Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

L2TP-Tunnel-Switching für Multi-Domain-Netzwerke

L2TP Tunnel Switching – Überblick

L2TP Tunnel Switching, auch bekannt als L2TP Multihop, simplifiziert die Bereitstellung eines L2TP-Netzwerks über mehrere Domänen hinweg. Ein Router, der zwischen einem LAC und einem LNS liegt, ist als L2TP-Tunnel-Switch (LTS) konfiguriert – manchmal auch einfach als Tunnel-Switch oder Tunnel-Switching-Aggregator (TSA) bezeichnet (siehe Abbildung 1). Der LTS ist sowohl als LNS als auch als LAC konfiguriert. Wenn ein Remote-LAC gekapselte PPP-Pakete an den auf dem LTS konfigurierten LNS sendet, kann der LTS die Pakete über einen anderen Tunnel hinaus an einen anderen LNS jenseits des LTS weiterleiten oder umleiten. Der logische Endpunkt der ursprünglichen L2TP-Sitzung wird auf einen anderen Endpunkt umgestellt.

In dem in Abbildung 1 dargestellten Netzwerk werden beispielsweise Pakete des von Dienstanbieter A bereitgestellten Teilnehmers zunächst an das auf dem LTS konfigurierte LNS ausgerichtet. Der LTS leitet diese Pakete möglicherweise an LNS1 um.

Abbildung 1: L2TP-Tunnel-Switching-Netzwerktopologie L2TP Tunnel Switching Network Topology

L2TP-Tunnel-Switching vereinfacht die Netzwerkkonfiguration, wenn sich die administrative Domäne einer LAC von der des gewünschten LNS unterscheidet. Zum Beispiel:

  • Der LTS fungiert als LNS für mehrere LACs. Die einzelnen LACs müssen nicht über die administrative Kontrolle oder die erforderlichen Funktionen verfügen, um das am besten geeignete LNS zu ermitteln, auf dem ihre Sitzungen beendet werden sollen. Der LTS führt diese Funktion aus, ist im LTS zentralisiert.

  • Der LTS fungiert als LAC für mehrere LNSs. Wenn ein neuer Remote-LAC zum Netzwerk eines ISP hinzugefügt wird, muss der ISP seine LNS-Router nicht neu konfigurieren, um den neuen LAC aufzunehmen, da sie eine Verbindung zum LAC auf dem LTS herstellen.

In einem Layer 2-Großhandelsnetzwerk kann der Großhändler L2TP-Tunnel-Switching verwenden, um eine flachere Netzwerkkonfiguration zu erstellen, die einfacher zu verwalten ist. Der Großhändler bündelt Layer-2-Sitzungen von einer LAC, die für verschiedene ISPs – und damit unterschiedliche LNSs – bestimmt sind, in einem einzigen L2TP-Tunnel. Diese Konfiguration ermöglicht die Verwendung einer gemeinsamen L2TP-Steuerverbindung für das LAC.

Abbildung 2 zeigt ein Beispiel für L2TP-Tunnel-Switching für eingehende Anrufe mit der folgenden Abfolge von Ereignissen:

  1. Der Abonnent öffnet eine PPP-Sitzung mit dem LAC.

  2. Die LAC erstellt den ersten L2TP-Tunnel zu dem auf dem LTS konfigurierten LNS und die erste L2TP-Sitzung für die Übertragung der eingekapselten PPP-Pakete.

  3. Während der Authentifizierung dieser ersten Sitzung bestimmt der LTS, ob die Sitzung zu einem LNS außerhalb des LTS getunnelt werden soll, basierend auf dem Vorhandensein oder Fehlen eines auf dem LTS konfigurierten Tunnel-Switch-Profils.

    Das Tunnel-Switch-Profil kann ein Standardprofil sein oder vom RADIUS-Server, einer Domänenzuordnungskonfiguration oder einer Tunnelgruppenkonfiguration angewendet werden.

  4. Wenn ein Tunnel-Switch-Profil konfiguriert ist, erstellt der LTS wie im Profil angegeben einen zweiten Tunnel zum LNS (falls noch nicht vorhanden) zum LNS über den LTS hinaus und erstellt die zweite Sitzung in diesem Tunnel.

