PPTP和L2TP配置界面(HiPER ReOS 2008 VPN配置手册)
文档编号:122
浏览:23705 评分:58
最后更新于:2008-08-15
HiPER VPN网关可以工作在PPTP/L2TP客户端的模式下,也可以工作在PPTP/L2TP服务器的模式下。当HiPER作为PPTP/L2TP客户端使用时(如图1),将“业务类型”选择为“拨出(客户端)”;当HiPER作为PPTP/L2TP服务器使用时(如图3),将“业务类型”选择为“拨入(服务器)”。
一、PPTP/L2TP客户端的配置参数
图1 PPTP/L2TP 客户端配置界面
设置名:PPTP/L2TP隧道的名称(自定义,不可重复,不能超过31个字符); 业务类型:拨出(客户端),HiPER作为PPTP/L2TP隧道连接的发起者,拨号到远端PPTP/L2TP服务器; 用户名:PPTP/L2TP隧道的用户名; 密码:PPTP/L2TP隧道的用户密码; 协议类型:L2TP:本地客户端将使用L2TP协议和对端服务器协商创建L2TP隧道;
PPTP:本地客户端将使用PPTP协议和对端服务器协商创建PPTP隧道;
远端内网IP地址:PPTP/L2TP隧道对端局域网所使用的IP地址(一般可以填PPTP/L2TP隧道对端设备的LAN口IP地址); 远端内网子网掩码:PPTP/L2TP隧道对端局域网所使用的子网掩码; 隧道服务器地址(名):PPTP/L2TP服务器的IP地址或者域名(一般填PPTP/L2TP隧道对端设备的WAN口IP地址或域名)。.png)
图2 PPTP/L2TP客户端配置界面(高级选项)
高级选项:选中后显示PPTP/L2TP隧道的高级配置参数; 对端虚接口IP地址:对端设备虚接口的IP地址(一般情况下无需设置); 本地虚接口IP地址:本地设备虚接口的IP地址(一般情况下无需设置); 虚接口子网掩码:PPTP/L2TP隧道两端设备虚接口的子网掩码(一般情况下无需设置); 密码验证方式:PPTP/L2TP隧道的密码验证方式,选项:PAP,CHAP,Either(自动和服务端协商), NONE(不验证); 数据压缩:选择数据压缩类型,选项:NONE,没有数据压缩;Stac9,PPP层上启用Stac9压缩(必须PPTP/L2TP隧道对端设备启用了相同配置才可使用); 拨号类型:自动拨号:当参数配置完成,或上一次PPTP/L2TP隧道连接中断,或开启HiPER VPN网关时,PPTP/L2TP客户端将自动拨号(发起建立隧道请求);
手动拨号:在VPN配置—>PPTP和L2TP(章节5.1.3)中,手工进行连接和挂断PPTP/L2TP隧道;
按需拨号:参数配置完成后,一旦PPTP/L2TP 客户端监听到有用户数据需要传输,就拨号(发起建立隧道请求);
拨号时段:允许PPTP/L2TP客户端拨号(发起建立隧道请求)的时间段(时间段在基本配置—>时间段配置中定义),只有在此时间段范围内才允许PPTP/L2TP客户端触发拨号,不设置代表不对拨号时段进行控制; 上线时段:允许PPTP/L2TP 客户端保持PPTP/L2TP隧道连接的时间段(时间段在基本配置—>时间段配置中定义),HiPER安全网关在超出这个时间段的时间后会自动断开PPTP/L2TP隧道连接,不设置代表不对上线时段进行控制; 最大接收单元:PPTP/L2TP隧道两端允许通过的最大数据包长度,缺省值为1400字节,VPN拨号时HiPER将自动与对方设备协商,除非特别应用,不要修改; 保持连接/生命周期:选中“保持连接”后,从PPTP/L2TP隧道连接成功开始,系统会每隔1000ms向对端网络设备发送一个探测包,以探测隧道连接是否正常,如果在“生命周期”(默认值:15000毫秒)范围内一直没有收到对方回应,则断开此连接。