Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Visão geral do L2TP para acesso ao assinante

Visão geral do L2TP para acesso ao assinante

O protocolo de tunelamento de camada 2 (L2TP) é um protocolo cliente-servidor que permite que o protocolo ponto a ponto (PPP) seja tunelado em uma rede. O L2TP encapsula pacotes de Camada 2, como PPP, para transmissão em uma rede. Um concentrador de acesso L2TP (LAC), configurado em um dispositivo de acesso, recebe pacotes de um cliente remoto e os encaminha para um servidor de rede L2TP (LNS) em uma rede remota. O LNS funciona como o ponto de terminação lógico da sessão PPP tunelada pelo LAC a partir do cliente remoto. A Figura 1 mostra uma topologia L2TP simples.

Figura 1: Topologia Network architecture diagram showing data flow from customer premises equipment to the internet, including access node, aggregation, PPPoE, LAC, L2TP tunnel, LNS, provider AAA servers, and internet. L2TP típica

O L2TP separa a terminação de tecnologias de acesso, como cabo ou xDSL, da terminação de PPP e subsequente acesso a uma rede. Essa separação permite que os ISPs públicos terceirizem suas tecnologias de acesso para operadoras de intercâmbio local (CLECs) competitivas. O L2TP fornece aos ISPs a capacidade de fornecer serviço VPN; As empresas privadas podem reduzir ou evitar investimentos em tecnologias de acesso para trabalhadores remotos.

Você pode configurar seu roteador para atuar como o LAC no modo de passagem PPP, no qual o LAC recebe pacotes de um cliente remoto e os encaminha na Camada 2 diretamente para o LNS. A sessão PPP é encerrada no LNS. Essa implementação do LAC oferece suporte apenas a assinantes PPPoE (Point-to-Point Protocol over Ethernet) em interfaces lógicas dinâmicas ou estáticas. A Figura 2 mostra o empilhamento da camada de protocolo para uma conexão de passagem L2TP.

Figura 2: Empilhamento de protocolo para assinantes L2TP no modo Diagram of L2TP network architecture showing data flow between Subscriber, LAC, and LNS with tunnel binding. de passagem
Observação:

Nos roteadores da Série MX, as funções LAC e LNS são suportadas apenas em MPCs; eles não são suportados em nenhum PIC de serviços ou MS-DPC. Para obter detalhes sobre o suporte MPC para L2TP, consulte a Referência do módulo de interface da Série MX

Certos roteadores da Série M oferecem suporte a funções LNS em PICs de serviços. Para obter mais informações sobre a implementação L2TP em roteadores da Série M, consulte a visão geral da configuração dos serviços L2TP.

O LAC cria túneis dinamicamente com base em parâmetros de autenticação AAA e transmite pacotes L2TP para o LNS por meio do IP/Protocolo de datagrama de usuário (UDP). O tráfego viaja em um L2TP session; um túnel é uma agregação de uma ou mais sessões. Você também pode provisionar um mapa de domínio que é usado pela AAA para determinar se o túnel ou o assinante PPPoE deve ser encerrado no LAC. Existe um mapeamento um-para-um entre cada assinante PPP tunelado para o LNS e uma sessão L2TP.

Quando o LNS é um roteador da Série MX, uma interface peer voltada para LAC em um MPC fornece um endereço IP para a troca de pacotes IP entre os endpoints do túnel; o Mecanismo de Roteamento mantém os túneis L2TP. O Mecanismo de Encaminhamento de Pacotes hospeda uma ou mais interfaces de serviços em linha (si). Essas interfaces funcionam como uma interface física virtual e ancoram as sessões L2TP no LNS. A si interface permite serviços L2TP sem exigir um PIC de serviços especiais. Por fim, outra interface é usada para transmitir os dados do assinante de e para a Internet.

