Layer 2-Tunneling von PPP-Paketen
Layer 2 Tunneling Protocol – Übersicht
L2TP ist in RFC 2661, Layer Two Tunneling Protocol (L2TP) definiert.
L2TP erleichtert das Tunneling von PPP-Paketen über ein zwischengeschaltetes Netzwerk auf eine Weise, die sowohl für Endbenutzer als auch für Anwendungen so transparent wie möglich ist. Es verwendet Zugriffsprofile für den Gruppen- und Einzelbenutzerzugriff und verwendet Authentifizierung, um sichere Verbindungen zwischen den beiden Enden jedes Tunnels herzustellen. Multilink-PPP-Funktionen werden ebenfalls unterstützt.
Die L2TP-Services werden nur auf den folgenden Routern unterstützt:
M7i-Router mit AS-PICs
M10i-Router mit AS- und MultiServices 100 PICs
M120-Router mit AS-, MultiServices 100- und MultiServices 400-PICs
Auf Routern der MX-Serie werden die Funktionen L2TP Access Concentrator (LAC) und L2TP Network Server (LNS) nur auf MPCs unterstützt. Sie werden von keinem Service, PIC oder MS-DPC unterstützt. Weitere Informationen zur MPC-Unterstützung für L2TP finden Sie in der Referenz zu Schnittstellenmodulen der MX-Serie.
Weitere Informationen finden Sie unter L2TP Services Configuration Overview.
Siehe auch
L2TP Services – Konfigurationsübersicht
Die Anweisungen zur Konfiguration von L2TP-Services befinden sich auf den folgenden Hierarchieebenen:
[Services L2TP Tunnel-Group group-namebearbeiten]
Die L2TP-Tunnel-Group-Anweisung identifiziert eine L2TP-Instanz oder einen L2TP-Server. Zugeordnete Anweisungen geben die lokale Gateway-Adresse an, an der eingehende Tunnel und Sitzungen akzeptiert werden, die Adaptive Services (AS) Physical Interface Card (PIC), die Daten für die Sitzungen in dieser Tunnel-Gruppe verarbeitet, Verweise auf L2TP- und PPP-Zugriffsprofile und andere Attribute zum Konfigurieren von Fenstergrößen und Timer-Werten.
[Schnittstellen bearbeiten sp-fpc/pic/port unit logical-unit-number dial-options]
Die Dial-Options-Anweisung enthält die Konfiguration für die l2tp-interface-id-Anweisung und das shared/dedicated-Flag. Der Schnittstellenbezeichner ordnet eine Benutzersitzung einer logischen Schnittstelle zu. Sitzungen können entweder gemeinsam genutzte oder dedizierte logische Schnittstellen nutzen. Zum Ausführen von Routing-Protokollen muss eine Sitzung eine dedizierte logische Schnittstelle verwenden.
[Zugriffsprofil profile-name bearbeiten Client name L2TP]
Tunnelprofile werden auf der Hierarchieebene [Zugriff bearbeiten] definiert. Tunnelclients werden in diesen Profilen mit Authentifizierung, Multilink-Aushandlung und -Fragmentierung sowie anderen L2TP-Attributen definiert.
[Zugriffsprofil profile-name bearbeiten Client name PPP]
Benutzerprofile werden auf der Hierarchieebene [Zugriff bearbeiten] definiert. Benutzerclients werden mit Authentifizierung und anderen PPP-Attributen in diesen Profilen definiert. Diese Clientprofile werden verwendet, wenn die lokale Authentifizierung angegeben ist.
[Zugriff auf Radius-Server addressbearbeiten]
Wenn Sie den Radius der Authentifizierung-Reihenfolge auf der Hierarchieebene [Zugriffsprofil profile-namebearbeiten] konfigurieren, müssen Sie einen RADIUS-Dienst auf der Hierarchieebene [Zugriffsradius-Server bearbeiten] konfigurieren.
