Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Descripción general de L2TP para el acceso de suscriptores

Descripción general de L2TP para el acceso de suscriptores

El protocolo de túnel de capa 2 (L2TP) es un protocolo cliente-servidor que permite que el protocolo punto a punto (PPP) se tunelice a través de una red. L2TP encapsula paquetes de capa 2, como PPP, para su transmisión a través de una red. Un concentrador de acceso (LAC) L2TP, configurado en un dispositivo de acceso, recibe paquetes de un cliente remoto y los reenvía a un servidor de red L2TP (LNS) en una red remota. El LNS funciona como el punto de terminación lógica de la sesión PPP tunelizada por el LAC desde el cliente remoto. La Figura 1 muestra una topología L2TP simple.

Figura 1: Topología Network architecture diagram showing data flow from customer premises equipment to the internet, including access node, aggregation, PPPoE, LAC, L2TP tunnel, LNS, provider AAA servers, and internet. típica de L2TP

L2TP separa la terminación de las tecnologías de acceso, como cable o xDSL, de la terminación de PPP y el acceso posterior a una red. Esta separación permite a los ISP públicos subcontratar sus tecnologías de acceso a operadores de intercambio local (CLEC) competitivos. L2TP proporciona a los ISP la capacidad de suministrar servicio VPN; Las empresas privadas pueden reducir o evitar la inversión en tecnologías de acceso para trabajadores remotos.

Puede configurar el enrutador para que actúe como LAC en el modo de paso PPP, en el que el LAC recibe paquetes de un cliente remoto y, luego, los reenvía en la capa 2 directamente al LNS. La sesión PPP finaliza en LNS. Esta implementación de LAC solo admite suscriptores del protocolo punto a punto sobre Ethernet (PPPoE) mediante interfaces lógicas dinámicas o estáticas. En la figura 2 , se muestra el apilamiento de la capa de protocolo para una conexión de paso a través de L2TP.

Figura 2: Apilamiento de protocolos para suscriptores L2TP en modo de Diagram of L2TP network architecture showing data flow between Subscriber, LAC, and LNS with tunnel binding. paso a través
Nota:

En enrutadores de la serie MX, las funciones LAC y LNS solo se admiten en MPC; no se admiten en ningún servicio, PIC o MS-CPC. Para obtener más información sobre la compatibilidad de MPC con L2TP, consulte la Referencia del módulo de interfaz de la serie MX

Ciertos enrutadores de la serie M admiten funciones de LNS en PIC de servicios. Para obtener más información acerca de la implementación de L2TP en enrutadores de la serie M, consulte Descripción general de la configuración de servicios L2TP.

El LAC crea túneles dinámicamente basados en parámetros de autenticación AAA y transmite paquetes L2TP al LNS por medio del IP/protocolo de datagramas de usuario (UDP). El tráfico viaja en un L2TP session; un túnel es una agregación de una o más sesiones. También puede aprovisionar un mapa de dominio que utiliza AAA para determinar si se debe crear un túnel o terminar el suscriptor PPPoE en el LAC. Existe una asignación uno a uno entre cada suscriptor de PPP tunelizado al LNS y una sesión L2TP.

Cuando el LNS es un enrutador de la serie MX, una interfaz par orientada a LAC en una MPC proporciona una dirección IP para el intercambio de paquetes IP entre los puntos de conexión del túnel; el motor de enrutamiento mantiene los túneles L2TP. El motor de reenvío de paquetes aloja una o más interfaces de servicios en línea (si). Estas interfaces funcionan como una interfaz física virtual y anclan las sesiones L2TP en el LNS. La si interfaz habilita servicios L2TP sin necesidad de una PIC de servicios especiales. Finalmente, se utiliza otra interfaz para transmitir los datos del suscriptor hacia y desde Internet.

Las características del túnel pueden originarse en un perfil de túnel que configure o en atributos de túnel de RADIUS y atributos específicos del proveedor (VSA) desde el servidor de AAA accesible en el LAC. Puede incluir un perfil de túnel en un mapa de dominio, que aplica el perfil de túnel antes de que tenga lugar la autenticación RADIUS. Puede usar los atributos estándar de RADIUS y VSA para anular cualquiera o todas las características configuradas por el perfil de túnel en un mapa de dominio. Alternativamente, RADIUS puede aplicar un perfil de túnel cuando se especifica el VSA de grupo de túnel de RADIUS [26-64] en el inicio de sesión de RADIUS.

Nota:

L2TP no se admite en túneles GRE.

El VSA del enrutador virtual [26-1] en el perfil del suscriptor en el servidor AAA del proveedor de servicios (accesible desde el LNS) determina la instancia de enrutamiento en la que se activa la sesión L2TP en el LNS. Cuando este VSA no está presente, la sesión del suscriptor aparece en la misma instancia de enrutamiento que el túnel, ya que solo se puede tener acceso al servidor AAA desde la instancia de enrutamiento en la que el túnel termina en el LNS.

Este comportamiento es diferente al de los suscriptores de DHCP y PPPoE sin túneles, que aparecen en la instancia de enrutamiento predeterminada en ausencia del VSA del enrutador virtual. Para los suscriptores L2TP, debe incluir este VSA en el perfil del suscriptor cuando desee que la sesión del suscriptor aparezca en una instancia de enrutamiento distinta a la instancia de enrutamiento de túnel.

