Protocolo de tunelamento de camada 2 (L2TP)
O protocolo de tunelamento de camada 2 (L2TP) é um protocolo para tunelamento do tráfego de Camada 2 em uma rede de Camada 3. Você pode usar o L2TP para habilitar o tunelamento de protocolo de ponto a ponto (PPP) em sua rede.
O L2TP requer um concentrador de acesso L2TP (LAC) e um servidor de rede L2TP (LNS). O LNS é um ponto final de um túnel L2TP. O LAC, configurado em um dispositivo de acesso, recebe pacotes de um cliente remoto e os encaminha para o LNS em uma rede remota. O LAC e o LNS são pares.
Para obter informações sobre como configurar O L2TP para acesso ao assinante, consulte l2TP para visão geral do acesso ao assinante.
Configuração L2TP mínima
Para definir a configuração mínima para L2TP, inclua pelo menos as seguintes declarações no nível de [edit access] hierarquia:
[edit access] address-pool pool-name { address address-or-prefix; address-range low <lower-limit> high <upper-limit>; } profile profile-name { authentication-order [ authentication-methods ]; client client-name { chap-secret chap-secret; l2tp { interface-id interface-id; maximum-sessions-per-tunnel number; ppp-authentication (chap | pap); shared-secret shared-secret; } pap-password pap-password; ppp { framed-ip-address ip-address; framed-pool framed-pool; interface-id interface-id; primary-dns primary-dns; primary-wins primary-wins; secondary-dns secondary-dns; secondary-wins secondary-wins; } } } radius-server server-address { accounting-port port-number; port port-number; retry attempts; secret password; }
Quando o LNS está configurado com a autenticação RADIUS , o comportamento padrão é aceitar o endereço IP atribuído ao RADIUS preferido. Anteriormente, o comportamento padrão era aceitar e instalar o endereço IP peer nãozero recebido no pacote de solicitação de configuração do Protocolo de Protocolo de Internet (IPCP).
Perfis L2TP
Configure perfis para L2TP.
Quando vários tipos de perfis são configurados, o sistema operacional só implementa uma configuração. O sistema operacional prioriza-os da seguinte maneira, onde [edit access profile profile-name] substitui todas as outras configurações de perfil:
[edit access profile profile-name][edit access group-profile profile-name][edit access profile profile-name user-group-profile profile-name]
Perfis de acesso
Para validar conexões L2TP e solicitações de sessão, você configura perfis de acesso configurando a declaração de perfil no nível de [edit access] hierarquia. Você pode configurar vários perfis. Você também pode configurar vários clientes para cada perfil.
- Configure o cliente L2TP
- Perfil específico do cliente
- Exemplo: defina o cliente de túnel padrão
- Configure o perfil de acesso
- Exemplo: configuração do perfil de acesso
Configure o cliente L2TP
Para configurar o cliente, inclua a client declaração no nível de [edit access profile profile-name] hierarquia:
[edit access profile profile-name] client client-name;
client-name é a identidade dos colegas.
Para L2TP, você pode usar opcionalmente o wildcard (*) para definir um cliente de túnel padrão para autenticar vários LACs com os mesmos atributos secretos e L2TP. Se um LAC com um nome específico não for definido na configuração, o cliente do túnel do wildcard o autentica.
A * configuração padrão do cliente se aplica apenas aos roteadores da Série M. Em roteadores da Série MX, use default em vez disso. Consulte as interfaces de serviço em linha L2TP LNS para obter mais informações sobre roteadores da Série MX.
Perfil específico do cliente
Para definir propriedades L2TP para um perfil específico do cliente, inclua uma ou mais das seguintes declarações no nível de [edit access profile profile-name client client-name l2tp] hierarquia:
Ao configurar o perfil, você pode configurar parâmetros L2TP ou PPP , mas não ambos ao mesmo tempo.
[edit access profile profile-name client client-name l2tp] interface-id interface-id; lcp-renegotiation; local-chap; maximum-sessions-per-tunnel number; multilink { drop-timeout milliseconds; fragment-threshold bytes; } ppp-authentication (chap | pap); shared-secret shared-secret;
interface-id (na interface-id declaração) é o identificador para a interface que representa uma sessão L2TP configurada no nível de [edit interfaces interface-name unit local-unit-number dial-options] hierarquia.
number (na maximum-sessions-per-tunnel declaração) é o número máximo de sessões para um túnel L2TP.
shared-secret (na shared-secret declaração) é o segredo compartilhado para autenticar o peer.
Você pode especificar a autenticação de PPP (na ppp-authentication declaração). Por padrão, a autenticação de PPP usa CHAP. Você pode configurá-lo para usar o Protocolo de Autenticação de Senha (PAP).
