Comutação de túnel L2TP para redes de vários domínios
Visão geral da comutação de túnel L2TP
A comutação de túnel L2TP, também conhecida como multihop L2TP, simplifica a implantação de uma rede L2TP em vários domínios. Um roteador que fica entre um LAC e um LNS é configurado como um switch de túnel L2TP (LTS) — às vezes chamado simplesmente de switch de túnel ou agregador de comutação de túnel (TSA) — como mostrado na Figura 1. O LTS é configurado como um LNS e um LAC. Quando um LAC remoto envia pacotes PPP encapsulados para o LNS configurado no LTS, o LTS pode encaminhar ou redirecionar os pacotes através de um túnel diferente para um LNS diferente além do LTS. O ponto de término lógico da sessão L2TP original é comutado para um endpoint diferente.
Por exemplo, na rede mostrada na Figura 1, os pacotes do assinante provisionados pelo provedor de serviços A são inicialmente direcionados para o LNS configurado no LTS. O LTS pode redirecionar esses pacotes para LNS1.
A comutação de túnel L2TP simplifica a configuração da rede quando o domínio administrativo de um LAC é diferente daquele do LNS desejado. Por exemplo:
-
O LTS atua como LNS para vários LACs. Os LACs individuais não precisam ter o controle administrativo ou a capacidade necessária para identificar os LNS mais apropriados para encerrar suas sessões. O LTS executa essa função é centralizado no LTS.
-
O LTS atua como o LAC para vários LNSs. Quando um novo LAC remoto é adicionado à rede de um ISP, o ISP não precisa reconfigurar seus roteadores LNS para acomodar o novo LAC, porque eles se conectam ao LAC no LTS.
Em uma rede de atacado de Camada 2, o atacadista pode usar a comutação de túnel L2TP para criar uma configuração de rede mais plana e fácil de gerenciar. O atacadista agrupa sessões de Camada 2 de um LAC destinadas a diferentes ISPs — e, portanto, diferentes LNSs — em um único túnel L2TP. Essa configuração permite que uma conexão de controle L2TP comum seja usada para o LAC.
A Figura 2 mostra um exemplo de comutação de túnel L2TP para chamadas recebidas com a seguinte sequência de eventos:
-
O assinante abre uma sessão PPP para o LAC.
-
O LAC cria o primeiro túnel L2TP para o LNS configurado no LTS e a primeira sessão L2TP para transportar os pacotes PPP encapsulados.
-
Durante a autenticação dessa primeira sessão, o LTS determina se a sessão deve ser retunelada para um LNS além do LTS, com base na presença ou ausência de um perfil de switch de túnel configurado no LTS.
O perfil do switch de túnel pode ser um perfil padrão ou pode ser aplicado pelo servidor RADIUS, uma configuração de mapa de domínio ou uma configuração de grupo de túneis.
-
Se um perfil de switch de túnel estiver configurado, o LTS criará um segundo túnel (se ainda não existir) para o LNS além do LTS, conforme especificado no perfil, e criará a segunda sessão nesse túnel.
recebidas
Aplicação de perfis de switch de túnel
Você pode configurar um perfil de switch de túnel para ser aplicado de várias maneiras:
-
Como um perfil padrão aplicado globalmente ao tráfego recebido de todos os LACs
-
Com um mapa de domínio aplicado a uma sessão de assinante
-
Com um grupo de túneis aplicado a uma sessão de assinante
-
Na configuração do servidor RADIUS, retornado no VSA de perfil de switch de túnel (26-91)
Você pode configurar mais de um desses métodos de aplicação. Quando vários perfis de switch de túnel estão presentes, a seguinte ordem de precedência estabelece qual perfil o LTS usa; a ordem é da mais alta (RADIUS) para a mais baixa (perfil padrão):
-
RADIUS VSA 26-91 > mapa de domínio > grupo de túnel > perfil de switch de túnel global
O perfil do switch de túnel também deve fazer referência a um perfil de túnel. Esse perfil de túnel especifica as características do segundo túnel, para o qual os pacotes do assinante são comutados.
Término de sessões comutadas por túneis no LTS
As sessões comutadas por túnel são encerradas no LTS quando ocorre uma das seguintes situações:
-
A interface LAC ou LNS no LTS recebe uma mensagem de notificação de desconexão de chamada (CDN) (Tabela 1).
