Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Tunelización de capa 2 de paquetes PPP

Descripción general del protocolo de tunelización de capa 2

L2TP se define en RFC 2661, Protocolo de túnel de capa dos (L2TP).

L2TP facilita la tunelización de paquetes PPP a través de una red intermedia de una manera lo más transparente posible tanto para los usuarios finales como para las aplicaciones. Emplea perfiles de acceso para el acceso de grupos y usuarios individuales, y utiliza la autenticación para establecer conexiones seguras entre los dos extremos de cada túnel. También se admite la funcionalidad PPP multivínculo.

Los servicios L2TP solo son compatibles con los siguientes enrutadores:

  • Enrutadores M7i con AS PIC

  • Enrutadores M10i con AS y MultiServices 100 PIC

  • Enrutadores M120 con AS, MultiServices 100 y MultiServices 400 PIC

  • En los enrutadores de la serie MX, las funciones de concentrador de acceso L2TP (LAC) y servidor de red L2TP (LNS) solo se admiten en MPC; no se admiten en ningún servicio PIC o MS-DPC. Para obtener más información sobre la compatibilidad de MPC con L2TP, consulte la Referencia del módulo de interfaz de la serie MX

Para obtener más información, consulte Información general sobre la configuración de los servicios L2TP.

Descripción general de la configuración de servicios L2TP

Las instrucciones para configurar los servicios L2TP se encuentran en los siguientes niveles jerárquicos:

  • [editar servicios l2tp tunnel-group group-name]

    La instrucción de grupo de túnel L2TP identifica una instancia de L2TP o un servidor L2TP. Las instrucciones asociadas especifican la dirección de puerta de enlace local en la que se aceptan los túneles y las sesiones entrantes, la tarjeta de interfaz física (PIC) de Adaptive Services (AS) que procesa los datos de las sesiones de este grupo de túneles, las referencias a los perfiles de acceso L2TP y PPP, y otros atributos para configurar los tamaños de ventana y los valores del temporizador.

  • [edit interfaces sp-fpc//portpic unit logical-unit-number dial-options]

    La instrucción dial-options incluye la configuración de la instrucción l2tp-interface-id y el indicador compartido/dedicado . El identificador de interfaz asocia una sesión de usuario con una interfaz lógica. Las sesiones pueden utilizar interfaces lógicas compartidas o dedicadas. Para ejecutar protocolos de enrutamiento, una sesión debe utilizar una interfaz lógica dedicada.

  • [Editar perfil profile-name de acceso Cliente name L2TP]

    Los perfiles de túnel se definen en el nivel jerárquico [editar acceso]. Los clientes de túnel se definen con autenticación, negociación y fragmentación multivínculo y otros atributos L2TP en estos perfiles.

  • [editar PPP de cliente de perfil profile-name de name acceso]

    Los perfiles de usuario se definen en el nivel jerárquico [editar acceso]. Los clientes de usuario se definen con autenticación y otros atributos PPP en estos perfiles. Estos perfiles de cliente se utilizan cuando se especifica la autenticación local.

  • [editar acceso-servidor addressRADIUS]

    Cuando configure el radio de orden de autenticación en el nivel jerárquico [editar perfil profile-name de acceso], debe configurar un servicio RADIUS en el nivel de jerarquía [editar servidor radius de acceso].

Nota:

Para obtener más información acerca de cómo configurar propiedades en el nivel de jerarquía [edit access], consulte la Biblioteca de administración de Junos OS para dispositivos de enrutamiento. Para obtener información acerca de las configuraciones L2TP LAC y LNS en enrutadores de la serie MX para acceso de suscriptores, consulte Descripción general de L2TP para acceso de suscriptores en la Guía de configuración de acceso de suscriptor de Junos.

Configuración mínima de L2TP

Para configurar los servicios L2TP, debe realizar al menos las siguientes tareas:

  • Defina un grupo de túneles en el nivel de [edit services l2tp] jerarquía con los siguientes atributos:

    • l2tp-access-profile: nombre de perfil para el túnel L2TP.

    • ppp-access-profile: nombre del perfil del usuario L2TP.

    • local-gateway—Dirección para el túnel L2TP.

    • service-interface—Interfaz PIC AS para el servicio L2TP.

