다중 도메인 네트워크를 위한 L2TP 터널 스위칭
L2TP 터널 스위칭 개요
L2TP 멀티홉이라고도 하는 L2TP 터널 스위칭은 여러 도메인에 걸쳐 L2TP 네트워크를 간편하게 구축할 수 있게 해줍니다. LAC와 LNS 사이에 있는 라우터는 그림 1과 같이 L2TP 터널 스위치(LTS)로 구성되며, 단순히 터널 스위치 또는 TSA(Tunnel switching Aggregator)라고도 합니다. LTS는 LNS와 LAC로 구성됩니다. 원격 LAC가 캡슐화된 PPP 패킷을 LTS에 구성된 LNS로 전송하면 LTS는 다른 터널을 통해 LTS를 넘어 다른 LNS로 패킷을 전달하거나 리디렉션할 수 있습니다. 원래 L2TP 세션의 논리적 종료 지점이 다른 엔드포인트로 전환됩니다.
예를 들어, 그림 1에 표시된 네트워크에서 서비스 프로바이더 A가 프로비저닝한 가입자의 패킷은 처음에 LTS에 구성된 LNS를 대상으로 합니다. LTS는 이러한 패킷을 LNS1로 리디렉션할 수 있습니다.
L2TP 터널 스위칭은 LAC의 관리 도메인이 원하는 LNS의 관리 도메인과 다를 때 네트워크 구성을 단순화합니다. 예를 들어:
LTS는 여러 LAC의 LNS 역할을 합니다. 개별 LAC는 세션을 종료할 가장 적절한 LNS를 식별하는 데 필요한 관리 제어 또는 기능을 가질 필요가 없습니다. LTS는 LTS에서 중앙 집중식 기능을 수행합니다.
LTS는 여러 LNS에 대한 LAC 역할을 합니다. 새 원격 LAC가 ISP의 네트워크에 추가되면 LTS의 LAC에 연결되므로 ISP는 새 LAC를 수용하기 위해 LNS 라우터를 재구성할 필요가 없습니다.
레이어 2 도매 네트워크에서 도매업체는 L2TP 터널 스위칭을 사용하여 관리하기 쉽고 평탄한 네트워크 구성을 생성할 수 있습니다. 이 도매업체는 서로 다른 ISP를 대상으로 하는 LAC의 레이어 2 세션(따라서 서로 다른 LNS)을 단일 L2TP 터널에 번들로 제공합니다. 이 구성을 통해 LAC에 공통 L2TP 제어 연결을 사용할 수 있습니다.
그림 2 는 다음과 같은 이벤트 시퀀스로 수신 통화에 대한 L2TP 터널 스위칭의 예를 보여줍니다.
가입자는 LAC에 대한 PPP 세션을 엽니다.
LAC는 LTS에 구성된 LNS에 대한 첫 번째 L2TP 터널과 캡슐화된 PPP 패킷을 전달하는 첫 번째 L2TP 세션을 생성합니다.
이 첫 번째 세션을 인증하는 동안 LTS는 LTS에 구성된 터널 스위치 프로필의 존재 여부에 따라 LTS를 초과하는 LNS로 세션을 다시 터널링할지 여부를 결정합니다.
터널 스위치 프로필은 기본 프로필일 수도 있고 RADIUS 서버, 도메인 맵 구성 또는 터널 그룹 구성에 의해 적용될 수도 있습니다.
터널 스위치 프로파일이 구성된 경우 LTS는 프로파일에 지정된 대로 LTS 너머의 LNS에 대한 두 번째 터널(아직 없는 경우)을 생성하고 이 터널에 두 번째 세션을 생성합니다.
터널 스위치 프로파일 적용
다음과 같은 여러 가지 방법으로 터널 스위치 프로파일을 적용하도록 구성할 수 있습니다.
모든 LAC에서 수신한 트래픽에 전역으로 적용되는 기본 프로필입니다
가입자 세션에 도메인 맵이 적용된 경우
가입자 세션에 터널 그룹이 적용된 경우
터널 스위치 프로필 VSA(26-91)에 반환된 RADIUS 서버 구성에서
이러한 응용 프로그램 방법 중 하나 이상을 구성할 수 있습니다. 여러 터널 스위치 프로필이 있는 경우 다음 우선 순위에 따라 LTS가 사용하는 프로필이 설정됩니다. 순서는 가장 높은(RADIUS)에서 가장 낮은(기본 프로파일)입니다.