Weitere Informationen zum Konfigurieren von Eigenschaften auf der Hierarchieebene [Zugriff bearbeiten] finden Sie in der Junos OS-Verwaltungsbibliothek für Routing-Geräte. Informationen zu L2TP-LAC- und LNS-Konfigurationen auf Routern der MX-Serie für den Anwender-Zugriff finden Sie unter L2TP für Anwenderzugriff – Übersicht im Konfigurationshandbuch für den Junos-Anwenderzugriff.
L2TP – Mindestkonfiguration
Um L2TP-Services zu konfigurieren, müssen Sie mindestens die folgenden Aufgaben ausführen:
Definieren Sie auf Hierarchieebene
[edit services l2tp]eine Tunnel-Gruppe mit folgenden Attributen:l2tp-access-profile– Profilname für den L2TP-Tunnel.ppp-access-profile– Profilname für den L2TP-Benutzer.local-gateway– Adresse für den L2TP-Tunnel.service-interface—AS PIC-Schnittstelle für den L2TP-ServiceOptional können Sie für Debugging-Zwecke konfigurieren
traceoptions.
Das folgende Beispiel zeigt eine Mindestkonfiguration für eine Tunnel-Gruppe mit Trace-Optionen:
[edit services l2tp] tunnel-group finance-lns-server { l2tp-access-profile westcoast_bldg_1_tunnel; ppp-access-profile westcoast_bldg_1; local-gateway { address 10.21.255.129; } service-interface sp-1/3/0; } traceoptions { flag all; filter { protocol udp; protocol l2tp; protocol ppp; protocol radius; } }Auf der
[edit interfaces]Hierarchieebene:Identifizieren Sie z. B
ge-0/3/0. die physische Schnittstelle, an der L2TP-Tunnel-Pakete in den Router gelangen.Konfigurieren Sie die AS-PIC-Schnittstelle mit
unit 0 family inetdefiniert für den IP-Dienst und konfigurieren Sie eine andere logische Schnittstelle mitfamily inetund derdial-optionsAnweisung.
Das folgende Beispiel zeigt eine minimale Schnittstellenkonfiguration für L2TP:
[edit interfaces] ge-0/3/0 { unit 0 { family inet { address 10.58.255.129/28; } } } sp-1/3/0 { unit 0 { family inet; } unit 20 { dial-options { l2tp-interface-id test; shared; } family inet; } }Auf der
[edit access]Hierarchieebene:Konfigurieren Sie ein Tunnel-Profil. Jeder Client gibt einen eindeutigen L2TP Access Concentrator (LAC)-Namen an, dessen
interface-idWert mit dem Wert übereinstimmt, der auf der AS PIC-Schnittstelleneinheit konfiguriert ist;shared-secretzwischen der LAC und dem L2TP Network Server (LNS) Authentifizierung wird.Konfigurieren Sie ein Benutzerprofil. Wenn RADIUS als Authentifizierungsmethode verwendet wird, muss es definiert werden.
Definieren Sie den RADIUS-Server mit einer IP-Adresse, einem Port und Authentifizierungsdaten, die vom Router und dem RADIUS-Server gemeinsam genutzt werden.
Hinweis:Wenn der L2TP-Netzwerkserver (LNS) mit RADIUS-Authentifizierung konfiguriert ist, wird standardmäßig die bevorzugte RADIUS-zugewiesene IP-Adresse akzeptiert. Bisher bestand das Standardverhalten darin, die Peer-IP-Adresse ungleich Null zu akzeptieren und zu installieren, die in der Option IP-Adresse des IPCP-Konfigurationsanforderungspakets enthalten war.
Optional können Sie ein Gruppenprofil für allgemeine Attribute definieren, z. B
keepalive 0. um Keepalive-Nachrichten zu deaktivieren.