Você pode configurar o LNS para que ele renegocifique o LCP com o cliente PPP (na lcp-negotiation declaração). Por padrão, o cliente de PPP negocia o LCP com o LAC. Quando você faz isso, o LNS descarta a última solicitação de configuração de LCP enviada e recebeu pela última vez a solicitação de configuração de LCP AVPs do LAC; por exemplo, o LCP negociado entre o cliente PPP e o LAC.
Você pode configurar o Junos OS para que o LNS ignore os AVPs de autenticação de proxy do LAC e reautentica o cliente de PPP usando um desafio CHAP (na local-chap declaração). Por padrão, o cliente PPP não é reauthentado pela LNS. Quando você faz isso, o LNS autentica diretamente o cliente PPP.
Você pode configurar o MP PPP para L2TP se as sessões de PPP que estão chegando ao LNS a partir do LAC tiverem PPP multilink negociado. Ao fazer isso, você junta-se a pacotes multilink com base no discriminatório de endpoint (na multilink declaração).
-
milliseconds(nadrop-timeoutdeclaração) especifica o número de milissegundos para o tempo limite associado ao primeiro fragmento na fila de remontagem. Se o tempo limite expira antes que todos os fragmentos sejam coletados, os fragmentos no início da fila de remontagem são descartados. Se o tempo de desistência não for especificado, o Junos OS se apega aos fragmentos (fragmentos ainda podem ser descartados se o algoritmo de remontagem multilink determinar que outro fragmento pertencente ao pacote em uma fila de remontagem foi perdido).Nota:O limite de tempo de abandono e fragmentação para um multilink empacotado pode pertencer a túneis diferentes. Os diferentes túneis podem ter diferentes limites de tempo limite de abandono e fragmentação. Recomendamos a configuração de perfis de grupo em vez de perfis quando você tem túneis L2TP.
-
bytesespecifica o tamanho máximo de um pacote, em bytes (nafragment-thresholddeclaração). Se um pacote exceder o limite de fragmentação, o Junos OS o fragmenta em dois ou mais fragmentos de multilink .
Exemplo: defina o cliente de túnel padrão
[edit access profile profile-name]
client * {
l2tp {
interface-id interface1;
lcp-renegotiation;
local-chap;
maximum-sessions-per-tunnel 500;
ppp-authentication chap;
shared-secret "$ABC123";
}
}
Para qualquer cliente de túnel, você pode usar opcionalmente o perfil do grupo de usuários para definir atributos PPP padrão para todos os usuários que entram por um túnel. O perfil do grupo de usuários deve definir atributos de PPP. Se o perfil do grupo de usuários for especificado, todos os usuários (sessões de PPP) usarão os atributos PPP especificados no perfil do grupo de usuários. Os atributos de PPP especificados no servidor local ou RADIUS têm precedência sobre os especificados no perfil do grupo de usuários.
Opcionalmente, você pode usar um cliente wildcard para definir um perfil de grupo de usuários. Quando você faz isso, qualquer cliente que entra neste túnel usa os atributos PPP (atributos de perfil de grupo de usuário definidos) como atributos PPP padrão.
Configure o perfil de acesso
Quando você configura um perfil, você só pode configurar parâmetros L2TP ou PPP. Você não pode configurar ambos ao mesmo tempo.
Veja também
Exemplo: configuração do perfil de acesso
O exemplo a seguir mostra uma configuração de um perfil de acesso:
[edit access]
profile westcoast_bldg_1 {
client white {
chap-secret "$ABC123";
# SECRET-DATA
ppp {
idle-timeout 22;
primary-dns 198.51.100.10;
framed-ip-address 198.51.100.12/24;
}
group-profile westcoast_users;
}
client blue {
chap-secret "$ABC123";
# SECRET-DATA
group-profile sunnyvale_users;
}
authentication-order password;
}
profile westcoast_bldg_1_tunnel {
client test {
l2tp {
shared-secret "$ABC123";
# SECRET-DATA
maximum-sessions-per-tunnel 75;
ppp-authentication chap;
}
group-profile westcoast_tunnel;
}
client production {
l2tp {
shared-secret "$ABC123”;
# SECRET-DATA
ppp-authentication chap;
}
group-profile westcoast_tunnel;
}
}
Perfil do grupo
Opcionalmente, você pode configurar um perfil de grupo. Qualquer cliente que faça referência ao perfil de grupo configurado herda todos os atributos do perfil do grupo. Isso facilita a aplicação de L2TP em uma escala maior.