Abbildung 2: L2TP-Tunnel-Switching für eingehende Anrufe L2TP Tunnel Switching for Incoming Calls

Anwendung von Tunnel-Switch-Profilen

Sie können ein Tunnel-Switch-Profil so konfigurieren, dass es auf verschiedene Arten angewendet wird:

  • Als Standardprofil, das global auf den Datenverkehr angewendet wird, der von allen LACs empfangen wird

  • Mit einer Domänenzuordnung, die auf eine Abonnentensitzung angewendet wird

  • Mit einer Tunnelgruppe, die auf eine Abonnentensitzung angewendet wurde

  • In der RADIUS-Serverkonfiguration, die im Tunnel-Switch-Profil VSA (26-91) zurückgegeben wird

Sie können mehr als eine dieser Anwendungsmethoden konfigurieren. Wenn mehrere Tunnel-Switch-Profile vorhanden sind, legt die folgende Rangfolge fest, welches Profil der LTS verwendet: Die Reihenfolge ist von der höchsten (RADIUS) bis zur niedrigsten (Standardprofil):

  1. RADIUS VSA 26-91 > Domänenzuordnung > Tunnelgruppe > globales Tunnel-Switch-Profil

Das Tunnel-Switch-Profil muss ebenfalls auf ein Tunnelprofil verweisen. Dieses Tunnelprofil gibt die Eigenschaften des zweiten Tunnels an, zu dem die Teilnehmerpakete geschaltet werden.

Beendigung von tunnelvermittelten Sitzungen auf dem LTS

Tunnelvermittelte Sitzungen werden auf dem LTS beendet, wenn einer der folgenden Fälle eintritt:

  • Entweder die LAC- oder die LNS-Schnittstelle des LTS empfängt eine Call-Disconnect-Notify-Nachricht (CDN) (Tabelle 1).

    Tabelle 1: Ursache der CDN-Nachricht

    CDN-Nachricht wird empfangen am

    Wann

    LAC-Schnittstelle

    Einer der folgenden Fälle tritt ein:

    • Die zweite Sitzung kann nicht eingerichtet werden.

    • Der Remote-LNS beendet die zweite Sitzung.

    LNS-Schnittstelle

    Einer der folgenden Fälle tritt ein:

    • Der PPPoE-Client initiiert eine Abmeldung.

    • Die ursprüngliche LAC leitet die Beendigung des Tunnels ein

    Sowohl die erste als auch die zweite Sitzung werden beendet, da der LTS das CDN an die Schnittstelle weiterleitet, die das CDN nicht empfangen hat. Die Ursache für Verbindungsabbrüche ist für beide Sitzungen gleich.

  • Entweder die LAC- oder die LNS-Schnittstelle auf dem LTS empfängt eine Stop-Control-Connection-Notification-Nachricht (StopCCN) (Tabelle 2).

    Tabelle 2: Ursache der StopCCN-Meldung

    StopCCN-Nachricht wird empfangen am

    Wann

    LAC-Schnittstelle

    Einer der folgenden Fälle tritt ein:

    • Die zweite Sitzung kann nicht eingerichtet werden.

    • Der Remote-LNS beendet den zweiten Tunnel.

    LNS-Schnittstelle

    Die ursprüngliche LAC leitet die Beendigung des Tunnels ein.

    Der LTS leitet die StopCCN-Nachricht nicht weiter, da ein bestimmter Tunnel sowohl vermittelte als auch nicht vermittelte Sitzungen enthalten kann. Ein weiterer Grund in einem Großhandelsszenario ist, dass der Tunnel, der auf dem LNS auf dem LTS endet, Sitzungen von LACs von verschiedenen Anbietern enthalten kann. Stattdessen sendet der LTS eine CDN-Nachricht an die Schnittstelle, die das StopCCN nicht empfangen hat, um die tunnelvermittelte Sitzung zu beenden. Dieses CDN leitet den Fehlercode weiter, der im StopCCN mitgeführt wird.

  • Auf dem LTS wird ein administrativer clear Befehl ausgegeben.

Tabelle 3 listet die Aktionen auf, die ausgeführt werden, wenn ein administrativer clear Befehl auf dem LTS ausgegeben wird.

Tabelle 3: LAC-, LNS- und LTS-Aktionen für Switched-Tunnel als Reaktion auf administrative Clear-Befehle

Befehl

LAC- oder LNS-Aktion

LTS-Aktion

clear services l2tp destination

Löschen Sie das Ziel und alle zugehörigen Tunnel und Sitzungen.

