Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

L2TP-Tunnel-Switching für Multi-Domain-Netzwerke

L2TP Tunnel Switching – Übersicht

L2TP-Tunnel-Switching, auch bekannt als L2TP-Multihop, vereinfacht die domänenübergreifende Bereitstellung eines L2TP-Netzwerks. Ein Router, der zwischen einem LAC und einem LNS liegt, ist als L2TP-Tunnel-Switch (LTS) konfiguriert, manchmal auch einfach als Tunnel-Switch oder Tunnel-Switching-Aggregator (TSA) bezeichnet, wie in Abbildung 1 dargestellt. Der LTS ist sowohl als LNS als auch als LAC konfiguriert. Wenn ein Remote-LAC gekapselte PPP-Pakete an das im LTS konfigurierte LNS sendet, kann das LTS die Pakete über einen anderen Tunnel an ein anderes LNS außerhalb des LTS weiterleiten oder umleiten. Der logische Endpunkt der ursprünglichen L2TP-Sitzung wird auf ein anderes Endgerät verlagert.

In dem in Abbildung 1 dargestellten Netzwerk werden beispielsweise Pakete des von Service Provider A bereitgestellten Anwenders zunächst an das im LTS konfigurierte LNS gerichtet. Das LTS leitet diese Pakete möglicherweise an LNS1 um.

Abbildung 1: L2TP-Tunnel-Switching-Netzwerktopologie Network diagram of L2TP setup showing Service Providers A and B connecting to LACs, L2TP Tunnel Switch, and LNSs with green PPPoE and blue L2TP arrows.

L2TP-Tunnel-Switching vereinfacht die Netzwerkkonfiguration, wenn die Verwaltungsdomäne einer LAC von der des gewünschten LNS abweicht. Zum Beispiel:

  • Das LTS fungiert als LNS für mehrere LACs. Die einzelnen LACs müssen nicht über die administrative Kontrolle oder die erforderlichen Fähigkeiten verfügen, um das am besten geeignete LNS zu ermitteln, auf dem ihre Sitzungen beendet werden sollen. Das LTS führt diese Funktion aus und ist im LTS zentralisiert.

  • Das LTS fungiert als LAC für mehrere LNSs. Wenn dem Netzwerk eines ISP eine neue Remote-LAC hinzugefügt wird, muss der ISP seine LNS-Router nicht neu konfigurieren, um die neue LAC aufzunehmen, da sie eine Verbindung zur LAC auf dem LTS herstellen.

In einem Layer-2-Großhandelsnetzwerk kann der Großhändler L2TP-Tunnel-Switching verwenden, um eine flachere Netzwerkkonfiguration zu erstellen, die einfacher zu verwalten ist. Der Großhändler bündelt Layer-2-Sitzungen aus einer LAC, die für verschiedene ISPs – und damit verschiedene LNSs – bestimmt sind, in einem einzigen L2TP-Tunnel. Diese Konfiguration ermöglicht die Verwendung einer gemeinsamen L2TP-Steuerungsverbindung für die LAC.

Abbildung 2 zeigt ein Beispiel für L2TP-Tunnel-Switching für eingehende Anrufe mit der folgenden Ereignisabfolge:

  1. Der Anwender öffnet eine PPP-Sitzung für die LAC.

  2. Die LAC erstellt den ersten L2TP-Tunnel zum auf dem LTS konfigurierten LNS und die erste L2TP-Sitzung, die die eingekapselten PPP-Pakete überträgt.

  3. Während der Authentifizierung dieser ersten Sitzung bestimmt der LTS, ob die Sitzung zu einem LNS außerhalb des LTS getunnelt werden soll, basierend auf dem Vorhandensein oder Fehlen eines im LTS konfigurierten Tunnel-Switch-Profils.

    Das Tunnel-Switch-Profil kann ein Standardprofil sein oder vom RADIUS-Server, einer Domänenzuordnungskonfiguration oder einer Tunnel-Gruppenkonfiguration angewendet werden.

  4. Wenn ein Tunnel-Switch-Profil konfiguriert ist, erstellt das LTS einen zweiten Tunnel (falls nicht bereits vorhanden) zum LNS über das LTS hinaus, wie im Profil angegeben, und erstellt die zweite Sitzung in diesem Tunnel.

