建立請求,LNS上需要配置缺省L2TP組。
· LNS與多個LAC建立的L2TP隧道參數相同時,可以通過缺省L2TP組簡化配置。
隻能在LNS模式的L2TP組下執行本命令。LAC模式的L2TP組下不支持本命令。
執行本命令時要確保指定的隧道對端名稱和LAC側配置的隧道本端名稱一致。
如果在同一個L2TP組下多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置LNS接受名稱為aaa的對端(LAC)發起的L2TP隧道建立請求,並指定建立L2TP隧道時使用的虛擬模板接口為Virtual-Template2。對於其他名稱的對端,LNS接受L2TP隧道建立請求,L2TP隧道建立時使用的虛擬模板接口為Virtual-Template1。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lns
[Sysname-l2tp1] allow l2tp virtual-template 1
[Sysname-l2tp1] quit
[Sysname] l2tp-group 2 mode lns
[Sysname-l2tp2] allow l2tp virtual-template 2 remote aaa
【相關命令】
· tunnel name
display l2tp session命令用來顯示L2TP會話的信息。
【命令】
display l2tp session [ statistics ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
statistics:顯示L2TP會話的統計信息。
【舉例】
# 顯示L2TP會話的統計信息。
<Sysname> display l2tp session statistics
Total number of sessions: 1
# 顯示L2TP會話的信息。
<Sysname> display l2tp session
LocalSID RemoteSID LocalTID State
表1-1 display l2tp session命令顯示信息描述表
|
字段 |
描述 |
|
Total number of sessions |
會話的數目 |
|
LocalSID |
本端的會話ID |
|
RemoteSID |
對端的會話ID |
|
LocalTID |
本端的隧道ID |
|
State |
會話的狀態,取值包括: · Idle:空閑狀態 · Wait-tunnel:等待建立隧道 · Wait-reply:等待ICRP報文 · Wait-connect:等待ICCN報文 · Established:會話成功建立 |
display l2tp session temporary命令用來顯示當前L2TP非穩態會話的信息。
【命令】
display l2tp session temporary
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示當前L2TP非穩態會話信息。
<Sysname> display l2tp session temporary
Total number of temporary sessions: 6
LocalSID RemoteSID LocalTID State
2298 0 19699 Wait-tunnel
42805 0 19699 Wait-tunnel
17777 0 19699 Wait-tunnel
58284 0 19699 Wait-tunnel
33256 0 19699 Wait-tunnel
8228 0 19699 Wait-tunnel
表1-2 display l2tp session temporary命令顯示信息描述表
|
字段 |
描述 |
|
Total number of temporary sessions |
非穩態會話的數目 |
|
LocalSID |
本端的非穩態會話ID |
|
RemoteSID |
對端的非穩態會話ID |
|
LocalTID |
本端的隧道ID |
|
State |
非穩態會話的狀態,取值包括: · Idle:空閑狀態 · Wait-tunnel:等待建立隧道 · Wait-reply:等待ICRP報文 · Wait-connect:等待ICCN報文 |
display l2tp tunnel命令用來顯示L2TP隧道的信息。
【命令】
display l2tp tunnel [ statistics ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
statistics:顯示L2TP隧道的統計信息。
【舉例】
# 顯示L2TP隧道的統計信息。
<Sysname> display l2tp tunnel statistics