As características do túnel podem se originar de um perfil de túnel que você configura ou de atributos de túnel RADIUS e atributos específicos do fornecedor (VSAs) do servidor AAA acessível no LAC. Você pode incluir um perfil de túnel em um mapa de domínio, que aplica o perfil de túnel antes que a autenticação RADIUS ocorra. Você pode usar atributos padrão RADIUS e VSAs para substituir qualquer ou todas as características configuradas pelo perfil de túnel em um mapa de domínio. Como alternativa, o próprio RADIUS pode aplicar um perfil de túnel quando o VSA do grupo de túneis RADIUS [26-64] é especificado no login do RADIUS.

Observação:

Não há suporte para L2TP em túneis GRE.

O VSA do roteador virtual [26-1] no perfil do assinante no servidor AAA do provedor de serviços (acessível a partir do LNS) determina a instância de roteamento na qual a sessão L2TP é ativada no LNS. Quando esse VSA não está presente, a sessão do assinante surge na mesma instância de roteamento que o túnel, porque o servidor AAA só pode ser acessado a partir da instância de roteamento na qual o túnel termina no LNS.

Esse comportamento é diferente do dos assinantes DHCP e PPPoE não encapsulados, que aparecem na instância de roteamento padrão na ausência do VSA do roteador virtual. Para assinantes L2TP, você deve incluir esse VSA no perfil do assinante quando quiser que a sessão do assinante apareça em uma instância de roteamento diferente da instância de roteamento de túnel.

A partir do Junos OS Release 17.4R1, o LNS inclui os seguintes atributos RADIUS quando envia uma mensagem de solicitação de acesso ao servidor RADIUS:

  • Tipo de túnel (64)

  • tipo túnel médio (65)

  • endpoint de cliente de túnel (66)

  • ponto de extremidade do servidor de túnel (67)

  • Conexão de túnel de conta (68)

  • ID da atribuição de túnel (82)

  • ID de autenticação do cliente de túnel (90)

  • ID de autenticação do servidor de túnel (91)

Em releases anteriores, o LNS inclui esses atributos somente nos registros contábeis enviados ao servidor RADIUS. Nas mensagens de solicitação de acesso, elas podem ser usadas para correlacionar no servidor RADIUS a sessão do LAC para o LNS.

O LAC oferece suporte ao espelhamento iniciado pelo RADIUS, que cria políticas seguras com base em determinados VSAs RADIUS e usa atributos RADIUS para identificar um assinante cujo tráfego deve ser espelhado. (Esse recurso não é suportado para um LNS configurado em um roteador da Série MX.)

O LAC e o LNS oferecem suporte ao ISSU unificado. Quando uma atualização é iniciada, o LAC conclui todas as negociações L2TP que estão em andamento, mas rejeita todas as novas negociações até que a atualização seja concluída. Nenhum novo túnel ou sessão é estabelecido durante a atualização. Os logouts do assinante são registrados durante a atualização e são concluídos após a conclusão da atualização.

Terminologia L2TP

A Tabela 1 descreve os termos básicos para L2TP.

Tabela 1: Termos L2TP

Prazo

Descrição

AVP

Par de valores de atributo (AVP) — Combinação de um atributo exclusivo — representado por um inteiro — e um valor que contém o valor real identificado pelo atributo.

Ligar

Uma conexão (ou tentativa de conexão) entre um sistema remoto e o LAC.

LAC

Concentrador de acesso L2TP (LAC) — um nó que atua como um lado de um endpoint de túnel L2TP e é um peer para o LNS. O LAC fica entre um LNS e um sistema remoto e encaminha pacotes de e para cada um.

LNS

Servidor de rede L2TP (LNS) — um nó que atua como um lado de um endpoint de túnel L2TP e é um par para o LAC. O LNS é o ponto de terminação lógico de uma conexão PPP que está sendo tunelada do sistema remoto pelo LAC.

Par

No contexto L2TP, o LAC ou o LNS. O par do LAC é um LNS e vice-versa.

