VPN FAQ
400热线TOP咨询类问题及问题解决方案
序号 | 问题描述 | 解决方案 |
| 1 | L2TP VPN建立失败的原因有哪些 | L2TP VPN建立失败的原因有哪些 |
| 2 | L2TP VPN业务不通的原因有哪些 | L2TP VPN业务不通的原因有哪些 |
| 3 | PC端L2TP拨号失败的可能原因 | PC端L2TP拨号失败的可能原因 |
| 4 | L2TP配置是否支持给终端用户分配固定IP地址 | L2TP配置是否支持给终端用户分配固定IP地址 |
| 5 | GRE隧道建立失败原因有哪些 | GRE隧道建立失败原因有哪些 |
| 6 | 配置GRE隧道,无法配置Tunnel接口的隧道协议为GRE的可能原因 | 配置GRE隧道,无法配置Tunnel接口的隧道协议为GRE的可能原因 |
| 7 | AR设备创建VPN实例后,与对端Ping不通 | AR设备创建VPN实例后,与对端Ping不通 |
| 8 | 如何配置点到点IPSec VPN | 如何配置点到点IPSec VPN |
| 9 | 如何配置点到多点IPSec VPN | 如何配置点到多点IPSec VPN |
| 10 | 如何配置L2TP over IPSec | 如何配置L2TP over IPSec |
| 11 | 如何配置GRE over IPSec/IPSec over GRE | 如何配置GRE over IPSec/IPSec over GRE |
| 12 | 一端PPPoE拨号一端固定IP如何建立IPSec VPN | 一端PPPoE拨号一端固定IP如何建立IPSec VPN |
| 13 | 两端都是PPPoE拨号如何建立IPSec VPN | 两端都是PPPoE拨号如何建立IPSec VPN |
| 14 | 一端公网一端私网如何建立IPSec VPN | 一端公网一端私网如何建立IPSec VPN |
| 15 | 对端地址不固定或存在多个对端,如何配置IPSec VPN | 对端地址不固定或存在多个对端,如何配置IPSec VPN |
| 16 | 如何确认数据流量是否走IPSec隧道 | 如何确认数据流量是否走IPSec隧道 |
| 17 | IPSec VPN是否需要License | IPSec VPN是否需要License |
| 18 | 如何配置IPSec感兴趣流 | 如何配置IPSec感兴趣流 |
| 19 | IPSec隧道建立后业务访问速度慢/时断时续/中断的原因有哪些 | IPSec隧道建立后业务访问速度慢/时断时续/中断的原因有哪些 |
| 20 | 当NAT和IPSec同时部署时如何统计报文 | 当NAT和IPSec同时部署时如何统计报文 |
| 21 | 为什么防火墙流量统计能统计到被IPSec保护的GRE报文 | 为什么防火墙流量统计能统计到被IPSec保护的GRE报文 |
| 22 | 如何配置L2TP | 如何配置L2TP |
L2TP VPN建立失败的原因有哪些
可能原因
双方有路由不可达,例如配置了多条默认路由。
隧道验证方式错误。
IP地址池未配置网关地址,使得网关地址也分配给客户端使用。
LNS端连接L2TP用户的接口使能了SA统计功能,导致转发受到阻止。
操作步骤
检查路由是否可达。可以通过ping或tracert来验证。
执行命令display current-configuration,查看l2tp-group和Virtual-Template接口的配置是否正确。
<LAC> display current-configuration | begin l2tp-group l2tp-group 1 start l2tp ip 202.1.1.1 fullusername huawei tunnel password cipher %^%#B^5:IPR>B$z[&KF_EKB(>:T">;z`ZJY+X.&_5jlH%^%# //隧道密码要与LNS中配置的隧道密码一致 tunnel name LAC
<LNS> display current-configuration | begin l2tp-group l2tp-group 1 allow l2tp virtual-template 1 remote LAC //此处的LAC为指定允许本端接入呼叫的隧道名称,要与LAC中tunnel name名一致 tunnel password cipher %^%#B^5:IPR>B$z[&KF_EKB(>:T">;z`ZJY+X.&_5jlH%^%# //隧道密码要与LAC中配置的隧道密码一致 tunnel name LNS
