Tunnelisation de couche 2 des paquets PPP
Présentation du protocole de tunnelisation de couche 2
L2TP est défini dans la RFC 2661, Layer Two Tunneling Protocol (L2TP).
Le L2TP facilite la tunnelisation des paquets PPP sur un réseau intermédiaire d’une manière aussi transparente que possible pour les utilisateurs finaux et les applications. Il utilise des profils d’accès pour l’accès des utilisateurs individuels et de groupe, et utilise l’authentification pour établir des connexions sécurisées entre les deux extrémités de chaque tunnel. La fonctionnalité PPP multiliaison est également prise en charge.
Les services L2TP sont pris en charge sur les routeurs suivants uniquement :
Routeurs M7i avec PIC AS
Routeurs M10i avec AS et MultiServices 100 PIC
Routeurs M120 avec des PIC AS, MultiServices 100 et MultiServices 400
Sur les routeurs MX Series, les fonctions de concentrateur d’accès L2TP (LAC) et de serveur réseau L2TP (LNS) sont prises en charge uniquement sur les MPC ; ils ne sont pris en charge sur aucun PIC de services ou MS-DPC. Pour plus de détails sur la prise en charge MPC de L2TP, voir la référence des modules d’interface MX Series
Pour plus d’informations, voir Vue d’ensemble de la configuration des services L2TP.
Voir aussi
Aperçu de la configuration des services L2TP
Les instructions de configuration des services L2TP se trouvent aux niveaux hiérarchiques suivants :
[modifier les services L2TP groupe de tunnels]group-name
L’instruction de groupe de tunnels L2TP identifie une instance L2TP ou un serveur L2TP. Les instructions associées spécifient l’adresse de passerelle locale sur laquelle les tunnels et les sessions entrants sont acceptés, la carte d’interface physique (PIC) des services adaptatifs (AS) qui traite les données des sessions de ce groupe tunnel, les références aux profils d’accès L2TP et PPP et d’autres attributs permettant de configurer la taille des fenêtres et les valeurs du minuteur.
[modifier les interfaces sp-fpc/pic/port options de numérotation de l’unité logical-unit-number ]
L’instruction dial-options inclut la configuration de l’instruction l2tp-interface-id et de l’indicateur partagé/dédié . L’identificateur d’interface associe une session utilisateur à une interface logique. Les sessions peuvent utiliser des interfaces logiques partagées ou dédiées. Pour exécuter des protocoles de routage, une session doit utiliser une interface logique dédiée.
[modifier le profil profile-name d’accès client name L2TP]
Les profils de tunnel sont définis au niveau de la hiérarchie [edit access]. Les clients de tunnel sont définis avec l’authentification, la négociation et la fragmentation de liaisons multiples, ainsi que d’autres attributs L2TP dans ces profils.
[modifier le profil profile-name d’accès PPP client name ]
Les profils utilisateur sont définis au niveau de la hiérarchie [edit access]. Les clients utilisateurs sont définis avec l’authentification et d’autres attributs PPP dans ces profils. Ces profils clients sont utilisés lorsque l’authentification locale est spécifiée.
[edit access radius-server address]
Lorsque vous configurez l’ordre d’authentification radius au niveau de la hiérarchie [edit access profile profile-name], vous devez configurer un service RADIUS au niveau de la hiérarchie [edit access radius-server].
Pour plus d’informations sur la configuration des propriétés au niveau de la hiérarchie [edit access], reportez-vous à la bibliothèque d’administration de Junos OS pour les équipements de routage. Pour plus d’informations sur les configurations L2TP LAC et LNS sur les routeurs MX Series pour l’accès abonné, consultez Présentation de L2TP pour l’accès abonné dans le Guide de configuration de l’accès abonné Junos.