Abbildung 2: L2TP-Tunnel-Switching für eingehende Anrufe Network diagram showing a PPP user connecting via L2TP to a LAC, then tunneled to an LTS with LNS, illustrating tunnel switching to another LNS.

Anwendung von Tunnel-Switch-Profilen

Sie können ein Tunnel-Switch-Profil auf verschiedene Arten konfigurieren:

  • Als Standardprofil wird global auf den Datenverkehr angewendet, der von allen LACs empfangen wird

  • Mit einer Domänenzuordnung, die auf eine Anwender-Sitzung angewendet wird

  • Wenn eine Tunnel-Gruppe auf eine Anwender-Sitzung angewendet wird

  • In Ihrer RADIUS-Serverkonfiguration, zurückgegeben im Tunnel Switch-Profile VSA (26-91)

Sie können mehr als eine dieser Anwendungsmethoden konfigurieren. Wenn mehrere Tunnel-Switch-Profile vorhanden sind, bestimmt die folgende Rangfolge, welches Profil der LTS verwendet. Die Reihenfolge ist von höchster (RADIUS) nach niedrigster (Standardprofil):

  1. RADIUS VSA 26-91 > Domänenzuordnung > Tunnel Gruppe > globales Tunnel-Switch-Profil

Das Tunnel-Switch-Profil muss auch auf ein Tunnel-Profil verweisen. Dieses Tunnel-Profil gibt die Eigenschaften des zweiten Tunnels an, zu dem die Anwender-Pakete umgeschaltet werden.

Terminierung von Tunnel-Switched-Sitzungen auf dem LTS

Tunnel-Switched-Sitzungen werden auf dem LTS beendet, wenn eines der folgenden Ereignisse eintritt:

  • Entweder die LAC- oder LNS-Schnittstelle im LTS empfängt eine Call-Disconnect-Notify (CDN)-Nachricht (Tabelle 1).

    Tabelle 1: Ursache der CDN-Meldung

    CDN-Nachricht wird empfangen am

    Wann

    LAC-Schnittstelle

    Einer der folgenden Fälle tritt ein:

    • Die zweite Sitzung kann nicht eingerichtet werden.

    • Der Remote-LNS beendet die zweite Sitzung.

    LNS-Schnittstelle

    Einer der folgenden Fälle tritt ein:

    • Der PPPoE-Client initiiert eine Abmeldung.

    • Die ursprüngliche LAC initiiert die Beendigung des Tunnels

    Sowohl die erste als auch die zweite Sitzung werden beendet, da LTS das CDN an die Schnittstelle weiterleitet, die das CDN nicht empfangen hat. Die Ursache für die Trennung ist für beide Sitzungen gleich.

  • Entweder die LAC- oder LNS-Schnittstelle auf dem LTS empfängt eine Stop-Control-Connection-Notification (StopCCN)-Nachricht (Tabelle 2).

    Tabelle 2: Ursache der StopCCN-Meldung

    StopCCN-Meldung wird empfangen am

    Wann

    LAC-Schnittstelle

    Einer der folgenden Fälle tritt ein:

    • Die zweite Sitzung kann nicht eingerichtet werden.

    • Der Remote-LNS beendet den zweiten Tunnel.

    LNS-Schnittstelle

    Die ursprüngliche LAC initiiert die Beendigung des Tunnels.

    Der LTS leitet die StopCCN-Nachricht nicht weiter, da ein bestimmter Tunnel sowohl geschaltete als auch nicht geschaltete Sitzungen enthalten kann. Ein weiterer Grund in einem Szenario für den Großhandel ist, dass der Tunnel, der auf dem LNS auf dem LTS endet, Sitzungen von LACs verschiedener Anbieter enthalten kann. Stattdessen sendet der LTS eine CDN-Nachricht an die Schnittstelle, die das StopCCN nicht empfangen hat, um die Tunnel-Switched-Sitzung zu beenden. Dieses CDN leitet den Fehlercode weiter, der im StopCCN enthalten ist.

  • Auf dem LTS wird ein Verwaltungsbefehl clear ausgegeben.

Tabelle 3 listet die Aktionen auf, die ausgeführt werden, wenn ein Verwaltungsbefehl clear auf dem LTS ausgegeben wird.

Tabelle 3: LAC-, LNS- und LTS-Maßnahmen für Switched-Tunnel als Reaktion auf administrative Clear-Befehle

Befehl

LAC- oder LNS-Aktion

LTS-Aktion

clear services l2tp destination

Löschen Sie das Ziel und alle zugehörigen Tunnel und Sitzungen.