<LAC> display current-configuration interface virtual-template interface Virtual-Template1 //接入呼叫VT接口显示信息 ppp authentication-mode chap //认证方式需要与LNS配置一致 # interface Virtual-Template2 //自拨号呼叫VT接口显示信息 ppp chap user huawei //虚拟PPP用户的用户名要与LNS配置的PPP用户名一致 ppp chap password cipher %^%#1HIL-jW9hLZlF'8@8+*"-UwS04'e`'+9\0*=#3Z-%^%# //虚拟PPP用户的密码要与LNS配置的PPP密码一致 ip address ppp-negotiate l2tp-auto-client enable
<LNS> display current-configuration interface virtual-template interface Virtual-Template1 //接入呼叫、自拨号VT接口显示信息 ppp authentication-mode chap //认证方式需要与LAC配置一致 remote address pool lns ip address 12.1.1.1 255.255.255.0
Client-LNS组网场景:建议使用“l2tp-group 1”,配置时不能指定对端的隧道名。Windows7客户端不支持隧道认证,需要在LNS侧配置undo tunnel authentication取消隧道认证。
Client-LAC-LNS组网场景:需要确认LAC与LNS配置的对端隧道名称、隧道认证、PPP认证参数是否匹配。
执行命令display ip pool,查看已配置的IP地址池及其中IP地址的信息,包括地址池的名称、租期、锁定状态、地址池中IP地址的状态等。
如果IP地址池未配置网关地址,使得网关地址也分配给客户端使用,可执行gateway-list配置网关地址,分配给远程用户作为其网关地址。
执行命令undo sa application-statistic enable去使能接口的SA统计功能。
当用户在接口上使能了SA统计功能时,可以查看接口上通过的基于不同SA应用协议的报文统计信息,但是会影响报文的转发功能,因此需要去使能SA统计功能。
更多信息
因为报文分片消耗CPU资源导致业务质量下降,所以部署L2TP时需注意如下两个方面。
考虑MTU值
一条链路所能传输的最大报文长度被称为MTU(Maximum Transfer Unit),MTU大小与接口类型有关(例如以太网口缺省MTU为1500字节),链路MTU由这条链路上MTU最小的接口决定。当待发送的报文尺寸超过接口MTU时,设备会先对加密后的报文进行分片,然后再发送。接收端收到一个IP报文的所有分片后需要先进行重组,然后再解密。分片及重组都需要消耗CPU资源。
考虑TCP MSS值
TCP MSS(Max Segment Size)指定了TCP最大报文段长度,如果MSS值加上各种开销的报文总长度大于链路的MTU值,则数据报文会被分片发送。分片的过程会消耗更多的CPU资源,分片报文的加密解密同样会消耗传输链路中设备的CPU资源。当CPU资源消耗过多,就会造成数据报文的丢失。
同时,对于某些高层应用(例如HTTP等应用层协议)会将IP报文的DF(Don't Fragment)标记位置为有效,以防止TCP报文分片。如果DF标记位被置为有效,而接口MTU小于MSS的值,此时设备会因为不能强制分片TCP报文而将报文丢弃。
L2TP VPN业务不通的原因有哪些
可能原因
路由不可达。
虚拟接口下MTU值设置不合理。
虚拟接口下TCP MSS值设置不合理。请保证MSS值加上各种开销的报文总长度不超过MTU值,否则会影响报文传输。
操作步骤
检查路由是否可达。可以通过ping或tracert来验证。
执行ping -s packetsize -a source-ip-address host命令检查报文是否被分片。
Ping测试不同大小的报文,确定是否有丢包或Ping不通,找到一个临界值(大于临界值时,Ping有丢包或不通现象)。
根据该临界值,在接口视图下执行命令mtu mtu修改MTU值。
修改后,还是出现部分TCP业务访问速度慢或访问时断时续现象时,请在接口视图下执行命令tcp adjust-mss value修改TCP最大报文段长度。
更多信息
因为报文分片消耗CPU资源导致业务质量下降,所以部署L2TP时需注意如下两个方面。
考虑MTU值
