Comutação de túnel L2TP para redes de vários domínios
Visão geral da comutação de túneis L2TP
A comutação de túnel L2TP, também conhecida como multihop L2TP, simplifica a implantação de uma rede L2TP em vários domínios. Um roteador que fica entre um LAC e um LNS é configurado como um switch de túnel L2TP (LTS) — às vezes referido simplesmente como um switch de túnel ou um agregador de comutação de túnel (TSA) — como mostrado na Figura 1. O LTS está configurado como um LNS e um LAC. Quando um LAC remoto envia pacotes PPP encapsulados para as LNS configurados no LTS, o LTS pode encaminhar ou redirecionar os pacotes por um túnel diferente para um LNS diferente além do LTS. O ponto de terminação lógica da sessão L2TP original é trocado para um endpoint diferente.
Por exemplo, na rede mostrada na Figura 1, os pacotes do assinante provisionado pelo provedor de serviços A são inicialmente direcionados para as LNS configuradas no LTS. O LTS pode redirecionar esses pacotes para LNS1.
A comutação de túnel L2TP simplifica a configuração da rede quando o domínio administrativo de um LAC é diferente do LNS desejado. Por exemplo:
O LTS atua como LNS para vários LACs. Os LACs individuais não precisam ter o controle ou a capacidade administrativa necessários para identificar as LNS mais apropriadas para encerrar suas sessões. O LTS executa essa função centralizada no LTS.
O LTS atua como LAC para vários LNSs. Quando um novo LAC remoto é adicionado à rede de um ISP, o ISP não precisa reconfigurar seus roteadores LNS para acomodar o novo LAC, porque eles se conectam ao LAC no LTS.
Em uma rede de atacado de Camada 2, o atacadista pode usar a comutação de túnel L2TP para criar uma configuração de rede mais fácil de gerenciar. O atacadista empacota sessões de Camada 2 de um LAC destinados a diferentes ISPs — e, portanto, LNSs diferentes — em um único túnel L2TP. Essa configuração permite que uma conexão de controle L2TP comum seja usada para o LAC.
A Figura 2 mostra um exemplo de comutação de túnel L2TP para chamadas de entrada com a seguinte sequência de eventos:
O assinante abre uma sessão de PPP para o LAC.
O LAC cria o primeiro túnel L2TP para a LNS configurado no LTS e a primeira sessão L2TP para transportar os pacotes PPP encapsulados.
Durante a autenticação desta primeira sessão, o LTS determina se deve retúne a sessão para uma LNS além do LTS, com base na presença ou ausência de um perfil de switch de túnel configurado no LTS.
O perfil do switch de túnel pode ser um perfil padrão ou pode ser aplicado pelo servidor RADIUS, uma configuração de mapa de domínio ou uma configuração de grupo de túnel.
Se um perfil de switch de túnel estiver configurado, o LTS cria um segundo túnel (se ainda não existir) para o LNS além do LTS conforme especificado no perfil e cria a segunda sessão neste túnel.
Aplicação de perfis de switches de túnel
Você pode configurar um perfil de switch de túnel a ser aplicado de várias maneiras:
Como um perfil padrão aplicado globalmente ao tráfego recebido de todos os LACs
Com um mapa de domínio aplicado a uma sessão de assinantes
Com um grupo de túneis aplicado a uma sessão de assinantes
Em sua configuração de servidor RADIUS, devolvido no Tunnel Switch-Profile VSA (26-91)
Você pode configurar mais do que um desses métodos de aplicação. Quando vários perfis de switches de túnel estão presentes, a seguinte ordem de precedência estabelece qual perfil o LTS usa; a ordem vai do mais alto (RADIUS) ao menor (perfil padrão):
Mapa de domínio do RADIUS VSA 26-91 > > grupo de túneis > perfil global do switch de túnel
O perfil do switch de túnel também deve fazer referência a um perfil de túnel. Este perfil de túnel especifica as características do segundo túnel, para o qual os pacotes de assinantes são trocados.
Terminação de sessões comutada por túnel no LTS
As sessões comutada por túnel são terminadas na LTS quando qualquer uma das seguintes acontece:
A interface LAC ou LNS no LTS recebe uma mensagem de call-disconnect-notify (CDN) (Tabela 1).