Löschen Sie für jede Switched-Sitzung in einem Tunnel zum Ziel die entsprechende zugeordnete Switched-Sitzung, indem Sie ihr eine CDN-Nachricht senden, deren Ursache auf Administrative festgelegt ist.

clear services l2tp destination all

Löschen Sie alle Ziele und alle zugehörigen Tunnel und Sitzungen.

Nichts.

clear services l2tp session

Löschen Sie die Sitzung.

Löschen Sie die entsprechende zugeordnete geschaltete Sitzung für diese Sitzung, indem Sie ihr eine CDN-Nachricht senden, deren Ursache auf Administrator festgelegt ist.

clear services l2tp session all

Löschen Sie alle Sitzungen.

Nichts.

clear services l2tp tunnel

Löschen Sie den Tunnel und alle seine Sitzungen.

Löschen Sie für jede gewechselte Sitzung im Tunnel die entsprechende zugeordnete gewechselte Sitzung, indem Sie ihr eine CDN-Nachricht senden, deren Ursache auf "Administrator" festgelegt ist.

clear services l2tp tunnel all

Löschen Sie alle Tunnel.

Nichts.

Tunnel-Switching-Aktionen für L2TP-AVPs an der Switching-Grenze

Wenn L2TP-Tunnel-Switching Pakete an ein anderes LNS umleitet, führt es für jeden AVP, der in den L2TP-Nachrichten übertragen wird, eine der folgenden Standardaktionen an der Switching-Grenze aus:

  • relay– L2TP leitet das AVP im Switched-Paket transparent und unverändert weiter.

  • regenerate– L2TP ignoriert das empfangene AVP, das vom ersten Tunnel und der ersten Sitzung ausgehandelt wurde. Es generiert ein neues AVP für die zweite Sitzung basierend auf der lokalen Richtlinie am LTS und sendet dieses AVP im Switched-Paket. Die lokale Richtlinie kann den während der Verhandlungen für die erste Sitzung erhaltenen Wert für den AVP verwenden oder nicht.

Tabelle 4 listet die Standardaktion für jeden AVP auf. Obligatorische AVPs sind immer in den L2TP-Nachrichten der LAC enthalten. optionale AVPs können in den Nachrichten enthalten sein.

Sie können optional die Standardaktion überschreiben, die an der Switching-Grenze für den Bearer-Typ AVP (18), die Rufnummer AVP (22) oder den Cisco NAS Port Info AVP (100) ausgeführt wird. Sie können jedes dieser drei AVPs so konfigurieren, dass es aus den Switched-Paketen verworfen oder regeneriert wird, oder Sie können die Standard-Relay-Aktion wiederherstellen.

Hinweis:

L2TP-AVPs, deren Attributwerte ausgeblendet sind, werden immer an der Switching-Grenze regeneriert. Der Wert wird dekodiert und im Klartext gesendet, wenn das Paket an das Remote-LNS weitergeleitet wird.
Tabelle 4: Standardaktion für die Behandlung von L2TP-AVPs an der Switching-Grenze

AVP-Name (Nummer)

AVP-Typ

L2TP-Nachrichtentyp

Standard-Aktion

Zugewiesene Sitzungs-ID (14)

Obligatorisch

CDN, ICRQ

Regenerieren

Zugewiesene Tunnel-ID (9)

Obligatorisch

SCCRQ

Regenerieren

Trägerfunktionen (4)

Fakultativ

SCCRQ

Regenerieren

Träger-Typ (18)

Fakultativ

ICRQ

Relais

Seriennummer anrufen (15)

Obligatorisch

ICRQ

Relais

Angerufene Nummer (21)

Fakultativ

ICRQ

Relais

Rufnummer (22)

Fakultativ

ICRQ

Relais

Herausforderung (11)

Fakultativ

SCCRQ

Regenerieren

Herausforderung (13)

Fakultativ

SCCCN

Regenerieren

Cisco NAS-Port

Fakultativ

ICRQ

Relais

Failover-Fähigkeit

Fakultativ

SCCRQ

Regenerieren

Firmware-Version (6)

Fakultativ

SCCRQ

Regenerieren

Rahmen-Möglichkeiten (3)

Obligatorisch

SCCRQ

Regenerieren

Rahmen-Typ (19)

Obligatorisch

ICCN (Englisch)

Relais

Hostname (7)

Obligatorisch

SCCRQ

Regenerieren

Ursprünglich erhaltene LCP-KONFERENZ (26)

Fakultativ

ICCN (Englisch)

Relais

Wenn die LCP-Neuaushandlung mit der lcp-negotiation Anweisung im Clientprofil auf dem LNS aktiviert ist, wird der AVP neu generiert und nicht weitergeleitet.