一般情况下无需设置,系统会发送PPTP/L2TP 隧道默认的HELLO数据包来探测隧道连接是否正常; 空闲时间:在没有访问流量后自动断线前等待的时长,当PPTP/L2TP隧道连接成功后,如果隧道空闲(没有数据传输)的时间超过了预设的“空闲时间”,HiPER VPN网关将主动断开连接,0代表不自动断线(单位:秒); 会话时间:设置连接生存时间(一般情况下不要设置),一旦隧道连接的时间(从拨号成功开始)超出了“会话时间”,HiPER会自动挂断隧道连接,0代表没有时间限制(单位:秒); 优先级:拨号成功后,该线路的路由优先级,目的网段相同的情况下,HiPER将优先选择优先级高的线路转发数据包,值越低优先级越高; 跳数:拨号成功后,该线路的路由跳数,从源到目的的路径中每一跳被赋以一个跳数值,此值通常为1;跳数也表示该条路由记录的质量,一般情况下,如果有多条到达相同目的地的路由记录,HiPER会采用跳数值小的那条路由; 断开优先级:PPTP/L2TP隧道连接中断后,该线路的路由优先级,优先级高的优先拨号,值越低优先级越高; 断开跳数:PPTP/L2TP隧道连接中断后,该线路的路由跳数; 启用NAT:开启此项功能后,PPTP/L2TP客户端会对此PPTP/L2TP隧道连接进行NAT,即将局域网用户的IP地址转化为对端PPTP/L2TP服务器分配的IP地址,这样局域网用户将使用PPTP/L2TP服务器分配的IP地址连接到隧道对端的局域网,隧道对端设备无需设置到本地的路由。但是这种情况下只能实现本地网络到隧道对端网络的单向访问(适合HiPER使用移动用户的帐号连接到PPTP/L2TP服务器);.gif){kind=small}
保存:PPTP/L2TP客户端配置参数生效; 重填:恢复到修改前的配置参数。二、 PPTP/L2TP服务器的配置参数
.png)
图3 PPTP/L2TP服务器配置界面
设置名:PPTP/L2TP隧道的名称(自定义,不可重复,不能超过31个字符),此名称同时作为PPTP/L2TP客户端的用户名; 业务类型:拨入(服务器),HiPER作为PPTP/L2TP隧道连接的终结者,接收来自PPTP/L2TP客户端的拨入; 用户类型: LAN到LAN:拨入的PPTP/L2TP用户是一个网段的用户,往往是通过一个路由器拨入,实现PPTP/L2TP隧道两端局域网的通信;
移动用户:拨入的VPN用户是个人用户,往往由单个计算机拨入,实现PPTP/L2TP隧道远端计算机与本地局域网的通信;
密码:PPTP/L2TP隧道的用户密码; 确认密码:PPTP/L2TP隧道的用户密码(此处和上一栏所填密码一致); 远端内网IP地址:PPTP/L2TP隧道对端局域网所使用的IP地址(一般可以填VPN隧道对端设备的LAN口IP地址),当拨入用户类型选择为“移动用户”时系统会自动生成; 远端内网子网掩码:PPTP/L2TP隧道对端局域网所使用的子网掩码,当拨入用户类型为“移动用户”时系统会自动生成; 分配IP地址:PPTP/L2TP服务器要从VPN地址池取出一个IP地址分配给拨入的用户,作为连接PPTP/L2TP隧道两端的路由地址,选中后,即可为拨入的用户分配IP地址。注意,所有拨入用户共享一个地址池; 地址池开始地址:设置VPN地址池开始地址(可以是任意网段的IP地址,但是不能和整个VPN方案中已有的任何IP地址段重复); 地址池地址数:设置VPN地址池的地址数量。.png)
图4 PPTP/L2TP服务器配置界面(高级选项)
高级选项:选中后显示PPTP/L2TP隧道的高级配置参数; 对端虚接口IP地址:对端设备虚接口的IP地址(一般情况下无需设置); 本地虚接口IP地址:本地设备虚接口的IP地址(一般情况下无需设置); 虚接口子网掩码:PPTP/L2TP隧道两端设备虚接口的子网掩码(一般情况下无需设置); 密码验证方式:PPTP/L2TP隧道的密码验证方式,选项:PAP,CHAP,Either(自动和服务端协商), NONE(不验证); 数据压缩:选择数据压缩类型,选项:NONE,没有数据压缩;Stac9,PPP层上启用Stac9压缩(必须PPTP/L2TP隧道对端设备启用了相同配置才可使用); 最大接收单元:PPTP/L2TP隧道两端允许通过的最大数据包长度,缺省值为1524字节,VPN拨号时HiPER将自动与对方设备协商,除非特别应用,不要修改; 保持连接/生命周期:选中“保持连接”后,从PPTP/L2TP隧道连接成功开始,系统会每隔1000ms向对端网络设备发送一个探测包,以探测隧道连接是否正常,如果在“生命周期”(默认值:15000毫秒)范围内一直没有收到对方回应,则断开此连接。