Tabela 1: Causa da mensagem da CDN Mensagem da CDN é recebida em
Quando
Interface LAC
Qualquer um dos seguintes ocorre:
A segunda sessão não pode ser estabelecida.
O LNS remoto encerra a segunda sessão.
Interface LNS
Qualquer um dos seguintes ocorre:
O cliente PPPoE inicia um logout.
O LAC de origem inicia o término do túnel
Tanto a primeira quanto a segunda sessões são terminadas porque o LTS transmite o CDN para a interface que não recebeu o CDN. A causa de desconexão é a mesma para ambas as sessões.
A interface LAC ou LNS no LTS recebe uma mensagem stop-control-connection-notification (StopCCN) (Tabela 2).
Tabela 2: Causa da mensagem stopCCN A mensagem stopCCN é recebida em
Quando
Interface LAC
Qualquer um dos seguintes ocorre:
A segunda sessão não pode ser estabelecida.
A LNS remota termina o segundo túnel.
Interface LNS
O LAC de origem inicia o término do túnel.
O LTS não transmite a mensagem StopCCN, porque um determinado túnel pode conter sessões comutada e não enfeitiçada. Outro motivo em um cenário de atacado é que o túnel que termina no LNS no LTS pode conter sessões de LACs de diferentes provedores. Em vez disso, o LTS envia uma mensagem CDN para a interface que não recebeu o StopCCN para encerrar a sessão comutada por túnel. Esta CDN transmite o código de erro transportado no StopCCN.
Um comando administrativo
clearé emitido na LTS.
A Tabela 3 lista as ações tomadas quando um comando administrativo clear é emitido na LTS.
Comando |
Ação de LAC ou LNS |
Ação LTS |
|---|---|---|
|
Libere o destino e todos os túneis e sessões associados. |
Para cada sessão comutada em um túnel para o destino, limpe a sessão de comutada mapeada correspondente enviando-lhe uma mensagem CDN com a causa definida para Administrativa. |
|
Libere todos os destinos e todos os túneis e sessões associados. |
Nenhum. |
|
Libere a sessão. |
Libere a sessão comutada mapeada correspondente para esta sessão enviando-lhe uma mensagem CDN com a causa definida para Administrativo. |
|
Libere todas as sessões. |
Nenhum. |
|
Limpe o túnel e todas as suas sessões. |
Para cada sessão comutada no túnel, limpe a sessão comutada mapeada correspondente enviando-lhe uma mensagem CDN com a causa definida para Administrativa. |
|
Limpe todos os túneis. |
Nenhum. |
Ações de comutação de túneis para AVPs L2TP no limite de comutação
Quando a comutação de túnel L2TP redireciona pacotes para uma LNS diferente, ela executa uma das seguintes ações padrão no limite de comutação para cada AVP realizada nas mensagens L2TP:
relay— A L2TP encaminha de forma transparente a AVP no pacote comutada sem alterações.regenerate— A L2TP ignora a AVP recebida que foi negociada pelo primeiro túnel e sessão. Ele gera um novo AVP para a segunda sessão com base na política local da LTS e envia este AVP no pacote comutada. A política local pode ou não usar o valor para o AVP recebido durante a negociação para a primeira sessão.
A Tabela 4 lista a ação padrão para cada AVP. Os AVPs obrigatórios são sempre incluídos nas mensagens L2TP do LAC; AVPs opcionais podem ser incluídos nas mensagens.
Você pode substituir opcionalmente as ações padrão tomadas no limite de comutação para o Bearer Type AVP (18), Calling Number AVP (22) ou Cisco NAS Port Info AVP (100). Você pode configurar qualquer um desses três AVPs a serem retirados dos pacotes comutados ou regenerados, ou você pode restaurar a ação padrão de retransmissão.
Os AVPs L2TP que têm seus valores de atributo ocultos são sempre regenerados no limite de comutação. O valor é decodificado e enviado em texto claro quando o pacote é encaminhado para o LNS remoto.