Zuletzt erhalten LCP CONFREQ (28)

Fakultativ

ICCN (Englisch)

Relais

Wenn die LCP-Neuaushandlung mit der lcp-negotiation Anweisung im Clientprofil auf dem LNS aktiviert ist, wird der AVP neu generiert und nicht weitergeleitet.

Zuletzt gesendet LCP CONFREQ (27)

Fakultativ

ICCN (Englisch)

Relais

Wenn die LCP-Neuaushandlung mit der lcp-negotiation Anweisung im Clientprofil auf dem LNS aktiviert ist, wird der AVP neu generiert und nicht weitergeleitet.

Nachrichtentyp (0)

Obligatorisch

Alle

Regenerieren

Physische Kanal-ID (25)

Fakultativ

ICRQ

Regenerieren

Private Gruppen-ID (37)

Fakultativ

ICCN (Englisch)

Relais

Protokollversion (2)

Obligatorisch

SCCRQ

Regenerieren

Proxy Authen Challenge (31)

Fakultativ

ICCN (Englisch)

Relais

Wenn die LCP-Neuaushandlung mit der lcp-negotiation Anweisung im Clientprofil auf dem LNS aktiviert ist, wird auch die Authentifizierung neu ausgehandelt, und das AVP wird neu generiert, anstatt weitergeleitet zu werden.

Proxy Authen ID (32)

Fakultativ

ICCN (Englisch)

Relais

Wenn die LCP-Neuaushandlung mit der lcp-negotiation Anweisung im Clientprofil auf dem LNS aktiviert ist, wird auch die Authentifizierung neu ausgehandelt, und das AVP wird neu generiert, anstatt weitergeleitet zu werden.

Proxy Authen Name (30)

Fakultativ

ICCN (Englisch)

Relais

Wenn die LCP-Neuaushandlung mit der lcp-negotiation Anweisung im Clientprofil auf dem LNS aktiviert ist, wird auch die Authentifizierung neu ausgehandelt, und das AVP wird neu generiert, anstatt weitergeleitet zu werden.

Proxy Authen Antwort (33)

Fakultativ

ICCN (Englisch)

Relais

Wenn die LCP-Neuaushandlung mit der lcp-negotiation Anweisung im Clientprofil auf dem LNS aktiviert ist, wird auch die Authentifizierung neu ausgehandelt, und das AVP wird neu generiert, anstatt weitergeleitet zu werden.

Proxy Authen Typ (29)

Fakultativ

ICCN (Englisch)

Relais

Wenn die LCP-Neuaushandlung mit der lcp-negotiation Anweisung im Clientprofil auf dem LNS aktiviert ist, wird auch die Authentifizierung neu ausgehandelt, und das AVP wird neu generiert, anstatt weitergeleitet zu werden.

Größe des Empfangsfensters (10)

Fakultativ

SCCRQ

Regenerieren

Rx Connect-Geschwindigkeit (38)

Fakultativ

ICCN (Englisch)

Relais

Sequenzierung erforderlich (39)

Fakultativ

ICCN (Englisch)

Regenerieren

Unteradresse (23)

Fakultativ

ICRQ

Relais

Tie-Breaker (5)

Fakultativ

SCCRQ

Regenerieren

Wiederherstellung von Tunneln

Fakultativ

SCCRQ

Regenerieren

Tx Connect-Geschwindigkeit (24)

Obligatorisch

ICCN (Englisch)

Relais

Name des Anbieters (8)

Fakultativ

SCCRQ

Regenerieren

Konfiguration des L2TP-Tunnel-Switching

L2TP-Tunnel-Switching ermöglicht es einem als LTS konfigurierten Router, PPP-Pakete, die in einer L2TP-Sitzung übertragen werden, an eine zweite L2TP-Sitzung weiterzuleiten, die auf einem anderen LNS terminiert wird. Um L2TP-Tunnel-Switching zu konfigurieren, müssen Sie ein Tunnel-Switch-Profil definieren und dieses Profil dann zuweisen.

