华为USG防火墙:L2TP VPN使用限制和注意事项

华为USG防火墙:L2TP VPN使用限制和注意事项
硬件依赖
USG6635E/6640E-K/6655E、USG6680E和USG6712E/6716E仅支持作为LNS,不支持作为LAC。其他机型可以支持作为LNS和LAC。
License依赖
L2TP VPN功能不受License控制。
使用限制
在NAS-Initiated和Client-Initiated场景中,LNS支持PC用户使用EAP认证方式接入,但不支持手机(包括Android和iOS系统)用户使用EAP认证方式接入。Call-LNS场景中,LNS不支持LAC使用EAP认证方式接入。
    LNS不支持用户采用Android 5.0系统与其建立L2TP VPN隧道,因为Android 5.0系统的L2TP VPN功能不是按照标准RFC实现。
    NAS-Initiated场景不支持使用Web方式配置。
    LNS不支持多个LAC端使用相同地址向其拨号。
    L2TP不支持业务板扩容。当业务板扩容时,会导致已上线的L2TP用户异常下线。
    如果需要给客户端分配DNS地址,请选择本地授权方式,不能选择Radius服务器授权方式。
    在L2TP场景下,如果关闭隧道检测功能,在链路异常时协商失败的隧道可能无法及时老化,导致占用系统资源。建议开启隧道检测功能。
    L2TP场景下使用AD服务器认证时,认证模式只支持PAP,不支持CHAP。
    L2TP VPN属于隧道封装协议,接入用户MAC地址经过LAC、公网传输信息丢失,不支持IP/MAC绑定功能。

注意事项
    在L2TP VPN采用Radius认证,且LNS设备是FW的场景中。LAC向LNS发送的认证报文里可能带有Calling-Station-Id字段,LNS收到此报文后会做相应处理。如果报文的Calling-Station-Id字段长度不超过64位,则LNS透传该字段到Radius服务器;如果Calling-Station-Id字段长度超过64位,则LNS会截断该字段超出的部分,然后转发字段到Radius服务器。由于LNS可能会对Calling-Station-Id字段进行修改,从而导致Radius认证失败。因此,在Radius提示Calling-Station-Id字段错误时,建议通过LAC端关闭Calling-Station-Id字段的办法解决此问题。
    移动办公用户采用Android 6.0或Android 7.0系统与LNS建立L2TP over IPSec隧道时,隧道双方的IPSec认证算法推荐使用SHA1。由于Android 6.0和Android 7.0系统是根据RFC草案实现的SHA2-256算法,跟RFC标准不一致。因此,使用SHA2-256算法建立的IPSec隧道,双方无法正常通信。
    LAC设备启动时会为L2TP服务预先分配一些端口,这些端口会被L2TP服务占用。管理员在为Portal、NTP、SNMP、NQA和TWAMP这些协议指定自定义端口的时候,有可能会同LAC为L2TP预分配的那些端口产生冲突。如果出现端口冲突的情况,请尝试改变上述自定义端口的端口号,以避免冲突。
    在NAS-Initiated和Client-Initiated场景下,对端设备上线时可能不申请IP地址,直接使用缓存的IP地址上线。后续该缓存的IP地址可能被分配给新用户,出现IP地址冲突,导致新用户无法上线。因此,在给对端分置地址时,建议配置不允许对端使用自行配置IP地址的功能。
    在双机模式下,服务器地址/子网掩码需要在主备机上同时配置。
    Call-LNS场景下,本端设备作为LAC对接对端LNS设备时,对端LNS设备VT(Virtual-Template)接口的IP地址不能与公网接口的IP地址相同,否则会造成L2TP链路震荡,频繁中断连接。

1、本站资源长期持续更新,可加入VIP会员、资源全免费。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 华为USG防火墙:L2TP VPN使用限制和注意事项

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他
加载中~

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!