다중 도메인 네트워크를 위한 L2TP 터널 스위칭
L2TP 터널 스위칭 개요
L2TP 멀티홉이라고도 하는 L2TP 터널 스위칭은 여러 도메인에 걸쳐 L2TP 네트워크를 구축하는 작업을 간소화합니다. LAC와 LNS 사이에 있는 라우터는 그림 1과 같이 L2TP 터널 스위치(LTS)로 구성되며, 간단히 터널 스위치 또는 TSA(터널 스위칭 어그리게이터라고도 함)입니다. LTS는 LNS 및 LAC로 구성됩니다. 원격 LAC가 LTS에 구성된 LNS로 캡슐화된 PPP 패킷을 전송할 때, LTS는 다른 터널을 통해 LTS를 넘어 다른 LNS로 패킷을 포워딩하거나 리디렉션할 수 있습니다. 원래 L2TP 세션의 논리적 종료 지점이 다른 엔드포인트로 전환됩니다.
예를 들어, 그림 1에 표시된 네트워크에서 서비스 프로바이더 A가 프로비저닝한 가입자 패킷은 처음에 LTS에 구성된 LNS를 대상으로 합니다. LTS는 이러한 패킷을 LNS1로 리디렉션할 수 있습니다.
L2TP 터널 스위칭은 LAC의 관리 도메인이 원하는 LNS의 관리 도메인과 다를 때 네트워크 구성을 단순화합니다. 예를 들어:
-
LTS는 여러 LAC에 대한 LNS 역할을 합니다. 개별 LAC는 세션을 종료할 가장 적합한 LNS를 식별하는 데 필요한 관리 제어 또는 기능을 가질 필요가 없습니다. LTS는 LTS에서 중앙 집중화되어 해당 기능을 수행합니다.
-
LTS는 여러 LNS에 대한 LAC 역할을 합니다. 새로운 원격 LAC가 ISP의 네트워크에 추가되면 ISP는 LTS의 LAC에 연결되기 때문에 새 LAC를 수용하기 위해 LNS 라우터를 재구성할 필요가 없습니다.
레이어 2 홀세일 네트워크에서 도매업체는 L2TP 터널 스위칭을 사용하여 관리하기 쉬운 플랫 네트워크 구성을 만들 수 있습니다. 도매업체는 서로 다른 ISP, 따라서 서로 다른 LNS로 향하는 LAC의 레이어 2 세션을 단일 L2TP 터널로 묶습니다. 이 구성을 통해 공통 L2TP 제어 연결을 LAC에 사용할 수 있습니다.
그림 2는 다음과 같은 이벤트 시퀀스를 포함하는 수신 통화에 대한 L2TP 터널 스위칭의 예를 보여줍니다.
-
가입자가 LAC에 대한 PPP 세션을 엽니다.
-
LAC는 LTS에 구성된 LNS에 대한 첫 번째 L2TP 터널과 캡슐화된 PPP 패킷을 전달하기 위해 첫 번째 L2TP 세션을 생성합니다.
-
이 첫 번째 세션이 인증되는 동안 LTS는 LTS에 구성된 터널 스위치 프로파일의 유무를 기반으로 LTS를 넘어 LNS로 세션을 다시 터널링할지 여부를 결정합니다.
터널 스위치 프로필은 기본 프로필이거나 RADIUS 서버, 도메인 맵 구성 또는 터널 그룹 구성에 의해 적용될 수 있습니다.
-
터널 스위치 프로파일이 구성된 경우, LTS는 프로파일에 지정된 대로 LTS 너머에 LNS에 대한 두 번째 터널(아직 존재하지 않는 경우)을 만들고 이 터널에 두 번째 세션을 생성합니다.
터널 스위치 프로파일의 적용
여러 가지 방법으로 적용할 터널 스위치 프로필을 구성할 수 있습니다.
-
모든 LAC에서 수신된 트래픽에 전역적으로 적용되는 기본 프로필입니다
-
가입자 세션에 도메인 맵이 적용된 경우
-
가입자 세션에 적용된 터널 그룹 사용
-
RADIUS 서버 구성에서 터널 스위치 프로파일 VSA(26-91)에 반환됩니다.
