华为数通操作手册 VRP全系列 VRP故障处理手册 路由器 01第1章 L2TP协议故障处理.docx
- 文档编号:23795703
- 上传时间:2023-05-20
- 格式:DOCX
- 页数:54
- 大小:230.08KB
华为数通操作手册 VRP全系列 VRP故障处理手册 路由器 01第1章 L2TP协议故障处理.docx
《华为数通操作手册 VRP全系列 VRP故障处理手册 路由器 01第1章 L2TP协议故障处理.docx》由会员分享,可在线阅读,更多相关《华为数通操作手册 VRP全系列 VRP故障处理手册 路由器 01第1章 L2TP协议故障处理.docx(54页珍藏版)》请在冰豆网上搜索。
华为数通操作手册VRP全系列VRP故障处理手册路由器01第1章L2TP协议故障处理
目录
第1章L2TP协议故障处理1-1
1.1L2TP简介1-1
1.1.1L2TP协议概述1-2
1.1.2L2TP协议的几个重要概念1-2
1.1.3L2TP协议和其它模块的配合1-3
1.1.4L2TP协议呼叫建立流程1-3
1.2L2TP典型VPDN方式故障处理1-5
1.2.1典型组网环境1-5
1.2.2配置注意事项1-6
1.2.3故障诊断流程1-9
1.2.4故障处理步骤1-10
1.3L2TP从PC直接接入LNS方式故障处理1-12
1.3.1典型组网环境1-12
1.3.2配置注意事项1-13
1.3.3故障诊断流程1-14
1.3.4故障处理步骤1-14
1.4L2TP和MP配合组网1-14
1.4.1典型组网环境1-15
1.4.2配置注意事项1-15
1.4.3故障诊断流程1-17
1.4.4故障处理步骤1-17
1.5L2TP接入三层VPN组网1-18
1.5.1典型组网环境1-18
1.5.2配置注意事项1-19
1.5.3故障诊断流程1-22
1.5.4故障处理步骤1-22
1.6故障处理案例1-23
1.6.1会话建立后随即就断开1-23
1.6.2L2TP用户拨号不能达到规格最大值1-24
1.7FAQ1-25
1.8故障诊断工具1-28
1.8.1display命令1-28
1.8.2debugging命令1-31
第1章L2TP协议故障处理
本章包含以下内容:
●L2TP简介
介绍了进行L2TP故障处理时所需的知识要点。
●L2TP典型VPDN方式故障处理
针对典型的L2TPVPDN组网环境,介绍配置L2TP时要注意的事项,故障处理的流程和详细的故障处理步骤。
●L2TP从PC直接接入LNS方式故障处理
针对典型的PC直接接入LNS组网环境,介绍配置L2TP时要注意的事项,故障处理的流程和详细的故障处理步骤。
●L2TP和MP配合组网
针对典型的L2TP组网环境,介绍配合使用L2TP和MP时要注意的事项,故障处理的流程和详细的故障处理步骤。
●L2TP接入三层VPN组网
针对典型的L2TP接入三层VPN组网环境,介绍配置L2TP时要注意的事项,故障处理的流程和详细的故障处理步骤。
●故障处理案例
介绍了2个实际的故障处理案例。
●FAQ
列出了用户常问的问题,并给出了相应的解答。
●故障诊断工具
介绍了为进行故障处理所故障诊断工具,包括使用display命令和debugging命令。
1.1L2TP简介
本节包含以下内容:
●L2TP协议概述
●L2TP协议的几个重要概念
●L2TP协议和其它模块的配合
●L2TP协议呼叫建立流程
1.1.1L2TP协议概述
L2TP协议综合了L2F和PPTP两种协议的优点,取代L2F和PPTP,成为因特网上广泛使用的一种协议。
L2TP协议是一种传统的二层VPN隧道协议,它的承载协议是IP协议,乘客协议是PPP协议。
通过L2TP,PPP二层链路端点和PPP会话点可以驻留在不同设备上,中间通过L2TP隧道穿越因特网。
1.1.2L2TP协议的几个重要概念
1.用户、LAC和LNS
用户、LAC、LNS是L2TP协议的三个重要概念。
●用户是需要登录私网的设备(如PC),是发起PPP协商的端设备。
用户既是PPP二层链路一端又是PPP会话的一端。
●LAC(L2TPAccessConcentrator)是直接接受用户呼叫的一端,也是PPP二层链路一端。
NAS可以和用户可以合并为一个LAC端点,也可以单独作为LAC端点。
●LNS(L2TPNetworkServer)端是接受PPP会话的一端,一般位于私网与公网边界。
通过LNS,用户就可以登录到私网上,访问私网资源。
L2TP隧道端点分别位于LAC和LNS两端。
2.隧道连接和会话连接