    • Opcionalmente, puede configurar traceoptions con fines de depuración.

    En el ejemplo siguiente se muestra una configuración mínima para un grupo de túneles con opciones de seguimiento:

  • En el [edit interfaces] nivel jerárquico:

    • Identifique la interfaz física en la que los paquetes de túnel L2TP entran en el enrutador, por ejemplo ge-0/3/0.

    • Configure la interfaz PIC del AS con el servicio definido para IP y configure otra interfaz lógica con unit 0 family inet family inet y la dial-options instrucción.

    En el ejemplo siguiente se muestra una configuración mínima de interfaces para L2TP:

  • En el [edit access] nivel jerárquico:

    • Configure un perfil de túnel. Cada cliente especifica un nombre único de concentrador de acceso L2TP (LAC) con un interface-id valor que coincide con el configurado en la unidad de interfaz PIC AS; shared-secret es la autenticación entre LAC y el servidor de red L2TP (LNS).

    • Configure un perfil de usuario. Si se utiliza RADIUS como método de autenticación, es necesario definirlo.

    • Defina el servidor RADIUS con una dirección IP, un puerto y datos de autenticación compartidos entre el enrutador y el servidor RADIUS.

      Nota:

      Cuando el servidor de red L2TP (LNS) está configurado con autenticación RADIUS, el comportamiento predeterminado es aceptar la dirección IP asignada por RADIUS preferida. Anteriormente, el comportamiento predeterminado era aceptar e instalar la dirección IP del mismo nivel distinto de cero que entraba en la opción Dirección IP del paquete de solicitud de configuración IPCP.

    • Opcionalmente, puede definir un perfil de grupo para atributos comunes, por ejemplo keepalive 0 , para desactivar los mensajes keepalive.

    En el ejemplo siguiente se muestra una configuración de perfiles mínimos para L2TP:

Configuración de grupos de túneles L2TP

Para establecer el servicio L2TP en un enrutador, debe identificar un grupo de túneles L2TP y especificar una serie de valores que definen qué perfiles de acceso, direcciones de interfaz y otras propiedades se deben utilizar en la creación de un túnel. Para identificar el grupo de túneles, incluya la tunnel-group instrucción en el nivel de [edit services l2tp] jerarquía.

Nota:

Si elimina un grupo de túneles o lo marca como inactivo, todas las sesiones L2TP de ese grupo de túneles finalizarán. Si cambia el valor de la local-gateway address instrucción o service-interface , todas las sesiones L2TP que utilicen esa configuración finalizarán. Si cambia o elimina otras instrucciones en el nivel de jerarquía, los [edit services l2tp tunnel-group group-name] nuevos túneles que establezca utilizarán los valores actualizados, pero los túneles y las sesiones existentes no se verán afectados.

En las secciones siguientes se explica cómo configurar grupos de túneles L2TP:

Configuración de perfiles de acceso para grupos de túneles L2TP

Para validar las conexiones L2TP y las solicitudes de sesión, configure los perfiles de acceso configurando la instrucción en el nivel de profile [edit access] jerarquía. Debe configurar dos tipos de perfiles:

  • Perfil de acceso al túnel L2TP, que valida todas las solicitudes de conexión L2TP a la dirección de puerta de enlace local especificada

  • Perfil de acceso PPP, que valida todas las solicitudes de sesión PPP a través de túneles L2TP establecidos en la dirección de puerta de enlace local

Para obtener más información sobre cómo configurar los perfiles, consulte la Biblioteca de administración de Junos OS para dispositivos de enrutamiento. Un ejemplo de perfil se incluye en Ejemplos: Configuración de servicios L2TP.

Para asociar los perfiles a un grupo de túneles, incluya las l2tp-access-profile instrucciones y ppp-access-profile en el nivel de [edit services l2tp tunnel-group group-name] jerarquía:

Configuración de la dirección de puerta de enlace local y el PIC

Al configurar un grupo L2TP, también debe definir una dirección local para las conexiones de túnel L2TP y la PIC del AS que procesa las solicitudes:

  • Para configurar la dirección IP de la puerta de enlace local, incluya la address instrucción en el nivel de [edit services l2tp tunnel-group group-name local-gateway] jerarquía:

  • Para configurar la PIC AS, incluya la service-interface instrucción en el nivel de [edit services l2tp tunnel-group group-name] jerarquía:

Opcionalmente, puede especificar el número de unidad lógica junto con la interfaz de servicio. Si se especifica, la unidad se utiliza como interfaz lógica que representa las sesiones PPP negociadas mediante este perfil.