이러한 적용 방법을 둘 이상 구성할 수 있습니다. 여러 터널 스위치 프로파일이 있는 경우 다음 우선 순위에 따라 LTS가 사용하는 프로파일이 설정됩니다. 순서는 가장 높음(RADIUS)에서 가장 낮음(기본 프로필)입니다.
-
RADIUS VSA 26-91 > 도메인 맵 > 터널 그룹 > 글로벌 터널 스위치 프로파일
터널 스위치 프로파일도 터널 프로파일을 참조해야 합니다. 이 터널 프로필은 가입자 패킷이 전환되는 두 번째 터널의 특성을 지정합니다.
LTS에서 터널 교환 세션의 종료
터널 교환 세션은 다음 중 하나가 발생하면 LTS에서 종료됩니다.
-
LTS의 LAC 또는 LNS 인터페이스는 CDN(Call-Disconnect-Notify) 메시지를 수신합니다(표 1).
표 1: CDN 메시지의 원인 CDN 메시지 수신 날짜
언제
LAC 인터페이스
다음 중 하나가 발생합니다.
-
두 번째 세션을 설정할 수 없습니다.
-
원격 LNS가 두 번째 세션을 종료합니다.
LNS 인터페이스
다음 중 하나가 발생합니다.
-
PPPoE 클라이언트가 로그아웃을 시작합니다.
-
원래 LAC는 터널 종료를 시작합니다
LTS가 CDN을 수신하지 않은 인터페이스에 CDN을 릴레이하기 때문에 첫 번째 세션과 두 번째 세션이 모두 종료됩니다. 연결 끊기 원인은 두 세션 모두에서 동일합니다.
-
-
LTS의 LAC 또는 LNS 인터페이스는 StopCCN(Stop-Control-Connection-Notification) 메시지를 수신합니다(표 2).
표 2: StopCCN 메시지의 원인 StopCCN 메시지가 수신된 날짜
언제
LAC 인터페이스
다음 중 하나가 발생합니다.
-
두 번째 세션을 설정할 수 없습니다.
-
원격 LNS가 두 번째 터널을 종료합니다.
LNS 인터페이스
원래 LAC는 터널 종료를 시작합니다.
LTS는 주어진 터널이 전환된 세션과 전환되지 않은 세션을 모두 포함할 수 있기 때문에 StopCCN 메시지를 전달하지 않습니다. 대규모 시나리오의 또 다른 이유는 LTS의 LNS에서 끝나는 터널이 다른 프로바이더의 LAC 세션을 포함할 수 있기 때문입니다. 대신 LTS는 StopCCN을 수신하지 않은 인터페이스에 CDN 메시지를 보내 터널 교환 세션을 종료합니다. 이 CDN은 StopCCN에 전달되는 오류 코드를 릴레이합니다.
-
-
LTS에서 관리
clear명령이 실행됩니다.
표 3 에는 LTS에서 관리 clear 명령이 내려질 때 수행되는 작업이 나와 있습니다.
| 명령 |
LAC 또는 LNS 작업 |
LTS 작업 |
|---|---|---|
|
|
대상과 관련된 모든 터널 및 세션을 지웁니다. |
대상에 대한 터널의 각 전환된 세션에 대해 관리로 설정된 原因의 CDN 메시지를 전송하여 해당 매핑된 전환된 세션을 지웁니다. |
|
|
모든 대상과 관련된 모든 터널 및 세션을 지웁니다. |
없음. |
|
|
세션을 지웁니다. |
원인이 관리로 설정된 CDN 메시지를 보내 이 세션에 대해 매핑된 해당 스위치된 세션을 지웁니다. |
|
|
모든 세션을 지웁니다. |
없음. |
|
|
터널 및 모든 세션을 지웁니다. |
터널의 각 전환된 세션에 대해 원인이 관리로 설정된 CDN 메시지를 전송하여 해당 매핑된 전환된 세션을 지웁니다. |
|
|
모든 터널을 지웁니다. |
없음. |
스위칭 경계에서 L2TP AVP에 대한 터널 스위칭 작업
L2TP 터널 스위칭이 패킷을 다른 LNS로 리디렉션할 때, L2TP 메시지에 전달된 각 AVP에 대해 스위칭 경계에서 다음 기본 작업 중 하나를 수행합니다.
