30.1 L2TP概述

PPP 定义了一种通过二层（L2）点对点连接传输多种协议报文的封装机制。典型情况下，一个用户通过某种接入技术（如 ISDN，ADSL 拨号等）获得一个到网络接入服务器（NAS）的二层连接，并在该连接上进行 PPP 会话。在这样的配置中，二层终节点和 PPP 会话的终节点位于同样的物理设备上（也就是说，NAS）。

L2TP（Layer Two Tunneling Protocol）是一种二层隧道协议，它扩展了 PPP的模型，通过二层隧道将 PPP 会话的终点延伸到另一个通过分组交换网互连的不同设备上，而不是二层接入的终节点。从而将 PPP 会话从二层终结的限制中解脱出来，扩大了 PPP 的应用范围。

L2TP 包括 LAC 和 LNS 两种功能：

•  LAC（L2TP Access Concentrator）：L2TP 访问集中器。是 L2TP 隧道的一个端点，是 L2TP 网络服务器（LNS）的对等体（PEER）。LAC负责在一个 LNS 和一个远地系统之间转发 PPP 报文，并维护 LAC 和LNS 之间的隧道（TUNNEL）和会话（SESSION）连接。

• LNS（L2TP Network Server）：L2TP 网络服务器。是 L2TP 隧道的一个端点，是 LAC 的对等体。负责维护与远地系统之间的 PPP 连接，为远地系统提供对内部网的访问服务。

L2TP 隧道给远程拨号用户提供了连接到 VPN 网关的解决方案，拨号 VPN又称为 VPDN(Virtual Private Dial Network)。在这种应用中，由 VPN 网关提供 LNS 功能，如果拨号用户本身支持 L2TP，则可以采用自愿隧道模式直接连接到 LNS；如果拨号用户本身不支持 L2TP，则可以通过当地 ISP 提供的 LAC 功能采用强制隧道模式连接到 LNS。这两种连接方式的拓扑结构如下所示：

L2TP 客户端直接接入 LNS

拨号用户通过 LAC 远程接入 LNS

在一个 LNS 和 LAC 对之间存在着两种类型的连接，一种是隧道（tunnel）连接，它定义了一个 LNS 和 LAC 对；另一种是会话（session）连接，它复用在隧道连接之上，用于表示承载在隧道连接中的每个 PPP 会话过程。

隧道透传 PPP 帧

L2TP 连接的维护以及 PPP 数据的传送都是通过 L2TP 报文的交换来完成的，这些报文封装在 UDP 报文里，从而在承载在 TCP/IP 上。

L2TP 报文可以分为两种类型，一种是控制报文，另一种是数据报文。控制报文用于隧道连接和会话连接的建立与维护。控制报文的传输是可靠的，使用了报文编号确认，滑动窗口，超时重传，隧道保活检测等机制保证控制报文的传输。数据报文则用于承载用户的 PPP 会话数据包。数据报文本身不保证可靠传输，应该根据上层应用由上层协议保证数据报文的可靠投递。

30.2 配置L2TP

下一代安全防护平台设备出厂默认是没有 L2TP 配置的，配置 L2TP，需要进行地址池，认证用户组等配置。

30.2.1 配置认证用户

认证用户是在客户端进行拨号时进行认证使用的，包括用户名，密码的配置。

配置认证用户：进入对象>用户对象>用户，点击新建

参数说明：

用户名：账号的名称，长度，限制为63个字符。

启用：选中表示启用此账号。

类型：配置用户类型是否是认证用户。

认证用户：认证用户的类型。

密码：此账号的密码，如果使用RADIUS认证。则不用配置密码。

确认密码：确认账号密码。

配置步骤：

1. 在用户名一栏填写账号的名称。
2. 点击启用
3. 类型选择认证用户
4. 如果不用RADIUS认证，则输入密码，并确认一遍。
5. 如果通过RADIUS认证，则选择一个配置好的RADIUS配置。
6. 点击提交。

30.2.2 配置用户组

L2TP模板配置时必须需要一个用户组，客户端的拨号账号必须是用户组里包含的账号。

配置用户组：进入对象>用户对象>用户组，点击新建

名称：用户组的名称

用户成员：要加入用户组的认证用户。

配置步骤：

1. 配置用户组名称。
2. 选取可选成员中的帐号，点击加入到组中。
3. 点击提交。

30.2.3 配置接口接入控制

进入网络>接口>物理接口，点击某一接口，进入编辑物理接口页面

参数说明：

接口：物理接口名称。

名称：物理接口的别名。

管理状态：物理接口的启用或关闭，可选UP、DOWN。

协商模式：物理接口协商模式，可选自协商/非自协商。

速率：物理接口协商速率，单位Mbps。可选1000/100/10.

双工模式：物理接口双工模式，分为全双工/半双工两种（FULL/HALF）。

MTU：MTU值，范围68-1500.

管理访问：配置该接口地址上允许访问的服务类别。

接入控制：接口在网络中的接入方式。

配置步骤：

1. 配置地址模式为静态，并配置正确的地址/掩码。
2. 配置管理访问。
3. 接入控制中选中 L2TP。
4. 点击提交。

30.2.4 配置L2TP

进入网络>VPN>L2TP>配置，进入 L2TP 的配置界面

参数说明：

启用 L2TP： 选中表示启用 L2TP 功能，否则停止 L2TP 功能。

起始 IP：用来进行地址分配的起始地址。

终止 IP：用来进行地址分配的终止地址。

用户组：通过选中的用户组来对拨号客户端身份进行验证。

高级选项：可选的拨号用户 DNS 和拨号用户 WINS 配置，用于在客户端拨

号成功后，为用户拨号连接设置 DNS 和 WINS 地址。可选的用户唯一性检

查约束同一用户是否可以同时多次登入。

配置步骤：

1. 选中启用 L2TP。
2. 配置起始 IP。
3. 配置终止 IP。
4. 选择一个用户组。
5. 点击提交。

30.3 配置案例

30.3.1 案例1：在接口ge0/0上启用L2TP

案例描述

在物理口 ge0/0 上配置 L2TP，允许客户端进行 L2TP 拨号。

配置步骤：

1. 进入对象>用户对象>用户，点击新建，如下图：

2. 输入参数。
3. 点击提交完成设置。
4. 进入对象>用户对象>用户组，点击新建。

5. 输入参数。
6. 点击提交完成设置。
7. 进入网络>VPN>L2TP>配置，进入 L2TP 的配置界面。

8. 输入参数。
9. 点击提交完成设置。
10. 进入网络>接口>物理接口，点击接口 ge0/0，进入编辑页面。

11. 配置 IP 地址，在接入控制中选取 L2TP。
12. 点击提交完成设置。

30.4 L2TP监控与维护

30.4.1 察看L2TP会话信息

进入网络>VPN>L2TP>监视器，察看 L2TP 的会话信息

在该页面可以点击可以使某一特定登录用户断开，点击可以断开所有登录用户。

30.5 故障分析

30.5.1 L2TP客户端拨号，无法建立连接

30.5.2

L2TP建立连接后，出现异常断开