Löschen Sie für jede Switched-Sitzung in einem Tunnel zum Ziel die entsprechende zugeordnete Switched-Sitzung, indem Sie ihr eine CDN-Nachricht senden, in der die Ursache auf Administrativ festgelegt ist.

clear services l2tp destination all

Löschen Sie alle Ziele und alle zugehörigen Tunnel und Sitzungen.

Nichts.

clear services l2tp session

Beenden Sie die Sitzung.

Löschen Sie die entsprechende zugeordnete Switched-Sitzung für diese Sitzung, indem Sie ihr eine CDN-Nachricht senden, in der die Ursache auf Administrativ festgelegt ist.

clear services l2tp session all

Löschen Sie alle Sitzungen.

Nichts.

clear services l2tp tunnel

Löschen Sie den Tunnel und alle zugehörigen Sitzungen.

Löschen Sie für jede Switched-Sitzung im Tunnel die entsprechende zugeordnete Switched-Sitzung, indem Sie ihr eine CDN-Nachricht senden, in der die Ursache auf Administrativ festgelegt ist.

clear services l2tp tunnel all

Löschen Sie alle Tunnel.

Nichts.

Tunnel-Switching-Aktionen für L2TP-AVPs an der Switching-Grenze

Wenn das L2TP-Tunnel-Switching Pakete an einen anderen LNS umleitet, führt es für jeden AVP, der in den L2TP-Nachrichten enthalten ist, eine der folgenden Standardaktionen an der Switching-Grenze aus:

  • relay—L2TP leitet den AVP im Switched-Paket transparent und unverändert weiter.

  • regenerate– L2TP ignoriert die empfangene AVP, die vom ersten Tunnel und der ersten Sitzung ausgehandelt wurde. Er generiert einen neuen AVP für die zweite Sitzung basierend auf der lokalen Richtlinie am LTS und sendet diesen AVP im Switched-Paket. Die lokale Richtlinie kann den Wert für die AVP verwenden, die während der Aushandlung für die erste Sitzung erhalten wurde, muss es aber nicht.

In Tabelle 4 ist die Standardaktion für jeden AVP aufgeführt. Obligatorische AVPs sind immer in den L2TP-Nachrichten des LAC enthalten. optionale AVPs können in den Nachrichten enthalten sein.

Optional können Sie die Standardaktion überschreiben, die an der Switching-Grenze für den Bearertyp AVP (18), die Rufnummer AVP (22) oder die Cisco NAS-Portinfo-AVP (100) ausgeführt wird. Sie können jeden dieser drei AVPs so konfigurieren, dass er aus den Switched-Paketen gelöscht oder neu generiert wird, oder Sie können die standardmäßige Relay-Aktion wiederherstellen.

Anmerkung:

L2TP-AVPs, bei denen die Attributwerte ausgeblendet sind, werden immer an der Switching-Grenze neu generiert. Der Wert wird decodiert und im Klartext gesendet, wenn das Paket an den Remote-LNS weitergeleitet wird.
Tabelle 4: Standardaktion für die Behandlung von L2TP-AVPs an der Switching-Grenze

AVP-Name (Nummer)

AVP-Typ

L2TP-Nachrichtentyp

Standardaktion

Zugewiesene Sitzungs-ID (14)

Obligatorisch

CDN, ICRQ

Erneuern

Zugewiesene Tunnel-ID (9)

Obligatorisch

SCCRQ

Erneuern

Trägerfähigkeiten (4)

Wahlfrei

SCCRQ

Erneuern

Träger-Typ (18)

Wahlfrei

ICRQ

Relais

Seriennummer anrufen (15)

Obligatorisch

ICRQ

Relais

Angerufene Nummer (21)

Wahlfrei

ICRQ

Relais

Rufnummer (22)

Wahlfrei

ICRQ

Relais

Herausforderung (11)

Wahlfrei

SCCRQ

Erneuern

Antwort auf Herausforderungen (13)

Wahlfrei

SCCCN

Erneuern

Cisco NAS-Port

Wahlfrei

ICRQ

Relais

Failover-Fähigkeit

Wahlfrei

SCCRQ

Erneuern

Firmware-Revision (6)

Wahlfrei

SCCRQ

Erneuern

Framing-Funktionen (3)

Obligatorisch

SCCRQ

Erneuern

Einrahmungs-Typ (19)

Obligatorisch

ICCN (ICCN)

Relais

Hostname (7)

Obligatorisch

SCCRQ

Erneuern

Ursprünglich erhaltene LCP-CONFREQ (26)

Wahlfrei

ICCN (ICCN)

Relais

Wenn die LCP-Neuverhandlung mit der lcp-negotiation Anweisung im Clientprofil auf dem LNS aktiviert ist, wird die AVP neu generiert und nicht weitergeleitet.

