1、故障现象

L2TP客户端无法拨号成功

2、故障可能原因

1、LAC与LNS不通，无法发起L2TP协商

2、LAC与LNS的L2TP配置不匹配导致L2TP协商失败

1）LAC与LNS的L2TP隧道密码不一致

2）LAC与LNS的认证方法不一致

3、LAC账号密码错误导致认证失败

4、LNS或AAA服务器地址池配置错误导致LAC无法正确获取到IP地址

5、LAC与LNS存在兼容性问题（LAC与LNS非同一厂商）

3、故障处理步骤

步骤1、检查LAC与LNS的连通性

1）在LAC上ping LNS，看是否能够正常ping通；

2）检查LAC与LNS间是否存在防火墙，如有防火墙需确保已经放通L2TP流量

步骤2、检查LAC与LNS的L2TP配置

LAC与LNS的标准配置，请参考《RRT-0050 锐捷路由器产品实施一本通》。需重点关注以下两部分：

1）检查LAC与LNS的L2TP隧道密码是否一致，如果两端密码不一致L2TP无法协商成功

LAC上的L2TP隧道密码配置：

l2tp-class l2x

    hostname site1

    authentication           //开启L2TP隧道认证

           password ruijie          //配置L2TP隧道认证密码为“ruijie”

LNS上的L2TP隧道密码配置：

vpdn enable

vpdn-group 1

    accept-dialin

        protocol any

        virtual-template 1

    l2tp tunnel authentication                     //按需启用l2tp隧道认证功能

    l2tp tunnel password ruijie                    //按需配置l2tp隧道密码为“ruijie”

2）检查LAC与LNS的认证方法（PAP/CHAP）；在LAC上配置的认证方法，必须有一种已经在LNS上配置，否则LAC无法认证成功

LAC上认证方法的配置：

LAC上认证的账号密码可以只配置PAP、CHAP中的一种，也可以两种都配。

interface Virtual-ppp 1

    ppp pap sent-username test password test  //配置L2TP的用户名和密码，使用PAP认证

    ppp chap hostname test                              //配置L2TP的用户名，使用CHAP认证

    ppp chap password test                              //配置L2TP的密码，使用CHAP认证

LNS上认证方法的配置：

interface Virtual-Template 1

    ppp authentication pap chap                     //指定优先使用pap认证，同时支持chap认证

步骤3、检查LAC账号密码是否正确

1）如果使用LNS本地认证，请检查LAC上配置的账号密码在LNS上是否已经配置

username test password test              //添加需要本地认证的L2TP客户端账号密码信息

2）如果使用AAA服务器认证，请检查LNS上的AAA认证记账模板是否配置正确，LNS与AAA服务器的key是否一致，及AAA上配置的账号密码配置是否正确

LNS AAA认证模板

aaa new-model

radius-server host x.x.x.x key xxx                     //指定radius服务器IP地址和key

aaa authentication ppp default group radius    //指定ppp默认通过radius服务器进行认证

LNS AAA记账模板

aaa new-model

aaa accounting update periodic 1                    //配置记账更新的间隔时间为1分钟，默认为5分钟，最小为1分钟

aaa accounting update                                    //启用记账更新功能

aaa accounting network default start-stop group radius  //指定使用radius对网络用户的请求开始和结束时进行记账

步骤4、检查LNS或AAA服务器上的地址池配置

如果采用本地认证，请检查LNS上的地址池是否已经正确配置

interface Virtual-Template 1

    peer default ip address pool p1            //在virtual-template接口下指定l2tp客户端所使用的地址池

ip local pool p1 100.0.0.2 100.0.0.100      //配置l2tp用户的地址池

如果采用AAA认证，请检查AAA上的地址池配置，或者是否已经配置了账号-IP的绑定。

步骤5、尝试使用兼容性命令

如果使用我司设备作为LNS与友商LAC进行对接，可以尝试配置如下兼容性命令看问题是否能够解决：

1）忽略对方设备发过来的不符合RFC规范的L2TP控制报文的错误，使得协商可以正常进行

Ruijie(config-vpdn)#lcp renegotiation always

2）配置忽略源地址检查功能，开启该命令后对方发送过来的数据报文将不检查源地址配情况

Ruijie(config)#vpdn ignore_source

3）强制PPP进行本地的CHAP认证，用来在L2TP隧道建立后强制LNS重新对Client进行认证

Ruijie(config-vpdn)#force-local-chap

4）强制PPP进行本地的LCP协商，用来在L2TP隧道建立后强制LNS重新与Client进行LCP协商

Ruijie(config-vpdn)#force-local-lcp

5）配置LNS收到重复的SCCRQ报文时不发送stop报文，该命令主要用于强制隧道模式场景

Ruijie(config-vpdn)#l2tp tunnel  none-rfc-compatible send-stop-pkt

4、故障信息搜集

分别搜集LAC和LNS端如下信息：

show version

show slot

show version slot

show run

show log

show ip interface brief

show interface

show ip route

show vpdn tunnel

show vpdn session

-----------------------------------------------------------------------------------------------------------

*/注意，开启debug调试可能影响客户在网业务，请与客户沟通后谨慎使用！！！/*

打开如下debug信息，触发拨号，搜集拨号过程中的debug信息

debug vpdn l2x-events

debug vpdn l2x-packets

debug vpdn l2x-errors

*/注意，debug信息搜集完成后，必须通过undebug all命令关闭所有debug调试，否则可能会对客户在网业务造成持续影响/*

-----------------------------------------------------------------------------------------------------------