Tunnelisation de couche 2 des paquets PPP
Présentation du protocole de tunnelisation de couche 2
L2TP est défini dans la RFC 2661, L2TP (Layer Two Tunneling Protocol).
L2TP facilite la tunnelisation des paquets PPP sur un réseau intermédiaire d’une manière aussi transparente que possible pour les utilisateurs finaux et les applications. Il utilise des profils d’accès pour l’accès des utilisateurs individuels et de groupe, et utilise l’authentification pour établir des connexions sécurisées entre les deux extrémités de chaque tunnel. La fonctionnalité PPP multiliaison est également prise en charge.
Les services L2TP sont uniquement pris en charge sur les routeurs suivants :
Routeurs M7i avec AS PICs
Routeurs M10i avec AS et multiservices 100 PICs
Routeurs M120 avec AS, Multiservices 100 et Multiservices 400 PIC
Sur les routeurs MX Series, les fonctions de concentrateur d’accès L2TP (LAC) et de serveur réseau L2TP (LNS) sont prises en charge uniquement sur les MPC ; ils ne sont pris en charge sur aucun service PIC ou MS-DPC. Pour plus d’informations sur la prise en charge MPC de L2TP, reportez-vous à la référence du module d’interface MX Series
Pour plus d’informations, reportez-vous à la section Présentation de la configuration des services L2TP.
Voir aussi
Présentation de la configuration des services L2TP
Les instructions de configuration des services L2TP se trouvent aux niveaux hiérarchiques suivants :
[modifier le groupe group-namede tunnels L2TP des services ]
L’instruction L2TP tunnel-group identifie une instance L2TP ou un serveur L2TP. Les instructions associées spécifient l’adresse de la passerelle locale sur laquelle les tunnels et les sessions entrants sont acceptés, la carte d’interface physique (PIC) Adaptive Services (AS) qui traite les données des sessions de ce groupe de tunnels, les références aux profils d’accès L2TP et PPP et d’autres attributs permettant de configurer la taille des fenêtres et les valeurs du minuteur.
[Editer les interfaces sp-fpc/pic/port options de numérotation de l’unité logical-unit-number ]
L’instruction dial-options inclut la configuration de l’instruction l2tp-interface-id et de l’indicateur shared/dedicated L’identificateur d’interface associe une session utilisateur à une interface logique. Les sessions peuvent utiliser des interfaces logiques partagées ou dédiées. Pour exécuter des protocoles de routage, une session doit utiliser une interface logique dédiée.
[Modifier le profil profile-name d’accès du client name L2TP]
Les profils de tunnel sont définis au niveau de la hiérarchie [modifier l’accès]. Les clients de tunnel sont définis avec l’authentification, la négociation et la fragmentation multiliaisons, ainsi que d’autres attributs L2TP dans ces profils.
[Modifier le profil profile-name d’accès, le client name PPP]
Les profils d’utilisateurs sont définis au niveau de la hiérarchie [modifier l’accès]. Les clients utilisateurs sont définis avec une authentification et d’autres attributs PPP dans ces profils. Ces profils client sont utilisés lorsque l’authentification locale est spécifiée.
[modifier le serveur addressd’accès RADIUS]
Lorsque vous configurez le rayon de l’ordre d’authentification au niveau hiérarchique [modifier le profil d’accès], vous devez configurer un service RADIUS au niveau hiérarchique [modifier le serveur profile-name radius d’accès].
Pour plus d’informations sur la configuration des propriétés au niveau de la hiérarchie [accès en modification], reportez-vous à la bibliothèque d’administration de Junos OS pour les périphériques de routage. Pour plus d’informations sur les configurations L2TP LAC et LNS sur les routeurs MX Series pour l’accès abonné, reportez-vous à la section Présentation de L2TP pour l’accès abonné dans le Guide de configuration de l’accès abonné Junos.