Zuletzt erhaltene LCP CONFREQ (28)

Wahlfrei

ICCN (ICCN)

Relais

Wenn die LCP-Neuverhandlung mit der lcp-negotiation Anweisung im Clientprofil auf dem LNS aktiviert ist, wird die AVP neu generiert und nicht weitergeleitet.

Zuletzt gesendete LCP CONFREQ (27)

Wahlfrei

ICCN (ICCN)

Relais

Wenn die LCP-Neuverhandlung mit der lcp-negotiation Anweisung im Clientprofil auf dem LNS aktiviert ist, wird die AVP neu generiert und nicht weitergeleitet.

Nachrichtentyp (0)

Obligatorisch

Alle

Erneuern

ID des physikalischen Kanals (25)

Wahlfrei

ICRQ

Erneuern

ID der privaten Gruppe (37)

Wahlfrei

ICCN (ICCN)

Relais

Protokollversion (2)

Obligatorisch

SCCRQ

Erneuern

Proxy-Authentifizierungs-Herausforderung (31)

Wahlfrei

ICCN (ICCN)

Relais

Wenn die LCP-Neuverhandlung mit der lcp-negotiation Anweisung im Clientprofil auf dem LNS aktiviert ist, wird auch die Authentifizierung neu ausgehandelt, und die AVP wird neu generiert, anstatt weitergeleitet zu werden.

Proxy-Authentifizierungs-ID (32)

Wahlfrei

ICCN (ICCN)

Relais

Wenn die LCP-Neuverhandlung mit der lcp-negotiation Anweisung im Clientprofil auf dem LNS aktiviert ist, wird auch die Authentifizierung neu ausgehandelt, und die AVP wird neu generiert, anstatt weitergeleitet zu werden.

Name der Proxyauthentifizierung (30)

Wahlfrei

ICCN (ICCN)

Relais

Wenn die LCP-Neuverhandlung mit der lcp-negotiation Anweisung im Clientprofil auf dem LNS aktiviert ist, wird auch die Authentifizierung neu ausgehandelt, und die AVP wird neu generiert, anstatt weitergeleitet zu werden.

Proxy-Authentifizierungsantwort (33)

Wahlfrei

ICCN (ICCN)

Relais

Wenn die LCP-Neuverhandlung mit der lcp-negotiation Anweisung im Clientprofil auf dem LNS aktiviert ist, wird auch die Authentifizierung neu ausgehandelt, und die AVP wird neu generiert, anstatt weitergeleitet zu werden.

Proxy-Authentifizierungstyp (29)

Wahlfrei

ICCN (ICCN)

Relais

Wenn die LCP-Neuverhandlung mit der lcp-negotiation Anweisung im Clientprofil auf dem LNS aktiviert ist, wird auch die Authentifizierung neu ausgehandelt, und die AVP wird neu generiert, anstatt weitergeleitet zu werden.

Größe des Empfangsfensters (10)

Wahlfrei

SCCRQ

Erneuern

Rx Connect Geschwindigkeit (38)

Wahlfrei

ICCN (ICCN)

Relais

Sequenzierung erforderlich (39)

Wahlfrei

ICCN (ICCN)

Erneuern

Unteranschrift (23)

Wahlfrei

ICRQ

Relais

Tie-Breaker (5)

Wahlfrei

SCCRQ

Erneuern

Tunnelwiederherstellung

Wahlfrei

SCCRQ

Erneuern

Tx Connect-Geschwindigkeit (24)

Obligatorisch

ICCN (ICCN)

Relais

Name des Anbieters (8)

Wahlfrei

SCCRQ

Erneuern

Konfigurieren des L2TP-Tunnel-Switching

L2TP-Tunnel-Switching ermöglicht es einem als LTS konfigurierten Router, PPP-Pakete, die in einer L2TP-Sitzung übertragen werden, an eine zweite L2TP-Sitzung weiterzuleiten, die auf einem anderen LNS beendet wird. Um das L2TP-Tunnel-Switching zu konfigurieren, müssen Sie ein Tunnel-Switch-Profil definieren und dieses Profil anschließend zuweisen.