Das folgende Beispiel zeigt eine Mindestprofilkonfiguration für L2TP:
[edit access] group-profile westcoast_users { ppp { keepalive 0; } } profile westcoast_bldg_1_tunnel { client production { l2tp { interface-id test; shared-secret "$ABC123"; # SECRET-DATA } user-group-profile westcoast_users; } } profile westcoast_bldg_1 { authentication-order radius; } radius-server { 192.168.65.63 { port 1812; secret "$ABC123"; # SECRET-DATA } }
Siehe auch
Konfigurieren von L2TP-Tunnelgruppen
Um einen L2TP-Dienst auf einem Router einzurichten, müssen Sie eine L2TP-Tunnel-Gruppe identifizieren und eine Reihe von Werten angeben, die definieren, welche Zugriffsprofile, Schnittstellenadressen und andere Eigenschaften beim Erstellen eines Tunnels verwendet werden sollen. Um die Tunnel-Gruppe zu identifizieren, schließen Sie die tunnel-group Anweisung auf Hierarchieebene [edit services l2tp] ein.
Wenn Sie eine Tunnel-Gruppe löschen oder als inaktiv markieren, werden alle L2TP-Sitzungen in dieser Tunnel-Gruppe beendet. Wenn Sie den Wert der oder der local-gateway address service-interface Anweisung ändern, werden alle L2TP-Sitzungen beendet, die diese Einstellungen verwenden. Wenn Sie andere Anweisungen auf Hierarchieebene [edit services l2tp tunnel-group group-name] ändern oder löschen, verwenden neue Tunnel, die Sie einrichten, die aktualisierten Werte, aber vorhandene Tunnel und Sitzungen sind nicht betroffen.
In den folgenden Abschnitten wird erläutert, wie L2TP-Tunnelgruppen konfiguriert werden:
- Konfigurieren von Zugriffsprofilen für L2TP-Tunnelgruppen
- Konfiguration der lokalen Gateway-Adresse und des PIC
- Konfigurieren der Fenstergröße für L2TP-Tunnel
- Konfigurieren von Timern für L2TP-Tunnel
- Ausblenden von Attribut-Wert-Paaren für L2TP-Tunnel
- Konfigurieren der Systemprotokollierung der L2TP-Tunnelaktivität
Konfigurieren von Zugriffsprofilen für L2TP-Tunnelgruppen
Um L2TP-Verbindungen und Sitzungsanforderungen zu validieren, richten Sie Zugriffsprofile ein, indem Sie die profile Anweisung auf Hierarchieebene [edit access] konfigurieren. Sie müssen zwei Arten von Profilen konfigurieren:
L2TP-Tunnel-Zugriffsprofil, das alle L2TP-Verbindungsanfragen an die angegebene lokale Gateway-Adresse validiert
PPP-Zugriffsprofil, das alle PPP-Sitzungsanfragen über L2TP-Tunnel validiert, die an die lokale Gateway-Adresse eingerichtet wurden
Weitere Informationen zum Konfigurieren der Profile finden Sie in der Junos OS-Administrationsbibliothek für Routing-Geräte. Ein Profilbeispiel finden Sie unter Beispiele: Konfigurieren von L2TP-Diensten.
Um die Profile einer Tunnel-Gruppe zuzuordnen, schließen Sie die l2tp-access-profile und-Anweisungen ppp-access-profile auf Hierarchieebene [edit services l2tp tunnel-group group-name] ein:
l2tp-access-profile profile-name; ppp-access-profile profile-name;
Konfiguration der lokalen Gateway-Adresse und des PIC
Wenn Sie eine L2TP-Gruppe konfigurieren, müssen Sie auch eine lokale Adresse für die L2TP-Tunnel-Verbindungen und den AS-PIC definieren, der die Anforderungen verarbeitet:
Um die IP-Adresse des lokalen Gateways zu konfigurieren, schließen Sie die
addressAnweisung auf Hierarchieebene[edit services l2tp tunnel-group group-name local-gateway]ein:address address;
Um das AS PIC zu konfigurieren, schließen Sie die
service-interfaceAnweisung auf der[edit services l2tp tunnel-group group-name]Hierarchieebene ein:service-interface sp-fpc/pic/port;
Sie können optional die logische Einheitennummer zusammen mit der Serviceschnittstelle angeben. Wenn angegeben, wird die Einheit als logische Schnittstelle verwendet, die PPP-Sitzungen darstellt, die mit diesem Profil ausgehandelt werden.
