Configuração de assinante L2TP LAC
Configuração de um LAC L2TP
Para configurar um L2TP LAC:
Configuração de como o LAC responde às mudanças de endereço e porta solicitadas pela LNS
Uma LNS pode usar a mensagem SCCRP que envia ao LAC quando um túnel está sendo estabelecido para solicitar uma mudança no endereço IP de destino ou porta UDP que o LAC usa para se comunicar com o LNS. Por padrão, o LAC aceita a solicitação e faz a mudança. Você pode usar a tx-address-change
declaração para configurar um dos seguintes métodos para o LAC para lidar com essas solicitações de mudança para todos os túneis:
aceitar — o LAC aceita a mudança da LNS. Ele envia todos os pacotes subsequentes e recebe pacotes do novo endereço IP ou porta UDP.
ignore — o LAC continua a enviar pacotes para o endereço ou porta original, mas aceita pacotes do novo endereço ou porta.
rejeitar — o LAC envia uma mensagem StopCCN para o endereço ou porta original e, em seguida, encerra a conexão com essa LNS.
O LAC aceita uma mudança de endereço ou porta apenas uma vez, quando o túnel estiver sendo estabelecido. Os túneis que já estão estabelecidos não são afetados. O LAC derruba quaisquer pacotes de controle L2TP que contenham solicitações de alteração recebidas em qualquer outro momento ou em qualquer pacote que não seja uma mensagem SCCRP.
Esta declaração não oferece suporte a endereços IPv6.
Para configurar como o LAC lida com as solicitações de alteração para o endereço IP, a porta UDP ou ambos:
(Opcional) Configure o LAC para aceitar todas as solicitações de mudança. Esse é o comportamento padrão.
[edit services l2tp tunnel] user@host# set tx-address-change accept
(Opcional) Configure o LAC para ignorar todas as solicitações de mudança.
[edit services l2tp tunnel] user@host# set tx-address-change ignore
(Opcional) Configure o LAC para ignorar solicitações de alterações apenas para o endereço IP.
[edit services l2tp tunnel] user@host# set tx-address-change ignore-ip-address
(Opcional) Configure o LAC para ignorar solicitações de alterações apenas para a porta UDP.
[edit services l2tp tunnel] user@host# set tx-address-change ignore-udp-port
(Opcional) Configure o LAC para rejeitar todas as solicitações de mudança.
[edit services l2tp tunnel] user@host# set tx-address-change reject
(Opcional) Configure o LAC para rejeitar solicitações de alteração apenas para o endereço IP.
[edit services l2tp tunnel] user@host# set tx-address-change reject-ip-address
(Opcional) Configure o LAC para rejeitar solicitações de mudança apenas para a porta UDP.
[edit services l2tp tunnel] user@host# set tx-address-change reject-udp-port
Por exemplo, a configuração a seguir faz com que o LAC ignore as solicitações para alterar a porta UDP, mas rejeite solicitações para alterar o endereço IP:
[edit services l2tp tunnel] user@host# set tx-address-change ignore-udp-port user@host# set tx-address-change reject-ip-address
Configurações conflituosas não são permitidas e falham na verificação de confirmação de configuração. Você não pode Por exemplo, a configuração a seguir falha, porque ela especifica que as alterações nas portas UDP são ignoradas, mas que todas as mudanças são recusadas:
[edit services l2tp tunnel] user@host# set tx-address-change ignore-udp-port user@host# set tx-address-change reject
Use o show services l2tp summary
comando para exibir o comportamento atual do LAC:
show services l2tp summary Failover within a preference level is Disabled Weighted load balancing is Disabled Tunnel authentication challenge is Enabled Calling number avp is Enabled Failover Protocol is Disabled Tx Connect speed method is static Rx speed avp when equal is Disabled Tunnel assignment id format is assignment-id Tunnel Tx Address Change is Ignore Max Retransmissions for Established Tunnel is 7 Max Retransmissions for Not Established Tunnel is 5 Tunnel Idle Timeout is 60 seconds Destruct Timeout is 300 seconds Destination Lockout Timeout is 300 seconds Destinations: 1, Tunnels: 0, Sessions: 0
Dependendo da configuração, este comando exibe uma das seguintes saídas:
Tunnel Tx Address Change is Accept Tunnel Tx Address Change is Ignore Tunnel Tx Address Change is Reject Tunnel Tx Address Change is Ignore IP Address & Accept UDP Port Tunnel Tx Address Change is Ignore IP Address & Reject UDP Port Tunnel Tx Address Change is Accept IP Address & Ignore UDP Port Tunnel Tx Address Change is Accept IP Address & Reject UDP Port Tunnel Tx Address Change is Reject IP Address & Accept UDP Port Tunnel Tx Address Change is Reject IP Address & Ignore UDP Port
Interoperação LAC com dispositivos LNS de terceiros
Em alguns ambientes de rede, o LAC pode precisar interoperar com uma LNS configurada em um dispositivo de outro fornecedor que não executa o Junos OS. A interoperação com dispositivos Cisco Systems exige que o LAC comunique um tipo de porta NAS, mas o LAC não fornece essas informações por padrão.