Nota:

Si cambia la dirección de la puerta de enlace local o la configuración de la interfaz de servicio, todas las sesiones L2TP que utilicen esa configuración finalizarán.

La funcionalidad de clase de servicio dinámica (CoS) se admite en sesiones LNS L2TP o sesiones L2TP con VC ATM, siempre que la sesión L2TP esté configurada para usar una PIC IQ2 en la interfaz de salida. Para obtener más información, consulte la Guía del usuario de clase de servicio (enrutadores y conmutadores EX9200).

Configuración del tamaño de ventana para túneles L2TP

Puede configurar el tamaño máximo de ventana para el procesamiento de paquetes en cada extremo del túnel L2TP:

  • El tamaño de la ventana de recepción limita el número de paquetes simultáneos que procesa el servidor. De forma predeterminada, el máximo es de 16 paquetes. Para cambiar el tamaño de la ventana, incluya la receive-window instrucción en el nivel de [edit services l2tp tunnel-group group-name] jerarquía:

  • El tamaño máximo de la ventana de envío limita el tamaño de la ventana de recepción del otro extremo. La información se transmite en el par atributo-valor tamaño de ventana de recepción. De forma predeterminada, el máximo es de 32 paquetes. Para cambiar el tamaño de la ventana, incluya la maximum-send-window instrucción en el nivel de [edit services l2tp tunnel-group group-name] jerarquía:

Configuración de temporizadores para túneles L2TP

Puede configurar los siguientes valores de temporizador que regulan el procesamiento del túnel L2TP:

  • Intervalo de saludo: si el servidor no recibe ningún mensaje dentro de un intervalo de tiempo especificado, el software del enrutador envía un mensaje de saludo al par remoto del túnel. De forma predeterminada, la duración del intervalo es de 60 segundos. Si configura un valor de 0, no se enviarán mensajes de saludo. Para configurar un valor diferente, incluya la hello-interval instrucción en el nivel de [edit services l2tp tunnel-group group-name] jerarquía:

  • Intervalo de retransmisión: de forma predeterminada, la duración del intervalo de retransmisión es de 30 segundos. Para configurar un valor diferente, incluya la retransmit-interval instrucción en el nivel de [edit services l2tp tunnel-group group-name] jerarquía:

  • Tiempo de espera del túnel: si el servidor no puede enviar ningún dato a través del túnel dentro de un intervalo de tiempo especificado, asume que se ha perdido la conexión con el par remoto y elimina el túnel. De forma predeterminada, la duración del intervalo es de 120 segundos. Para configurar un valor diferente, incluya la tunnel-timeout instrucción en el nivel de [edit services l2tp tunnel-group group-name] jerarquía:

Ocultar pares atributo-valor para túneles L2TP

Una vez establecido un túnel L2TP y autenticada la conexión, la información se codifica mediante pares atributo-valor. De forma predeterminada, esta información no está oculta. Para ocultar los pares atributo-valor una vez conocido el secreto compartido, incluya la hide-avps instrucción en el nivel de [edit services l2tp tunnel-group group-name] jerarquía:

Configuración del registro del sistema de la actividad del túnel L2TP

Puede especificar propiedades que controlen cómo se generan los mensajes de registro del sistema para los servicios L2TP.

Para configurar los valores predeterminados de registro del sistema en toda la interfaz, incluya la syslog instrucción en el nivel de [edit services l2tp tunnel-group group-name] jerarquía:

Configure la host instrucción con un nombre de host o una dirección IP que especifique el servidor de destino del registro del sistema. El nombre local de host dirige los mensajes de registro del sistema al motor de enrutamiento. Para los servidores de registro del sistema externos, el nombre de host debe ser accesible desde la misma instancia de enrutamiento a la que se entrega el paquete de datos inicial (que desencadenó el establecimiento de la sesión). Solo puede especificar un nombre de host de registro del sistema.

