L2TP für den Abonnentenzugriff – Übersicht
L2TP für den Abonnentenzugriff – Übersicht
Das Layer 2 Tunneling Protocol (L2TP) ist ein Client-Server-Protokoll, mit dem das Point-to-Point Protocol (PPP) über ein Netzwerk getunnelt werden kann. L2TP kapselt Layer-2-Pakete, wie z. B. PPP, für die Übertragung über ein Netzwerk. Ein L2TP-Zugriffskonzentrator (LAC), der auf einem Zugriffsgerät konfiguriert ist, empfängt Pakete von einem Remote-Client und leitet sie an einen L2TP-Netzwerkserver (LNS) in einem Remote-Netzwerk weiter. Das LNS fungiert als logischer Endpunkt der PPP-Sitzung, die von der LAC vom Remote-Client getunnelt wird. Abbildung 1 zeigt eine einfache L2TP-Topologie.
L2TP trennt die Terminierung von Zugangstechnologien, wie z. B. Kabel oder xDSL, von der Terminierung von PPP und dem anschließenden Zugriff auf ein Netzwerk. Diese Trennung ermöglicht es öffentlichen ISPs, ihre Zugangstechnologien an wettbewerbsfähige Local Exchange Carrier (CLECs) auszulagern. L2TP bietet ISPs die Möglichkeit, VPN-Dienste bereitzustellen. Private Unternehmen können Investitionen in Zugangstechnologien für Telearbeiter reduzieren oder vermeiden.
Sie können Ihren Router so konfigurieren, dass er als LAC im PPP-Passthrough-Modus fungiert, in dem die LAC Pakete von einem Remote-Client empfängt und sie dann auf Layer 2 direkt an das LNS weiterleitet. Die PPP-Sitzung wird auf dem LNS beendet. Diese LAC-Implementierung unterstützt nur PPPoE-Abonnenten (Point-to-Point Protocol over Ethernet) über dynamische oder statische logische Schnittstellen. Abbildung 2 zeigt das Stacking der Protokollschicht für eine L2TP-Passthrough-Verbindung.
Auf Routern der MX-Serie werden die LAC- und LNS-Funktionen nur auf MPCs unterstützt. Sie werden von den Diensten PIC oder MS-DPC nicht unterstützt. Ausführliche Informationen zur MPC-Unterstützung für L2TP finden Sie in der Referenz zu Schnittstellenmodulen der MX-Serie
Bestimmte Router der M-Serie unterstützen LNS-Funktionen auf Service-PICs. Weitere Informationen zur L2TP-Implementierung auf Routern der M-Serie finden Sie unter Konfigurationsübersicht für L2TP-Services.
Der LAC erstellt dynamisch Tunnel auf der Grundlage von AAA-Authentifizierungsparametern und überträgt L2TP-Pakete über das IP/User Datagram Protocol (UDP) an das LNS. Der Datenverkehr fließt in einem L2TP session; ein Tunnel ist eine Aggregation von einer oder mehreren Sitzungen. Sie können auch eine Domänenzuordnung bereitstellen, die von AAA verwendet wird, um zu bestimmen, ob der PPPoE-Abonnent auf der LAC getunnelt oder beendet werden soll. Es besteht eine Eins-zu-Eins-Zuordnung zwischen jedem PPP-Abonnenten, der zum LNS getunnelt wird, und einer L2TP-Sitzung.
Wenn es sich bei dem LNS um einen Router der MX-Serie handelt, stellt eine LAC-seitige Peer-Schnittstelle auf einem MPC eine IP-Adresse für den Austausch von IP-Paketen zwischen den Tunnelendpunkten bereit. Die Routing-Engine verwaltet die L2TP-Tunnel. Die Packet Forwarding Engine hostet eine oder mehrere Inline-Services-Schnittstellen (si). Diese Schnittstellen funktionieren wie eine virtuelle physische Schnittstelle und verankern die L2TP-Sitzungen im LNS. Die si Schnittstelle ermöglicht L2TP-Services, ohne dass ein spezielles Services PIC erforderlich ist. Schließlich wird eine weitere Schnittstelle verwendet, um die Teilnehmerdaten zum und vom Internet zu übertragen.