一般情况下无需设置,系统会发送PPTP/L2TP 隧道默认的HELLO数据包来探测隧道连接是否正常; 空闲时间:在没有访问流量后自动断线前等待的时长,当PPTP/L2TP隧道连接成功后,如果隧道空闲(没有数据传输)的时间超过了预设的“空闲时间”,HiPER VPN网关将主动断开连接,0代表不自动断线(单位:秒); 会话时间:设置连接生存时间(一般情况下不要设置),一旦隧道连接的时间(从拨号成功开始)超出了“会话时间”,HiPER VPN网关会自动挂断隧道连接,0代表没有时间限制(单位:秒); 优先级:拨号成功后,该线路的路由优先级,目的网段相同的情况下,HiPER将优先选择优先级高的线路转发数据包,值越低优先级越高; 跳数:拨号成功后,该线路的路由跳数,从源到目的的路径中每一跳被赋以一个跳数值,此值通常为1;跳数也表示该条路由记录的质量,一般情况下,如果有多条到达相同目的地的路由记录,HiPER会采用跳数值小的那条路由; 断开优先级:PPTP/L2TP隧道连接中断后,该线路的路由优先级,优先级高的优先拨号,值越低优先级越高; 断开跳数:PPTP/L2TP隧道连接中断后,该线路的路由跳数;.gif)
保存:PPTP/L2TP客户端配置参数生效; 重填:恢复到修改前的配置参数。三、 配置PPTP/L2TP客户端和服务器的注意事项
.jpg)
设置名:PPTP/L2TP隧道的名称;
用户名:PPTP/L2TP隧道的用户名;
允许:是否启用当前PPTP/L2TP实例。选中表示启用;不选中表示禁用当前PPTP/L2TP实例,相关配置保留但不生效;
会话状态:PPTP/L2TP隧道的当前连接状态,共有7种状态,详见表3;
远端网关:业务类型为“VPN拨出”时,该值为配置PPTP/L2TP客户端时填写的“隧道服务器地址(名)”;业务类型为“VPN拨入”时,该值为拨入的PPTP/L2TP客户端的外网IP地址;
远端内网IP地址:配置PPTP/L2TP客户端或服务器时填写的“远端内网IP地址”;
使用时间:PPTP/L2TP隧道连接成功至查看时刻的时间;
空闲时间:用户最后一次使用PPTP/L2TP隧道传输数据至查看时刻的时间;
出流量:通过PPTP/L2TP隧道发出的数据包的统计数量(单位:字节);
入流量:通过PPTP/L2TP隧道接收的数据包的统计数量(单位:字节);
业务类型:该端的业务类型,该值为“VPN拨出”或“VPN拨入”;
协议类型:PPTP/L2TP隧道使用的协议类型:“L2TP”或“PPTP”。当隧道处于未连接状态时,PPTP/L2TP服务器中显示的是“PPTP&L2TP”;
虚接口地址:虚接口的IP地址,当PPTP/L2TP隧道两端设备建立连接时,会各用一个虚端口来连接对方。业务类型为“VPN拨出”时,该值为PPTP/L2TP服务器分配的IP地址(连接成功前显示为“0.0.0.0”);业务类型为“VPN拨入”时,该值为分配给PPTP/L2TP客户端的IP地址(连接成功前显示为“255.255.255.255”);
是否加密:PPTP/L2TP隧道是否使用MPPE加密;
.gif)
导出WINDOWS注册表文件:缺省的Windows 2000/XP L2TP传输策略不允许L2TP传输不使用IPSec加密,可以通过修改Windows 2000/XP注册表来禁用缺省的行为。单击“导出WINDOWS注册表文件”超链接,即可导出并保存WINODWS注册表文件(文件名为“l2tp.reg”)到主机,运行该文件后即可修改注册表,修改后重启电脑以使改动生效;
