Protocolo de tunelización de capa 2 (L2TP)
El protocolo de tunelización de capa 2 (L2TP) es un protocolo para tunelización de tráfico de capa 2 a través de una red de capa 3. Puede usar L2TP para habilitar la tunelización del protocolo punto a punto (PPP) dentro de su red.
L2TP requiere un concentrador de acceso L2TP (LAC) y un servidor de red L2TP (LNS). El LNS es un punto de conexión de un túnel L2TP. La LAC, configurada en un dispositivo de acceso, recibe paquetes de un cliente remoto y los reenvía al LNS en una red remota. Los LAC y LNS son pares.
Para obtener información acerca de cómo configurar L2TP para el acceso del suscriptor, consulte Descripción general de L2TP para el acceso del suscriptor.
Configuración mínima de L2TP
Para definir la configuración mínima para L2TP, incluya al menos las siguientes instrucciones en el [edit access] nivel jerárquico:
[edit access] address-pool pool-name { address address-or-prefix; address-range low <lower-limit> high <upper-limit>; } profile profile-name { authentication-order [ authentication-methods ]; client client-name { chap-secret chap-secret; l2tp { interface-id interface-id; maximum-sessions-per-tunnel number; ppp-authentication (chap | pap); shared-secret shared-secret; } pap-password pap-password; ppp { framed-ip-address ip-address; framed-pool framed-pool; interface-id interface-id; primary-dns primary-dns; primary-wins primary-wins; secondary-dns secondary-dns; secondary-wins secondary-wins; } } } radius-server server-address { accounting-port port-number; port port-number; retry attempts; secret password; }
Cuando el LNS está configurado con autenticación RADIUS , el comportamiento predeterminado es aceptar la dirección IP asignada por RADIUS preferida. Anteriormente, el comportamiento predeterminado era aceptar e instalar la dirección IP de par distinto a cero recibida en el paquete de solicitud de configuración del protocolo de control de protocolo de Internet (IPCP).
Perfiles L2TP
Configure perfiles para L2TP.
Cuando se configuran varios tipos de perfiles, el sistema operativo solo implementa una configuración. El sistema operativo les prioriza de la siguiente manera, donde [edit access profile profile-name] anula todas las demás configuraciones de perfil:
[edit access profile profile-name][edit access group-profile profile-name][edit access profile profile-name user-group-profile profile-name]
Perfiles de acceso
Para validar las conexiones L2TP y las solicitudes de sesión, configure los perfiles de acceso configurando la instrucción de perfil en el [edit access] nivel jerárquico. Puede configurar varios perfiles. También puede configurar varios clientes para cada perfil.
- Configure el cliente L2TP
- Perfil específico del cliente
- Ejemplo: Defina el cliente de túnel predeterminado
- Configure el perfil de acceso
- Ejemplo: Configuración del perfil de acceso
Configure el cliente L2TP
Para configurar el cliente, incluya la client instrucción en el [edit access profile profile-name] nivel de jerarquía:
[edit access profile profile-name] client client-name;
client-name es la identidad par.
Para L2TP, opcionalmente puede usar el comodín (*) para definir un cliente de túnel predeterminado para autenticar varias LAC con el mismo secreto y atributos L2TP. Si una LAC con un nombre específico no está definida en la configuración, el cliente de túnel comodín lo autentica.
La * configuración de cliente predeterminada solo se aplica a los enrutadores de la serie M. En los enrutadores de la serie MX, utilice default en su lugar. Consulte Interfaces de servicio en línea L2TP LNS para obtener más información sobre los enrutadores de la serie MX.
Perfil específico del cliente
Para definir propiedades L2TP para un perfil específico del cliente, incluya una o más de las siguientes instrucciones en el [edit access profile profile-name client client-name l2tp] nivel jerárquico:
Cuando configure el perfil, puede configurar parámetros L2TP o PPP , pero no ambos al mismo tiempo.
[edit access profile profile-name client client-name l2tp] interface-id interface-id; lcp-renegotiation; local-chap; maximum-sessions-per-tunnel number; multilink { drop-timeout milliseconds; fragment-threshold bytes; } ppp-authentication (chap | pap); shared-secret shared-secret;
interface-id (en la interface-id instrucción) es el identificador de la interfaz que representa una sesión L2TP configurada en el [edit interfaces interface-name unit local-unit-number dial-options] nivel jerárquico.
number (en la maximum-sessions-per-tunnel instrucción) es el número máximo de sesiones para un túnel L2TP.
shared-secret (en la shared-secret instrucción) es el secreto compartido para autenticar al par.
Puede especificar la autenticación PPP (en la ppp-authentication instrucción). De forma predeterminada, la autenticación PPP usa CHAP. Puede configurarlo para que use el protocolo de autenticación de contraseña (PAP).