Tabela 1: Causa da mensagem CDN A mensagem CDN é recebida em
Quando
Interface LAC
Ocorre uma das seguintes situações:
-
A segunda sessão não pode ser estabelecida.
-
O LNS remoto encerra a segunda sessão.
Interface LNS
Ocorre uma das seguintes situações:
-
O cliente PPPoE inicia um logout.
-
O LAC de origem inicia o término do túnel
A primeira e a segunda sessões são encerradas porque o LTS retransmite o CDN para a interface que não recebeu o CDN. A causa da desconexão é a mesma para ambas as sessões.
-
-
A interface LAC ou LNS no LTS recebe uma mensagem Stop-Control-Connection-Notification (StopCCN) (Tabela 2).
Tabela 2: Causa da mensagem StopCCN A mensagem StopCCN é recebida em
Quando
Interface LAC
Ocorre uma das seguintes situações:
-
A segunda sessão não pode ser estabelecida.
-
O LNS remoto encerra o segundo túnel.
Interface LNS
O LAC de origem inicia a terminação do túnel.
O LTS não retransmite a mensagem StopCCN, pois um determinado túnel pode conter sessões comutadas e não comutadas. Outro motivo em um cenário de atacado é que o túnel que termina no LNS no LTS pode conter sessões de LACs de diferentes provedores. Em vez disso, o LTS envia uma mensagem CDN para a interface que não recebeu o StopCCN para encerrar a sessão comutada por túnel. Essa CDN retransmite o código de erro transportado no StopCCN.
-
-
Um comando administrativo
clearé emitido no LTS.
A Tabela 3 lista as ações tomadas quando um comando administrativo clear é emitido no LTS.
| Comando |
Ação LAC ou LNS |
Ação LTS |
|---|---|---|
|
|
Limpe o destino e todos os túneis e sessões associados. |
Para cada sessão comutada em um túnel para o destino, limpe a sessão comutada mapeada correspondente enviando-lhe uma mensagem CDN com a causa definida como Administrativa. |
|
|
Limpe todos os destinos e todos os túneis e sessões associados. |
Nenhum. |
|
|
Limpe a sessão. |
Limpe a sessão comutada mapeada correspondente para esta sessão enviando-lhe uma mensagem CDN com a causa definida como Administrativa. |
|
|
Limpe todas as sessões. |
Nenhum. |
|
|
Limpe o túnel e todas as suas sessões. |
Para cada sessão comutada no túnel, limpe a sessão comutada mapeada correspondente enviando-a uma mensagem CDN com a causa definida como Administrativa. |
|
|
Limpe todos os túneis. |
Nenhum. |
Ações de comutação de túnel para AVPs L2TP no limite de comutação
Quando a comutação de túnel L2TP redireciona pacotes para um LNS diferente, ela executa uma das seguintes ações padrão no limite de comutação para cada AVP transportado nas mensagens L2TP:
relay— O L2TP encaminha de forma transparente o AVP no pacote comutado sem alteração.regenerate— L2TP ignora o AVP recebido que foi negociado pelo primeiro túnel e sessão. Ele gera um novo AVP para a segunda sessão com base na política local no LTS e envia esse AVP no pacote comutado. A política local pode ou não usar o valor do AVP recebido durante a negociação da primeira sessão.
A Tabela 4 lista a ação padrão para cada AVP. Os AVPs obrigatórios são sempre incluídos nas mensagens L2TP do LAC; AVPs opcionais podem ser incluídos nas mensagens.
Opcionalmente, você pode substituir a ação padrão executada no limite de comutação para o AVP do tipo de portador (18), AVP do número de chamada (22) ou AVP de informações da porta Cisco NAS (100). Você pode configurar qualquer um desses três AVPs para serem descartados dos pacotes comutados ou regenerados, ou você pode restaurar a ação de transmissão padrão.
Os AVPs L2TP que têm seus valores de atributo ocultos são sempre regenerados no limite de comutação. O valor é decodificado e enviado em texto não criptografado quando o pacote é encaminhado para o LNS remoto.
