华为技术命令全集(八)L2TP配置命令

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

华为技术命令全集(八)L2TP配置命令
配置命令IT
【命令】allow l2tp virtual-template virtual-template-number [ remote remote-name ]bbs.
undo allow
【视图】L2TP 组视图
【参数】virtual-template-number:指定用于创建新的虚拟访问接口(virtual access9w interface)时所用的虚接口模板,取值范围是整数1~25。remote-name:指定发起连接请求的隧道对端的名称,对大小写有区别,取值为字符串,长度为1~30。
【描述】allow l2tp virtual-template 命令用来指定接受呼叫时隧道对端的名称及所使用的Virtual-Template,undo allow 命令用来取消隧道对端的名称。
缺省情况下,禁止接受呼入。该命令只能用于LNS 侧,属于必须的配置。使用L2TP 组号1 时(缺省的L2TP 组号),可以不指定隧道对端名remote-name,在组1 下进行配置时,本命令的格式为:allow l2tp virtual-template virtual-template-number [ remote remote-name ]如果在L2TP 组1 的视图下,仍指定对端名称,则L2TP 组1 不作为缺省的L2TP 组。如在Windows2000 beta 2 版本中,VPN 连接的本端名称为NONE,则路由器收到的对端名称为NONE。为了接收这种不知名的对端发起的隧道请求连接,或者用于测试目的,可以配置一个缺省的L2TP 组。命令allow l2tp virtual-template remote 使用在LNS 侧,如果配置了隧道对端名称,并确保隧道对端的名称和LAC 侧配置的本端名称一致。
【举例】# 在L2TP 组2 上接受名称为AS8010 的对端(LAC)发起L2TP 隧道连接请求,并在virtual-template 1 上创建virtual-access 接口。
[Quidway-l2tp2] allow l2tp virtual-template 1 remote AS8010
# 将L2TP 组1 作为缺省的L2TP 组,接受任何对端发起的L2TP 隧道连接请IT
求,并根据virtual-template 1 创建virtual-access 接口。
[Quidway] l2tp-group 1bbs
[Quidway-l2tp1] allow l2tp virtual-template 1
【命令】debugging l2tp { all | control | error | event | hidden | payload |'time-stamp }
undo debugging l2tp { all | control | error | event | hidden | payload |time-stamp }
【视图】所有视图网
【参数】all:表示打开所有L2TP 调试信息开关。
control:表示打开控制报文调试开关。
error:表示打开差错信息的调试开关。
event:表示打开事件调试信息开关。
hidden:表示隐藏AVP 的调试开始信息开关。
payload:表示打开L2TP 数据报文调试开关。
time-stamp:表示打开显示时间戳的调试开关。
【描述】debugging l2tp 命令用来打开L2TP 调试信息开关,undo debugging l2tp命令用来关闭L2TP 调试信息开关。
【命令】display l2tp session
【视图】所有视图
【参数】无
【描述】display l2tp session 命令用来显示当前的L2TP 会话的信息。该命令的输出信息,可以帮助用户进行L2TP 故障诊断。
【举例】# 显示当前L2TP 会话信息。 _
[Quidway]