Wenn Sie die lokale Gateway-Adresse oder die Konfiguration der Serviceschnittstelle ändern, werden alle L2TP-Sitzungen beendet, die diese Einstellungen verwenden.
Dynamische Class-of-Service-Funktionen (CoS) werden in L2TP-LNS-Sitzungen oder L2TP-Sitzungen mit ATM-VCs unterstützt, solange die L2TP-Sitzung für die Verwendung eines IQ2-PIC auf der Ausgangsschnittstelle konfiguriert ist. Weitere Informationen finden Sie im Class-of-Service-Benutzerhandbuch (Router und EX9200-Switches).
Konfigurieren der Fenstergröße für L2TP-Tunnel
Sie können die maximale Fenstergröße für die Paketverarbeitung an jedem Ende des L2TP-Tunnels konfigurieren:
Die Größe des Empfangsfensters begrenzt die Anzahl der gleichzeitigen Pakete, die der Server verarbeitet. Standardmäßig beträgt das Maximum 16 Pakete. Um die Fenstergröße zu ändern, fügen Sie die
receive-windowAnweisung auf Hierarchieebene[edit services l2tp tunnel-group group-name]ein:receive-window packets;
Die maximale Größe des Sendefensters begrenzt die Größe des Empfangsfensters des anderen Endes. Die Informationen werden im Attribut-Wert-Paar für die Größe des Empfangsfensters übertragen. Standardmäßig beträgt das Maximum 32 Pakete. Um die Fenstergröße zu ändern, fügen Sie die
maximum-send-windowAnweisung auf Hierarchieebene[edit services l2tp tunnel-group group-name]ein:maximum-send-window packets;
Konfigurieren von Timern für L2TP-Tunnel
Sie können die folgenden Timerwerte konfigurieren, die die L2TP-Tunnel-Verarbeitung steuern:
Hallo-Intervall: Wenn der Server innerhalb eines bestimmten Zeitintervalls keine Nachrichten empfängt, sendet die Router-Software eine Hallo-Nachricht an den Remote-Peer des Tunnels. Standardmäßig beträgt die Intervalllänge 60 Sekunden. Wenn Sie den Wert 0 konfigurieren, werden keine Hello-Nachrichten gesendet. Um einen anderen Wert zu konfigurieren, schließen Sie die
hello-intervalAnweisung auf Hierarchieebene[edit services l2tp tunnel-group group-name]ein:hello-interval seconds;
Intervall für erneute Übertragung: Standardmäßig beträgt das Intervall für die erneute Übertragung 30 Sekunden. Um einen anderen Wert zu konfigurieren, schließen Sie die
retransmit-intervalAnweisung auf Hierarchieebene[edit services l2tp tunnel-group group-name]ein:retransmit-interval seconds;
Tunnel-Timeout: Wenn der Server innerhalb eines bestimmten Zeitintervalls keine Daten über den Tunnel senden kann, geht er davon aus, dass die Verbindung mit dem Remote-Peer unterbrochen wurde, und löscht den Tunnel. Standardmäßig beträgt die Intervalllänge 120 Sekunden. Um einen anderen Wert zu konfigurieren, schließen Sie die
tunnel-timeoutAnweisung auf Hierarchieebene[edit services l2tp tunnel-group group-name]ein:tunnel-timeout seconds;
Ausblenden von Attribut-Wert-Paaren für L2TP-Tunnel
Sobald ein L2TP-Tunnel eingerichtet und die Verbindung authentifiziert wurde, werden die Informationen mithilfe von Attribut-Wert-Paaren verschlüsselt. Standardmäßig sind diese Informationen nicht ausgeblendet. Um die Attribut-Wert-Paare auszublenden, sobald der gemeinsame geheime Schlüssel bekannt ist, schließen Sie die hide-avps Anweisung auf Hierarchieebene [edit services l2tp tunnel-group group-name] ein:
hide-avps;
Konfigurieren der Systemprotokollierung der L2TP-Tunnelaktivität
Sie können Eigenschaften angeben, die steuern, wie Systemprotokollmeldungen für L2TP-Services generiert werden.