Die Eigenschaften des Tunnels können entweder von einem Tunnelprofil stammen, das Sie konfigurieren, oder von RADIUS-Tunnelattributen und herstellerspezifischen Attributen (VSAs) vom AAA-Server, auf den über die LAC zugegriffen werden kann. Sie können ein Tunnelprofil in eine Domänenzuordnung einschließen, wodurch das Tunnelprofil angewendet wird, bevor die RADIUS-Authentifizierung stattfindet. Sie können RADIUS-Standardattribute und VSAs verwenden, um einige oder alle vom Tunnelprofil konfigurierten Merkmale in einer Domänenzuordnung zu überschreiben. Alternativ kann RADIUS selbst ein Tunnelprofil anwenden, wenn im RADIUS-Login die RADIUS Tunnel-Group VSA [26-64] angegeben ist.
L2TP wird über GRE-Tunnel nicht unterstützt.
Der Virtual-Router VSA [26-1] im Teilnehmerprofil auf dem AAA-Server des Service Providers (auf den vom LNS aus zugegriffen werden kann) bestimmt die Routing-Instanz, in der die L2TP-Sitzung auf dem LNS aufgerufen wird. Wenn diese VSA nicht vorhanden ist, wird die Abonnentensitzung in derselben Routinginstanz wie der Tunnel ausgeführt, da auf den AAA-Server nur von der Routinginstanz aus zugegriffen werden kann, in der der Tunnel auf dem LNS endet.
Dieses Verhalten unterscheidet sich von dem für DHCP- und nicht getunnelte PPPoE-Abonnenten, die in der Standard-Routinginstanz ohne den virtuellen Router VSA auftreten. Für L2TP-Abonnenten müssen Sie diese VSA in das Abonnentenprofil aufnehmen, wenn die Abonnentensitzung in einer anderen Routinginstanz als die Tunnelroutinginstanz ausgeführt werden soll.
Ab Junos OS Version 17.4R1 enthält das LNS die folgenden RADIUS-Attribute, wenn es eine Access-Request-Nachricht an den RADIUS-Server sendet:
Tunnel-Typ (64)
Tunnel-Medium-Typ (65)
Tunnel-Client-Endpunkt (66)
Tunnel-Server-Endpunkt (67)
Acct-Tunnel-Verbindung (68)
Tunnel-Zuweisungs-ID (82)
Tunnel-Client-Authentifizierungs-ID (90)
tunnel-server-auth-id (91)
In früheren Versionen enthält das LNS diese Attribute nur in den Abrechnungsdatensätzen, die es an den RADIUS-Server sendet. In den Access-Request-Nachrichten können sie verwendet werden, um auf dem RADIUS-Server die Sitzung von der LAC zum LNS zu korrelieren.
Die LAC unterstützt die von RADIUS initiierte Spiegelung, bei der sichere Richtlinien auf der Grundlage bestimmter RADIUS-VSAs erstellt werden, und verwendet RADIUS-Attribute, um einen Abonnenten zu identifizieren, dessen Datenverkehr gespiegelt werden soll. (Diese Funktion wird für LNS, das auf einem Router der MX-Serie konfiguriert ist, nicht unterstützt.)
Die LAC und die LNS unterstützen die einheitliche ISSU. Wenn ein Upgrade eingeleitet wird, schließt die LAC alle laufenden L2TP-Verhandlungen ab, lehnt jedoch alle neuen Verhandlungen ab, bis das Upgrade abgeschlossen ist. Während des Upgrades werden keine neuen Tunnel oder Sitzungen eingerichtet. Abonnentenabmeldungen werden während des Upgrades aufgezeichnet und nach Abschluss des Upgrades abgeschlossen.
L2TP-Terminologie
Tabelle 1 beschreibt die Grundbegriffe für L2TP.