Para configurar o L2TP para o perfil do grupo, inclua as seguintes declarações no nível de [edit access group-profile profile-name l2tp] hierarquia:
[edit access group-profile profile-name l2p] interface-id interface-id; lcp-renegotiation; local-chap; maximum-sessions-per-tunnel number;
interface-id é o identificador para a interface que representa uma sessão L2TP configurada no nível de [edit interfaces interface-name unit local-unit-number dial-options] hierarquia.
Você pode configurar o LNS para que ele renegocifique o protocolo de controle de enlace (LCP) com o cliente PPP (na renegotiation declaração). Por padrão, o cliente de PPP negocia o LCP com o concentrador de acesso L2TP (LAC). Quando você faz isso, o LNS descarta o último enviado e o último pedido de configuração de LCP recebido de pares de valor de atributo (AVPs) do LAC; por exemplo, o LCP negociado entre o cliente PPP e o LAC.
Você pode configurar o Junos OS para que o LNS ignore os AVPs de autenticação de proxy do LAC e reautentica o cliente PPP usando um desafio CHAP (na local-chap declaração). Quando você faz isso, o LNS autentica diretamente o cliente PPP. Por padrão, o cliente PPP não é reauthentado pela LNS.
number é o número máximo de sessões por túnel L2TP.
Referência ao perfil de grupo do perfil L2TP
Você pode fazer referência a um perfil de grupo configurado a partir do perfil do túnel L2TP .
Para fazer referência ao perfil do grupo configurado no nível de [edit access group-profile profile-name] hierarquia, inclua a group-profile declaração no nível de [edit access profile profile-name client client-name] hierarquia:
[edit access profile profile-name client client-name] group-profile profile-name;
profile-name faz referência a um perfil de grupo configurado de um perfil de usuário de PPP.
Exemplo: PPP MP para L2TP
[edit access]
profile tunnel-profile {
client remote-host {
l2tp {
multilink {
drop-timeout 600;
fragmentation-threshold 100;
}
}
}
}
Configure a autenticação L2TP
O L2TP não inclui nenhum método de autenticação, por isso é flexível e pode ser usado com seus recursos de segurança preferidos. Quando você configura propriedades PPP para um perfil L2TP, você normalmente configura a declaração ou pap-password declaraçãochap-secret.
- Configure o SEGREDO CHAP para um perfil L2TP
- Exemplo: Configuração de PPP L2TP CHAP
- Configure a senha DO PAP para um perfil L2TP
- Exemplo: configure o PAP para um perfil L2TP
Configure o SEGREDO CHAP para um perfil L2TP
A CHAP permite que cada extremidade de um link PPP autenticasse seus peer, conforme definido na RFC 1994. O autenticador envia a seus pares um desafio gerado aleatoriamente que o peer deve criptografar usando um hash unidiretório; o peer deve então responder com esse resultado criptografado. A chave para o hash é um segredo conhecido apenas pelo autenticador e autenticado. Quando a resposta é recebida, o autenticador compara seu resultado calculado com a resposta do peer. Se corresponderem, o peer é autenticado.
Cada extremidade do link se identifica com seus pares, incluindo seu nome no desafio chap e pacotes de resposta que ele envia para o peer. Esse nome é padrão para o nome de host local, ou você pode defini-lo explicitamente usando a opção local-name . Quando um host recebe um desafio chap ou pacote de resposta CHAP em uma interface específica, ele usa a identidade de peer para procurar a chave secreta CHAP para usar.
Quando você configura propriedades de PPP para um perfil de Protocolo de Tunelamento de Camada 2 (L2TP), você normalmente configura a declaração ou pap-password declaraçãochap-secret.
Para configurar a CHAP, inclua a profile declaração e especifique um nome de perfil no nível de [edit access] hierarquia:
[edit access] profile profile-name { client client-name chap-secret data; }
Em seguida, faça referência ao nome do perfil CHAP no nível de [edit interfaces interface-name ppp-options chap] hierarquia.
Você pode configurar vários perfis. Você também pode configurar vários clientes para cada perfil.
profile é o mapeamento entre identificadores de pares e chaves secretas CHAP. A identidade dos pares contida no desafio ou resposta à CHAP consulta o perfil da chave secreta a ser usada.
client é a identidade dos colegas.
chap-secret secret é a chave secreta associada a esse peer.
Exemplo: Configuração de PPP L2TP CHAP
[edit]
access {
profile westcoast_bldg1 {
client cpe-1 chap-secret "$ABC123";
# SECRET-DATA
client cpe-2 chap-secret "$ABC123";
# SECRET-DATA
}
}
Configure a senha DO PAP para um perfil L2TP
Para configurar a senha do Protocolo de Autenticação de Senha (PAP), inclua a pap-password declaração no nível de [edit access profile profile-name client client-name] hierarquia:
[edit access profile profile-name client client-name] pap-password pap-password;
pap-password é a senha do PAP.
