某公司MSR2600-10-WiNet做LAC与思科设备建立L2TP VPN失败的问题

一、基本组网

LAC===LNS

二、问题描述

之前LAC和LNS端都是我司设备，L2TP VPN可以正常建立，对接没有问题；变动之后因为某特殊情况把LNS端换成思科设备，出现无法ping通对端的情况。

三、两端基本配置

LAC侧：

l2tp-group 1

tunnel password simple xxx

tunnel name xxx

start l2tp ip 60.xx.xx.70 fullusername xx

interface Virtual-Template1

ppp authentication-mode pap

ppp pap local-user xxx password simple xx

l2tp-auto-client enable

ip address 172.xx.xx.7 255.255.255.0

LNS侧：

interface GigabitEthernet0/0/0

ip address 60.x.x.70 255.255.255.252

negotiation auto

interface Virtual-Template 1

ip unnumbered GigabitEthernet0/0/0

no ip redirects

peer default ip address pool 1

keepalive 1000

 ppp authentication pap

四、分析过程

收集debug l2tp all 和debug ppp all信息，根据debug信息可以看出认证失败，

*Jan  1 19:42:02:404 2007 R1 PPP/7/debug2:

  PPP Packet:

      Virtual-Template1:0 Input  PAP(c023) Pkt, Len 30

      State ServerListen, code Nak(03), id 1, len 26

      Msg Len: 21  Msg:Authentication failed //ppp的认证失败

*Jan  1 19:42:02:655 2007 R1 PPP/7/debug2:

  PPP State Change:

      Virtual-Template1:0 PAP : SendRequest --> ClientFailed

*Jan  1 19:42:02:756 2007 R1 PPP/7/debug2:

  PPP Error:

      Virtual-Template1:0 PAP : Client failed No.  1 !

先让客户确认下两边各处认证用户名和密码是不是都一致，重新配置一下能否成功，经过检查以后发现各处用户名密码均一致，不存在密码的问题。

  PPP Packet:

      Virtual-Template2:0 Output IP(0021) Pkt, Len 64

*Jan  1 19:48:32:992 2007 Ligong_R1 L2TP/7/L2TDBG: L2TP_ERROR: The packet is discarded because it looped too many times on the local device //l2tp的包由于环路多次而被丢弃

Debug 信息中还显示l2tp的包由于环路多次而被丢弃，说明目前配置导致了环路的存在，于是检查各处配置，发现LNS上的VT接口下调用了g0/0/0接口的IP。

interface Virtual-Template1

 ip unnumbered GigabitEthernet0/0/0----地址借用用的是公网口导致出现问题

 no ip redirects

 peer default ip address pool 1

 keepalive 1000

 ppp authentication pap

五、解决方案：

将LNS侧interface Virtual-Template1的地址借用改成借用interface Loopback1或interface GigabitEthernet0/0/1。

六、分析总结：

对于LAC与USER合一的L2TP应用，LAC与LNS之间有物理线路连接，又有PPP连接，l2tp会话建立以后会一直在里面打圈圈，就容易造成环路，所以修改地址后可以解决。