Nome (número) de AVP |
Tipo de AVP |
Tipo de mensagem L2TP |
Ação padrão |
|---|---|---|---|
Id de sessão atribuída (14) |
Obrigatório |
CDN, ICRQ |
Regenerar |
Id de túnel atribuído (9) |
Obrigatório |
SCCRQ |
Regenerar |
Recursos de portador (4) |
Opcional |
SCCRQ |
Regenerar |
Tipo de portador (18) |
Opcional |
ICRQ |
Retransmitir |
Chamada de número de série (15) |
Obrigatório |
ICRQ |
Retransmitir |
Chamado de número (21) |
Opcional |
ICRQ |
Retransmitir |
Número de ligação (22) |
Opcional |
ICRQ |
Retransmitir |
Desafio (11) |
Opcional |
SCCRQ |
Regenerar |
Resposta ao desafio (13) |
Opcional |
SCCCN |
Regenerar |
Porta Cisco NAS |
Opcional |
ICRQ |
Retransmitir |
Recursos de failover |
Opcional |
SCCRQ |
Regenerar |
Revisão de firmware (6) |
Opcional |
SCCRQ |
Regenerar |
Recursos de estruturação (3) |
Obrigatório |
SCCRQ |
Regenerar |
Tipo de enquadramento (19) |
Obrigatório |
ICCN |
Retransmitir |
Nome do host (7) |
Obrigatório |
SCCRQ |
Regenerar |
LCP CONFREQ recebida inicial (26) |
Opcional |
ICCN |
Retransmitir Quando a renegociação do LCP é habilitada com a |
LCP CONFREQ (28) recebido pela última vez |
Opcional |
ICCN |
Retransmitir Quando a renegociação do LCP é habilitada com a |
LCP CONFREQ (27) enviado pela última vez |
Opcional |
ICCN |
Retransmitir Quando a renegociação do LCP é habilitada com a |
Tipo de mensagem (0) |
Obrigatório |
Todo |
Regenerar |
Id de canal físico (25) |
Opcional |
ICRQ |
Regenerar |
Id do grupo privado (37) |
Opcional |
ICCN |
Retransmitir |
Versão de protocolo (2) |
Obrigatório |
SCCRQ |
Regenerar |
Desafio Proxy Authen (31) |
Opcional |
ICCN |
Retransmitir Quando a renegociação do LCP é habilitada com a |
ID do Proxy Authen (32) |
Opcional |
ICCN |
Retransmitir Quando a renegociação do LCP é habilitada com a |
Nome do Proxy Authen (30) |
Opcional |
ICCN |
Retransmitir Quando a renegociação do LCP é habilitada com a |
Resposta ao Proxy Authen (33) |
Opcional |
ICCN |
Retransmitir Quando a renegociação do LCP é habilitada com a |
Tipo de proxy Authen (29) |
Opcional |
ICCN |
Retransmitir Quando a renegociação do LCP é habilitada com a |
Receba o tamanho da janela (10) |
Opcional |
SCCRQ |
Regenerar |
Velocidade de conexão Rx (38) |
Opcional |
ICCN |
Retransmitir |
Sequenciamento necessário (39) |
Opcional |
ICCN |
Regenerar |
Sub-endereço (23) |
Opcional |
ICRQ |
Retransmitir |
Tie Breaker (5) |
Opcional |
SCCRQ |
Regenerar |
Recuperação de túneis |
Opcional |
SCCRQ |
Regenerar |
Velocidade de conexão Tx (24) |
Obrigatório |
ICCN |
Retransmitir |
Nome do fornecedor (8) |
Opcional |
SCCRQ |
Regenerar |
Configuração da comutação de túnel L2TP
A comutação de túnel L2TP permite que um roteador configurado como um LTS encaminhe pacotes PPP transportados em uma sessão L2TP para uma segunda sessão L2TP terminada em uma LNS diferente. Para configurar a comutação de túnel L2TP, você deve definir um perfil do switch de túnel e depois atribuir esse perfil.