Autenticação de proxy

Pré-autenticação de PPP realizada pelo LAC em nome do LNS. Os dados de proxy são enviados pelo LAC para o LNS contendo atributos como tipo de autenticação, nome de autenticação e desafio de autenticação. O LNS responde com os resultados da autenticação.

Proxy LCP

Negociação do Protocolo de Controle de Enlaces (LCP) realizada pelo LAC em nome do LNS. O proxy é enviado pelo LAC para o LNS contendo atributos como os últimos atributos de configuração enviados e recebidos do cliente.

Sistema remoto

Um sistema final ou roteador conectado a uma rede de acesso remoto, que é o iniciador ou o destinatário de uma chamada.

Sessão

Uma conexão lógica criada entre o LAC e o LNS quando uma conexão PPP de ponta a ponta é estabelecida entre um sistema remoto e o LNS.

Observação:

Há uma relação um-para-um entre as sessões L2TP estabelecidas e suas conexões PPP associadas.

Túnel

Uma conexão entre o par LAC-LNS que consiste em uma conexão de controle e 0 ou mais sessões L2TP.

Implementação L2TP

O L2TP é implementado em quatro níveis:

  • Origem — o roteador local que atua como o LAC.

  • Destino — o roteador remoto que atua como LNS.

  • Túnel — Um caminho direto entre o LAC e o LNS.

  • Sessão — Uma conexão PPP em um túnel.

Quando o roteador tiver estabelecido destinos, túneis e sessões, você poderá controlar o tráfego L2TP. Fazer uma mudança em um destino afeta todos os túneis e sessões para esse destino; Fazer uma alteração em um túnel afeta todas as sessões nesse túnel. Por exemplo, fechar um destino fecha todos os túneis e sessões para esse destino.

Sequência de eventos na ALC

O roteador que atua como LAC cria destinos, túneis e sessões dinamicamente, da seguinte forma:

  1. O cliente inicia uma conexão PPP com o roteador.

  2. O roteador e o cliente trocam pacotes do Protocolo de Controle de Enlaces (LCP). O LAC negocia em nome do LNS; isso é conhecido como proxy LCP.

  3. O LAC autentica o cliente em nome do LNS; Isso é conhecido como autenticação de proxy. Usando um banco de dados local relacionado ao nome de domínio ou a autenticação RADIUS, o roteador determina se deve encerrar ou fazer um túnel da conexão PPP.

  4. Se o roteador descobrir que deve fazer um túnel na sessão, ele fará o seguinte:

    1. Configura um novo destino ou seleciona um destino existente.

    2. Configura um novo túnel ou seleciona um túnel existente.

      Quando um segredo compartilhado é configurado no perfil do túnel ou no atributo RADIUS Tunnel-Password [69] — dependendo de qual método é usado para configurar o túnel — o segredo é usado para autenticar o túnel durante a fase de estabelecimento. O LAC inclui o AVP de desafio na mensagem SCCRQ enviada ao LNS. O LNS retorna o AVP de resposta ao desafio na mensagem SCCRP. Se a resposta do LNS não corresponder ao valor esperado pelo LAC, a autenticação do túnel falhará e o túnel não será estabelecido.

    3. Abre uma nova sessão.

  5. O roteador encaminha os resultados das negociações e da autenticação do LCP para o LNS.

Agora existe uma conexão PPP entre o cliente e o LNS.

Observação:

O roteador descarta os pacotes recebidos se o tamanho do campo de deslocamento opcional de comprimento variável no cabeçalho L2TP for muito grande. O roteador sempre oferece suporte a pacotes que têm um campo de pad de deslocamento de até 16 bytes e pode oferecer suporte a campos de pad de deslocamento maiores, dependendo de outras informações no cabeçalho. Essa restrição é uma causa possível, embora improvável, do descarte excessivo de pacotes L2TP.
Observação:

Quando o LAC encerra uma sessão de PPP, ele gera uma causa de desconexão de PPP e inclui essas informações no Código de Causa de Desconexão de PPP (AVP 46) quando envia uma mensagem de notificação de desconexão de chamada (CDN) ao LNS. O valor do código é 0, o que indica um erro global sem informações disponíveis.