RADIUS VSA 26-91 > 도메인 맵 > 터널 그룹 > 글로벌 터널 스위치 프로파일
터널 스위치 프로파일은 터널 프로파일도 참조해야 합니다. 이 터널 프로파일은 가입자 패킷이 스위칭되는 두 번째 터널의 특성을 지정합니다.
LTS에서 터널 전환 세션 종료
터널 스위칭 세션은 다음과 같은 경우 LTS에서 종료됩니다.
LTS의 LAC 또는 LNS 인터페이스는 CDN(Call-Disconnect-Notify) 메시지를 수신합니다(표 1).
표 1: CDN 메시지의 원인 CDN 메시지 수신 날짜
언제
LAC 인터페이스
다음 중 하나가 발생합니다.
두 번째 세션을 설정할 수 없습니다.
원격 LNS는 두 번째 세션을 종료합니다.
LNS 인터페이스
다음 중 하나가 발생합니다.
PPPoE 클라이언트가 로그아웃을 시작합니다.
원래 LAC가 터널 종료를 시작합니다
LTS가 CDN을 수신하지 않은 인터페이스에 CDN을 릴레이하기 때문에 첫 번째 세션과 두 번째 세션이 모두 종료됩니다. 연결 끊기 원인은 두 세션에서 동일합니다.
LTS의 LAC 또는 LNS 인터페이스는 StopCCN(Stop-Control-Connection-Notification) 메시지를 수신합니다(표 2).
표 2: StopCCN 메시지의 원인 StopCCN 메시지가 수신됩니다.
언제
LAC 인터페이스
다음 중 하나가 발생합니다.
두 번째 세션을 설정할 수 없습니다.
원격 LNS는 두 번째 터널을 종료합니다.
LNS 인터페이스
원래 LAC가 터널의 종료를 시작합니다.
LTS는 StopCCN 메시지를 릴레이하지 않습니다. 지정된 터널이 전환된 세션과 전환되지 않은 세션을 모두 포함할 수 있기 때문입니다. 도매 시나리오의 또 다른 이유는 LTS의 LNS에서 끝나는 터널에 다른 공급자의 LAC의 세션이 포함될 수 있기 때문입니다. 대신 LTS는 StopCCN을 수신하지 않은 인터페이스에 CDN 메시지를 전송하여 터널 전환 세션을 종료합니다. 이 CDN은 StopCCN에 전달된 오류 코드를 전달합니다.
LTS에서 관리
clear명령이 실행됩니다.
표 3 에는 LTS에서 관리 clear 명령이 실행될 때 수행되는 작업이 나열되어 있습니다.
명령 |
LAC 또는 LNS 작업 |
LTS 작업 |
|---|---|---|
|
대상과 관련된 모든 터널 및 세션을 삭제합니다. |
대상에 대한 터널의 각 전환된 세션에 대해 원인이 관리로 설정된 CDN 메시지를 전송하여 매핑된 해당 전환 세션을 지웁니다. |
|
모든 대상과 관련된 모든 터널 및 세션을 삭제합니다. |
없음. |
|
세션을 지웁니다. |
원인이 관리로 설정된 CDN 메시지를 전송하여 이 세션에 대해 매핑된 해당 전환된 세션을 지웁니다. |
|
모든 세션을 지웁니다. |
없음. |
|
터널과 모든 세션을 지웁니다. |
터널의 각 전환된 세션에 대해 원인이 관리로 설정된 CDN 메시지를 전송하여 매핑된 해당 전환된 세션을 지웁니다. |
|
모든 터널을 지웁니다. |
없음. |
스위칭 경계에서 L2TP AVP에 대한 터널 스위칭 작업
L2TP 터널 스위칭은 패킷을 다른 LNS로 리디렉션할 때 L2TP 메시지에서 전달되는 각 AVP의 스위칭 경계에서 다음 기본 작업 중 하나를 수행합니다.
relay—L2TP는 변경 없이 스위칭된 패킷에서 AVP를 투명하게 전달합니다.regenerate- L2TP는 첫 번째 터널 및 세션에서 협상한 수신 AVP를 무시합니다. LTS의 로컬 정책을 기반으로 두 번째 세션에 대한 새 AVP를 생성하고 이 AVP를 전환된 패킷으로 전송합니다. 로컬 정책은 첫 번째 세션의 협상 중에 수신된 AVP의 값을 사용하거나 사용하지 않을 수 있습니다.