Você pode configurar perfis de switches de túnel para todas as sessões globalmente, todas as sessões em um grupo de túneis, todas as sessões em um domínio ou em sua configuração de servidor RADIUS a serem devolvidas no RADIUS Tunnel Switch-Profile VSA (26-91). A ordem de precedência para perfis de switches de túnel de várias fontes é a seguinte:
Mapa de domínio do RADIUS VSA 26-91 > > grupo de túneis > perfil global do switch de túnel
Para definir um perfil de switch de túnel L2TP:
Por exemplo, considere a seguinte configuração. que cria três perfis de switch de túnel, perfil de switch de túnel l2tp, lts-profile-groupA e lts-profile-example-com:
[edit access tunnel-switch-profile l2tp-tunnel-switch-profile] user@host# set avp bearer-type regenerate user@host# set avp calling-number regenerate user@host# set avp cisco-nas-port-info drop user@host# set tunnel-profile l2tp-tunnel-profile1 [edit access tunnel-switch-profile lts-profile-groupA] user@host# set tunnel-profile l2tp-tunnel-profile2 [edit access tunnel-switch-profile lts-profile-example.com] user@host# set tunnel-profile l2tp-tunnel-profile3 [edit services l2tp] user@host1# set tunnel-switch-profile l2tp-tunnel-switch-profile user@host1# set tunnel-group groupA tunnel-switch-profile lts-profile-groupA [edit access domain] user@host1# set map example.com tunnel-switch-profile lts-profile-example.com
A configuração LTS (Comutação de túnel de camada 2) para dispositivos da Série MX é a seguinte:
set services l2tp tunnel-group TG1 l2tp-access-profile DEFAULT set services l2tp tunnel-group TG1 aaa-access-profile aaa-access-profile set services l2tp tunnel-group TG1 hello-interval 0 set services l2tp tunnel-group TG1 local-gateway address 192.1.1.1 set services l2tp tunnel-group TG1 local-gateway gateway-name default set services l2tp tunnel-group TG1 service-interface si-0/0/0 set services l2tp tunnel-group TG1 dynamic-profile lns-profile set chassis fpc 0 pic 0 inline-services bandwidth 10g set chassis network-services enhanced-ip set dynamic-profiles lns-profile routing-instances "$junos-routing-instance" interface "$junos-interface-name" set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" ppp-options chap set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" ppp-options pap set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" family inet unnumbered-address "$junos-loopback-interface" set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" family inet6 unnumbered-address "$junos-loopback-interface" set access profile DEFAULT client default l2tp aaa-access-profile aaa-access-profile set access profile DEFAULT client default l2tp shared-secret "$9$i.T3AtOREyApIcSrLX" set access profile DEFAULT client default l2tp dynamic-profile lns-profile set access profile DEFAULT client default user-group-profile l2tp-access-group-profile set access group-profile l2tp-access-group-profile ppp idle-timeout 200 set access group-profile l2tp-access-group-profile ppp ppp-options pap set access group-profile l2tp-access-group-profile ppp ppp-options chap set access group-profile l2tp-access-group-profile ppp keepalive 0 set access tunnel-profile lac-profile tunnel 1 preference 1 set access tunnel-profile lac-profile tunnel 1 identification 1 set access tunnel-profile lac-profile tunnel 1 remote-gateway address 192.1.2.1 set access tunnel-profile lac-profile tunnel 1 remote-gateway gateway-name default set access tunnel-profile lac-profile tunnel 1 source-gateway address 192.1.2.5 set access tunnel-profile lac-profile tunnel 1 source-gateway gateway-name default set access tunnel-profile lac-profile tunnel 1 secret "$9$u9CE0BEleW-dsp07Vb2GUCtu" set access tunnel-switch-profile tsp-profile tunnel-profile lac-profile set access domain map yogeshn.com tunnel-switch-profile tsp-profile …
O perfil l2tp-tunnel-switch-switch é aplicado como padrão global. Quando os pacotes são trocados de acordo com este perfil, os valores para o Bearer Type AVP (18) e o Número de Chamada AVP (22) nos pacotes L2TP são regenerados com base na política local no switch de túnel L2TP e depois enviados com os pacotes. O Cisco NAS Port Info AVP (100) simplesmente caiu. Por fim, o perfil de túnel l2tp1 oferece as características de configuração do túnel ao qual o tráfego é comuto.
O perfil do switch de túnel lts-profile-groupA é aplicado por meio de um grupo de túneis, grupo A; especifica um perfil de túnel diferente, o perfil de túnel l2tp2 e não substitui nenhuma ação de AVP. O perfil do switch de túnel lts-profile-example.com é aplicado por meio de um mapa de domínio para o domínio de example.com; especifica um perfil de túnel diferente, o perfil l2tp-tunnel-profile3 e não substitui nenhuma ação de AVP.
Definir o tamanho da janela de recebimento L2TP
Você pode configurar o tamanho da janela de recebimento de L2TP para um túnel L2TP. O tamanho da janela de recebimento especifica o número de pacotes que um peer pode enviar antes de esperar por um reconhecimento do roteador.