Configuration minimale L2TP
Pour configurer les services L2TP, vous devez effectuer au moins les tâches suivantes :
Définissez un groupe de tunnels au niveau de la
[edit services l2tp]hiérarchie avec les attributs suivants :l2tp-access-profile: nom de profil du tunnel L2TP.ppp-access-profile: nom du profil de l’utilisateur L2TP.local-gateway: adresse du tunnel L2TP.service-interface—AS PIC interface pour le service L2TP.Si vous le souhaitez, vous pouvez le configurer
traceoptionsà des fins de débogage.
L’exemple suivant montre une configuration minimale pour un groupe de tunnels avec des options de traçage :
[edit services l2tp] tunnel-group finance-lns-server { l2tp-access-profile westcoast_bldg_1_tunnel; ppp-access-profile westcoast_bldg_1; local-gateway { address 10.21.255.129; } service-interface sp-1/3/0; } traceoptions { flag all; filter { protocol udp; protocol l2tp; protocol ppp; protocol radius; } }Au niveau hiérarchique
[edit interfaces]:Identifiez l’interface physique à partir de laquelle les paquets du tunnel L2TP entrent dans le routeur, par exemple
ge-0/3/0.Configurez l’interface AS PIC avec
unit 0 family inetdéfini pour le service IP, et configurez une autre interface logique avecfamily inetet l’instructiondial-options.
L’exemple suivant montre une configuration minimale des interfaces pour L2TP :
[edit interfaces] ge-0/3/0 { unit 0 { family inet { address 10.58.255.129/28; } } } sp-1/3/0 { unit 0 { family inet; } unit 20 { dial-options { l2tp-interface-id test; shared; } family inet; } }Au niveau hiérarchique
[edit access]:Configurez un profil de tunnel. Chaque client spécifie un nom unique de concentrateur d’accès L2TP (LAC) avec une
interface-idvaleur qui correspond à celle configurée sur l’unité d’interface AS PIC ;shared-secretil s’agit de l’authentification entre le LAC et le serveur de réseau L2TP (LNS).Configurez un profil utilisateur. Si RADIUS est utilisé comme méthode d’authentification, il doit être défini.
Définissez le serveur RADIUS avec une adresse IP, un port et des données d’authentification partagés entre le routeur et le serveur RADIUS.
Note:Lorsque le serveur réseau L2TP (LNS) est configuré avec l’authentification RADIUS, le comportement par défaut est d’accepter l’adresse IP RADIUS préférée. Auparavant, le comportement par défaut était d’accepter et d’installer l’adresse IP de l’homologue non nulle qui entrait dans l’option Adresse IP du paquet de demande de configuration IPCP.
Si vous le souhaitez, vous pouvez définir un profil de groupe pour les attributs communs, par exemple
keepalive 0pour désactiver les messages keepalive.
L’exemple suivant montre une configuration de profils minimale pour L2TP :
[edit access] group-profile westcoast_users { ppp { keepalive 0; } } profile westcoast_bldg_1_tunnel { client production { l2tp { interface-id test; shared-secret "$ABC123"; # SECRET-DATA } user-group-profile westcoast_users; } } profile westcoast_bldg_1 { authentication-order radius; } radius-server { 192.168.65.63 { port 1812; secret "$ABC123"; # SECRET-DATA } }
Voir aussi
Configuration des groupes de tunnels L2TP
Pour établir le service L2TP sur un routeur, vous devez identifier un groupe de tunnels L2TP et spécifier un certain nombre de valeurs qui définissent les profils d’accès, les adresses d’interface et les autres propriétés à utiliser pour créer un tunnel. Pour identifier le groupe de tunnels, incluez l’instruction tunnel-group au niveau de la [edit services l2tp] hiérarchie.
Si vous supprimez un groupe de tunnels ou le marquez comme inactif, toutes les sessions L2TP de ce groupe de tunnels sont arrêtées. Si vous modifiez la valeur de l’instruction local-gateway address ou de l’instruction service-interface , toutes les sessions L2TP utilisant ces paramètres sont terminées. Si vous modifiez ou supprimez d’autres instructions au niveau de la [edit services l2tp tunnel-group group-name] hiérarchie, les nouveaux tunnels que vous établissez utiliseront les valeurs mises à jour, mais les tunnels et sessions existants ne seront pas affectés.