Configuration minimale L2TP
Pour configurer les services L2TP, vous devez effectuer au moins les tâches suivantes :
Définissez un groupe de tunnels au niveau de la
[edit services l2tp]hiérarchie avec les attributs suivants :l2tp-access-profile: nom de profil du tunnel L2TP.ppp-access-profile: nom de profil de l’utilisateur L2TP.local-gateway: adresse du tunnel L2TP.service-interface: interface PIC AS pour le service L2TP.Vous pouvez éventuellement le configurer
traceoptionsà des fins de débogage.
L’exemple suivant montre une configuration minimale pour un groupe de tunnels avec des options de traçage :
[edit services l2tp] tunnel-group finance-lns-server { l2tp-access-profile westcoast_bldg_1_tunnel; ppp-access-profile westcoast_bldg_1; local-gateway { address 10.21.255.129; } service-interface sp-1/3/0; } traceoptions { flag all; filter { protocol udp; protocol l2tp; protocol ppp; protocol radius; } }Au niveau hiérarchique
[edit interfaces]:Identifier l’interface physique à laquelle les paquets du tunnel L2TP pénètrent dans le routeur, par exemple
ge-0/3/0.Configurez l’interface PIC AS avec
unit 0 family inetle service IP défini et configurez une autre interface logique avecfamily inetet l’instructiondial-options.
L’exemple suivant montre une configuration minimale des interfaces pour L2TP :
[edit interfaces] ge-0/3/0 { unit 0 { family inet { address 10.58.255.129/28; } } } sp-1/3/0 { unit 0 { family inet; } unit 20 { dial-options { l2tp-interface-id test; shared; } family inet; } }Au niveau hiérarchique
[edit access]:Configurez un profil de tunnel. Chaque client spécifie un nom unique de concentrateur d’accès L2TP (LAC) avec une
interface-idvaleur qui correspond à celle configurée sur l’unité d’interface PIC AS ;shared-secretil s’agit d’une authentification entre le LAC et le serveur réseau L2TP (LNS).Configurez un profil utilisateur. Si RADIUS est utilisé comme méthode d’authentification, il doit être défini.
Définissez le serveur RADIUS avec une adresse IP, un port et des données d’authentification partagés entre le routeur et le serveur RADIUS.
Remarque :Lorsque le serveur réseau L2TP (LNS) est configuré avec l’authentification RADIUS, le comportement par défaut est d’accepter l’adresse IP attribuée par RADIUS préférée. Auparavant, le comportement par défaut consistait à accepter et à installer l’adresse IP homologue différente de zéro qui entrait dans l’option Adresse IP du paquet de demande de configuration IPCP.
Vous pouvez également définir un profil de groupe pour les attributs communs, par exemple
keepalive 0pour désactiver les messages keepalive.
L’exemple suivant montre une configuration de profil minimum pour L2TP :
[edit access] group-profile westcoast_users { ppp { keepalive 0; } } profile westcoast_bldg_1_tunnel { client production { l2tp { interface-id test; shared-secret "$ABC123"; # SECRET-DATA } user-group-profile westcoast_users; } } profile westcoast_bldg_1 { authentication-order radius; } radius-server { 192.168.65.63 { port 1812; secret "$ABC123"; # SECRET-DATA } }
Voir aussi
Configuration des groupes de tunnels L2TP
Pour établir un service L2TP sur un routeur, vous devez identifier un groupe de tunnels L2TP et spécifier un nombre de valeurs qui définissent les profils d’accès, les adresses d’interface et les autres propriétés à utiliser pour créer un tunnel. Pour identifier le groupe de tunnels, incluez l’instruction tunnel-group au niveau de la [edit services l2tp] hiérarchie.
Si vous supprimez un groupe de tunnels ou le marquez comme inactif, toutes les sessions L2TP de ce groupe de tunnels sont terminées. Si vous modifiez la valeur de l’instruction local-gateway address ou service-interface , toutes les sessions L2TP utilisant ces paramètres sont terminées. Si vous modifiez ou supprimez d’autres instructions au niveau de la [edit services l2tp tunnel-group group-name] hiérarchie, les nouveaux tunnels que vous établissez utiliseront les valeurs mises à jour, mais les tunnels et les sessions existants ne seront pas affectés.