一条链路所能传输的最大报文长度被称为MTU(Maximum Transfer Unit),MTU大小与接口类型有关(例如以太网口缺省MTU为1500字节),链路MTU由这条链路上MTU最小的接口决定。当待发送的报文尺寸超过接口MTU时,设备会先对加密后的报文进行分片,然后再发送。接收端收到一个IP报文的所有分片后需要先进行重组,然后再解密。分片及重组都需要消耗CPU资源。
考虑TCP MSS值
TCP MSS(Max Segment Size)指定了TCP最大报文段长度,如果MSS值加上各种开销的报文总长度大于链路的MTU值,则数据报文会被分片发送。分片的过程会消耗更多的CPU资源,分片报文的加密解密同样会消耗传输链路中设备的CPU资源。当CPU资源消耗过多,就会造成数据报文的丢失。
同时,对于某些高层应用(例如HTTP等应用层协议)会将IP报文的DF(Don't Fragment)标记位置为有效,以防止TCP报文分片。如果DF标记位被置为有效,而接口MTU小于MSS的值,此时设备会因为不能强制分片TCP报文而将报文丢弃。
AR设备创建VPN实例后,与对端Ping不通
可能原因
AR设备与对端相连的接口绑定VPN实例,未配置带VPN实例名称Ping对端设备。
AR设备与对端相连的接口绑定VPN实例,VPN实例路由不可达。
操作步骤
执行命令ping -vpn-instance vpn-instance-name,带VPN实例名称Ping对端设备。
当设备上有多个接口绑定了同一个VPN,则使用ping -vpn-instance命令ping对端。设备接入对端时,要指定源IP地址,即要指定ping -vpn-instance vpn-instance-name -a source-ip-address dest-ip-address命令中的参数-a source-ip-address,否则可能ping不通。
执行命令ping -vpn-instance vpn-instance-name后,发现VPN实例路由不可达,可以执行ip route-static vpn-instance命令用来为VPN实例配置静态路由。
PC端L2TP拨号失败的可能原因
可能原因
PC系统主要有Windows XP、Windows 7、Windows 8和Windows 10。
Windows XP系统、Windows 7系统和Windows 8系统的PC与设备无法建立L2TP的可能原因是没有修改系统注册表。Windows 10系统不需要修改系统注册表。
操作步骤
以Windows 7系统为例,修改系统注册表,不使用数字证书认证功能,Windows XP和Windows 8系统操作方法类似。具体方法如下:
Windows 7的64位操作系统与32位操作系统修改注册表的方法相同。
单击,输入regedit打开注册表。
在左侧进入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters”路径,并在右侧空白处右击选择,生成文件“新值 #1”。
选中“新值 #1”,右击选择“重命名”,将文件重命名为“ProhibitIpSec”。
选中“ProhibitIpSec”文件,右击选择“修改”。
在弹出的“编辑DWORD(32位)值”对话框中,填写“数值数据”为“1”,并选择“基数”为“十六进制”。
重启PC,配置生效。
L2TP VPN支持组播吗
L2TP VPN不支持组播。
L2TP配置是否支持给终端用户分配固定IP地址
L2TP配置中,设备做LNS不支持给终端分配固定的IP地址。
PPPoE拨号如何建立L2TP连接
华为AR系列路由器全系列设备支持通过PPPoE拨号建立L2TP连接,具体的配置过程可参见 《产品文档-配置指南(通过命令行)-VPN配置指南》中的“配置LAC接入PPPoE用户发起L2TP隧道连接来实现分支与总部互通的示例”。
如何配置L2TP
L2TP是指通过拨号网络,基于PPP的协商,建立企业分支用户到企业总部的隧道,使远程用户可以接入企业总部。典型组网如图11-26所示。图11-26 LAC接入PPPoE用户发起L2TP隧道连接典型组网
企业出差员工的地理位置经常发生移动,并且随时需要和总部通信和访问总部内网资源,这时将总部网关部署为LNS,出差员工在PC终端上使用L2TP拨号软件,则可以在出差员工的PC和总部网关之间建立虚拟的点到点连接。具体配置过程请参见《产品文档-典型配置案例(通过命令行)-通过VPN实现广域网互联-L2TP》中的配置远程拨号用户通过L2TP隧道接入总部的示例。