En la tabla 1 se enumeran los niveles de gravedad que puede especificar en las instrucciones de configuración en el nivel jerárquico[edit services l2tp tunnel-group group-name syslog host hostname]. Los niveles a través info están en orden de mayor gravedad (mayor efecto sobre el funcionamiento) a emergency más bajo.

Tabla 1: Niveles de gravedad de los mensajes de registro del sistema

Nivel de gravedad

Descripción

any

Incluye todos los niveles de gravedad

emergency

Fallo del sistema u otra condición que hace que el enrutador deje de funcionar

alert

Condiciones que requieren corrección inmediata, como una base de datos del sistema dañada

critical

Condiciones críticas, como errores del disco duro

error

Condiciones de error que generalmente tienen consecuencias menos graves que los errores en los niveles de emergencia, alerta y críticos

warning

Condiciones que justifican el monitoreo

notice

Condiciones que no son errores, pero que pueden justificar un tratamiento especial

info

Eventos o condiciones de no error de interés

Se recomienda establecer el nivel de gravedad del registro del sistema en error durante el funcionamiento normal. Para supervisar el uso de recursos PIC, establezca el nivel en warning. Para recopilar información acerca de un ataque de intrusión cuando se detecta un error del sistema de detección de intrusiones, establezca el nivel en notice para un conjunto de servicios específico. Para depurar una configuración o registrar eventos de traducción de direcciones de red (NAT), establezca el nivel en info.

Para obtener más información acerca de los mensajes de registro del sistema, consulte el Explorador de registros del sistema.

Para utilizar un código de instalación determinado para todos los registros en el host de registro del sistema especificado, incluya la facility-override instrucción en el nivel de [edit services l2tp tunnel-group group-name syslog host hostname] jerarquía:

Las instalaciones admitidas incluyen: authorization, , , userkernel, , daemonftpy local0 a través de local7.

Para especificar un prefijo de texto para todos los registros en este host de registro del sistema, incluya la log-prefix instrucción en el nivel de [edit services l2tp tunnel-group group-name syslog host hostname] jerarquía:

Configuración del identificador para interfaces lógicas que proporcionan servicios L2TP

Puede configurar los servicios L2TP en interfaces de servicios adaptables únicamente en enrutadores de las series M7i, M10i, M120 y MX. Debe configurar la interfaz lógica para que sea dedicada o compartida. Si una interfaz lógica es dedicada, sólo puede representar una sesión a la vez. Una interfaz lógica compartida puede tener varias sesiones.

Para configurar la interfaz lógica, incluya la l2tp-interface-id instrucción en el nivel de [edit interfaces interface-name unit logical-unit-number dial-options] jerarquía:

El l2tp-interface-id nombre configurado en la interfaz lógica debe replicarse en el nivel de [edit access profile name] jerarquía:

  • Para un identificador específico del usuario, incluya la l2tp-interface-id instrucción en el nivel de [edit access profile name ppp] jerarquía.

  • Para un identificador de grupo, incluya la l2tp-interface-id instrucción en el nivel de [edit access profile name l2tp] jerarquía.

Puede configurar varias interfaces lógicas con el mismo identificador de interfaz para utilizarlas como grupo para varios usuarios. Para obtener más información sobre la configuración de perfiles de acceso, consulte la Biblioteca de administración de Junos OS para dispositivos de enrutamiento.

Nota:

Si elimina la configuración de instrucción dial-options configurada en una interfaz lógica, todas las sesiones L2TP que se ejecuten en esa interfaz finalizarán.

Ejemplo: configuración de PPP multivínculo en una interfaz lógica compartida

PPP multivínculo es compatible con interfaces lógicas compartidas o dedicadas. El siguiente ejemplo se puede utilizar para configurar muchos paquetes multivínculo en una única interfaz compartida:

Redundancia PIC de AS para servicios L2TP

Los servicios L2TP admiten la redundancia de AS PIC. Para configurar la redundancia, especifique una interfaz PIC (rsp) de servicios de redundancia en la que la PIC del AS principal esté activa y una PIC del AS secundario esté en espera. Si se produce un error en la PIC del AS principal, la PIC secundaria se activa y se le transfiere todo el procesamiento del servicio. Si se restaura el PIC del AS primario, permanece en modo de espera y no tiene preferencia sobre el PIC del AS secundario; debe restaurar manualmente los servicios a la PIC principal. Para determinar qué PIC está activo actualmente, ejecute el show interfaces redundancy comando.