Les sections suivantes expliquent comment configurer les groupes de tunnels L2TP :
- Configuration des profils d’accès pour les groupes de tunnels L2TP
- Configuration de l’adresse de la passerelle locale et du PIC
- Configuration de la taille de fenêtre pour les tunnels L2TP
- Configuration des minuteries pour les tunnels L2TP
- Masquer les paires attributs-valeurs pour les tunnels L2TP
- Configuration de la journalisation système de l’activité du tunnel L2TP
Configuration des profils d’accès pour les groupes de tunnels L2TP
Pour valider les connexions L2TP et les demandes de session, configurez les profils d’accès en configurant l’instruction profile au niveau de la [edit access] hiérarchie. Vous devez configurer deux types de profils :
Profil d’accès au tunnel L2TP, qui valide toutes les demandes de connexion L2TP à l’adresse de passerelle locale spécifiée
Profil d’accès PPP, qui valide toutes les demandes de session PPP via les tunnels L2TP établis vers l’adresse de passerelle locale
Pour plus d’informations sur la configuration des profils, reportez-vous à la bibliothèque d’administration de Junos OS pour les équipements de routage. Un exemple de profil est inclus dans Exemples : configuration des services L2TP.
Pour associer les profils à un groupe de tunnels, incluez les l2tp-access-profile instructions et au ppp-access-profile niveau de la [edit services l2tp tunnel-group group-name] hiérarchie :
l2tp-access-profile profile-name; ppp-access-profile profile-name;
Configuration de l’adresse de la passerelle locale et du PIC
Lorsque vous configurez un groupe L2TP, vous devez également définir une adresse locale pour les connexions de tunnel L2TP et le PIC AS qui traite les requêtes :
Pour configurer l’adresse IP de la passerelle locale, incluez l’instruction
addressau niveau de la[edit services l2tp tunnel-group group-name local-gateway]hiérarchie :address address;
Pour configurer l’AS PIC, incluez l’instruction
service-interfaceau niveau de la[edit services l2tp tunnel-group group-name]hiérarchie :service-interface sp-fpc/pic/port;
Vous pouvez éventuellement spécifier le numéro d’unité logique ainsi que l’interface de service. Si elle est spécifiée, l’unité est utilisée comme interface logique représentant les sessions PPP négociées à l’aide de ce profil.
Si vous modifiez l’adresse de la passerelle locale ou la configuration de l’interface de service, toutes les sessions L2TP utilisant ces paramètres sont terminées.
La fonctionnalité de classe de service dynamique (CoS) est prise en charge sur les sessions LNS L2TP ou les sessions L2TP avec des VC ATM, à condition que la session L2TP soit configurée pour utiliser un PIC IQ2 sur l’interface de sortie. Pour plus d’informations, reportez-vous au Guide de l’utilisateur de la classe de service (routeurs et commutateurs EX9200).
