l2to vpn上网流量走隧道

配置LNS端

LNS响应LAC的隧道建立请求，负责对用户进行认证，并为用户分配IP地址。

1.5.1  配置虚拟模板接口

L2TP会话建立之后，LNS需要创建一个VA（Virtual Access，虚拟访问）接口用于和LAC交换数据。VA接口基于VT（Virtual Template，虚拟模板）接口上配置的参数动态创建。因此，配置LNS时需要首先创建VT接口，并配置该接口的参数。

VT接口的参数主要包括：

·            接口的IP地址

·            对PPP用户的验证方式

·            LNS为PPP用户分配的IP地址

关于VT接口配置的详细介绍，请参见“PPP和PPPoE配置指导”中的“PPP”以及“三层技术-IP业务配置指导”中的“IP地址”。

1.5.2  配置VA池

VA池是在建立L2TP连接前事先创建的VA接口的集合。VA池可以用来解决大量用户同时上线/下线，无法及时创建/删除VA接口，以至于影响L2TP连接建立和拆除性能的问题。

创建VA池后，当需要创建VA接口时，直接从VA池中获取一个VA接口，加快了L2TP连接的建立速度。当用户下线后，直接把VA接口放入VA池中，不需要删除VA接口，加快了L2TP连接的拆除速度。当VA池中的VA接口耗光后，仍需在建立L2TP连接时再创建VA接口，在用户下线后删除VA接口。

配置VA池时需要注意：

·            每个虚拟模板接口只能关联一个VA池。如果想要修改使用的VA池的大小，只能先删除原来的配置，然后重新配置VA池。

·            创建/删除VA池需要花费一定的时间，请用户耐心等待。在VA池创建/删除过程中（还没创建/删除完成）允许用户上线/下线，但正在创建/删除的VA池不生效。

·            系统可能由于资源不足不能创建用户指定容量的VA池，用户可以通过display l2tp va-pool命令查看实际可用的VA池的容量以及VA池的状态。

·            VA池会占用较多的系统内存，请用户根据实际情况创建大小合适的VA池。

·            删除VA池时，如果已有在线用户使用该VA池中的VA接口，不会导致这些用户下线。

表1-10 配置VA池

1.5.3  配置LNS接受L2TP隧道建立请求

接收到LAC发来的隧道建立请求后，LNS需要检查LAC的隧道本端名称是否与本地配置的隧道对端名称相符合，从而决定是否与对端建立隧道，并确定创建VA接口时使用的VT接口。

表1-11 配置LNS接受L2TP隧道建立请求

1.5.4  配置LNS侧的用户验证

当LAC对用户进行验证后，为了增强安全性，LNS可以再次对用户进行验证。在这种情况下，将对用户进行两次验证，第一次发生在LAC侧，第二次发生在LNS侧，只有两次验证全部成功后，L2TP隧道才能建立。

在L2TP组网中，LNS侧对用户的验证方式有三种：

·            代理验证：由LAC代替LNS对用户进行验证，并将用户的所有验证信息及LAC端本身配置的验证方式发送给LNS。LNS根据接收到的信息及本端配置的验证方式，判断用户是否合法。

·            强制CHAP验证：强制在LAC代理验证成功后，LNS再次对用户进行CHAP验证。

·            LCP重协商：忽略LAC侧的代理验证信息，强制LNS与用户间重新进行LCP（Link Control Protocol，链路控制协议）协商。

验证方式的优先级从高到底依次为：LCP重协商、强制CHAP验证和代理验证。

·            如果在LNS上同时配置LCP重协商和强制CHAP验证，L2TP将使用LCP重协商。

·            如果只配置强制CHAP验证，则在LAC代理验证成功后，LNS再次对用户进行CHAP验证。

·            如果既不配置LCP重协商，也不配置强制CHAP验证，则对用户进行代理验证。

1. 配置强制CHAP验证

配置强制CHAP验证后，对于NAS-Initiated模式L2TP隧道的用户来说，会经过两次验证：一次是在NAS端的验证，另一次是在LNS端的验证。一些用户可能不支持进行第二次验证，这时，LNS端的CHAP重新验证会失败。在这种情况下，建议不要开启LNS的强制CHAP验证功能。

配置强制CHAP验证时，需要在LNS的VT接口下配置PPP用户的验证方式为CHAP认证。

表1-12 配置强制CHAP验证

2. 配置强制LCP重新协商

对于NAS-Initiated模式L2TP隧道的PPP用户，在PPP会话开始时，先和NAS进行PPP协商。若协商通过，则由NAS触发建立L2TP隧道，并将用户信息传递给LNS，由LNS根据收到的代理验证信息，判断用户是否合法。

但在某些特定的情况下（如LNS不接受LAC的LCP协商参数，希望和用户重新进行参数协商），需要强制LNS与用户重新进行LCP协商，并采用相应的虚拟模板接口上配置的验证方式对用户进行验证。

启用LCP重协商后，如果相应的虚拟模板接口上没有配置验证，则LNS将不对用户进行二次验证（这时用户只在LAC侧接受一次验证）。

表1-13 配置强制本端LCP重新协商

1.5.5  配置LNS侧的AAA认证

本配置用来通过AAA对远端拨入用户的身份信息（用户名、密码）进行认证。认证通过后，远端系统可以通过LNS访问企业内部网络。

对于NAS-Initiated隧道模式，当LNS侧没有配置强制LCP重新协商时，必须在LNS侧配置AAA认证；或者当LNS侧配置了强制LCP重新协商，并且虚拟模板接口上配置了需要对PPP用户进行验证时，也必须在LNS侧配置AAA认证。对于Client-Initiated和LAC-Auto-Initiated隧道模式，当虚拟模板接口上配置了需要对PPP用户进行验证时，必须在LNS侧配置AAA认证。其他情况下无需在LNS侧配置AAA认证。

LNS侧支持的AAA配置与LAC侧的相同，具体介绍及配置方法请参见“1.4.5  配置LAC侧的AAA认证”。

1.5.6  配置LNS端每秒能处理ICRQ报文的最大数目

为避免大量L2TP用户的突发上线请求对设备性能造成影响，同时又确保L2TP用户能够平稳上线，可以通过本节配置调整设备接收处理ICRQ报文的速率。

表1-14 配置LNS端每秒能处理ICRQ报文的最大数目

# 创建本地PPP用户vpdnuser，配置密码为Hello。

<LNS> system-view

[LNS] local-user vpdnuser class network

[LNS-luser-network-vpdnuser] password simple Hello

[LNS-luser-network-vpdnuser] service-type ppp

[LNS-luser-network-vpdnuser] quit

# 创建接口Virtual-Template1，配置接口的IP地址为192.168.0.20/24，PPP认证方式为PAP，并指定为PPP用户分配的IP地址为192.168.0.2。

[LNS] interface virtual-template 1

[LNS-virtual-template1] ip address 192.168.0.20 255.255.255.0

[LNS-virtual-template1] ppp authentication-mode pap

[LNS-virtual-template1] remote address 192.168.0.2

[LNS-virtual-template1] quit

# 配置ISP域system对PPP用户采用本地验证。

[LNS] domain system

[LNS-isp-system] authentication ppp local

[LNS-isp-system] quit

# 开启L2TP功能，并创建LNS模式的L2TP组1。

[LNS]l2tp enable

[LNS]l2tp-group 1 mode lns

# 配置LNS侧本端名称为LNS，指定接收呼叫的虚拟模板接口为VT1，并配置隧道对端名称为LAC。

[LNS-l2tp1] tunnel name LNS

[LNS-l2tp1] allow l2tp virtual-template 1 remote LAC