华为技术命令全集(八)L2TP配置命令

华为技术命令全集(八)L2TP配置命令
配置命令IT
【命令】allow l2tp virtual-template virtual-template-number [ remote remote-name ]bbs.
undo allow
【视图】L2TP 组视图
【参数】virtual-template-number：指定用于创建新的虚拟访问接口（virtual access9w interface）时所用的虚接口模板，取值范围是整数1～25。remote-name：指定发起连接请求的隧道对端的名称，对大小写有区别，取值为字符串，长度为1～30。
【描述】allow l2tp virtual-template 命令用来指定接受呼叫时隧道对端的名称及所使用的Virtual-Template，undo allow 命令用来取消隧道对端的名称。
缺省情况下，禁止接受呼入。该命令只能用于LNS 侧，属于必须的配置。使用L2TP 组号1 时（缺省的L2TP 组号），可以不指定隧道对端名remote-name，在组1 下进行配置时，本命令的格式为：allow l2tp virtual-template virtual-template-number [ remote remote-name ]如果在L2TP 组1 的视图下，仍指定对端名称，则L2TP 组1 不作为缺省的L2TP 组。如在Windows2000 beta 2 版本中，VPN 连接的本端名称为NONE，则路由器收到的对端名称为NONE。为了接收这种不知名的对端发起的隧道请求连接，或者用于测试目的，可以配置一个缺省的L2TP 组。命令allow l2tp virtual-template remote 使用在LNS 侧，如果配置了隧道对端名称，并确保隧道对端的名称和LAC 侧配置的本端名称一致。
【举例】# 在L2TP 组2 上接受名称为AS8010 的对端（LAC）发起L2TP 隧道连接请求，并在virtual-template 1 上创建virtual-access 接口。
[Quidway-l2tp2] allow l2tp virtual-template 1 remote AS8010
# 将L2TP 组1 作为缺省的L2TP 组，接受任何对端发起的L2TP 隧道连接请IT
求，并根据virtual-template 1 创建virtual-access 接口。
[Quidway] l2tp-group 1bbs
[Quidway-l2tp1] allow l2tp virtual-template 1
【命令】debugging l2tp { all | control | error | event | hidden | payload |'time-stamp }
undo debugging l2tp { all | control | error | event | hidden | payload |time-stamp }
【视图】所有视图网
【参数】all：表示打开所有L2TP 调试信息开关。
control：表示打开控制报文调试开关。
error：表示打开差错信息的调试开关。
event：表示打开事件调试信息开关。
hidden：表示隐藏AVP 的调试开始信息开关。
payload：表示打开L2TP 数据报文调试开关。
time-stamp：表示打开显示时间戳的调试开关。
【描述】debugging l2tp 命令用来打开L2TP 调试信息开关，undo debugging l2tp命令用来关闭L2TP 调试信息开关。
【命令】display l2tp session
【视图】所有视图
【参数】无
【描述】display l2tp session 命令用来显示当前的L2TP 会话的信息。该命令的输出信息，可以帮助用户进行L2TP 故障诊断。
【举例】# 显示当前L2TP 会话信息。 _
[Quidway]

display l2tp sessionbbs
LocalID RemoteID TunnelID
1 1 2IT
Total session = 1
【命令】display l2tp tunnel
【视图】所有视图
【参数】无网络,技术,
【描述】display l2tp tunnel 命令用来显示当前的L2TP 隧道的信息。该命令的输出信息，可以帮助用户进行L2TP 故障诊断。
【举例】# 显示当前L2TP 隧道信息。
[Quidway] display l2tp tunnel
LocalID RemoteID RemName RemAddress Sessions Port