建立:选中某条PPTP/L2TP隧道,单击“建立”按钮,即可通过手动的方式建立该条PPTP/L2TP隧道的连接(仅在业务类型是拨出时可用);
挂断:选中某条PPTP/L2TP隧道,单击“挂断”按钮,即可通过手动的方式挂断该条PPTP/L2TP隧道的连接;
刷新:单击“刷新”,可以显示最新的“PPTP/L2TP信息列表”。
设置名:PPTP/L2TP隧道的名称;
用户名:PPTP/L2TP隧道的用户名;
允许:是否启用当前PPTP/L2TP实例。选中表示启用;不选中表示禁用当前PPTP/L2TP实例,相关配置保留但不生效;
会话状态:PPTP/L2TP隧道的当前连接状态,共有7种状态,详见表3;
远端网关:业务类型为“VPN拨出”时,该值为配置PPTP/L2TP客户端时填写的“隧道服务器地址(名)”;业务类型为“VPN拨入”时,该值为拨入的PPTP/L2TP客户端的外网IP地址;
远端内网IP地址:配置PPTP/L2TP客户端或服务器时填写的“远端内网IP地址”;
使用时间:PPTP/L2TP隧道连接成功至查看时刻的时间;
空闲时间:用户最后一次使用PPTP/L2TP隧道传输数据至查看时刻的时间;
出流量:通过PPTP/L2TP隧道发出的数据包的统计数量(单位:字节);
入流量:通过PPTP/L2TP隧道接收的数据包的统计数量(单位:字节);
业务类型:该端的业务类型,该值为“VPN拨出”或“VPN拨入”;
协议类型:PPTP/L2TP隧道使用的协议类型:“L2TP”或“PPTP”。当隧道处于未连接状态时,PPTP/L2TP服务器中显示的是“PPTP&L2TP”;
虚接口地址:虚接口的IP地址,当PPTP/L2TP隧道两端设备建立连接时,会各用一个虚端口来连接对方。业务类型为“VPN拨出”时,该值为PPTP/L2TP服务器分配的IP地址(连接成功前显示为“0.0.0.0”);业务类型为“VPN拨入”时,该值为分配给PPTP/L2TP客户端的IP地址(连接成功前显示为“255.255.255.255”);
是否加密:PPTP/L2TP隧道是否使用MPPE加密;
导出WINDOWS注册表文件:缺省的Windows 2000/XP L2TP传输策略不允许L2TP传输不使用IPSec加密,可以通过修改Windows 2000/XP注册表来禁用缺省的行为。单击“导出WINDOWS注册表文件”超链接,即可导出并保存WINODWS注册表文件(文件名为“l2tp.reg”)到主机,运行该文件后即可修改注册表,修改后重启电脑以使改动生效;
建立:选中某条PPTP/L2TP隧道,单击“建立”按钮,即可通过手动的方式建立该条PPTP/L2TP隧道的连接(仅在业务类型是拨出时可用);
挂断:选中某条PPTP/L2TP隧道,单击“挂断”按钮,即可通过手动的方式挂断该条PPTP/L2TP隧道的连接;
刷新:单击“刷新”,可以显示最新的“PPTP/L2TP信息列表”。
1. 当PPTP/L2TP隧道两端设备建立连接时,会各用一个虚接口来连接对方。一般情况下,PPTP/L2TP服务器会从地址池分配一个IP地址作为两个虚接口的路由地址;但是某些PPTP/L2TP服务器并没有配置地址池,此时需要为隧道两端设备的虚接口配置IP地址来作为各自的路由地址,即配置“对端虚接口IP地址”、“本地虚接口IP地址”及“虚接口子网掩码”这三个参数。注意,PPTP/L2TP隧道两端设备虚接口使用同一个子网掩码。
2. L2TP协议使用UDP 1701端口传输数据,PPTP协议使用TCP 1723端口建立连接。为保证HiPER启用NAT后,PPTP/L2TP隧道正常连接,在配置PPTP/L2TP后,系统会自动生成一条UDP 1701端口、TCP 1723端口的NAT静态映射(高级配置—>NAT和DMZ配置的“NAT静态映射列表”中名称为“l2tp”、“pptp”的 NAT静态映射)。请不要编辑、删除它们,否则可能造成PPTP/L2TP隧道无法连接和传输数据。