Les sections suivantes expliquent comment configurer les groupes de tunnels L2TP :
- Configuration des profils d’accès pour les groupes de tunnels L2TP
- Configuration de l’adresse de passerelle locale et du PIC
- Configuration de la taille de la fenêtre pour les tunnels L2TP
- Configuration des temporisateurs pour les tunnels L2TP
- Masquage des paires attribut-valeur pour les tunnels L2TP
- configuration de la journalisation système de l’activité du tunnel L2TP
Configuration des profils d’accès pour les groupes de tunnels L2TP
Pour valider les connexions L2TP et les demandes de session, vous devez configurer des profils d’accès en configurant l’instruction profile au niveau de la [edit access] hiérarchie. Vous devez configurer deux types de profils :
Profil d’accès au tunnel L2TP, qui valide toutes les demandes de connexion L2TP à l’adresse de passerelle locale spécifiée
Profil d’accès PPP, qui valide toutes les demandes de session PPP via des tunnels L2TP établis vers l’adresse de passerelle locale
Pour plus d’informations sur la configuration des profils, reportez-vous à la bibliothèque d’administration de Junos OS pour les périphériques de routage. Un exemple de profil est inclus dans Exemples : Configuration des services L2TP.
Pour associer les profils à un groupe de tunnels, incluez les l2tp-access-profile instructions et ppp-access-profile au niveau de la [edit services l2tp tunnel-group group-name] hiérarchie :
l2tp-access-profile profile-name; ppp-access-profile profile-name;
Configuration de l’adresse de passerelle locale et du PIC
Lorsque vous configurez un groupe L2TP, vous devez également définir une adresse locale pour les connexions de tunnel L2TP et le PIC AS qui traite les requêtes :
Pour configurer l’adresse IP de la passerelle locale, incluez l’instruction suivante
addressau niveau de la[edit services l2tp tunnel-group group-name local-gateway]hiérarchie :address address;
Pour configurer l’AS PIC, incluez l’instruction
service-interfaceau niveau de la[edit services l2tp tunnel-group group-name]hiérarchie :service-interface sp-fpc/pic/port;
Vous pouvez éventuellement spécifier le numéro de l’unité logique avec l’interface de service. Si elle est spécifiée, l’unité est utilisée comme interface logique représentant les sessions PPP négociées à l’aide de ce profil.
Si vous modifiez l’adresse de la passerelle locale ou la configuration de l’interface de service, toutes les sessions L2TP utilisant ces paramètres sont terminées.
La fonctionnalité de classe de service dynamique (CoS) est prise en charge sur les sessions LNS L2TP ou les sessions L2TP avec des VC ATM, à condition que la session L2TP soit configurée pour utiliser un PIC IQ2 sur l’interface de sortie. Pour plus d’informations, reportez-vous au Guide de l’utilisateur de la classe de service (routeurs et commutateurs EX9200).
