Descripción general de L2TP para el acceso de suscriptores
Descripción general de L2TP para el acceso de suscriptores
El protocolo de túnel de capa 2 (L2TP) es un protocolo cliente-servidor que permite que el protocolo punto a punto (PPP) se tunelice a través de una red. L2TP encapsula paquetes de capa 2, como PPP, para su transmisión a través de una red. Un concentrador de acceso L2TP (LAC), configurado en un dispositivo de acceso, recibe paquetes de un cliente remoto y los reenvía a un servidor de red L2TP (LNS) en una red remota. El LNS funciona como el punto de terminación lógico de la sesión PPP tunelizada por el LAC desde el cliente remoto. La figura 1 muestra una topología L2TP simple.
L2TP típica
L2TP separa la terminación de las tecnologías de acceso, como el cable o xDSL, de la terminación de PPP y el acceso posterior a una red. Esta separación permite a los ISP públicos externalizar sus tecnologías de acceso a operadores de intercambio local (CLEC) competitivos. L2TP proporciona a los ISP la capacidad de proporcionar el servicio VPN; Las empresas privadas pueden reducir o evitar la inversión en tecnologías de acceso para trabajadores remotos.
Puede configurar el enrutador para que actúe como LAC en modo de paso a través de PPP, en el que el LAC recibe paquetes de un cliente remoto y luego los reenvía en la capa 2 directamente al LNS. La sesión PPP finaliza en el LNS. Esta implementación de LAC solo admite suscriptores de Protocolo punto a punto sobre Ethernet (PPPoE) en interfaces lógicas dinámicas o estáticas. La figura 2 muestra el apilamiento de la capa de protocolo para una conexión de paso a través de L2TP.
paso
En los enrutadores de la serie MX, las funciones LAC y LNS solo se admiten en MPC; no se admiten en ningún servicio PIC o MS-DPC. Para obtener más información sobre la compatibilidad de MPC con L2TP, consulte la Referencia del módulo de interfaz de la serie MX
Algunos enrutadores de la serie M admiten funciones LNS en PIC de servicios. Para obtener más información acerca de la implementación de L2TP en enrutadores de la serie M, consulte Descripción general de la configuración de servicios de L2TP.
El LAC crea dinámicamente túneles basados en parámetros de autenticación AAA y transmite paquetes L2TP al LNS por medio del IP/Protocolo de datagramas de usuario (UDP). El tráfico viaja en un L2TP session; un túnel es una agregación de una o más sesiones. También puede aprovisionar un mapa de dominio utilizado por AAA para determinar si se debe tunelizar o terminar el suscriptor PPPoE en la LAC. Existe una asignación uno a uno entre cada suscriptor PPP tunelizado al LNS y una sesión L2TP.
Cuando el LNS es un enrutador de la serie MX, una interfaz par orientada hacia ALC en un MPC proporciona una dirección IP para el intercambio de paquetes IP entre los puntos finales del túnel; el motor de enrutamiento mantiene los túneles L2TP. El motor de reenvío de paquetes aloja una o más interfaces de servicios en línea (si). Estas interfaces funcionan como una interfaz física virtual y anclan las sesiones L2TP en el LNS. La si interfaz habilita los servicios L2TP sin necesidad de una PIC de servicios especiales. Finalmente, se utiliza otra interfaz para transmitir los datos del suscriptor hacia y desde Internet.
Las características del túnel pueden originarse en un perfil de túnel que configure o en atributos de túnel RADIUS y atributos específicos del proveedor (VSA) del servidor AAA accesible en LAC. Puede incluir un perfil de túnel en un mapa de dominio, que aplica el perfil de túnel antes de que tenga lugar la autenticación RADIUS. Puede utilizar atributos estándar RADIUS y VSA para reemplazar cualquiera o todas las características configuradas por el perfil de túnel en un mapa de dominio. Como alternativa, RADIUS puede aplicar un perfil de túnel cuando se especifica el grupo de túneles RADIUS VSA [26-64] en el inicio de sesión de RADIUS.
