01-05 配置L2TP

5 LTE Cellular接口配置关于本章当您需要通过LTE网络传输语音、视频或数据业务时，可以配置LTE Cellular接口。

5.1 LTE Cellular接口简介介绍LTE Cellular接口的定义、类型、目的、受益和局限性。

5.2 LTE Cellular接口原理描述介绍LTE的实现原理。

5.3 LTE Cellular接口配置注意事项5.4 LTE Cellular接口应用场景介绍LTE Cellular接口的应用场景。

5.5 LTE Cellular接口配置任务概览介绍LTE Cellular接口的配置任务。

5.6 LTE Cellular接口缺省配置介绍LTE Cellular接口的缺省配置。

5.7 配置LTE Cellular接口的连接参数完成LTE Cellular接口通过LTE网络接入Internet前，您必须首先配置LTE Cellular接口的连接参数。

5.8 配置轮询DCC拨号连接当通过LTE Cellular接口接入LTE网络时，需要配置轮询DCC拨号连接功能。

5.9 配置PIN管理功能配置SIM卡的PIN管理功能，能有效保护SIM卡的安全。

5.10 （可选）配置短信收发功能5.11 （可选）配置短信告警功能配置短信告警功能，可以向指定用户发送指定内容的短信，告知业务接口状态的变化。

5.12 （可选）配置3G/LTE天线的切换功能5.13 配置APN的用户名携带IMSI和SN信息5.14 配置通过Cellular接口透传DHCP报文5.15 维护LTE Cellular接口5.16 LTE Cellular接口配置举例介绍LTE Cellular接口典型场景配置举例。

配置举例包括组网需求、组网图、配置思路和配置步骤。

5.1 LTE Cellular接口简介介绍LTE Cellular接口的定义、类型、目的、受益和局限性。

定义LTE（Long Term Evolution）是第三代合作伙伴计划3GPP（3rd GenerationPartnership Project）主导的通用移动通信系统UMTS（Universal MobileTelecommunications System）技术的长期演进。

1、服务器配置启动路由和远程访问服务，如下图：Routing and Remote Access点击开始，管理工具，选择路由和远程访问，选择配置并启动路由和远程访问，显示页面效果如下：注意，路由和远程访问服务正常启动后，左侧红圈处为绿色，如果为如图所示红色，选择所有任务，启动。

点击下一步选择自定义配置，在弹出页面选择VPN。

选择接受拨入的网卡，注：选择VPN时可能会弹出提示要求提供多于一块的网卡，可以添加一块lookback网卡，如下图本地连接2。

选择DHCP池，如下图：启用基本的名称地址服务选择使用路由和远程访问来对连接请求进行身份验证完成配置添加静态路由添加一条默认路由到本机网关，确保正常的对外访问添加一条vpn路由到vpn拨入网段添加一个VPN拨入账户，建议使用user用户组，每个客户必须使用唯一对应的账户2、客户机配置启动路由和远程服务设置拨入接口设置名称设置拨入方式选择VPN类型，必须与服务器一致设置服务器地址。

注，填写服务器真实地址，下图显示的是测试地址增加路由，添加默认路由和前往vpn的路由，参见服务器路由设置填写vpn账户的用户名、密码。

参见服务器设置中增加VPN账户设置vpn拨入信息设置持续性连接确保服务器重启后会自动拨入Vpn连接中断后会自动重播99次。

当重新拨上后/服务器重启后重播次数归零。

C:\WINDOWS\system32\ras\Router.PbkRedialAttempts=99 改为9999C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Connections\Pbk\rasphone.pbk。

1.路由器上的配置：systeml2tp enabledomain systemip pool 1 172.16.1.2 172.16.1.254quitlocal-user usera /创建用于验证用户的本地帐号/ password simple useraservice-type pppquitinterface Virtual-Template0ppp authentication-mode pap /PPP认证方式为PAP，使用system 默认域/ip address 172.16.1.1 255.255.255.0remote address pool 1 /指定使用ip pool 1给用户分配地址/ quitl2tp-group 1mandatory-lcp /LCP再协商/allow l2tp virtual-template 0 /接受任何LAC的l2tp请求，并绑定到VT0/ undo tunnel authentication /不进行tunnel认证/quit2.PC机上的配置2.1：修改注册表：(修改后需要重启PC机)Windows2000的L2TP功能缺省启动证书方式的IPSEC，应当在注册表中禁用。