分支用户需要和总部用户建立VPDN连接,分支向ISP申请L2TP服务,ISP将NAS部署为LAC,将分支用户的拨号连接请求通过公网发送到LNS,企业将总部的网关部署为LNS,为分支用户提供接入服务,实现分支用户和总部网关之间的L2TP连接。具体配置过程请参见《产品文档-配置指南(通过命令行)-VPN配置指南》中的NAS-Initialized场景:配置拨号用户通过NAS发起L2TP隧道连接示例(本地认证)。
分支用户需要和总部用户建立VPDN连接,在分支和总部之间部署L2TP,其中分支机构没有拨号网络,将分支的网关部署为PPPoE服务器,使分支用户的PPP拨号可以通过以太网络传输,同时分支网关也作为LAC,和总部建立L2TP隧道。具体配置过程请参见《产品文档-典型配置案例(通过命令行)-通过VPN实现广域网互联-L2TP》中的配置LAC接入PPPoE用户发起L2TP隧道连接来实现分支与总部互通的示例。
分支或出差用户希望通过L2TP隧道传输的业务进行安全保护,防止被窃取或篡改等。具体配置过程请参见《产品文档-配置指南(通过命令行)-VPN配置指南》中的配置分支机构与总部之间通过L2TP Over IPSec方式实现安全互通的示例。
AR路由器支持哪些类型的VPN
AR路由器支持L2TP、GRE、IPSec、DSVPN、L3VPN和L2VPN类型的VPN。
GRE隧道建立失败原因有哪些
可能原因
Tunnel两端封装模式不一致。
Tunnel两端未配置IP地址、源地址或目的地址;或两端未互为源地址和目的地址。
Tunnel两端GRE Key的配置不一致。
Tunnel的源和目的地址之间不存在路由。
隧道接口Keepalive的配置和收发报文计数不正确。
Tunnel两端的MTU值设置不一致。
接口下TCP MSS值设置不合理。请保证MSS值加上各种开销的报文总长度不超过MTU值,否则会影响报文传输。
操作步骤
在Tunnel接口下执行display this命令来查看目前接口的基本配置是否正确,如果配置有误请修改配置。
例如:执行tunnel-protocol命令配置Tunnel接口的隧道协议为GRE,则两端的隧道协议需要一致;执行source和destination命令将本端Tunnel接口的目的地址设置为对端Tunnel接口的源地址,本端Tunnel接口的源地址设置为对端Tunnel接口的目的地址。如果通过gre key配置了GRE隧道的识别关键字,则两端的识别关键字需要一致。
[Huawei-Tunnel0/0/0] display this [V200R009C00SPC300] # interface Tunnel0/0/0 ip address 172.16.1.1 255.255.255.252 tunnel-protocol gre source GigabitEthernet1/0/0 destination 1.1.1.2 # return
执行display ip routing-table命令来检查隧道接口Destination的路由是否正确。
如果不存在隧道接口Destination的路由,请执行ip route-static命令添加路由或者在相关动态路由协议的邻居上发布该Destination网段的路由。如果隧道接口Destination的路由的出接口是该隧道接口,出现隧道Up/Down震荡的现象,或者通过动态路由协议将Destination路由从隧道接口发布过来的错误,都可以通过配置32位高优先级静态路由解决。
确认GRE隧道的Destination路由正确后,执行display ip interface brief命令查看隧道接口的状态是否正确。
在Tunnel接口视图下执行display this命令来检查隧道接口Keepalive的配置。
如果GRE隧道接口已配置Keepalive,请在对应接口视图下执行display keepalive packets count命令来查看该GRE隧道接口发送给对端以及从对端接收的Keepalive报文的数量和Keepalive响应报文的数量。
GRE隧道的Keepalive功能是单向的,要使两端都具备Keepalive功能,需在两端都使能GRE隧道的Keepalive功能。对端是否支持Keepalive功能不影响本端的Keepalive功能。缺省情况下,Keepalive周期为5秒,retry-times为3次,即在连续15秒的时间内未收到Keepalive的情况下,GRE隧道会Down。
如果本端设备发送Keepalive报文计数大于收到的Keepalive回复报文,说明链路存在报文丢失,需要排查链路和检查对端设备。
如果在本端设备查看发现本端设备接收的Keepalive计数大于本端设备发送的回应报文计数,说明本端设备存在未回应报文的情况。
执行ping -s packetsize -a source-ip-address host命令检查报文是否被分片。