Configuration de la taille de fenêtre pour les tunnels L2TP
Vous pouvez configurer la taille maximale de la fenêtre pour le traitement des paquets à chaque extrémité du tunnel L2TP :
La taille de la fenêtre de réception limite le nombre de paquets simultanés traités par le serveur. Par défaut, le maximum est de 16 paquets. Pour modifier la taille de la fenêtre, incluez l’instruction
receive-windowau niveau de la[edit services l2tp tunnel-group group-name]hiérarchie :receive-window packets;
La taille maximale de la fenêtre d’envoi limite la taille de la fenêtre de réception de l’autre extrémité. Les informations sont transmises dans la paire attribut-valeur de taille de fenêtre de réception. Par défaut, le maximum est de 32 paquets. Pour modifier la taille de la fenêtre, incluez l’instruction
maximum-send-windowau niveau de la[edit services l2tp tunnel-group group-name]hiérarchie :maximum-send-window packets;
Configuration des minuteries pour les tunnels L2TP
Vous pouvez configurer les valeurs de minuterie suivantes qui régulent le traitement des tunnels L2TP :
Bonjour : si le serveur ne reçoit aucun message dans un intervalle de temps spécifié, le logiciel du routeur envoie un message de bonjour à l’homologue distant du tunnel. Par défaut, la durée de l’intervalle est de 60 secondes. Si vous configurez une valeur de 0, aucun message de bonjour n’est envoyé. Pour configurer une valeur différente, incluez l’instruction
hello-intervalau niveau de la[edit services l2tp tunnel-group group-name]hiérarchie :hello-interval seconds;
Intervalle de retransmission : la durée par défaut de l’intervalle de retransmission est de 30 secondes. Pour configurer une valeur différente, incluez l’instruction
retransmit-intervalau niveau de la[edit services l2tp tunnel-group group-name]hiérarchie :retransmit-interval seconds;
Délai d’expiration du tunnel : si le serveur ne peut pas envoyer de données via le tunnel dans un intervalle de temps spécifié, il suppose que la connexion avec l’homologue distant a été perdue et supprime le tunnel. Par défaut, la durée de l’intervalle est de 120 secondes. Pour configurer une valeur différente, incluez l’instruction
tunnel-timeoutau niveau de la[edit services l2tp tunnel-group group-name]hiérarchie :tunnel-timeout seconds;
Masquer les paires attributs-valeurs pour les tunnels L2TP
Une fois qu’un tunnel L2TP a été établi et que la connexion a été authentifiée, les informations sont encodées au moyen de paires attribut-valeur. Par défaut, ces informations ne sont pas masquées. Pour masquer les paires attribut-valeur une fois le secret partagé connu, incluez l’instruction hide-avps au niveau de la [edit services l2tp tunnel-group group-name] hiérarchie :
hide-avps;
Configuration de la journalisation système de l’activité du tunnel L2TP
Vous pouvez spécifier des propriétés qui contrôlent la façon dont les messages de journal système sont générés pour les services L2TP.
Pour configurer les valeurs de journalisation système par défaut à l’échelle de l’interface, incluez l’instruction syslog au niveau de la [edit services l2tp tunnel-group group-name] hiérarchie :
syslog { host hostname { services severity-level; facility-override facility-name; log-prefix prefix-value; } }
Configurez l’instruction avec un nom d’hôte host ou une adresse IP qui spécifie le serveur cible du journal système. Le nom local d’hôte dirige les messages du journal système vers le moteur de routage. Pour les serveurs de journaux système externes, le nom d’hôte doit être accessible à partir de la même instance de routage à laquelle le paquet de données initial (celui qui a déclenché l’établissement de session) est remis. Vous ne pouvez spécifier qu’un seul nom d’hôte de journalisation système.
Le Tableau 1 répertorie les niveaux de sévérité que vous pouvez spécifier dans les instructions de configuration au niveau de la [edit services l2tp tunnel-group group-name syslog host hostname] hiérarchie. Les niveaux de emergency la info plus élevée (plus grand effet sur le fonctionnement) sont dans l’ordre le plus faible.
Niveau de gravité |
Descriptif |
|---|---|
|
Comprend tous les niveaux de gravité |
|
Panique du système ou autre condition qui empêche le routeur de fonctionner |
|
Conditions nécessitant une correction immédiate, telles qu’une base de données système corrompue |
|
Conditions critiques, telles que les erreurs de disque dur |
|
Conditions d’erreur qui ont généralement des conséquences moins graves que les erreurs aux niveaux d’urgence, d’alerte et critique |
|
Conditions justifiant une surveillance |
|
Conditions qui ne sont pas des erreurs mais qui peuvent justifier un traitement spécial |
|
Événements ou conditions d’intérêt de non-erreur |
Nous vous recommandons de définir le niveau de gravité de la journalisation du système sur error en fonctionnement normal. Pour surveiller l’utilisation des ressources PIC, définissez le niveau sur warning. Pour recueillir des informations sur une attaque d’intrusion lorsqu’une erreur du système de détection d’intrusion est détectée, définissez le niveau sur pour notice un ensemble de services spécifique. Pour déboguer une configuration ou journaliser des événements de traduction d’adresses réseau (NAT), définissez le niveau sur info.
