Troubleshooting
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
clear vpdn tunnel
[
l2f
[
nas-name
|
hgw-name
] |
l2tp
[
remote-name
|
local-name
]]
→shutdown某一条特定的tunnel和这条tunnel里所有的会话
debug ppp negotiation
→查看PPP协商过程
debug ppp chap
展示CHAP数据包 交换
debug vpdn event
[
protocol
|
flow-control
]
→展示L2TP的错误和大事件
debug vpdn packet
[
control
|
data]
[
detail
]
→展示特定协议的数据包头信息
show interface virtual access
number
→
展示关于virtual access interface的一些信息
show vpdn session
[
all
[
interface | tunnel
|
username
] |
packets
|
sequence
|
state
|
timers
|
window
]
→展示会话信息,包括接口、tunnel、用户名等
show vpdn tunnel
[
all
[
id | local-name
|
remote-name
] |
packets
|
state
|
summary
|
transport
→查看tunnel信息
vpdn-group 1
! Default L2TP VPDN group
accept dialin l2tp virtual-template 1
当你只是携带了l2tp参数和virtual-template参数,就启用了一个default vpdn-group配置,允许所有的tunnel分享相同的tunnel属性。
clear vpdn tunnel l2tp mugsy sophia
清除特定remote name和local name的tunnel
LAC配置:
! Enable AAA globally
aaa new-model
! Enable AAA authentication for PPP and list the default method to use for PPP
authentication
aaa authentication ppp default local
! Define the username as “DJ”
username DJ password 7 030C5E070A00781B
! Enable VPDN
vpdn enable
! Define VPDN group number 1
vpdn-group 1
! Allow the LAC to respond to dialin requests using L2TP from IP address 172.21.9.13
domain “cisco.com”
request dialin l2tp ip 172.21.9.13 domain cisco.com
LNS配置:
! Enable AAA globally
a
aa new-model
! Enable AAA authentication for PPP and list the default method to use for PPP
authentication
AAA authentication ppp default local
! Define the username as “partner”
username partner password 7 030C5E070A00781B
! create virtual-template 1 and assign all values for virtual access interfaces
interface Virtual-Template1
! Borrow the IP address from interface Ethernet 1
ip unnumbered Ethernet0
! Disable multicast fast switching
no ip mroute-cache
! Use CHAP to authenticate PPP
ppp authentication chap
! Enable VPDN
vpdn enable
! Create vpdn-group number 1
vpdn-group 1
! Accept all dialin l2tp tunnels from virtual-template 1 from remote peer DJ
accept dialin l2tp virtual-template 1 remote DJ
在LNS端我们需要为每一个LAC定义一个VPDN-Group,这样的话就会变得很复杂,所以如果每个tunnel都是相同属性的话,我们就可以运用default配置。
LAC troubleshooting:
show debug
show vpdn
debug vpdn packet control
LAC troubleshooting:
debug vpdn protocol events
sh vpdn
查看CHAP协商问题
debug ppp negotiation
debug ppp chap
force-local-chap
强制LNS对LAC进行重新认证,当开启了这个功能以后,认证挑战将发送两次。
l2tp flow-control receive-window
l2tp flow-control backoff-queuesize
此处两个命令进行联用,receive-window定义会话窗口的大小,当对端的窗口满了以后,本端可以排队,会话队列大小由queuesize来决定。
l2tp flow-control maximum-ato
这个命令也和receive-window联用,设置发送给对端用来侦测对端窗口大小的数据包间隔时间
E
xperiment:
R1模拟主机,R2模拟LAC,R3模拟LNS
R1(s1/1
)
--------------------(s1/0)R2(s1/1)--------------------(s1/0)R3
1、R1模拟为主机
PC(config)#no ip routing
PC(config)#int se1/1
PC(config-if)#ip add negotiated
→通过PPP协商来获得IP地址
PC(config-if)#encap ppp
→PPP封装
PC(config-if)#
serial restart-delay 0
→默认连续重启延时为0
PC(config-if)#ppp chap host
jerry.chen@cisco.com→作为chap认证的客户端,用户名为jerry.chen@cisco.com
PC(config-if)#ppp chap pass cisco
→作为chap认证的客户端,密码为cisco
2、配置R2成为LAC
R2(config)#int se1/0
R2(config-if)#no ip add
→此接口不配置IP地址
R2(config-if)#enca ppp
→接口运用PPP封装
R2(config-if)#ppp authen chap
→运用chap协议进行PPP认证
R2(config)#aaa new-model
→全局启用aaa认证
R2(config)#aaa authentication ppp default local
→为PPP认证指定默认方法,用本地数据库进行认证
R2(config)#vpdn enable
→全局开启vpdn ×××功能
R2(config)#vpdn search-order domain
→设置被叫号码与域名的先后查找顺序
R2(config)#vpdn-group 1
→建立一个名为1的vpdn组
R2(config-vpdn)#request-dialin
→配置为LAC端,可以发起L2TP隧道请求连接
R2(config-vpdn-req-in)#protocol l2tp
→启用L2TP协议
R2(config-vpdn-req-in)#domain cisco.com
→指定LAC的域名,用于触发VPDN隧道的建立
R2(config-vpdn)#initiate-to ip 23.0.0.3
→指定LNS具体的IP地址
R2(config-vpdn)#local name
LAC →配置本地名为jerry
R2(config-vpdn)#l2tp tunnel authentication
→开启隧道认证功能
R2(config-vpdn)#l2tp tunnel password cisco
→设置隧道认证密码为cisco
R2(config)#ip route 0.0.0.0 0.0.0.0 23.0.0.3
→设置默认路由
4、将R3配置成为LNS
R3(config)#int se1/0
R3(config-if)#ip add 23.0.0.3 255.255.255.0
R3(config-if)#no sh
R3(config-if)#int lo1
R3(config-if)#ip add 10.10.10.10 255.255.255.255
→配置环回测试端口
R3(config)#int virtual-template 1
→创建一个虚拟模板接口,并且为这个虚拟模板接口设置一个特征值
R3(config-if)#ip unnumbered loopback
1 →指定隧道接口,向loopback 1接口借IP地址
R3(config-if)#no ip mroute-cache
→关闭组播快速交换
R3(config-if)#peer default ip address pool POOL
→调用地址池,为客户端分配IP地址
R3(config-if)#ppp authentication chap
运用PPP chap认证
R3(config)#ip local pool POOL 192.168.1.1 192.168.1.100
→建立动态地址池,为客户端分配IP地址
R3(config)#username PC pass cisco
→建立CHAP认证数据库
R3(config)#vpdn enable
→开启vpdn 特性
R3(config)#vpdn-group 1
→创建一个名为1的VPDN组
R3(config-vpdn)#accept-dialin
→配置为LNS端,接受远端L2TP请求
R3(config-vpdn-acc-in)#protocol l2tp
→开启L2TP协议
R3(config-vpdn-acc-in)#virtual-template 1
→调用前面的虚拟接口模板
R3(config-vpdn)#terminate-from hostname
LAC →设置LNS响应远端LAC的隧道名,对方的隧道名必须与此处相同,否则无法互通
R3(config-vpdn)#local name lns
→配置本地名称为lns
R3(config-vpdn)#l2tp tun authentication
→开启隧道认证
3(config-vpdn)#l2tp tunnel password cisco
→隧道认证密码为cisco
R3(config-vpdn)#l2tp tunnel receive-window 8
0 →设置本地接收滑动窗口的大小为80
转载于:https://blog.51cto.com/2132421/922760