Por padrão, o tamanho da janela de recebimento é definido para quatro pacotes. Se o tamanho da janela de recebimento estiver definido em seu valor padrão, o roteador não enviará o AVP tamanho janela de recebimento, AVP 10, em seu primeiro pacote enviado durante a negociação do túnel para seu peer.
Para configurar o tamanho da janela de recebimento:
[edit services l2tp tunnel] user@host# set rx-window-size packets
Configuração do tempo limite ocioso do túnel L2TP
Você pode configurar o LAC ou o LNS para especificar quanto tempo um túnel sem nenhuma sessão permanece ativo. O timer ocioso começa quando a última sessão no túnel é terminada. Quando o temporizador expira, o túnel é desconectado. Esse tempo limite ocioso libera recursos de outra forma consumidos por túneis inativos.
Se você definir o valor do tempo limite ocioso para zero, o túnel é forçado a permanecer ativo indefinidamente após o término da última sessão até que ocorra um dos seguintes:
Você emite o
clear services l2tp tunnelcomando.O peer remoto desconecta o túnel.
Antes de rebaixar para uma versão do Junos OS que não oferece suporte a esta declaração, recomendamos que você desconfigre explicitamente o recurso, incluindo a no idle-timeout declaração no nível hierárquico [edit services l2tp tunnel] .
Para definir o tempo limite ocioso do túnel:
Configure o período de tempo limite.
[edit services l2tp tunnel] user@host# set idle-timeout seconds
Definir o tempo limite de destrução L2TP
Você pode configurar o LAC ou o LNS para especificar quanto tempo o roteador tenta manter destinos dinâmicos, túneis e sessões após terem sido destruídos. Esse tempo limite de destrução ajuda na depuração e outras análises, salvando estruturas de memória subjacentes após o término do destino, túnel ou sessão. Qualquer destino dinâmico, túnel ou sessão específico pode não ser mantido por todo esse período de tempo se os recursos precisarem ser recuperados antecipadamente para permitir que novos túneis sejam estabelecidos.
Antes de rebaixar para uma versão do Junos OS que não oferece suporte a esta declaração, recomendamos que você desconfigre explicitamente o recurso, incluindo a no destruct-timeout declaração no nível hierárquico [edit services l2tp] .
Para definir o tempo limite de destrução do L2TP:
Configure o período de tempo limite.
[edit services l2tp] user@host# set destruct-timeout seconds
Configuração do tempo limite de bloqueio de destino L2TP
Quando vários conjuntos de parâmetros de tunelamento estão disponíveis, o L2TP usa um processo de seleção para escolher o melhor túnel para tráfego de assinantes. Como parte desse processo de seleção, o L2TP bloqueia destinos a que não pode se conectar quando um assinante tenta chegar a um domínio. A L2TP coloca o destino na lista de bloqueio de destino e exclui o destino de consideração por um período configurável chamado de tempo limite de bloqueio de destino.
Por padrão, o tempo limite de bloqueio de destino é de 300 segundos (5 minutos). Você pode configurar um valor de 60 a 3600 segundos (de 1 minuto a 1 hora). Quando o tempo limite de bloqueio expira, o L2TP assume que o destino já está disponível e inclui o destino ao realizar o processo de seleção de túneis. O período de bloqueio de destino é um valor global e não é configurável individualmente para determinados destinos, túneis ou grupos de túneis.
Em geral, um destino bloqueado não pode ser usado até que o temporizante de bloqueio expira. No entanto, quando o L2TP realiza o processo de seleção de túneis, em algumas circunstâncias ele limpa o temporização de bloqueio para um destino bloqueado. Veja seleção quando o failover entre os níveis de preferência estiver configurado e a seleção quando o failover dentro de um nível de preferência estiver configurado na visão geral da seleção do túnel LAC para obter informações detalhadas sobre o processo de seleção.
Configure o tempo limite de bloqueio para ser igual ou menor do que o tempo limite de destruição. Caso contrário, o tempo limite de destrução expira antes do tempo limite de bloqueio. Nesse caso, o destino bloqueado é destruído e pode ser posteriormente devolvido ao serviço antes que o tempo limite de bloqueio expira, negando assim a eficácia do tempo de bloqueio.
