Layer 2-Tunneling von PPP-Paketen
Übersicht über das Layer 2-Tunneling-Protokoll
L2TP ist in RFC 2661, Layer Two Tunneling Protocol (L2TP) definiert.
L2TP ermöglicht das Tunneln von PPP-Paketen über ein dazwischenliegendes Netzwerk auf eine Weise, die sowohl für Endbenutzer als auch für Anwendungen so transparent wie möglich ist. Es verwendet Zugriffsprofile für den Gruppen- und Einzelbenutzerzugriff und verwendet Authentifizierung, um sichere Verbindungen zwischen den beiden Enden jedes Tunnels herzustellen. Die Multilink-PPP-Funktionalität wird ebenfalls unterstützt.
Die L2TP-Services werden nur auf den folgenden Routern unterstützt:
M7i-Router mit AS PICs
M10i-Router mit AS und MultiServices 100 PICs
M120-Router mit AS, MultiServices 100 und MultiServices 400 PICs
Auf Routern der MX-Serie werden die Funktionen L2TP Access Concentrator (LAC) und L2TP Network Server (LNS) nur auf MPCs unterstützt. sie werden von keinem Dienst, PIC oder MS-DPC unterstützt. Weitere Informationen zur MPC-Unterstützung für L2TP finden Sie in der Referenz zu Schnittstellenmodulen der MX-Serie
Weitere Informationen finden Sie unter Übersicht über die Konfiguration von L2TP-Services.
Siehe auch
Übersicht über die Konfiguration von L2TP-Services
Die Anweisungen zur Konfiguration von L2TP-Services finden Sie auf den folgenden Hierarchieebenen:
[Services L2TP Tunnel-Gruppe group-namebearbeiten]
Die L2TP-Tunnelgruppenanweisung identifiziert eine L2TP-Instanz oder einen L2TP-Server. Zugehörige Anweisungen geben die Adresse des lokalen Gateways an, auf der eingehende Tunnel und Sitzungen akzeptiert werden, die physische Schnittstellenkarte (Physical Interface Card , PIC) für Adaptive Services (AS), die Daten für die Sitzungen in dieser Tunnelgruppe verarbeitet, Verweise auf L2TP- und PPP-Zugriffsprofile und andere Attribute für die Konfiguration von Fenstergrößen und Timer-Werten.
[Schnittstellen bearbeiten sp-fpc/pic/port Einheiten-Wähloptionen logical-unit-number ]
Die Anweisung dial-options umfasst die Konfiguration für die Anweisung l2tp-interface-id und das Shared/Dedicated-Flag . Der Schnittstellenbezeichner ordnet eine Benutzersitzung einer logischen Schnittstelle zu. Sitzungen können entweder gemeinsam genutzte oder dedizierte logische Schnittstellen verwenden. Zum Ausführen von Routingprotokollen muss eine Sitzung eine dedizierte logische Schnittstelle verwenden.
[Zugriffsprofil-Client profile-name name L2TP bearbeiten]
Tunnelprofile werden auf der Hierarchieebene [Zugriff bearbeiten] definiert. Tunnelclients sind mit Authentifizierung, Multilink-Aushandlung und Fragmentierung und anderen L2TP-Attributen in diesen Profilen definiert.
[Zugriffsprofil-Client-PPP profile-name name bearbeiten]
Benutzerprofile werden auf der Hierarchieebene [Zugriff bearbeiten] definiert. Benutzerclients werden mit Authentifizierung und anderen PPP-Attributen in diesen Profilen definiert. Diese Clientprofile werden verwendet, wenn die lokale Authentifizierung angegeben ist.
[Access Radius-Server addressbearbeiten]
Wenn Sie den Radius für die Authentifizierungsreihenfolge auf der Hierarchieebene [Zugriffsprofil profile-namebearbeiten] konfigurieren, müssen Sie einen RADIUS-Dienst auf der Hierarchieebene [Zugriffsradius bearbeiten] konfigurieren.