一个LNS和LAC对之间存在着两种类型的连接。
●隧道(Tunnel)连接:
也叫控制连接,它定义了一个LNS和LAC对。
●会话(Session)连接:
它复用在隧道连接之上,用于表示承载在隧道连接中的每个PPP会话过程。
会话连接必须在隧道建立(包括身份保护、L2TP版本、帧类型、硬件传输类型等信息的交换)成功之后进行。
一个会话连接对应于一个用户和LNS之间的PPP数据流。
在同一对LAC和LNS之间可以建立多个L2TP隧道,每个隧道由一个控制连接和一个或多个会话连接组成。
控制消息和PPP数据报文都在隧道上传输,通过L2TP报文头中的标识来区分。
3.代理认证、强制CHAP和LCP重协商
LNS上可以配置代理验证、强制CHAP验证及LCP重协商。
LCP重协商的优先级最高。
如果同时配置了LCP重协商和强制CHAP验证,L2TP会采用LCP重协商,验证方式采用相应的VT上配置的验证方式。
其次是强制CHAP验证。
如果没有配LCP重协商,只配了强制CHAP验证,那么LNS端就会用CHAP的验证方式对用户端进行验证;如果验证不通过,会话不能建立成功。
优先级最低的是代理验证。
如果没有配置制CHAP验证和LCP重协商,则LNS采用代理验证。
即LAC将它从用户得到的所有验证信息及LAC端配置的验证方式传给LNS;LNS利用这些信息和LAC端传来的验证方式对用户进行验证,并非不验证了。
代理验证与VT上配的验证方式也是有关系:
●如果LAC端传来的验证方式为PAP,但LNS的VT上配的验证方式为CHAP,则PPP会认为这种情况不合理,LNS的要求高,不能通过验证。
●其他情况下,采用LAC传来的验证方式,不管VT上配的是什么验证方式。
1.1.3L2TP协议和其它模块的配合
L2TP和MP配合使用的方法是在用户端与LNS端进行MP绑定。
即,如果用户与LNS之间建立了多个L2TP会话,可以将这些会话绑定到一个MP端口上。
L2TP协议与AAA认证、PPP以及接口联系比较紧密,L2TP的配置也是紧密围绕这几个部分展开的。
1.1.4L2TP协议呼叫建立流程
L2TP的实现围绕隧道和会话的建立来完成。
处理流程是以控制报文来驱动的;当收到一个正确的控制报文后根据指定的隧道或会话的状态进行处理,并将状态迁移到下一个状态。
图1-1是一条L2TP隧道的建立流程。
熟悉此流程后再结合L2TP相关的调试信息,可以定位大部分L2TP故障。
图1-1L2TP隧道的呼叫建立流程
L2TP隧道的呼叫建立流程过程为:
(2)用户端PC机发起呼叫连接请求;
(3)PC机和LAC端(RouterA)进行PPPLCP协商;
(4)LAC对PC机提供的用户信息进行PAP或CHAP认证;
(5)LAC将认证信息(用户名、密码)发送给RADIUS服务器进行认证;
(6)RADIUS服务器认证该用户,如果认证通过则返回该用户对应的LNS地址等相关信息,并且LAC准备发起Tunnel连接请求;
(7)LAC端向指定LNS发起Tunnel连接请求;
(8)LAC端向指定LNS发送CHAPchallenge信息,LNS回送该challenge响应消息CHAPresponse,并发送LNS侧的CHAPchallenge,LAC返回该challenge的响应消息CHAPresponse;
(9)隧道验证通过;
(10)LAC端将用户CHAPresponse、responseidentifier和PPP协商参数传送给LNS;
(11)LNS将接入请求信息发送给RADIUS服务器进行认证;
(12)RADIUS服务器认证该请求信息,如果认证通过则返回响应信息;
(13)若用户在LNS侧配置强制本端CHAP认证,则LNS对用户进行认证,发送CHAPchallenge,用户侧回应CHAPresponse;
(14)LNS再次将接入请求信息发送给RADIUS服务器进行认证;
(15)RADIUS服务器认证该请求信息,如果认证通过则返回响应信息;
(16)验证通过,用户访问企业内部资源。
状态迁移表、各种报文的发送顺序以及各种AVP的说明,在L2TP的调试信息中是一一对应的。
1.2L2TP典型VPDN方式故障处理
本节介绍如下的内容:
●典型组网环境
●配置注意事项
●故障诊断流程
●故障处理步骤
1.2.1典型组网环境
图1-1单用户与总部互联示意图
如图1-2,PC1通过调制解调器Modem与PSTN网络相连,再连接到接入服务器LAC侧路由器RouterA。
PC2通过隧道Tunnel与RouterA相连。