display l2tp sessionbbs
LocalID RemoteID TunnelID
1 1 2IT
Total session = 1
【命令】display l2tp tunnel
【视图】所有视图
【参数】无网络,技术,
【描述】display l2tp tunnel 命令用来显示当前的L2TP 隧道的信息。该命令的输出信息,可以帮助用户进行L2TP 故障诊断。
【举例】# 显示当前L2TP 隧道信息。
[Quidway] display l2tp tunnel
LocalID RemoteID RemName RemAddress Sessions Port
1 8 AS8010 172.168.10.2 1 1701
Total tunnels = 1
表1-2 display l2tp tunnel 显示信息的域描述
域 描述
Total tunnels Tunnel 的数目
LocalID 本端唯一标识一个隧道
RemoteID 对端唯一标识一个隧道
RemName 对端的名称
RemAddress 对端的IP 地址
Sesssions 此Tunnel 端口上的Session 数目〓
Port 对端的端口号
【命令】l2tp domain { prefix-separator | suffix-separator } delimiters F7a%s0n
s l t-M lundo l2tp domain { prefix-separator | suffix-separator } delimiters
【视图】系统视图
【参数】prefix-separator:表示指定的分隔符是前缀,如#yaoxin
suffix-separator:表示指定的分隔符是后缀,如yaoxin@。
delimiters:标识域名分隔符,有效的域名分隔符包括'%'、'@'、'#'、'/',字符串长度为1~4。IT
【描述】l2tp domain 命令用来指定作为前缀或后缀的分隔符,undo l2tp domain 命IT令用来删除配置的前缀或后缀分隔符。
缺省情况下,未配置前缀或后缀的域名分隔符。
该命令仅用于LAC 侧,属于可选的配置。使用l2tp domain prefix-separator 命令来指定一个或多个作为前缀的域名分隔符,同样,使用l2tp domain suffix-separator 命令来指定一个或多个作为后缀的域名分隔符。以第一个分割成功的分割符为准,通过域名分隔符,可以将域名从用户名中分离出来,这样就可以在VPDN 用start l2tp 命令指定的域名中进行查找,看是否有这样的域名存在。如果有,则表明用户是VPN 用户,需要与用户所属的LNS 建立VPN 隧道连接。一个作为前缀分隔符的字符不能再作为后缀分隔符;同样,一个后缀分隔符也不能再作为前缀分隔符,即一个字符不能同时作为前缀和后缀的分隔符。
【举例】# 域名作为前缀,前缀与用户的名称之间以#号相隔。
[Quidway] l2tp domain prefix-separator #:
# 后缀使用多种分隔符@、%进行分隔。
[Quidway] l2tp domain suffix-separator @%
【命令】l2tp enable
undo l2tp enableIT
【视图】系统视图
【参数】无I
【描述】l2tp enable 命令用来启用VPDN 功能,undo l2tp enable 命令用来禁止VPDN 功能。缺省情况下,VPDN 功能被禁止。该命令可用于LAC 和LNS 侧,属于必须的配置。
使用l2tp enable 命令来显式的指定是否启用VPDN 功能,只有启用该功能后才能开展VPN 业务。
【举例】# 在路由器上启用VPDN 功能。
[Quidway] l2tp enableI

T
【命令】l2tp match-order { dnis-domain | dnis | domain-dnis | domain }
undo l2tp match-orderIT
【视图】系统视图bbs
【参数】dnis-domain:先根据被叫号码进行L2TP 组的查找,再根据域名进行L2TP组的查找。dnis:只根据被叫号码进行L2TP 组的查找。domain-dnis:先根据域名进行L2TP 组的查找,再根据被叫号码进行L2TP组的查找。
domain:只根据域名进行L2TP 组的查找。
【描述】l2tp match-order 命令用来配置被叫号码与域名的查找先后顺序,undo l2tp
match-order 命令用来恢复缺省的查找顺序。缺省情况下,先根据被叫号码,再根据域名进行查找,即采用dnis-domain方式查找。
该命令仅用于LAC 侧,属于可选的配置。当存在大量的L2TP 接入用户的情况下,顺序查找用户很费时间,此时可通过l2tp match-order 命令来配置必要的查找策略(如前后缀分隔符)来加快查找速度。在实际查找过程中,一定是先按照全用户名进行查找,然后再按照该命令的配置顺序依次进行查找。
分隔符有前缀分隔符和后缀两种分隔符两种类型。分隔符可为@、#、&、/四类特殊字符。带前缀分隔符的用户如:#vpdnuser;带后缀分隔符用户如:vpdnuser@。在查找时将分离用户名与前/后缀分隔符,仅按照定义的规则查找,由此大大加快了查找速度。
【举例】# 只根据域名进行查找。
[Quidway] l2tp match-order domain
【命令】l2tp session-limit session-numberIT
undo l2tp session-limit
【视图】系统视图
【参数】session-number:本端L2TP 最大的允许会话数,取值为整数,范围为1~2000。缺省值为1000。
【描述】l2tp session-limit 命令用来配置本端L2TP 最大会话数,undo l2tp
session-limit 命令用来恢复本端L2TP 最大会话数为缺省值。该命令可用于LAC 和LNS 侧,属于可选的配置。LNS 和LAC 侧都可以配置本端可允许的最大会话数,但实际创建的Sessionbbs
连接数目以小的那一端为准。
【举例】# 在LNS 侧配置L2TP 最大会话数为1500。
[Quidway] l2tp session-limit 1500
【命令】l2tp-group group-number
undo l2tp-group group-number
【视图】系统视图网络,技
【参数】group-number:标识L2TP 组号,取值为整数,范围为1~1000。
【描述】l2tp-group 命令用来创建L2TP 组,undo l2tp-group 命令用来删除L2TP 组。
缺省情况下,系统未创建L2TP 组。该命令可用于LAC 和LNS 侧,属于必须的配置。
使用l2tp-group 命令创建一个L2TP组(L2TP组1可以作为缺省的L2TP组)。使用undo l2tp-group 命令删除L2TP 组后,该组的所有配置信息也将被删除。
【举例】# 创建L2TP 组2,并进入L2TP 组2 视图。Bbs
[Quidway] l2tp-group 2bbs
[Quidway-l2tp2]bbs
【命令】mandatory-chap
undo mandatory-chap
【视图】L2TP 组视图
【参数】无