Sie können Tunnel-Switch-Profile für alle Sitzungen weltweit, für alle Sitzungen in einer Tunnelgruppe, für alle Sitzungen in einer Domäne oder in Ihrer RADIUS-Serverkonfiguration so konfigurieren, dass sie im RADIUS-Tunnel-Switch-Profil VSA (26-91) zurückgegeben werden. Die Rangfolge für Tunnel-Switch-Profile aus verschiedenen Quellen lautet wie folgt:

  • RADIUS VSA 26-91 > Domänenzuordnung > Tunnelgruppe > globales Tunnel-Switch-Profil

So definieren Sie ein L2TP-Tunnel-Switch-Profil:

  1. Erstellen Sie das Profil.
  2. (Optional) Überschreiben Sie die Standardaktionen, die für bestimmte L2TP-AVPs an der Switching-Grenze ausgeführt werden.
  3. Geben Sie das Tunnelprofil an, das den Tunnel definiert, zu dem der Abonnentendatenverkehr gewechselt wird.
    Anmerkung:

    Dieser Schritt ist für ein Tunnel-Switch-Profil, das im Tunnel-Switch-Profil VSA (26-91) angegeben ist, nicht erforderlich.
  4. (Optional) Wenden Sie das Profil als globales Standardprofil an, um Pakete aus allen eingehenden Sitzungen aus dem LAC zu wechseln.
  5. (Optional) Wenden Sie das Profil als Teil einer Tunnelgruppe an, um Pakete aus allen Sitzungen in der Tunnelgruppe zu wechseln.
    Anmerkung:

    Die Tunnelgruppe ist Teil der LTS-Konfiguration, die es ihr ermöglicht, als LNS für die ursprünglichen Sitzungen aus dem LAC zu fungieren.

    Eine Tunnelgruppe mit einem Tunnel-Switch-Profil muss auch ein dynamisches Profil enthalten, da das Tunnel-Switching nur dynamische Abonnenten unterstützt.
  6. (Optional) Wenden Sie das Profil als Teil einer Domänenzuordnung an, um Pakete aus allen Sitzungen, die der Domäne zugeordnet sind, zu wechseln.
    Anmerkung:

    Eine Domänenzuordnung kann nicht gleichzeitig ein Tunnel-Switch-Profil und ein Tunnelprofil aufweisen. Sie müssen eine entfernen, wenn Sie die andere hinzufügen.
  7. (Optional) Wenden Sie das Profil über den Tunnel-Switch-Profile-VSA [26–91] in der RADIUS-Access-Accept-Nachricht an, die zurückgegeben wird, wenn die Sitzung vom LAC authentifiziert wird. Lesen Sie die Dokumentation für Ihren RADIUS-Server, um zu bestimmen, wie Sie diese Methode konfigurieren.
    Anmerkung:

    Ein Tunnel-Switch-Profil, das von einem RADIUS-Server im Tunnel-Switch-Profil-VSA (26-91) angegeben wird, hat Vorrang vor dem in der CLI-Konfiguration angegebenen Tunnel-Switch-Profil. Wenn der Tunnel-Gruppen-VSA (26-64) zusätzlich zum Tunnel-Switch-Profil-VSA (26-91) empfangen wird, hat das Tunnel-Switch-Profil-VSA (26-91) Vorrang vor dem Tunnelgruppen-VSA (26-64), wodurch sichergestellt wird, dass die Teilnehmer getunnelt und nicht getunnelt werden.

Betrachten Sie z. B. die folgende Konfiguration. Dadurch werden die drei Tunnel-Switch-Profile l2tp-tunnel-switch-profile, lts-profile-groupA und lts-profile-example-com erstellt:

Die LTS-Beispielkonfiguration (Layer-2 Tunnel Switching) für Geräte der MX-Serie lautet wie folgt:

Das Profil l2tp-tunnel-switch-profile wird als globaler Standard angewendet. Wenn Pakete nach diesem Profil geschaltet werden, werden die Werte für den Bearertyp AVP (18) und die Rufnummer AVP (22) in den L2TP-Paketen basierend auf der lokalen Richtlinie am L2TP-Tunnel-Switch neu generiert und dann mit den Paketen gesendet. Die Cisco NAS Port Info AVP (100) wird einfach gelöscht. Schließlich stellt l2tp-tunnel-profile1 die Konfigurationsmerkmale des Tunnels bereit, zu dem der Datenverkehr geleitet wird.