Ping测试不同大小的报文,确定是否有丢包或Ping不通,找到一个临界值(大于临界值时,Ping有丢包或不通现象)。
根据该临界值,在接口视图下执行命令mtu mtu修改MTU值。
修改后,还是出现部分TCP业务访问速度慢或访问时断时续现象时,请在接口视图下执行命令tcp adjust-mss value修改TCP最大报文段长度。
配置GRE隧道,无法配置Tunnel接口的隧道协议为GRE的可能原因
可能原因
配置GRE隧道,无法配置Tunnel接口的隧道协议为GRE的可能原因是:进入Tunnel接口的命令错误。
操作步骤
执行命令interface tunnel interface-number创建Tunnel接口,interface-number指定Tunnel接口的编号,格式为“槽位号/卡号/端口号”。
参考如下实例创建Tunnel接口。
<Huawei> system-view [Huawei] interface tunnel 0/0/1 [Huawei-Tunnel0/0/1]
GRE是否支持通过Web网管配置
GRE不支持通过Web网管配置。
设备支持哪些点到点VPN
目前设备支持的点到点VPN有GRE、IPSec、VLL、L2TP。
AR1200&AR2200&AR3200&AR3600系列,L2TP从V200R002C00版本开始支持,VLL从V200R003C00版本开始支持。
AR1200-S&AR2200-S&AR3200-S&AR3600-S系列,L2TP从V200R002C00版本开始支持,VLL从V200R005C10版本开始支持。
AR550E,VLL从V200R009C00版本开始支持。
GRE隧道支持封装单播和组播报文。
IPSec隧道只支持封装加密单播报文,如果需要给组播报文进行加密,可以通过GRE over IPSec来实现。
VLL是建立在MPLS技术上的点对点的二层隧道技术,解决了异种介质不能相互通信的问题。
L2TP隧道扩展了PPP报文的传输范围,支持用户认证,用于远程接入,但安全性不高,可以采用L2TP over IPSec提高安全性。
GRE Tunnel接口下设置MTU值能否生效
GRE Tunnel接口下设置MTU值,会影响通过GRE Tunnel转发的数据报文。如果该数据报文长度超过Tunnel接口的MTU值,设备会对该报文进行分片。
GRE支持的哪些单播路由协议和组播协议
GRE支持如下路由协议:
静态路由协议
OSPF
ISIS
RIP
BGP
GRE支持的组播协议:PIM
SA支持哪些老化方式
SA支持如下两种老化方式:
基于时间,即生存周期是从安全联盟建立开始为安全联盟存活的时间。
基于流量,即生存周期是此安全联盟允许处理的最大流量。
如果生存周期到达指定的时间或指定的流量,则安全联盟就会失效。安全联盟快要失效前,IKE将为IPSec协商建立新的安全联盟,这样在旧的安全联盟失效前新的安全联盟就已经准备好。在新的安全联盟开始协商而没有协商好之前,继续使用旧的安全联盟保护通信。在新的安全联盟协商好之后,则立即采用新的安全联盟保护通信。
AR设备是否支持L2TP
目前AR设备在版本V200R002C00开始支持L2TP,L2TP的版本为L2TPv2。
设备是否支持SSL VPN
SSL VPN功能为beta测试特性,不参与商用。如需要测试使用请联系华为技术有限公司驻当地办事处的技术支持人员。
设备是否支持VPDN
VPDN有以下3种常用的隧道技术:
点到点隧道协议PPTP(Point-to-Point Tunneling Protocol)
二层转发L2F(Layer 2 Forwarding)
二层隧道协议L2TP(Layer 2 Tunneling Protocol)
目前设备支持L2TP,不支持配置PPTP和L2F,但可以转发PPTP和L2F报文。
L2TP集合了PPTP和L2F两种协议的优点,目前已被广泛接受,主要应用在单个或少数远程终端通过公共网络接入企业内联网的需要。
L2TP是否支持主备场景
L2TP支持主备LNS场景。当主LNS故障时,业务切换到备份LNS,则LAC发起的L2TP连接请求无法到达主LNS,此时可以在LAC上同时配置总部备份LNS的IP地址,当第一个地址不可达时,按配置的顺序向第二个地址发起L2TP连接请求,在LAC上实现LNS的主备功能。
设备最多可以设置4个LNS地址。
设备支持创建L2TP隧道的数目是多少
设备支持创建的L2TP隧道数目如下所示。
AR100&AR120&AR150&AR160&AR200系列支持数目为16。
