L2TP详解（六）——L2TP排错、使用限制和注意事项

今天继续给大家介绍L2TP，本文主要介绍L2TP的排错、使用限制和注意事项。

一、L2TP排错

在配置L2TP时，如果出现未能建立L2TP隧道的情景，可以根据下列4点进行排错。
1、L2TP用户名和密码是否一致。
2、L2TP隧道名称和密码是否一致。
3、L2TP客户端是否超过IP POOL的数量限制。
4、安全区域和安全策略配置问题。

二、L2TP使用限制

在配置L2TP时，主要有以下6条限制：
1、USG9500仅支持LNS，USG6000既可以作为LAC，也可以作为LNS。
2、USG6305-w、USG6310S-w、USG6510-wl设备作为LNS且开启了WLAN功能时，通过该WLAN连上网络的用户不能再作为L2TP用户接入本LNS设备。其他网络中的用户可以正常接入该LNS设备，不受影响。
3、在NSA-Initiated和Client-Initiated L2TP场景中，LNS支持PC用户使用EAP认证方式接入，但是不支持手机（包括Android和IOS系统）用户使用EAP认证方式接入，CALL-LNS场景中，LNS不支持LAC使用EAP认证方式接入。
4、LNS不支持用户采用Android5.0系统与其建立L2TP 隧道，这是因为Android 5.0系统的L2TP功能不是按照标准RFC实现的。
5、NSA-Initiated L2TP场景不支持使用web方式配置。
6、LNS不支持多个LAC端使用相同地址向其拨号。

三、L2TP注意事项

除此之外，在配置L2TP时，还要注意以下两点：
1、在L2TP采用Radius认证，且LNS设备是防火墙的场景中，LAC向LNS发送的认证报文中可能带有Calling-Station-ID字段，LNS收到此报文后会做出相应处理。如果报文的Calling-Station-ID字段长度超过64位，则LNS会截断该字段超过的部分，然后转发字段到Radius服务器。由于LNS可能会对Calling-Initiated-ID字段进行修改，从而可能导致Radius认证失败。因此，在Radius提示Calling-Station-ID字段错误时，建议通过LAC端关闭Calling-Station-ID字段的方式解决此问题。
2、移动办公用户采用Android 6.0或Android 7.0系统与LNS建立L2TP OVER IPSEC隧道时，隧道双方的IPSEC认证算法推荐使用SHA1.这是由于Android 6.0和Android 7.0系统是根据RFC草案实现的SHA2-256算法，和RFC标准不一致。因此，使用SHA2-256算法建立的IPSEC隧道双方无法进行正常通信。
本文参考——华为官方产品文档
原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200/article/details/119926669