Visão geral do L2TP para assinantes
Visão geral do L2TP para assinantes
O protocolo de tunelamento de camada 2 (L2TP) é um protocolo de servidor do cliente que permite que o protocolo ponto a ponto (PPP) seja tunelado em uma rede. O L2TP encapsula pacotes de Camada 2, como PPP, para transmissão em uma rede. Um concentrador de acesso L2TP (LAC), configurado em um dispositivo de acesso, recebe pacotes de um cliente remoto e os encaminha para um servidor de rede L2TP (LNS) em uma rede remota. O LNS funciona como o ponto de terminação lógica da sessão de PPP tunelada pelo LAC a partir do cliente remoto. A Figura 1 mostra uma topologia L2TP simples.
L2TP típica
A L2TP separa o término de tecnologias de acesso, como cabo ou xDSL, da rescisão do PPP e posterior acesso a uma rede. Essa separação permite que os ISPs públicos tenham terceirizado suas tecnologias de acesso para operadoras de intercâmbio locais (CLECs) competitivas. O L2TP oferece aos ISPs a capacidade de fornecer serviços VPN; as empresas privadas podem reduzir ou evitar o investimento em tecnologias de acesso para trabalhadores remotos.
Você pode configurar seu roteador para agir como o LAC no modo de passagem de PPP no qual o LAC recebe pacotes de um cliente remoto e depois os encaminha na Camada 2 diretamente para a LNS. A sessão de PPP foi terminada no LNS. Essa implementação LAC oferece suporte apenas aos assinantes do protocolo ponto a ponto sobre ethernet (PPPoE) em interfaces lógicas dinâmicas ou estáticas. A Figura 2 mostra o empilhamento de camada de protocolo para uma conexão de passagem L2TP.
de passagem
Nos roteadores da Série MX, as funções LAC e LNS são suportadas apenas em MPCs; eles não são suportados em nenhum serviço PIC ou MS-DPC. Para obter mais informações sobre o suporte de MPC para L2TP, veja a referência do módulo de interface da Série MX
Certos roteadores da Série M oferecem suporte a funções LNS em PICs de serviços. Para obter mais informações sobre a implementação de L2TP em roteadores da Série M, veja a visão geral da configuração de serviços L2TP.
O LAC cria túneis dinamicamente com base em parâmetros de autenticação AAA e transmite pacotes L2TP para a LNS por meio do protocolo de datagram IP/usuário (UDP). O tráfego viaja em um L2TP session; um túnel é uma agregação de uma ou mais sessões. Você também pode provisionar um mapa de domínio que é usado pela AAA para determinar se deve tunelar ou encerrar o assinante PPPoE no LAC. Existe um mapeamento de um a um entre cada assinante PPP em tunelamento para a LNS e uma sessão L2TP.
Quando o LNS é um roteador da Série MX, uma interface de peer voltada para LAC em um MPC fornece um endereço IP para a troca de pacotes IP entre os endpoints do túnel; o mecanismo de roteamento mantém os túneis L2TP. O Mecanismo de encaminhamento de pacotes hospeda uma ou mais interfaces de serviços (siem linha). Essas interfaces funcionam como uma interface física virtual e ancoram as sessões L2TP no LNS. A si interface permite serviços L2TP sem exigir um PIC de serviços especiais. Por fim, outra interface é usada para transmitir dados do assinante de e para a Internet.
As características do túnel podem se originar a partir de um perfil de túnel que você configura ou a partir de atributos de túnel RADIUS e atributos específicos do fornecedor (VSAs) do servidor AAA acessível no LAC. Você pode incluir um perfil de túnel em um mapa de domínio, que aplica o perfil do túnel antes que a autenticação RADIUS ocorra. Você pode usar atributos padrão RADIUS e VSAs para substituir qualquer ou todas as características configuradas pelo perfil do túnel em um mapa de domínio. Como alternativa, o RADIUS pode aplicar um perfil de túnel quando o RADIUS Tunnel-Group VSA [26-64] é especificado no login RADIUS.