Begriff |
Beschreibung |
|---|---|
AVP |
Attributwertpaar (AVP): Kombination aus einem eindeutigen Attribut, das durch eine ganze Zahl dargestellt wird, und einem Wert, der den tatsächlichen Wert enthält, der durch das Attribut identifiziert wird. |
Aufrufen |
Eine Verbindung (oder versuchte Verbindung) zwischen einem Remote-System und dem LAC. |
LAC |
L2TP Access Concentrator (LAC): Ein Knoten, der als eine Seite eines L2TP-Tunnelendpunkts fungiert und ein Peer zum LNS ist. Die LAC befindet sich zwischen einem LNS und einem Remote-System und leitet Pakete zu und von beiden weiter. |
LNS |
L2TP-Netzwerkserver (LNS): Ein Knoten, der als eine Seite eines L2TP-Tunnelendpunkts fungiert und ein Peer zum LAC ist. Das LNS ist der logische Endpunkt einer PPP-Verbindung, die vom LAC vom Remote-System getunnelt wird. |
Peer |
Im L2TP-Kontext entweder die LAC oder LNS. Der Peer des LAC ist ein LNS und umgekehrt. |
Proxy-Authentifizierung |
PPP-Vorauthentifizierung, die von der LAC im Auftrag des LNS durchgeführt wird. Die Proxy-Daten werden von der LAC an das LNS gesendet und enthalten Attribute wie Authentifizierungstyp, Authentifizierungsname und Authentifizierungsabfrage. Das LNS antwortet mit den Authentifizierungsergebnissen. |
Proxy-LCP |
LCP-Aushandlung (Link Control Protocol), die von der LAC im Auftrag des LNS durchgeführt wird. Der Proxy wird von der LAC an das LNS gesendet, das Attribute enthält, wie z. B. die letzten Konfigurationsattribute, die vom Client gesendet und empfangen wurden. |
Entferntes System |
Ein Endsystem oder ein Router, der mit einem RAS-Netzwerk verbunden ist, das entweder der Initiator oder der Empfänger eines Anrufs ist. |
Sitzung |
Eine logische Verbindung, die zwischen dem LAC und dem LNS hergestellt wird, wenn eine End-to-End-PPP-Verbindung zwischen einem Remote-System und dem LNS hergestellt wird.
Hinweis:
Es besteht eine Eins-zu-Eins-Beziehung zwischen etablierten L2TP-Sitzungen und den zugehörigen PPP-Verbindungen. |
Tunnel |
Eine Verbindung zwischen dem LAC-LNS-Paar, die aus einer Steuerverbindung und 0 oder mehr L2TP-Sitzungen besteht. |
L2TP-Implementierung
Die Implementierung von L2TP erfolgt auf vier Ebenen:
Quelle: Der lokale Router, der als LAC fungiert.
Ziel: Der Remote-Router, der als LNS fungiert.
Tunnel: Ein direkter Pfad zwischen dem LAC und dem LNS.
Sitzung: Eine PPP-Verbindung in einem Tunnel.
Wenn der Router Ziele, Tunnel und Sitzungen eingerichtet hat, können Sie den L2TP-Datenverkehr steuern. Das Vornehmen einer Änderung an einem Ziel wirkt sich auf alle Tunnel und Sitzungen zu diesem Ziel aus. Eine Änderung an einem Tunnel wirkt sich auf alle Sitzungen in diesem Tunnel aus. Wenn Sie beispielsweise ein Ziel schließen, werden alle Tunnel und Sitzungen zu diesem Ziel geschlossen.
Ablauf der Ereignisse auf der LAC
Der Router, der als LAC fungiert, erstellt Ziele, Tunnel und Sitzungen dynamisch wie folgt:
Der Client initiiert eine PPP-Verbindung mit dem Router.
Der Router und der Client tauschen LCP-Pakete (Link Control Protocol) aus. Die LAC verhandelt im Namen des LNS; Dies wird als Proxy-LCP bezeichnet.
Die LAC authentifiziert den Client im Namen des LNS. Dies wird als Proxy-Authentifizierung bezeichnet. Durch die Verwendung einer lokalen Datenbank, die sich auf den Domänennamen bezieht, oder der RADIUS-Authentifizierung entscheidet der Router, ob die PPP-Verbindung beendet oder getunnelt werden soll.
Wenn der Router feststellt, dass er die Sitzung tunneln soll, geht er wie folgt vor:
Richtet ein neues Ziel ein oder wählt ein vorhandenes Ziel aus.
Richtet einen neuen Tunnel ein oder wählt einen vorhandenen Tunnel aus.
Wenn ein gemeinsamer geheimer Schlüssel entweder im Tunnelprofil oder im RADIUS-Attribut Tunnel-Password [69] konfiguriert ist, wird der geheime Schlüssel zur Authentifizierung des Tunnels während der Aufbauphase verwendet, je nachdem, welche Methode zur Konfiguration des Tunnels verwendet wird. Die LAC enthält die Challenge AVP in der SCCRQ-Nachricht, die an das LNS gesendet wird. Das LNS gibt den Challenge-Response-AVP in der SCCRP-Nachricht zurück. Wenn die Antwort vom LNS nicht mit dem vom LAC erwarteten Wert übereinstimmt, schlägt die Tunnelauthentifizierung fehl und der Tunnel wird nicht eingerichtet.