【描述】mandatory-chap 命令用来强制LNS 与用户端(Client)之间重新进行CHAP验证,undo mandatory-chap 命令用来禁止CHAP 的重新验证。
缺省情况下,系统不进行CHAP 的重新验证。
该命令只能用于LNS 侧,属于可选的配置。在LAC 对用户端(Client)进行代理验证后,LNS 对Client 再次进行验证,可以增加安全性。如果使用mandatory-chap 命令,则对于由接入服务器初始化Tunnel 连接的VPN 的Client 来说,会经过两次验证:一次是Client 与接入服务器,另一次Client 是与LNS。一些PPP Client 可能不支持进行第二次验证,则本端的CHAP 验证会失败。
【举例】# 强制L2TP 组1 进行二次CHAP 验证。
[Quidway-l2tp1] mandatory-chap9W
命令】mandatory-lcp
undo mandatory-lcp
【视图】L2TP 组视图
【参数】无IT
【描述】mandatory-lcp 命令用来在LNS 与用户端(Client)之间重新协商链路控制b协议(Link Control Protocol),undo mandatory-lcp 命令用来禁止LCP 的重新协商。
bs缺省情况下,系统不重新进行LCP 协商。
该命令仅用于LNS 侧,属于可选的配置。对于NAS 发起VPN 的用户端(Client),在一个PPP 会话开始时,将先和NAS(网络接入服务器)进行PPP 协商。如果协商通过,则由接入服务器初始化Tunnel 连接,并把与Client 协商收集到的信息传给LNS;LNS 根据收到的代理验证信息判断用户是否合法。使用mandatory-lcp 命令可以强制LNS与Client 重新进行LCP 协商,这就忽略NAS 的代理验证信息。如果一些PPPClient 可能不支持LCP 的重新协商,则LCP 重新协商过程会失败。8K#O
【举例】# 允许L2TP 组1 进行LCP 重新协商。
[Quidway-l2tp1] mandatory-lcp
【命令】reset l2tp tunnel remote-name
【视图】所有视图
【参数】remote-name:为Tunnel 对端的名称,取值为字符串,长度为1~30。
【描述】reset l2tp tunnel 命令用来断开指定的隧道(Tunnel)连接,undo reset l2tpbbs
tunnel 命令用来断开隧道内的所有会话(Session)连接。
命令reset l2tp tunnel 用于强制断开一个Tunnel 连接。当对端用户再次呼入时,Tunnel 可以重新建立。通过指定Tunnel 的对端名称来确定需要断开的Tunnel 连接。如果没有符合条件的Tunnel 连接存在,则当前正在运行的Tunnel 连接没有影响。如果有多个符合条件的Tunnel 连接存在(同一个名称,不同IP 地址),则断开第一个符合条件的Tunnel 连接。这里所指的先后顺序与display l2tp tunnel 命令中显示Tunnel 的先后顺序一致。
【举例】# 断开对端名称为AS8010 的Tunnel 连接。
[Quidway] reset l2tp tunnel AS8010IT
【命令】start l2tp { ip ip-address [ ip ip-address … ] } { domain domain-name | dnisbbsdialed-number | fullusername user-name }
undo start l2tp [ ip ip-address ]IT
【视图】L2TP 组视图]
【参数】ip ip