AR1200系列、AR2201-48FE、AR2202-48FE、AR2204、AR2204E、AR2204E-D支持数目为128。
AR2220、AR2220L、AR2220E、AR2240(主控板为SRU40或SRU60)、AR3200(主控板为SRU40或SRU60)系列支持数目为512。
AR2204XE、AR2240(主控板为SRU80或SRU100或SRU100E)、AR3200(主控板为SRU80或SRU100或SRU100E)系列支持数目为1024。
AR2240(主控板为SRU200或SRU200E)、AR3200(主控板为SRU200或SRU200E)系列支持数目为2048。但当设备作为LAC时,L2TP最大隧道数不能超过L2TP组数,其为1024。
AR2240(主控板为SRU400)、AR3200(主控板为SRU400)系列支持数目为4096。但当设备作为LAC时,L2TP最大隧道数不能超过L2TP组数,其为1024。
AR3600(主控板为SRUX5)系列取值范围是2048。但当设备作为LAC时,L2TP最大隧道数不能超过L2TP组数,其为1024。
AR120-S&AR150-S&AR160-S&AR200-S系列支持数目为16。
AR1200-S系列、AR2201-48FE-S、AR2204-S支持数目为128。
AR2220-S、AR2220E-S、AR2240-S支持数目为512。
AR3200-S(主控板为SRU40)系列支持数目为512。
SRG2320EI支持数目为512。
AR651C和AR651F-Lite支持数目为16。
AR650系列(除AR651C、AR651F-Lite、AR651W-8P、AR651W和AR657W)、AR1600系列支持数目为512。
AR651W-8P、AR651W、AR657W、AR6140-9G-R-2AC、AR6140K-9G-2AC、AR6140E-9G-2AC、AR6140-9G-2AC、AR6120、AR6121K、AR6121E、AR6121、AR6120-VW支持数目为128。
AR6140-16G4XG支持数目为1024。
SRU-100H、SRU-200H、SRU-400HK、SRU-600HK、SRU-400H和SRU-600H支持数目为1024。
AR510系列(除AR515GW-LM9-D和AR515CGW-L)支持数目为2。
AR502EG-L、AR502EGW-L、AR502CG-L、AR502EGRb-L、AR502EGRc-Lc、AR502EG-L-PD、AR502EG-La、AR502EG-Lj、AR502EGRz-L、AR502EGRz-Lc、AR509CGW-L、AR509CG-Lc、AR509CG-Lt、AR509CG-Lt-7和AR550系列(除AR550E)支持数目为4。
AR503GW-LM7、AR503GW-LcM7、AR503GW-Lo、AR503HGW-L、AR503HGW-Lc、AR509G-L-D-H、AR509G-Lc、AR509GW-L-D-H、AR503EDGW-Lc、AR503EDGW-Lc3、AR503EDGW-Lo、AR503EQGW-L、AR503EW、AR515GW-LM9-D、AR515CGW-L、AR530&AR1500&AR2500支持数目为16。
AR550E支持数目为512。
L2TP拨号失败的原因有哪些
L2TP拨号失败可能有如下原因:
公网有防火墙设备或PC自带防火墙丢弃了L2TP报文。
L2TP相应端口被禁止或占用,一般使用UDP 1701端口。例如ACL、NAT等配置。
LAC端设置的用户名与密码有误,或者是LNS端没有设置相应的用户。需要在AAA视图下检查用户密码是否配置成cipher形式的,而不能是irreversible-cipher不可逆的。
配置地址错误,例如静态配置VT虚接口的地址错误。
隧道验证方式不一致。
未配置LCP重协商。
地址分配不合理,地址池设置过小或没有设置。
IP地址池未配置网关地址,使得网关地址也分配给客户端使用。
双方有路由不可达。
L2TP组视图下,指定对端的隧道名称错误。
配置认证域错误。
PC自带客户端发送控制报文的没有带SQ序列号,导致L2TP无法协商成功。
使用IPSec加密,两端配置的IPSec参数不一致。
L2TP拨号成功,私网不通的原因有哪些
L2TP拨号成功,私网不通可能有如下原因:
内网主机开启了防火墙。
本地子网与对端内网在同一网段。
L2TP拨号接入的地址与局域网内的用户在同一网段,而未使能Proxy ARP功能。
虚拟接口下MTU值设置不合理。建议该MTU值加上各种开销的报文总长度不超过接口MTU值,否则若有设备不支持分片,报文会被丢弃。