Öffnet eine neue Sitzung.
Der Router leitet die Ergebnisse der LCP-Verhandlungen und der Authentifizierung an das LNS weiter.
Es besteht nun eine PPP-Verbindung zwischen dem Client und dem LNS.
Der Router verwirft empfangene Pakete, wenn die Größe des optionalen Offset-Pad-Felds mit variabler Länge im L2TP-Header zu groß ist. Der Router unterstützt immer Pakete mit einem Offset-Pad-Feld von bis zu 16 Byte und kann je nach anderen Informationen im Header größere Offset-Pad-Felder unterstützen. Diese Einschränkung ist eine mögliche, wenn auch unwahrscheinliche Ursache für das übermäßige Verwerfen von L2TP-Paketen.
Wenn der LAC eine PPP-Sitzung beendet, generiert er eine PPP-Trennungsursache und schließt diese Informationen in den PPP-Trennungsursachencode (AVP 46) ein, wenn er eine Call-Disconnect-Notify-Meldung (CDN) an das LNS sendet. Der Codewert ist 0, was auf einen globalen Fehler hinweist, für den keine Informationen verfügbar sind.
Ablauf der Ereignisse auf dem LNS
Ein Router, der als LNS fungiert, kann wie folgt eingerichtet werden:
Die LAC initiiert einen Tunnel, wobei der Router als LNS fungiert.
Das LNS prüft, ob ein Tunnel mit dieser LAC gültig ist: Das Ziel ist konfiguriert, der Hostname und das Tunnelpasswort sind korrekt.
Das LNS vervollständigt den Tunnelaufbau mit dem LAC.
Das LAC richtet eine Sitzung ein und initiiert eine Sitzungsanforderung an das LNS.
Das LNS verwendet eine statische Schnittstelle oder erstellt eine dynamische Schnittstelle, um die PPP-Sitzung zu verankern.
Wenn sie aktiviert und vorhanden sind, akzeptiert das LNS das Proxy-LCP und die Proxy-Authentifizierungsdaten und übergibt sie an PPP.
PPP verarbeitet das Proxy-LCP, falls vorhanden, und platziert LCP auf dem LNS im geöffneten Zustand, ohne dass LCP neu verhandelt wird, wenn das Proxy-LCP akzeptabel ist.
PPP verarbeitet die Proxy-Authentifizierungsdaten, sofern vorhanden, und übergibt die Daten zur Überprüfung an AAA. (Wenn die Daten nicht vorhanden sind, fordert PPP die Daten vom Peer an.)
Hinweis:Wenn das Proxy-LCP nicht vorhanden oder nicht akzeptabel ist, handelt das LNS LCP mit dem Peer aus. Wenn die LCP-Neuverhandlung auf dem LNS aktiviert ist, ignoriert das LNS alle vorab ausgehandelten LCP-Parameter und handelt sowohl die LCP-Parameter als auch die PPP-Authentifizierung mit dem PPP-Client neu aus.
Das LNS übergibt die Authentifizierungsergebnisse an den Peer.
Erneute Übertragung von L2TP-Steuernachrichten
L2TP-Peers unterhalten eine Warteschlange von Steuernachrichten, die an das Peer-Gerät gesendet werden müssen. Nachdem der lokale Peer (LAC oder LNS) eine Nachricht gesendet hat, wartet er auf eine Antwort vom Remote-Peer. Wenn keine Antwort empfangen wird, überträgt der lokale Peer die Nachricht erneut. Dieses Verhalten gibt dem Remotepeer mehr Zeit, auf die Nachricht zu antworten.
