是否开启

L2TP服务器功能的全局开关。

默认为关闭状态，置为绿色表示开启。

[示例]

开启

IP地址池

分配给L2TP客户端的地址范围。

输入IP地址范围，起始IP与结束IP之间使用“-”分隔，格式为：起始IP�C结束IP

[示例]

10.20.1.1-10.20.1.254

本地隧道IP

VPN隧道建立成功后，设备（L2TP服务器）与L2TP客户端进行数据传输时使用的IP地址。

●      默认情况下，IP地址池的首个IP即为服务器的本地隧道地址。

●      需配置与IP地址池同一地址范围的IP地址。

[示例]

10.20.1.1

首选DNS

分配给L2TP客户端的首选DNS服务器地址。

点击<使用系统DNS设置>，可自动填入设备的DNS服务器配置。

[示例]

114.114.114.114

备选DNS

分配给L2TP客户端的备用DNS服务器地址。

[示例]

8.8.8.8

认证方式

设置验证L2TP客户端身份的认证方式，支持PAP、CHAP、MSCHAP、MSCHAP2。

●      支持多选。

●      L2TP客户端的认证方式需要与服务器相匹配。为了兼容不同类型客户端，建议开启多种认证方式。

隧道认证

是否开启L2TP隧道认证。

[示例]

认证

隧道认证密钥/确认隧道认证密钥

若开启隧道认证，需要配置L2TP隧道认证密钥。当L2TP客户端的认证密钥与服务器一致时才能建立隧道连接。

L2TP隧道两端需要配置一样的隧道认证密钥。

[示例]

Ruijie123

允许总部访问分支内网

是否允许本设备（L2TP服务器）访问L2TP客户端的内部子网。

[示例]

允许

分支机构隧道IP

本设备需要访问的L2TP客户端的IP地址。

需配置与IP地址池同一地址范围的IP地址。

[示例]

10.20.1.2

分支机构IP/网络掩码

本设备需要访问的L2TP客户端的内部子网。

不能配置与IP地址池重叠的网段。

[示例]

10.20.11.0/255.255.255.0

IPsec配置

●      L2TP本身不提供加密功能，需配合IPsec实现数据加密、完整性校验和防重放攻击，确保传输安全。

●      配置完成后，设备会自动生成一条IPsec VPN隧道。点击[网络]>>[VPN管理]>>[IPsec   VPN]>>[自定义隧道]菜单项可查看。

IPsec加密

是否配合IPsec对隧道传输的数据进行加密。

[示例]

加密

隧道名称

IPsec VPN隧道名称。

默认隧道名称为L2TP over IPsec，支持手动修改。

本端地址

本设备与对端建立IPsec隧道使用的出接口。受IPsec保护的数据流通过该接口转发给隧道对端。

选择具备IPv4地址的路由模式接口或手动输入本设备已配置的有效的IPv4地址。

预共享密钥

用于身份认证的密钥字符串。当L2TP客户端的密钥字符串与服务器一致时才能进行数据通信。

[示例]

Ruijie123

本端ID类型

本端ID用于标识本端设备的身份，供对端设备认证自身的合法性。支持以下类型：

●      IPV4_ADDRESS：采用IPv4地址作为IKE协商过程中使用的本端ID。

●      FQDN：采用FQDN（Fully Qualified Domain   Name，完全合格域名）类型的字符串作为IKE协商过程中使用的本端ID。

●      USER_FQDN：采用User FQDN（用户域名）类型的字符串作为IKE协商过程中使用的本端ID。

●      KEY_ID：采用指定的密钥标识符作为IKE协商过程中使用的本端ID。

●      本端ID的类型需和对端设备的“（对端）ID类型”保持一致。

●      当本端接口为PPPoE/DHCP类型时，建议选择FQDN类型，或者选择IPv4类型（此时请勿填写本端ID）。

[示例]