relay—L2TP는 변경 없이 스위칭된 패킷의 AVP를 투명하게 전달합니다.regenerate—L2TP는 첫 번째 터널 및 세션에서 협상한 수신된 AVP를 무시합니다. LTS의 로컬 정책을 기반으로 두 번째 세션에 대한 새 AVP를 생성하고 이 AVP를 스위칭된 패킷으로 보냅니다. 로컬 정책은 첫 번째 세션에 대한 협상 중에 수신된 AVP의 값을 사용하거나 사용하지 않을 수 있습니다.
표 4 에는 각 AVP에 대한 기본 작업이 나와 있습니다. 필수 AVP는 항상 LAC의 L2TP 메시지에 포함됩니다. 선택적 AVP가 메시지에 포함될 수 있습니다.
선택적으로 전달자 유형 AVP(18), 발신 번호 AVP(22) 또는 Cisco NAS 포트 정보 AVP(100)에 대한 스위칭 경계에서 수행되는 기본 작업을 재정의할 수 있습니다. 이 세 가지 AVP 중 하나를 스위칭된 패킷에서 삭제하거나 재생성하도록 구성하거나 기본 릴레이 작업을 복원할 수 있습니다.
속성 값이 숨겨져 있는 L2TP AVP는 항상 스위칭 경계에서 재생성됩니다. 패킷이 원격 LNS로 전달될 때 값이 디코딩되어 일반 텍스트로 전송됩니다.
AVP 이름(번호) |
AVP 유형 |
L2TP 메시지 유형 |
기본 작업 |
|---|---|---|---|
할당된 세션 ID(14) |
필수 |
CDN, ICRQ |
재생 |
할당된 터널 ID(9) |
필수 |
SCCRQ |
재생 |
베어러 기능 (4) |
선택 사항 |
SCCRQ |
재생 |
베어러 타입 (18) |
선택 사항 |
ICRQ |
릴레이 |
일련 번호 (15) |
필수 |
ICRQ |
릴레이 |
통화 번호(21) |
선택 사항 |
ICRQ |
릴레이 |
발신 번호 (22) |
선택 사항 |
ICRQ |
릴레이 |
도전 (11) |
선택 사항 |
SCCRQ |
재생 |
챌린지 대응 (13) |
선택 사항 |
SCCCN |
재생 |
Cisco NAS 포트 |
선택 사항 |
ICRQ |
릴레이 |
페일오버 기능 |
선택 사항 |
SCCRQ |
재생 |
펌웨어 개정판 (6) |
선택 사항 |
SCCRQ |
재생 |
프레이밍 기능 (3) |
필수 |
SCCRQ |
재생 |
프레임 유형 (19) |
필수 |
ICCN |
릴레이 |
호스트 이름(7) |
필수 |
SCCRQ |
재생 |
최초 수신 LCP CONFREQ (26) |
선택 사항 |
ICCN |
릴레이 LNS의 클라이언트 프로필에 있는 문으로 |
마지막으로 수신된 LCP CONFREQ (28) |
선택 사항 |
ICCN |
릴레이 LNS의 클라이언트 프로필에 있는 문으로 |
마지막으로 보낸 LCP CONFREQ (27) |
선택 사항 |
ICCN |
릴레이 LNS의 클라이언트 프로필에 있는 문으로 |
메시지 유형(0) |
필수 |
모두 |
재생 |
물리적 채널 ID(25) |
선택 사항 |
ICRQ |
재생 |
개인 그룹 ID (37) |
선택 사항 |
ICCN |
릴레이 |
프로토콜 버전(2) |
필수 |
SCCRQ |
재생 |
프록시 오텐 챌린지 (31) |
선택 사항 |
ICCN |
릴레이 LNS의 클라이언트 프로필에 있는 문으로 |
프록시 Authen ID (32) |
선택 사항 |
ICCN |
릴레이 LNS의 클라이언트 프로필에 있는 문으로 |
프록시 오텐 이름 (30) |
선택 사항 |
ICCN |
릴레이 LNS의 클라이언트 프로필에 있는 문으로 |
프록시 오텐 응답 (33) |