Sie haben zwei Möglichkeiten, das Verhalten der erneuten Übertragung zu steuern:
Anzahl der erneuten Übertragungen: Sie können konfigurieren, wie oft eine nicht bestätigte Nachricht vom lokalen Peer erneut übertragen wird. Durch Erhöhen der Anzahl erhalten Sie mehr Reaktionsmöglichkeiten für den Remotepeer, erhöhen aber auch die Menge des Steuerungsdatenverkehrs. Fügen Sie bei eingerichteten Tunneln die
retransmission-count-establishedAnweisung auf Hierarchieebene[edit services l2tp tunnel]ein. Fügen Sie für Tunnel, die noch nicht eingerichtet wurden, dieretransmission-count-not-establishedAnweisung hinzu.Erneutes Übertragungsintervall: Sie können konfigurieren, wie lange der lokale Peer auf die erste Antwort auf eine Steuernachricht wartet. Wenn eine Antwort nicht innerhalb des ersten Timeoutintervalls empfangen wird, verdoppelt der Timer für die erneute Übertragung das Intervall zwischen jeder nachfolgenden erneuten Übertragung auf maximal 16 Sekunden. Durch Erhöhen des Intervalls hat der Remotepeer mehr Zeit zum Antworten, wendet aber auch mehr Ressourcen für einen potenziell nicht verfügbaren Peer auf. Fügen Sie die
minimum-retransmission-intervalAnweisung auf Hierarchieebene[edit services l2tp tunnel]ein.
Der lokale Peer setzt die erneute Übertragung der Steuernachricht fort, bis einer der folgenden Fälle eintritt:
Innerhalb der aktuellen Wartezeit geht eine Antwort ein.
Die maximale Anzahl von Wiederholungen ist erreicht.
Wenn die maximale Anzahl erreicht ist und keine Antwort empfangen wurde, werden der Tunnel und alle seine Sitzungen gelöscht.
Das Erreichen des maximalen Intervalls von 16 Sekunden stoppt die erneute Übertragung nicht. Der lokale Peer wartet nach jeder weiteren Neuübertragung noch 16 Sekunden.
Die folgenden Beispiele beschreiben das erneute Übertragungsverhalten unter verschiedenen Umständen:
Beispiel 1: Die Anzahl der erneuten Übertragungen beträgt drei und das minimale Intervall für die erneute Übertragung beträgt 1 Sekunde.
Der lokale Peer sendet eine Steuernachricht.
Der lokale Peer wartet 1 Sekunde, erhält aber keine Antwort.
Der lokale Peer überträgt die Steuernachricht erneut. Dies ist die erste Wiederholung.
Der lokale Peer wartet 2 Sekunden, erhält jedoch eine Antwort, bevor das Intervall abläuft.
Die erneute Übertragung wird beendet, da innerhalb des Intervalls eine Antwort empfangen wird.
Beispiel 2: Die Anzahl der erneuten Übertragungen beträgt zwei und das minimale Intervall für die erneute Übertragung beträgt 8 Sekunden.
Der lokale Peer sendet eine Steuernachricht.
Der lokale Peer wartet 8 Sekunden, erhält aber keine Antwort.
Der lokale Peer überträgt die Steuernachricht erneut. Dies ist die erste Wiederholung.
Der lokale Peer wartet 16 Sekunden, erhält aber keine Antwort.
Der lokale Peer überträgt die Steuernachricht erneut. Dies ist die zweite erneute Übertragung.
Der lokale Peer wartet erneut 16 Sekunden, da das Intervall nicht über 16 Sekunden ansteigen kann, erhält aber keine Antwort.
Die erneute Übertragung wird beendet, weil die maximale Anzahl von zwei erneuten Übertragungen erreicht wurde.
Der Tunnel und alle seine Sitzungen werden gelöscht.
Retransmission-Attribute für L2TP-Steuernachrichten konfigurieren
Sie können die erneute Übertragung von nicht bestätigten L2TP-Steuernachrichten steuern, indem Sie konfigurieren, wie oft der lokale Peer die Nachricht erneut überträgt und wie lange er auf eine Antwort wartet, bevor er erneut übertragen wird.
L2TP-Peers unterhalten eine Warteschlange von Steuernachrichten, die an das Peer-Gerät gesendet werden müssen. Nachdem der lokale Peer (LAC oder LNS) eine Nachricht gesendet hat, wartet er auf eine Antwort vom Remote-Peer. Wenn eine Antwort nicht innerhalb des minimalen Neuübertragungsintervalls eingeht, überträgt der lokale Peer die Nachricht erneut und wartet auf das doppelte Wiederholungsintervall. Jedes Mal, wenn die Nachricht erneut übertragen wird, verdoppelt der Peer seine Wartezeit bis zu einem Maximum von 16 Sekunden.
Wenn keine Antwort empfangen wird, sendet der lokale Peer die Nachricht so lange, bis die Anzahl der erneuten Übertragungen mit der Anzahl der erneuten Übertragungen übereinstimmt. In diesem Fall werden Wiederholungsübertragungen gestoppt und der Tunnel und alle seine Sitzungen werden gelöscht.