Nome (número) do AVP |
Tipo de AVP |
Tipo de mensagem L2TP |
Ação padrão |
|---|---|---|---|
ID de sessão atribuído (14) |
Obrigatório |
CDN, ICRQ |
Regenerar |
ID do túnel atribuído (9) |
Obrigatório |
SCCRQ |
Regenerar |
Capacidades do Portador (4) |
Opcionais |
SCCRQ |
Regenerar |
Tipo de portador (18) |
Opcionais |
ICRQ |
Relé |
Ligue para o número de série (15) |
Obrigatório |
ICRQ |
Relé |
Número chamado (21) |
Opcionais |
ICRQ |
Relé |
Número de chamada (22) |
Opcionais |
ICRQ |
Relé |
Desafio (11) |
Opcionais |
SCCRQ |
Regenerar |
Resposta ao desafio (13) |
Opcionais |
SCCCN |
Regenerar |
Porta Cisco NAS |
Opcionais |
ICRQ |
Relé |
Capacidade de failover |
Opcionais |
SCCRQ |
Regenerar |
Revisão de firmware (6) |
Opcionais |
SCCRQ |
Regenerar |
Recursos de enquadramento (3) |
Obrigatório |
SCCRQ |
Regenerar |
Tipo de moldura (19) |
Obrigatório |
ICCN |
Relé |
Nome do host (7) |
Obrigatório |
SCCRQ |
Regenerar |
LCP CONFREQ Recebido Inicial (26) |
Opcionais |
ICCN |
Relé Quando a renegociação do LCP é habilitada com a |
Último Recebido LCP CONFREQ (28) |
Opcionais |
ICCN |
Relé Quando a renegociação do LCP é habilitada com a |
Último envio LCP CONFREQ (27) |
Opcionais |
ICCN |
Relé Quando a renegociação do LCP é habilitada com a |
Tipo de mensagem (0) |
Obrigatório |
Tudo |
Regenerar |
ID do canal físico (25) |
Opcionais |
ICRQ |
Regenerar |
ID do grupo privado (37) |
Opcionais |
ICCN |
Relé |
Versão do protocolo (2) |
Obrigatório |
SCCRQ |
Regenerar |
Desafio de Authen por Procuração (31) |
Opcionais |
ICCN |
Relé Quando a renegociação do LCP é habilitada com a |
Proxy Authen ID (32) |
Opcionais |
ICCN |
Relé Quando a renegociação do LCP é habilitada com a |
Nome do Procurador Authen (30) |
Opcionais |
ICCN |
Relé Quando a renegociação do LCP é habilitada com a |
Proxy Authen Resposta (33) |
Opcionais |
ICCN |
Relé Quando a renegociação do LCP é habilitada com a |
Tipo de Proxy Authen (29) |
Opcionais |
ICCN |
Relé Quando a renegociação do LCP é habilitada com a |
Tamanho da janela de recepção (10) |
Opcionais |
SCCRQ |
Regenerar |
Velocidade de conexão Rx (38) |
Opcionais |
ICCN |
Relé |
Seqüenciamento necessário (39) |
Opcionais |
ICCN |
Regenerar |
Sub-endereço (23) |
Opcionais |
ICRQ |
Relé |
Desempate (5) |
Opcionais |
SCCRQ |
Regenerar |
Recuperação de túnel |
Opcionais |
SCCRQ |
Regenerar |
Velocidade de conexão Tx (24) |
Obrigatório |
ICCN |
Relé |
Nome do fornecedor (8) |
Opcionais |
SCCRQ |
Regenerar |
Configuração da comutação de túnel L2TP
A comutação de túnel L2TP permite que um roteador configurado como um LTS encaminhe pacotes PPP transportados em uma sessão L2TP para uma segunda sessão L2TP terminada em um LNS diferente. Para configurar a comutação de túnel L2TP, você deve definir um perfil de switch de túnel e, em seguida, atribuir esse perfil.