Das Tunnel-Switch-Profil lts-profile-groupA wird mittels einer Tunnelgruppe, groupA, angewendet; Es gibt ein anderes Tunnelprofil, l2tp-tunnel-profile2, an und überschreibt keine AVP-Aktionen. Das lts-profile-example.com des Tunnel-Switch-Profils wird mithilfe einer Domänenzuordnung für die example.com Domäne angewendet. Es gibt ein anderes Tunnelprofil, l2tp-tunnel-profile3, an und überschreibt keine AVP-Aktionen.

Festlegen der Größe des L2TP-Empfangsfensters

Sie können die Größe des L2TP-Empfangsfensters für einen L2TP-Tunnel konfigurieren. Die Größe des Empfangsfensters gibt die Anzahl der Pakete an, die ein Peer senden kann, bevor er auf eine Bestätigung vom Router wartet.

Standardmäßig ist die Größe des Empfangsfensters auf vier Pakete festgelegt. Wenn die Größe des Empfangsfensters auf den Standardwert festgelegt ist, sendet der Router in seinem ersten Paket, das während der Tunnelaushandlung an seinen Peer gesendet wird, nicht AVP 10 für die Größe des Empfangsfensters, AVP 10.

So konfigurieren Sie die Größe des Empfangsfensters:

Festlegen des L2TP-Tunnel-Leerlauf-Timeouts

Sie können die LAC oder den LNS konfigurieren, um anzugeben, wie lange ein Tunnel ohne Sitzungen aktiv bleibt. Der Leerlauf-Timer wird gestartet, wenn die letzte Sitzung im Tunnel beendet wird. Wenn der Timer abläuft, wird die Verbindung zum Tunnel getrennt. Diese Zeitüberschreitung im Leerlauf setzt Ressourcen frei, die sonst von inaktiven Tunneln verbraucht werden.

Wenn Sie den Wert für die Zeitüberschreitung im Leerlauf auf Null setzen, ist der Tunnel gezwungen, nach dem Beenden der letzten Sitzung auf unbestimmte Zeit aktiv zu bleiben, bis eine der folgenden Situationen eintritt:

  • Sie geben den clear services l2tp tunnel Befehl aus.

  • Der Remote-Peer trennt den Tunnel.

Beste Praxis:

Vor einem Downgrade auf eine Junos OS-Version, die diese Anweisung nicht unterstützt, empfehlen wir, die Konfiguration der Funktion explizit aufzuheben, indem Sie die no idle-timeout Anweisung auf Hierarchieebene [edit services l2tp tunnel] einschließen.

So legen Sie das Tunnel-Leerlauf-Timeout fest:

  • Konfigurieren Sie den Timeout-Zeitraum.

Festlegen des L2TP-Zeitüberschreitungslimits für die Destruktion

Sie können die LAC oder den LNS konfigurieren, um anzugeben, wie lange der Router versucht, dynamische Ziele, Tunnel und Sitzungen aufrechtzuerhalten, nachdem diese zerstört wurden. Diese Zeitüberschreitung bei der Zerstörung unterstützt das Debugging und andere Analysen, indem zugrunde liegende Speicherstrukturen gespeichert werden, nachdem das Ziel, der Tunnel oder die Sitzung beendet wurde. Ein bestimmtes dynamisches Ziel, ein bestimmter Tunnel oder eine bestimmte Sitzung kann nicht für diesen gesamten Zeitraum aufrechterhalten werden, wenn die Ressourcen frühzeitig zurückgefordert werden müssen, damit neue Tunnel eingerichtet werden können.

Beste Praxis:

Vor einem Downgrade auf eine Junos OS-Version, die diese Anweisung nicht unterstützt, empfehlen wir, die Konfiguration der Funktion explizit aufzuheben, indem Sie die no destruct-timeout Anweisung auf Hierarchieebene [edit services l2tp] einschließen.

So legen Sie das L2TP-Zeitlimit für die Zerstörung fest:

  • Konfigurieren Sie den Timeout-Zeitraum.

