L2TP LAC 用户配置
配置 L2TP LAC
要配置 L2TP LAC:
配置 LAC 如何响应 LNS 请求的地址和端口更改
LNS 可以使用在建立隧道时向 LAC 发送的 SCCRP 消息来请求更改 LAC 用于与 LNS 通信的目标 IP 地址或 UDP 端口。默认情况下,LAC 接受请求并进行更改。您可以使用该 tx-address-change
语句为 LAC 配置以下方法之一,以处理所有隧道的这些更改请求:
接受 — LAC 接受来自 LNS 的更改。它将所有后续数据包发送到新 IP 地址或 UDP 端口,并从新 IP 地址或 UDP 端口接收数据包。
忽略 — LAC 继续将数据包发送到原始地址或端口,但接受来自新地址或端口的数据包。
拒绝 — LAC 向原始地址或端口发送 StopCCN 消息,然后终止与该 LNS 的连接。
在建立隧道时,LAC 仅接受一次地址或端口更改。已建立的隧道不受影响。LAC 会丢弃任何其他时间接收的任何包含更改请求的 L2TP 控制数据包,或丢弃 SCCRP 消息以外的任何数据包。
此语句不支持 IPv6 地址。
要配置 LAC 如何处理 IP 地址和/或 UDP 端口的更改请求,请执行以下操作:
(可选)将 LAC 配置为接受所有更改请求。这是默认行为。
[edit services l2tp tunnel] user@host# set tx-address-change accept
(可选)将 LAC 配置为忽略所有更改请求。
[edit services l2tp tunnel] user@host# set tx-address-change ignore
(可选)将 LAC 配置为仅忽略 IP 地址的更改请求。
[edit services l2tp tunnel] user@host# set tx-address-change ignore-ip-address
(可选)将 LAC 配置为仅忽略 UDP 端口的更改请求。
[edit services l2tp tunnel] user@host# set tx-address-change ignore-udp-port
(可选)将 LAC 配置为拒绝所有更改请求。
[edit services l2tp tunnel] user@host# set tx-address-change reject
(可选)将 LAC 配置为仅拒绝 IP 地址的更改请求。
[edit services l2tp tunnel] user@host# set tx-address-change reject-ip-address
(可选)将 LAC 配置为仅拒绝 UDP 端口的更改请求。
[edit services l2tp tunnel] user@host# set tx-address-change reject-udp-port
例如,以下配置会导致 LAC 忽略更改 UDP 端口的请求,但拒绝更改 IP 地址的请求:
[edit services l2tp tunnel] user@host# set tx-address-change ignore-udp-port user@host# set tx-address-change reject-ip-address
不允许使用冲突的配置,否则将无法通过配置提交检查。例如,以下配置将失败,因为它指定忽略 UDP 端口更改,但拒绝 所有 更改:
[edit services l2tp tunnel] user@host# set tx-address-change ignore-udp-port user@host# set tx-address-change reject
使用 show services l2tp summary
命令显示 LAC 的当前行为:
show services l2tp summary Failover within a preference level is Disabled Weighted load balancing is Disabled Tunnel authentication challenge is Enabled Calling number avp is Enabled Failover Protocol is Disabled Tx Connect speed method is static Rx speed avp when equal is Disabled Tunnel assignment id format is assignment-id Tunnel Tx Address Change is Ignore Max Retransmissions for Established Tunnel is 7 Max Retransmissions for Not Established Tunnel is 5 Tunnel Idle Timeout is 60 seconds Destruct Timeout is 300 seconds Destination Lockout Timeout is 300 seconds Destinations: 1, Tunnels: 0, Sessions: 0
根据配置,此命令显示以下输出之一:
Tunnel Tx Address Change is Accept Tunnel Tx Address Change is Ignore Tunnel Tx Address Change is Reject Tunnel Tx Address Change is Ignore IP Address & Accept UDP Port Tunnel Tx Address Change is Ignore IP Address & Reject UDP Port Tunnel Tx Address Change is Accept IP Address & Ignore UDP Port Tunnel Tx Address Change is Accept IP Address & Reject UDP Port Tunnel Tx Address Change is Reject IP Address & Accept UDP Port Tunnel Tx Address Change is Reject IP Address & Ignore UDP Port
LAC 与第三方 LNS 设备互操作
在某些网络环境中,LAC 可能需要与未运行 Junos OS 的其他供应商的设备上配置的 LNS 进行互操作。 与 Cisco Systems 设备的互操作要求 LAC 通信 NAS 端口类型,但默认情况下 LAC 不提供此信息。
您可以通过将 NAS 端口方法 cisco-avp
配置为 来启用与 Cisco Systems 设备的互操作,这将导致 LAC 在向 LNS 发送传入呼叫请求 (ICRQ) 时包含 Cisco Systems NAS 端口信息 AVP (100)。AVP 包含标识 NAS 端口的信息,并指示端口类型是 ATM 还是以太网。
您可以为 LAC 上的所有隧道全局配置 NAS 端口方法,也可以在隧道配置文件中仅为配置文件实例化的隧道配置 NAS 端口方法。
您还可以在 RADIUS 服务器配置中包含隧道端口方法 VSA [26–30],并将值设置为 1 以指示 Cisco Systems CLID。在这种情况下,RADIUS 可以通过修改或创建隧道配置文件来覆盖全局值。RADIUS 配置优先于隧道配置文件配置,而隧道配置文件配置又优先于全局 LAC 配置。
如果接收 AVP 的 LNS 是 MX 系列路由器而不是 Cisco Systems 设备,则 LNS 只会忽略 AVP,除非 LNS 配置为 L2TP 隧道交换。在这种情况下,LNS 将保留 AVP 的值,并在为 LAC 切换隧道时传递该值。
全局配置 LAC 以便与思科 LNS 设备互操作
思科 LNS 设备需要 LAC 提供物理 NAS 端口号标识符和物理端口类型,例如以太网或 ATM。默认情况下,LAC 不包含此信息。您可以通过在发送到 LNS 的 ICRQ 中包含 NAS 端口信息 AVP (100) 来全局配置 LAC 以提供此信息。此配置使 LAC 能够与思科 LNS 互操作。
要全局配置 LAC 以包括 NAS 端口信息 AVP:
指定 NAS 端口方法。
[edit services l2tp tunnel] user@host# set nas-port-method cisco-avp
LAC 的此全局配置可由隧道配置文件或 RADIUS 中的配置覆盖。
使用 show services l2tp tunnel extensive
命令显示 LAC 的当前行为:
show services l2tp tunnel extensive Tunnel local ID: 51872, Tunnel remote ID: 8660 Remote IP: 192.0.2.20:1701 Sessions: 5, State: Established Tunnel Name: 1/tunnel-test-2 Local IP: 203.0.113.2:1701 Local name: testlac, Remote name: ce-lns Effective Peer Resync Mechanism: silent failover Nas Port Method: none Tunnel Logical System: default, Tunnel Routing Instance: default Max sessions: 128100, Window size: 4, Hello interval: 60 Create time: Thu Jul 25 12:55:41 2013, Up time: 11:18:14 Idle time: 00:00:00 Statistics since: Thu Jul 25 12:55:41 2013 Packets Bytes Control Tx 702 15.5k Control Rx 690 8.5k Data Tx 153.3k 6.6M Data Rx 126.3k 5.9M Errors Tx 0 Errors Rx 0