Você pode configurar perfis de switch de túnel para todas as sessões globalmente, todas as sessões em um grupo de túneis, todas as sessões em um domínio ou na configuração do servidor RADIUS para serem retornadas no VSA de perfil de switch de túnel RADIUS (26-91). A ordem de precedência para perfis de switch de túnel de várias fontes é a seguinte:
RADIUS VSA 26-91 > mapa de domínio > grupo de túnel > perfil de switch de túnel global
Para definir um perfil de switch de túnel L2TP:
Por exemplo, considere a configuração a seguir. que cria três perfis de switch de túnel, l2tp-túnel-switch-profile, lts-profile-groupA e lts-profile-example-com:
[edit access tunnel-switch-profile l2tp-tunnel-switch-profile] user@host# set avp bearer-type regenerate user@host# set avp calling-number regenerate user@host# set avp cisco-nas-port-info drop user@host# set tunnel-profile l2tp-tunnel-profile1 [edit access tunnel-switch-profile lts-profile-groupA] user@host# set tunnel-profile l2tp-tunnel-profile2 [edit access tunnel-switch-profile lts-profile-example.com] user@host# set tunnel-profile l2tp-tunnel-profile3 [edit services l2tp] user@host1# set tunnel-switch-profile l2tp-tunnel-switch-profile user@host1# set tunnel-group groupA tunnel-switch-profile lts-profile-groupA [edit access domain] user@host1# set map example.com tunnel-switch-profile lts-profile-example.com
O exemplo de configuração LTS (Layer-2 Tunnel Switching) para dispositivos da Série MX é o seguinte:
set services l2tp tunnel-group TG1 l2tp-access-profile DEFAULT set services l2tp tunnel-group TG1 aaa-access-profile aaa-access-profile set services l2tp tunnel-group TG1 hello-interval 0 set services l2tp tunnel-group TG1 local-gateway address 192.1.1.1 set services l2tp tunnel-group TG1 local-gateway gateway-name default set services l2tp tunnel-group TG1 service-interface si-0/0/0 set services l2tp tunnel-group TG1 dynamic-profile lns-profile set chassis fpc 0 pic 0 inline-services bandwidth 10g set chassis network-services enhanced-ip set dynamic-profiles lns-profile routing-instances "$junos-routing-instance" interface "$junos-interface-name" set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" ppp-options chap set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" ppp-options pap set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" family inet unnumbered-address "$junos-loopback-interface" set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" family inet6 unnumbered-address "$junos-loopback-interface" set access profile DEFAULT client default l2tp aaa-access-profile aaa-access-profile set access profile DEFAULT client default l2tp shared-secret "$9$i.T3AtOREyApIcSrLX" set access profile DEFAULT client default l2tp dynamic-profile lns-profile set access profile DEFAULT client default user-group-profile l2tp-access-group-profile set access group-profile l2tp-access-group-profile ppp idle-timeout 200 set access group-profile l2tp-access-group-profile ppp ppp-options pap set access group-profile l2tp-access-group-profile ppp ppp-options chap set access group-profile l2tp-access-group-profile ppp keepalive 0 set access tunnel-profile lac-profile tunnel 1 preference 1 set access tunnel-profile lac-profile tunnel 1 identification 1 set access tunnel-profile lac-profile tunnel 1 remote-gateway address 192.1.2.1 set access tunnel-profile lac-profile tunnel 1 remote-gateway gateway-name default set access tunnel-profile lac-profile tunnel 1 source-gateway address 192.1.2.5 set access tunnel-profile lac-profile tunnel 1 source-gateway gateway-name default set access tunnel-profile lac-profile tunnel 1 secret "$9$u9CE0BEleW-dsp07Vb2GUCtu" set access tunnel-switch-profile tsp-profile tunnel-profile lac-profile set access domain map yogeshn.com tunnel-switch-profile tsp-profile …
O perfil l2tp-túnel-switch-profile é aplicado como o padrão global. Quando os pacotes são comutados de acordo com esse perfil, os valores para o AVP do tipo de portador (18) e o AVP do número de chamada (22) nos pacotes L2TP são regenerados com base na política local no switch de túnel L2TP e, em seguida, enviados com os pacotes. O Cisco NAS Port Info AVP (100) é simplesmente descartado. Por fim, l2tp-túnel-profile1 fornece as características de configuração do túnel para o qual o tráfego é comutado.
O perfil de comutação de túnel lts-profile-groupA é aplicado por meio de um grupo de túneis, groupA; ele especifica um perfil de túnel diferente, l2tp-túnel-profile2 e não substitui nenhuma ação AVP. O perfil do switch de túnel lts-profile-example.com é aplicado por meio de um mapa de domínio para o domínio example.com; ele especifica um perfil de túnel diferente, l2tp-túnel-profile3 e não substitui nenhuma ação AVP.
Configurando o tamanho da janela de recebimento L2TP
Você pode configurar o tamanho da janela de recebimento L2TP para um túnel L2TP. O tamanho da janela de recebimento especifica o número de pacotes que um peer pode enviar antes de aguardar uma confirmação do roteador.