方法如下：执行regedit命令，找到如下位置HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\P arameters加入如下注册项：Value Name: ProhibitIpSecData Type: REG_DWORDValue: 12.2：创建L2TP拨号链接：[RT1]dis cu[RT1]dis current-configuration#version 5.20, Alpha 1011#sysname RT1#password-control login-attempt 3 exceed lock-time 120 #l2tp enable#undo voice vlan mac-address 00e0-bb00-0000#ipsec cpu-backup enable#undo cryptoengine enable#domain default enable system#vlan 1#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disableip pool 1 192.168.200.10 192.168.200.20#local-user l2tpuserservice-type ppppassword-control length 5local-user pppoeuserservice-type ppppassword-control length 5local-user pppuserservice-type ppppassword-control length 5#l2tp-group 1tunnel password simple 123tunnel name LACstart l2tp ip 23.1.1.2 fullusername l2tpuser#interface Ethernet0/1/0pppoe-server bind Virtual-Template 1 #interface Ethernet0/1/1port link-mode route#interface Serial0/2/0link-protocol pppppp authentication-mode chapppp chap user pppuser1ip address 12.1.1.1 255.255.255.0#interface Serial0/2/1link-protocol ppp#interface Virtual-Template1ppp authentication-mode pap remote address pool 1ip address 192.168.200.1 255.255.255.0 #interface NULL0#interface Ethernet0/4/0port link-mode bridge#interface Ethernet0/4/1port link-mode bridge#interface Ethernet0/4/2port link-mode bridge#interface Ethernet0/4/3port link-mode bridge#interface Ethernet0/4/4port link-mode bridge#interface Ethernet0/4/5port link-mode bridge#interface Ethernet0/4/6port link-mode bridge#interface Ethernet0/4/7#ip route-static 0.0.0.0 0.0.0.0 12.1.1.2#load xml-configuration#user-interface con 0idle-timeout 0 0user-interface vty 0 4#return[H3C]DIS CU[H3C]DIS current-configuration#version 5.20, Alpha 1011#sysname H3C#password-control login-attempt 3 exceed lock-time 120 #l2tp enable#undo voice vlan mac-address 00e0-bb00-0000#ipsec cpu-backup enable#undo cryptoengine enable#domain default enable system#ppp mp user pppuserb bind Virtual-Template 2 #vlan 1#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disableip pool 1 192.168.100.2 192.168.100.3#local-user l2tpuserservice-type ppppassword-control length 5local-user pppuserbservice-type ppppassword-control length 5#l2tp-group 1mandatory-lcpallow l2tp virtual-template 1 remote LAC tunnel password simple 123tunnel name LNS#interface Ethernet0/1/0port link-mode route#interface Serial0/2/0link-protocol pppppp authentication-mode chapppp chap user pppusercppp mp#interface Serial0/2/1link-protocol pppppp authentication-mode chapppp chap user pppusercppp mp#interface Serial0/2/2link-protocol ppp#interface Serial0/2/3link-protocol ppp#interface Virtual-Template1ppp authentication-mode pap remote address pool 1ip address 192.168.100.1 255.255.255.0 #interface Virtual-Template2ppp mp binding-mode authentication ip address 23.1.1.2 255.255.255.0#interface NULL0#interface Ethernet0/4/0port link-mode bridge#interface Ethernet0/4/1port link-mode bridge#interface Ethernet0/4/2port link-mode bridge#interface Ethernet0/4/3port link-mode bridge#interface Ethernet0/4/4port link-mode bridge#interface Ethernet0/4/5port link-mode bridge#interface Ethernet0/4/6port link-mode bridge#interface Ethernet0/4/7port link-mode bridge#ip route-static 0.0.0.0 0.0.0.0 23.1.1.1 #load xml-configuration#user-interface con 0user-interface vty 0 4#return。