표 4 에는 각 AVP에 대한 기본 작업이 나와 있습니다. 필수 AVP는 항상 LAC의 L2TP 메시지에 포함됩니다. 선택 사항인 AVP가 메시지에 포함될 수 있습니다.
선택적으로 베어러 유형 AVP(18), 발신 번호 AVP(22) 또는 Cisco NAS 포트 정보 AVP(100)의 스위칭 경계에서 수행된 기본 작업을 재정의할 수 있습니다. 이 3개의 AVP 중 하나가 스위치된 패킷에서 삭제되거나 재생성되도록 구성하거나 기본 릴레이 작업을 복원할 수 있습니다.
속성 값이 숨겨진 L2TP AVP는 항상 스위칭 경계에서 재생성됩니다. 패킷이 원격 LNS로 전달될 때 값이 디코딩되어 일반 텍스트로 전송됩니다.
AVP 이름(번호) |
AVP 유형 |
L2TP 메시지 유형 |
기본 작업 |
|---|---|---|---|
할당된 세션 ID(14) |
필수 |
CDN, 증권 시세 표시기 |
재생성 |
할당된 터널 ID(9) |
필수 |
증권 시세 표시기 |
재생성 |
베어러 기능 (4) |
선택적 |
증권 시세 표시기 |
재생성 |
무기명 유형 (18) |
선택적 |
증권 시세 표시기 |
중계 |
전화 일련 번호 (15) |
필수 |
증권 시세 표시기 |
중계 |
호출 번호 (21) |
선택적 |
증권 시세 표시기 |
중계 |
발신 번호 (22) |
선택적 |
증권 시세 표시기 |
중계 |
도전 (11) |
선택적 |
증권 시세 표시기 |
재생성 |
챌린지 응답 (13) |
선택적 |
증권 시세 표시기 |
재생성 |
Cisco NAS 포트 |
선택적 |
증권 시세 표시기 |
중계 |
페일오버 기능 |
선택적 |
증권 시세 표시기 |
재생성 |
펌웨어 개정 (6) |
선택적 |
증권 시세 표시기 |
재생성 |
프레이밍 기능 (3) |
필수 |
증권 시세 표시기 |
재생성 |
프레임 유형 (19) |
필수 |
증권 시세 표시기 |
중계 |
호스트 이름 (7) |
필수 |
증권 시세 표시기 |
재생성 |
초기 수신 LCP CONFREQ (26) |
선택적 |
증권 시세 표시기 |
중계 LCP 재협상이 LNS의 클라이언트 프로필에서 문으로 |
마지막 수신 LCP CONFREQ (28) |
선택적 |
증권 시세 표시기 |
중계 LCP 재협상이 LNS의 클라이언트 프로필에서 문으로 |
마지막으로 보낸 LCP CONFREQ (27) |
선택적 |
증권 시세 표시기 |
중계 LCP 재협상이 LNS의 클라이언트 프로필에서 문으로 |
메시지 유형 (0) |
필수 |
모두 |
재생성 |
물리적 채널 ID(25) |
선택적 |
증권 시세 표시기 |
재생성 |
개인 그룹 ID (37) |
선택적 |
증권 시세 표시기 |
중계 |
프로토콜 버전 (2) |
필수 |
증권 시세 표시기 |
재생성 |
프록시 인증 챌린지 (31) |
선택적 |
증권 시세 표시기 |
중계 LCP 재협상이 LNS의 클라이언트 프로파일에서 문으로 |
프록시 인증 ID (32) |
선택적 |
증권 시세 표시기 |
중계 LCP 재협상이 LNS의 클라이언트 프로파일에서 문으로 |
프록시 인증 이름 (30) |
선택적 |
증권 시세 표시기 |
중계 LCP 재협상이 LNS의 클라이언트 프로파일에서 문으로 |
프록시 인증 응답 (33) |
선택적 |
증권 시세 표시기 |
중계 LCP 재협상이 LNS의 클라이언트 프로파일에서 문으로 |
프록시 Authen 유형 (29) |
선택적 |
증권 시세 표시기 |
중계 LCP 재협상이 LNS의 클라이언트 프로파일에서 문으로 |
수신 창 크기 (10) |
선택적 |
증권 시세 표시기 |
재생성 |
Rx 연결 속도 (38) |
선택적 |
증권 시세 표시기 |
중계 |
시퀀싱 필요 (39) |
선택적 |
증권 시세 표시기 |
재생성 |
하위 주소 (23) |
선택적 |
증권 시세 표시기 |
중계 |
타이 브레이커 (5) |
선택적 |
증권 시세 표시기 |
재생성 |
터널 복구 |
선택적 |
증권 시세 표시기 |
재생성 |
Tx 연결 속도 (24) |
필수 |
증권 시세 표시기 |
중계 |
공급업체 이름(8) |
선택적 |
증권 시세 표시기 |
재생성 |
L2TP 터널 스위칭 구성
L2TP 터널 스위칭을 사용하면 LTS로 구성된 라우터가 하나의 L2TP 세션에서 전달되는 PPP 패킷을 다른 LNS에서 종료된 두 번째 L2TP 세션으로 전달할 수 있습니다. L2TP 터널 스위칭을 구성하려면 터널 스위치 프로파일을 정의한 다음 해당 프로파일을 할당해야 합니다.
전역적으로 모든 세션, 터널 그룹의 모든 세션, 도메인의 모든 세션 또는 RADIUS 서버 구성에 대해 터널 스위치 프로필을 구성하여 RADIUS 터널 스위치 프로필 VSA(26-91)에서 반환되도록 할 수 있습니다. 다양한 소스의 터널 스위치 프로필에 대한 우선 순위는 다음과 같습니다.