总部网络的地址采用的是私有地址(如10.8.0.0网络),因此该用户将无法通过Internet直接访问LNS侧总部网络的服务器。
通过建立VPN,用户可以访问总部网络的服务器。
1.2.2配置注意事项
配置项
子项
注意事项
AAA配置
配置认证方式
如果采用缺省的本地认证,则需要在AAA模式下配置用户名及口令;如果采用Radius等其它认证,则需要配置Radius认证方式。
配置域及采用的认证方式
域用户接入必须配置该项。
域用户接入必须在LAC侧配置域名后缀分隔符,目前只支持分隔符“@”。
配置地址池
在LNS端配置,普通用户接入地址池是在AAA模式下配置,域用户则需要在域模式下配置。
VT配置
配置VT接口的IP地址
在LNS端配置,可以是PAP认证或者CHAP认证
配置PPP认证方式
-
指定地址池
如果接入用户是普通用户并且需要分配IP地址,则需要配置地址池。
如果接入用户是域用户则不需要配置地址池,用户的IP地址将从域下配置的地址池中分配。
L2TP配置
使能l2TP
只有使能了L2TP,才能进行L2TP的相关配置。
配置VT
指定VT的IP地址,并配置认证方式。
配置L2tpGroup及相关属性
用allowl2tp命令用来指定接受呼叫时隧道对端的名称及所使用的VT。
使用缺省L2TP组号1时,可以不指定通道对端名;如果在L2TP组1视图下仍指定对端名称,则L2TP组1不作为缺省L2TP组。
为了接收不知名对端发起的通道请求连接,或者用于测试目的,可以设置一个缺省的L2TP组。
隧道验证
隧道验证方式和密码
LAC端的隧道验证和验证密码必须和LNS端的一致
下面以图1-2中PE1的配置为例,说明配置L2TPVPDN时需要注意的事项。
(1)用户侧的配置
建立一个拨号网络,号码为RouterA路由器的接入号码;接收由LNS服务器端分配的地址。
在弹出的拨号终端窗口中输入用户名vpdnuser@,口令为Hello(此用户名与口令已在LNS中注册)。
(2)路由器RouterA(LAC侧)的配置
(本例中LAC侧的Serial1/0/0串口是用户接入接口,Serial1/0/0串口的IP地址为202.38.160.1,LNS侧与通道相连接的串口IP地址为202.38.160.2)。
#设置用户名及口令。
本例采用缺省的本地认证,则需要在AAA模式下配置用户名及口令;
[RouterA]aaa
[RouterA-aaa]local-uservpdnuser@passwordsimpleHello
#在拨号用户的接入接口上启动CHAP认证。
#在Serial1/0/0接口上配置IP地址,并启动CHAP认证。
[RouterA]interfaceserial1/0/0
[RouterA-Serial1/0/0]ipaddress202.38.160.1255.255.255.0
[RouterA-Serial1/0/0]pppauthentication-modechap
#设置一个L2TP组并配置相关属性。
[RouterA]l2tpenable
[RouterA]l2tp-group1
[RouterA-l2tp1]tunnelnameLAC
[RouterA-l2tp1]startl2tpip202.38.160.2domain
#启用通道验证并设置通道验证密码。
[RouterA-l2tp1]tunnelauthentication
[RouterA-l2tp1]tunnelpasswordsimplequidway
#设置一个域名后缀分隔符为“@”。
[RouterA]l2tpdomainsuffix-separator@
说明:
域用户接入必须在LAC侧配置域名后缀分隔符,目前只支持分隔符“@”。
(3)路由器RouterB(LNS侧)的配置
#设置用户名及口令,应与LAC侧的用户名与口令一致。
[Quidway]aaa
[RouterB-aaa]local-uservpdnuser@passwordsimpleHello
#设置一个地址池1,地址范围从192.168.0.2到192.168.0.100。
[Quidway-aaa]domain
[Quidway-aaa-domain-]ippool1192.168.0.2192.168.0.100
说明:
由于接入用户是域用户,所以地址池要配置在域下,相应地,VT接口下就不需要再绑定地址池了。
#配置虚模板Virtual-Template1。
[RouterB]interfacevirtual-template1
[RouterB-virtual-template1]ipaddress192.168.0.1255.255.255.0