O L2TP não é suportado em túneis GRE.
O Virtual-Router VSA [26-1] no perfil de assinante no servidor AAA do provedor de serviços (acessível a partir da LNS) determina a instância de roteamento na qual a sessão L2TP é trazida à LNS. Quando este VSA não está presente, a sessão de assinantes surge na mesma instância de roteamento que o túnel, porque o servidor AAA só pode ser acessado a partir da instância de roteamento em que o túnel termina no LNS.
Esse comportamento é diferente do que para assinantes DEP e PPPoE não tunelados, que surgem na instância de roteamento padrão na ausência do Virtual-Router VSA. Para assinantes L2TP, você deve incluir esse VSA no perfil do assinante quando quiser que a sessão do assinante seja criada em uma instância de roteamento diferente da instância de roteamento de túnel.
A partir da versão 17.4R1 do Junos OS, a LNS inclui os seguintes atributos RADIUS quando envia uma mensagem de solicitação de acesso ao servidor RADIUS:
Tipo de túnel (64)
Tipo médio de túnel (65)
Endpoint do cliente do túnel (66)
Endpoint de servidor de túnel (67)
Conexão de túnel acct (68)
Id de atribuição de túnel (82)
Tunnel-Client-Auth-Id (90)
Tunnel-Server-Auth-Id (91)
Em versões anteriores, o LNS inclui esses atributos apenas nos registros contábeis que envia para o servidor RADIUS. Nas mensagens de solicitação de acesso, elas podem ser usadas para correlacionar no servidor RADIUS a sessão do LAC para o LNS.
O LAC oferece suporte ao espelhamento iniciado pelo RADIUS, que cria políticas seguras com base em certos VSAs RADIUS e usa atributos RADIUS para identificar um assinante cujo tráfego deve ser espelhado. (Este recurso não é suportado para uma LNS configurada em um roteador da Série MX.)
O LAC e o LNS oferecem suporte a ISSU unificada. Quando uma atualização é iniciada, o LAC conclui quaisquer negociações L2TP que estejam em andamento, mas rejeita qualquer nova negociação até que a atualização seja concluída. Nenhum novo túnel ou sessões são estabelecidos durante a atualização. Os logotipos dos assinantes são registrados durante a atualização e são concluídos após a conclusão da atualização.
L2TP, Exorcista
A Tabela 1 descreve os termos básicos para L2TP.
Termo |
Descrição |
|---|---|
AVP |
Par de valor de atributo (AVP) — Combinação de um atributo único — representado por um inteiro — e um valor que contém o valor real identificado pelo atributo. |
Chamar |
Uma conexão (ou tentativa de conexão) entre um sistema remoto e o LAC. |
LAC |
Concentrador de acesso L2TP (LAC)— um nó que atua como um lado de um endpoint de túnel L2TP e é um peer para a LNS. O LAC fica entre um LNS e um sistema remoto e encaminha pacotes de e para cada um. |
LNS |
Servidor de rede L2TP (LNS)— um nó que atua como um lado de um endpoint de túnel L2TP e é um peer para o LAC. O LNS é o ponto de terminação lógica de uma conexão PPP que está sendo tunelada do sistema remoto pelo LAC. |
Peer |
No contexto L2TP, seja o LAC ou o LNS. O peer do LAC é um LNS, e vice-versa. |
Autenticação por proxy |
Pré-autenticação de PPP realizada pelo LAC em nome da LNS. Os dados de proxy são enviados pelo LAC para a LNS contendo atributos como tipo de autenticação, nome de autenticação e desafio de autenticação. O LNS responde com os resultados da autenticação. |
Proxy LCP |
Negociação do Link Control Protocol (LCP) realizada pelo LAC em nome da LNS. O proxy é enviado pelo LAC para a LNS contendo atributos como os últimos atributos de configuração enviados e recebidos do cliente. |
Sistema remoto |
Um sistema final ou roteador conectado a uma rede de acesso remoto, que é o iniciador ou o destinatário de uma chamada. |
Sessão |
Uma conexão lógica criada entre o LAC e o LNS quando uma conexão PPP de ponta a ponta é estabelecida entre um sistema remoto e o LNS.