Total number of tunnels: 1
# 顯示L2TP隧道的信息。
<Sysname> display l2tp tunnel
LocalTID RemoteTID State Sessions RemoteAddress RemotePort RemoteName
10878 21 Established 1 20.1.1.2 1701 lns
表1-3 display l2tp tunnel命令顯示信息描述表
|
字段 |
描述 |
|
Total number of tunnels |
隧道的數目 |
|
LocalTID |
本端的隧道ID |
|
RemoteTID |
對端的隧道ID |
|
State |
隧道的狀態,取值包括: · Idle:空閑狀態 · Wait-reply:等待SCCRP報文 · Wait-connect:等待SCCCN報文 · Established:隧道成功建立 · Stopping:正在下線 |
|
Sessions |
此隧道上的會話數目 |
|
RemoteAddress |
對端的IP地址 |
|
RemotePort |
對端L2TP使用的UDP端口號 |
|
RemoteName |
隧道對端的名稱 |
【相關命令】
· reset l2tp tunnel
display l2tp va-pool命令用來顯示L2TP的VA池信息。
【命令】
display l2tp va-pool
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【舉例】
# 顯示L2TP的VA池信息。
<Sysname> display l2tp va-pool
VT interface Size Unused State
Virtual-Template1 1000 900 Normal
表1-4 display l2tp va-pool命令顯示信息描述表
|
字段 |
描述 |
|
VT interface |
使用VA池的虛擬模板接口 |
|
Size |
用戶申請的VA池容量 |
|
Unused |
VA池中可用的VA接口數量 |
|
State |
VA池當前的狀態,取值包括: · Creating:表示正在創建VA池 · Destroying:表示正在刪除VA池 · Normal:表示VA池已經創建完成 |
【相關命令】
· l2tp virtual-template va-pool
display ppp access-control interface命令用來顯示虛擬模板接口產生的PPP會話的動態防火牆的統計信息。
【命令】
display ppp access-control interface virtual-template interface-number
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
virtual-template interface-number:顯示指定虛擬模板接口產生的PPP會話的動態防火牆的統計信息。interface-number表示虛擬模板接口的編號,取值範圍為已創建的虛擬模板接口的編號。
【舉例】
# 查看指定虛擬模板接口2產生的PPP會話的動態防火牆的統計信息。
<Sysname> display ppp access-control interface virtual-template 2
Interface: Virtual-Template2:0
User Name: mike
In-bound Policy: acl 3000
Totally 0 packets, 0 bytes, 0% permitted,
Totally 0 packets, 0 bytes, 0% denied.
Interface: Virtual-Template2:1
User Name: tim
In-bound Policy: acl 3001
Totally 0 packets, 0 bytes, 0% permitted,
Totally 0 packets, 0 bytes, 0% denied.
表1-5 display ppp access-control interface顯示信息描述表
|
字段 |
描述 |
|
Interface |
PPP用戶接入的BAS接口 |
|
User Name |
PPP用戶名 |
|
In-bound Policy |
為PPP用戶創建的包過濾防火牆的ACL規則 |
|
Totally x packets, x bytes, x% permitted |
總通過的報文數、報文字節數、通過率 |
|
Totally x packets, x bytes, x% denied |
總拒絕的報文數、報文字節數、拒絕率 |
【相關命令】
· ppp access-control enable
