华为USG防火墙：L2TP VPN使用限制和注意事项

华为USG防火墙：L2TP VPN使用限制和注意事项
硬件依赖
USG6635E/6640E-K/6655E、USG6680E和USG6712E/6716E仅支持作为LNS，不支持作为LAC。其他机型可以支持作为LNS和LAC。
License依赖
L2TP VPN功能不受License控制。
使用限制
在NAS-Initiated和Client-Initiated场景中，LNS支持PC用户使用EAP认证方式接入，但不支持手机（包括Android和iOS系统）用户使用EAP认证方式接入。Call-LNS场景中，LNS不支持LAC使用EAP认证方式接入。
    LNS不支持用户采用Android 5.0系统与其建立L2TP VPN隧道，因为Android 5.0系统的L2TP VPN功能不是按照标准RFC实现。
    NAS-Initiated场景不支持使用Web方式配置。
    LNS不支持多个LAC端使用相同地址向其拨号。
    L2TP不支持业务板扩容。当业务板扩容时，会导致已上线的L2TP用户异常下线。
    如果需要给客户端分配DNS地址，请选择本地授权方式，不能选择Radius服务器授权方式。
    在L2TP场景下，如果关闭隧道检测功能，在链路异常时协商失败的隧道可能无法及时老化，导致占用系统资源。建议开启隧道检测功能。
    L2TP场景下使用AD服务器认证时，认证模式只支持PAP，不支持CHAP。
    L2TP VPN属于隧道封装协议，接入用户MAC地址经过LAC、公网传输信息丢失，不支持IP/MAC绑定功能。

注意事项
    在L2TP VPN采用Radius认证，且LNS设备是FW的场景中。LAC向LNS发送的认证报文里可能带有Calling-Station-Id字段，LNS收到此报文后会做相应处理。如果报文的Calling-Station-Id字段长度不超过64位，则LNS透传该字段到Radius服务器；如果Calling-Station-Id字段长度超过64位，则LNS会截断该字段超出的部分，然后转发字段到Radius服务器。由于LNS可能会对Calling-Station-Id字段进行修改，从而导致Radius认证失败。因此，在Radius提示Calling-Station-Id字段错误时，建议通过LAC端关闭Calling-Station-Id字段的办法解决此问题。
    移动办公用户采用Android 6.0或Android 7.0系统与LNS建立L2TP over IPSec隧道时，隧道双方的IPSec认证算法推荐使用SHA1。由于Android 6.0和Android 7.0系统是根据RFC草案实现的SHA2-256算法，跟RFC标准不一致。因此，使用SHA2-256算法建立的IPSec隧道，双方无法正常通信。
    LAC设备启动时会为L2TP服务预先分配一些端口，这些端口会被L2TP服务占用。管理员在为Portal、NTP、SNMP、NQA和TWAMP这些协议指定自定义端口的时候，有可能会同LAC为L2TP预分配的那些端口产生冲突。如果出现端口冲突的情况，请尝试改变上述自定义端口的端口号，以避免冲突。
    在NAS-Initiated和Client-Initiated场景下，对端设备上线时可能不申请IP地址，直接使用缓存的IP地址上线。后续该缓存的IP地址可能被分配给新用户，出现IP地址冲突，导致新用户无法上线。因此，在给对端分置地址时，建议配置不允许对端使用自行配置IP地址的功能。
    在双机模式下，服务器地址/子网掩码需要在主备机上同时配置。
    Call-LNS场景下，本端设备作为LAC对接对端LNS设备时，对端LNS设备VT（Virtual-Template）接口的IP地址不能与公网接口的IP地址相同，否则会造成L2TP链路震荡，频繁中断连接。

VPN配置案例汇总、VPN汇总（列表、list、全）vpnlist
http://www.zh-cjh.com/wenzhangguilei/1193.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html