Nota:
Há uma relação de um a um entre sessões L2TP estabelecidas e suas conexões PPP associadas. |
Túnel |
Uma conexão entre o par LAC-LNS consiste em uma conexão de controle e 0 ou mais sessões L2TP. |
Implementação de L2TP
O L2TP é implementado em quatro níveis:
Fonte — o roteador local atuando como LAC.
Destino — o roteador remoto atuando como LNS.
Túnel — um caminho direto entre o LAC e o LNS.
Sessão — uma conexão PPP em um túnel.
Quando o roteador tiver destinos, túneis e sessões estabelecidos, você pode controlar o tráfego L2TP. Fazer uma mudança para um destino afeta todos os túneis e sessões para esse destino; fazer uma mudança para um túnel afeta todas as sessões nesse túnel. Por exemplo, fechar um destino fecha todos os túneis e sessões para esse destino.
Sequência de eventos no LAC
O roteador que atua como LAC cria destinos, túneis e sessões dinamicamente, da seguinte forma:
O cliente inicia uma conexão PPP com o roteador.
O roteador e os pacotes de protocolo de controle de enlaces de troca de clientes (LCP). O LAC negocia em nome da LNS; isso é conhecido como LCP proxy.
O LAC autentica o cliente em nome da LNS; isso é conhecido como autenticação por proxy. Ao usar um banco de dados local relacionado ao nome do domínio ou à autenticação RADIUS, o roteador determina o término ou o túnel da conexão PPP.
Se o roteador descobrir que deve tunelar a sessão, ele faz o seguinte:
Configure um novo destino ou selecione um destino existente.
Configure um novo túnel ou selecione um túnel existente.
Quando um segredo compartilhado é configurado no perfil do túnel ou no atributo RADIUS Tunnel-Password [69] — dependendo de qual método é usado para configurar o túnel — o segredo é usado para autenticar o túnel durante a fase de estabelecimento. O LAC inclui o Desafio AVP na mensagem SCCRQ enviada à LNS. A LNS retorna o AVP de resposta ao desafio na mensagem SCCRP. Se a resposta do LNS não corresponder ao valor esperado pelo LAC, a autenticação do túnel falhará e o túnel não estiver estabelecido.
Abre uma nova sessão.
O roteador encaminha os resultados das negociações e autenticação do LCP para a LNS.
Agora existe uma conexão PPP entre o cliente e o LNS.
O roteador descarta os pacotes recebidos se o tamanho do campo de offset pad opcional de comprimento variável no cabeçalho L2TP for muito grande. O roteador sempre oferece suporte a pacotes que têm um campo de offset pad de até 16 bytes, e pode suportar campos de offset pad maiores, dependendo de outras informações no cabeçalho. Essa restrição é uma causa possível, embora improvável, de descarte excessivo de pacotes L2TP.
Quando o LAC encerra uma sessão de PPP, ele gera uma causa de desconexão de PPP e inclui essas informações no Código de Causa de Desconexão de PPP (AVP 46) quando envia uma mensagem de aviso de desconexão de chamadas (CDN) para a LNS. O valor do código é 0, o que indica um erro global sem informações disponíveis.
Sequência de eventos no LNS
Um roteador atuando como um LNS pode ser configurado da seguinte forma:
O LAC inicia um túnel com o roteador atuando como LNS.
A LNS verifica se um túnel com este LAC é válido: o destino está configurado, o nome de host e a senha do túnel estão corretos.
A LNS completa a configuração do túnel com o LAC.
O LAC configura uma sessão e inicia uma solicitação de sessão à LNS.
O LNS usa uma interface estática ou cria uma interface dinâmica para ancorar a sessão de PPP.
Se eles estiverem habilitados e presentes, o LNS aceita o LCP proxy e os dados de autenticação por proxy e os passa para PPP.