Exemplo: configure o PAP para um perfil L2TP
[edit access]
profile sunnyvale_bldg_2 {
client green {
pap-password "$ABC123";
ppp {
interface-id west;
}
group-profile sunnyvale_users;
}
client red {
chap-secret "$ABC123";
group-profile sunnyvale_users;
}
authentication-order radius;
}
profile Sunnyvale_bldg_1_tunnel {
client test {
l2tp {
shared-secret "$ABC123";
ppp-authentication pap;
}
}
}
Exemplo: configure L2TP
[edit]
access {
address-pool customer_a {
address 10.1.1.1/32;
}
address-pool customer_b {
address-range low 10.2.2.2 high 10.2.3.2;
}
group-profile westcoast_users {
ppp {
framed-pool customer_a;
idle-timeout 15;
primary-dns 10.192.65.1;
secondary-dns 10.192.65.2;
primary-wins 10.192.65.3;
secondary-wins 10.192.65.4;
interface-id west;
}
}
group-profile eastcoast_users {
ppp {
framed-pool customer_b;
idle-timeout 20;
primary-dns 10.192.65.5;
secondary-dns 10.192.65.6;
primary-wins 10.192.65.7;
secondary-wins 10.192.65.8;
interface-id east;
}
}
group-profile westcoast_tunnel {
l2tp {
maximum-sessions-per-tunnel 100;
}
}
group-profile east_tunnel {
l2tp {
maximum-sessions-per-tunnel 125;
}
}
profile westcoast_bldg_1 {
client white {
chap-secret "$ABC123";
# SECRET-DATA
ppp {
idle-timeout 22;
primary-dns 10.192.65.10;
framed-ip-address 10.12.12.12/32;
}
group-profile westcoast_users;
}
client blue {
chap-secret "$ABC123";
# SECRET-DATA
group-profile sunnyvale_users;
}
authentication-order password;
}
profile west-coast_bldg_2 {
client red {
pap-password "$ABC123";
# SECRET-DATA
ppp {
idle-timeout 22;
primary-dns 10.192.65.11;
framed-ip-address 10.12.12.12/32;
}
group-profile westcoast_users;
}
}
profile westcoast_bldg_1_tunnel {
client test {
l2tp {
shared-secret "$ABC123";
# SECRET-DATA
maximum-sessions-per-tunnel 75;
ppp-authentication chap;# The default for PPP authentication is CHAP.
}
group-profile westcoast_tunnel;
}
client production {
l2tp {
shared-secret "$ABC123
ABC123"; # SECRET-DATA
ppp-authentication chap;
}
group-profile westcoast_tunnel;
}
}
profile westcoast_bldg_2_tunnel {
client black {
l2tp {
shared-secret "$ABC123
ABC123";
# SECRET-DATA
ppp-authentication pap;
}
group-profile westcoast_tunnel;
}
}
}
Configure L2TP para roteadores M7i e M10i
Para roteadores M7i e M10i, você pode configurar serviços de segurança de tunelamento de camada 2 (L2TP) em uma placa de interface física (PIC) de serviços adaptativos ou em um PIC multiservices.
Para configurar o L2TP, inclua as seguintes declarações no nível de [edit access] hierarquia:
[edit access] address-pool pool-name { address address-or-prefix; address-range low <lower-limit> high <upper-limit>; } group-profile profile-name { l2tp { interface-id interface-id; lcp-renegotiation; local-chap; maximum-sessions-per-tunnel number; ppp { cell-overhead; encapsulation-overhead bytes; framed-pool pool-id; idle-timeout seconds; interface-id interface-id; keepalive seconds; primary-dns primary-dns; primary-wins primary-wins; secondary-dns secondary-dns; secondary-wins secondary-wins; } } profile profile-name { authentication-order [ authentication-methods ]; accounting-order radius; client client-name { chap-secret chap-secret; group-profile profile-name; l2tp { interface-id interface-id; lcp-renegotiation; local-chap; maximum-sessions-per-tunnel number; ppp-authentication (chap | pap); shared-secret shared-secret; } pap-password pap-password; ppp { cell-overhead; encapsulation-overhead bytes; framed-ip-address ip-address; framed-pool framed-pool; idle-timeout seconds; interface-id interface-id; keepalive seconds; primary-dns primary-dns; primary-wins primary-wins; secondary-dns secondary-dns; secondary-wins secondary-wins; } user-group-profile profile-name; } } radius-disconnect-port port-number { radius-disconnect { client-address { secret password; } } } radius-server server-address { accounting-port port-number; port port-number; retry attempts; routing-instance routing-instance-name; secret password; source-address source-address; timeout seconds; } }