Configuration de la taille de la fenêtre pour les tunnels L2TP
Vous pouvez configurer la taille maximale de la fenêtre pour le traitement des paquets à chaque extrémité du tunnel L2TP :
La taille de la fenêtre de réception limite le nombre de paquets simultanés traités par le serveur. Par défaut, le maximum est de 16 paquets. Pour modifier la taille de la fenêtre, incluez l’instruction au
receive-windowniveau de la[edit services l2tp tunnel-group group-name]hiérarchie :receive-window packets;
La taille maximale de la fenêtre d’envoi limite la taille de la fenêtre de réception de l’autre extrémité. Les informations sont transmises dans la paire attribut-valeur de taille de la fenêtre de réception. Par défaut, le maximum est de 32 paquets. Pour modifier la taille de la fenêtre, incluez l’instruction au
maximum-send-windowniveau de la[edit services l2tp tunnel-group group-name]hiérarchie :maximum-send-window packets;
Configuration des temporisateurs pour les tunnels L2TP
Vous pouvez configurer les valeurs de temporisation suivantes qui régulent le traitement de tunnel L2TP :
Intervalle de bonjour : si le serveur ne reçoit aucun message dans un intervalle de temps spécifié, le logiciel du routeur envoie un message de bonjour à l’homologue distant du tunnel. Par défaut, la durée de l’intervalle est de 60 secondes. Si vous configurez la valeur 0, aucun message hello n’est envoyé. Pour configurer une valeur différente, incluez l’instruction
hello-intervalau niveau de la[edit services l2tp tunnel-group group-name]hiérarchie :hello-interval seconds;
Intervalle de retransmission : par défaut, la durée de l’intervalle de retransmission est de 30 secondes. Pour configurer une valeur différente, incluez l’instruction
retransmit-intervalau niveau de la[edit services l2tp tunnel-group group-name]hiérarchie :retransmit-interval seconds;
Délai d’expiration du tunnel : si le serveur ne peut pas envoyer de données via le tunnel dans un intervalle de temps spécifié, il suppose que la connexion avec l’homologue distant a été perdue et supprime le tunnel. Par défaut, la durée de l’intervalle est de 120 secondes. Pour configurer une valeur différente, incluez l’instruction
tunnel-timeoutau niveau de la[edit services l2tp tunnel-group group-name]hiérarchie :tunnel-timeout seconds;
Masquage des paires attribut-valeur pour les tunnels L2TP
Une fois qu’un tunnel L2TP a été établi et que la connexion a été authentifiée, les informations sont codées au moyen de paires attribut-valeur. Par défaut, ces informations ne sont pas masquées. Pour masquer les paires attribut-valeur une fois que le secret partagé est connu, incluez l’instruction au hide-avps niveau de la [edit services l2tp tunnel-group group-name] hiérarchie :
hide-avps;
configuration de la journalisation système de l’activité du tunnel L2TP
Vous pouvez spécifier des propriétés qui contrôlent la façon dont les messages de journal système sont générés pour les services L2TP.
Pour configurer les valeurs de journalisation système par défaut à l’échelle de l’interface, incluez l’instruction au syslog niveau de la [edit services l2tp tunnel-group group-name] hiérarchie :
syslog { host hostname { services severity-level; facility-override facility-name; log-prefix prefix-value; } }
Configurez l’instruction host avec un nom d’hôte ou une adresse IP qui spécifie le serveur cible du journal système. Le nom local d’hôte dirige les messages du journal système vers le moteur de routage. Pour les serveurs de journaux système externes, le nom d’hôte doit être accessible à partir de la même instance de routage à laquelle le paquet de données initial (qui a déclenché l’établissement de session) est livré. Vous ne pouvez spécifier qu’un seul nom d’hôte de journalisation système.
Le Tableau 1 répertorie les niveaux de gravité que vous pouvez spécifier dans les instructions de configuration au niveau de la [edit services l2tp tunnel-group group-name syslog host hostname] hiérarchie. Les niveaux de jusqu’à la plus info grande gravité (effet le emergency plus important sur le fonctionnement) à la plus faible.
Niveau de gravité |
Description |
|---|---|
|
Comprend tous les niveaux de gravité |
|
Panique du système ou autre condition provoquant l’arrêt du routeur |
|
Conditions nécessitant une correction immédiate, telles qu’une base de données système corrompue |
|
Conditions critiques, telles que les erreurs de disque dur |
|
Des conditions d’erreur qui ont généralement des conséquences moins graves que les erreurs dans les niveaux d’urgence, d’alerte et critique |
|
Conditions justifiant une surveillance |
|
Conditions qui ne sont pas des erreurs mais qui peuvent justifier un traitement spécial |
|
Conditions d’intérêt relatives aux événements ou non-erreurs |
Nous vous recommandons de définir le niveau de sévérité de la journalisation système sur error pendant le fonctionnement normal. Pour surveiller l’utilisation des ressources PIC, définissez le niveau sur warning. Pour recueillir des informations sur une attaque d’intrusion lorsqu’une erreur système de détection d’intrusion est détectée, définissez le niveau sur notice pour un ensemble de services spécifique. Pour déboguer une configuration ou consigner des événements de traduction d’adresses réseau (NAT), définissez le niveau sur info.