虚拟接口下TCP MSS值设置不合理。请保证MSS值加上各种开销的报文总长度不超过MTU值,否则会影响报文传输。
未配置LCP重协商。
双方有路由不可达。
未配置隧道认证。
使用IPSec加密,数据流未命中ACL。
L2TP拨号成功,访问私网为什么有延迟
L2TP对IP报文进行再次封装导致IP报文长度变长,IP报文在传送过程中超过链路MTU时将被分片发送,接收端需重组后再解析。分片和重组都需要消耗CPU资源。当分片报文比例过大时,CPU资源告急可能会导致访问速度下降、报文丢包。
所以建议在VT虚接口配置的MTU值必须不大于L2TP报文的物理出接口MTU值(默认1500字节)减去L2TP报文封装头长度(携带序列号信息时为42字节,否则为38字节)。例如,默认情况下L2TP报文的物理出接口MTU值为1500,L2TP报文封装头长度为42,其取值必须不大于1458。
为了避免出现数据报文在VT接口进行分片后,在其物理出接口再次进行分片,影响设备性能,建议在VT虚拟接口配置MTU值时,取值范围为1400~1450。
还有另一种情况,对于TCP报文,L2TP对TCP报文封装后的长度大于链路的MTU值时,Ping私网有延迟,会出现用户网页打开异常、远程登录失败等问题。建议适当调整VT虚接口下的TCP MSS值,使得L2TP对TCP报文封装后的长度不大于链路的MTU值。
Windows 7系统或者Windows XP系统的PC与设备无法建立L2TP over IPSec的可能原因
Windows 7系统或者Windows XP系统的PC与设备无法建立L2TP over IPSec的可能原因是没有修改系统注册表。
以Windows 7系统为例,修改Windows注册表,不使用数字证书认证功能,方法如下:
Windows 7的64位操作系统与32位操作系统修改注册表的方法相同。
单击,输入regedit打开注册表。
在左侧进入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters”路径,并在右侧空白处右击选择,生成文件“新值 #1”。
选中“新值 #1”,右击选择“重命名”,将文件重命名为“ProhibitIpSec”。
选中“ProhibitIpSec”文件,右击选择“修改”。
在弹出的“编辑DWORD(32位)值”对话框中,填写“数值数据”为“1”,并选择“基数”为“十六进制”。
重启PC,配置生效。
安卓手机是否支持与AR建立L2TP over IPSec连接
AR从V200R010版本开始支持与主流安卓手机(主流安卓版本)建立L2TP over IPSec连接。
大量L2TP用户在线,当接口流量超过带宽值,L2TP用户掉线如何解决
设备管理员可以在L2TP用户所在的上线接口下执行命令qos gts cir cir-value [ cbs cbs-value ]。其中cir-value参数按照物理接口实际的速率配置,将cbs-value参数配置为1500。解决原因是为了防止L2TP用户的流量突发导致L2TP用户探测报文失效。
L2TP报文误转发
可能原因:
若用户将LNS的VT接口配置非32位掩码,当只有一个VPN拨号用户的时候,所有命中VT网段路由的报文都能从VT接口转发出去,即使不是发往终端用户的报文。如果有多个VPN拨号用户,由于网段路由无法指导报文发往哪个VPN用户,则报文不会被误转发。
解决办法:
将VT接口的子网掩码设置为32位。
L2TP拨号时,设备使能L2TP的隧道认证功能。缺省隧道认证密码是什么
缺省情况下,设备的隧道验证密码为空。
为安全起见,缺省情况下L2TP使能了隧道认证功能。如果为了进行网络的连通性测试或者接收未知对端发起的连接,可以去使能隧道认证功能。建议使用L2TP隧道认证功能。
如果使用PC终端进行L2TP拨号时,建议在LNS端配置undo tunnel authentication命令来禁止隧道认证功能。
设备从哪个版本开始能够支持L2TP穿越NAT
设备从V200R002C00SPC200版本开始支持该功能。
L2TP拨号要十几次才能成功,错误提示691
设备配置L2TP功能之后,用户接入时,需要拨号十几次才能成功,期间一直错误提示691,出现该问题的原因是设备只支持16字节的challenge消息,其他不支持。当challenge消息不为16字节时,chap认证不通过,给用户发送的提示为691(用户名或者密码错误)。配置L2TP重协商功能,使得LNS和客户端自行协商challenge消息为16字节,即可顺利拨号。
如何快速定位L2TP中LAC无法与LNS建立隧道的原因
配置L2TP功能时,如果遇到LAC无法与LNS建立隧道,可以采用如下操作快速定位故障原因。