Sequência de eventos no LNS

Um roteador que atua como um LNS pode ser configurado da seguinte maneira:

  1. O LAC inicia um túnel com o roteador atuando como LNS.

  2. O LNS verifica se um túnel com este LAC é válido: o destino está configurado, o nome de host e a senha do túnel estão corretos.

  3. O LNS conclui a configuração do túnel com o LAC.

  4. O LAC configura uma sessão e inicia uma solicitação de sessão para o LNS.

  5. O LNS usa uma interface estática ou cria uma interface dinâmica para ancorar a sessão PPP.

  6. Se eles estiverem habilitados e presentes, o LNS aceitará o LCP do proxy e os dados de autenticação do proxy e os passará para o PPP.

  7. O PPP processa o LCP de proxy, se estiver presente e, se o LCP de proxy for aceitável, coloca o LCP no LNS no estado aberto sem renegociação do LCP.

  8. O PPP processa os dados de autenticação de proxy, se estiverem presentes, e passa os dados para a AAA para verificação. (Se os dados não estiverem presentes, o PPP solicitará os dados do peer.)

    Observação:

    Quando o LCP proxy não está presente ou não é aceitável, o LNS negocia o LCP com o peer. Quando a renegociação do LCP é habilitada no LNS, o LNS ignora todos os parâmetros LCP pré-negociados e renegocia os parâmetros do LCP e a autenticação do PPP com o cliente PPP.

  9. O LNS passa os resultados da autenticação para o peer.

Retransmissão de mensagens de controle L2TP

Os peers L2TP mantêm uma fila de mensagens de controle que devem ser enviadas ao dispositivo peer. Depois que o peer local (LAC ou LNS) envia uma mensagem, ele aguarda uma resposta do peer remoto. Se uma resposta não for recebida, o peer local retransmite a mensagem. Esse comportamento permite que o peer remoto tenha mais tempo para responder à mensagem.

Você pode controlar o comportamento de retransmissão das duas maneiras a seguir:

  • Contagem de retransmissão — você pode configurar quantas vezes uma mensagem não confirmada é retransmitida pelo peer local. Aumentar a contagem oferece mais oportunidades para o peer remoto responder, mas também aumenta a quantidade de tráfego de controle. Para túneis que foram estabelecidos, inclua a retransmission-count-established declaração no nível da [edit services l2tp tunnel] hierarquia. Para túneis que ainda não foram estabelecidos, inclua a retransmission-count-not-established declaração.

  • Intervalo de retransmissão — você pode configurar quanto tempo o peer local aguarda pela primeira resposta a uma mensagem de controle. Se uma resposta não for recebida dentro do primeiro intervalo de tempo limite, o temporizador de retransmissão dobrará o intervalo entre cada retransmissão sucessiva até um máximo de 16 segundos. Aumentar o intervalo dá ao peer remoto mais tempo para responder, mas também gasta mais recursos em um peer potencialmente indisponível. Inclua a minimum-retransmission-interval instrução no nível da [edit services l2tp tunnel] hierarquia.

O peer local continua retransmitindo a mensagem de controle até que ocorra uma das seguintes situações:

  • Uma resposta é recebida dentro do período de espera atual.

  • A contagem máxima de retransmissão é atingida.

Se a contagem máxima for atingida e nenhuma resposta tiver sido recebida, o túnel e todas as suas sessões serão limpos.

Observação:

Atingir o intervalo máximo de 16 segundos não interrompe as retransmissões. O peer local continua a aguardar 16 segundos após cada retransmissão subsequente.