Por padrão, o tamanho da janela de recebimento é definido como quatro pacotes. Se o tamanho da janela de recepção for definido como seu valor padrão, o roteador não enviará o AVP de tamanho da janela de recebimento, AVP 10, em seu primeiro pacote enviado durante a negociação do túnel para seu peer.
Para configurar o tamanho da janela de recebimento:
[edit services l2tp tunnel] user@host# set rx-window-size packets
Configurando o tempo limite ocioso do túnel L2TP
Você pode configurar o LAC ou o LNS para especificar por quanto tempo um túnel sem nenhuma sessão permanece ativo. O temporizador ocioso é iniciado quando a última sessão no túnel é encerrada. Quando o temporizador expira, o túnel é desconectado. Esse tempo limite ocioso libera recursos consumidos por túneis inativos.
Se você definir o valor de tempo limite ocioso como zero, o túnel será forçado a permanecer ativo indefinidamente após o término da última sessão até que ocorra uma das seguintes situações:
Você emite o
clear services l2tp tunnelcomando.O peer remoto desconecta o túnel.
Antes de fazer o downgrade para uma versão do Junos OS que não oferece suporte a essa declaração, recomendamos que você desconfigure explicitamente o recurso incluindo a no idle-timeout [edit services l2tp tunnel] declaração no nível de hierarquia.
Para definir o tempo limite ocioso do túnel:
Configure o período de tempo limite.
[edit services l2tp tunnel] user@host# set idle-timeout seconds
Definindo o tempo limite de destruição L2TP
Você pode configurar o LAC ou o LNS para especificar por quanto tempo o roteador tenta manter destinos, túneis e sessões dinâmicos depois de terem sido destruídos. Esse tempo limite de destruição ajuda na depuração e em outras análises, salvando as estruturas de memória subjacentes após o término do destino, do túnel ou da sessão. Qualquer destino, túnel ou sessão dinâmica específica pode não ser mantido por todo esse período de tempo se os recursos precisarem ser recuperados antecipadamente para permitir que novos túneis sejam estabelecidos.
Antes de fazer o downgrade para uma versão do Junos OS que não oferece suporte a essa declaração, recomendamos que você desconfigure explicitamente o recurso incluindo a no destruct-timeout [edit services l2tp] declaração no nível de hierarquia.
Para definir o tempo limite de destruição L2TP:
Configure o período de tempo limite.
[edit services l2tp] user@host# set destruct-timeout seconds
Configurando o tempo limite de bloqueio de destino L2TP
Quando vários conjuntos de parâmetros de tunelamento estão disponíveis, o L2TP usa um processo de seleção para escolher o melhor túnel para o tráfego de assinantes. Como parte desse processo de seleção, o L2TP bloqueia destinos aos quais não pode se conectar quando um assinante tenta acessar um domínio. O L2TP coloca o destino na lista de bloqueio de destino e exclui o destino da consideração por um período configurável chamado tempo limite de bloqueio de destino.
Por padrão, o tempo limite de bloqueio de destino é de 300 segundos (5 minutos). Você pode configurar um valor de 60 a 3600 segundos (1 minuto a 1 hora). Quando o tempo limite de bloqueio expira, o L2TP assume que o destino agora está disponível e inclui o destino ao executar o processo de seleção de túnel. O período de bloqueio de destino é um valor global e não pode ser configurado individualmente para destinos, túneis ou grupos de túneis específicos.
Em geral, um destino bloqueado não pode ser usado até que o temporizador de bloqueio expire. No entanto, quando o L2TP executa o processo de seleção de túnel, em algumas circunstâncias, ele limpa o temporizador de bloqueio para um destino bloqueado. Consulte Seleção quando o failover entre níveis de preferência é configurado e Seleção quando o failover dentro de um nível de preferência é configurado em Visão geral da seleção de túnel LAC para obter informações detalhadas sobre o processo de seleção.
Configure o tempo limite de bloqueio para ser igual ou menor que o tempo limite de destruição. Caso contrário, o tempo limite de destruição expirará antes do tempo limite de bloqueio. Nesse caso, o destino bloqueado é destruído e pode ser retornado ao serviço subsequentemente antes que o tempo limite de bloqueio expire, negando assim a eficácia do tempo limite de bloqueio.