Pour plus d’informations sur les messages du journal système, consultez l’explorateur du journal système.
Pour utiliser un code d’installation particulier pour toute la journalisation sur l’hôte du journal système spécifié, incluez l’instruction facility-override au niveau de la [edit services l2tp tunnel-group group-name syslog host hostname] hiérarchie :
facility-override facility-name;
Les fonctions prises en charge sont les suivantes : authorization, kernelftpuserdaemonet local0 à travers .local7
Pour spécifier un préfixe de texte pour toutes les journalisations sur cet hôte du journal système, incluez l’instruction log-prefix au niveau de la [edit services l2tp tunnel-group group-name syslog host hostname] hiérarchie :
log-prefix prefix-text;
Configuration de l’identificateur des interfaces logiques fournissant des services L2TP
Vous pouvez configurer les services L2TP sur des interfaces de services adaptatifs sur des routeurs M7i, M10i, M120 et MX Series uniquement. Vous devez configurer l’interface logique pour qu’elle soit dédiée ou partagée. Si une interface logique est dédiée, elle ne peut représenter qu’une seule session à la fois. Une interface logique partagée peut avoir plusieurs sessions.
Pour configurer l’interface logique, incluez l’instruction l2tp-interface-id au niveau de la [edit interfaces interface-name unit logical-unit-number dial-options] hiérarchie :
l2tp-interface-id name; (dedicated | shared);
Le l2tp-interface-id nom configuré sur l’interface logique doit être répliqué au niveau de la [edit access profile name] hiérarchie :
Pour un identificateur spécifique à l’utilisateur, incluez l’instruction
l2tp-interface-idau niveau de la[edit access profile name ppp]hiérarchie.Pour un identificateur de groupe, incluez l’instruction
l2tp-interface-idau niveau de la[edit access profile name l2tp]hiérarchie.
Vous pouvez configurer plusieurs interfaces logiques avec le même identificateur d’interface et les utiliser comme pool pour plusieurs utilisateurs. Pour plus d’informations sur la configuration des profils d’accès, reportez-vous à la bibliothèque d’administration de Junos OS pour les équipements de routage.
Si vous supprimez les paramètres d’instruction dial-options configurés sur une interface logique, toutes les sessions L2TP exécutées sur cette interface sont terminées.
Exemple : configuration d’un PPP multiliaison sur une interface logique partagée
Le PPP multiliaison est pris en charge sur les interfaces logiques partagées ou dédiées. L’exemple suivant peut être utilisé pour configurer plusieurs bundles multilink sur une seule interface partagée :
interfaces {
sp-1/3/0 {
traceoptions {
flag all;
}
unit 0 {
family inet;
}
unit 20 {
dial-options {
l2tp-interface-id test;
shared;
}
family inet;
}
}
}
access {
profile t {
client test {
l2tp {
interface-id test;
multilink;
shared-secret "$ABC123"; # SECRET-DATA
}
}
}
profile u {
authentication-order radius;
}
radius-server {
192.168.65.63 {
port 1812;
secret "$ABC123"; # SECRET-DATA
}
}
}
services {
l2tp {
tunnel-group 1 {
l2tp-access-profile t;
ppp-access-profile u;
local-gateway {
address 10.70.1.1;
}
service-interface sp-1/3/0;
}
traceoptions {
flag all;
debug-level packet-dump;
filter {
protocol l2tp;
protocol ppp;
protocol radius;
}
}
}
}
Redondance PIC AS pour les services L2TP
Les services L2TP prennent en charge la redondance AS PIC. Pour configurer la redondance, vous spécifiez une interface PIC de services de redondance (rsp) dans laquelle le PIC AS principal est actif et un PIC AS secondaire est en veille. En cas de défaillance du PIC AS principal, le PIC secondaire devient actif et tout le traitement des services lui est transféré. Si le PIC AS principal est restauré, il reste en veille et ne préempte pas le PIC AS secondaire ; vous devez restaurer manuellement les services sur le PIC principal. Pour déterminer quel PIC est actuellement actif, exécutez la show interfaces redundancy commande.