Pour plus d’informations sur les messages du journal système, consultez l’Explorateur du journal système.
Pour utiliser un code d’installation particulier pour toute la journalisation sur l’hôte de journal système spécifié, incluez l’instruction suivante facility-override au niveau de la [edit services l2tp tunnel-group group-name syslog host hostname] hiérarchie :
facility-override facility-name;
Les installations prises en charge sont les suivantes : authorization, daemon, ftp, kerneluser, et local0 via local7.
Pour spécifier un préfixe textuel pour toute la journalisation sur cet hôte de journal système, incluez l’instruction au log-prefix niveau de la [edit services l2tp tunnel-group group-name syslog host hostname] hiérarchie :
log-prefix prefix-text;
Configuration de l’identificateur pour les interfaces logiques fournissant des services L2TP
Vous pouvez configurer les services L2TP sur les interfaces de services adaptatifs des routeurs M7i, M10i, M120 et MX Series uniquement. Vous devez configurer l’interface logique à dédier ou à partager. Si une interface logique est dédiée, elle ne peut représenter qu’une session à la fois. Une interface logique partagée peut avoir plusieurs sessions.
Pour configurer l’interface logique, incluez l’instruction au l2tp-interface-id niveau de la [edit interfaces interface-name unit logical-unit-number dial-options] hiérarchie :
l2tp-interface-id name; (dedicated | shared);
Le l2tp-interface-id nom configuré sur l’interface logique doit être répliqué au niveau de la [edit access profile name] hiérarchie :
Pour un identificateur spécifique à l’utilisateur, incluez l’instruction
l2tp-interface-idau niveau de la[edit access profile name ppp]hiérarchie.Pour un identificateur de groupe, incluez l’instruction
l2tp-interface-idau niveau de la[edit access profile name l2tp]hiérarchie.
Vous pouvez configurer plusieurs interfaces logiques avec le même identificateur d’interface, à utiliser comme pool pour plusieurs utilisateurs. Pour plus d’informations sur la configuration des profils d’accès, reportez-vous à la bibliothèque d’administration de Junos OS pour les périphériques de routage.
Si vous supprimez les paramètres d’instruction dial-options configurés sur une interface logique, toutes les sessions L2TP exécutées sur cette interface sont arrêtées.
Exemple : Configuration de PPP multiliaison sur une interface logique partagée
Le PPP multiliaison est pris en charge sur les interfaces logiques partagées ou dédiées. L’exemple suivant peut être utilisé pour configurer de nombreux bundles multiliaisons sur une seule interface partagée :
interfaces {
sp-1/3/0 {
traceoptions {
flag all;
}
unit 0 {
family inet;
}
unit 20 {
dial-options {
l2tp-interface-id test;
shared;
}
family inet;
}
}
}
access {
profile t {
client test {
l2tp {
interface-id test;
multilink;
shared-secret "$ABC123"; # SECRET-DATA
}
}
}
profile u {
authentication-order radius;
}
radius-server {
192.168.65.63 {
port 1812;
secret "$ABC123"; # SECRET-DATA
}
}
}
services {
l2tp {
tunnel-group 1 {
l2tp-access-profile t;
ppp-access-profile u;
local-gateway {
address 10.70.1.1;
}
service-interface sp-1/3/0;
}
traceoptions {
flag all;
debug-level packet-dump;
filter {
protocol l2tp;
protocol ppp;
protocol radius;
}
}
}
}
Redondance AS PIC pour les services L2TP
Les services L2TP prennent en charge la redondance AS PIC. Pour configurer la redondance, vous spécifiez une interface PIC (rsp) des services de redondance dans laquelle le PIC AS principal est actif et un PIC AS secondaire en veille. En cas de défaillance du PIC AS principal, le PIC secondaire devient actif et tout le traitement du service lui est transféré. Si le PIC AS primaire est restauré, il reste en veille et ne préempte pas le AS PIC secondaire ; vous devez restaurer manuellement les services sur le pic principal. Pour déterminer quel PIC est actuellement actif, exécutez la show interfaces redundancy commande.