Nota:

En L2TP, la única opción de servicio admitida es el modo de espera semiactivo, en el que una PIC de respaldo admite varias PIC en funcionamiento. Los tiempos de recuperación no están garantizados, ya que la configuración debe restaurarse completamente en el PIC de copia de seguridad después de que se detecte un error. Los túneles y las sesiones se desactivan tras la conmutación y el cliente LAC y PPP, respectivamente, deben reiniciarlos. Sin embargo, la configuración se conserva y está disponible en la nueva PIC activa, aunque es necesario restablecer el estado del protocolo.

Al igual que con los otros servicios PIC de AS que admiten el modo de espera semiactiva, puede emitir el request interfaces (revert | switchover) comando para cambiar manualmente entre las interfaces L2TP principal y secundaria.

Para obtener más información, consulte Configurar redundancia de AS o PIC multiservicio. Para obtener un ejemplo de configuración, consulte Ejemplos: Configuración de servicios L2TP. Para obtener información sobre los comandos del modo operativo, consulte el Explorador de CLI.

Ejemplos: configuración de servicios L2TP

Configure L2TP con varios perfiles de grupo y usuario y un conjunto de interfaces lógicas para sesiones de túnel simultáneas:

Configure la redundancia L2TP:

Rastreo de operaciones de L2TP

Las operaciones de seguimiento realizan un seguimiento de todas las operaciones de PIC de AS y las registran en un archivo de registro en el directorio / var/log . De forma predeterminada, este archivo se denomina / var/log/l2tpd.

Nota:

Este tema se refiere al seguimiento de las operaciones LNS de L2TP en enrutadores de la serie M. Para realizar un seguimiento de las operaciones de L2TP LAC en enrutadores de la serie MX, consulte Seguimiento de eventos L2TP para la solución de problemas.

Para realizar un seguimiento de las operaciones de L2TP, incluya la traceoptions instrucción en el nivel jerárquico [edit services l2tp] :

Puede especificar los siguientes indicadores de seguimiento L2TP:

  • all—Rastrea todo.

  • configuration: rastrea eventos de configuración.

  • protocol: rastrea eventos del protocolo de enrutamiento.

  • routing-socket: rastrea eventos de socket de enrutamiento.

  • rpd: rastrea eventos de proceso de protocolo de enrutamiento.

Puede especificar un nivel de seguimiento para el seguimiento de PPP, L2TP, RADIUS y Protocolo de datagramas de usuario (UDP). Para configurar un nivel de seguimiento, incluya la debug-level instrucción en el [edit services l2tp traceoptions] nivel de jerarquía y especifique uno de los siguientes valores:

  • detail—Información detallada de depuración

  • error—Solo errores

  • packet-dump—Información de decodificación de paquetes

Puede filtrar por protocolo. Para configurar filtros, incluya la filter protocol instrucción en el [edit services l2tp traceoptions] nivel de jerarquía y especifique uno o varios de los siguientes valores de protocolo:

  • ppp

  • l2tp

  • radius

  • udp

Para implementar el filtrado por nombre de protocolo, también debe configurar flag protocol o flag all.

También puede configurar traceoptions para L2TP en una interfaz de servicios adaptables específica. Para configurar el seguimiento por interfaz, incluya la interfaces instrucción en el nivel jerárquico [edit services l2tp traceoptions] :

Nota:

La implementación de traceoptions consume recursos de CPU y afecta al rendimiento del procesamiento de paquetes.

Puede especificar las instrucciones y flag para la interfaz, pero las opciones son ligeramente diferentes de las debug-level traceoptions generales de L2TP. El nivel de depuración se especifica como detail, , o , errorque extensiveproporciona información completa de depuración de PIC. Están disponibles los siguientes indicadores:

  • all—Rastrea todo.

  • ipc: rastree los mensajes de comunicación entre procesos (IPC) L2TP entre la PIC y el motor de enrutamiento.

  • packet-dump: vuelca el contenido de cada paquete según el nivel de depuración.

  • protocol: rastreo de L2TP, PPP y manejo de multivínculo.

  • system: rastreo de procesamiento de paquetes en la PIC.