Os exemplos a seguir descrevem o comportamento de retransmissão em diferentes circunstâncias:

  • Exemplo 1 — A contagem de retransmissão é três e o intervalo mínimo de retransmissão é de 1 segundo.

    1. O peer local envia uma mensagem de controle.

    2. O peer local aguarda 1 segundo, mas não recebe resposta.

    3. O peer local retransmite a mensagem de controle. Esta é a primeira retransmissão.

    4. O peer local aguarda 2 segundos, mas recebe uma resposta antes que o intervalo expire.

    5. A retransmissão é interrompida porque uma resposta é recebida dentro do intervalo.

  • Exemplo 2 — A contagem de retransmissão é dois e o intervalo mínimo de retransmissão é de 8 segundos.

    1. O peer local envia uma mensagem de controle.

    2. O peer local aguarda 8 segundos, mas não recebe resposta.

    3. O peer local retransmite a mensagem de controle. Esta é a primeira retransmissão.

    4. O peer local aguarda 16 segundos, mas não recebe resposta.

    5. O peer local retransmite a mensagem de controle. Esta é a segunda retransmissão.

    6. O peer local aguarda novamente 16 segundos, porque o intervalo não pode aumentar além de 16, mas não recebe resposta.

    7. A retransmissão é interrompida porque a contagem máxima de retransmissão de dois foi atingida.

    8. O túnel e todas as suas sessões são limpos.

Configuração de atributos de retransmissão para mensagens de controle L2TP

Você pode controlar a retransmissão de mensagens de controle L2TP não confirmadas configurando quantas vezes o peer local retransmite a mensagem e quanto tempo ele espera por uma resposta antes da retransmissão.

Os peers L2TP mantêm uma fila de mensagens de controle que devem ser enviadas ao dispositivo peer. Depois que o peer local (LAC ou LNS) envia uma mensagem, ele aguarda uma resposta do peer remoto. Se uma resposta não for recebida dentro do intervalo mínimo de retransmissão, o peer local retransmite a mensagem e aguarda o dobro do intervalo de retransmissão. Cada vez que ele retransmite a mensagem, o peer dobra o tempo de espera, até um máximo de 16 segundos.

Se nenhuma resposta for recebida, o peer local continuará a enviar a mensagem até que o número de retransmissões corresponda à contagem de retransmissão. Nesse caso, as retransmissões são interrompidas e o túnel e todas as suas sessões são limpas.

Melhores práticas:

Antes de fazer o downgrade para uma versão do Junos OS que não oferece suporte a essas declarações, recomendamos que você desconfigure explicitamente o recurso incluindo a no retransmission-count-established declaração e a no retransmission-count-non-established declaração no [edit services l2tp tunnel] nível da hierarquia.
Melhores práticas:

Durante uma atualização unificada de software em serviço (ISSU unificado) em um roteador da Série MX configurado como LAC, o LAC não responde às mensagens de controle do LNS. Isso pode resultar na queda de sessões L2TP do LAC. Você pode evitar essa situação garantindo que a contagem máxima de retransmissão no LNS seja definida como 16 ou superior.

Para definir a contagem máxima de retransmissão para túneis estabelecidos:

  • Configure a contagem.

Para definir a contagem máxima de retransmissão para túneis não estabelecidos:

  • Configure a contagem.

Para definir o intervalo mínimo entre as retransmissões:

  • Configure o intervalo.

Por exemplo, a configuração a seguir especifica que os túneis estabelecidos têm uma contagem máxima de retransmissão de três e um intervalo mínimo de retransmissão de dois segundos:

Com essa configuração de exemplo, a seguinte sequência se aplica a cada mensagem de controle enviada pelo LAC ou LNS:

  1. O peer local envia a mensagem de controle e aguarda uma resposta do peer remoto.
  2. Se a resposta não for recebida dentro do intervalo mínimo de 2 segundos, o peer local retransmite a mensagem. Esta é a primeira retransmissão.
  3. Se a resposta não for recebida em 4 segundos, o peer local retransmite a mensagem. Esta é a segunda retransmissão.
  4. Se a resposta não for recebida em 8 segundos, o peer local retransmite a mensagem. Esta é a terceira e última retransmissão, porque a contagem máxima foi atingida.
  5. Se a resposta não for recebida em 16 segundos, o túnel e todas as suas sessões serão limpos.