Sur L2TP, la seule option de service prise en charge est la veille à chaud, dans laquelle un PIC de secours prend en charge plusieurs PIC fonctionnels. Les temps de récupération ne sont pas garantis, car la configuration doit être complètement restaurée sur le PIC de secours après la détection d’une défaillance. Les tunnels et les sessions sont supprimés lors de la commutation et doivent être redémarrés par les clients LAC et PPP, respectivement. Cependant, la configuration est conservée et disponible sur le nouveau PIC actif, bien que l’état du protocole doive être rétabli.
Comme pour les autres services PIC AS qui prennent en charge la veille à chaud, vous pouvez lancer la commande pour basculer manuellement entre l’interface request interfaces (revert | switchover) L2TP principale et secondaire.
Pour plus d’informations, consultez Configuration de la redondance PIC AS ou multiservices. Pour obtenir un exemple de configuration, reportez-vous à la section Exemples : Configuration des services L2TP. Pour plus d’informations sur les commandes en mode opérationnel, reportez-vous à l’explorateur CLI.
Exemples : configuration des services L2TP
Configurez L2TP avec plusieurs profils de groupes et d’utilisateurs et un pool d’interfaces logiques pour les sessions de tunnel simultanées :
[edit access]
address-pool customer_a {
address 10.1.1.1/32;
}
address-pool customer_b {
address-range low 10.2.2.1 high 10.2.3.2;
}
group-profile sunnyvale_users {
ppp {
framed-pool customer_a;
idle-timeout 15;
primary-dns 192.168.65.1;
secondary-dns 192.168.65.2;
primary-wins 192.168.65.3;
secondary-wins 192.168.65.4;
interface-id west;
}
}
group-profile eastcoast_users {
ppp {
framed-pool customer_b;
idle-timeout 20;
primary-dns 192.168.65.5;
secondary-dns 192.168.65.6;
primary-wins 192.168.65.7;
secondary-wins 192.168.65.8;
interface-id east;
}
}
group-profile sunnyvale_tunnel {
l2tp {
maximum-sessions-per-tunnel 100;
interface-id west_shared;
}
}
group-profile east_tunnel {
l2tp {
maximum-sessions-per-tunnel 125;
interface-id east_shared;
}
}
profile sunnyvale_bldg_1 {
client white {
chap-secret "$ABC123"; # SECRET-DATA
ppp {
idle-timeout 22;
primary-dns 192.168.65.1;
framed-ip-address 10.12.12.12/32;
interface-id east;
}
group-profile sunnyvale_users;
}
client blue {
chap-secret "$ABC123"; # SECRET-DATA
group-profile sunnyvale_users;
}
authentication-order password;
}
profile sunnyvale_bldg_1_tunnel {
client test {
l2tp {
shared-secret "$ABC123"; # SECRET-DATA
maximum-sessions-per-tunnel 75;
interface-id west_shared;
ppp-authentication chap;
}
group-profile sunnyvale_tunnel;
}
client production {
l2tp {
shared-secret "$ABC123";
ppp-authentication chap;
}
group-profile sunnyvale_tunnel;
}
}
[edit services]
l2tp {
tunnel-group finance-lns-server {
l2tp-access-profile sunnyvale_bldg_1_tunnel;
ppp-access-profile sunnyvale_bldg_1;
local-gateway {
address 10.1.117.3;
}
service-interface sp-1/3/0;
receive-window 1500;
maximum-send-window 1200;
retransmit-interval 5;
hello-interval 15;
tunnel-timeout 55;
}
traceoptions {
flag all;
}
}
[edit interfaces sp-1/3/0]
unit0 {
family inet;
}
unit 10 {
dial-options {
l2tp-interface-id foo-user;
dedicated;
}
family inet;
}
unit 11 {
dial-options {
l2tp-interface-id east;
dedicated;
}
family inet;
}
unit 12 {
dial-options {
l2tp-interface-id east;
dedicated;
}
family inet;
}
unit 21 {
dial-options {
l2tp-interface-id west;
dedicated;
