今天继续给大家介绍L2TP,本文主要介绍L2TP的排错、使用限制和注意事项。
一、L2TP排错
在配置L2TP时,如果出现未能建立L2TP隧道的情景,可以根据下列4点进行排错。 1、L2TP用户名和密码是否一致。 2、L2TP隧道名称和密码是否一致。 3、L2TP客户端是否超过IP POOL的数量限制。 4、安全区域和安全策略配置问题。
二、L2TP使用限制
在配置L2TP时,主要有以下6条限制: 1、USG9500仅支持LNS,USG6000既可以作为LAC,也可以作为LNS。 2、USG6305-w、USG6310S-w、USG6510-wl设备作为LNS且开启了WLAN功能时,通过该WLAN连上网络的用户不能再作为L2TP用户接入本LNS设备。其他网络中的用户可以正常接入该LNS设备,不受影响。 3、在NSA-Initiated和Client-Initiated L2TP场景中,LNS支持PC用户使用EAP认证方式接入,但是不支持手机(包括Android和IOS系统)用户使用EAP认证方式接入,CALL-LNS场景中,LNS不支持LAC使用EAP认证方式接入。 4、LNS不支持用户采用Android5.0系统与其建立L2TP 隧道,这是因为Android 5.0系统的L2TP功能不是按照标准RFC实现的。 5、NSA-Initiated L2TP场景不支持使用web方式配置。 6、LNS不支持多个LAC端使用相同地址向其拨号。
三、L2TP注意事项
除此之外,在配置L2TP时,还要注意以下两点: 1、在L2TP采用Radius认证,且LNS设备是防火墙的场景中,LAC向LNS发送的认证报文中可能带有Calling-Station-ID字段,LNS收到此报文后会做出相应处理。如果报文的Calling-Station-ID字段长度超过64位,则LNS会截断该字段超过的部分,然后转发字段到Radius服务器。由于LNS可能会对Calling-Initiated-ID字段进行修改,从而可能导致Radius认证失败。因此,在Radius提示Calling-Station-ID字段错误时,建议通过LAC端关闭Calling-Station-ID字段的方式解决此问题。 2、移动办公用户采用Android 6.0或Android 7.0系统与LNS建立L2TP OVER IPSEC隧道时,隧道双方的IPSEC认证算法推荐使用SHA1.这是由于Android 6.0和Android 7.0系统是根据RFC草案实现的SHA2-256算法,和RFC标准不一致。因此,使用SHA2-256算法建立的IPSEC隧道双方无法进行正常通信。 本文参考——华为官方产品文档 原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/119926669