ip dscp命令用來配置隧道報文的DSCP(Differentiated Services Code Point,區分服務編碼點)優先級。
undo ip dscp命令用來恢複缺省情況。
【命令】
ip dscp dscp-value
undo ip dscp
【缺省情況】
隧道報文的DSCP優先級為0。
【視圖】
L2TP組視圖
【缺省用戶角色】
network-admin
【參數】
dscp-value:隧道報文的DSCP優先級,取值範圍為0~63。
【使用指導】
DSCP攜帶在IP報文中的ToS字段,用來體現報文自身的優先等級,決定報文傳輸的優先程度。通過本命令可以指定發送的L2TP隧道報文中攜帶的DSCP優先級的取值。
【舉例】
# 配置隧道報文的DSCP優先級為50。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] ip dscp 50
l2tp enable命令用來開啟L2TP功能。
undo l2tp enable命令用來關閉L2TP功能。
【命令】
l2tp enable
undo l2tp enable
【缺省情況】
L2TP功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
隻有開啟該功能後其他L2TP相關配置才能生效。
【舉例】
# 開啟L2TP功能。
<Sysname> system-view
[Sysname] l2tp enable
l2tp icrq-limit命令用來配置LNS端每秒能處理ICRQ(Incoming Call Request,入呼叫請求)報文的最大數目。
undo l2tp icrq-limit命令用來恢複缺省情況。
【命令】
l2tp icrq-limit number
undo l2tp icrq-limit
【缺省情況】
未限製每秒能處理ICRQ報文的最大數目。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
number:LNS端每秒能處理ICRQ報文的最大數目,取值範圍為1~1000。
【使用指導】
為避免大量L2TP用戶的突發上線請求對設備性能造成影響,同時又確保L2TP用戶能夠平穩上線,可以通過本命令調整設備接收處理ICRQ報文的速率。
【舉例】
# 配置LNS端每秒最多能處理200個ICRQ報文。
<Sysname> system-view
[Sysname] l2tp icrq-limit 200
l2tp tsa-id命令用來配置LTS設備的TSA ID,並開啟LTS設備的L2TP環路檢測功能。
undo l2tp tsa-id命令用來恢複缺省情況。
【命令】
l2tp tsa-id tsa-id
undo l2tp tsa-id
【缺省情況】
未指定LTS設備的TSA ID,且LTS設備的L2TP環路檢測功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
tsa-id:LTS設備的唯一標識,為1~64個字符的字符串,區分大小寫。
【使用指導】
在L2TP隧道交換組網中,LTS通過ICRQ(Incoming Call Request,入呼叫請求)報文中的TSA(Tunnel Switching Aggregator,隧道交換聚合) ID AVP來避免環路。
LTS接收到ICRQ報文後,將報文中攜帶的所有TSA ID AVP中的TSA ID逐一與本地配置的TSA ID進行比較。如果TSA ID AVP中存在與本地相同的TSA ID,則表示存在環路,LTS立即拆除會話。否則,LTS將自己的TSA ID封裝到新的TSA ID AVP中,LTS向它的下一跳LTS發送ICRQ報文時攜帶接收到的所有TSA ID AVP及本地封裝的TSA ID AVP。
為不同LTS設備配置的TSA ID不能相同,否則會導致環路檢測錯誤。
【舉例】
# 配置LTS設備的TSA ID為lts0,並開啟LTS設備的L2TP環路檢測功能。
<Sysname> system-view
[Sysname] l2tp tsa-id lts0
l2tp virtual-template va-pool命令用來配置VA池。
undo l2tp virtual-template va-pool命令用來刪除VA池。
【命令】
l2tp virtual-template template-number va-pool va-volume
undo l2tp virtual-template template-number va-pool
【缺省情況】
未配置任何VA池。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
virtual-template template-number:指定需要使用VA池的虛擬模板接口。該接口必須已經存在。