Sie können Tunnel-Switch-Profile für alle Sitzungen global, alle Sitzungen in einer Tunnel-Gruppe, alle Sitzungen in einer Domäne oder in Ihrer RADIUS-Serverkonfiguration konfigurieren, die im RADIUS-Tunnel-Switch-Profil VSA (26-91) zurückgegeben werden. Die Rangfolge für Tunnel-Switch-Profile aus verschiedenen Quellen lautet wie folgt:

  • RADIUS VSA 26-91 > Domänenzuordnung > Tunnel Gruppe > globales Tunnel-Switch-Profil

So definieren Sie ein L2TP-Tunnel-Switch-Profil:

  1. Erstellen Sie das Profil.
  2. (Optional) Überschreiben Sie die Standardaktionen, die für bestimmte L2TP-AVPs an der Switching-Grenze ausgeführt werden.
  3. Geben Sie das Tunnel-Profil an, das den Tunnel definiert, zu dem der Datenverkehr des Anwenders weitergeleitet wird.
    Hinweis:

    Dieser Schritt ist nicht erforderlich für ein Tunnel-Switch-Profil, das im Tunnel-Switch-Profil VSA (26-91) angegeben ist.
  4. (Optional) Wenden Sie das Profil als globales Standardprofil an, um Pakete aus allen eingehenden Sitzungen aus der LAC zu wechseln.
  5. (Optional) Wenden Sie das Profil als Teil einer Tunnel-Gruppe an, um Pakete aus allen Sitzungen in der Tunnel-Gruppe zu wechseln.
    Hinweis:

    Die Tunnel-Gruppe ist Teil der LTS-Konfiguration, die es ihr ermöglicht, als LNS für die ursprünglichen Sitzungen aus der LAC zu fungieren.

    Eine Tunnel-Gruppe mit einem Tunnel-Switch-Profil muss ebenfalls ein dynamisches Profil enthalten, da das Tunnel-Switching nur dynamische Teilnehmer unterstützt.
  6. (Optional) Wenden Sie das Profil als Teil einer Domänenzuordnung auf Switch-Pakete aus allen Sitzungen an, die der Domäne zugeordnet sind.
    Hinweis:

    Eine Domänenzuordnung kann nicht sowohl ein Tunnel-Switch-Profil als auch ein Tunnel-Profil haben. Sie müssen einen entfernen, wenn Sie den anderen hinzufügen.
  7. (Optional) Wenden Sie das Profil mithilfe des Tunnel-Switch-Profile VSA [26–91] in der RADIUS Access-Accept-Nachricht an, die zurückgegeben wird, wenn die Sitzung von der LAC authentifiziert wird. In der Dokumentation des RADIUS-Servers erfahren Sie, wie Sie diese Methode konfigurieren.
    Hinweis:

    Ein Tunnel-Switch-Profil, das von einem RADIUS-Server im Tunnel-Switch-Profil VSA (26-91) angegeben wird, hat Vorrang vor dem in der CLI-Konfiguration angegebenen Tunnel-Switch-Profil. Wenn der Tunnel-Gruppen-VSA (26–64) zusätzlich zum Tunnel-Switch-Profil-VSA (26-91) empfangen wird, hat der Tunnel-Switch-Profil-VSA (26-91) Vorrang vor dem Tunnel-Gruppen-VSA (26-64), wodurch sichergestellt wird, dass die Teilnehmer über einen Tunnel geswitcht und nicht über einen LAC-Tunnel getunnelt werden.

Betrachten Sie beispielsweise die folgende Konfiguration. Dadurch werden drei Tunnel-Switch-Profile erstellt: l2tp-tunnel-switch-profile, lts-profile-groupA und lts-profile-example-com:

Die LTS-Beispielkonfiguration (Layer 2 Tunnel Switching) für Geräte der MX-Serie lautet wie folgt:

Das Profil l2tp-tunnel-switch-profile wird als globaler Standard angewendet. Wenn Pakete gemäß diesem Profil geschaltet werden, werden die Werte für den Trägertyp AVP (18) und die Anrufernummer AVP (22) in den L2TP-Paketen basierend auf den lokalen Richtlinien am L2TP-Tunnel-Switch neu generiert und dann mit den Paketen gesendet. Der Cisco NAS Port Info AVP (100) wird einfach weggelassen. Schließlich stellt l2tp-tunnel-profile1 die Konfigurationsmerkmale des Tunnels bereit, zu dem der Datenverkehr gewechselt wird.