선택 사항 |
ICCN |
릴레이 LNS의 클라이언트 프로필에 있는 문으로 |
프록시 오텐 유형(29) |
선택 사항 |
ICCN |
릴레이 LNS의 클라이언트 프로필에 있는 문으로 |
수신 창 크기(10) |
선택 사항 |
SCCRQ |
재생 |
Rx 연결 속도 (38) |
선택 사항 |
ICCN |
릴레이 |
시퀀싱 필요 (39) |
선택 사항 |
ICCN |
재생 |
하위 주소(23) |
선택 사항 |
ICRQ |
릴레이 |
타이 브레이커 (5) |
선택 사항 |
SCCRQ |
재생 |
터널 복구 |
선택 사항 |
SCCRQ |
재생 |
송신 연결 속도(24) |
필수 |
ICCN |
릴레이 |
공급업체 이름 (8) |
선택 사항 |
SCCRQ |
재생 |
L2TP 터널 스위칭 구성
L2TP 터널 스위칭을 사용하면 LTS로 구성된 라우터가 하나의 L2TP 세션에서 전달되는 PPP 패킷을 다른 LNS에서 종료된 두 번째 L2TP 세션으로 포워딩할 수 있습니다. L2TP 터널 스위칭을 구성하려면 터널 스위치 프로필을 정의한 다음 해당 프로필을 할당해야 합니다.
RADIUS 터널 스위치 프로필 VSA(26-91)에서 반환할 전 세계 모든 세션, 터널 그룹의 모든 세션, 도메인 또는 RADIUS 서버 구성의 모든 세션에 대해 터널 스위치 프로필을 구성할 수 있습니다. 다양한 소스의 터널 스위치 프로필에 대한 우선 순위는 다음과 같습니다.
RADIUS VSA 26-91 > 도메인 맵 > 터널 그룹 > 글로벌 터널 스위치 프로파일
L2TP 터널 스위치 프로필을 정의하려면:
예를 들어, 다음 구성을 고려하십시오. 이는 세 개의 터널 스위치 프로필, l2tp-터널-switch-profile, lts-profile-groupA 및 lts-profile-example-com을 생성합니다.
[edit access tunnel-switch-profile l2tp-tunnel-switch-profile] user@host# set avp bearer-type regenerate user@host# set avp calling-number regenerate user@host# set avp cisco-nas-port-info drop user@host# set tunnel-profile l2tp-tunnel-profile1 [edit access tunnel-switch-profile lts-profile-groupA] user@host# set tunnel-profile l2tp-tunnel-profile2 [edit access tunnel-switch-profile lts-profile-example.com] user@host# set tunnel-profile l2tp-tunnel-profile3 [edit services l2tp] user@host1# set tunnel-switch-profile l2tp-tunnel-switch-profile user@host1# set tunnel-group groupA tunnel-switch-profile lts-profile-groupA [edit access domain] user@host1# set map example.com tunnel-switch-profile lts-profile-example.com
MX 시리즈 디바이스에 대한 샘플 LTS(레이어 2 터널 스위칭) 구성은 다음과 같습니다.