va-pool va-volume:指定需要創建的VA池的大小,取值範圍為1~65534。
【使用指導】
LNS設備在用戶上線創建會話時需要創建VA接口,用於和LAC交換數據。在用戶下線後需要刪除VA接口。由於創建/刪除VA接口需要一定的時間,所以如果有大量用戶上線/下線,L2TP連接的建立和拆除性能會受到影響。
VA池可以用來解決上述問題。VA池是在建立L2TP連接前事先創建的VA接口的集合。創建VA池後,當需要創建VA接口時,直接從VA池中獲取一個VA接口,加快了L2TP連接的建立速度。當用戶下線後,直接把VA接口放入VA池中,不需要刪除VA接口,加快了L2TP連接的拆除速度。當VA池中的VA接口耗光後,仍需在建立L2TP連接時再創建VA接口,在用戶下線後刪除VA接口。
每個虛擬模板接口隻能關聯一個VA池。如果想要修改使用的VA池的大小,隻能先刪除原來的配置,然後重新配置VA池。
創建/刪除VA池需要花費一定的時間,請用戶耐心等待。在VA池創建/刪除過程中(還沒創建/刪除完成)允許用戶上線/下線,但正在創建/刪除的VA池不生效。
係統可能由於資源不足不能創建用戶指定容量的VA池,用戶可以通過display l2tp va-pool命令查看實際可用的VA池的容量以及VA池的狀態。
VA池會占用較多的係統內存,請用戶根據實際情況創建大小合適的VA池。
刪除VA池時,如果已有在線用戶使用該VA池中的VA接口,不會導致這些用戶下線。
【舉例】
# 為虛擬模板2創建容量為1000的VA池。
<Sysname> system-view
[Sysname] l2tp virtual-template 2 va-pool 1000
【相關命令】
· display l2tp va-pool
l2tp-group命令用來創建L2TP組。
undo l2tp-group命令用來刪除L2TP組。
【命令】
l2tp-group group-number [ mode { lac | lns } ]
undo l2tp-group group-number
【缺省情況】
未配置任何L2TP組。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
group-number:L2TP組號,取值範圍為1~65535。
mode:指定L2TP組的模式。
lac:LAC模式,表示設備可以作為L2TP隧道的LAC端向LNS發起隧道建立請求。
lns:LNS模式,表示設備可以作為L2TP隧道的LNS端接受來自LAC的隧道建立請求。
【使用指導】
通過本命令創建L2TP組時,必須攜帶mode關鍵字,指定L2TP組的模式。通過本命令進入已經創建的L2TP組視圖時,不需要攜帶mode關鍵字。
在L2TP組視圖下,可以配置L2TP隧道的參數,如隧道驗證功能、流控功能等。
一台設備上可以同時存在LAC模式和LNS模式的L2TP組。
【舉例】
# 創建L2TP組2,指定L2TP組模式為LAC,並進入L2TP組視圖。
<Sysname> system-view
[Sysname] l2tp-group 2 mode lac
[Sysname-l2tp2]
【相關命令】
· allow l2tp
· lns-ip
· user
mandatory-chap命令用來強製LNS重新對用戶進行CHAP驗證。
undo mandatory-chap命令用來恢複缺省情況。
【命令】
mandatory-chap
undo mandatory-chap
【缺省情況】
LNS不會重新對用戶進行CHAP驗證。
【視圖】
L2TP組視圖
【缺省用戶角色】
network-admin
【使用指導】
缺省情況下,LAC代替LNS對用戶進行驗證,並將用戶的所有驗證信息及LAC端本身配置的驗證方式發送給LNS。LNS根據接收到的信息及LNS端配置的驗證方式,判斷用戶是否合法。
為了增加安全性,可以執行mandatory-chap命令,強製在LAC代理驗證成功後,LNS再次對用戶進行CHAP驗證。
執行mandatory-chap命令配置強製CHAP驗證後,對於NAS-Initiated模式L2TP隧道的用戶來說,會經過兩次驗證:一次是在NAS端的驗證,另一次是在LNS端的驗證。一些用戶可能不支持進行第二次驗證,這時,LNS端的CHAP重新驗證會失敗。在這種情況下,建議不要開啟LNS的強製CHAP驗證功能。
隻能在LNS模式的L2TP組下執行本命令。LAC模式的L2TP組下不支持本命令。
本命令隻對NAS-Initiated模式的L2TP隧道有效,對Client-Initiated模式和LAC-Auto-Initiated模式的L2TP隧道無效。
mandatory-lcp命令的優先級高於本命令,即如果在L2TP組下同時執行了mandatory-chap命令和mandatory-lcp命令,則LNS與用戶重新進行LCP協商。
【舉例】