.jpg)
表1 PPTP/L2TP信息列表
表2 PPTP/L2TP信息列表(续表1)
一旦PPTP/L2TP隧道的配置完成提交以后,即可在VPN配置—>PPTP和L2TP页面的“PPTP/L2TP信息列表”(如表1、表2所示)中查看已建立的PPTP/L2TP隧道的配置及状态信息,各参数含义解释如下:
设置名:PPTP/L2TP隧道的名称; 用户名:PPTP/L2TP隧道的用户名; 允许:是否启用当前PPTP/L2TP实例。选中表示启用;不选中表示禁用当前PPTP/L2TP实例,相关配置保留但不生效; 会话状态:PPTP/L2TP隧道的当前连接状态,共有7种状态,详见表3;|
状态
|
描述
|
|
关闭
|
隧道处于未连接状态
|
|
拨号中
|
正在尝试VPN拨出或者是正在尝试接收VPN拨入
|
|
验证中
|
正在进行用户验证(L2TP还包括隧道验证)
|
|
已连接
|
验证成功,隧道连接已建立
|
|
断线中
|
正在拆除隧道连接
|
|
已挂机
|
一方已发出挂机请求
|
|
已断线
|
隧道连接已中断,等待拨号
|
表3 PPTP/L2TP隧道连接状态
远端网关:业务类型为“VPN拨出”时,该值为配置PPTP/L2TP客户端时填写的“隧道服务器地址(名)”;业务类型为“VPN拨入”时,该值为拨入的PPTP/L2TP客户端的外网IP地址; 远端内网IP地址:配置PPTP/L2TP客户端或服务器时填写的“远端内网IP地址”; 使用时间:PPTP/L2TP隧道连接成功至查看时刻的时间; 空闲时间:用户最后一次使用PPTP/L2TP隧道传输数据至查看时刻的时间; 出流量:通过PPTP/L2TP隧道发出的数据包的统计数量(单位:字节); 入流量:通过PPTP/L2TP隧道接收的数据包的统计数量(单位:字节); 业务类型:该端的业务类型,该值为“VPN拨出”或“VPN拨入”; 协议类型:PPTP/L2TP隧道使用的协议类型:“L2TP”或“PPTP”。当隧道处于未连接状态时,PPTP/L2TP服务器中显示的是“PPTP&L2TP”; 虚接口地址:虚接口的IP地址,当PPTP/L2TP隧道两端设备建立连接时,会各用一个虚端口来连接对方。业务类型为“VPN拨出”时,该值为PPTP/L2TP服务器分配的IP地址(连接成功前显示为“0.0.0.0”);业务类型为“VPN拨入”时,该值为分配给PPTP/L2TP客户端的IP地址(连接成功前显示为“255.255.255.255”); 是否加密:PPTP/L2TP隧道是否使用MPPE加密; 导出WINDOWS注册表文件:缺省的Windows 2000/XP L2TP传输策略不允许L2TP传输不使用IPSec加密,可以通过修改Windows 2000/XP注册表来禁用缺省的行为。单击“导出WINDOWS注册表文件”超链接,即可导出并保存WINODWS注册表文件(文件名为“l2tp.reg”)到主机,运行该文件后即可修改注册表,修改后重启电脑以使改动生效; 建立:选中某条PPTP/L2TP隧道,单击“建立”按钮,即可通过手动的方式建立该条PPTP/L2TP隧道的连接(仅在业务类型是拨出时可用); 挂断:选中某条PPTP/L2TP隧道,单击“挂断”按钮,即可通过手动的方式挂断该条PPTP/L2TP隧道的连接; 刷新:单击“刷新”,可以显示最新的“PPTP/L2TP信息列表”。 四、PPTP/L2TP信息列表
表1 PPTP/L2TP信息列表
表2 PPTP/L2TP信息列表(续表1)
一旦PPTP/L2TP隧道的配置完成提交以后,即可在VPN配置—>PPTP和L2TP页面的“PPTP/L2TP信息列表”(如表1、表2所示)中查看已建立的PPTP/L2TP隧道的配置及状态信息,各参数含义解释如下:
设置名:PPTP/L2TP隧道的名称; 用户名:PPTP/L2TP隧道的用户名; 允许:是否启用当前PPTP/L2TP实例。选中表示启用;不选中表示禁用当前PPTP/L2TP实例,相关配置保留但不生效; 会话状态:PPTP/L2TP隧道的当前连接状态,共有7种状态,详见表3;|
状态
|
描述
|
|
关闭
|
隧道处于未连接状态
|
|
拨号中
|
正在尝试VPN拨出或者是正在尝试接收VPN拨入
|
|
验证中
|
正在进行用户验证(L2TP还包括隧道验证)
|
|
已连接
|
验证成功,隧道连接已建立
|
|
断线中
|
正在拆除隧道连接
|
|
已挂机
|
一方已发出挂机请求
|
|
已断线
|
隧道连接已中断,等待拨号
|
表3 PPTP/L2TP隧道连接状态
远端网关:业务类型为“VPN拨出”时,该值为配置PPTP/L2TP客户端时填写的“隧道服务器地址(名)”;业务类型为“VPN拨入”时,该值为拨入的PPTP/L2TP客户端的外网IP地址; 远端内网IP地址:配置PPTP/L2TP客户端或服务器时填写的“远端内网IP地址”; 使用时间:PPTP/L2TP隧道连接成功至查看时刻的时间; 空闲时间:用户最后一次使用PPTP/L2TP隧道传输数据至查看时刻的时间; 出流量:通过PPTP/L2TP隧道发出的数据包的统计数量(单位:字节); 入流量:通过PPTP/L2TP隧道接收的数据包的统计数量(单位:字节); 业务类型:该端的业务类型,该值为“VPN拨出”或“VPN拨入”; 协议类型:PPTP/L2TP隧道使用的协议类型:“L2TP”或“PPTP”。当隧道处于未连接状态时,PPTP/L2TP服务器中显示的是“PPTP&L2TP”; 虚接口地址:虚接口的IP地址,当PPTP/L2TP隧道两端设备建立连接时,会各用一个虚端口来连接对方。业务类型为“VPN拨出”时,该值为PPTP/L2TP服务器分配的IP地址(连接成功前显示为“0.0.0.0”);业务类型为“VPN拨入”时,该值为分配给PPTP/L2TP客户端的IP地址(连接成功前显示为“255.255.255.255”); 是否加密:PPTP/L2TP隧道是否使用MPPE加密; 导出WINDOWS注册表文件:缺省的Windows 2000/XP L2TP传输策略不允许L2TP传输不使用IPSec加密,可以通过修改Windows 2000/XP注册表来禁用缺省的行为。单击“导出WINDOWS注册表文件”超链接,即可导出并保存WINODWS注册表文件(文件名为“l2tp.reg”)到主机,运行该文件后即可修改注册表,修改后重启电脑以使改动生效; 建立:选中某条PPTP/L2TP隧道,单击“建立”按钮,即可通过手动的方式建立该条PPTP/L2TP隧道的连接(仅在业务类型是拨出时可用); 挂断:选中某条PPTP/L2TP隧道,单击“挂断”按钮,即可通过手动的方式挂断该条PPTP/L2TP隧道的连接; 刷新:单击“刷新”,可以显示最新的“PPTP/L2TP信息列表”。五、PPTP/L2TP隧道的拨号与挂断
提示:
增加PPTP/L2TP隧道:选中“添加”选项,输入PPTP/L2TP隧道信息,再单击“保存”按钮,就生成新的PPTP/L2TP隧道,如图1~图4所示;
浏览PPTP/L2TP隧道:如果已经生成了PPTP/L2TP隧道,可以在“PPTP/L2TP信息列表”中查看相关信息及状态,如表1所示;
编辑PPTP/L2TP隧道:如果想编辑某一PPTP/L2TP隧道,首先点击该PPTP/L2TP隧道的“设置名”超链接,该PPTP/L2TP隧道的信息将填充到相应的编辑框内,然后修改它,再单击“保存”按钮,修改完毕;
删除PPTP/L2TP隧道:只需选中一些PPTP/L2TP隧道(在最左边的方框中打“√”),单击左下角的“删除”按钮,即可删除那些被选中的PPTP/L2TP隧道。