Você pode habilitar a interoperação com dispositivos Cisco Systems configurando o método de porta NAS como cisco-avp
, o que faz com que o LAC inclua o Cisco Systems NAS Port Info AVP (100) quando ele envia uma solicitação de chamada de entrada (ICRQ) para a LNS. O AVP inclui informações que identificam a porta NAS e indica se o tipo de porta é ATM ou Ethernet.
Você pode configurar o método de porta NAS globalmente para todos os túneis no LAC ou em um perfil de túnel apenas para os túneis instanciados pelo perfil.
Você também pode incluir o Tunnel-Nas-Port-Method VSA [26-30] na configuração do servidor RADIUS com o valor definido para 1 para indicar o CLID da Cisco Systems. Neste caso, o RADIUS pode substituir o valor global modificando ou criando um perfil de túnel. A configuração RADIUS tem precedência sobre a configuração do perfil do túnel, que por sua vez tem precedência sobre a configuração global de LAC.
Se a LNS que recebe o AVP for um roteador da Série MX em vez de um dispositivo Cisco Systems, a LNS simplesmente ignora a AVP, a menos que a LNS esteja configurada para comutação de túnel L2TP. Nesse caso, o LNS preserva o valor do AVP e o transmite quando ele muda de túnel para o LAC.
Configuração global do LAC para interoperar com dispositivos Cisco LNS
Os dispositivos Cisco LNS exigem do LAC o identificador físico de número de porta NAS e o tipo de porta física, como Ethernet ou ATM. Por padrão, o LAC não inclui essas informações. Você pode configurar globalmente o LAC para fornecer essas informações, incluindo o NAS Port Info AVP (100) no ICRQ que ele envia para a LNS. Essa configuração permite que o LAC interopere com um Cisco LNS.
Para configurar globalmente o LAC para incluir o NAS Port Info AVP:
Especifique o método de porta NAS.
[edit services l2tp tunnel] user@host# set nas-port-method cisco-avp
Essa configuração global para o LAC pode ser anulada pela configuração em um perfil de túnel ou RADIUS.
Use o show services l2tp tunnel extensive
comando para exibir o comportamento atual do LAC:
show services l2tp tunnel extensive Tunnel local ID: 51872, Tunnel remote ID: 8660 Remote IP: 192.0.2.20:1701 Sessions: 5, State: Established Tunnel Name: 1/tunnel-test-2 Local IP: 203.0.113.2:1701 Local name: testlac, Remote name: ce-lns Effective Peer Resync Mechanism: silent failover Nas Port Method: none Tunnel Logical System: default, Tunnel Routing Instance: default Max sessions: 128100, Window size: 4, Hello interval: 60 Create time: Thu Jul 25 12:55:41 2013, Up time: 11:18:14 Idle time: 00:00:00 Statistics since: Thu Jul 25 12:55:41 2013 Packets Bytes Control Tx 702 15.5k Control Rx 690 8.5k Data Tx 153.3k 6.6M Data Rx 126.3k 5.9M Errors Tx 0 Errors Rx 0