1 8 AS8010 172.168.10.2 1 1701
Total tunnels = 1
表1-2 display l2tp tunnel 显示信息的域描述
域 描述
Total tunnels Tunnel 的数目
LocalID 本端唯一标识一个隧道
RemoteID 对端唯一标识一个隧道
RemName 对端的名称
RemAddress 对端的IP 地址
Sesssions 此Tunnel 端口上的Session 数目〓
Port 对端的端口号
【命令】l2tp domain { prefix-separator | suffix-separator } delimiters F7a%s0n
s l t-M lundo l2tp domain { prefix-separator | suffix-separator } delimiters
【视图】系统视图
【参数】prefix-separator：表示指定的分隔符是前缀，如#yaoxin
suffix-separator：表示指定的分隔符是后缀，如yaoxin@。
delimiters：标识域名分隔符，有效的域名分隔符包括'%'、'@'、'#'、'/'，字符串长度为1～4。IT
【描述】l2tp domain 命令用来指定作为前缀或后缀的分隔符，undo l2tp domain 命IT令用来删除配置的前缀或后缀分隔符。
缺省情况下，未配置前缀或后缀的域名分隔符。
该命令仅用于LAC 侧，属于可选的配置。使用l2tp domain prefix-separator 命令来指定一个或多个作为前缀的域名分隔符，同样，使用l2tp domain suffix-separator 命令来指定一个或多个作为后缀的域名分隔符。以第一个分割成功的分割符为准，通过域名分隔符，可以将域名从用户名中分离出来，这样就可以在VPDN 用start l2tp 命令指定的域名中进行查找，看是否有这样的域名存在。如果有，则表明用户是VPN 用户，需要与用户所属的LNS 建立VPN 隧道连接。一个作为前缀分隔符的字符不能再作为后缀分隔符；同样，一个后缀分隔符也不能再作为前缀分隔符，即一个字符不能同时作为前缀和后缀的分隔符。
【举例】# 域名作为前缀，前缀与用户的名称之间以#号相隔。
[Quidway] l2tp domain prefix-separator #:
# 后缀使用多种分隔符@、%进行分隔。
[Quidway] l2tp domain suffix-separator @%
【命令】l2tp enable
undo l2tp enableIT
【视图】系统视图
【参数】无I
【描述】l2tp enable 命令用来启用VPDN 功能，undo l2tp enable 命令用来禁止VPDN 功能。缺省情况下，VPDN 功能被禁止。该命令可用于LAC 和LNS 侧，属于必须的配置。
使用l2tp enable 命令来显式的指定是否启用VPDN 功能，只有启用该功能后才能开展VPN 业务。
【举例】# 在路由器上启用VPDN 功能。
[Quidway] l2tp enableI

T
【命令】l2tp match-order { dnis-domain | dnis | domain-dnis | domain }
undo l2tp match-orderIT
【视图】系统视图bbs
【参数】dnis-domain：先根据被叫号码进行L2TP 组的查找，再根据域名进行L2TP组的查找。dnis：只根据被叫号码进行L2TP 组的查找。domain-dnis：先根据域名进行L2TP 组的查找，再根据被叫号码进行L2TP组的查找。
domain：只根据域名进行L2TP 组的查找。
【描述】l2tp match-order 命令用来配置被叫号码与域名的查找先后顺序，undo l2tp
match-order 命令用来恢复缺省的查找顺序。缺省情况下，先根据被叫号码，再根据域名进行查找，即采用dnis-domain方式查找。
该命令仅用于LAC 侧，属于可选的配置。当存在大量的L2TP 接入用户的情况下，顺序查找用户很费时间，此时可通过l2tp match-order 命令来配置必要的查找策略（如前后缀分隔符）来加快查找速度。在实际查找过程中，一定是先按照全用户名进行查找，然后再按照该命令的配置顺序依次进行查找。
分隔符有前缀分隔符和后缀两种分隔符两种类型。分隔符可为@、#、&、/四类特殊字符。带前缀分隔符的用户如：#vpdnuser；带后缀分隔符用户如：vpdnuser@。在查找时将分离用户名与前/后缀分隔符，仅按照定义的规则查找，由此大大加快了查找速度。