RADIUS VSA 26-91 > 도메인 맵 > 터널 그룹 > 글로벌 터널 스위치 프로파일
L2TP 터널 스위치 프로파일을 정의하려면 다음을 수행합니다.
예를 들어 다음과 같은 구성을 고려하십시오. 이는 l2tp-tunnel-switch-profile, lts-profile-groupA 및 lts-profile-example-com의 세 가지 터널 스위치 프로필을 생성합니다.
[edit access tunnel-switch-profile l2tp-tunnel-switch-profile] user@host# set avp bearer-type regenerate user@host# set avp calling-number regenerate user@host# set avp cisco-nas-port-info drop user@host# set tunnel-profile l2tp-tunnel-profile1 [edit access tunnel-switch-profile lts-profile-groupA] user@host# set tunnel-profile l2tp-tunnel-profile2 [edit access tunnel-switch-profile lts-profile-example.com] user@host# set tunnel-profile l2tp-tunnel-profile3 [edit services l2tp] user@host1# set tunnel-switch-profile l2tp-tunnel-switch-profile user@host1# set tunnel-group groupA tunnel-switch-profile lts-profile-groupA [edit access domain] user@host1# set map example.com tunnel-switch-profile lts-profile-example.com
MX 시리즈 디바이스에 대한 샘플 LTS( Layer-2 Tunnel Switching) 구성은 다음과 같습니다:
set services l2tp tunnel-group TG1 l2tp-access-profile DEFAULT set services l2tp tunnel-group TG1 aaa-access-profile aaa-access-profile set services l2tp tunnel-group TG1 hello-interval 0 set services l2tp tunnel-group TG1 local-gateway address 192.1.1.1 set services l2tp tunnel-group TG1 local-gateway gateway-name default set services l2tp tunnel-group TG1 service-interface si-0/0/0 set services l2tp tunnel-group TG1 dynamic-profile lns-profile set chassis fpc 0 pic 0 inline-services bandwidth 10g set chassis network-services enhanced-ip set dynamic-profiles lns-profile routing-instances "$junos-routing-instance" interface "$junos-interface-name" set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" ppp-options chap set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" ppp-options pap set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" family inet unnumbered-address "$junos-loopback-interface" set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" family inet6 unnumbered-address "$junos-loopback-interface" set access profile DEFAULT client default l2tp aaa-access-profile aaa-access-profile set access profile DEFAULT client default l2tp shared-secret "$9$i.T3AtOREyApIcSrLX" set access profile DEFAULT client default l2tp dynamic-profile