Para configurar o tempo limite de bloqueio de destino:
Especifique o período em segundos.
[edit services l2tp destination] user@host# set lockout-timeout seconds
O show services l2tp destination lockout comando exibe a lista de bloqueio de destino e, para cada destino, indica quanto tempo resta antes que seu tempo limite expire. O show services l2tp destination detail comando indica para cada destino se ele está bloqueado e aguardando a expiração do tempo limite ou não.
Removendo um destino L2TP da lista de bloqueio de destino
Quando um assinante PPP tenta fazer login em um domínio, o L2TP seleciona um túnel associado a um destino nesse domínio e tenta acessar o destino. Se a tentativa de conexão falhar, o L2TP colocará o destino na lista de bloqueio de destino. Os destinos nessa lista são excluídos de serem considerados para conexões subsequentes por um período configurável chamado de tempo limite de bloqueio de destino.
Você pode emitir o request services l2tp destination unlock comando para um destino específico para removê-lo da lista de bloqueio de destino. O resultado é que esse destino está imediatamente disponível para consideração quando um assinante faz logon no domínio associado.
Para remover um destino da lista de bloqueio de destino:
Especifique o nome do destino a ser desbloqueado.
user@host> request services l2tp destination unlock destination-name
Configurando o L2TP Drain
Para fins administrativos, você pode definir o estado de um destino L2TP ou túnel para drenar. Isso impede a criação de novas sessões, túneis e destinos no L2TP LAC e LNS.
Você pode configurar o dreno L2TP em nível global ou para um destino ou túnel específico. Se o recurso estiver configurado no nível L2TP global, nenhum novo destino, túnel ou sessão poderá ser criado. Se o recurso estiver configurado para um destino específico, nenhum novo túnel ou sessão poderá ser criado nesse destino. Da mesma forma, se o recurso estiver configurado para um túnel específico, nenhuma nova sessão poderá ser atribuída a esse túnel, mas novos destinos e túneis poderão ser criados.
Quando esse recurso é configurado, a saída do comando de show services l2tp summary, , e show services l2tp tunnel exibe o estado da sessão, do destino e do túnel L2TP como Drainshow services l2tp destination.
Usando o mesmo túnel L2TP para injeção e duplicação de pacotes IP
Você pode configurar o mesmo túnel L2TP usado para espelhamento de política segura do assinante para ser usado para duplicação de pacotes. Os pacotes duplicados são usados para injetar tráfego em direção ao cliente ou à rede. A injeção ou transmissão de pacotes é suportada para todos os modos de acesso do assinante. Um único túnel L2TP é usado tanto para a transmissão de pacotes quanto para a duplicação de pacotes. Uma porta ou interface configurada para duplicação de pacotes em um lado de um túnel L2TP está conectada ao outro túnel endpoint. O outro endpoint do túnel pode enviar pacotes IP usando o túnel L2TP para a porta ou interface configurada para duplicação de pacotes, e os pacotes IP recebidos nessa interface podem ser encaminhados ao cliente ou enviados como se tivessem sido recebidos do cliente.
O endpoint de túnel remoto envia um pacote de túnel IP que contém um endereço MAC Ethernet na carga. Se o endereço MAC de destino do pacote de carga contiver o endereço MAC do roteador, o pacote Ethernet será enviado na direção de saída em direção à rede e será processado e encaminhado como se tivesse sido recebido na porta do cliente. Se o endereço MAC de origem do pacote de carga contiver o endereço MAC do roteador, o pacote Ethernet será transmitido na direção de saída em direção à porta do cliente. Se o túnel não contiver o cookie de recebimento configurado, a injeção de pacotes não ocorrerá. Nesse caso, qualquer pacote de túnel recebido é contado e descartado da mesma maneira que os pacotes que chegam com um cookie errado são contados e descartados.
Para configurar o pacote a ser duplicado e enviado para o cliente ou a rede (com base no endereço MAC no payload Ethernet), inclua a decapsulate l2tp output-interface interface-name cookie l2tpv3-cookie declaração no nível da [edit firewall family family-name filter filter-name term term-name then] hierarquia. Você também pode configurar um contador para os pacotes L2TP duplicados ou descapsulados incluindo a count counter-name declaração no nível da [edit firewall family family-name filter filter-name term term-name then] hierarquia