# 強製LNS重新對用戶進行CHAP驗證。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lns
[Sysname-l2tp1] mandatory-chap
【相關命令】
· mandatory-lcp
mandatory-lcp命令用來強製LNS與用戶重新進行LCP(Link Control Protocol,鏈路控製協議)協商。
undo mandatory-lcp命令用來恢複缺省情況。
【命令】
mandatory-lcp
undo mandatory-lcp
【缺省情況】
LNS不會與用戶重新進行LCP協商。
【視圖】
L2TP組視圖
【缺省用戶角色】
network-admin
【使用指導】
缺省情況下,對於NAS-Initialized模式的L2TP隧道,用戶先和LAC進行LCP協商。如果協商通過,則由LAC發起L2TP隧道建立請求,並把與用戶協商時收集到的信息(包括驗證信息)發送給LNS。LNS根據接收到的信息判斷用戶是否合法。LNS不會與用戶重新進行LCP協商。
LAC與用戶協商出來的LCP參數可能不是LNS期望的參數。此時,需要在LNS上執行mandatory-lcp命令,強製LNS與用戶重新進行LCP協商,忽略LAC發送的信息。
如果一些PPP用戶不支持LCP重新協商,則LCP重新協商過程會失敗。在這種情況下,建議不要開啟LNS的強製LCP重協商功能。
隻能在LNS模式的L2TP組下執行本命令。LAC模式的L2TP組下不支持本命令。
本命令隻對NAS-Initiated模式的L2TP隧道有效,對Client-Initiated模式和LAC-Auto-Initiated模式的隧道無效。
本命令的優先級高於mandatory-chap命令,即如果在L2TP組下同時執行了mandatory-chap命令和mandatory-lcp命令,則LNS與用戶重新進行LCP協商。
【舉例】
# 強製LNS與用戶重新進行LCP協商。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lns
【相關命令】
· mandatory-chap
ppp access-control enable命令用來開啟基於L2TP接入的EAD功能。
undo ppp access-control enable命令用來關閉基於L2TP接入的EAD功能。
【命令】
ppp access-control enable
undo ppp access-control enable
【缺省情況】
基於L2TP接入的EAD功能處於關閉狀態。
【視圖】
虛擬模板接口視圖
【缺省用戶角色】
network-admin
【使用指導】
本命令對於虛擬模板接口下已經存在的PPP會話不生效,僅對新創建的PPP會話生效。
虛擬模板接口作為LNS側的接入接口時,可能需要根據不同用戶使用不同的報文過濾策略。
EAD功能開啟後,可以透傳CAMS/iMC報文給iNode設備,通知iNode設備一些EAD服務器的信息,例如IP地址等。
【舉例】
# 開啟基於L2TP接入的EAD功能。
<Sysname> system-view
[Sysname] interface virtual-template 10
[Sysname-Virtual-Template10] ppp access-control enable
【相關命令】
· display ppp access-control interface
reset l2tp tunnel命令用來斷開L2TP隧道,同時斷開該隧道內的所有會話。
【命令】
reset l2tp tunnel { id tunnel-id | name remote-name }
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
id tunnel-id:斷開隧道ID為指定值的L2TP隧道。tunnel-id為隧道ID,取值範圍為1~65535。
name remote-name:斷開與指定隧道對端之間的L2TP隧道。remote-name表示隧道對端的名稱,為1~31個字符的字符串,區分大小寫。
【使用指導】
在用戶數為零、網絡發生故障等情況下,可以通過本命令強製斷開指定的L2TP隧道。LAC和LNS任何一端都可主動發起斷開L2TP隧道的請求。隧道斷開後,該隧道上的所有L2TP會話也將被清除。
強製斷開一個L2TP隧道後,當對端用戶再次呼入時,隧道可以重新建立。
通過指定隧道的對端名稱來確定需要斷開的L2TP隧道時,如果沒有符合條件的L2TP隧道存在,則對當前的L2TP隧道沒有影響;如果有多個符合條件的L2TP隧道存在(同一個名稱,不同IP地址),則斷開所有符合條件的L2TP隧道。
【舉例】
# 斷開對端名稱為aaa的L2TP隧道,並斷開該隧道內的所有會話。
<Sysname> reset l2tp tunnel name aaa