Sur L2TP, la seule option de service prise en charge est la veille à chaud, dans laquelle un PIC de secours prend en charge plusieurs PIC fonctionnels. Les temps de récupération ne sont pas garantis, car la configuration doit être complètement restaurée sur le PIC de sauvegarde après la détection d’une défaillance. Les tunnels et les sessions sont démantelés lors du basculement et doivent être redémarrés par le client LAC et PPP, respectivement. Toutefois, la configuration est préservée et disponible sur le nouveau pic actif, bien que l’état du protocole doive être rétabli.
Comme pour les autres services AS PIC qui prennent en charge la mise en veille à chaud, vous pouvez exécuter la request interfaces (revert | switchover) commande pour basculer manuellement entre les interfaces L2TP principale et secondaire.
Pour plus d’informations, reportez-vous à la section Configuration de la redondance AS ou PIC multiservices. Pour obtenir un exemple de configuration, reportez-vous à la section Exemples : configuration des services L2TP. Pour plus d’informations sur les commandes du mode opérationnel, reportez-vous à l’Explorateur CLI.
Exemples : Configuration des services L2TP
Configurez L2TP avec plusieurs profils de groupes et d’utilisateurs et un pool d’interfaces logiques pour les sessions de tunnel simultanées :
[edit access]
address-pool customer_a {
address 10.1.1.1/32;
}
address-pool customer_b {
address-range low 10.2.2.1 high 10.2.3.2;
}
group-profile sunnyvale_users {
ppp {
framed-pool customer_a;
idle-timeout 15;
primary-dns 192.168.65.1;
secondary-dns 192.168.65.2;
primary-wins 192.168.65.3;
secondary-wins 192.168.65.4;
interface-id west;
}
}
group-profile eastcoast_users {
ppp {
framed-pool customer_b;
idle-timeout 20;
primary-dns 192.168.65.5;
secondary-dns 192.168.65.6;
primary-wins 192.168.65.7;
secondary-wins 192.168.65.8;
interface-id east;
}
}
group-profile sunnyvale_tunnel {
l2tp {
maximum-sessions-per-tunnel 100;
interface-id west_shared;
}
}
group-profile east_tunnel {
l2tp {
maximum-sessions-per-tunnel 125;
interface-id east_shared;
}
}
profile sunnyvale_bldg_1 {
client white {
chap-secret "$ABC123"; # SECRET-DATA
ppp {
idle-timeout 22;
primary-dns 192.168.65.1;
framed-ip-address 10.12.12.12/32;
interface-id east;
}
group-profile sunnyvale_users;
}
client blue {
chap-secret "$ABC123"; # SECRET-DATA
group-profile sunnyvale_users;
}
authentication-order password;
}
profile sunnyvale_bldg_1_tunnel {
client test {
l2tp {
shared-secret "$ABC123"; # SECRET-DATA
maximum-sessions-per-tunnel 75;
interface-id west_shared;
ppp-authentication chap;
}
group-profile sunnyvale_tunnel;
}
client production {
l2tp {
shared-secret "$ABC123";
ppp-authentication chap;
}
group-profile sunnyvale_tunnel;
}
}
[edit services]
l2tp {
tunnel-group finance-lns-server {
l2tp-access-profile sunnyvale_bldg_1_tunnel;
ppp-access-profile sunnyvale_bldg_1;
local-gateway {
address 10.1.117.3;
}
service-interface sp-1/3/0;
receive-window 1500;
maximum-send-window 1200;
retransmit-interval 5;
hello-interval 15;
tunnel-timeout 55;
}
traceoptions {
flag all;
}
}
[edit interfaces sp-1/3/0]
unit0 {
family inet;
}
unit 10 {
dial-options {
l2tp-interface-id foo-user;
dedicated;
}
family inet;
}
unit 11 {
dial-options {
l2tp-interface-id east;
dedicated;
}
family inet;
}
unit 12 {
dial-options {
l2tp-interface-id east;
dedicated;
}
family inet;
}
unit 21 {
dial-options {
l2tp-interface-id west;