set services l2tp tunnel-group TG1 l2tp-access-profile DEFAULT set services l2tp tunnel-group TG1 aaa-access-profile aaa-access-profile set services l2tp tunnel-group TG1 hello-interval 0 set services l2tp tunnel-group TG1 local-gateway address 192.1.1.1 set services l2tp tunnel-group TG1 local-gateway gateway-name default set services l2tp tunnel-group TG1 service-interface si-0/0/0 set services l2tp tunnel-group TG1 dynamic-profile lns-profile set chassis fpc 0 pic 0 inline-services bandwidth 10g set chassis network-services enhanced-ip set dynamic-profiles lns-profile routing-instances "$junos-routing-instance" interface "$junos-interface-name" set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" ppp-options chap set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" ppp-options pap set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" family inet unnumbered-address "$junos-loopback-interface" set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" family inet6 unnumbered-address "$junos-loopback-interface" set access profile DEFAULT client default l2tp aaa-access-profile aaa-access-profile set access profile DEFAULT client default l2tp shared-secret "$9$i.T3AtOREyApIcSrLX" set access profile DEFAULT client default l2tp dynamic-profile lns-profile set access profile DEFAULT client default user-group-profile l2tp-access-group-profile set access group-profile l2tp-access-group-profile ppp idle-timeout 200 set access group-profile l2tp-access-group-profile ppp ppp-options pap set access group-profile l2tp-access-group-profile ppp ppp-options chap set access group-profile l2tp-access-group-profile ppp keepalive 0 set access tunnel-profile lac-profile tunnel 1 preference 1 set access tunnel-profile lac-profile tunnel 1 identification 1 set access tunnel-profile lac-profile tunnel 1 remote-gateway address 192.1.2.1 set access tunnel-profile lac-profile tunnel 1 remote-gateway gateway-name default set access tunnel-profile lac-profile tunnel 1 source-gateway address 192.1.2.5 set access tunnel-profile lac-profile tunnel 1 source-gateway gateway-name default set access tunnel-profile lac-profile tunnel 1 secret "$9$u9CE0BEleW-dsp07Vb2GUCtu" set access tunnel-switch-profile tsp-profile tunnel-profile lac-profile set access domain map yogeshn.com tunnel-switch-profile tsp-profile …
프로필 l2tp-터널-스위치-프로필이 글로벌 기본값으로 적용됩니다. 이 프로필에 따라 패킷이 스위칭되면 L2TP 패킷의 베어러 유형 AVP(18) 및 발신자 번호 AVP(22)의 값이 L2TP 터널 스위치의 로컬 정책에 따라 재생성된 후 패킷과 함께 전송됩니다. Cisco NAS 포트 정보 AVP(100)는 단순히 삭제됩니다. 마지막으로, l2tp-터널-profile1은 트래픽이 전환되는 터널의 구성 특성을 제공합니다.
터널 스위치 프로필 lts-profile-groupA는 터널 그룹 groupA를 통해 적용됩니다. 이는 다른 터널 프로파일인 l2tp-터널 프로파일2를 지정하며 AVP 작업을 재정의하지 않습니다. 터널 스위치 프로파일 lts-profile-example.com 는 example.com 도메인에 대한 도메인 맵을 통해 적용됩니다. 이는 다른 터널 프로필인 l2tp-터널-profile3을 지정하며 AVP 작업을 재정의하지 않습니다.
L2TP 수신 창 크기 설정
L2TP 터널에 대한 L2TP 수신 창 크기를 구성할 수 있습니다. 수신 창 크기는 라우터의 승인을 기다리기 전에 피어가 보낼 수 있는 패킷 수를 지정합니다.
기본적으로 수신 창 크기는 4개의 패킷으로 설정됩니다. 수신 창 크기가 기본값으로 설정된 경우, 라우터는 터널 협상 중에 피어로 전송된 첫 번째 패킷에서 수신 창 크기 AVP, AVP 10을 전송하지 않습니다.
수신 창 크기를 구성하려면 다음을 수행합니다.
[edit services l2tp tunnel] user@host# set rx-window-size packets
L2TP 터널 유휴 시간 제한 설정
LAC 또는 LNS를 구성하여 세션이 없는 터널이 활성 상태로 유지되는 기간을 지정할 수 있습니다. 유휴 타이머는 터널의 마지막 세션이 종료되면 시작됩니다. 타이머가 만료되면 터널 연결이 끊어집니다. 이 유휴 시간 초과는 비활성 터널에서 소비되는 리소스를 확보합니다.
유휴 시간 제한 값을 0으로 설정하면 마지막 세션이 종료된 후 다음 중 하나가 발생할 때까지 터널이 무기한 활성 상태로 유지됩니다.
명령을 내립니다.
clear services l2tp tunnel원격 피어가 터널 연결을 끊습니다.
이 문을 지원하지 않는 Junos OS 릴리스로 다운그레이드하기 전에, 계층 수준에서 [edit services l2tp tunnel] 문을 no idle-timeout 포함하여 기능을 명시적으로 구성 해제하는 것이 좋습니다.