L2TP no es compatible con túneles GRE.
El VSA del enrutador virtual [26-1] en el perfil de suscriptor en el servidor AAA del proveedor de servicios (accesible desde el LNS) determina la instancia de enrutamiento en la que se inicia la sesión L2TP en el LNS. Cuando este VSA no está presente, la sesión del suscriptor aparece en la misma instancia de enrutamiento que el túnel, ya que solo se puede tener acceso al servidor AAA desde la instancia de enrutamiento en la que termina el túnel en el LNS.
Este comportamiento es diferente al de los suscriptores de DHCP y PPPoE sin tunelización, que aparecen en la instancia de enrutamiento predeterminada en ausencia del VSA del enrutador virtual. Para los suscriptores de L2TP, debe incluir este VSA en el perfil de suscriptor cuando desee que la sesión del suscriptor se produzca en una instancia de enrutamiento diferente a la instancia de enrutamiento de túnel.
A partir de Junos OS versión 17.4R1, el LNS incluye los siguientes atributos RADIUS cuando envía un mensaje de solicitud de acceso al servidor RADIUS:
Tipo túnel (64)
Túnel de tipo medio (65)
Túnel-cliente-punto de conexión (66)
Tunnel-Server-Endpoint (67)
Conexión de túnel ACCT (68)
ID de asignación de túnel (82)
Tunnel-Client-Auth-ID (90)
Tunnel-Server-Auth-ID (91)
En versiones anteriores, el LNS incluye esos atributos solo en los registros contables que envía al servidor RADIUS. En los mensajes de solicitud de acceso, se pueden usar para correlacionar en el servidor RADIUS la sesión del LAC al LNS.
LAC admite la creación de reflejo iniciada por RADIUS, que crea políticas seguras basadas en ciertos VSA de RADIUS y utiliza atributos RADIUS para identificar a un suscriptor cuyo tráfico se va a reflejar. (Esta función no es compatible con un LNS configurado en un enrutador de la serie MX).
El LAC y el LNS admiten ISSU unificado. Cuando se inicia una actualización, LAC completa cualquier negociación L2TP que esté en curso, pero rechaza cualquier negociación nueva hasta que la actualización se haya completado. No se establecen nuevos túneles ni sesiones durante la actualización. Los cierres de sesión de suscriptor se registran durante la actualización y se completan después de que se haya completado la actualización.
Terminología L2TP
La Tabla 1 describe los términos básicos para L2TP.
Término |
Descripción |
|---|---|
AVP |
Par de valor de atributo (AVP): combinación de un atributo único, representado por un entero, y un valor que contiene el valor real identificado por el atributo. |
Llamar |
Una conexión (o intento de conexión) entre un sistema remoto y el LAC. |
LAC |
Concentrador de acceso L2TP (LAC): nodo que actúa como un lado de un extremo de túnel L2TP y es un par del LNS. El LAC se encuentra entre un LNS y un sistema remoto y reenvía paquetes hacia y desde cada uno. |
LNS |
Servidor de red L2TP (LNS): un nodo que actúa como un lado de un punto de conexión de túnel L2TP y es un par del LAC. El LNS es el punto de terminación lógica de una conexión PPP que el LAC está siendo tunelizada desde el sistema remoto. |
Par |
En el contexto L2TP, ya sea LAC o LNS. El par de ALC es un LNS, y viceversa. |
Autenticación de proxy |
Preautenticación PPP realizada por la LAC en nombre de la LNS. El LAC envía los datos proxy al LNS que contiene atributos como el tipo de autenticación, el nombre de autenticación y el desafío de autenticación. El LNS responde con los resultados de autenticación. |
Proxy LCP |
Negociación del Protocolo de control de vínculos (LCP) que realiza LAC en nombre del LNS. El LAC envía el proxy al LNS que contiene atributos como los últimos atributos de configuración enviados y recibidos del cliente. |
Sistema remoto |
Un sistema final o enrutador conectado a una red de acceso remoto, que es el iniciador o el destinatario de una llamada. |
Sesión |
Una conexión lógica creada entre el LAC y el LNS cuando se establece una conexión PPP de extremo a extremo entre un sistema remoto y el LNS.