在PPTP/L2TP隧道建立连接的过程中,只能由“拨出”方(PPTP/L2TP客户端)发起建立隧道请求。PPTP/L2TP隧道的拨号方式由PPTP/L2TP客户端配置的“拨号类型”来确定。
1. 如果“拨号类型”选择为“自动拨号”(推荐使用),配置完成后PPTP/L2TP客户端会自动向PPTP/L2TP服务器发起建立隧道请求,直至PPTP/L2TP隧道连接成功为止。一旦隧道连接中断,PPTP/L2TP客户端就会自动拨号,发起建立隧道请求。
2. 如果“拨号类型”选择为“按需拨号”,配置完成后,一旦PPTP/L2TP客户端监听到有用户数据需要传输时,就拨号,发起建立隧道请求。同样,当隧道连接中断时,只有等到有用户数据需要传输时,PPTP/L2TP客户端才会拨号。
3. 如果“拨号类型”选择为“手动拨号”,配置完成后,必须通过手动建立连接,才能使PPTP/L2TP客户端发起建立PPTP/L2TP隧道请求。同样,当隧道连接中断时,只有通过手动促使PPTP/L2TP客户端拨号。
当PPTP/L2TP隧道连接成功后,如果隧道连接中断,正常情况下存在以下几种可能性。
1. PPTP/L2TP隧道连接成功后,HiPER会发送PPTP/L2TP隧道默认的HELLO数据包来探测连接是否正常,如果没有收到隧道对端回应的HELLO数据包,HiPER将会自动挂断隧道连接。
2. 如果配置了“保持连接”,系统还会每隔1000ms向对端发送探测包来判断连接是否正常,如果在“生命周期”内一直没有收到对方回应的数据包,HiPER 也会自动挂断隧道连接。
3. 当PPTP/L2TP隧道连接成功后,如果隧道空闲(没有数据传输)的时间超过了预设的“空闲时间”,HiPER关将主动断开连接 。
4. 如果配置了“会话时间”,一旦隧道连接的时间(从拨号成功开始)超出了“会话时间”,HiPER安全网关会自动挂断隧道连接。
5. 如果用户主动拆除隧道(手动挂断),PPTP/L2TP隧道将断开。
提示:1. 当HiPER安全网关作为PPTP/L2TP客户端使用时,如果设置了“拨号时段”,那么只有在设置的“拨号时段”时间范围内才允许HiPER拨号,发起建立隧道请求。
2. 当HiPER安全网关作为PPTP/L2TP客户端使用时,如果设置了“上线时段”,那么在超出这个时间段的时间后HiPER会自动挂断隧道连接。
六、PPTP/L2TP隧道的增加、浏览、编辑与删除
增加PPTP/L2TP隧道:选中“添加”选项,输入PPTP/L2TP隧道信息,再单击“保存”按钮,就生成新的PPTP/L2TP隧道,如图1~图4所示; 浏览PPTP/L2TP隧道:如果已经生成了PPTP/L2TP隧道,可以在“PPTP/L2TP信息列表”中查看相关信息及状态,如表1所示; 编辑PPTP/L2TP隧道:如果想编辑某一PPTP/L2TP隧道,首先点击该PPTP/L2TP隧道的“设置名”超链接,该PPTP/L2TP隧道的信息将填充到相应的编辑框内,然后修改它,再单击“保存”按钮,修改完毕; 删除PPTP/L2TP隧道:只需选中一些PPTP/L2TP隧道(在最左边的方框中打“√”),单击左下角的“删除”按钮,即可删除那些被选中的PPTP/L2TP隧道。七、PPTP/L2TP隧道的历史纪录
在系统状态—>系统信息的“系统历史记录”中可以查看建立和挂断PPTP/L2TP隧道连接时,隧道两端的历史纪录(排列在系统历史记录最上面的一条消息为最新的一条消息),相关历史记录及含义如表4所示(这里以L2TP为例进行说明):
|
|
历史纪录
|
记录含义
|
|
L2TP客户端
(拨出端)
|
Session Up [X]
L2tp Up 200.200.200.173
Call Connected , on Line 1, on Channel 0
Outgoing Call @0:1-1
|
某连接成功建立,[x]为L2TP隧道名
L2TP成功和IP地址为200.200.200.173的设备建立连接