IPV4_ADDRESS

本端ID

标识本端设备身份的字符串，用于身份认证。

●      需要与对端设备上设置的“对端ID”参数保持一致。

●      根据本端ID类型，填写相应格式的字符串：

○      IPV4_ADDRESS：本端的IPv4地址，如6.6.6.2。

○      FQDN：本端的域名地址，如aaa.com。

○      USER_FQDN：本端的用户域名，如julia@aaa.com。

○      KEY_ID：可以标识本端身份的特定字符串，例如厂商的私有标识。

●      若未填写，将默认使用本端接口的IP地址。当本端接口为PPPoE/DHCP类型时，请勿填写此项。

IPsec高级配置

IKE协商模式

设置IKE第一阶段的协商模式：

●      自动：在响应协商时可接受主模式和野蛮模式，在发起协商时使用主模式。

●      IKEv1主模式：对身份信息进行加密保护，安全性更高。

●      IKEv1野蛮模式：协商速度更快，但不对身份信息进行加密保护。

[示例]

IKEv1主模式

IKE SA生存周期

设置IKE SA的生存周期。

当IKE SA存活时间超过该值时，设备会将使用新协商建立的SA取代旧SA。

IKE SA实际的生存周期以两端协商结果为准。

[示例]

86400

IPsec完美前向保密

设置是否开启完美前向保密功能。

完美前向保密（Perfect Forward Secrecy，简称PFS）通过执行一次额外的DH交换，确保即使IKE SA使用的密钥被破解，IPsec SA使用的密钥的安全性也不会受到影响。

[示例]

启用

IPsec DH组

设置PFS特性使用的DH组：

●      GROUP1：采用768位的DH组

●      GROUP2：采用1024位的DH组

●      GROUP5：采用1536位的DH组

●      GROUP14：采用2048位的DH组

●      GROUP15：采用3072位的DH组

●      GROUP16：采用4096位的DH组

组编号越大，安全性越高，同时计算密钥所耗费的时间也会越长。

●      点击输入框，在下拉列表中进行选择；支持多选。

●      开启完美前向保密功能后，默认使用GROUP5。

[示例]

GROUP14

IPsec SA生存周期

设置IPsec SA的生存周期。

当IPsec SA存活时间超过该值时，设备会将使用新协商建立的SA取代旧SA。

IPsec SA实际的生存周期以两端协商结果为准。

缺省情况下，Windows客户端只能建立IPsec SA生存期为3600秒的连接。修改此参数将导致协商失败。

[示例]

3600

IPsec隧道MTU

设置IPsec隧道单次可传输的数据包的最大字节数。

隧道MTU应小于出接口的MTU。

[示例]

1480

DPD类型

DPD探测用于检测IPsec隧道对端的存活状态，以便及时拆除异常的隧道。

DPD支持两种检测模式：

●      空闲模式：若本端发送报文后未收到对端的响应报文，则主动向对端发送DPD报文。

●      定期模式：按照配置的DPD探测周期，定时发送DPD报文。

[示例]

空闲模式

DPD探测周期

定期模式下，两次DPD探测之间的时间间隔。单位为秒。

[示例]

30

DPD重试间隔

重新发送DPD探测报文的时间间隔。

本端发送DPD请求报文后，若在重试间隔时间内未收到响应报文，将重传DPD请求报文；若重传3次后，仍未收到对端的响应，则认为对端已经失效，自动拆除IPsec隧道。

[示例]

3

高级配置

配置L2TP连接的保活参数。若在超时时间内L2TP服务器发送的保活报文均未收到客户端的应答，L2TP连接将被自动关闭。

L2TP连接超时时间=最大未应答LCP包数×PPP保活周期

最大未应答LCP包数

L2TP服务器向客户端发送LCP（Link Control Protocol，链路控制协议）报文后，若在周期时间内未收到客户端的应答报文，则未应答LCP包计数加1。

当连续未应答LCP包数量超过设定的最大值时，L2TP服务器会自动断开VPN隧道，关闭连接。

默认为10，即当设备连续10次发送LCP报文均未收到客户端的应答时，自动断开VPN连接。

[示例]

10

PPP保活周期

设置设备定期发送PPP链路维护检测报文（LCP Echo-Request）的时间间隔。

L2TP隧道建立后，设备会定期发送PPP链路维护检测报文来检测PPP链路状态，确保L2TP隧道的正常运行。

默认为10秒，即设备每10秒主动向隧道对端发送一次PPP链路维护检测报文。

[示例]

10秒

PPP MRU

PPP MRU（Maximum Receive Unit，最大接收单元）用于限制本设备（PPTP服务器）能够处理的最大PPP帧长度（单位：字节），避免因帧过大导致丢包或性能下降。

[示例]

1400