Habilitando contadores globais e de túnel para coleta de estatísticas SNMP

Por padrão, a sondagem SNMP está desabilitada para estatísticas L2TP. Como consequência, o túnel L2TP e os contadores globais listados na Tabela 2 têm um valor padrão de zero.

Tabela 2: Contadores SNMP para estatísticas L2TP

Nome do contador

Digite

jnxL2tpTunnelStatsDataTxPkts

Túnel

jnxL2tpTunnelStatsDataRxPkts

Túnel

jnxL2tpTunnelStatsDataTxBytes

túnel

jnxL2tpTunnelStatsDataRxBytes

Túnel

jnxL2tpStatsPayloadRxOctets

Globais

jnxL2tpStatsPayloadRxPkts

Globais

jnxL2tpStatsPayloadTxOctets

Globais

jnxL2tpStatsPayloadTxPkts

Globais

Você pode habilitar a coleta dessas estatísticas incluindo a enable-snmp-tunnel-statistics instrução no nível da [edit services l2tp] hierarquia. Quando habilitado, o processo L2TP pesquisa essas estatísticas a cada 30 segundos para 1000 sessões. A idade potencial das estatísticas aumenta com o número de sessões de assinante; Os dados são atualizados mais rapidamente à medida que o número de sessões diminui. Por exemplo, com 60.000 sessões, nenhuma dessas estatísticas pode ter mais de 30 minutos.

Melhores práticas:

A carga do sistema pode aumentar quando você habilita esses contadores e também usa atualizações contábeis provisórias do RADIUS. Recomendamos que você habilite esses contadores quando estiver usando apenas estatísticas SNMP.

Para habilitar a coleta de estatísticas L2TP para SNMP:

  • Habilite a coleta de estatísticas.

Verificando e gerenciando L2TP para acesso ao assinante

Finalidade

Visualize ou limpe informações sobre túneis e sessões L2TP.

Melhores práticas:

A all opção não se destina a ser usada como um meio de executar um logout em massa de assinantes L2TP. Recomendamos que você não use a all opção com as clear services l2tp destinationinstruções , clear services l2tp sessionou clear services l2tp tunnel em um ambiente de produção. Em vez de limpar todos os assinantes de uma vez, considere limpar os assinantes em um grupo menor, com base na interface, no túnel ou no ponto de extremidade de destino.

Ação

  • Para exibir um resumo de túneis L2TP, sessões, erros e pacotes de controle e dados:

  • Para exibir os destinos L2TP:

  • Para limpar todos os destinos L2TP:

  • Para limpar as estatísticas de todos os túneis L2TP pertencentes a um destino, túneis pertencentes a um endereço de gateway local especificado e túneis pertencentes a um endereço de gateway peer especificado:

  • Para exibir as sessões L2TP:

  • Para limpar todas as sessões L2TP, a sessão com um ID de sessão local especificado ou sessões associadas ao gateway local especificado por um endereço IP ou nome:

  • Para limpar as estatísticas de todas as sessões L2TP, a sessão com um ID de sessão local especificado ou sessões associadas ao gateway local especificado por um endereço IP ou nome:

  • Para exibir os túneis L2TP:

  • Para limpar todos os túneis L2TP, o túnel com uma ID de túnel local especificada ou túneis associados ao gateway local especificado por um endereço IP ou nome:

  • Para limpar as estatísticas de todos os túneis L2TP, o túnel com um ID de túnel local especificado ou túneis associados ao gateway local especificado por um endereço IP ou nome:

Documentação relacionada