lns-profile set access profile DEFAULT client default user-group-profile l2tp-access-group-profile set access group-profile l2tp-access-group-profile ppp idle-timeout 200 set access group-profile l2tp-access-group-profile ppp ppp-options pap set access group-profile l2tp-access-group-profile ppp ppp-options chap set access group-profile l2tp-access-group-profile ppp keepalive 0 set access tunnel-profile lac-profile tunnel 1 preference 1 set access tunnel-profile lac-profile tunnel 1 identification 1 set access tunnel-profile lac-profile tunnel 1 remote-gateway address 192.1.2.1 set access tunnel-profile lac-profile tunnel 1 remote-gateway gateway-name default set access tunnel-profile lac-profile tunnel 1 source-gateway address 192.1.2.5 set access tunnel-profile lac-profile tunnel 1 source-gateway gateway-name default set access tunnel-profile lac-profile tunnel 1 secret "$9$u9CE0BEleW-dsp07Vb2GUCtu" set access tunnel-switch-profile tsp-profile tunnel-profile lac-profile set access domain map yogeshn.com tunnel-switch-profile tsp-profile …
프로파일 l2tp-tunnel-switch-profile은 전역 기본값으로 적용됩니다. 이 프로파일에 따라 패킷이 전환되면 L2TP 패킷의 베어러 유형 AVP(18) 및 발신 번호 AVP(22)에 대한 값은 L2TP 터널 스위치의 로컬 정책에 따라 재생성된 다음 패킷과 함께 전송됩니다. Cisco NAS Port Info AVP(100)가 삭제됩니다. 마지막으로 l2tp-tunnel-profile1은 트래픽이 전환되는 터널의 구성 특성을 제공합니다.
터널 스위치 프로파일 lts-profile-groupA는 터널 그룹 groupA를 통해 적용됩니다. 다른 터널 프로파일인 l2tp-tunnel-profile2를 지정하며 AVP 작업을 재정의하지 않습니다. 터널 스위치 프로파일 lts-profile-example.com 은 example.com 도메인에 대한 도메인 맵을 통해 적용됩니다. 다른 터널 프로파일인 l2tp-tunnel-profile3을 지정하며 AVP 작업을 재정의하지 않습니다.
L2TP 수신 창 크기 설정
L2TP 터널의 L2TP 수신 창 크기를 구성할 수 있습니다. 수신 창 크기는 피어가 라우터의 승인을 기다리기 전에 보낼 수 있는 패킷 수를 지정합니다.
기본적으로 수신 창 크기는 4개의 패킷으로 설정됩니다. 수신 창 크기가 기본값으로 설정된 경우 라우터는 터널 협상 중에 피어로 전송되는 첫 번째 패킷에서 수신 창 크기 AVP, AVP 10을 전송하지 않습니다.
수신 창 크기를 구성하려면 다음을 수행합니다.
[edit services l2tp tunnel] user@host# set rx-window-size packets
L2TP 터널 유휴 시간 제한 설정
LAC 또는 LNS를 구성하여 세션이 없는 터널이 활성 상태로 유지되는 기간을 지정할 수 있습니다. 유휴 타이머는 터널의 마지막 세션이 종료될 때 시작됩니다. 타이머가 만료되면 터널 연결이 끊어집니다. 이 유휴 시간 제한은 비활성 터널에서 사용하는 리소스를 해제합니다.
유휴 시간 제한 값을 0으로 설정하면 마지막 세션이 종료된 후 다음 중 하나가 발생할 때까지 터널이 무기한 활성 상태를 유지합니다.
명령을 내립니다
clear services l2tp tunnel.원격 피어가 터널 연결을 끊습니다.
이 명령문을 지원하지 않는 Junos OS 릴리스로 다운그레이드하기 전에 계층 수준에서 [edit services l2tp tunnel] 명령문을 포함하여 no idle-timeout 기능을 명시적으로 구성 해제하는 것이 좋습니다.