O PPP processa o LCP proxy, se estiver presente e, se o LCP proxy for aceitável, coloca o LCP no LNS em estado aberto sem renegociação do LCP.
O PPP processa os dados de autenticação de proxy, se estiverem presentes, e passa os dados para a AAA para verificação. (Se os dados não estiverem presentes, o PPP solicita os dados do peer.)
Nota:Quando o LCP proxy não está presente ou não é aceitável, o LNS negocia o LCP com o peer. Quando a renegociação do LCP é habilitada no LNS, a LNS ignora quaisquer parâmetros de LCP pré-negociados e renega tanto os parâmetros de LCP quanto a autenticação de PPP com o cliente PPP.
A LNS passa os resultados de autenticação para o peer.
Retransmissão de mensagens de controle L2TP
Os pares L2TP mantêm uma fila de mensagens de controle que devem ser enviadas ao dispositivo peer. Após o peer local (LAC ou LNS) enviar uma mensagem, ele aguarda uma resposta do peer remoto. Se uma resposta não for recebida, o peer local retransmite a mensagem. Esse comportamento permite ao peer remoto mais tempo para responder à mensagem.
Você pode controlar o comportamento de retransmissão das seguintes duas maneiras:
Contagem de retransmissões — você pode configurar quantas vezes uma mensagem não reconhecida é retransmitida pelo peer local. Aumentar a contagem oferece mais oportunidades para o peer remoto responder, mas também aumenta a quantidade de tráfego de controle. Para túneis que foram estabelecidos, inclua a
retransmission-count-establisheddeclaração no nível de[edit services l2tp tunnel]hierarquia. Para túneis que ainda não estão estabelecidos, inclua aretransmission-count-not-establisheddeclaração.Intervalo de retransmissão — você pode configurar quanto tempo o peer local espera pela primeira resposta a uma mensagem de controle. Se uma resposta não for recebida no primeiro intervalo de intervalo, o temporizante de retransmissão dobra o intervalo entre cada retransmissão sucessiva até um máximo de 16 segundos. Aumentar o intervalo dá ao peer remoto mais tempo para responder, mas também gasta mais recursos em um peer potencialmente indisponível. Inclua a
minimum-retransmission-intervaldeclaração no nível hierárquica[edit services l2tp tunnel].
O peer local continua transmitindo novamente a mensagem de controle até que um dos seguintes ocorra:
Uma resposta é recebida dentro do período de espera atual.
A contagem máxima de retransmissão é alcançada.
Se a contagem máxima for alcançada e nenhuma resposta tiver sido recebida, o túnel e todas as suas sessões serão liberados.
Alcançar o intervalo máximo de 16 segundos não interrompe as retransmissões. O peer local continua a esperar 16 segundos após cada retransmissão subsequente.
Os exemplos a seguir descrevem o comportamento de retransmissão em diferentes circunstâncias:
Exemplo 1 — A contagem de retransmissões é de três e o intervalo mínimo de retransmissão é de 1 segundo.
O peer local envia uma mensagem de controle.
O peer local espera 1 segundo, mas não recebe resposta.
O peer local retransmite a mensagem de controle. Esta é a primeira retransmissão.
O peer local espera 2 segundos, mas recebe uma resposta antes do intervalo expirar.
A retransmissão para porque uma resposta é recebida no intervalo.
Exemplo 2 — A contagem de retransmissão é de dois e o intervalo mínimo de retransmissão é de 8 segundos.
O peer local envia uma mensagem de controle.
O peer local espera 8 segundos, mas não recebe resposta.
O peer local retransmite a mensagem de controle. Esta é a primeira retransmissão.
O peer local espera 16 segundos, mas não recebe resposta.
O peer local retransmite a mensagem de controle. Esta é a segunda retransmissão.
O peer local novamente espera 16 segundos, porque o intervalo não pode aumentar além de 16, mas não recebe resposta.
A retransmissão para porque a contagem máxima de retransmissão de dois foi alcançada.