Para configurar o tempo limite de bloqueio de destino:
Especifique o período em segundos.
[edit services l2tp destination] user@host# set lockout-timeout seconds
O show services l2tp destination lockout comando exibe a lista de bloqueio de destino e, para cada destino, indica quanto tempo permanece antes que seu intervalo expira. O show services l2tp destination detail comando indica para cada destino se ele está bloqueado e esperando o tempo limite expirar ou não.
Removendo um destino L2TP da lista de bloqueio de destino
Quando um assinante PPP tenta fazer login em um domínio, o L2TP seleciona um túnel associado a um destino nesse domínio e tenta acessar o destino. Se a tentativa de conexão falhar, o L2TP coloca o destino na lista de bloqueio de destino. Os destinos desta lista estão excluídos de serem considerados para conexões subseqüentes por um período configurável chamado de tempo limite de bloqueio de destino.
Você pode emitir o request services l2tp destination unlock comando para um destino específico para removê-lo da lista de bloqueio de destino. O resultado é que este destino está imediatamente disponível para consideração quando um assinante faz login no domínio associado.
Para remover um destino da lista de bloqueio de destino:
Especifique o nome do destino a ser desbloqueado.
user@host> request services l2tp destination unlock destination-name
Configuração do dreno L2TP
Para fins administrativos, você pode definir o estado de um destino ou túnel L2TP para drenar. Isso impede a criação de novas sessões, túneis e destinos no L2TP LAC e LNS.
Você pode configurar o dreno L2TP no nível global ou para um destino ou túnel específicos. Se o recurso estiver configurado no nível L2TP global, então nenhum novo destino, túnel ou sessão pode ser criado. Se o recurso estiver configurado para um destino específico, nenhum novo túnel ou sessão pode ser criado nesse destino. Da mesma forma, se o recurso estiver configurado para um túnel específico, nenhuma nova sessão pode ser atribuída a esse túnel, mas novos destinos e túneis podem ser criados.
Quando este recurso é configurado, a saída de comando e show services l2tp summaryshow services l2tp destinationshow services l2tp tunnel exibe o estado da sessão, destino e túnel L2TP como .Drain
Usando o mesmo túnel L2TP para injeção e duplicação de pacotes IP
Você pode configurar o mesmo túnel L2TP que é usado para espelhamento de políticas seguras de assinantes a ser usado para duplicação de pacotes. Os pacotes duplicados são usados para injetar tráfego em direção ao cliente ou à rede. A injeção ou transmissão de pacotes é suportada para todos os modos de acesso ao assinante. Um único túnel L2TP é usado para transmissão de pacotes e duplicação de pacotes. Uma porta ou interface configurada para duplicação de pacotes em um lado de um túnel L2TP é conectada ao outro endpoint do túnel. O outro endpoint do túnel pode enviar pacotes IP usando o túnel L2TP para a porta ou interface configurada para duplicação de pacotes, e os pacotes IP recebidos nessa interface podem ser encaminhados ao cliente ou enviados como se fossem recebidos do cliente.
O endpoint remoto do túnel envia um pacote de túnel IP que contém um endereço MAC Ethernet na carga. Se o endereço MAC de destino do pacote de carga contém o endereço MAC do roteador, o pacote Ethernet é enviado na direção de saída em direção à rede, e é processado e encaminhado como se fosse recebido na porta do cliente. Se o endereço MAC de origem do pacote de carga conter o endereço MAC do roteador, o pacote Ethernet será transmitido na direção de saída em direção à porta do cliente. Se o túnel não conter o cookie de recebimento configurado, a injeção de pacotes não acontece. Nesse caso, qualquer pacote de túnel recebido é contado e descartado da mesma maneira em que os pacotes que chegam com um cookie errado são contados e descartados.
Para configurar o pacote a ser duplicado e enviado para o cliente ou a rede (com base no endereço MAC na carga da Ethernet), inclua a decapsulate l2tp output-interface interface-name cookie l2tpv3-cookie declaração no [edit firewall family family-name filter filter-name term term-name then] nível de hierarquia. Você também pode configurar um contador para os pacotes L2TP duplicados ou descapsulados, incluindo a count counter-name declaração no nível de [edit firewall family family-name filter filter-name term term-name then] hierarquia