【相關命令】
tunnel authentication命令用來開啟L2TP隧道驗證功能。
undo tunnel authentication命令用來關閉L2TP隧道驗證功能。
【命令】
tunnel authentication
undo tunnel authentication
【缺省情況】
L2TP隧道驗證功能處於開啟狀態。
【視圖】
L2TP組視圖
【缺省用戶角色】
network-admin
【使用指導】
L2TP隧道驗證功能用來防止本端設備與非法的對端設備建立L2TP隧道,提高網絡的安全性。
如果LAC和LNS兩端都開啟了隧道驗證功能,則兩端密鑰(通過tunnel password命令配置)不為空並且完全一致的情況下,二者之間才能成功建立L2TP隧道。
如果LAC和LNS中的一端開啟了隧道驗證功能,則另一端可不開啟隧道驗證功能,但需要兩端密鑰(通過tunnel password命令配置)不為空並且完全一致,二者之間才能成功建立L2TP隧道。
如果LAC和LNS兩端都禁用隧道驗證功能,則無論兩端是否配置密鑰、密鑰是否相同,都不影響隧道建立。
為了保證隧道安全,建議用戶不要禁用隧道驗證功能。
【舉例】
# 開啟L2TP隧道驗證功能。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lns
[Sysname-l2tp1] tunnel authentication
【相關命令】
· tunnel password
tunnel flow-control命令用來開啟L2TP會話的流控功能。
undo tunnel flow-control命令用來關閉L2TP會話的流控功能。
【命令】
tunnel flow-control
undo tunnel flow-control
【缺省情況】
L2TP會話的流控功能處於關閉狀態。
【視圖】
L2TP組視圖
【缺省用戶角色】
network-admin
【使用指導】
L2TP會話的流控功能是指在L2TP會話上傳遞的報文中攜帶序列號,通過序列號檢測是否存在丟包,並根據序列號對亂序報文進行排序。
L2TP會話的流控功能應用在L2TP數據報文的接收與發送過程中。
隻要LAC和LNS中的一端開啟了流控功能,二者之間建立的L2TP會話就支持流控功能。設備作為LAC時,L2TP會話建立後如果LNS上改變了流控功能的狀態,則L2TP會話的流控功能狀態隨之改變。設備作為LNS時,L2TP會話建立後如果LAC上改變了流控功能的狀態,則L2TP會話的流控功能狀態不會隨之改變。
【舉例】
# 開啟L2TP會話的流控功能。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] tunnel flow-control
tunnel name命令用來配置隧道本端的名稱。
undo tunnel name命令用來恢複缺省情況。
【命令】
tunnel name name
undo tunnel name
【缺省情況】
隧道本端的名稱為設備的名稱。設備名稱的詳細介紹,請參見“設備管理配置指導”中的“設備管理配置”。
【視圖】
L2TP組視圖
【缺省用戶角色】
network-admin
【參數】
name:隧道本端的名稱,為1~31個字符的字符串,區分大小寫。
【舉例】
# 配置隧道本端的名稱為itsme。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lns
[Sysname-l2tp1] tunnel name itsme
【相關命令】
· sysname(基礎配置命令參考/設備管理)
tunnel password命令用來配置隧道驗證密鑰。
undo tunnel password命令用來恢複缺省情況。
【命令】
tunnel password { cipher | simple } string
undo tunnel password
【缺省情況】
未配置隧道驗證密鑰。
【視圖】
L2TP組視圖
【缺省用戶角色】
network-admin
【參數】
cipher:以密文方式設置密鑰。
simple:以明文方式設置密鑰,該密鑰將以密文形式存儲。
string:隧道驗證密鑰,區分大小寫。如果是cipher方式,則string為1~53個字符的密文字符串;如果是simple方式,則string為1~16個字符的明文字符串。
【使用指導】
隻有通過tunnel authentication命令開啟隧道驗證功能後,本命令才會生效。
以明文或密文形式設置的密鑰,均以密文的方式保存在配置文件中。
如果用戶需要修改隧道驗證的密鑰,請在隧道開始協商前進行,否則修改的密鑰不生效。
【舉例】
# 以明文方式配置隧道驗證密鑰為yougotit。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] tunnel password simple yougotit
【相關命令】