O túnel e todas as suas sessões estão liberados.
Configuração de atributos de retransmissão para mensagens de controle L2TP
Você pode controlar a retransmissão de mensagens de controle L2TP não reconhecidas configurando quantas vezes o peer local retransmite a mensagem e quanto tempo espera por uma resposta antes da retransmissão.
Os pares L2TP mantêm uma fila de mensagens de controle que devem ser enviadas ao dispositivo peer. Após o peer local (LAC ou LNS) enviar uma mensagem, ele aguarda uma resposta do peer remoto. Se uma resposta não for recebida no intervalo mínimo de retransmissão, o peer local retransmite a mensagem e aguarda o dobro do intervalo de retransmissão. Cada vez que ele retransmite a mensagem, o peer dobra o tempo que espera, até um máximo de 16 segundos.
Se nenhuma resposta for recebida, o peer local continua a enviar a mensagem até que o número de retransmissões corresponda à contagem de retransmissões. Neste caso, as retransmissões param e o túnel e todas as suas sessões estão liberadas.
Antes de rebaixar para uma versão do Junos OS que não oferece suporte a essas declarações, recomendamos que você desconfigre explicitamente o recurso, incluindo a no retransmission-count-established declaração e a no retransmission-count-non-established declaração no nível hierárquico [edit services l2tp tunnel] .
Durante uma atualização unificada de software em serviço (ISSU unificada) em um roteador da Série MX configurado como LAC, o LAC não responde às mensagens de controle da LNS. Isso pode resultar na queda das sessões L2TP de LAC. Você pode evitar essa situação garantindo que a contagem máxima de retransmissão no LNS seja definida para 16 ou mais.
Para definir a contagem máxima de retransmissão para túneis estabelecidos:
Configure a contagem.
[edit services l2tp tunnel] user@host# set retransmission-count-established count
Para definir a contagem máxima de retransmissão para túneis não estabelecidos:
Configure a contagem.
[edit services l2tp tunnel] user@host# set retransmission-count-not-established count
Para definir o intervalo mínimo entre retransmissões:
Configure o intervalo.
[edit services l2tp tunnel] user@host# set minimum-retransmission-timeout seconds
Por exemplo, a configuração a seguir especifica que os túneis estabelecidos têm uma contagem máxima de retransmissão de três e um intervalo mínimo de retransmissão de dois segundos:
[edit services l2tp tunnel] user@host# set retransmission-count-established 3 user@host# set minimum-retransmission-timeout 2
Com esta configuração de amostra, a sequência a seguir se aplica a cada mensagem de controle enviada pelo LAC ou LNS:
- O peer local envia a mensagem de controle e aguarda uma resposta do peer remoto.
- Se a resposta não for recebida no intervalo mínimo de 2 segundos, o peer local retransmite a mensagem. Esta é a primeira retransmissão.
- Se a resposta não for recebida dentro de 4 segundos, o peer local retransmite a mensagem. Esta é a segunda retransmissão.
- Se a resposta não for recebida dentro de 8 segundos, o peer local retransmite a mensagem. Esta é a terceira e última retransmissão, porque a contagem máxima foi alcançada.
- Se a resposta não for recebida dentro de 16 segundos, o túnel e todas as suas sessões serão liberados.
Capacitação de contadores globais e de túneis para a coleta de estatísticas de SNMP
Por padrão, a votação de SNMP é desativada para estatísticas L2TP. Como conseqüência, o túnel L2TP e os contadores globais listados na Tabela 2 têm um valor padrão de zero.