[RouterB-virtual-template1]pppauthentication-modechap
#设置一个L2TP组并配置相关属性。
用allowl2tp命令用来指定接受呼叫时隧道对端的名称及所使用的VT。
[RouterB]l2tpenable
[RouterB]l2tp-group1
[RouterB-l2tp1]tunnelnameLNS
[RouterB-l2tp1]allowl2tpvirtual-template1remoteLAC
#启用通道验证,并设置通道验证密码为quidway。
[RouterB-l2tp1]tunnelauthentication
[RouterB-l2tp1]tunnelpasswordsimplequidway
说明:
LNS侧的通道验证应该与LAC侧保持一致。
#强制进行本端CHAP验证。
[RouterB-l2tp1]mandatory-chap
1.2.3故障诊断流程
图1-1L2TP典型VPDN故障诊断流程图
1.2.4故障处理步骤
概要的故障处理步骤如下:
步骤
操作
1
检查LAC和LNS是否有可达的路由
2
检查LAC和LNS端的L2TP是否使能
3
检查用户是否可以通过LAC端的认证
4
检查LAC端L2TP组配置的属性是否正确
5
检查LAC和LNS端是否正确配置了隧道验证和相符的验证密码
6
检查LNS端L2TP组配置的属性是否正确
7
检查用户是否可以通过LNS的认证
8
如果用户端需要分配IP地址,检查用户是否可以分配到IP地址
详细的故障处理步骤如下:
1.检查LAC和LNS是否有可达的路由
在LAC端pingLNS,查看是否可以ping通。
如果可以ping通,说明LAC和LNS之间有可达的路由,说明LAC和LNS之间的路由不存在问题。
如果ping不通,需要检查LAC和LNS之间的路由,请参考《VRP故障处理手册路由篇》。
2.检查LAC和LNS端的L2TP是否使能
检查LAC和LNS端是否配置了l2tpenable命令。
如果是域用户接入,检查有没有配置域名后缀分隔符。
如果没有设置,则用l2tpdomainsuffix-separatorseparator命令设置。
注意分隔符为@。
3.检查用户是否可以通过LAC端的认证
用户在LAC端需要通过PPP认证,认证成功后才开始建立L2TP隧道和会话。
检查方法如下:
(1)检查LAC端用户侧接口上是否配置了PPP认证方式。
PPP认证方式的命令为pppauthentication{pap|chap}。
(2)LAC端的认证方式是否和用户端相符,如果不相符,请根据需要修改其中一端的认证方式。
(3)如果LAC端是本地认证,检查LAC端是否配置了正确的用户名和口令。
在AAA模式下,通过local-useruser-namepassword{simple|cipher}password命令进行配置。
(4)如果LAC端是RADIUS认证,请参考《VRP故障处理手册增值业务篇》定位RADIUS故障。
如果上述配置正确无误,则可以确定用户能够通过LAC端的认证。
4.检查LAC端L2TP组配置的属性是否正确
(1)检查LAC端L2TPGroup中配置的LNS地址是否正确,此地址应该与LNS端的地址一致。
如果地址不一致,通过startl2tp{ipip-address}&<1-5>{domaindomain-name|fullusernameuser-name}命令来设置。
(2)如果采用全名方式接入,检查用户名是否和用户端的名称匹配。
如果不匹配,请修改一端的用户名。
LAC端的用户名修改通过命令startl2tpipip-addressfullusernameuser-name来设置
(3)如果采用域名后缀方式接入,检查域名后缀是否和用户端的域名后缀匹配。
并检查是否配置了和用户端设置相符的域名后缀分隔符。
如果不匹配,请通过startl2tpipip-addressdomaindomain-name命令来修改域名后缀。
如果没有配置域名后缀分隔符,请通过l2tpdomainsuffix-separator命令进行设置。
目前只支持@分隔符。
5.检查LAC和LNS端是否正确配置了隧道验证和相符的验证密码
隧道验证请求可由LAC或LNS任何一侧发起。
只要有一端启用了隧道验证,则只有在对端也启用了隧道验证,两端密码完全一致并且不为空时,隧道才能建立。
