- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
16-L2TP
本章節下載: 16-L2TP (297.86 KB)
本幫助主要介紹以下內容:
· 特性簡介
○ L2TP隧道模式
· 常見問題解答
○ 常見故障之一
○ 常見故障之二
L2TP(Layer 2 Tunneling Protocol,二層隧道協議)通過在公共網絡(如Internet)上建立點到點的L2TP隧道,將PPP(Point-to-Point Protocol,點對點協議)數據幀封裝後通過L2TP隧道傳輸,使得遠端用戶(如企業駐外機構和出差人員)利用PPP接入公共網絡後,能夠通過L2TP隧道與企業內部網絡通信,訪問企業內部網絡資源。
在L2TP的組網中,角色分為以下三個部分:
遠端係統是要接入企業內部網絡的遠端用戶和遠端分支機構,通常是一個撥號用戶的主機或私有網絡中的一台設備。
LAC是具有PPP和L2TP協議處理能力的設備,通常是一個當地ISP的NAS(Network Access Server,網絡接入服務器),主要用於為PPP類型的用戶提供接入服務。
LAC作為L2TP隧道的端點,位於LNS和遠端係統之間,用於在LNS和遠端係統之間傳遞報文。它把從遠端係統收到的報文按照L2TP協議進行封裝並送往LNS,同時也將從LNS收到的報文進行解封裝並送往遠端係統。
LNS是具有PPP和L2TP協議處理能力的設備,通常位於企業內部網絡的邊緣。
LNS作為L2TP隧道的另一側端點,是LAC通過隧道傳輸的PPP會話的邏輯終點。L2TP通過在公共網絡中建立L2TP隧道,將遠端係統的PPP連接由原來的NAS延伸到了企業內部網絡的LNS設備。
L2TP隧道包括NAS-Initiated、Client-Initiated和LAC-Auto-Initiated三種模式。
如圖-1所示,NAS-Initiated模式L2TP隧道的建立由LAC(即NAS)發起。遠端係統的撥號用戶通過PPPoE/ISDN撥入LAC後,由LAC向LNS發起建立L2TP隧道的請求。
圖-1 NAS-Initiated模式L2TP隧道示意圖
NAS-Initiated模式L2TP隧道具有如下特點:
遠端係統隻需支持PPP協議,不需要支持L2TP。
對遠端撥號用戶的身份認證與計費既可由LAC代理完成,也可由LNS完成。
如圖-2所示,Client-Initiated模式L2TP隧道的建立直接由LAC client(指本地支持L2TP協議的遠端係統)發起。LAC client具有公網地址,並能夠通過Internet與LNS通信後,如果在LAC client上觸發L2TP撥號,則LAC client直接向LNS發起L2TP隧道建立請求,無需經過LAC設備建立隧道。
圖-2 Client-Initiated模式L2TP隧道示意圖
Client-Initiated模式L2TP隧道具有如下特點:
· L2TP隧道在遠端係統和LNS之間建立,具有較高的安全性。
· Client-Initiated模式L2TP隧道對遠端係統要求較高(遠端係統必須是支持L2TP協議的LAC client,且能夠與LNS通信),因此它的擴展性較差。
采用NAS-Initiated方式建立L2TP隧道時,要求遠端係統必須通過PPPoE/ISDN等撥號方式撥入LAC,且隻有遠端係統撥入LAC後,才能觸發LAC向LNS發起建立隧道的請求。
如圖-3所示,在LAC-Auto-Initiated模式下,不需要遠端係統撥號觸發,LAC采用特定L2TP組下配置的隧道參數建立L2TP隧道。遠端係統訪問LNS連接的內部網絡時,LAC將通過L2TP隧道轉發這些訪問數據。
圖-3 LAC-Auto-Initiated模式L2TP隧道示意圖
LAC-Auto-Initiated模式L2TP隧道具有如下特點:
· 遠端係統和LAC之間可以是任何基於IP的連接,不局限於撥號連接。
· 不需要遠端係統上的撥號接入來觸發建立L2TP隧道。
· L2TP隧道創建成功後立即建立L2TP會話,然後在LAC和LNS之間進行PPP協商,LAC和LNS分別作為PPP客戶端和PPP服務器端。
· 一條L2TP隧道上隻承載一個L2TP會話。
· LNS為LAC分配企業網內部的IP地址,而不是為遠端係統分配。
通過“VPN > L2TP > 隧道信息”,查看不到隧道信息(即隧道未成功建立)。
可能有以下原因:
· LAC端配置的L2TP服務器端地址不正確。
· LAC端和LNS端配置的PPP認證方式不一致。
· LAC端配置的用戶名和密碼錯誤,或者是LNS端不存在相應的用戶。
· LNS端上的組號不為1時,配置的LAC端隧道名稱與LNS端配置的隧道名稱不一致。
· 隧道驗證不通過:
○ 如果LAC和LNS兩端都開啟了隧道驗證功能,則兩端密鑰不為空並且完全一致的情況下,二者之間才能成功建立L2TP隧道。
○ 如果LAC和LNS中的一端開啟了隧道驗證功能,則另一端可不開啟隧道驗證功能,但需要兩端密鑰不為空並且完全一致,二者之間才能成功建立L2TP隧道。
通過“VPN > L2TP > 隧道信息”,查看隧道成功建立,但是數據傳輸失敗(如不能Ping通私網側主機)
可能有如下原因:
· 路由問題:LAC和LNS上需要存在到達對端私網的路由,否則會導致數據傳輸失敗。在LAC和LNS上查看設備上是否存在到達對端私網的路由。若不存在,則需要配置靜態路由或動態路由協議,在設備上添加該路由。
· 安全策略:LNS端的VT接口需要加入到安全域,並在安全策略中放行該安全域到Local安全域的相關流量,否則數據會因為安全策略的原因被設備丟棄。
· 網絡擁擠:Internet主幹網產生擁擠,丟包現象嚴重。L2TP是基於UDP進行傳輸的,UDP不對報文進行差錯控製。如果是在線路質量不穩定的情況下進行L2TP應用,有可能會產生Ping不通對端的情況。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