检查LAC上通过start l2tp命令指定的LNS地址是否路由可达。如果不可达,请配置路由。
检查LNS上的L2TP配置,删除allow l2tp命令指定的remote参数。如果发现L2TP隧道建立成功,则故障原因为LAC的隧道名称错误或者LNS指定的隧道名称错误。请选择以下解决方法之一:
在LAC上通过命令tunnel name配置隧道本端的名称,使之与LNS的allow l2tp命令指定的remote参数保持一致。
在LNS上通过命令allow l2tp修改remote参数,使之与LAC的配置的隧道名称一致。如果LAC上没有通过命令tunnel name配置隧道本端的名称,则remote参数取值为LAC的设备名称。
设备作为LNS信任LAC时,如何不对远程用户进行二次认证
LAC对接入用户认证,认证通过后,将认证信息发送给LNS,LNS根据认证信息判断用户是否合法。
如果LNS信任LAC,不需要对远程用户二次认证,则可以在LNS侧的认证方案视图下,执行authentication-mode none命令配置认证模式为不进行认证,即直接让远程用户通过认证。
如何让一个L2TP用户下线
选择以下任意一种方式都可以使用户下线。
执行reset l2tp tunnel命令用来强制断开指定的L2TP隧道连接,同时断开隧道内的所有会话连接。
执行reset l2tp session命令用来强制断开指定的L2TP会话连接。
隧道封装外层报文头的优先级是多少
隧道封装外层报文头的优先级继承内层报文的优先级。
使用PC作为LAC时,如何确定LAC端的名字
如果使用PC作为LAC,计算机名即为LAC端的名字。
在Windows 7系统中可以通过如下方式查看。
依次单击“控制面板”->“系统与安全”->“系统”。页面上显示的计算机名称、域和工作组设置下的计算机名就是LAC名。
在“运行”中输入CMD,在打开的“命令提示符”页面中输入hostname,显示的计算机名是LAC名。
如果PC的完整计算机名长度超过30个字符,那么就从左向右截取前30个字符作为LAC名。
L3VPN支持哪些组网
L3VPN支持如下组网:
基本BGP/MPLS IP VPN
跨域VPN包括OptionA/OptionB/OptionC
L3VPN能与GRE同时配置吗
设备从V200R005C00以及之后版本开始支持此功能。
修改标签分发方式后,如何让修改立刻生效
请执行reset mpls ldp命令用来重启全局LDP能力,即重启LDP公网实例。
BGP/MPLS IP VPN中如果AS号一样,为什么路由无法互相引入
EBGP接收路由更新消息时,如果发现消息中携带的AS号和本设备相同,则不接收此更新消息,避免路由环路的产生。但在某些场景需要设备接收带有相同AS号的路由更新消息,例如Hub and Spoke组网中的Hub-PE,和Hub-CE使用EBGP时,从Hub-CE接收的路由更新消息会包含Hub-PE的AS号,为避免Hub-PE丢弃此更新消息,可以使用命令peer allow-as-loop设置允许AS号重复的次数。
MPLS IP VPN是否支持静态配置
在MPLS IP VPN场景中,PE间发布私网路由不支持静态配置。因为设备当前仅支持MP-BGP协议为私网路由分配私网标签,不能静态为VPN实例分配标签和指定对端PE为邻居。
部署A2A VPN后,为什么业务有丢包
部署A2A VPN后,A2A VPN报文大小超过了接口的MTU时,如果DF标志位没有设置为0,则A2A VPN报文被丢弃,导致出现业务有丢包的现象,此时需要执行命令ipsec df-bit clear,允许对A2A VPN报文进行分片。
如何配置L2TP over IPSec
L2TP over IPSec,即先用L2TP封装报文再用IPSec封装,这样可以综合两种VPN的优势,通过L2TP实现用户验证和地址分配,并利用IPSec保障通信的安全性。
L2TP over IPSec既可以用于分支接入总部,也可以用于出差员工接入总部,配置方法如下:
分支与总部之间通过L2TP over IPSec方式实现安全互通的配置请参见《产品文档-配置指南(通过命令行) -VPN配置指南》中的“配置分支机构与总部之间通过L2TP Over IPSec方式实现安全互通的示例”。
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:https://sg.hqyman.cn/post/5528.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
微信支付宝扫一扫,打赏作者吧~休息一下~~
萌ICP备20248119号