Puede configurar LNS para que renegocie LCP con el cliente PPP (en la lcp-negotiation instrucción). De forma predeterminada, el cliente PPP negocia el LCP con la LAC. Cuando se hace esto, el LNS descarta la última solicitud de configuración LCP enviada y la última solicitud de configuración LCP recibida AVPde la LAC; por ejemplo, el LCP negociado entre el cliente PPP y LAC.
Puede configurar Junos OS para que el LNS ignore las AVP de autenticación de proxy de la LAC y vuelva a autenticar el cliente PPP mediante un desafío CHAP (en la local-chap instrucción). De forma predeterminada, el LNS no vuelve a autenticar el cliente PPP. Cuando se hace esto, el LNS autentica directamente al cliente PPP.
Puede configurar el PPP MP para L2TP si las sesiones PPP que vienen a las LNS de la LAC tienen PPP multilink negociada. Cuando lo hace, se une a paquetes de varios vínculos basados en el discriminador de punto de conexión (en la multilink instrucción).
-
milliseconds(en ladrop-timeoutinstrucción) especifica el número de milisegundos para el tiempo de espera asociado con el primer fragmento en la cola de reensamblamiento. Si el tiempo de espera expira antes de que se hayan recopilado todos los fragmentos, los fragmentos al principio de la cola de reensamblado se pierden. Si no se especifica el tiempo de espera de colocación, Junos OS mantiene los fragmentos (es posible que se pierdan los fragmentos si el algoritmo de reensamblado de varios enlaces determina que se perdió otro fragmento que pertenece al paquete en una cola de reensamblado).Nota:El tiempo de espera de caída y el umbral de fragmentación de un multilink combinado pueden pertenecer a diferentes túneles. Los diferentes túneles pueden tener diferentes umbrales de tiempo de espera de caída y fragmentación. Recomendamos configurar perfiles de grupo en lugar de perfiles cuando tenga túneles L2TP.
-
bytesespecifica el tamaño máximo de un paquete, en bytes (en lafragment-thresholdinstrucción). Si un paquete supera el umbral de fragmentación, Junos OS lo fragmenta en dos o más fragmentos de varios enlaces.
Ejemplo: Defina el cliente de túnel predeterminado
[edit access profile profile-name]
client * {
l2tp {
interface-id interface1;
lcp-renegotiation;
local-chap;
maximum-sessions-per-tunnel 500;
ppp-authentication chap;
shared-secret "$ABC123";
}
}
Para cualquier cliente de túnel, opcionalmente puede usar el perfil de grupo de usuarios para definir atributos PPP predeterminados para todos los usuarios que llegan a través de un túnel. El perfil del grupo de usuarios debe definir atributos PPP. Si se especifica el perfil de grupo de usuarios, todos los usuarios (sesiones PPP) utilizan los atributos PPP especificados en el perfil de grupo de usuarios. Los atributos PPP especificados en el servidor local o RADIUS tienen prioridad sobre los especificados en el perfil de grupo de usuarios.
Opcionalmente, puede usar un cliente comodín para definir un perfil de grupo de usuarios. Cuando se hace esto, cualquier cliente que ingrese este túnel utiliza los atributos PPP (atributos de perfil de grupo de usuarios definidos) como sus atributos PPP predeterminados.
Configure el perfil de acceso
Cuando configure un perfil, solo puede configurar parámetros L2TP o PPP. No puede configurar ambos al mismo tiempo.
Consulte también
Ejemplo: Configuración del perfil de acceso
En el ejemplo siguiente se muestra una configuración de un perfil de acceso:
[edit access]
profile westcoast_bldg_1 {
client white {
chap-secret "$ABC123";
# SECRET-DATA
ppp {
idle-timeout 22;
primary-dns 198.51.100.10;
framed-ip-address 198.51.100.12/24;
}
group-profile westcoast_users;
}
client blue {
chap-secret "$ABC123";
# SECRET-DATA
group-profile sunnyvale_users;
}
authentication-order password;
}
profile westcoast_bldg_1_tunnel {
client test {
l2tp {
shared-secret "$ABC123";
# SECRET-DATA
maximum-sessions-per-tunnel 75;
ppp-authentication chap;
}
group-profile westcoast_tunnel;
}
client production {
l2tp {
shared-secret "$ABC123”;
# SECRET-DATA
ppp-authentication chap;
}
group-profile westcoast_tunnel;
}
}
Perfil de grupo
Opcionalmente, puede configurar un perfil de grupo. Cualquier cliente que haga referencia al perfil de grupo configurado hereda todos los atributos de perfil de grupo. Esto facilita la aplicación de L2TP a una escala más grande.