物理层/链路层连接完成,但IP仍不可用
连接开始呼出
|
|
Call Terminated @clearSession:1
L2tp Up 200.200.200.173
Call Connected , on Line 1, on Channel 0
Outgoing Call @0:1-1
|
呼叫失败(用户名、密码、验证方式或者是其他PPP层错误)
L2TP成功和IP地址为200.200.200.173的设备建立连接
物理层/链路层连接完成,但IP仍不可用
连接开始呼出
|
|
|
Call Terminated @clearSession:1
Outgoing Call @0:1-1
|
呼叫失败(找不到对端或者是对端无响应)
连接开始呼出
|
|
|
Session down [x]
|
某连接挂断,[x]为L2TP隧道名
|
|
|
L2TP服务器
(拨入端)
|
Session Up [X]
L2tp Up 200.200.200.176
Assigned to port
Call Connected , on Line 1, on Channel 0
Incoming Call , on Line 1, on Channel 0
|
某连接成功建立,[x]为L2TP隧道名
L2TP成功和IP地址为200.200.200.176的设备建立连接
协商成功,为拨入的连接分配虚端口
物理层/链路层连接完成,但IP仍不可用
有远端呼叫拨入
|
|
Call Terminated @clearSession:1
Security error VPN_remote
L2tp Up 200.200.200.176
Assigned to port
Call Connected , on Line 1, on Channel 0
Incoming Call , on Line 1, on Channel 0
|
呼叫失败
安全层错误(用户名、密码、验证方式或者是其他PPP层错误)
L2TP成功和IP地址为200.200.200.176的设备建立连接
为拨入的连接分配虚端口
物理层/链路层连接完成,但IP仍不可用
有远端呼叫拨入
|
|
|
Session down [x]
|
某连接挂断,[x]为L2TP隧道名
|
表4 L2TP隧道的历史记录
八、 路由表
在系统状态—>路由和端口信息的“路由表信息列表”中可以查看建立PPTP/L2TP隧道连接前后,PPTP/L2TP客户端或PPTP/L2TP服务器的虚端口和相关路由的状态信息,相关信息及描述如表5所示。
|
|
状态
|
路 由 表
|
|
PPTP/L2TP客户端
|
拨出前
|
 |
|
到目的地址“192.168.123.0/24”的PPTP/L2TP隧道连接未成功,路由虚端口未被激活(ptpdial0),网关地址为预设的“远端内网IP地址”。
|
||
|
拨出
成功后
|
 |
|
|
到目的地址“192.168.123.0/24”的PPTP/L2TP隧道连接已成功,路由虚端口被激活(ptp4),网关地址是PPTP/L2TP服务器分配的IP地址(10.10.10.14/32)。
|
||
|
PPTP/L2TP服务器
|
拨入前
|
 |
|
到目的地址“192.168.16.0/24”的PPTP/L2TP隧道连接未成功,路由虚端口未被激活(ptpdial0),网关地址为预设的“远端内网IP地址”。
|
||
|
拨入成功后
|
 |
|
|
到目的地址“192.168.16.0/24”的PPTP/L2TP隧道连接已经成功,路由虚端口被激活(ptp7),网关地址为分配给PPTP/L2TP客户端的IP地址(10.10.10.14/32)。
|
表5PPTP/L2TP隧道的路由信息
2024 ©上海艾泰科技有限公司 版权所有 沪ICP备05037453号-1
沪公网安备 31011702003579号