터널 유휴 시간 제한을 설정하려면 다음을 수행합니다.
시간 초과 기간을 구성합니다.
[edit services l2tp tunnel] user@host# set idle-timeout seconds
L2TP 소멸 타임아웃 설정
LAC 또는 LNS를 구성하여 라우터가 동적 대상, 터널 및 세션이 삭제된 후 이를 유지하려고 시도하는 기간을 지정할 수 있습니다. 이 소멸 시간 제한은 대상, 터널 또는 세션이 종료된 후 기본 메모리 구조를 저장하여 디버깅 및 기타 분석을 지원합니다. 새 터널을 설정하기 위해 리소스를 조기에 회수해야 하는 경우 특정 동적 대상, 터널 또는 세션이 이 전체 기간 동안 유지되지 않을 수 있습니다.
이 명령문을 지원하지 않는 Junos OS 릴리스로 다운그레이드하기 전에 계층 수준에서 [edit services l2tp] 명령문을 포함하여 no destruct-timeout 기능을 명시적으로 구성 해제하는 것이 좋습니다.
L2TP 소멸 시간 제한을 설정하려면:
시간 초과 기간을 구성합니다.
[edit services l2tp] user@host# set destruct-timeout seconds
L2TP 대상 잠금 시간 제한 구성
여러 세트의 터널링 매개 변수를 사용할 수 있는 경우 L2TP는 선택 프로세스를 사용하여 가입자 트래픽에 가장 적합한 터널을 선택합니다. 이 선택 프로세스의 일부로, L2TP는 가입자가 도메인에 연결하려고 할 때 연결할 수 없는 대상을 잠급니다. L2TP는 대상을 대상 잠금 목록에 배치하고 대상 잠금 시간 제한이라는 구성 가능한 기간 동안 대상을 고려 대상에서 제외합니다.
기본적으로 대상 잠금 시간 제한은 300초(5분)입니다. 60초에서 3600초(1분에서 1시간)까지 값을 구성할 수 있습니다. 잠금 시간 초과가 만료되면 L2TP는 대상을 현재 사용할 수 있다고 가정하고 터널 선택 프로세스를 수행할 때 대상을 포함합니다. 대상 잠금 기간은 전역 값이며 특정 대상, 터널 또는 터널 그룹에 대해 개별적으로 구성할 수 없습니다.
일반적으로 잠금 타이머가 만료될 때까지 잠긴 대상을 사용할 수 없습니다. 그러나 L2TP가 터널 선택 프로세스를 수행할 때 일부 상황에서는 잠긴 대상에 대한 잠금 타이머를 지웁니다. 선택 프로세스에 대한 자세한 내용은 LAC 터널 선택 개요의 기본 설정 수준 간 장애 조치가 구성된 경우 선택 및 기본 설정 수준 내에서 장애 조치가 구성된 경우 선택을 참조하십시오.
잠금 시간 제한을 소멸 시간 제한보다 작거나 같도록 구성합니다. 그렇지 않으면 잠금 제한 시간 전에 소멸 제한 시간이 만료됩니다. 이 경우 잠긴 대상은 제거되고 잠금 시간 제한이 만료되기 전에 다시 서비스로 돌아올 수 있으므로 잠금 시간 제한의 유효성이 무효화됩니다.
대상 잠금 시간 제한을 구성하려면 다음을 수행합니다.
기간을 초 단위로 지정합니다.
[edit services l2tp destination] user@host# set lockout-timeout seconds
명령은 show services l2tp destination lockout 대상 잠금 목록을 표시하고 각 대상에 대해 시간 초과가 만료되기까지 남은 시간을 나타냅니다. 명령은 show services l2tp destination detail 각 대상에 대해 잠겨 있고 제한시간이 만료될 때까지 대기 중인지 또는 잠기지 않았는지를 나타냅니다.
대상 잠금 목록에서 L2TP 대상 제거
PPP 가입자가 도메인에 로그인을 시도하면 L2TP는 해당 도메인의 대상과 연결된 터널을 선택하고 대상에 액세스를 시도합니다. 연결 시도가 실패하면 L2TP는 대상을 대상 잠금 목록에 배치합니다. 이 목록의 대상은 대상 잠금 시간 제한이라는 구성 가능한 기간 동안 후속 연결에 대해 고려되지 않습니다.