所以,如果有一端配置了隧道认证但是两端密码不符合,请通过tunnelpassword{simple|cipher}password命令进行设置。
6.检查LNS端L2TP组配置的属性是否正确
LNS端L2TPGroup的配置主要检查下面两项参数:
●检查LNS端L2TPGroup中配置的Tunnel名称是否正确。
LNS端L2TPGroup中配置的Tunnel名称必须与LAC端设置的名称对应。
如果不对应,请通过allowl2tpvirtual-templatevirtual-template-numberremoteremote-name命令修改。
●检查是否绑定了正确的Virtual-Template(VT)。
正确的VT是隧道接口的虚模板。
7.检查用户是否可以通过LNS的认证
分两种情况分析。
●本地认证:
检查AAA视图下是否配置了正确的用户名和口令。
如果用户名和口令不正确,请通过命令local-useruser-namepassword{simple|cipher}password进行设置。
●RADIUS认证:
请参考《VRP故障处理手册增值业务篇》定位RADIUS故障。
8.如果用户端需要分配IP地址,检查用户是否分配到IP地址
分两种情况。
●全名方式接入:
检查VT下是否绑定了正确的地址池。
地址池首先要在AAA视图下配置正确。
然后需要在VT接口模式下执行命令remoteaddresspoolpool-number来进行绑定。
●域名用户接入:
检查域视图下是否配置了正确的地址池。
在域视图下配置地址池的方法是配置ippoolpool-numberfirst-address[last-address]命令
如果至此还无法排除L2TPVPDN故障,请联系华为的技术支持工程师。
1.3L2TP从PC直接接入LNS方式故障处理
本节介绍如下的内容:
●典型组网环境
●配置注意事项
●故障诊断流程
●故障处理步骤
1.3.1典型组网环境
如图1-4,VPN用户借助于L2TP的拔号软件直接从PC机接入LNS端,在PC机与LNS端之间建立L2TP隧道。
图1-1用户发起或企业内部机器(均安装LAC软件)发起
1.3.2配置注意事项
具体配置注意事项请参见本章L2TP典型VPDN方式故障处理。
下面以图1-4的配置为例说明配置L2TP时需要注意的事项。
(1)用户侧的配置
建一拨号网络,号码为LAC侧路由器的接入号码;接收由LNS端分配的地址。
在弹出的拨号终端窗口中输入用户名vpdnuser@,口令为Hello(此用户名与口令应该已在公司LNS中注册)。
(2)路由器LNS(LNS侧)的配置
#配置用户名和密码。
[LNS-aaa]localuservpdnuser@passwordsimplehello
#进入域视图。
[LNS-aaa]domain
#指定地址池。
[LNS-aaa-domain-]iplocalpool210.1.1.210.1.1.20
说明:
由于接入用户是域用户,所以地址池要配置在域下,相应地,VT接口下不需要再绑定地址池了。
#创建虚拟接口模板VT。
[Quidway]interfacevirtual-template1
#配置VT的IP地址。
[Quidway-Virtual-Template1]ipaddress10.1.1.1255.255.255.0
#为VT配置PPP认证方式。
[Quidway-Virtual-Template1]pppauthenticationpap
说明:
由于接入用户是域用户,VT下不用绑定地址池,用户的IP地址将从域模式下的地址池分配。
#使能L2TP。
[Quidway]l2tpenable
#创建L2TP组,组号为1。
[Quidway]l2tp-group1
#指定接受呼叫时隧道对端的名称及所使用的VT。
[Quidway-l2tp1]allowl2tpvirtual-template1remote
#取消L2TP隧道验证功能。
[Quidway-l2tp1]undotunnelauthentication
说明:
●L2TPGroup1作为缺省的L2TP组,可以省略LAC名称的配置。
其他L2TPGroup都必须指定LAC的名
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为数通操作手册 VRP全系列 VRP故障处理手册 路由器 01第1章 L2TP协议故障处理 华为 操作手册 VRP 系列 故障 处理 手册 01 L2TP 协议
链接地址:https://www.bdocx.com/doc/23795703.html