터널 유휴 시간 초과를 설정하려면 다음을 수행합니다.
시간 초과 기간을 구성합니다.
[edit services l2tp tunnel] user@host# set idle-timeout seconds
L2TP 파괴 시간 제한 설정
LAC 또는 LNS를 구성하여 라우터가 동적 대상, 터널 및 세션이 삭제된 후 유지하려고 시도하는 기간을 지정할 수 있습니다. 이 소멸 시간 초과는 대상, 터널 또는 세션이 종료된 후 기본 메모리 구조를 저장하여 디버깅 및 기타 분석을 지원합니다. 새 터널을 설정할 수 있도록 리소스를 조기에 회수해야 하는 경우 특정 동적 대상, 터널 또는 세션이 이 전체 기간 동안 유지되지 않을 수 있습니다.
이 문을 지원하지 않는 Junos OS 릴리스로 다운그레이드하기 전에, 계층 수준에서 [edit services l2tp] 문을 no destruct-timeout 포함하여 기능을 명시적으로 구성 해제하는 것이 좋습니다.
L2TP 소멸 시간 제한 설정하기:
시간 초과 기간을 구성합니다.
[edit services l2tp] user@host# set destruct-timeout seconds
L2TP 대상 잠금 시간 초과 구성
여러 세트의 터널링 매개 변수를 사용할 수 있는 경우, L2TP는 선택 프로세스를 사용하여 가입자 트래픽에 가장 적합한 터널을 선택합니다. 이 선택 프로세스의 일환으로 L2TP는 가입자가 도메인에 연결하려고 할 때 연결할 수 없는 대상을 잠급니다. L2TP는 대상을 대상 잠금 목록에 배치하고 대상 잠금 시간 초과라는 구성 가능한 기간 동안 대상을 고려 대상에서 제외합니다.
기본적으로 대상 잠금 시간 초과는 300초(5분)입니다. 60초에서 3600초(1분에서 1시간)까지의 값을 구성할 수 있습니다. 잠금 시간 초과가 만료되면 L2TP는 대상을 사용할 수 있다고 가정하고 터널 선택 프로세스를 수행할 때 대상을 포함합니다. 대상 잠금 기간은 전역 값이며 특정 대상, 터널 또는 터널 그룹에 대해 개별적으로 구성할 수 없습니다.
일반적으로 잠긴 대상은 잠금 타이머가 만료될 때까지 사용할 수 없습니다. 그러나 L2TP가 터널 선택 프로세스를 수행할 때 일부 상황에서는 잠긴 대상에 대한 잠금 타이머를 지웁니다. 선택 프로세스에 대한 자세한 정보는 LAC 터널 선택 개요에서 선호 수준 간 페일오버가 구성된 경우 선택 및 선호 수준 내에서 페일오버가 구성된 경우 선택을 참조하십시오.
잠금 시간 초과를 소멸 시간 초과와 같거나 짧게 구성합니다. 그렇지 않으면 잠금 시간 초과 전에 소멸 시간 초과가 만료됩니다. 이 경우 잠긴 대상이 소멸되고 잠금 제한시간이 만료되기 전에 이후에 서비스로 복귀할 수 있으므로 잠금 제한시간의 효과가 무효화됩니다.
대상 잠금 시간 초과를 구성하려면 다음을 수행합니다.
초 단위로 기간을 지정합니다.
[edit services l2tp destination] user@host# set lockout-timeout seconds
이 명령은 show services l2tp destination lockout 대상 잠금 목록을 표시하고, 각 대상에 대해 시간 초과가 만료되기까지 남은 시간을 나타냅니다. 이 명령은 show services l2tp destination detail 각 대상에 대해 잠겨 있고 시간 초과가 만료되기를 기다리고 있는지 또는 잠겨 있지 않은지를 나타냅니다.
대상 잠금 목록에서 L2TP 대상 제거
PPP 가입자가 도메인에 로그인하려고 하면 L2TP는 해당 도메인의 대상과 연결된 터널을 선택하고 대상에 액세스를 시도합니다. 연결 시도가 실패하면 L2TP는 대상을 대상 잠금 목록에 배치합니다. 이 목록의 대상은 대상 잠금 시간 초과라는 구성 가능한 기간 동안 후속 연결에서 고려되지 않습니다.