【举例】# 只根据域名进行查找。
[Quidway] l2tp match-order domain
【命令】l2tp session-limit session-numberIT
undo l2tp session-limit
【视图】系统视图
【参数】session-number：本端L2TP 最大的允许会话数，取值为整数，范围为1～2000。缺省值为1000。
【描述】l2tp session-limit 命令用来配置本端L2TP 最大会话数，undo l2tp
session-limit 命令用来恢复本端L2TP 最大会话数为缺省值。该命令可用于LAC 和LNS 侧，属于可选的配置。LNS 和LAC 侧都可以配置本端可允许的最大会话数，但实际创建的Sessionbbs
连接数目以小的那一端为准。
【举例】# 在LNS 侧配置L2TP 最大会话数为1500。
[Quidway] l2tp session-limit 1500
【命令】l2tp-group group-number
undo l2tp-group group-number
【视图】系统视图网络,技
【参数】group-number：标识L2TP 组号，取值为整数，范围为1～1000。
【描述】l2tp-group 命令用来创建L2TP 组，undo l2tp-group 命令用来删除L2TP 组。
缺省情况下，系统未创建L2TP 组。该命令可用于LAC 和LNS 侧，属于必须的配置。
使用l2tp-group 命令创建一个L2TP组（L2TP组1可以作为缺省的L2TP组）。使用undo l2tp-group 命令删除L2TP 组后，该组的所有配置信息也将被删除。
【举例】# 创建L2TP 组2，并进入L2TP 组2 视图。Bbs
[Quidway] l2tp-group 2bbs
[Quidway-l2tp2]bbs
【命令】mandatory-chap
undo mandatory-chap
【视图】L2TP 组视图
【参数】无

【描述】mandatory-chap 命令用来强制LNS 与用户端（Client）之间重新进行CHAP验证，undo mandatory-chap 命令用来禁止CHAP 的重新验证。
缺省情况下，系统不进行CHAP 的重新验证。
该命令只能用于LNS 侧，属于可选的配置。在LAC 对用户端（Client）进行代理验证后，LNS 对Client 再次进行验证，可以增加安全性。如果使用mandatory-chap 命令，则对于由接入服务器初始化Tunnel 连接的VPN 的Client 来说，会经过两次验证：一次是Client 与接入服务器，另一次Client 是与LNS。一些PPP Client 可能不支持进行第二次验证，则本端的CHAP 验证会失败。
【举例】# 强制L2TP 组1 进行二次CHAP 验证。
[Quidway-l2tp1] mandatory-chap9W
命令】mandatory-lcp
undo mandatory-lcp
【视图】L2TP 组视图
【参数】无IT
【描述】mandatory-lcp 命令用来在LNS 与用户端（Client）之间重新协商链路控制b协议（Link Control Protocol），undo mandatory-lcp 命令用来禁止LCP 的重新协商。
bs缺省情况下，系统不重新进行LCP 协商。
该命令仅用于LNS 侧，属于可选的配置。对于NAS 发起VPN 的用户端（Client），在一个PPP 会话开始时，将先和NAS（网络接入服务器）进行PPP 协商。如果协商通过，则由接入服务器初始化Tunnel 连接，并把与Client 协商收集到的信息传给LNS；LNS 根据收到的代理验证信息判断用户是否合法。使用mandatory-lcp 命令可以强制LNS与Client 重新进行LCP 协商，这就忽略NAS 的代理验证信息。如果一些PPPClient 可能不支持LCP 的重新协商，则LCP 重新协商过程会失败。8K#O
【举例】# 允许L2TP 组1 进行LCP 重新协商。
[Quidway-l2tp1] mandatory-lcp
【命令】reset l2tp tunnel remote-name
【视图】所有视图
【参数】remote-name：为Tunnel 对端的名称，取值为字符串，长度为1～30。
【描述】reset l2tp tunnel 命令用来断开指定的隧道（Tunnel）连接，undo reset l2tpbbs