dedicated;
}
family inet;
}
unit 30 {
dial-options {
l2tp-interface-id west_shared;
shared;
}
family inet;
}
unit 40 {
dial-options {
l2tp-interface-id east_shared;
shared;
}
family inet;
}
Configurer la redondance L2TP :
interfaces {
rsp0 {
redundancy-options {
primary sp-0/0/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 11 {
dial-options {
l2tp-interface-id east_shared;
shared;
}
family inet;
}
}
}
Traçage des opérations L2TP
Opérations de suivi Suivez toutes les opérations AS PIC et enregistrez-les dans un fichier journal dans le répertoire /var/log . Par défaut, ce fichier s’appelle /var/log/l2tpd.
Cette rubrique fait référence au suivi des opérations LNS L2TP sur les routeurs M Series. Pour tracer les opérations L2TP LAC sur les routeurs MX Series, reportez-vous à la section Suivi des événements L2TP pour le dépannage.
Pour tracer les opérations L2TP, incluez l’instruction au traceoptions niveau de la [edit services l2tp] hiérarchie :
traceoptions { debug-level level; file <filename> <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; filter { protocol name; user-name username; } flag flag; interfaces interface-name { debug-level severity; flag flag; } level (all | error | info | notice | verbose | warning); no-remote-trace; }
Vous pouvez spécifier les indicateurs de suivi L2TP suivants :
all– Tracez tout.configuration: trace les événements de configuration.protocol: trace les événements du protocole de routage.routing-socket: trace les événements de socket de routage.rpd: trace des événements de processus du protocole de routage.
Vous pouvez spécifier un niveau de trace pour le suivi PPP, L2TP, RADIUS et UDP (User Datagram Protocol). Pour configurer un niveau de trace, incluez l’instruction debug-level au niveau de la [edit services l2tp traceoptions] hiérarchie et spécifiez l’une des valeurs suivantes :
detail—Informations détaillées sur le débogageerror—Erreurs uniquementpacket-dump—Informations de décodage des paquets
Vous pouvez filtrer par protocole. Pour configurer les filtres, incluez l’instruction filter protocol au niveau de la [edit services l2tp traceoptions] hiérarchie et spécifiez une ou plusieurs des valeurs de protocole suivantes :
pppl2tpradiusudp
Pour implémenter le filtrage par nom de protocole, vous devez également configurer soit flag protocol ou flag all.
Vous pouvez également configurer des traceoptions pour L2TP sur une interface de services adaptatifs spécifique. Pour configurer le suivi par interface, incluez l’instruction suivante interfaces au niveau de la [edit services l2tp traceoptions] hiérarchie :
interfaces interface-name {
debug-level level;
flag flag;
}
L’implémentation de traceoptions consomme des ressources CPU et affecte les performances de traitement des paquets.
Vous pouvez spécifier les debug-level instructions and flag pour l’interface, mais les options sont légèrement différentes des traceoptions L2TP générales. Vous spécifiez le niveau de débogage sous la forme detail, errorou extensive, ce qui fournit des informations de débogage PIC complètes. Les indicateurs suivants sont disponibles :
all– Tracez tout.ipc—Trace les messages IPC (Inter-Process Communication) L2TP entre le PIC et le moteur de routage.packet-dump: vider le contenu de chaque paquet en fonction du niveau de débogage.protocol—Gestion des L2TP, PPP et multiliaisons.system: traçage du traitement des paquets sur le PIC.