· tunnel authentication
tunnel timer hello命令用來配置隧道中Hello報文的發送時間間隔。
undo tunnel timer hello命令用來恢複缺省情況。
【命令】
tunnel timer hello hello-interval
undo tunnel timer hello
【缺省情況】
隧道中Hello報文的發送時間間隔為60秒。
【視圖】
L2TP組視圖
【缺省用戶角色】
network-admin
【參數】
hello-interval:Hello報文的發送時間間隔,取值範圍為60~1000,單位為秒。
【使用指導】
設備按照本命令配置的時間間隔周期性發送Hello報文,以免LAC和LNS之間的L2TP隧道和會話在超時後被刪除。
在LNS和LAC上,可以配置不同的Hello報文發送時間間隔。
【舉例】
# 配置隧道中Hello報文的發送時間間隔為90秒。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] tunnel timer hello 90
tunnel window receive命令用來配置L2TP隧道接收窗口的大小。
undo tunnel window receive命令用來恢複缺省情況。
【命令】
tunnel window receive size
undo tunnel window receive
【缺省情況】
L2TP隧道接收窗口的大小為1024。
【視圖】
L2TP組視圖
【缺省用戶角色】
network-admin
【參數】
size:L2TP隧道接收窗口的大小,即本端可緩存處理的報文個數,取值範圍為1~5000。
【使用指導】
如果亂序報文過多,可以通過調整L2TP接收窗口的大小進行緩解。當出現亂序報文的時候,如果亂序報文NS(L2TP報文中用於標識當前報文序列號的字段)在接收窗範圍內,設備會先將報文緩存起來,等待NS等於接收窗下沿的報文到達。當收到NS等於接收窗下沿的報文時,則對其(NS等於接收窗下沿的報文)進行處理,處理完該報文後,接收窗下沿加1;如果此時緩存中存在NS等於接收窗下沿的報文,則繼續處理;如不存在,則繼續等待NS等於接收窗下沿的報文到達;依次類推。對於超過接收窗範圍的報文進行丟棄。
在L2TP隧道建立時,接收窗口大小以L2TP組視圖下配置的接收窗口大小為準。隧道建立完成後通過本命令修改L2TP隧道接收窗口的大小對已經建立的隧道接收窗口的大小無影響。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置隧道的接收窗口大小為128。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] tunnel window receive 128
【相關命令】
· tunnel window send
tunnel window send命令用來配置L2TP隧道發送窗口的大小。
undo tunnel window send命令用來恢複缺省情況。
【命令】
tunnel window send size
undo tunnel window send
【缺省情況】
L2TP隧道發送窗口的大小為0,即本端發送窗口的大小以隧道建立過程中對端攜帶的接收窗口大小的屬性值為準,如果隧道建立過程中對端沒有攜帶接收窗口大小屬性,則本端隧道發送窗口的大小為4。
【視圖】
L2TP組視圖
【缺省用戶角色】
network-admin
【參數】
size:L2TP隧道發送窗口的大小,即本端在未收到對端應答報文的情況下,可向對端發送的最大報文個數,取值範圍為0~1024。
【使用指導】
在某些組網中可能出現對端的報文接收處理能力和對端接收窗口的大小不匹配的情況(例如:對端實際的報文接收處理能力為10,但接收窗口的大小為20),此時可以通過本命令調整本端L2TP隧道發送窗口的大小來適配對端的實際報文接收處理能力,以保證L2TP用戶平穩上線。
在L2TP隧道建立時會獲取L2TP組視圖下配置的發送窗口大小。如果配置的發送窗口大小為0,則按缺省情況處理;如果配置的發送窗口大小非0,則以配置的發送窗口大小為準。隧道建立完成後通過本命令修改L2TP隧道發送窗口的大小對已經建立的隧道發送窗口的大小無影響。
多次執行本命令,最後一次執行的命令生效。
【舉例】
# 配置隧道的發送窗口大小為128。
<Sysname> system-view
[Sysname] l2tp-group 1 mode lac
[Sysname-l2tp1] tunnel window send 128
【相關命令】
· tunnel window receive
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
