Fallas en el establecimiento de VPN L2TP

Posibles causas

• No hay una ruta accesible entre los dos extremos. Por ejemplo, esto puede ocurrir cuando se configuran múltiples rutas predeterminadas.
• El modo de autenticación del túnel es incorrecto.
• La dirección de la puerta de enlace no está configurada en el grupo de direcciones IP. Como resultado, la dirección de la puerta de enlace se asigna a un cliente.
• La función de estadísticas SA está habilitada en la interfaz LNS que se conecta a los usuarios de L2TP, lo que evita que la interfaz reenvíe paquetes.

Procedimiento de resolución de problemas

1. Ejecute el comando ping o tracert para verificar si las rutas son accesibles.

2. Ejecutar el comando display current-configuration para comprobar las configuraciones del grupo L2TP y la interfaz VT son correctas.

   <LAC> display current-configuration | begin l2tp-groupl2tp-group 1 
    start l2tp ip 202.1.1.1 fullusername huawei   
    tunnel password cipher %^%#B^5:IPR>B$z[&KF_EKB(>:T">;z`ZJY+X.&_5jlH%^%#   //The tunnel password must be the same as that configured on the LNS.
    tunnel name LAC

   <LNS> display current-configuration | begin l2tp-groupl2tp-group 1 
    allow l2tp virtual-template 1 remote LAC   //The LAC specifies the remote tunnel name whose connection request is accepted by the local end. It must be the same as the tunnel name on the LAC.
    tunnel password cipher %^%#B^5:IPR>B$z[&KF_EKB(>:T">;z`ZJY+X.&_5jlH%^%#   //The tunnel password must be the same as that configured on the LAC.
    tunnel name LNS

   <LAC> display current-configuration interface virtual-templateinterface Virtual-Template1   //Specifies information displayed on the VT interface that dials up upon receiving a call request.
    ppp authentication-mode chap   //The authentication mode must be the same as that configured on the LNS.
   # 
   interface Virtual-Template2   //Specifies information displayed on the VT interface that automatically dials up to initiate a connection request.
    ppp chap user huawei   //The virtual PPP user name must be the same as the PPP user name configured on the LNS.
    ppp chap password cipher %^%#1HIL-jW9hLZlF'8@8+*"-UwS04'e`'+9\0*=#3Z-%^%#   //The password of the virtual PPP user must be the same as the PPP password configured on the LNS.
    ip address ppp-negotiate 
    l2tp-auto-client enable

   <LNS> display current-configuration interface virtual-templateinterface Virtual-Template1   //Specifies information displayed on the VT interface that dials up upon receiving a call request and the VT interface that automatically dials up to initiate a connection request.
    ppp authentication-mode chap   //The authentication mode must be the same as that configured on the LAC.
    remote address pool lns 
    ip address 12.1.1.1 255.255.255.0

   En el escenario Cliente-LNS, use l2tp-group 1, por lo que no es necesario especificar el nombre del túnel remoto. Los clientes que ejecutan Windows 7 no admiten la autenticación de túnel. Configurar undo tunnel authentication 

   en el LNS para deshabilitar la autenticación de túnel.

   
   

   En el escenario Cliente-LAC-LNS, asegúrese de que el nombre del túnel remoto, el modo de autenticación del túnel y los parámetros de 

   autenticación PPP en el LAC sean los mismos que los configurados en el LNS.
   

3. Ejecutar el comando display ip pool  para ver información sobre el grupo de direcciones configuradas y las direcciones IP en él, incluido el nombre del grupo de direcciones, el arrendamiento, el estado de bloqueo y el estado de las direcciones IP.

   Si la dirección de la puerta de enlace se ha asignado a un cliente porque no está configurada en el grupo de direcciones IP, ejecute el comando gateway-list  para configurar la dirección de la puerta de enlace y asignarla al usuario remoto.

4. Ejecutar el comando undo sa application-statistic enable  para deshabilitar la función de estadísticas SA en la interfaz.

   
   

   Después de habilitar la función de estadísticas de SA en una interfaz, puede ver las estadísticas de los paquetes de diferentes protocolos de 

   aplicación de SA. Sin embargo, la función de estadísticas SA afecta el reenvío de paquetes; por lo tanto, debe deshabilitar la función de estadísticas SA.

Información Adicional

La fragmentación de paquetes consume recursos de CPU considerables, lo que resulta en una calidad degradada de los servicios. Para garantizar una alta calidad de los servicios, tenga en cuenta lo siguiente al configurar L2TP:

• MTU

  MTU (unidad de transmisión máxima) determina el número máximo de bytes que se pueden transmitir en un enlace a la vez. El valor de MTU varía según el tipo de interfaz. Por ejemplo, la MTU predeterminada para las interfaces Ethernet es 1500 bytes. La MTU de un enlace depende de la interfaz con la MTU más pequeña. Si el tamaño de los paquetes que se envían por una interfaz excede la MTU de la interfaz, el dispositivo fragmenta los paquetes encriptados antes de transmitirlos. Después de recibir todos los fragmentos de un paquete IP, la interfaz vuelve a ensamblar los fragmentos antes de descifrar el paquete. La fragmentación y el reensamblaje consumen recursos de la CPU.

• TCP MSS

  TCP MSS especifica el tamaño máximo de segmento de los paquetes TCP. Si la longitud total del paquete (TCP MSS más todas las longitudes de 

  
  

  Algunas aplicaciones de capa superior, como los protocolos de capa de aplicación como HTTP, establecen el campo No fragmentar (DF) en el 

  encabezado) es mayor que la MTU de enlace, los paquetes de datos se fragmentan para la transmisión. La fragmentación y  el cifrado / descifrado de paquetes consumen recursos de CPU de los dispositivos en el enlace de transmisión. El alto consumo de recursos de la CPU puede causar la pérdida de paquetes.encabezado del paquete IP en 1, lo que evita que los paquetes TCP se fragmenten. Si el campo DF se establece en 1 y el MTU de la interfaz es menor que el MSS, el dispositivo descartará los paquetes TCP porque no puede fragmentarlos.