Bevor Sie ein Downgrade auf eine Junos OS-Version durchführen, die diese Anweisungen nicht unterstützt, wird empfohlen, die Konfiguration der Funktion explizit aufzuheben, indem Sie die Anweisung und die no retransmission-count-established no retransmission-count-non-established Anweisung auf Hierarchieebene [edit services l2tp tunnel] einschließen.
Während eines einheitlichen In-Service-Software-Upgrades (Unified ISSU) auf einem Router der MX-Serie, der als LAC konfiguriert ist, reagiert die LAC nicht auf Steuermeldungen vom LNS. Dies kann dazu führen, dass LAC-L2TP-Sitzungen unterbrochen werden. Sie können diese Situation vermeiden, indem Sie sicherstellen, dass die maximale Anzahl von Wiederholungen im LNS auf 16 oder höher festgelegt ist.
So legen Sie die maximale Anzahl von Neuübertragungen für eingerichtete Tunnel fest:
Konfigurieren Sie die Anzahl.
[edit services l2tp tunnel] user@host# set retransmission-count-established count
So legen Sie die maximale Anzahl von Neuübertragungen für nicht eingerichtete Tunnel fest:
Konfigurieren Sie die Anzahl.
[edit services l2tp tunnel] user@host# set retransmission-count-not-established count
So legen Sie das Mindestintervall zwischen erneuten Übertragungen fest:
Konfigurieren Sie das Intervall.
[edit services l2tp tunnel] user@host# set minimum-retransmission-timeout seconds
Die folgende Konfiguration gibt beispielsweise an, dass eingerichtete Tunnel eine maximale Anzahl von drei erneuten Übertragungen und ein minimales erneutes Übertragungsintervall von zwei Sekunden aufweisen:
[edit services l2tp tunnel] user@host# set retransmission-count-established 3 user@host# set minimum-retransmission-timeout 2
Bei dieser Beispielkonfiguration gilt die folgende Reihenfolge für jede Steuernachricht, die von der LAC oder dem LNS gesendet wird:
- Der lokale Peer sendet die Steuernachricht und wartet auf eine Antwort vom Remotepeer.
- Wenn die Antwort nicht innerhalb des Mindestintervalls von 2 Sekunden eingeht, überträgt der lokale Peer die Nachricht erneut. Dies ist die erste Wiederholung.
- Wenn die Antwort nicht innerhalb von 4 Sekunden eingeht, überträgt der lokale Peer die Nachricht erneut. Dies ist die zweite erneute Übertragung.
- Wenn die Antwort nicht innerhalb von 8 Sekunden eingeht, überträgt der lokale Peer die Nachricht erneut. Dies ist die dritte und letzte erneute Übertragung, da die maximale Anzahl erreicht wurde.
- Wenn die Antwort nicht innerhalb von 16 Sekunden eingeht, werden der Tunnel und alle seine Sitzungen gelöscht.
Aktivieren von Tunnel- und globalen Zählern für die Erfassung von SNMP-Statistiken
Standardmäßig ist die SNMP-Abfrage für L2TP-Statistiken deaktiviert. Folglich haben der in Tabelle 2 aufgeführte L2TP-Tunnel und die globalen Zähler den Standardwert Null.
Name des Zählers |
Typ |
|---|---|
jnxL2tpTunnelStatsDataTxPkts |
Tunnel |
jnxL2tpTunnelStatsDataRxPkts |
Tunnel |
jnxL2tpTunnelStatsDataTxBytes |
Tunnel |
jnxL2tpTunnelStatsDataRxBytes |
Tunnel |
jnxL2tpStatsPayloadRxOctets |
Globalen |
jnxL2tpStatsPayloadRxPkts |
Globalen |
jnxL2tpStatsPayloadTxOctets |
Globalen |
jnxL2tpStatsPayloadTxPkts |
Globalen |
Sie können die Erfassung dieser Statistiken aktivieren, indem Sie die enable-snmp-tunnel-statistics Anweisung auf Hierarchieebene [edit services l2tp] einfügen. Wenn diese Option aktiviert ist, fragt der L2TP-Prozess diese Statistiken alle 30 Sekunden für 1000 Sitzungen ab. Das potenzielle Alter der Statistiken steigt mit der Anzahl der Abonnentensitzungen. Die Daten werden schneller aktualisiert, wenn die Anzahl der Sitzungen abnimmt. Bei 60.000 Sitzungen kann beispielsweise keine dieser Statistiken älter als 30 Minuten sein.