Das Tunnel-Switch-Profil lts-profile-groupA wird über eine Tunnel-Gruppe, groupA, angewendet. Er gibt ein anderes Tunnel-Profil, l2tp-tunnel-profile2, an und überschreibt keine AVP-Aktionen. Das Tunnel-Switch-Profil lts-profile-example.com wird über eine Domänenzuordnung für die example.com Domäne angewendet. Es gibt ein anderes Tunnel-Profil, l2tp-tunnel-profile3, an und überschreibt keine AVP-Aktionen.

Festlegen der Größe des L2TP-Empfangsfensters

Sie können die Größe des L2TP-Empfangsfensters für einen L2TP-Tunnel konfigurieren. Die Größe des Empfangsfensters gibt die Anzahl der Pakete an, die ein Peer senden kann, bevor er auf eine Bestätigung vom Router wartet.

Standardmäßig ist die Größe des Empfangsfensters auf vier Pakete festgelegt. Wenn die Größe des Empfangsfensters auf den Standardwert festgelegt ist, sendet der Router nicht die AVP für die Empfangsfenstergröße, AVP 10, in seinem ersten Paket, das während der Tunnel-Aushandlung an seinen Peer gesendet wird.

So konfigurieren Sie die Größe des Empfangsfensters:

Festlegen des L2TP-Tunnelleerlauf-Timeouts

Sie können die LAC oder das LNS konfigurieren, um festzulegen, wie lange ein Tunnel ohne Sitzungen aktiv bleibt. Der Leerlauf-Timer beginnt, wenn die letzte Sitzung im Tunnel beendet wird. Wenn der Timer abläuft, wird der Tunnel getrennt. Durch diese Leerlaufzeitüberschreitung werden Ressourcen freigesetzt, die sonst von inaktiven Tunneln verbraucht würden.

Wenn Sie den Wert für das Leerlauftimeout auf Null setzen, muss der Tunnel nach dem Beenden der letzten Sitzung auf unbestimmte Zeit aktiv bleiben, bis einer der folgenden Fälle eintritt:

  • Sie geben den clear services l2tp tunnel Befehl aus.

  • Der Remote-Peer trennt den Tunnel.

Optimale Vorgehensweise:

Bevor Sie ein Downgrade auf eine Junos OS-Version durchführen, die diese Anweisung nicht unterstützt, empfehlen wir, die Konfiguration der Funktion explizit aufzuheben, indem Sie die no idle-timeout Anweisung auf der [edit services l2tp tunnel] Hierarchieebene einschließen.

So legen Sie das Leerlauf-Timeout für den Tunnel fest:

  • Konfigurieren Sie den Timeoutzeitraum.

Festlegen des L2TP-Zerstörungs-Timeouts

Sie können die LAC oder das LNS konfigurieren, um anzugeben, wie lange der Router versucht, dynamische Ziele, Tunnel und Sitzungen aufrechtzuerhalten, nachdem diese zerstört wurden. Dieses Destruct-Timeout unterstützt das Debugging und andere Analysen, indem zugrunde liegende Speicherstrukturen gespeichert werden, nachdem das Ziel, der Tunnel oder die Sitzung beendet wurde. Ein bestimmtes dynamisches Ziel, ein bestimmter Tunnel oder eine bestimmte Sitzung kann nicht über diesen gesamten Zeitraum aufrechterhalten werden, wenn die Ressourcen frühzeitig zurückgewonnen werden müssen, damit neue Tunnel eingerichtet werden können.

Optimale Vorgehensweise:

Bevor Sie ein Downgrade auf eine Junos OS-Version durchführen, die diese Anweisung nicht unterstützt, empfehlen wir, die Konfiguration der Funktion explizit aufzuheben, indem Sie die no destruct-timeout Anweisung auf der [edit services l2tp] Hierarchieebene einschließen.

So legen Sie das L2TP-Zerstörungs-Timeout fest:

  • Konfigurieren Sie den Timeoutzeitraum.