특정 대상에 request services l2tp destination unlock 대한 명령을 실행하여 대상 잠금 목록에서 제거할 수 있습니다. 그 결과 가입자가 연결된 도메인에 로그인할 때 이 대상을 즉시 고려할 수 있습니다.
대상 잠금 목록에서 대상을 제거하려면:
잠금을 해제할 대상의 이름을 지정합니다.
user@host> request services l2tp destination unlock destination-name
L2TP 드레인 구성
관리를 위해 드레이닝할 L2TP 대상 또는 터널의 상태를 설정할 수 있습니다. 이렇게 하면 L2TP LAC 및 LNS에서 새 세션, 터널 및 대상이 생성되지 않습니다.
글로벌 수준에서 또는 특정 대상이나 터널에 대해 L2TP 드레이닝을 구성할 수 있습니다. 기능이 글로벌 L2TP 수준에서 구성된 경우 새 대상, 터널 또는 세션을 생성할 수 없습니다. 기능이 특정 대상에 대해 구성된 경우 해당 대상에서 새 터널 또는 세션을 생성할 수 없습니다. 마찬가지로 기능이 특정 터널에 대해 구성된 경우 해당 터널에 새 세션을 할당할 수 없지만 새 대상과 터널을 생성할 수 있습니다.
이 기능이 구성되면 , show services l2tp destination및 show services l2tp tunnel 의 show services l2tp summary명령 출력은 L2TP 세션, 대상 및 터널의 상태를 (으)로 Drain표시합니다.
IP 패킷의 주입 및 복제에 동일한 L2TP 터널 사용
가입자 보안 정책 미러링에 사용되는 동일한 L2TP 터널을 패킷 복제에 사용하도록 구성할 수 있습니다. 복제된 패킷은 고객 또는 네트워크로 트래픽을 주입하는 데 사용됩니다. 패킷의 주입 또는 전송은 모든 가입자 액세스 모드에 지원됩니다. 단일 L2TP 터널은 패킷 전송과 패킷 복제에 모두 사용됩니다. L2TP 터널의 한 쪽에서 패킷을 복제하도록 구성된 포트 또는 인터페이스는 다른 터널 엔드포인트에 연결됩니다. 터널의 다른 엔드포인트는 L2TP 터널을 사용하여 IP 패킷을 패킷 복제를 위해 구성된 포트 또는 인터페이스로 보낼 수 있으며, 해당 인터페이스에서 수신된 IP 패킷은 고객에게 전달되거나 고객으로부터 수신된 것처럼 전송될 수 있습니다.
원격 터널 엔드포인트는 페이로드에 이더넷 MAC 주소가 포함된 IP 터널 패킷을 보냅니다. 페이로드 패킷의 대상 MAC 주소에 라우터의 MAC 주소가 포함된 경우, 이더넷 패킷은 네트워크를 향해 발신 방향으로 전송되며, 고객 포트에서 수신된 것처럼 처리 및 전달됩니다. 페이로드 패킷의 소스 MAC 주소에 라우터의 MAC 주소가 포함된 경우, 이더넷 패킷은 발신 방향으로 고객 포트를 향해 전송됩니다. 터널에 구성된 수신 쿠키가 포함되어 있지 않으면 패킷 삽입이 수행되지 않습니다. 이 경우 잘못된 쿠키와 함께 도착한 패킷이 카운트되고 삭제되는 것과 동일한 방식으로 수신된 터널 패킷이 계산되고 삭제됩니다.
패킷을 복제하여 고객 또는 네트워크로 전송하려면(이더넷 페이로드의 MAC 주소 기반) 계층 수준에서 명령문을 [edit firewall family family-name filter filter-name term term-name then] 포함합니다decapsulate l2tp output-interface interface-name cookie l2tpv3-cookie. 또한 계층 수준에서 문을 포함하여 count counter-name 중복되거나 캡슐 해제된 L2TP 패킷에 대한 카운터를 [edit firewall family family-name filter filter-name term term-name then] 구성할 수 있습니다