Um schnittstellenweite Standardwerte für die Systemprotokollierung zu konfigurieren, schließen Sie die syslog Anweisung auf Hierarchieebene [edit services l2tp tunnel-group group-name] ein:
syslog { host hostname { services severity-level; facility-override facility-name; log-prefix prefix-value; } }
Konfigurieren Sie die host Anweisung mit einem Hostnamen oder einer IP-Adresse, die den Zielserver des Systemprotokolls angibt. Der Hostname local leitet Systemprotokollmeldungen an die Routing-Engine weiter. Bei externen Systemprotokollservern muss der Hostname von derselben Routing-Instanz aus erreichbar sein, an die das ursprüngliche Datenpaket (das den Sitzungsaufbau ausgelöst hat) übermittelt wird. Sie können nur einen Hostnamen für die Systemprotokollierung angeben.
Tabelle 1 listet die Schweregrade auf, die Sie in Konfigurationsanweisungen auf Hierarchieebene [edit services l2tp tunnel-group group-name syslog host hostname] angeben können. Die Stufen von emergency bis sind info vom höchsten Schweregrad (größte Auswirkung auf die Funktion) bis zum niedrigsten geordnet.
Schweregrad |
Beschreibung |
|---|---|
|
Umfasst alle Schweregrade |
|
Systempanik oder ein anderer Zustand, der dazu führt, dass der Router nicht mehr funktioniert |
|
Bedingungen, die eine sofortige Korrektur erfordern, wie z. B. eine beschädigte Systemdatenbank |
|
Kritische Bedingungen, wie z. B. Festplattenfehler |
|
Fehlerzustände, die in der Regel weniger schwerwiegende Folgen haben als Fehler in der Notfall-, Alarm- und kritischen Stufe |
|
Überwachungsbedürftige Bedingungen |
|
Bedingungen, die keine Fehler sind, aber eine besondere Behandlung rechtfertigen könnten |
|
Ereignisse oder Nicht-Fehlerbedingungen von Interesse |
Es wird empfohlen, den Schweregrad der Systemprotokollierung während des normalen Betriebs auf error festzulegen. Um die PIC-Ressourcennutzung zu überwachen, legen Sie die Stufe auf warningfest. Um Informationen über einen Intrusion Attack zu sammeln, wenn ein Intrusion Detection Systemfehler erkannt wird, legen Sie die Stufe für ein bestimmtes Service-Set auf notice fest. Um eine Konfiguration zu debuggen oder Network Address Translation (NAT)-Ereignisse zu protokollieren, legen Sie die Stufe auf infofest.
Weitere Informationen zu Systemprotokollmeldungen finden Sie im Systemprotokoll-Explorer.
Um einen bestimmten Einrichtungscode für die gesamte Protokollierung auf dem angegebenen Systemprotokollhost zu verwenden, schließen Sie die facility-override Anweisung auf Hierarchieebene [edit services l2tp tunnel-group group-name syslog host hostname] ein:
facility-override facility-name;
Zu den unterstützten Einrichtungen gehören: , , , , und local0 userdurch local7. kernelftpdaemonauthorization
Um ein Textpräfix für die gesamte Protokollierung auf diesem Systemprotokollhost anzugeben, fügen Sie die log-prefix Anweisung auf Hierarchieebene [edit services l2tp tunnel-group group-name syslog host hostname] ein:
log-prefix prefix-text;
Konfiguration der Kennung für logische Schnittstellen, die L2TP-Services bereitstellen
Sie können L2TP-Services nur auf adaptiven Serviceschnittstellen auf Routern der M7i-, M10i-, M120- und MX-Serie konfigurieren. Sie müssen die logische Schnittstelle so konfigurieren, dass sie dediziert oder freigegeben ist. Wenn eine logische Schnittstelle dediziert ist, kann sie jeweils nur eine Sitzung darstellen. Eine gemeinsam genutzte logische Schnittstelle kann mehrere Sitzungen haben.