Konfigurieren der Zeitüberschreitung für die L2TP-Zielsperre

Wenn mehrere Sätze von Tunneling-Parametern verfügbar sind, verwendet L2TP ein Auswahlverfahren, um den besten Tunnel für den Datenverkehr der Anwender auszuwählen. Im Rahmen dieses Auswahlprozesses sperrt L2TP Ziele, mit denen keine Verbindung hergestellt werden kann, wenn ein Anwender versucht, eine Domäne zu erreichen. L2TP setzt das Ziel auf die Zielsperrliste und schließt das Ziel für einen konfigurierbaren Zeitraum, das als Zielsperrzeitüberschreitung bezeichnet wird, von der Berücksichtigung aus.

Standardmäßig beträgt das Zeitlimit für die Zielsperre 300 Sekunden (5 Minuten). Sie können einen Wert von 60 bis 3600 Sekunden (1 Minute bis 1 Stunde) konfigurieren. Wenn das Sperrzeitlimit abläuft, geht L2TP davon aus, dass das Ziel jetzt verfügbar ist und schließt das Ziel bei der Durchführung des Tunnel-Auswahlprozesses mit ein. Der Zielsperrzeitraum ist ein globaler Wert und kann für bestimmte Ziele, Tunnel oder Tunnelgruppen nicht individuell konfiguriert werden.

Hinweis:

Im Allgemeinen kann ein gesperrtes Ziel erst nach Ablauf des Sperrzeitgebers verwendet werden. Wenn L2TP jedoch den Tunnel-Auswahlprozess durchführt, löscht es unter Umständen den Sperr-Timer für ein gesperrtes Ziel. Detaillierte Informationen zum Auswahlprozess finden Sie unter Auswahl, wenn ein Failover zwischen Einstellungsebenen konfiguriert ist, und Auswahl, wenn ein Failover innerhalb einer Einstellungsebene konfiguriert ist.
Optimale Vorgehensweise:

Konfigurieren Sie das Sperrzeitlimit so, dass es gleich oder kürzer als das Zerstörungs-Timeout ist. Andernfalls läuft das Zerstörungs-Timeout vor dem Sperr-Timeout ab. In diesem Fall wird das gesperrte Ziel zerstört und kann anschließend vor Ablauf des Lockout-Timeouts wieder in Betrieb genommen werden, wodurch die Wirksamkeit des Lockout-Timeouts aufgehoben wird.

So konfigurieren Sie die Zeitüberschreitung für die Zielsperre:

  • Geben Sie den Zeitraum in Sekunden an.

Der show services l2tp destination lockout Befehl zeigt die Zielsperrliste an und gibt für jedes Ziel an, wie viel Zeit bis zum Ablauf des Timeouts verbleibt. Der show services l2tp destination detail Befehl gibt für jedes Ziel an, ob es gesperrt ist und auf den Ablauf des Timeouts wartet oder nicht.

Entfernen eines L2TP-Ziels aus der Zielsperrliste

Wenn ein PPP-Anwender versucht, sich bei einer Domäne anzumelden, wählt L2TP einen Tunnel aus, der mit einem Ziel in dieser Domäne verknüpft ist, und versucht, auf das Ziel zuzugreifen. Wenn der Verbindungsversuch fehlschlägt, setzt L2TP das Ziel auf die Zielsperrliste. Ziele in dieser Liste werden für einen konfigurierbaren Zeitraum, der als Zielsperrzeitüberschreitung bezeichnet wird, von der Berücksichtigung für nachfolgende Verbindungen ausgeschlossen.

Sie können den request services l2tp destination unlock Befehl für ein bestimmtes Ziel ausgeben, um es aus der Zielsperrliste zu entfernen. Das Ergebnis ist, dass dieses Ziel sofort zur Prüfung zur Verfügung steht, wenn sich ein Anwender bei der zugeordneten Domäne anmeldet.

So entfernen Sie ein Ziel aus der Zielsperrliste:

  • Geben Sie den Namen des Ziels an, das entsperrt werden soll.

Konfiguration von L2TP Drain

Für administrative Zwecke können Sie den Status eines L2TP-Ziels oder -Tunnels auf Drain festlegen. Dies verhindert die Erstellung neuer Sitzungen, Tunnel und Ziele bei L2TP LAC und LNS.