tunnel 命令用来断开隧道内的所有会话（Session）连接。
命令reset l2tp tunnel 用于强制断开一个Tunnel 连接。当对端用户再次呼入时，Tunnel 可以重新建立。通过指定Tunnel 的对端名称来确定需要断开的Tunnel 连接。如果没有符合条件的Tunnel 连接存在，则当前正在运行的Tunnel 连接没有影响。如果有多个符合条件的Tunnel 连接存在（同一个名称，不同IP 地址），则断开第一个符合条件的Tunnel 连接。这里所指的先后顺序与display l2tp tunnel 命令中显示Tunnel 的先后顺序一致。
【举例】# 断开对端名称为AS8010 的Tunnel 连接。
[Quidway] reset l2tp tunnel AS8010IT
【命令】start l2tp { ip ip-address [ ip ip-address … ] } { domain domain-name | dnisbbsdialed-number | fullusername user-name }
undo start l2tp [ ip ip-address ]IT
【视图】L2TP 组视图]
【参数】ip ip

-address：表识隧道对端（LNS）的IP 地址，最多可以配置五个，彼此形成备份LNS。domain domain-name：指定触发连接请求的用户域名，对大小写敏感，取值为字符串，长度为1～30。
dnis dialed-number：指定触发连接请求的用户所拨的被叫号码，取值为数字字符串，长度为1～64。
fullusername user-name：指定触发连接请求的用户全名，对大小写敏感，取值为字符串，长度为1～30。
【描述】start l2tp 命令用来指定本端作为L2TP LAC 端时发起呼叫的触发条件，undoIT
start l2tp 命令用来删除指定的触发条件。缺省情况下，未配置发起呼叫的触发条件。
该命令仅用于LAC 侧，属于必须的配置。使用此命令指定LNS 的IP 地址，并支持多种触发连接请求。
可以根据用户域名来发起建立隧道的连接请求。比如用户所在公司的域名为，则可以指定包含 域名的用户为VPN 用户。
可以根据用户所呼叫的号码来确定用户是否是VPN 用户。比如指定号码8810188 为特服号码，则拨叫此号码的接入用户是VPN 用户。
可以直接通过用户全名来指定该用户为VPN 用户。如果发现是VPN 用户，则本端（LAC）按照配置的LNS 的先后顺序向某个LNS 发送建立L2TP 隧道的连接请求，当得到LNS 的接收应答后，该LNS 就作为隧道的对端；否则LAC 向下一个LNS 发起隧道连接请求。这几种VPN 用户判定方式之间可能存在冲突的情况，如对全用户名指定的LNS 地址是1.1.1.1，而根据域名指定的LNS 地址为1.1.1.2，有必要规定一下查找用户的先后顺序。查找的顺序为：先根据完整的用户名查看是否存在根据此用户名指定的L2TP 组；如果没有找到，再根据域名的先后顺序进行查找。域名的查找先后顺序是通过l2tp match-order 命令配置的。〓IT动力源〓IT技术【举例】# 在L2TP 组1 上，根据域名 来判断VPN 用户，对应的总部LNS交流|的IP 地址为202.38.168.1。
[Quidway-l2tp1] start l2tp ip 202.38.168.1 domain
【命令】tunnel authenticationIT
undo tunnel authentication
【视图】L2TP 组视图IT
【参数】无
【描述】tunnel authentication 命令用来启用L2TP 的隧道验证功能，undo tunnel authentication 命令用来取消L2TP 隧道验证功能。
缺省情况下，系统对L2TP 隧道进行验证。该命令可用于LAC 和LNS 侧，属于可选的配置。
一般情况下，为了安全起见，隧道两端都需要对对方进行验证。如果为了进行网络的连通性测试或者是接收不知名对端发起的连接，可以不进行隧道验证。
【举例】# 为L2TP 组1 配置不验证隧道对端。
[Quidway-l2tp1] undo tunnel authentication
【命令】tunnel avp-hidden
undo tunnel avp-hidden
【视图】L2TP 组视图
【参数】无
【描述】tunnel avp-hidden 命令

用来允许隐藏AV 属性对，undo tunnel avp-hidden命令用来禁止隐藏AV 属性对。