}
family inet;
}
unit 30 {
dial-options {
l2tp-interface-id west_shared;
shared;
}
family inet;
}
unit 40 {
dial-options {
l2tp-interface-id east_shared;
shared;
}
family inet;
}
Configurer la redondance L2TP :
interfaces {
rsp0 {
redundancy-options {
primary sp-0/0/0;
secondary sp-1/3/0;
}
unit 0 {
family inet;
}
unit 11 {
dial-options {
l2tp-interface-id east_shared;
shared;
}
family inet;
}
}
}
Traçabilité des opérations L2TP
Les opérations de traçage suivent toutes les opérations du PIC AS et les enregistrent dans un fichier journal dans le répertoire /var/log . Par défaut, ce fichier est nommé /var/log/l2tpd.
Cette rubrique fait référence au suivi des opérations LNS L2TP sur les routeurs M Series. Pour retracer les opérations L2TP LAC sur les routeurs MX Series, voir Suivi des événements L2TP pour le dépannage.
Pour tracer les opérations L2TP, incluez l’instruction traceoptions au niveau de la [edit services l2tp] hiérarchie :
traceoptions { debug-level level; file <filename> <files number> <match regular-expression > <size maximum-file-size> <world-readable | no-world-readable>; filter { protocol name; user-name username; } flag flag; interfaces interface-name { debug-level severity; flag flag; } level (all | error | info | notice | verbose | warning); no-remote-trace; }
Vous pouvez spécifier les indicateurs de suivi L2TP suivants :
all—Tracez tout.configuration: trace les événements de configuration.protocol: suit les événements du protocole de routage.routing-socket: trace les événements de socket de routage.rpd: suit les événements de processus du protocole de routage.
Vous pouvez spécifier un niveau de trace pour le suivi PPP, L2TP, RADIUS et UDP (User Datagram Protocol). Pour configurer un niveau de trace, incluez l’instruction debug-level au niveau de la [edit services l2tp traceoptions] hiérarchie et spécifiez l’une des valeurs suivantes :
detail: informations détaillées sur le débogageerror—Erreurs uniquementpacket-dump: informations de décodage des paquets
Vous pouvez filtrer par protocole. Pour configurer les filtres, incluez l’instruction filter protocol au niveau de la [edit services l2tp traceoptions] hiérarchie et spécifiez une ou plusieurs des valeurs de protocole suivantes :
pppl2tpradiusudp
Pour implémenter le filtrage par nom de protocole, vous devez également configurer ou flag protocol flag all.
Vous pouvez également configurer traceoptions pour L2TP sur une interface de services adaptatifs spécifique. Pour configurer le suivi par interface, incluez l’instruction interfaces au niveau de la [edit services l2tp traceoptions] hiérarchie :
interfaces interface-name {
debug-level level;
flag flag;
}
L’implémentation de traceoptions consomme des ressources CPU et affecte les performances de traitement des paquets.
Vous pouvez spécifier les debug-level instructions and flag pour l’interface, mais les options sont légèrement différentes des traceoptions L2TP générales. Vous spécifiez le niveau de débogage , detailerrorou extensive, qui fournit des informations de débogage PIC complètes. Les drapeaux suivants sont disponibles :
all—Tracez tout.ipc: tracez les messages de communication interprocessus (IPC) L2TP entre le PIC et le moteur de routage.packet-dump: vider le contenu de chaque paquet en fonction du niveau de débogage.protocol: traçage L2TP, PPP et gestion multilink.system: tracez le traitement des paquets sur le PIC.