Konfigurieren der Zeitüberschreitung für die L2TP-Zielsperre

Wenn mehrere Sätze von Tunneling-Parametern verfügbar sind, verwendet L2TP ein Auswahlverfahren, um den besten Tunnel für den Abonnentendatenverkehr auszuwählen. Als Teil dieses Auswahlprozesses sperrt L2TP Ziele aus, mit denen es keine Verbindung herstellen kann, wenn ein Teilnehmer versucht, eine Domäne zu erreichen. L2TP setzt das Ziel auf die Zielsperrliste und schließt das Ziel für einen konfigurierbaren Zeitraum, das als Zeitüberschreitung für die Zielsperre bezeichnet wird, von der Berücksichtigung aus.

Standardmäßig beträgt die Zeitüberschreitung für die Zielsperre 300 Sekunden (5 Minuten). Sie können einen Wert zwischen 60 und 3600 Sekunden (1 Minute bis 1 Stunde) konfigurieren. Wenn das Sperr-Timeout abläuft, geht L2TP davon aus, dass das Ziel jetzt verfügbar ist, und schließt das Ziel bei der Tunnelauswahl mit ein. Die Zielsperrfrist ist ein globaler Wert und kann nicht individuell für bestimmte Ziele, Tunnel oder Tunnelgruppen konfiguriert werden.

Anmerkung:

Im Allgemeinen kann ein gesperrtes Ziel erst verwendet werden, wenn der Sperr-Timer abgelaufen ist. Wenn L2TP jedoch den Tunnelauswahlprozess ausführt, löscht es unter bestimmten Umständen den Sperrtimer für ein gesperrtes Ziel. Ausführliche Informationen zum Auswahlprozess finden Sie unter Auswahl, wenn Failover zwischen Einstellungsebenen konfiguriert ist und Auswahl, wenn Failover innerhalb einer Einstellungsebene konfiguriert ist in der Übersicht über die LAC-Tunnelauswahl .
Beste Praxis:

Konfigurieren Sie die Zeitüberschreitung für die Sperrung so, dass sie gleich oder kürzer als die Zeitüberschreitung für die Zerstörung ist. Andernfalls läuft das Zeitlimit für die Zerstörung vor dem Zeitlimit für die Sperrung ab. In diesem Fall wird das gesperrte Ziel zerstört und kann anschließend vor Ablauf des Sperrtimeouts wieder in Betrieb genommen werden, wodurch die Wirksamkeit des Sperrtimeouts aufgehoben wird.

So konfigurieren Sie das Zeitlimit für die Zielsperre:

  • Geben Sie den Zeitraum in Sekunden an.

Der show services l2tp destination lockout Befehl zeigt die Liste der Zielsperren an und gibt für jedes Ziel an, wie viel Zeit bis zum Ablauf der Zeitüberschreitung verbleibt. Der show services l2tp destination detail Befehl gibt für jedes Ziel an, ob es gesperrt ist und auf den Ablauf des Timeouts wartet oder nicht.

L2TP-Ziel aus der Zielsperrliste entfernen

Wenn ein PPP-Abonnent versucht, sich bei einer Domäne anzumelden, wählt L2TP einen Tunnel aus, der einem Ziel in dieser Domäne zugeordnet ist, und versucht, auf das Ziel zuzugreifen. Wenn der Verbindungsversuch fehlschlägt, setzt L2TP das Ziel auf die Zielsperrliste. Ziele in dieser Liste werden für einen konfigurierbaren Zeitraum, der als Zeitüberschreitung für die Zielsperre bezeichnet wird, von der Berücksichtigung für nachfolgende Verbindungen ausgeschlossen.

Sie können den request services l2tp destination unlock Befehl für ein bestimmtes Ziel ausgeben, um es aus der Zielsperrliste zu entfernen. Dies hat zur Folge, dass dieses Ziel sofort zur Verfügung steht, wenn sich ein Abonnent bei der zugeordneten Domäne anmeldet.

So entfernen Sie ein Ziel aus der Liste der Zielsperren:

  • Geben Sie den Namen des Ziels an, das entsperrt werden soll.

Konfigurieren des L2TP-Drain

Zu administrativen Zwecken können Sie den Status eines L2TP-Ziels oder -Tunnels auf "Drain" festlegen. Dadurch wird die Erstellung neuer Sitzungen, Tunnel und Ziele bei L2TP LAC und LNS verhindert.