Weitere Informationen zum Konfigurieren von Eigenschaften auf der Hierarchieebene [Zugriff bearbeiten] finden Sie in der Junos OS Administration Library for Routing Devices. Weitere Informationen zu L2TP-LAC- und LNS-Konfigurationen auf Routern der MX-Serie für den Teilnehmerzugriff finden Sie unter Übersicht über L2TP für den Teilnehmerzugriff im Junos Subscriber Access Configuration Guide.
L2TP-Mindestkonfiguration
Um L2TP-Services zu konfigurieren, müssen Sie mindestens die folgenden Aufgaben ausführen:
Definieren Sie auf Hierarchieebene
[edit services l2tp]eine Tunnelgruppe mit folgenden Attributen:l2tp-access-profile– Profilname für den L2TP-Tunnel.ppp-access-profile– Profilname für den L2TP-Benutzer.local-gateway—Adresse für den L2TP-Tunnel.service-interface– AS-PIC-Schnittstelle für den L2TP-Service.Optional können Sie zu Debugging-Zwecken konfigurieren
traceoptions.
Das folgende Beispiel zeigt eine Mindestkonfiguration für eine Tunnelgruppe mit Ablaufverfolgungsoptionen:
[edit services l2tp] tunnel-group finance-lns-server { l2tp-access-profile westcoast_bldg_1_tunnel; ppp-access-profile westcoast_bldg_1; local-gateway { address 10.21.255.129; } service-interface sp-1/3/0; } traceoptions { flag all; filter { protocol udp; protocol l2tp; protocol ppp; protocol radius; } }Auf der
[edit interfaces]Hierarchieebene:Identifizieren Sie z. B
ge-0/3/0. die physische Schnittstelle, über die L2TP-Tunnelpakete in den Router gelangen.Konfigurieren Sie die AS PIC-Schnittstelle mit
unit 0 family inetdefiniert für den IP-Dienst, und konfigurieren Sie eine weitere logische Schnittstelle mitfamily inetund diedial-optionsAnweisung.
Das folgende Beispiel zeigt eine minimale Schnittstellenkonfiguration für L2TP:
[edit interfaces] ge-0/3/0 { unit 0 { family inet { address 10.58.255.129/28; } } } sp-1/3/0 { unit 0 { family inet; } unit 20 { dial-options { l2tp-interface-id test; shared; } family inet; } }Auf der
[edit access]Hierarchieebene:Konfigurieren Sie ein Tunnelprofil. Jeder Client gibt einen eindeutigen L2TP Access Concentrator (LAC)-Namen mit einem
interface-idWert an, der mit dem auf der AS PIC-Schnittstelleneinheit konfigurierten Wert übereinstimmt.shared-secretist die Authentifizierung zwischen dem LAC und dem L2TP-Netzwerkserver (LNS).Konfigurieren Sie ein Benutzerprofil. Wenn RADIUS als Authentifizierungsmethode verwendet wird, muss es definiert werden.
Definieren Sie den RADIUS-Server mit einer IP-Adresse, einem Port und Authentifizierungsdaten, die vom Router und dem RADIUS-Server gemeinsam genutzt werden.
Anmerkung:Wenn der L2TP-Netzwerkserver (LNS) mit RADIUS-Authentifizierung konfiguriert ist, wird standardmäßig die bevorzugte, von RADIUS zugewiesene IP-Adresse akzeptiert. Zuvor bestand das Standardverhalten darin, die Peer-IP-Adresse ungleich Null zu akzeptieren und zu installieren, die in der Option IP-Adresse des IPCP-Konfigurationsanforderungspakets enthalten war.
Optional können Sie ein Gruppenprofil für allgemeine Attribute definieren, um z. B
keepalive 0. Keepalive-Nachrichten zu deaktivieren.