Um die logische Schnittstelle zu konfigurieren, fügen Sie die l2tp-interface-id Anweisung auf Hierarchieebene [edit interfaces interface-name unit logical-unit-number dial-options] ein:
l2tp-interface-id name; (dedicated | shared);
Der l2tp-interface-id auf der logischen Schnittstelle konfigurierte Name muss auf der [edit access profile name] Hierarchieebene repliziert werden:
Fügen Sie für einen benutzerspezifischen Bezeichner die
l2tp-interface-idAnweisung auf Hierarchieebene[edit access profile name ppp]ein.Fügen Sie für einen Gruppenbezeichner die
l2tp-interface-idAnweisung auf Hierarchieebene[edit access profile name l2tp]ein.
Sie können mehrere logische Schnittstellen mit derselben Schnittstellenkennung konfigurieren, die als Pool für mehrere Benutzer verwendet werden sollen. Weitere Informationen zum Konfigurieren von Zugriffsprofilen finden Sie in der Junos OS-Verwaltungsbibliothek für Routing-Geräte.
Wenn Sie die dial-options auf einer logischen Schnittstelle konfigurierten Anweisungseinstellungen löschen, werden alle L2TP-Sitzungen beendet, die auf dieser Schnittstelle ausgeführt werden.
Beispiel: Multilink-PPP auf einer gemeinsam genutzten logischen Schnittstelle konfigurieren
Multilink PPP wird entweder auf gemeinsam genutzten oder dedizierten logischen Schnittstellen unterstützt. Das folgende Beispiel kann verwendet werden, um viele Multilink-Bundles auf einer einzigen gemeinsam genutzten Schnittstelle zu konfigurieren:
interfaces {
sp-1/3/0 {
traceoptions {
flag all;
}
unit 0 {
family inet;
}
unit 20 {
dial-options {
l2tp-interface-id test;
shared;
}
family inet;
}
}
}
access {
profile t {
client test {
l2tp {
interface-id test;
multilink;
shared-secret "$ABC123"; # SECRET-DATA
}
}
}
profile u {
authentication-order radius;
}
radius-server {
192.168.65.63 {
port 1812;
secret "$ABC123"; # SECRET-DATA
}
}
}
services {
l2tp {
tunnel-group 1 {
l2tp-access-profile t;
ppp-access-profile u;
local-gateway {
address 10.70.1.1;
}
service-interface sp-1/3/0;
}
traceoptions {
flag all;
debug-level packet-dump;
filter {
protocol l2tp;
protocol ppp;
protocol radius;
}
}
}
}
AS PIC-Redundanz für L2TP-Services
L2TP-Services unterstützen AS-PIC-Redundanz. Um die Redundanz zu konfigurieren, geben Sie eine Redundanz-Services-PIC-Schnittstelle (rsp) an, in der der primäre AS-PIC aktiv und ein sekundärer AS-PIC im Standby-Modus ist. Wenn der primäre AS-PIC ausfällt, wird der sekundäre PIC aktiv, und die gesamte Serviceverarbeitung wird an ihn übertragen. Wenn der primäre AS-PIC wiederhergestellt wird, bleibt er im Standby-Modus und greift dem sekundären AS PIC nicht vor. Sie müssen die Services manuell im primären PIC wiederherstellen. Um festzustellen, welcher PIC derzeit aktiv ist, geben Sie den show interfaces redundancy Befehl ein.
Auf L2TP wird als einzige Serviceoption der Warm-Standby-Modus unterstützt, bei dem ein Backup-PIC mehrere funktionierende PIC unterstützt. Die Wiederherstellungszeiten sind nicht garantiert, da die Konfiguration auf der Sicherungs-PIC vollständig wiederhergestellt werden muss, nachdem ein Fehler erkannt wurde. Die Tunnel und Sitzungen werden beim Switchover abgebrochen und müssen vom LAC- bzw. PPP-Client neu gestartet werden. Die Konfiguration bleibt jedoch erhalten und ist auf dem neuen aktiven PIC verfügbar, obwohl der Protokollstatus wiederhergestellt werden muss.