一组网需求PC作为L2TP的LAC端，F1000-A防火墙作为LNS端。

希望通过L2TP拨号的方式接入到对端防火墙。

二组网图如图所示，用户PC作为LAC，使用windows自带的拨号软件作为客户端软件，拨号接入到对端的SecPath防火墙。

软件版本如下：Version 5.20, Release 3102三、配置步骤3.1 防火墙上的配置#sysname F1000A#l2tp enable //开启L2TP功能#domain default enable system#vlan 1#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disableip pool 1 1.1.1.1 1.1.1.20 //配置拨号用户使用的地址池#local-user h3cpassword cipher G`M^B<SDBB[Q=^Q`MAF4<1!!service-type telnetlevel 3local-user zhengyamin //配置L2TP拨号用户使用的用户名和地址池password simple 123456level 3service-type ppp#l2tp-group 1 //配置L2TP组undo tunnel authentication //不使用隧道认证allow l2tp virtual-template 1 //使用虚模板1认证#interface Virtual-Template1 //配置L2TP虚模板ppp authentication-mode chap //配置ppp认证方式为chap，使用system 默认域remote address pool 1 //指定使用 ip pool 1 给用户分配地址ip address 1.1.1.1 255.255.255.0#interface NULL0#interface GigabitEthernet0/0ip address 10.153.43.20 255.255.255.0#firewall zone trustadd interface GigabitEthernet0/0 //将Ge 0/0和虚接口加入trust区域 add interface Virtual-Template1set priority 85#Return3.2 Windows自带拨号软件的设置由于Windows2000系统缺省情况下启动了IPSec功能，因此在发起VPN请求时应禁止IPSec功能，在命令行模式下执行regedit命令，弹出“注册表编辑器”对话框。

L2TP组网和功能功能简介L2TP: Layer 2 Tunneling Protocol采用TCP/IP 安全技术、使用加密IP 隧道或虚拟专用路由，借助现有的Internet 网络环境，实现私有IP 包，和其他网络协议(IPX，NetBEUI 等)包在Internet上的传输，实现位于WAN 上的不同 LAN 的各种协议虚拟连接，在公共网络信道上建立的逻辑上的专用网络。

VPN 的实现是通过隧道(Tunnel)技术进行连接。

隧道技术通过软件“叠加”在物理网络之上，是VPN“虚拟”特征的体现，它使VPN 连接看起来像是线路上唯一的数据流。

借助隧道VPN，还能够使用内部网络中采用的安全和优先级策略，使您能够完全控制数据流。

隧道提供了一层名副其实的安全保障。

L2TP 与IPSec 是与VPN 相关的两个最重要的协议。

L2TP 属于第二层隧道协议，是L2F 和PPTP 二者统一的结果。

各种相互竞争的第二层隧道传输标准阻碍了可互操作的IP-VPN 设备的开发。

因此，L2F 和PPTP 都被提交给IETF 进行统一。

于是产生了一个新的隧道标准，即L2TP。

它在两端点之间产生隧道，允许一个PPP 会话在隧道间传输，并对其中发生的会话完全透明。

一旦建立一个连接，那么授权、连接、数据传输就像通过Modem拨号接入一样，不同只是Modem 拨号使用的是PSTN，而隧道使用的是公共Internet。

L2TP的基本结构图用户PC端通过拨号网络连接ISP提供的LAC并连接Internet，再通过互联网接入已置于网络上可进行接连的LNS实现方式ISR 18/28/38 系列V2.6.03B版本支持基本的L2tp组网方式、通过Modem/ADSL 接入PSTN拨号网络连接LAC访问LNS、操作系统或拨号软件在客户端PC集成LAC通过拨号网络/互联网连LNS实现家庭远程办公等功能，简单介绍一下LAC/Client与LNS 的消息交互过程：LAC/Client-------------------------------------------LNS步骤1：LAC向LNS发送SCCRQ消息：SCCRQ：Start-Connect-Control-Request步骤2：LNS向LAC发送SCCRP消息：SCCRP：Start-Connect-Control-Reply步骤3：LAC向LNS发送SCCCN消息：SCCCN：Start-Connect-Control-Connected 步骤4：通信隧道建立成功。