缺省情况下，禁止隐藏AV 属性对。该命令可用于LAC 和LNS 侧，属于可选的配置。在配置时，必须先配置隧道验证和隧道密码，隐藏AV 属性对才有意义。当AV 属性对被隐藏时，将执行L2TP 隐藏算法，使代理认证期间明文传送的用户名与密码在AV 属性对中被加密。在LAC 与LNS 间使用PAP 或代理验证的情况下，允许隐藏AV 属性对特性很有用。在实际配置时，建议在LAC 和LNS 侧同时允许隐藏AV 属性对，或同时禁止隐藏AV 属性对。
【举例】# 为L2TP 组1 配置允许隐藏AV 属性对。
[Quidway-l2tp1] tunnel avp-hidden
【命令】tunnel flow-control receive-window size
undo tunnel flow-control receive-window
【视图】L2TP 组视图
【参数】receive-window size：用来标识隧道接收窗口大小，取值为整数，范围是0～100。缺省情况下，隧道流控的接收窗口大小为0（无流控）。B
【描述】tunnel flow-control receive-window 命令用来指定隧道接收窗口的大小来达到流控的目的，undo tunnel flow-control receive-window 命令用来恢复隧道接收窗口大小到默认值。该命令可用于LAC 和LNS 侧，属于可选的配置。使用tunnel flow-control receive-window 来调节隧道接收窗口的大小，当目的端出现拥塞时可以适当减小窗口尺寸，以达到流控目的
【举例】# 配置L2TP 组1 的隧道接收窗口大小为6。
[Quidway-l2tp1] tunnel flow-control receive-window 6
【命令】tunnel name name
undo tunnel name
【视图】L2TP 组视图
【参数】name：标识Tunnel 本端的名称，取值为字符串，长度为1～30。
【描述】tunnel name 命令用来指定Tunnel 本端的名称，undo tunnel name 命令用来恢复本端名称为缺省值。IT技
缺省情况下，系统的本端名称为路由器名。该命令可用于LAC 和LNS 侧，属于可选的配置。
当创建一个L2TP 组时，本端名称将被初始化成路由器的名称。
【举例】# 配置L2TP 组1 上Tunnel 本端名称为itsme。
[Quidway-l2tp1] tunnel name itsme
【命令】tunnel password { simple | cipher } password
undo tunnel password
【视图】L2TP 组视图
【参数】simple：密码以明文方式显示；cipher：密码以密文方式显示；password：标识隧道验证时使用的密码，取值为字符串，长度为1～16。
【描述】tunnel password 命令用来配置隧道（Tunnel）验证时的密码，undo tunnelbbs
password 命令用来删除隧道（Tunnel）验证的密码。缺省情况下，系统的隧道验证密码为路由器名。该命令可用于LAC 和LNS 侧，属于可选的配置。当创建一个L2TP 组时，本端名称与Tunnel 密码都被初始化成路由器的名称。
【举例】# 配置L2TP 组1 上Tunnel 验证的密码为yougotit，并且以密文方式显示。
[Quidway-l2t

p1] tunnel password cipher yougotit
【命令】tunnel timer hello hello-intervalbbs
undo tunnel timer helloIT
【视图】L2TP 组视图
【参数】hello-interval：LAC 或LNS 在没有报文接收/发送时，发送Hello 报文的时间间隔，取值为整数，单位为秒，范围为60～1000。缺省情况下，Hello 报文每隔60 秒发送一次
【描述】tunnel timer hello 命令用来配置隧道中Hello 报文发送时间间隔，undotunnel timer hello 命令用来恢复隧道中Hello 报文发送时间间隔为缺省值。该命令可用于LAC 和LNS 侧，属于可选的配置。在LNS 和LAC 侧，可以分别配置不同的Hello 报文时间间隔。使用undo tunnel timer hello 命令把时间间隔恢复到缺省值。
【举例】# 配置L2TP 组1 的发送Hello 报文的时间间隔为99 秒
[Quidway-l2tp1] tunnel timer hello 99