Para configurar la L2TP para el perfil de grupo, incluya las siguientes instrucciones en el [edit access group-profile profile-name l2tp] nivel jerárquico:
[edit access group-profile profile-name l2p] interface-id interface-id; lcp-renegotiation; local-chap; maximum-sessions-per-tunnel number;
interface-id es el identificador de la interfaz que representa una sesión L2TP configurada en el [edit interfaces interface-name unit local-unit-number dial-options] nivel jerárquico.
Puede configurar el LNS para que renegocie el protocolo de control de vínculo (LCP) con el cliente PPP (en la renegotiation instrucción). De forma predeterminada, el cliente PPP negocia el LCP con el concentrador de acceso L2TP (LAC). Cuando se hace esto, el LNS descarta los últimos pares de valor de atributo de solicitud de configuración LCP enviados y los últimos recibidos (AVPs) de la LAC; por ejemplo, el LCP negociado entre el cliente PPP y la LAC.
Puede configurar Junos OS para que el LNS ignore las AVP de autenticación de proxy de la LAC y vuelva a autenticar el cliente PPP mediante un desafío CHAP (en la local-chap instrucción). Cuando se hace esto, el LNS autentica directamente al cliente PPP. De forma predeterminada, el LNS no vuelve a autenticar el cliente PPP.
number es la cantidad máxima de sesiones por túnel L2TP.
Haga referencia al perfil de grupo del perfil L2TP
Puede hacer referencia a un perfil de grupo configurado desde el perfil de túnel L2TP .
Para hacer referencia al perfil de grupo configurado en el [edit access group-profile profile-name] nivel de jerarquía, incluya la group-profile instrucción en el [edit access profile profile-name client client-name] nivel de jerarquía:
[edit access profile profile-name client client-name] group-profile profile-name;
profile-name hace referencia a un perfil de grupo configurado desde un perfil de usuario PPP.
Ejemplo: MP PPP para L2TP
[edit access]
profile tunnel-profile {
client remote-host {
l2tp {
multilink {
drop-timeout 600;
fragmentation-threshold 100;
}
}
}
}
Configure la autenticación L2TP
L2TP no incluye ningún método de autenticación, por lo que es flexible y se puede usar con sus funciones de seguridad preferidas. Cuando se configuran propiedades PPP para un perfil L2TP , normalmente se configura la chap-secret instrucción o pap-password instrucción.
- Configure el secreto de CHAP para un perfil L2TP
- Ejemplo: Configurar LA CHAP PPP L2TP
- Configure la contraseña PAP para un perfil L2TP
- Ejemplo: Configure EL PAP para un perfil L2TP
Configure el secreto de CHAP para un perfil L2TP
CHAP permite que cada extremo de un vínculo PPP autentifique a su par, tal como se define en RFC 1994. El autenticador envía a su par un desafío generado aleatoriamente que el par debe cifrar mediante un hash unidirección; el par debe responder con ese resultado cifrado. La clave del hash es un secreto que solo el autenticador conoce y autentica. Cuando se recibe la respuesta, el autenticador compara su resultado calculado con la respuesta del par. Si coinciden, el par se autentica.
Cada extremo del vínculo se identifica a sí mismo con su par mediante la inclusión de su nombre en los paquetes de desafío y respuesta CHAP que envía al par. Este nombre se establece de forma predeterminada en el nombre de host local, o puede establecerlo explícitamente mediante la local-name opción. Cuando un host recibe un desafío chap o un paquete de respuesta CHAP en una interfaz determinada, utiliza la identidad del par para buscar la clave secreta CHAP que se va a usar.
Cuando configura propiedades PPP para un perfil de protocolo de tunelización de capa 2 (L2TP), normalmente configura la instrucción o pap-password instrucciónchap-secret.
Para configurar CHAP, incluya la profile instrucción y especifique un nombre de perfil en el [edit access] nivel de jerarquía:
[edit access] profile profile-name { client client-name chap-secret data; }
A continuación, haga referencia al nombre del perfil CHAP en el [edit interfaces interface-name ppp-options chap] nivel de jerarquía.
Puede configurar varios perfiles. También puede configurar varios clientes para cada perfil.
profile es la asignación entre identificadores pares y claves secretas CHAP. La identidad del par contenida en el desafío o respuesta de CHAP consulta el perfil para la clave secreta que se debe usar.
client es la identidad par.
chap-secret secret es la clave secreta asociada con ese par.
Ejemplo: Configurar LA CHAP PPP L2TP
[edit]
access {
profile westcoast_bldg1 {
client cpe-1 chap-secret "$ABC123";
# SECRET-DATA
client cpe-2 chap-secret "$ABC123";
# SECRET-DATA
}
}
Configure la contraseña PAP para un perfil L2TP
Para configurar la contraseña del Protocolo de autenticación de contraseña (PAP), incluya la pap-password instrucción en el [edit access profile profile-name client client-name] nivel de jerarquía:
[edit access profile profile-name client client-name] pap-password pap-password;
pap-password es la contraseña para PAP.