配置Client-Initialized方式的L2TP举例组网需求如图1所示，某公司的网络环境描述如下：•公司总部通过USG5300与Internet连接。

•出差员工需要通过USG5300访问公司总部的资源。

图1配置Client-Initialized方式的L2TP组网图配置L2TP，实现出差员工能够通过L2TP隧道访问公司总部资源，并与公司总部用户进行通信。

配置思路1配置客户端。

2根据网络规划为防火墙分配接口，并将接口加入相应的安全区域。

3配置防火墙策略。

4配置LNS。

数据准备为完成此配置例，需准备如下的数据：•防火墙各接口的IP地址。

•本地用户名和密码。

操作步骤配置客户端。

说明：如果客户端的操作系统为Windows系列，请首先进行如下操作。

1在“开始> 运行”中，输入regedit命令，单击“确定”，进入注册表编辑器。

1在界面左侧导航树中，定位至“我的电脑> HKEY_LOCAL_MACHINE >SYSTEM > CurrentControlSet > Services > Rasman > Parameters”。

在该路径下右侧界面中，检查是否存在名称为ProhibitIpSec、数据类型为DWORD的键值。

如果不存在，请单击右键，选择“新建> DWORD值”，并将名称命名为ProhibitIpSec。

如果此键值已经存在，请执行下面的步骤。

1选中该值，单击右键，选择“修改”，编辑DWORD值。

在“数值数据”文本框中填写1，单击“确定”。

1重新启动该PC，使修改生效。

此处以Windows XP Professional操作系统为例，介绍客户端的配置方法。

# 客户端主机上必须装有L2TP客户端软件，并通过拨号方式连接到Internet。

# 配置客户端计算机的主机名为client1。

# 创建L2TP连接。

1打开“我的电脑> 控制面板> 网络连接”，在“网络任务”中选择“创建一个新的连接”，在弹出的界面中选择“下一步”。

使用L2TP VPN连接总部和分部跨互联网的内网机器可以互相通信L2TP，即二层遂道协议，用来在IP网络建立加密遂道。

routeros可以做为L2TP的服务器，也可以做为L2TP的客户端。

公司总部路由器做L2TP服务器，公司分部接入路由器做L2TP客户端，两台路由器通过L2TP 连接后，两公司的内部的机器可以互相直接通信。

下面有一个布置实例。

先说一下网络拓扑结构。

总部路由器LAN侧网络使用私有地址10.1.1.254，WAN侧公网地址是201.1.1.1，总部路由器通过配置NAT使用LAN内部机器可以访问互联网。

分部中由器LAN侧网络使用私有地址192.168.1.254，WAN侧公网地址是202.1.1.4，分部路由器也通过配置NAT使用LAN内部机器可以访问互联网。

众所周知，此时，总部LAN内部机器是不可能直接和分部LAN内部机器直接通信。

因为各LAN内部机器用的是私有地址。

拓扑图如下：ISP----201.1.1.1 总部路由器10.1.1.254-----LAN交换机------ PC 192.168.1.1ISP----202.1.1.4 分部路由器182.168.1.254-----LAN交换机-------- PC 192.168.1.1经过L2TP VPN的配置，最终的目标是在两路由器之间建立L2TP会话，再通过静态路由，使用的两台处于内网的PC可以直接通信。

如下：ISP----201.1.1.1 总部路由器10.1.1.254-----LAN交换机------ PC 192.168.1.1|L2TP会话(总部端IP是172.16.1.1,分部端IP 是172.16.1.2)|ISP----202.1.1.4 分部路由器182.168.1.254-----LAN交换机-------- PC 192.168.1.1最终的路由效果如下：#总部内网机器到分部内网机器的路径，可以看到路径是走L2TP会话(172.16.1.1-172.16.1.2)的。