Die Systemlast kann sich erhöhen, wenn Sie diese Leistungsindikatoren aktivieren und auch RADIUS-Zwischenabrechnungsaktualisierungen verwenden. Es wird empfohlen, diese Leistungsindikatoren zu aktivieren, wenn Sie nur SNMP-Statistiken verwenden.
So aktivieren Sie die Erfassung von L2TP-Statistiken für SNMP:
Aktivieren Sie die Erfassung von Statistiken.
[edit services l2tp] user@host1# set enable-snmp-tunnel-statistics
Verifizieren und Verwalten von L2TP für den Abonnentenzugriff
Zweck
Anzeigen oder Löschen von Informationen zu L2TP-Tunneln und -Sitzungen.
Die all Option ist nicht dazu gedacht, eine Massenabmeldung von L2TP-Abonnenten durchzuführen. Es wird empfohlen, die all Option nicht mit den clear services l2tp destinationAnweisungen , clear services l2tp sessionoder clear services l2tp tunnel in einer Produktionsumgebung zu verwenden. Anstatt alle Teilnehmer auf einmal zu löschen, sollten Sie die Benutzer in einer kleineren Gruppe basierend auf Schnittstelle, Tunnel oder Zielendpunkt löschen.
Aktion
So zeigen Sie eine Zusammenfassung von L2TP-Tunneln, Sitzungen, Fehlern sowie Steuerungs- und Datenpaketen an:
user@host> show services l2tp summary
So zeigen Sie die L2TP-Ziele an:
user@host> show services l2tp destination
So löschen Sie alle L2TP-Ziele:
user@host> clear services l2tp destination all
So löschen Sie Statistiken für alle L2TP-Tunnel, die zu einem Ziel gehören, für Tunnel, die zu einer angegebenen lokalen Gateway-Adresse gehören, und für Tunnel, die zu einer angegebenen Peer-Gateway-Adresse gehören:
user@host>clear services l2tp destination statistics all user@host>clear services l2tp destination local-gateway 203.0.113.2
So zeigen Sie die L2TP-Sitzungen an:
user@host> show services l2tp session
So löschen Sie alle L2TP-Sitzungen, die Sitzung mit einer angegebenen lokalen Sitzungs-ID oder Sitzungen, die dem lokalen Gateway zugeordnet sind, das durch eine IP-Adresse oder einen Namen angegeben wird:
user@host>clear services l2tp session all user@host>clear services l2tp session local-session-id 40553 user@host>clear services l2tp session local-gateway 203.0.113.2 user@host>clear services l2tp session local-gateway-name lns-mx960
So löschen Sie Statistiken für alle L2TP-Sitzungen, die Sitzung mit einer angegebenen lokalen Sitzungs-ID oder Sitzungen, die dem lokalen Gateway zugeordnet sind, das durch eine IP-Adresse oder einen Namen angegeben ist:
user@host>clear services l2tp session statistics all user@host>clear services l2tp session statistics local-session-id 17967 user@host>clear services l2tp session statistics local-gateway 203.0.113.2 user@host>clear services l2tp session statistics local-gateway-name lns-mx960
So zeigen Sie die L2TP-Tunnel an:
user@host> show services l2tp tunnel
So löschen Sie alle L2TP-Tunnel, den Tunnel mit einer angegebenen lokalen Tunnel-ID oder Tunnel, die dem lokalen Gateway zugeordnet sind, das durch eine IP-Adresse oder einen Namen angegeben wird:
user@host> clear services l2tp tunnel all user@host>clear services l2tp tunnel local-tunnel-id 40553 user@host>clear services l2tp tunnel local-gateway 203.0.113.2 user@host>clear services l2tp tunnel local-gateway-name lns-mx960
So löschen Sie Statistiken für alle L2TP-Tunnel, den Tunnel mit einer angegebenen lokalen Tunnel-ID oder Tunnel, die dem lokalen Gateway zugeordnet sind, das durch eine IP-Adresse oder einen Namen angegeben wird:
user@host> clear services l2tp tunnel statistics all user@host>clear services l2tp tunnel statistics local-tunnel-id 40553 user@host>clear services l2tp tunnel statistics local-gateway 203.0.113.2 user@host>clear services l2tp tunnel statistics local-gateway-name lns-mx960