Nota:
Existe una relación uno a uno entre las sesiones L2TP establecidas y sus conexiones PPP asociadas. |
Túnel |
Una conexión entre el par LAC-LNS que consiste en una conexión de control y 0 o más sesiones L2TP. |
Implementación de L2TP
L2TP se implementa en cuatro niveles:
Fuente: el enrutador local que actúa como LAC.
Destino: el enrutador remoto que actúa como LNS.
Túnel: una ruta directa entre LAC y LNS.
Sesión: una conexión PPP en un túnel.
Cuando el enrutador ha establecido destinos, túneles y sesiones, puede controlar el tráfico L2TP. Realizar un cambio en un destino afecta a todos los túneles y sesiones a ese destino; Realizar un cambio en un túnel afecta a todas las sesiones de ese túnel. Por ejemplo, al cerrar un destino, se cierran todos los túneles y sesiones de ese destino.
Secuencia de eventos en ALC
El enrutador que actúa como LAC crea destinos, túneles y sesiones dinámicamente, como se indica a continuación:
El cliente inicia una conexión PPP con el enrutador.
El enrutador y el cliente intercambian paquetes del Protocolo de control de vínculos (LCP). La ALC negocia en nombre de la LNS; esto se conoce como LCP proxy.
El LAC autentica al cliente en nombre del LNS; Esto se conoce como autenticación de proxy. Mediante el uso de una base de datos local relacionada con el nombre de dominio o la autenticación RADIUS, el enrutador determina entre terminar o tunelizar la conexión PPP.
Si el enrutador descubre que debe tunelizar la sesión, hace lo siguiente:
Configura un nuevo destino o selecciona un destino existente.
Configura un túnel nuevo o selecciona uno existente.
Cuando se configura un secreto compartido en el perfil de túnel o en el atributo RADIUS Tunnel-Password [69] (según el método que se utilice para configurar el túnel), el secreto se utiliza para autenticar el túnel durante la fase de establecimiento. El LAC incluye el AVP de desafío en el mensaje SCCRQ enviado a la LNS. El LNS devuelve el AVP de respuesta al desafío en el mensaje SCCRP. Si la respuesta del LNS no coincide con el valor esperado por el LAC, se producirá un error en la autenticación de túnel y el túnel no se establecerá.
Abre una nueva sesión.
El enrutador reenvía los resultados de las negociaciones y la autenticación de LCP al LNS.
Ahora existe una conexión PPP entre el cliente y el LNS.
El enrutador descarta los paquetes recibidos si el tamaño del campo de almohadilla de desplazamiento opcional de longitud variable en el encabezado L2TP es demasiado grande. El enrutador siempre admite paquetes que tienen un campo de panel de desplazamiento de hasta 16 bytes, y puede admitir campos de almohadilla de desplazamiento más grandes, dependiendo de otra información en el encabezado. Esta restricción es una causa posible, aunque poco probable, del descarte excesivo de paquetes L2TP.
Cuando el LAC termina una sesión PPP, genera una causa de desconexión PPP e incluye esta información en el código de causa de desconexión PPP (AVP 46) cuando envía un mensaje Call-Disconnect-Notify (CDN) al LNS. El valor del código es 0, lo que indica un error global sin información disponible.
Secuencia de eventos en el LNS
Un enrutador que actúe como un LNS puede configurarse de la siguiente manera:
El LAC inicia un túnel con el enrutador actuando como LNS.
El LNS verifica que un túnel con este LAC sea válido: el destino está configurado, el nombre de host y la contraseña del túnel son correctos.
El LNS completa la configuración del túnel con el LAC.
El LAC establece una sesión e inicia una solicitud de sesión al LNS.
El LNS utiliza una interfaz estática o crea una interfaz dinámica para anclar la sesión PPP.
Si están habilitados y presentes, el LNS acepta el LCP de proxy y los datos de autenticación de proxy y los pasa a PPP.