简述l2tp操作过程
L2TP (Layer 2 Tunneling Protocol)是一种用于创建虚拟私有网络(VPN) 的协议。

其操作过程如下：
1. 用户设备向L2TP访问服务器发起请求，请求连接VPN。

2. L2TP访问服务器验证用户身份，确认用户有权限连接本地网络。

3. L2TP访问服务器发送一个VPN控制连接请求给L2TP网络服务器，建立一个数据通道。

4. L2TP网络服务器接收到请求后，确认用户身份，然后将请求转发给目标服务器。

5. 目标服务器接收到请求后，根据服务器规定的策略，将请求授权。

6. L2TP网络服务器获取到授权信息，将其返回给L2TP访问服务器。

7. L2TP访问服务器收到授权信息后，将其转发给用户设备。

8. 用户设备收到授权信息后，与L2TP网络服务器进行数据通道连接。

9. 在连接成功后，数据就可以在VPN通道中传输，保证了数据的安全性。

L2TP线路测试操作说明：
要进行新线路的连接，必须先通过校园网的认证。

并下载L2TP线路测试用的身份认证软件。

并取得L2TP测试用的帐号及密码。

软件安装及设置方法：
下载得到的是一个压缩文件，进行了解压缩操作后，会得到以下两个文件：
双击“HappyDialer Setup.exe”文件开始安装程序。

安装方法非常简单，只需要按照提示，直接点击“继续”即可。

安装成功后，运行此软件，会看到如下界面：
在软件的“网络配置”菜单里选择“新建”，会弹出如下的界面：
在“配置名称”栏填写名称（随意填写），在“网卡”栏的下拉框里选择自己的网卡，“接入方式”选择“L2TP”，然后再点击“设置”按钮，进入下一步的设置：
点击“导入以下配置”按钮，导入必要的配置文件，即解压后得到的“L2TP.txt”
导入完成后，在“宽带帐号”和“宽带密码”栏输入L2TP测试用的帐号和密码，并点击“确
定”按钮，在返回的窗口里再点击“保存”按钮即可返回到软件的主界面上。

然后，在“网络连接”栏选择刚刚配置完成的设置，再点击“连接”按钮，软件就会开始联系服务器，进行身份的认证，通过认证后便可以开始体验新线路了。

1. 初始配置(只需在第一次时安装一次)在Windows 界面的右下角右击网络图标，并点击"打开网络和共享中心"。

在"网络共享中心" 点击"建立一个新的连接或网络"。

选择"连接到工作区"。

选择"使用我的Internet 连接(VPN)"。

打开VPN 服务器列表页，并选择你想连接的VPN 服务器。

复制DDNS 主机名称(以"" 标识符结尾) 或IP 地址(位数如:xxx.xxx.xxx.xxx) 并粘贴它到配置向导的"Internet 地址"字段。

•一般情况下，建议指定DDNS 主机名称(以"" 标识符结尾)。

DDNS 主机名称可以继续使用，即使DDNS 主机名对应的IP 地址将来被改变。

然而，在某些国家或地区，您可能无法使用DDNS 主机名称。

如果你不能指定DDNS 主机名称，尝试使用IP 地址(位数如xxx.xxx.xxx.xxx) 规格来代替。

在你粘贴"Internet 地址" 之后，选择屏幕下方的复选框"现在不连接; 仅进行设置以便稍后连接"。

如果出现用户名和密码的弹出窗口，在用户名和密码字段输入"vpn" (3 个字母)。

并在"记住此密码"前打勾。

当"连接已经可以使用" 消息出现，点击"关闭"按钮。

请勿点击"现在连接" 按钮。

到"网络和共享中心" 并点击"更改适配器设置"。

当前定义的VPN 连接设置被列出来了。

右击你在上一步创建的图标，并点击"属性"。

在属性这一屏，切换到"安全"标签。

(在Windows XP 中，切换到"网络" 标签。

L2TP命令手册目录1简介 (3)1.1概述 (3)1.2L2TP简述 (3)2L2TP命令行配置 (4)3典型配置举例 (8)3.1SERVER端配置 (8)3.2C LIENT端配置 (10)3.3典型组网 (11)1简介1.1概述L2TP（Layer 2 Tunneling Protocol，二层隧道协议）是VPDN（Virtual Private Dial-up Network，虚拟私有拨号网）隧道协议的一种。