Das folgende Beispiel zeigt eine minimale Profilkonfiguration für L2TP:
[edit access] group-profile westcoast_users { ppp { keepalive 0; } } profile westcoast_bldg_1_tunnel { client production { l2tp { interface-id test; shared-secret "$ABC123"; # SECRET-DATA } user-group-profile westcoast_users; } } profile westcoast_bldg_1 { authentication-order radius; } radius-server { 192.168.65.63 { port 1812; secret "$ABC123"; # SECRET-DATA } }
Siehe auch
Konfigurieren von L2TP-Tunnelgruppen
Um einen L2TP-Dienst auf einem Router einzurichten, müssen Sie eine L2TP-Tunnelgruppe identifizieren und eine Reihe von Werten angeben, die definieren, welche Zugriffsprofile, Schnittstellenadressen und andere Eigenschaften beim Erstellen eines Tunnels verwendet werden sollen. Um die Tunnelgruppe zu identifizieren, fügen Sie die tunnel-group Anweisung auf der [edit services l2tp] Hierarchieebene ein.
Wenn Sie eine Tunnelgruppe löschen oder als inaktiv markieren, werden alle L2TP-Sitzungen in dieser Tunnelgruppe beendet. Wenn Sie den Wert der Anweisung oder ändern, werden alle L2TP-Sitzungen, die local-gateway address service-interface diese Einstellungen verwenden, beendet. Wenn Sie andere Anweisungen auf Hierarchieebene ändern oder löschen, verwenden neue Tunnel, die [edit services l2tp tunnel-group group-name] Sie einrichten, die aktualisierten Werte, aber vorhandene Tunnel und Sitzungen sind davon nicht betroffen.
In den folgenden Abschnitten wird die Konfiguration von L2TP-Tunnelgruppen erläutert:
- Konfigurieren von Zugriffsprofilen für L2TP-Tunnelgruppen
- Konfigurieren der lokalen Gateway-Adresse und des PIC
- Konfigurieren der Fenstergröße für L2TP-Tunnel
- Konfigurieren von Zeitgebern für L2TP-Tunnel
- Ausblenden von Attribut-Wert-Paaren für L2TP-Tunnel
- Konfigurieren der Systemprotokollierung der L2TP-Tunnelaktivität
Konfigurieren von Zugriffsprofilen für L2TP-Tunnelgruppen
Um L2TP-Verbindungen und Sitzungsanforderungen zu validieren, richten Sie Zugriffsprofile ein, indem Sie die Anweisung profile auf Hierarchieebene [edit access] konfigurieren. Sie müssen zwei Arten von Profilen konfigurieren:
L2TP-Tunnel-Zugriffsprofil, das alle L2TP-Verbindungsanfragen an die angegebene lokale Gateway-Adresse validiert
PPP-Zugriffsprofil, das alle PPP-Sitzungsanforderungen über L2TP-Tunnel validiert, die zur lokalen Gateway-Adresse eingerichtet werden
Weitere Informationen zum Konfigurieren der Profile finden Sie in der Junos OS Administration Library for Routing Devices. Ein Profilbeispiel finden Sie unter Beispiele: Konfigurieren von L2TP-Services.
Um die Profile einer Tunnelgruppe zuzuordnen, schließen Sie die l2tp-access-profile and-Anweisungen ppp-access-profile auf Hierarchieebene [edit services l2tp tunnel-group group-name] ein:
l2tp-access-profile profile-name; ppp-access-profile profile-name;
Konfigurieren der lokalen Gateway-Adresse und des PIC
Wenn Sie eine L2TP-Gruppe konfigurieren, müssen Sie auch eine lokale Adresse für die L2TP-Tunnelverbindungen und den AS PIC definieren, der die Anforderungen verarbeitet:
Um die IP-Adresse des lokalen Gateways zu konfigurieren, schließen Sie die
addressAnweisung auf der[edit services l2tp tunnel-group group-name local-gateway]Hierarchieebene ein:address address;
Um das AS PIC zu konfigurieren, fügen Sie die
service-interfaceAnweisung auf der[edit services l2tp tunnel-group group-name]Hierarchieebene ein:service-interface sp-fpc/pic/port;
Optional können Sie die logische Einheitennummer zusammen mit dem Service-Interface angeben. Falls angegeben, wird die Unit als logische Schnittstelle verwendet, die PPP-Sitzungen darstellt, die mit diesem Profil ausgehandelt wurden.
