L2TP VPN配置

本节介绍L2TP VPN设备端配置,包括新建L2TP VPN(L2TP VPN向导)、编辑/删除L2TP VPN以及查看在线用户。

新建L2TP VPN

新建L2TP VPN,请按照以下步骤进行操作:

  1. 从页面左侧导航树选择并点击“配置网络L2TP VPN”,进入L2TP VPN页面。
  2. 点击L2TP VPN列表左上角的『新建』按钮或者从页面右侧辅助栏的<任务>区选择『新建L2TP VPN』链接,弹出<L2TP VPN配置>对话框。
  3. 阅读<欢迎页>内容,并在<L2TP VPN名称>文本框中指定L2TP VPN名称。
  4. 点击『下一步』按钮进入<接入用户>配置页面。在该页面配置用于客户端用户身份认证的AAA服务器。
    1. 在<AAA服务器>下拉菜单中选择需要的服务器名称。
    2. 在<域名>文本框中输入服务器对应的域名。
    3. 点击『添加』按钮,添加已配置的AAA服务器,被添加的AAA服务器将显示在下方的列表中。
    4. 重复以上步骤添加更多AAA服务器。如果需要删除AAA服务器,从列表中选中需要删除的AAA服务器,然后点击右侧的『删除』按钮。
  5. 点击『下一步』按钮进入<接入接口/隧道接口>配置页面。在该页面配置设备端接口、隧道接口、地址池和引用IPsec隧道。
    6. 选项 说明
    接入接口

    指定客户端所访问的设备端接口。具体配置选项包括:

    • 出接口:在下拉菜单中选择需要的设备端接口。
    隧道接口

    指定绑定L2TP VPN隧道的隧道接口,流量通过隧道接口进出L2TP VPN通道。具体配置选项包括:

    • 隧道接口:在下拉菜单中选择系统中已配置的隧道接口;或者,选中下拉菜单中的<新建>选项,在弹出的<接口配置>对话框中新建隧道接口;还可以在下拉菜单中选中系统中已配置的隧道接口,然后点击『配置』按钮,在弹出的<接口配置>对话框中编辑该隧道接口。关于新建/编辑隧道接口的详细信息,请参阅“接口配置新建接口新建隧道接口”部分。
    • 所属安全域:显示已选中隧道接口所属的安全域。
    • IP地址:显示已选中隧道接口的IP地址。
    • 网络掩码:显示已选中隧道接口的网络掩码。
    地址池

    指定L2TP VPN地址池。具体配置选项包括:

    • 地址池:在下拉菜单中选择系统中已配置的地址池;或者,选中下拉菜单中的<新建>选项,在弹出的<地址池配置>对话框中新建地址池;还可以在下拉菜单中选中系统中已配置的地址池,然后点击『配置』按钮,在弹出的<地址池配置>对话框中编辑该地址池。关于新建/编辑地址池的详细信息,请参阅L2TP VPN地址池配置
    • 起始IP:显示已选中地址池的起始IP地址。
    • 终止IP:显示已选中地址池的终止IP地址。
    引用IPsec隧道 从下拉菜单选择引用的IPsec隧道。L2TP协议不对隧道传输中的数据进行加密,因此在传输过程中无法保证数据的安全。用户可以将L2TP协议和IPsec协议结合使用,利用IPsec协议对数据进行加密的优势,保证L2TP隧道传输中的数据安全。
  6. 如需要,点击页面右下方的『高级配置』按钮,进行L2TP VPN高级参数配置,包括安全配置、客户端连接配置和PPP配置。详细配置请参见步骤7。
  7. 在<参数配置>页面,进行安全选项、客户端连接和PPP配置
    8. 选项 说明
    安全配置

    隧道认证:点击『启用』按钮启用隧道认证,保证连接的安全。隧道认证可由LNS或LAC任何一端发起,只有两端均通过隧道认证,即隧道密码一致时,方可建立隧道。

    AVP数据隐含:点击『启用』按钮启用AVP数据隐含。L2TP协议使用AVP(attribute value pair,属性值对)来传递和协商L2TP 的一些参数、属性等。在默认情况下,AVP是采用明文形式传输的。为了保证数据安全,用户可以通过隧道密码加解密这些数据,将这些AVP隐藏起来传输。

    隧道密码:指定LNS端隧道认证的密码。

    对端名称:指定LAC端设备的主机名称。如果多个LAC与LNS建立连接,用户可通过配置该项参数为不同的LAC端设备指定不同的隧道密码。点击『添加』按钮将配置的隧道密码和对端名称组合添加到列表,或点击『删除』按钮删除选中的组合。
    客户端连接

    允许客户端指定IP地址:点击『启用』按钮允许用户指定IP地址。默认情况下,客户端的IP地址由LNS从地址池中取出并自动分配。启用该功能后,用户可以指定IP地址,但该IP地址必须属于已指定的地址池范围之内且与用户的用户名和角色一致。如果指定的IP地址已被占用,则系统禁止该用户登录。

    允许同名登录:点击『启用』按钮允许同一个用户在多个地点同时登录认证。

    Hello报文间隔:指定发送Hello报文的时间间隔。LNS定时向L2TP客户端或LAC发送Hello报文检测隧道是否连通,若在一段时间内未收到应答,该隧道连接将被断开。

    LNS名称:指定本端隧道的名称。

    隧道数据窗口大小:指定隧道传输数据的窗口大小。

    控制报文重传次数:指定控制报文重传次数。如果在指定的重传次数内未收到对端的响应,则系统认为隧道连接已经断开。
    PPP配置

    LCP-echo:指定PPP协商过程中LNS发送LCP Echo报文的相关参数,包括:

    • 发送间隔 - 指定发送LCP Echo报文的间隔时间。
    • 重传次数 - 指定发送LCP Echo报文的重传次数。如果LNS在发送次数达到设置的重传次数后未收到响应,会判断连接已经断开。

    PPP认证:指定PPP认证的协议,包括:

    • PAP - 指定PPP认证方式为密码认证协议PAP。
    • CHAP - 指定PPP认证方式为质询握手认证协议CHAP。此选项为默认选项。
    • 任意 - 指定该参数后,系统首选认证方式为CHAP,如果认证不支持CHAP协议时,则使用PAP协议进行认证。
  8. 点击『完成』按钮,保存所做配置。

编辑/删除L2TP VPN

编辑/删除L2TP VPN,请按照以下步骤进行操作:

  1. 从页面左侧导航树选择并点击“配置网络L2TP VPN”,进入L2TP VPN页面。
  2. 在L2TP VPN列表部分,选中需要编辑/删除的L2TP VPN。
  3. 点击页面左上方的『编辑』或『删除』按钮编辑/删除相应的L2TP VPN。

查看在线用户

查看L2TP VPN所有在线客户端,请按照以下步骤进行操作:

  1. 从页面左侧导航树选择并点击“配置网络L2TP VPN”,进入L2TP VPN页面。
  2. 在页面下方的在线用户列表中查看所有在线客户端的详细信息。
    • 名称:显示L2TP VPN名称。
    • 登录时间:显示在线用户的登录时间。
    • 公网IP:显示在线用户的公网IP地址。
    • 私有IP:显示L2TP VPN分配给在线用户的IP地址。
    • 操作:点击该栏的『踢出』按钮强制断开用户的L2TP VPN连接。
  3. 如需要,用户还可以在在线用户列表右上侧的<在线用户>文本框中输入特定用户名称, 然后点击后面的『搜索』按钮查看特定在线客户端的详细信息。