PPP procesa el LCP proxy, si está presente, y, si el LCP proxy es aceptable, coloca LCP en el LNS en estado abierto sin renegociar LCP.
PPP procesa los datos de autenticación de proxy, si están presentes, y pasa los datos a AAA para su verificación. (Si los datos no están presentes, PPP solicita los datos del par).
Nota:Cuando el LCP proxy no está presente o no es aceptable, el LNS negocia LCP con el par. Cuando la renegociación de LCP está habilitada en el LNS, el LNS ignora cualquier parámetro LCP negociado previamente y renegocia tanto los parámetros LCP como la autenticación PPP con el cliente PPP.
El LNS pasa los resultados de la autenticación al par.
Retransmisión de mensajes de control L2TP
Los pares L2TP mantienen una cola de mensajes de control que deben enviarse al dispositivo del mismo nivel. Después de que el par local (LAC o LNS) envía un mensaje, espera una respuesta del par remoto. Si no se recibe una respuesta, el par local retransmite el mensaje. Este comportamiento permite al par remoto más tiempo para responder al mensaje.
Puede controlar el comportamiento de retransmisión de las dos maneras siguientes:
Recuento de retransmisión: puede configurar cuántas veces el par local retransmite un mensaje no confirmado. El aumento del recuento brinda más oportunidades para que el par remoto responda, pero también aumenta la cantidad de tráfico de control. Para los túneles que se han establecido, incluya la
retransmission-count-establishedinstrucción en el nivel de[edit services l2tp tunnel]jerarquía. En el caso de los túneles que aún no se han establecido, incluya laretransmission-count-not-establishedinstrucción.Intervalo de retransmisión: puede configurar cuánto tiempo espera el par local la primera respuesta a un mensaje de control. Si no se recibe una respuesta dentro del primer intervalo de tiempo de espera, el temporizador de retransmisión duplica el intervalo entre cada retransmisión sucesiva hasta un máximo de 16 segundos. Aumentar el intervalo le da al par remoto más tiempo para responder, pero también gasta más recursos en un par potencialmente no disponible. Incluya la
minimum-retransmission-intervalinstrucción en el[edit services l2tp tunnel]nivel jerárquico.
El par local continúa retransmitiendo el mensaje de control hasta que se produce una de las siguientes situaciones:
Se recibe una respuesta dentro del período de espera actual.
Se alcanza el recuento máximo de retransmisión.
Si se alcanza el recuento máximo y no se ha recibido respuesta, el túnel y todas sus sesiones se borrarán.
Alcanzar el intervalo máximo de 16 segundos no detiene las retransmisiones. El par local sigue esperando 16 segundos después de cada retransmisión subsiguiente.
Los siguientes ejemplos describen el comportamiento de retransmisión en diferentes circunstancias:
Ejemplo 1: el recuento de retransmisiones es tres y el intervalo mínimo de retransmisión es de 1 segundo.
El par local envía un mensaje de control.
El par local espera 1 segundo, pero no recibe respuesta.
El par local retransmite el mensaje de control. Esta es la primera retransmisión.
El par local espera 2 segundos, pero recibe una respuesta antes de que expire el intervalo.
La retransmisión se detiene porque se recibe una respuesta dentro del intervalo.
Ejemplo 2: El recuento de retransmisiones es de dos y el intervalo mínimo de retransmisión es de 8 segundos.
El par local envía un mensaje de control.
El par local espera 8 segundos, pero no recibe respuesta.
El par local retransmite el mensaje de control. Esta es la primera retransmisión.
El par local espera 16 segundos, pero no recibe respuesta.
El par local retransmite el mensaje de control. Esta es la segunda retransmisión.
El par local vuelve a esperar 16 segundos, porque el intervalo no puede aumentar más allá de 16, pero no recibe respuesta.
La retransmisión se detiene porque se alcanzó el recuento máximo de dos retransmisión.
El túnel y todas sus sesiones se despejan.