-address:表识隧道对端(LNS)的IP 地址,最多可以配置五个,彼此形成备份LNS。domain domain-name:指定触发连接请求的用户域名,对大小写敏感,取值为字符串,长度为1~30。
dnis dialed-number:指定触发连接请求的用户所拨的被叫号码,取值为数字字符串,长度为1~64。
fullusername user-name:指定触发连接请求的用户全名,对大小写敏感,取值为字符串,长度为1~30。
【描述】start l2tp 命令用来指定本端作为L2TP LAC 端时发起呼叫的触发条件,undoIT
start l2tp 命令用来删除指定的触发条件。缺省情况下,未配置发起呼叫的触发条件。
该命令仅用于LAC 侧,属于必须的配置。使用此命令指定LNS 的IP 地址,并支持多种触发连接请求。
可以根据用户域名来发起建立隧道的连接请求。比如用户所在公司的域名为,则可以指定包含 域名的用户为VPN 用户。
可以根据用户所呼叫的号码来确定用户是否是VPN 用户。比如指定号码8810188 为特服号码,则拨叫此号码的接入用户是VPN 用户。
可以直接通过用户全名来指定该用户为VPN 用户。如果发现是VPN 用户,则本端(LAC)按照配置的LNS 的先后顺序向某个LNS 发送建立L2TP 隧道的连接请求,当得到LNS 的接收应答后,该LNS 就作为隧道的对端;否则LAC 向下一个LNS 发起隧道连接请求。这几种VPN 用户判定方式之间可能存在冲突的情况,如对全用户名指定的LNS 地址是1.1.1.1,而根据域名指定的LNS 地址为1.1.1.2,有必要规定一下查找用户的先后顺序。查找的顺序为:先根据完整的用户名查看是否存在根据此用户名指定的L2TP 组;如果没有找到,再根据域名的先后顺序进行查找。域名的查找先后顺序是通过l2tp match-order 命令配置的。〓IT动力源〓IT技术【举例】# 在L2TP 组1 上,根据域名 来判断VPN 用户,对应的总部LNS交流|的IP 地址为202.38.168.1。
[Quidway-l2tp1] start l2tp ip 202.38.168.1 domain
【命令】tunnel authenticationIT
undo tunnel authentication
【视图】L2TP 组视图IT
【参数】无
【描述】tunnel authentication 命令用来启用L2TP 的隧道验证功能,undo tunnel authentication 命令用来取消L2TP 隧道验证功能。
缺省情况下,系统对L2TP 隧道进行验证。该命令可用于LAC 和LNS 侧,属于可选的配置。
一般情况下,为了安全起见,隧道两端都需要对对方进行验证。如果为了进行网络的连通性测试或者是接收不知名对端发起的连接,可以不进行隧道验证。
【举例】# 为L2TP 组1 配置不验证隧道对端。
[Quidway-l2tp1] undo tunnel authentication
【命令】tunnel avp-hidden
undo tunnel avp-hidden
【视图】L2TP 组视图
【参数】无
【描述】tunnel avp-hidden 命令