Wenn Sie die lokale Gateway-Adresse oder die Konfiguration der Dienstschnittstelle ändern, werden alle L2TP-Sitzungen, die diese Einstellungen verwenden, beendet.
Dynamische Class-of-Service-Funktionen (CoS) werden in L2TP-LNS-Sitzungen oder L2TP-Sitzungen mit ATM-VCs unterstützt, solange die L2TP-Sitzung für die Verwendung eines IQ2-PIC auf der Ausgangsschnittstelle konfiguriert ist. Weitere Informationen finden Sie im Class of Service-Benutzerhandbuch (Router und EX9200-Switches).
Konfigurieren der Fenstergröße für L2TP-Tunnel
Sie können die maximale Fenstergröße für die Paketverarbeitung an jedem Ende des L2TP-Tunnels konfigurieren:
Die Größe des Empfangsfensters begrenzt die Anzahl der gleichzeitigen Pakete, die der Server verarbeitet. Standardmäßig beträgt das Maximum 16 Pakete. Um die Fenstergröße zu ändern, fügen Sie die
receive-windowAnweisung auf der[edit services l2tp tunnel-group group-name]Hierarchieebene ein:receive-window packets;
Die maximale Sendefenstergröße begrenzt die Größe des Empfangsfensters am anderen Ende. Die Informationen werden im Attribut-Wert-Paar für die Größe des Empfangsfensters übertragen. Standardmäßig beträgt das Maximum 32 Pakete. Um die Fenstergröße zu ändern, fügen Sie die
maximum-send-windowAnweisung auf der[edit services l2tp tunnel-group group-name]Hierarchieebene ein:maximum-send-window packets;
Konfigurieren von Zeitgebern für L2TP-Tunnel
Sie können die folgenden Timer-Werte konfigurieren, die die L2TP-Tunnelverarbeitung regeln:
Hello-Intervall: Wenn der Server innerhalb eines bestimmten Zeitintervalls keine Nachrichten empfängt, sendet die Router-Software eine Hello-Nachricht an den Remote-Peer des Tunnels. Standardmäßig beträgt die Intervalllänge 60 Sekunden. Wenn Sie den Wert 0 konfigurieren, werden keine Hallo-Nachrichten gesendet. Um einen anderen Wert zu konfigurieren, fügen Sie die
hello-intervalAnweisung auf der[edit services l2tp tunnel-group group-name]Hierarchieebene ein:hello-interval seconds;
Intervall für erneute Übertragungen: Standardmäßig beträgt das Intervall für die erneute Übertragung 30 Sekunden. Um einen anderen Wert zu konfigurieren, fügen Sie die
retransmit-intervalAnweisung auf der[edit services l2tp tunnel-group group-name]Hierarchieebene ein:retransmit-interval seconds;
Tunnel-Timeout: Wenn der Server innerhalb eines bestimmten Zeitintervalls keine Daten über den Tunnel senden kann, geht er davon aus, dass die Verbindung zum Remote-Peer unterbrochen wurde, und löscht den Tunnel. Standardmäßig beträgt die Intervalllänge 120 Sekunden. Um einen anderen Wert zu konfigurieren, fügen Sie die
tunnel-timeoutAnweisung auf der[edit services l2tp tunnel-group group-name]Hierarchieebene ein:tunnel-timeout seconds;
Ausblenden von Attribut-Wert-Paaren für L2TP-Tunnel
Sobald ein L2TP-Tunnel aufgebaut und die Verbindung authentifiziert wurde, werden die Informationen mittels Attribut-Wert-Paaren kodiert. Standardmäßig sind diese Informationen nicht ausgeblendet. Um die Attribut-Wert-Paare auszublenden, sobald der gemeinsame geheime Schlüssel bekannt ist, schließen Sie die hide-avps Anweisung auf der [edit services l2tp tunnel-group group-name] Hierarchieebene ein:
hide-avps;
Konfigurieren der Systemprotokollierung der L2TP-Tunnelaktivität
Sie können Eigenschaften angeben, die steuern, wie Systemprotokollmeldungen für L2TP-Services generiert werden.