Configuración de atributos de retransmisión para mensajes de control L2TP
Puede controlar la retransmisión de mensajes de control L2TP no reconocidos configurando cuántas veces el par local retransmite el mensaje y cuánto tiempo espera una respuesta antes de la retransmisión.
Los pares L2TP mantienen una cola de mensajes de control que deben enviarse al dispositivo del mismo nivel. Después de que el par local (LAC o LNS) envía un mensaje, espera una respuesta del par remoto. Si no se recibe una respuesta dentro del intervalo mínimo de retransmisión, el par local retransmite el mensaje y espera el doble del intervalo de retransmisión. Cada vez que retransmite el mensaje, el par duplica el tiempo que espera, hasta un máximo de 16 segundos.
Si no se recibe respuesta, el par local continúa enviando el mensaje hasta que el número de retransmisiones coincida con el recuento de retransmisiones. En este caso, las retransmisiones se detienen y el túnel y todas sus sesiones se borran.
Antes de cambiar a una versión de Junos OS que no admita estas instrucciones, le recomendamos que desconfigure explícitamente la función incluyendo la instrucción y la no retransmission-count-established no retransmission-count-non-established instrucción en el nivel jerárquico [edit services l2tp tunnel] .
Durante una actualización de software en servicio unificada (ISSU unificada) en un enrutador de la serie MX configurado como LAC, el LAC no responde a los mensajes de control del LNS. Esto puede resultar en la caída de las sesiones L2TP de LAC. Puede evitar esta situación asegurándose de que el recuento máximo de retransmisión en el LNS se establezca en 16 o superior.
Para establecer el recuento máximo de retransmisión para los túneles establecidos:
Configure el recuento.
[edit services l2tp tunnel] user@host# set retransmission-count-established count
Para establecer el recuento máximo de retransmisión para túneles no establecidos:
Configure el recuento.
[edit services l2tp tunnel] user@host# set retransmission-count-not-established count
Para establecer el intervalo mínimo entre retransmisiones:
Configure el intervalo.
[edit services l2tp tunnel] user@host# set minimum-retransmission-timeout seconds
Por ejemplo, la siguiente configuración especifica que los túneles establecidos tienen un recuento máximo de retransmisión de tres y un intervalo de retransmisión mínimo de dos segundos:
[edit services l2tp tunnel] user@host# set retransmission-count-established 3 user@host# set minimum-retransmission-timeout 2
Con esta configuración de ejemplo, la siguiente secuencia se aplica a cada mensaje de control enviado por LAC o LNS:
- El par local envía el mensaje de control y espera una respuesta del par remoto.
- Si la respuesta no se recibe en el intervalo mínimo de 2 segundos, el par local retransmite el mensaje. Esta es la primera retransmisión.
- Si la respuesta no se recibe en 4 segundos, el par local retransmite el mensaje. Esta es la segunda retransmisión.
- Si la respuesta no se recibe en 8 segundos, el par local retransmite el mensaje. Esta es la tercera y última retransmisión, porque se ha alcanzado el recuento máximo.
- Si la respuesta no se recibe en 16 segundos, el túnel y todas sus sesiones se borrarán.
Habilitación de túnel y contadores globales para la recopilación de estadísticas SNMP
De forma predeterminada, el sondeo SNMP está deshabilitado para las estadísticas L2TP. Como consecuencia, el túnel L2TP y los contadores globales enumerados en la tabla 2 tienen un valor predeterminado de cero.
Nombre del contador |
Tipo |
|---|---|
jnxL2tpTunnelStatsDataTxPkts |
Túnel |
jnxL2tpTunnelStatsDataRxPkts |
Túnel |
jnxL2tpTunnelStatsDataTxBytes |
Túnel |
jnxL2tpTunnelStatsDataRxBytes |
Túnel |
jnxL2tpStatsPayloadRxOctets |
Global |
jnxL2tpStatsPayloadRxPkts |
Global |
jnxL2tpStatsPayloadTxOctets |
Global |
jnxL2tpStatsPayloadTxPkts |
Global |
Puede habilitar la recopilación de estas estadísticas incluyendo la enable-snmp-tunnel-statistics instrucción en el [edit services l2tp] nivel jerárquico. Cuando está habilitado, el proceso L2TP sondea estas estadísticas cada 30 segundos durante 1000 sesiones. La edad potencial de las estadísticas aumenta con el número de sesiones de suscriptores; Los datos se actualizan más rápidamente a medida que disminuye el número de sesiones. Por ejemplo, con 60.000 sesiones, ninguna de estas estadísticas puede tener más de 30 minutos de antigüedad.