Sie können den L2TP-Abfluss auf globaler Ebene oder für ein bestimmtes Ziel oder einen bestimmten Tunnel konfigurieren. Wenn die Funktion auf globaler L2TP-Ebene konfiguriert ist, kann kein neues Ziel, kein neuer Tunnel und keine neue Sitzung erstellt werden. Wenn das Feature für ein bestimmtes Ziel konfiguriert ist, kann an diesem Ziel kein neuer Tunnel oder keine neue Sitzung erstellt werden. Wenn die Funktion für einen bestimmten Tunnel konfiguriert ist, können diesem Tunnel keine neuen Sitzungen zugewiesen werden, aber es können neue Ziele und Tunnel erstellt werden.

  • So verhindern Sie die Erstellung neuer Sitzungen, Ziele und Tunnel für L2TP:
  • So verhindern Sie die Erstellung neuer Tunnel und Sitzungen an einem bestimmten Ziel:
  • So verhindern Sie die Erstellung neuer Sitzungen in einem bestimmten Tunnel:
    Anmerkung:

    Der Tunnel name ist der lokal zugewiesene Name des Tunnels im folgenden Format:destination-name/tunnel-name oder tunnel-nameWenn nur das tunnel-name angegeben wird, müssen Sie die address ip-address Anweisung einschließen, um das Ziel für den Tunnel zu identifizieren.

Wenn diese Funktion konfiguriert ist, wird der Befehl Ausgabe von show services l2tp summary, show services l2tp destinationund show services l2tp tunnel zeigt den Status der L2TP-Sitzung, des Ziels und des Tunnels als Drainan.

Verwendung desselben L2TP-Tunnels für die Einschleusung und Duplizierung von IP-Paketen

Sie können denselben L2TP-Tunnel, der für die Spiegelung sicherer Richtlinien für Abonnenten verwendet wird, für die Duplizierung von Paketen konfigurieren. Duplizierte Pakete werden verwendet, um Datenverkehr zum Kunden oder zum Netzwerk einzuspeisen. Das Einschleusen oder Übertragen von Paketen wird für alle Anwenderzugriffsmodi unterstützt. Ein einzelner L2TP-Tunnel wird sowohl für die Übertragung von Paketen als auch für die Duplizierung von Paketen verwendet. Ein Port oder eine Schnittstelle, die für die Duplizierung von Paketen auf der einen Seite eines L2TP-Tunnels konfiguriert ist, ist mit dem anderen Tunnelendpunkt verbunden. Der andere Endpunkt des Tunnels kann IP-Pakete über den L2TP-Tunnel an den Port oder die Schnittstelle senden, der bzw. die für die Paketduplizierung konfiguriert ist. Die an dieser Schnittstelle empfangenen IP-Pakete können entweder an den Kunden weitergeleitet oder so gesendet werden, als wären sie vom Kunden empfangen worden.

Der Remote-Tunnelendpunkt sendet ein IP-Tunnelpaket, das eine Ethernet-MAC-Adresse in der Nutzlast enthält. Wenn die Ziel-MAC-Adresse des Nutzdatenpakets die MAC-Adresse des Routers enthält, wird das Ethernet-Paket in ausgehender Richtung in Richtung Netzwerk gesendet und so verarbeitet und weitergeleitet, als ob es am Kundenport empfangen würde. Wenn die Quell-MAC-Adresse des Payload-Pakets die MAC-Adresse des Routers enthält, wird das Ethernet-Paket in ausgehender Richtung zum Kunden-Port übertragen. Wenn der Tunnel das konfigurierte Empfangscookie nicht enthält, erfolgt keine Paketinjektion. In einem solchen Fall wird jedes empfangene Tunnelpaket auf die gleiche Weise gezählt und verworfen, wie Pakete, die mit einem falschen Cookie ankommen, gezählt und verworfen werden.

Um das Paket zu konfigurieren, das dupliziert und an den Kunden oder das Netzwerk gesendet werden soll (basierend auf der MAC-Adresse in der Ethernet-Nutzlast), fügen Sie die decapsulate l2tp output-interface interface-name cookie l2tpv3-cookie Anweisung auf der [edit firewall family family-name filter filter-name term term-name then] Hierarchieebene ein. Sie können auch einen Zähler für die duplizierten oder entkapselten L2TP-Pakete konfigurieren, indem Sie die Anweisung count counter-name auf der [edit firewall family family-name filter filter-name term term-name then] Hierarchieebene einschließen

Zugehörige Dokumentation