Um schnittstellenweite Standardwerte für die Systemprotokollierung zu konfigurieren, fügen Sie die syslog Anweisung auf der [edit services l2tp tunnel-group group-name] Hierarchieebene ein:
syslog { host hostname { services severity-level; facility-override facility-name; log-prefix prefix-value; } }
Konfigurieren Sie die host Anweisung mit einem Hostnamen oder einer IP-Adresse, die den Zielserver des Systemprotokolls angibt. Der Hostname local leitet Systemprotokollmeldungen an die Routing-Engine weiter. Bei externen Systemprotokollservern muss der Hostname von derselben Routing-Instanz aus erreichbar sein, an die das erste Datenpaket (das den Sitzungsaufbau ausgelöst hat) übermittelt wird. Sie können nur einen Hostnamen für die Systemprotokollierung angeben.
In Tabelle 1 sind die Schweregrade aufgeführt, die Sie in Konfigurationsanweisungen auf Hierarchieebene [edit services l2tp tunnel-group group-name syslog host hostname] angeben können. Die Stufen von emergency bis info sind in der Reihenfolge vom höchsten Schweregrad (größte Auswirkung auf die Funktionsfähigkeit) bis zum niedrigsten Schweregrad.
Schweregrad |
Beschreibung |
|---|---|
|
Umfasst alle Schweregrade |
|
Systempanik oder ein anderer Zustand, der dazu führt, dass der Router nicht mehr funktioniert |
|
Bedingungen, die eine sofortige Korrektur erfordern, wie z. B. eine beschädigte Systemdatenbank |
|
Kritische Zustände, wie z. B. Festplattenfehler |
|
Fehlerzustände, die im Allgemeinen weniger schwerwiegende Folgen haben als Fehler auf der Notfall-, Alarm- und kritischen Ebene |
|
Bedingungen, die eine Überwachung rechtfertigen |
|
Bedingungen, bei denen es sich nicht um Fehler handelt, die jedoch eine besondere Behandlung rechtfertigen könnten |
|
Ereignisse oder Nichtfehlerbedingungen von Interesse |
Es wird empfohlen, den Schweregrad der Systemprotokollierung während des normalen Betriebs auf festzulegen error . Um die Verwendung von PIC-Ressourcen zu überwachen, legen Sie die Ebene auf fest warning. Um Informationen über einen Intrusion Attack zu sammeln, wenn ein Intrusion Detection Systemfehler erkannt wird, legen Sie die Stufe für einen bestimmten Servicesatz auf fest notice . Um eine Konfiguration zu debuggen oder Network Address Translation (NAT)-Ereignisse zu protokollieren, legen Sie die Ebene auf fest info.
Weitere Informationen zu Systemprotokollmeldungen finden Sie im Systemprotokoll-Explorer.
Um einen bestimmten Einrichtungscode für die gesamte Protokollierung auf dem angegebenen Systemprotokollhost zu verwenden, fügen Sie die facility-override Anweisung auf der [edit services l2tp tunnel-group group-name syslog host hostname] Hierarchieebene ein:
facility-override facility-name;
Zu den unterstützten Einrichtungen gehören: authorization, daemon, ftp, kerneluser, und local0 durch local7.
Um ein Textpräfix für die gesamte Protokollierung auf diesem Systemprotokollhost anzugeben, fügen Sie die log-prefix Anweisung auf der [edit services l2tp tunnel-group group-name syslog host hostname] Hierarchieebene ein:
log-prefix prefix-text;
Identifikatoren für logische Schnittstellen konfigurieren, die L2TP-Services bereitstellen
Sie können L2TP-Services nur auf adaptiven Serviceschnittstellen auf M7i-, M10i-, M120- und MX-Serie-Routern konfigurieren. Sie müssen die logische Schnittstelle so konfigurieren, dass sie dediziert oder gemeinsam genutzt wird. Wenn eine logische Schnittstelle dediziert ist, kann sie jeweils nur eine Sitzung darstellen. Eine gemeinsam genutzte logische Schnittstelle kann über mehrere Sitzungen verfügen.