Ejemplo: Configure EL PAP para un perfil L2TP
[edit access]
profile sunnyvale_bldg_2 {
client green {
pap-password "$ABC123";
ppp {
interface-id west;
}
group-profile sunnyvale_users;
}
client red {
chap-secret "$ABC123";
group-profile sunnyvale_users;
}
authentication-order radius;
}
profile Sunnyvale_bldg_1_tunnel {
client test {
l2tp {
shared-secret "$ABC123";
ppp-authentication pap;
}
}
}
Ejemplo: Configurar L2TP
[edit]
access {
address-pool customer_a {
address 10.1.1.1/32;
}
address-pool customer_b {
address-range low 10.2.2.2 high 10.2.3.2;
}
group-profile westcoast_users {
ppp {
framed-pool customer_a;
idle-timeout 15;
primary-dns 10.192.65.1;
secondary-dns 10.192.65.2;
primary-wins 10.192.65.3;
secondary-wins 10.192.65.4;
interface-id west;
}
}
group-profile eastcoast_users {
ppp {
framed-pool customer_b;
idle-timeout 20;
primary-dns 10.192.65.5;
secondary-dns 10.192.65.6;
primary-wins 10.192.65.7;
secondary-wins 10.192.65.8;
interface-id east;
}
}
group-profile westcoast_tunnel {
l2tp {
maximum-sessions-per-tunnel 100;
}
}
group-profile east_tunnel {
l2tp {
maximum-sessions-per-tunnel 125;
}
}
profile westcoast_bldg_1 {
client white {
chap-secret "$ABC123";
# SECRET-DATA
ppp {
idle-timeout 22;
primary-dns 10.192.65.10;
framed-ip-address 10.12.12.12/32;
}
group-profile westcoast_users;
}
client blue {
chap-secret "$ABC123";
# SECRET-DATA
group-profile sunnyvale_users;
}
authentication-order password;
}
profile west-coast_bldg_2 {
client red {
pap-password "$ABC123";
# SECRET-DATA
ppp {
idle-timeout 22;
primary-dns 10.192.65.11;
framed-ip-address 10.12.12.12/32;
}
group-profile westcoast_users;
}
}
profile westcoast_bldg_1_tunnel {
client test {
l2tp {
shared-secret "$ABC123";
# SECRET-DATA
maximum-sessions-per-tunnel 75;
ppp-authentication chap;# The default for PPP authentication is CHAP.
}
group-profile westcoast_tunnel;
}
client production {
l2tp {
shared-secret "$ABC123
ABC123"; # SECRET-DATA
ppp-authentication chap;
}
group-profile westcoast_tunnel;
}
}
profile westcoast_bldg_2_tunnel {
client black {
l2tp {
shared-secret "$ABC123
ABC123";
# SECRET-DATA
ppp-authentication pap;
}
group-profile westcoast_tunnel;
}
}
}
Configure L2TP para enrutadores M7i y M10i
Para enrutadores M7i y M10i, puede configurar servicios de seguridad de tunelización de protocolo de tunelización de capa 2 (L2TP) en una tarjeta de interfaz física de servicios adaptables (PIC) o una PIC multiservicios.
Para configurar L2TP, incluya las siguientes instrucciones en el [edit access] nivel jerárquico:
[edit access] address-pool pool-name { address address-or-prefix; address-range low <lower-limit> high <upper-limit>; } group-profile profile-name { l2tp { interface-id interface-id; lcp-renegotiation; local-chap; maximum-sessions-per-tunnel number; ppp { cell-overhead; encapsulation-overhead bytes; framed-pool pool-id; idle-timeout seconds; interface-id interface-id; keepalive seconds; primary-dns primary-dns; primary-wins primary-wins; secondary-dns secondary-dns; secondary-wins secondary-wins; } } profile profile-name { authentication-order [ authentication-methods ]; accounting-order radius; client client-name { chap-secret chap-secret; group-profile profile-name; l2tp { interface-id interface-id; lcp-renegotiation; local-chap; maximum-sessions-per-tunnel number; ppp-authentication (chap | pap); shared-secret shared-secret; } pap-password pap-password; ppp { cell-overhead; encapsulation-overhead bytes; framed-ip-address ip-address; framed-pool framed-pool; idle-timeout seconds; interface-id interface-id; keepalive seconds; primary-dns primary-dns; primary-wins primary-wins; secondary-dns secondary-dns; secondary-wins secondary-wins; } user-group-profile profile-name; } } radius-disconnect-port port-number { radius-disconnect { client-address { secret password; } } } radius-server server-address { accounting-port port-number; port port-number; retry attempts; routing-instance routing-instance-name; secret password; source-address source-address; timeout seconds; } }