특정 대상에 대한 명령을 실행 request services l2tp destination unlock 하여 대상 잠금 목록에서 제거할 수 있습니다. 그 결과 가입자가 연결된 도메인에 로그인할 때 이 대상을 즉시 고려할 수 있습니다.
대상 잠금 목록에서 대상을 제거하려면:
잠금을 해제할 대상의 이름을 지정합니다.
user@host> request services l2tp destination unlock destination-name
L2TP 드레인 구성
관리 목적으로 L2TP 대상 또는 터널의 상태를 드레이닝하도록 설정할 수 있습니다. 이렇게 하면 L2TP LAC 및 LNS에서 새로운 세션, 터널 및 대상이 생성되는 것을 방지할 수 있습니다.
글로벌 수준 또는 특정 대상 또는 터널에 대해 L2TP 드레이닝을 구성할 수 있습니다. 기능이 글로벌 L2TP 수준에서 구성되면, 새로운 대상, 터널 또는 세션을 생성할 수 없습니다. 기능이 특정 대상에 대해 구성된 경우 해당 대상에서 새 터널이나 세션을 생성할 수 없습니다. 마찬가지로, 기능이 특정 터널에 대해 구성된 경우, 해당 터널에 새 세션을 할당할 수는 없지만 새 대상과 터널을 생성할 수 있습니다.
이 기능이 구성되면 의 명령 출력show services l2tp summary은 L2TP show services l2tp destinationshow services l2tp tunnel 세션, 대상 및 터널의 상태를 로 표시합니다.Drain
IP 패킷의 삽입 및 복제에 동일한 L2TP 터널 사용
가입자 보안 정책 미러링에 사용되는 것과 동일한 L2TP 터널을 패킷 복제에 사용할 수 있도록 구성할 수 있습니다. 복제된 패킷은 고객 또는 네트워크로 트래픽을 주입하는 데 사용됩니다. 패킷 삽입 또는 전송은 모든 가입자 액세스 모드에서 지원됩니다. 단일 L2TP 터널은 패킷 전송과 패킷 복제 모두에 사용됩니다. L2TP 터널의 한쪽에서 패킷 복제를 위해 구성된 포트 또는 인터페이스가 다른 터널 엔드포인트에 연결됩니다. 터널의 다른 엔드포인트는 L2TP 터널을 사용하여 IP 패킷을 패킷 복제를 위해 구성된 포트 또는 인터페이스로 전송할 수 있으며, 해당 인터페이스에서 수신된 IP 패킷은 고객에게 전달되거나 고객으로부터 수신된 것처럼 전송될 수 있습니다.
원격 터널 엔드포인트는 페이로드에 이더넷 MAC 주소가 포함된 IP 터널 패킷을 보냅니다. 페이로드 패킷의 대상 MAC 주소에 라우터의 MAC 주소가 포함되어 있으면 이더넷 패킷은 네트워크를 향해 나가는 방향으로 전송되고 고객 포트에서 수신된 것처럼 처리 및 전달됩니다. 페이로드 패킷의 소스 MAC 주소에 라우터의 MAC 주소가 포함된 경우, 이더넷 패킷은 고객 포트를 향해 나가는 방향으로 전송됩니다. 터널에 구성된 수신 쿠키가 포함되어 있지 않으면 패킷 삽입이 발생하지 않습니다. 이러한 경우, 수신된 모든 터널 패킷은 잘못된 쿠키와 함께 도착한 패킷이 계산되고 삭제되는 것과 동일한 방식으로 계산되고 삭제됩니다.
패킷을 복제하여 고객 또는 네트워크(이더넷 페이로드의 MAC 주소 기준)로 구성하려면 계층 수준에서 [edit firewall family family-name filter filter-name term term-name then] 문을 포함 decapsulate l2tp output-interface interface-name cookie l2tpv3-cookie 합니다. 계층 수준에서 [edit firewall family family-name filter filter-name term term-name then] 문을 포함하여 count counter-name 복제되거나 캡슐화 해제된 L2TP 패킷에 대한 카운터를 구성할 수도 있습니다