Um die logische Schnittstelle zu konfigurieren, fügen Sie die l2tp-interface-id Anweisung auf der [edit interfaces interface-name unit logical-unit-number dial-options] Hierarchieebene ein:
l2tp-interface-id name; (dedicated | shared);
Der l2tp-interface-id auf der logischen Schnittstelle konfigurierte Name muss auf Hierarchieebene [edit access profile name] repliziert werden:
Fügen Sie für einen benutzerspezifischen Bezeichner die
l2tp-interface-idAnweisung auf Hierarchieebene[edit access profile name ppp]ein.Fügen Sie für einen Gruppenbezeichner die
l2tp-interface-idAnweisung auf der[edit access profile name l2tp]Hierarchieebene ein.
Sie können mehrere logische Schnittstellen mit derselben Schnittstellenkennung konfigurieren, die als Pool für mehrere Benutzer verwendet werden sollen. Weitere Informationen zum Konfigurieren von Zugriffsprofilen finden Sie in der Junos OS Administration Library for Routing Devices.
Wenn Sie die Anweisungseinstellungen löschen, die auf einer logischen Schnittstelle konfiguriert sind, werden alle L2TP-Sitzungen, die dial-options auf dieser Schnittstelle ausgeführt werden, beendet.
Beispiel: Multilink-PPP auf einer gemeinsam genutzten logischen Schnittstelle konfigurieren
Multilink PPP wird entweder auf gemeinsam genutzten oder dedizierten logischen Schnittstellen unterstützt. Das folgende Beispiel kann verwendet werden, um viele Multilink-Bundles auf einer einzigen gemeinsam genutzten Schnittstelle zu konfigurieren:
interfaces {
sp-1/3/0 {
traceoptions {
flag all;
}
unit 0 {
family inet;
}
unit 20 {
dial-options {
l2tp-interface-id test;
shared;
}
family inet;
}
}
}
access {
profile t {
client test {
l2tp {
interface-id test;
multilink;
shared-secret "$ABC123"; # SECRET-DATA
}
}
}
profile u {
authentication-order radius;
}
radius-server {
192.168.65.63 {
port 1812;
secret "$ABC123"; # SECRET-DATA
}
}
}
services {
l2tp {
tunnel-group 1 {
l2tp-access-profile t;
ppp-access-profile u;
local-gateway {
address 10.70.1.1;
}
service-interface sp-1/3/0;
}
traceoptions {
flag all;
debug-level packet-dump;
filter {
protocol l2tp;
protocol ppp;
protocol radius;
}
}
}
}
AS PIC-Redundanz für L2TP-Services
L2TP-Services unterstützen AS-PIC-Redundanz. Um die Redundanz zu konfigurieren, geben Sie eine Redundanzservice-PIC(rsp)-Schnittstelle an, in der der primäre AS PIC aktiv und ein sekundärer AS PIC im Standby-Modus ist. Wenn der primäre AS PIC ausfällt, wird der sekundäre PIC aktiv, und die gesamte Serviceverarbeitung wird an ihn übertragen. Wenn der primäre AS PIC wiederhergestellt wird, bleibt er im Standby-Modus und schließt den sekundären AS PIC nicht aus. Sie müssen die Dienste manuell auf dem primären PIC wiederherstellen. Um festzustellen, welcher PIC derzeit aktiv ist, geben Sie den show interfaces redundancy Befehl aus.
Unter L2TP wird nur der Warm-Standby-Modus unterstützt, bei dem ein Backup-PIC mehrere funktionierende PICs unterstützt. Wiederherstellungszeiten sind nicht garantiert, da die Konfiguration auf dem Backup-PIC vollständig wiederhergestellt werden muss, nachdem ein Fehler erkannt wurde. Die Tunnel und Sitzungen werden beim Umschalten abgebrochen und müssen vom LAC- bzw. PPP-Client neu gestartet werden. Die Konfiguration bleibt jedoch erhalten und ist auf dem neuen aktiven PIC verfügbar, obwohl der Protokollstatus wiederhergestellt werden muss.