Wie bei den anderen AS PIC-Services, die Warm-Standby unterstützen, können Sie den request interfaces (revert | switchover) Befehl zum manuellen Umschalten zwischen primären und sekundären L2TP-Schnittstellen ausführen.
Weitere Informationen finden Sie unter Konfigurieren von AS- oder Multiservices-PIC-Redundanz. Eine Beispielkonfiguration finden Sie unter Beispiele: Konfigurieren von L2TP-Diensten. Informationen zu Betriebsmodusbefehlen finden Sie im CLI-Explorer.
Beispiele: Konfiguration von L2TP-Services
Konfigurieren Sie L2TP mit mehreren Gruppen- und Benutzerprofilen und einem Pool logischer Schnittstellen für gleichzeitige Tunnel-Sitzungen:
[edit access]
address-pool customer_a {
address 10.1.1.1/32;
}
address-pool customer_b {
address-range low 10.2.2.1 high 10.2.3.2;
}
group-profile sunnyvale_users {
ppp {
framed-pool customer_a;
idle-timeout 15;
primary-dns 192.168.65.1;
secondary-dns 192.168.65.2;
primary-wins 192.168.65.3;
secondary-wins 192.168.65.4;
interface-id west;
}
}
group-profile eastcoast_users {
ppp {
framed-pool customer_b;
idle-timeout 20;
primary-dns 192.168.65.5;
secondary-dns 192.168.65.6;
primary-wins 192.168.65.7;
secondary-wins 192.168.65.8;
interface-id east;
}
}
group-profile sunnyvale_tunnel {
l2tp {
maximum-sessions-per-tunnel 100;
interface-id west_shared;
}
}
group-profile east_tunnel {
l2tp {
maximum-sessions-per-tunnel 125;
interface-id east_shared;
}
}
profile sunnyvale_bldg_1 {
client white {
chap-secret "$ABC123"; # SECRET-DATA
ppp {
idle-timeout 22;
primary-dns 192.168.65.1;
framed-ip-address 10.12.12.12/32;
interface-id east;
}
group-profile sunnyvale_users;
}
client blue {
chap-secret "$ABC123"; # SECRET-DATA
group-profile sunnyvale_users;
}
authentication-order password;
}
profile sunnyvale_bldg_1_tunnel {
client test {
l2tp {
shared-secret "$ABC123"; # SECRET-DATA
maximum-sessions-per-tunnel 75;
interface-id west_shared;
ppp-authentication chap;
}
group-profile sunnyvale_tunnel;
}
client production {
l2tp {
shared-secret "$ABC123";
ppp-authentication chap;
}
group-profile sunnyvale_tunnel;
}
}
[edit services]
l2tp {
tunnel-group finance-lns-server {
l2tp-access-profile sunnyvale_bldg_1_tunnel;
ppp-access-profile sunnyvale_bldg_1;
local-gateway {
address 10.1.117.3;
}
service-interface sp-1/3/0;
receive-window 1500;
maximum-send-window 1200;
retransmit-interval 5;
hello-interval 15;
tunnel-timeout 55;
}
traceoptions {
flag all;
}
}
[edit interfaces sp-1/3/0]
unit0 {
family inet;
}
unit 10 {
dial-options {
l2tp-interface-id foo-user;
dedicated;
}
family inet;
}
unit 11 {
dial-options {
l2tp-interface-id east;
dedicated;
}
family inet;
}
unit 12 {
dial-options {
l2tp-interface-id east;
dedicated;
}
family inet;
}
unit 21 {
dial-options {
l2tp-interface-id west;
dedicated;
}
family inet;
}
unit 30 {
dial-options {
l2tp-interface-id west_shared;
shared;
}
family inet;
}
unit 40 {
dial-options {
l2tp-interface-id east_shared;
shared;
}
family inet;
}
Konfiguration der L2TP-Redundanz:
interfaces {
rsp0 {
redundancy-options {
primary sp-0/0/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 11 {
dial-options {
l2tp-interface-id east_shared;
shared;
}
family inet;
}
}
}
Nachverfolgung von L2TP-Vorgängen
Verfolgungsvorgänge verfolgen alle AS-PIC-Vorgänge und zeichnen sie in einer Protokolldatei im Verzeichnis /var/log auf. Standardmäßig heißt diese Datei /var/log/l2tpd.