La carga del sistema puede aumentar cuando habilita estos contadores y también usa actualizaciones de contabilidad provisionales de RADIUS. Le recomendamos que habilite estos contadores cuando solo use estadísticas SNMP.
Para habilitar la recopilación de estadísticas L2TP para SNMP:
Habilite la recopilación de estadísticas.
[edit services l2tp] user@host1# set enable-snmp-tunnel-statistics
Verificar y administrar L2TP para el acceso de suscriptores
Propósito
Ver o borrar información sobre túneles y sesiones L2TP.
La all opción no está pensada para usarse como un medio para realizar un cierre de sesión masivo de suscriptores de L2TP. Se recomienda no utilizar la all opción con las instrucciones, clear services l2tp sessiono clear services l2tp tunnel en un entorno de clear services l2tp destinationproducción. En lugar de borrar todos los suscriptores a la vez, considere la posibilidad de borrar los suscriptores en grupos más pequeños, según la interfaz, el túnel o el punto final de destino.
Acción
Para mostrar un resumen de túneles, sesiones, errores y paquetes de datos y de control L2TP:
user@host> show services l2tp summary
Para mostrar los destinos L2TP:
user@host> show services l2tp destination
Para borrar todos los destinos L2TP:
user@host> clear services l2tp destination all
Para borrar las estadísticas de todos los túneles L2TP que pertenecen a un destino, los túneles que pertenecen a una dirección de puerta de enlace local especificada y los túneles que pertenecen a una dirección de puerta de enlace del mismo nivel especificada:
user@host>clear services l2tp destination statistics all user@host>clear services l2tp destination local-gateway 203.0.113.2
Para mostrar las sesiones de L2TP:
user@host> show services l2tp session
Para borrar todas las sesiones L2TP, la sesión con un ID de sesión local especificado o las sesiones asociadas con la puerta de enlace local especificada por una dirección IP o nombre:
user@host>clear services l2tp session all user@host>clear services l2tp session local-session-id 40553 user@host>clear services l2tp session local-gateway 203.0.113.2 user@host>clear services l2tp session local-gateway-name lns-mx960
Para borrar las estadísticas de todas las sesiones L2TP, la sesión con un ID de sesión local especificado o las sesiones asociadas con la puerta de enlace local especificada por una dirección IP o un nombre:
user@host>clear services l2tp session statistics all user@host>clear services l2tp session statistics local-session-id 17967 user@host>clear services l2tp session statistics local-gateway 203.0.113.2 user@host>clear services l2tp session statistics local-gateway-name lns-mx960
Para mostrar los túneles L2TP:
user@host> show services l2tp tunnel
Para borrar todos los túneles L2TP, el túnel con un ID de túnel local especificado o túneles asociados con la puerta de enlace local especificada por una dirección IP o un nombre:
user@host> clear services l2tp tunnel all user@host>clear services l2tp tunnel local-tunnel-id 40553 user@host>clear services l2tp tunnel local-gateway 203.0.113.2 user@host>clear services l2tp tunnel local-gateway-name lns-mx960
Para borrar las estadísticas de todos los túneles L2TP, el túnel con un ID de túnel local especificado o los túneles asociados a la puerta de enlace local especificada por una dirección IP o un nombre:
user@host> clear services l2tp tunnel statistics all user@host>clear services l2tp tunnel statistics local-tunnel-id 40553 user@host>clear services l2tp tunnel statistics local-gateway 203.0.113.2 user@host>clear services l2tp tunnel statistics local-gateway-name lns-mx960