Wie bei den anderen AS-PIC-Services, die den Warm-Standby-Modus unterstützen, können Sie den request interfaces (revert | switchover) Befehl zum manuellen Umschalten zwischen primärer und sekundärer L2TP-Schnittstelle erteilen.
Weitere Informationen finden Sie unter Konfigurieren von AS- oder Multiservices-PIC-Redundanz. Eine Beispielkonfiguration finden Sie unter Beispiele: Konfigurieren von L2TP-Services. Informationen zu Befehlen für den Betriebsmodus finden Sie im CLI Explorer.
Beispiele: Konfigurieren von L2TP-Services
Konfigurieren Sie L2TP mit mehreren Gruppen- und Benutzerprofilen und einem Pool logischer Schnittstellen für gleichzeitige Tunnelsitzungen:
[edit access]
address-pool customer_a {
address 10.1.1.1/32;
}
address-pool customer_b {
address-range low 10.2.2.1 high 10.2.3.2;
}
group-profile sunnyvale_users {
ppp {
framed-pool customer_a;
idle-timeout 15;
primary-dns 192.168.65.1;
secondary-dns 192.168.65.2;
primary-wins 192.168.65.3;
secondary-wins 192.168.65.4;
interface-id west;
}
}
group-profile eastcoast_users {
ppp {
framed-pool customer_b;
idle-timeout 20;
primary-dns 192.168.65.5;
secondary-dns 192.168.65.6;
primary-wins 192.168.65.7;
secondary-wins 192.168.65.8;
interface-id east;
}
}
group-profile sunnyvale_tunnel {
l2tp {
maximum-sessions-per-tunnel 100;
interface-id west_shared;
}
}
group-profile east_tunnel {
l2tp {
maximum-sessions-per-tunnel 125;
interface-id east_shared;
}
}
profile sunnyvale_bldg_1 {
client white {
chap-secret "$ABC123"; # SECRET-DATA
ppp {
idle-timeout 22;
primary-dns 192.168.65.1;
framed-ip-address 10.12.12.12/32;
interface-id east;
}
group-profile sunnyvale_users;
}
client blue {
chap-secret "$ABC123"; # SECRET-DATA
group-profile sunnyvale_users;
}
authentication-order password;
}
profile sunnyvale_bldg_1_tunnel {
client test {
l2tp {
shared-secret "$ABC123"; # SECRET-DATA
maximum-sessions-per-tunnel 75;
interface-id west_shared;
ppp-authentication chap;
}
group-profile sunnyvale_tunnel;
}
client production {
l2tp {
shared-secret "$ABC123";
ppp-authentication chap;
}
group-profile sunnyvale_tunnel;
}
}
[edit services]
l2tp {
tunnel-group finance-lns-server {
l2tp-access-profile sunnyvale_bldg_1_tunnel;
ppp-access-profile sunnyvale_bldg_1;
local-gateway {
address 10.1.117.3;
}
service-interface sp-1/3/0;
receive-window 1500;
maximum-send-window 1200;
retransmit-interval 5;
hello-interval 15;
tunnel-timeout 55;
}
traceoptions {
flag all;
}
}
[edit interfaces sp-1/3/0]
unit0 {
family inet;
}
unit 10 {
dial-options {
l2tp-interface-id foo-user;
dedicated;
}
family inet;
}
unit 11 {
dial-options {
l2tp-interface-id east;
dedicated;
}
family inet;
}
unit 12 {
dial-options {
l2tp-interface-id east;
dedicated;
}
family inet;
}
unit 21 {
dial-options {
l2tp-interface-id west;
dedicated;
}
family inet;
}
unit 30 {
dial-options {
l2tp-interface-id west_shared;
shared;
}
family inet;
}
unit 40 {
dial-options {
l2tp-interface-id east_shared;
shared;
}
family inet;
}
Konfigurieren der L2TP-Redundanz:
interfaces {
rsp0 {
redundancy-options {
primary sp-0/0/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 11 {
dial-options {
l2tp-interface-id east_shared;
shared;
}
family inet;
}
}
}
Ablaufverfolgung von L2TP-Vorgängen
Ablaufverfolgungsvorgänge verfolgen alle AS-PIC-Vorgänge und zeichnen sie in einer Protokolldatei im Verzeichnis /var/log auf. Standardmäßig heißt diese Datei /var/log/l2tpd.