Dieses Thema bezieht sich auf die Nachverfolgung von L2TP LNS-Vorgängen auf Routern der M Series. Informationen zum Verfolgen von L2TP-LAC-Vorgängen auf Routern der MX-Serie finden Sie unter Ablaufverfolgung von L2TP-Ereignissen zur Fehlerbehebung.
Um L2TP-Vorgänge nachzuverfolgen, fügen Sie die traceoptions Anweisung auf Hierarchieebene [edit services l2tp] ein:
traceoptions { debug-level level; file <filename> <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; filter { protocol name; user-name username; } flag flag; interfaces interface-name { debug-level severity; flag flag; } level (all | error | info | notice | verbose | warning); no-remote-trace; }
Sie können die folgenden L2TP-Ablaufverfolgungsflags angeben:
all– Verfolgen Sie alles.configuration– Verfolgen Sie Konfigurationsereignisse.protocol– Verfolgung von Routing-Protokollereignissen.routing-socket– Verfolgen Sie Routing-Socket-Ereignisse.rpd– Verfolgen Sie Prozessereignisse des Routing-Protokolls.
Sie können eine Ablaufverfolgungsebene für die Ablaufverfolgung von PPP, L2TP, RADIUS und User Datagram Protocol (UDP) angeben. Um eine Ablaufverfolgungsebene zu konfigurieren, schließen Sie die debug-level Anweisung auf der [edit services l2tp traceoptions] Hierarchieebene ein und geben Sie einen der folgenden Werte an:
detail– Detaillierte Debug-Informationenerror– Nur Fehlerpacket-dump– Informationen zur Paketdekodierung
Sie können nach Protokoll filtern. Um Filter zu konfigurieren, schließen Sie die filter protocol Anweisung auf Hierarchieebene [edit services l2tp traceoptions] ein und geben Sie einen oder mehrere der folgenden Protokollwerte an:
pppl2tpradiusudp
Um das Filtern nach Protokollnamen zu implementieren, müssen Sie auch entweder flag protocol oder konfigurieren flag all.
Sie können Trace-Optionen für L2TP auch auf einer speziellen Adaptive Services-Schnittstelle konfigurieren. Um die Ablaufverfolgung pro Schnittstelle zu konfigurieren, schließen Sie die interfaces Anweisung auf Hierarchieebene [edit services l2tp traceoptions] ein:
interfaces interface-name {
debug-level level;
flag flag;
}
Die Implementierung von Trace-Optionen verbraucht CPU-Ressourcen und wirkt sich auf die Paketverarbeitungsleistung aus.
Sie können die debug-level and-Anweisungen flag für die Schnittstelle angeben, aber die Optionen unterscheiden sich geringfügig von den allgemeinen L2TP-Trace-Optionen. Sie geben die Debug-Ebene als detail, erroroder extensivean, die vollständige PIC-Debug-Informationen bereitstellt. Die folgenden Flags sind verfügbar:
all– Verfolgen Sie alles.ipc– Verfolgen Sie IPC-Nachrichten (L2TP Inter-Process Communication) zwischen dem PIC und der Routing-Engine.packet-dump– Dump des Inhalts jedes Pakets basierend auf der Debug-Ebene.protocol– Trace L2TP, PPP und Multilink-Handling.system– Trace-Paketverarbeitung auf dem PIC.