Sie können L2TP Drain auf globaler Ebene oder für ein bestimmtes Ziel oder einen bestimmten Tunnel konfigurieren. Wenn die Funktion auf globaler L2TP-Ebene konfiguriert ist, kann kein neues Ziel, kein neuer Tunnel oder keine neue Sitzung erstellt werden. Wenn die Funktion für ein bestimmtes Ziel konfiguriert ist, kann an diesem Ziel kein neuer Tunnel oder keine neue Sitzung erstellt werden. Wenn das Feature für einen bestimmten Tunnel konfiguriert ist, können diesem Tunnel keine neuen Sitzungen zugewiesen werden, aber es können neue Ziele und Tunnel erstellt werden.

  • So verhindern Sie die Erstellung neuer Sitzungen, Ziele und Tunnel für L2TP:
  • So verhindern Sie die Erstellung neuer Tunnel und Sitzungen an einem bestimmten Ziel:
  • So verhindern Sie die Erstellung neuer Sitzungen in einem bestimmten Tunnel:
    Hinweis:

    Der Tunnel name ist der lokal zugewiesene Name des Tunnels im folgenden Format: destination-name/tunnel-name oder tunnel-nameWenn nur das tunnel-name angegeben wird, müssen Sie die address ip-address Anweisung einschließen, um das Ziel für den Tunnel zu identifizieren.

Wenn diese Funktion konfiguriert ist, gibt der Befehl von show services l2tp summary, show services l2tp destinationaus und zeigt show services l2tp tunnel den Status der L2TP-Sitzung, des Ziels und des Tunnels als Drainan.

Verwendung desselben L2TP-Tunnels für die Einspeisung und Duplizierung von IP-Paketen

Sie können denselben L2TP-Tunnel, der für die sichere Richtlinienspiegelung von Anwendern verwendet wird, für die Duplizierung von Paketen konfigurieren. Doppelte Pakete werden verwendet, um Datenverkehr zum Kunden oder zum Netzwerk einzuspeisen. Die Einspeisung oder Übertragung von Paketen wird für alle Zugriffsmodi für Anwender unterstützt. Ein einzelner L2TP-Tunnel wird sowohl für die Übertragung von Paketen als auch für die Duplizierung von Paketen verwendet. Ein Port oder eine Schnittstelle, die für die Duplizierung von Paketen auf einer Seite eines L2TP-Tunnels konfiguriert ist, ist mit dem anderen Tunnel-Endgerät verbunden. Das andere Endgerät des Tunnels kann IP-Pakete über den L2TP-Tunnel an den Port oder die Schnittstelle senden, die für die Paketduplizierung konfiguriert ist, und die an dieser Schnittstelle empfangenen IP-Pakete können entweder an den Kunden weitergeleitet oder so gesendet werden, als ob sie vom Kunden empfangen worden wären.

Das Remote-Tunnel-Endgerät sendet ein IP-Tunnel-Paket, das eine Ethernet-MAC-Adresse in der Nutzlast enthält. Wenn die Ziel-MAC-Adresse des Nutzlastpakets die MAC-Adresse des Routers enthält, wird das Ethernet-Paket in ausgehende Richtung an das Netzwerk gesendet und so verarbeitet und weitergeleitet, als ob es auf dem Kundenport empfangen würde. Enthält die Quell-MAC-Adresse des Nutzlastpakets die MAC-Adresse des Routers, wird das Ethernet-Paket in ausgehender Richtung zum Kundenport übertragen. Wenn der Tunnel das konfigurierte Empfangscookie nicht enthält, findet keine Paketinjektion statt. In einem solchen Fall wird jedes empfangene Tunnel-Paket auf die gleiche Weise gezählt und verworfen wie Pakete, die mit einem falschen Cookie ankommen, gezählt und verworfen.

Um das Paket so zu konfigurieren, dass es dupliziert und an den Kunden oder das Netzwerk gesendet wird (basierend auf der MAC-Adresse in der Ethernet-Nutzlast), fügen Sie die decapsulate l2tp output-interface interface-name cookie l2tpv3-cookie Anweisung auf der [edit firewall family family-name filter filter-name term term-name then] Hierarchieebene ein. Sie können auch einen Leistungsindikator für die duplizierten oder entkapselten L2TP-Pakete konfigurieren, indem Sie die count counter-name Anweisung auf der [edit firewall family family-name filter filter-name term term-name then] Hierarchieebene einschließen

Zugehörige Dokumentation