Dieses Thema bezieht sich auf die Ablaufverfolgung von L2TP LNS-Vorgängen auf Routern der M Series. Informationen zur Verfolgung von L2TP-LAC-Vorgängen auf Routern der MX-Serie finden Sie unter Ablaufverfolgung von L2TP-Ereignissen für die Fehlerbehebung.
Um L2TP-Vorgänge zu verfolgen, fügen Sie die traceoptions Anweisung auf der [edit services l2tp] Hierarchieebene ein:
traceoptions { debug-level level; file <filename> <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; filter { protocol name; user-name username; } flag flag; interfaces interface-name { debug-level severity; flag flag; } level (all | error | info | notice | verbose | warning); no-remote-trace; }
Sie können die folgenden L2TP-Ablaufverfolgungsflags angeben:
all—Alles nachvollziehen.configuration– Konfigurationsereignisse verfolgen.protocol– Routing-Protokollereignisse verfolgen.routing-socket– Verfolgen von Routing-Socket-Ereignissen.rpd– Verfolgen Sie Routingprotokoll-Prozessereignisse.
Sie können eine Ablaufverfolgungsebene für die PPP-, L2TP-, RADIUS- und UDP-Ablaufverfolgung (User Datagram Protocol) angeben. Um eine Ablaufverfolgungsebene zu konfigurieren, schließen Sie die debug-level Anweisung auf Hierarchieebene [edit services l2tp traceoptions] ein, und geben Sie einen der folgenden Werte an:
detailDetaillierte Informationen zum DebuggingerrorNur Fehlerpacket-dump—Informationen zur Paketdekodierung
Sie können nach Protokoll filtern. Um Filter zu konfigurieren, fügen Sie die filter protocol Anweisung auf Hierarchieebene [edit services l2tp traceoptions] hinzu und geben Sie einen oder mehrere der folgenden Protokollwerte an:
pppl2tpradiusudp
Um das Filtern nach Protokollnamen zu implementieren, müssen Sie auch entweder flag protocol oder konfigurieren flag all.
Sie können auch Trace-Optionen für L2TP auf einer bestimmten adaptiven Services-Schnittstelle konfigurieren. Um die Ablaufverfolgung pro Schnittstelle zu konfigurieren, schließen Sie die interfaces Anweisung auf der [edit services l2tp traceoptions] Hierarchieebene ein:
interfaces interface-name {
debug-level level;
flag flag;
}
Die Implementierung von Trace-Optionen verbraucht CPU-Ressourcen und wirkt sich auf die Paketverarbeitungsleistung aus.
Sie können die debug-level and-Anweisungen flag für die Schnittstelle angeben, aber die Optionen unterscheiden sich geringfügig von den allgemeinen L2TP-Trace-Optionen. Sie geben die Debugebene als , erroroder extensiveandetail, wodurch vollständige PIC-Debuginformationen bereitgestellt werden. Die folgenden Flags sind verfügbar:
all—Alles nachvollziehen.ipcVerfolgen Sie L2TP-IPC-Nachrichten (Inter-Process Communication) zwischen dem PIC und der Routing-Engine.packet-dump– Erstellt einen Dump des Inhalts jedes Pakets basierend auf der Debug-Ebene.protocol—Trace L2TP, PPP und Multilink-Handling.system– Paketverarbeitung auf dem PIC verfolgen.