VPDN是指利用公共网络（如ISDN或PSTN）的拨号功能接入公共网络，实现虚拟专用网，从而为企业、小型ISP、移动办公人员等提供接入服务。

即VPDN为远端用户与私有企业网之间提供了一种经济而有效的点到点连接方式。

VPDN采用专用的网络加密通信协议，在公共网络上为企业建立安全的虚拟专网。

企业驻外机构和出差人员可从远程经由公共网络，通过虚拟加密隧道实现和企业总部之间的网络连接，而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。

VPDN隧道协议可分为PPTP、L2F和L2TP三种，目前使用最广泛的是L2TP。

1.2L2TP简述L2TP（第二层隧道协议）是用来整合多协议拨号服务至现有的因特网服务提供商点。

在L2TP构建的VPDN中，网络组件包括以下三个部分：•远端系统远端系统是要接入VPDN网络的远地用户和远地分支机构，通常是一个拨号用户的主机或私有网络的一台路由设备。

•LAC（L2TP Access Concentrator，L2TP访问集中器）LAC是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备，通常是一个当地ISP的NAS，主要用于为PPP类型的用户提供接入服务。

LAC位于LNS和远端系统之间，用于在LNS和远端系统之间传递信息包。

它把从远端系统收到的信息包按照L2TP协议进行封装并送往LNS，同时也将从LNS收到的信息包进行解封装并送往远端系统。

LAC与远端系统之间采用本地连接或PPP链路，VPDN应用中通常为PPP链路。

配置Windows XP 作为L2TP 客户端按照以下步骤配置Windows XP 计算机，使其成为L2TP 客户端。

1. 配置L2TP 拨号连接：1）进入Windows XP 的“开始”“设置”“控制面板”，选择“切换到分类视图”。

2）选择“网络和Internet 连接”。

3）选择“建立一个您的工作位置的网络连接”。

4）选择“虚拟专用网络连接”，单击“下一步”。

5）为连接输入一个名字为“l2tp”，单击“下一步”。

6）选择“不拨此初始连接”，单击“下一步”。

7）输入准备连接的L2TP 服务器的IP 地址“172.25.128.1”，单击“下一步”。

8）单击“完成”。

9）双击“l2tp”连接，在l2tp 连接窗口，单击“属性”。

10）选择“安全”属性页，选择“高级（自定义设置）”，单击“设置”。

11）在“数据加密”中选择“可选加密（没有加密也可以连接）”。

12）在“允许这些协议”选中“不加密的密码（PAP）”、“质询握手身份验证协议（CHAP）”、“Microsoft CHAP（MS-CHAP）”，单击“确定”。

13）选择“网络”属性页面，在“VPN 类型”选择“L2TP IPSec VPN”。

14）确认“Internet 协议（TCP/IP）”被选中。

15）确认“NWLink IPX/SPX/NetBIOS Compatible Transport Prococol”、“微软网络文件和打印共享”、“微软网络客户”协议没有被选中。

16）单击“确定”，保存所做的修改。

2. 修改注册表缺省的Windows XP L2TP 传输策略不允许L2TP 传输不使用IPSec 加密。

可以通过修改Windows XP 注册表来禁用缺省的行为：1）手工修改：进入Windows XP 的“开始”“运行”里面输入“Regedt32”，打开“注册表编辑器”，定位“HKEY_Local_Machine \ System \ CurrentControl Set \ Services \ RasMan \Parameters ”主键。