Nome do contador |
Tipo |
|---|---|
jnxL2tpTunnelStatsDataTxPkts |
Túnel |
jnxL2tpTunnelStatsDataRxPkts |
Túnel |
jnxL2tpTunnelStatsDataTxBytes |
Túnel |
jnxL2tpTunnelStatsDataRxBytes |
Túnel |
jnxL2tpStatsPayloadRxOctets |
Global |
jnxL2tpStatsPayloadRxPkts |
Global |
jnxL2tpStatsPayloadTxOctets |
Global |
jnxL2tpStatsPayloadTxPkts |
Global |
Você pode habilitar a coleta dessas estatísticas incluindo a enable-snmp-tunnel-statistics declaração no nível de [edit services l2tp] hierarquia. Quando habilitados, as pesquisas de processo L2TP para essas estatísticas a cada 30 segundos para 1000 sessões. A idade potencial das estatísticas aumenta com o número de sessões de assinantes; os dados são atualizados mais rapidamente à medida que o número de sessões diminui. Por exemplo, com 60.000 sessões, nenhuma dessas estatísticas pode ter mais de 30 minutos.
A carga do sistema pode aumentar quando você habilita esses contadores e também usar atualizações de contabilidade provisórias RADIUS. Recomendamos que você habilite esses contadores quando estiver usando apenas estatísticas de SNMP.
Para habilitar a coleta de estatísticas L2TP para SNMP:
Habilite a coleta de estatísticas.
[edit services l2tp] user@host1# set enable-snmp-tunnel-statistics
Verificação e gerenciamento de L2TP para acesso ao assinante
Propósito
Visualizar ou informações claras sobre túneis e sessões L2TP.
A opção all não se destina a ser usada como um meio de realizar um logout em massa de assinantes L2TP. Recomendamos que você não use a opção all com as clear services l2tp destinationdeclarações clear services l2tp sessionou clear services l2tp tunnel declarações em um ambiente de produção. Em vez de limpar todos os assinantes de uma só vez, considere limpar assinantes em um grupo menor, com base em interface, túnel ou ponto final de destino.
Ação
Para exibir um resumo de túneis L2TP, sessões, erros e pacotes de controle e dados:
user@host> show services l2tp summary
Para exibir os destinos L2TP:
user@host> show services l2tp destination
Para limpar todos os destinos L2TP:
user@host> clear services l2tp destination all
Para limpar estatísticas de todos os túneis L2TP pertencentes a um destino, túneis pertencentes a um endereço de gateway local especificado e túneis pertencentes a um endereço peer-gateway especificado:
user@host>clear services l2tp destination statistics all user@host>clear services l2tp destination local-gateway 203.0.113.2
Para exibir as sessões L2TP:
user@host> show services l2tp session
Para limpar todas as sessões de L2TP, a sessão com uma ID de sessão local especificada ou sessões associadas ao gateway local especificado por um endereço IP ou nome:
user@host>clear services l2tp session all user@host>clear services l2tp session local-session-id 40553 user@host>clear services l2tp session local-gateway 203.0.113.2 user@host>clear services l2tp session local-gateway-name lns-mx960
Para limpar estatísticas de todas as sessões L2TP, a sessão com um ID de sessão local especificado ou sessões associadas ao gateway local especificado por um endereço IP ou nome:
user@host>clear services l2tp session statistics all user@host>clear services l2tp session statistics local-session-id 17967 user@host>clear services l2tp session statistics local-gateway 203.0.113.2 user@host>clear services l2tp session statistics local-gateway-name lns-mx960
Para exibir os túneis L2TP:
user@host> show services l2tp tunnel
Para limpar todos os túneis L2TP, o túnel com uma ID de túnel local especificada ou túneis associados ao gateway local especificado por um endereço ip ou nome:
user@host> clear services l2tp tunnel all user@host>clear services l2tp tunnel local-tunnel-id 40553 user@host>clear services l2tp tunnel local-gateway 203.0.113.2 user@host>clear services l2tp tunnel local-gateway-name lns-mx960
Para limpar estatísticas de todos os túneis L2TP, o túnel com uma ID de túnel local especificada ou túneis associados ao gateway local especificado por um endereço IP ou nome:
user@host> clear services l2tp tunnel statistics all user@host>clear services l2tp tunnel statistics local-tunnel-id 40553 user@host>clear services l2tp tunnel statistics local-gateway 203.0.113.2 user@host>clear services l2tp tunnel statistics local-gateway-name lns-mx960