用来允许隐藏AV 属性对,undo tunnel avp-hidden命令用来禁止隐藏AV 属性对。
缺省情况下,禁止隐藏AV 属性对。该命令可用于LAC 和LNS 侧,属于可选的配置。在配置时,必须先配置隧道验证和隧道密码,隐藏AV 属性对才有意义。当AV 属性对被隐藏时,将执行L2TP 隐藏算法,使代理认证期间明文传送的用户名与密码在AV 属性对中被加密。在LAC 与LNS 间使用PAP 或代理验证的情况下,允许隐藏AV 属性对特性很有用。在实际配置时,建议在LAC 和LNS 侧同时允许隐藏AV 属性对,或同时禁止隐藏AV 属性对。
【举例】# 为L2TP 组1 配置允许隐藏AV 属性对。
[Quidway-l2tp1] tunnel avp-hidden
【命令】tunnel flow-control receive-window size
undo tunnel flow-control receive-window
【视图】L2TP 组视图
【参数】receive-window size:用来标识隧道接收窗口大小,取值为整数,范围是0~100。缺省情况下,隧道流控的接收窗口大小为0(无流控)。B
【描述】tunnel flow-control receive-window 命令用来指定隧道接收窗口的大小来达到流控的目的,undo tunnel flow-control receive-window 命令用来恢复隧道接收窗口大小到默认值。该命令可用于LAC 和LNS 侧,属于可选的配置。使用tunnel flow-control receive-window 来调节隧道接收窗口的大小,当目的端出现拥塞时可以适当减小窗口尺寸,以达到流控目的
【举例】# 配置L2TP 组1 的隧道接收窗口大小为6。
[Quidway-l2tp1] tunnel flow-control receive-window 6
【命令】tunnel name name
undo tunnel name
【视图】L2TP 组视图
【参数】name:标识Tunnel 本端的名称,取值为字符串,长度为1~30。
【描述】tunnel name 命令用来指定Tunnel 本端的名称,undo tunnel name 命令用来恢复本端名称为缺省值。IT技
缺省情况下,系统的本端名称为路由器名。该命令可用于LAC 和LNS 侧,属于可选的配置。
当创建一个L2TP 组时,本端名称将被初始化成路由器的名称。
【举例】# 配置L2TP 组1 上Tunnel 本端名称为itsme。
[Quidway-l2tp1] tunnel name itsme
【命令】tunnel password { simple | cipher } password
undo tunnel password
【视图】L2TP 组视图
【参数】simple:密码以明文方式显示;cipher:密码以密文方式显示;password:标识隧道验证时使用的密码,取值为字符串,长度为1~16。
【描述】tunnel password 命令用来配置隧道(Tunnel)验证时的密码,undo tunnelbbs
password 命令用来删除隧道(Tunnel)验证的密码。缺省情况下,系统的隧道验证密码为路由器名。该命令可用于LAC 和LNS 侧,属于可选的配置。当创建一个L2TP 组时,本端名称与Tunnel 密码都被初始化成路由器的名称。
【举例】# 配置L2TP 组1 上Tunnel 验证的密码为yougotit,并且以密文方式显示。
[Quidway-l2t

p1] tunnel password cipher yougotit
【命令】tunnel timer hello hello-intervalbbs
undo tunnel timer helloIT
【视图】L2TP 组视图
【参数】hello-interval:LAC 或LNS 在没有报文接收/发送时,发送Hello 报文的时间间隔,取值为整数,单位为秒,范围为60~1000。缺省情况下,Hello 报文每隔60 秒发送一次
【描述】tunnel timer hello 命令用来配置隧道中Hello 报文发送时间间隔,undotunnel timer hello 命令用来恢复隧道中Hello 报文发送时间间隔为缺省值。该命令可用于LAC 和LNS 侧,属于可选的配置。在LNS 和LAC 侧,可以分别配置不同的Hello 报文时间间隔。使用undo tunnel timer hello 命令把时间间隔恢复到缺省值。
【举例】# 配置L2TP 组1 的发送Hello 报文的时间间隔为99 秒
[Quidway-l2tp1] tunnel timer hello 99

相关文档
最新文档