A partir de la versión 17.4R1 de Junos OS, el LNS incluye los siguientes atributos de RADIUS cuando envía un mensaje de solicitud de acceso al servidor de RADIUS:

  • Tipo túnel (64)

  • Tipo mediano de túnel (65)

  • punto de conexión del cliente túnel (66)

  • punto de conexión del servidor de túnel (67)

  • Conexión de túnel de cuenta (68)

  • ID de asignación de túnel (82)

  • ID de autenticación del cliente túnel (90)

  • ID de autenticación del servidor túnel (91)

En versiones anteriores, LNS incluye esos atributos solo en los registros contables que envía al servidor de RADIUS. En los mensajes de solicitud de acceso, se pueden utilizar para correlacionar en el servidor RADIUS la sesión desde el LAC al LNS.

El LAC admite la duplicación iniciada por RADIUS, que crea políticas seguras basadas en ciertos VSA de RADIUS y utiliza atributos de RADIUS para identificar a un suscriptor cuyo tráfico se va a reflejar. (Esta característica no se admite para un LNS configurado en un enrutador de la serie MX).

LAC y LNS apoyan la ISSU unificada. Cuando se inicia una actualización, el LAC completa las negociaciones L2TP que están en curso, pero rechaza cualquier negociación nueva hasta que la actualización se haya completado. No se establecen nuevos túneles ni sesiones durante la actualización. Los cierres de sesión de los suscriptores se registran durante la actualización y se completan después de que esta se haya completado.

Terminología de L2TP

En la Tabla 1 se describen los términos básicos para L2TP.

Tabla 1: Términos L2TP

Plazo

Descripción

AVP

Par de valores de atributo (AVP): combinación de un atributo único, representado por un número entero, y un valor que contiene el valor real identificado por el atributo.

Llamar

Una conexión (o intento de conexión) entre un sistema remoto y el LAC.

LAC

Concentrador de acceso (LAC) L2TP: nodo que actúa como un lado de un punto de conexión de túnel L2TP y es un par del LNS. El LAC se encuentra entre un LNS y un sistema remoto y reenvía paquetes hacia y desde cada uno.

LNS

Servidor de red L2TP (LNS): un nodo que actúa como un lado de un punto de conexión de túnel L2TP y es un par del LAC. El LNS es el punto de terminación lógica de una conexión PPP que la LAC tuneliza desde el sistema remoto.

Par

En el contexto de L2TP, LAC o LNS. El par del LAC es un LNS y viceversa.

Autenticación de proxy

Autenticación previa PPP realizada por el LAC en nombre del LNS. El LAC envía los datos de proxy al LNS que contienen atributos como el tipo de autenticación, el nombre de autenticación y el desafío de autenticación. El LNS responde con los resultados de la autenticación.

Proxy LCP

Negociación del protocolo de control de vínculo (LCP) que realiza el LAC en nombre del LNS. El LAC envía el proxy al LNS que contiene atributos, como los últimos atributos de configuración enviados y recibidos del cliente.

Sistema remoto

Un sistema final o enrutador conectado a una red de acceso remoto, que es el iniciador o el destinatario de una llamada.

Sesión

Una conexión lógica creada entre el LAC y el LNS cuando se establece una conexión PPP de extremo a extremo entre un sistema remoto y el LNS.

Nota:

Existe una relación uno a uno entre las sesiones L2TP establecidas y sus conexiones PPP asociadas.

Túnel

Una conexión entre el par LAC-LNS que consiste en una conexión de control y 0 o más sesiones L2TP.

Implementación de L2TP

L2TP se implementa en cuatro niveles:

  • Origen: el enrutador local que actúa como LAC.

  • Destino: el enrutador remoto que actúa como LNS.

  • túnel: una ruta directa entre el LAC y el LNS.

  • Sesión: una conexión PPP en un túnel.

Cuando el enrutador tiene destinos, túneles y sesiones establecidos, puede controlar el tráfico L2TP. Realizar un cambio en un destino afecta a todos los túneles y sesiones a ese destino; Hacer un cambio en un túnel afecta a todas las sesiones de ese túnel. Por ejemplo, al cerrar un destino, se cierran todos los túneles y las sesiones a ese destino.

Secuencia de eventos en la LAC

El enrutador que actúa como LAC crea destinos, túneles y sesiones dinámicamente, como se indica a continuación:

  1. El cliente inicia una conexión PPP con el enrutador.

  2. El enrutador y el cliente intercambian paquetes del Protocolo de control de vínculos (LCP). El LAC negocia en nombre del LNS; esto se conoce como LCP proxy.

  3. El LAC autentica al cliente en nombre del LNS; Esto se conoce como autenticación de proxy. Mediante el uso de una base de datos local relacionada con el nombre de dominio o RADIUS autenticación, el enrutador determina si se debe terminar o túnel la conexión PPP.

  4. Si el enrutador descubre que debe túnel la sesión, hace lo siguiente:

    1. Configura un nuevo destino o selecciona un destino existente.

    2. Configura un nuevo túnel o selecciona un túnel existente.

      Cuando se configura un secreto compartido en el perfil del túnel o en el atributo RADIUS Tunnel-Password [69], según el método que se utilice para configurar el túnel, el secreto se utiliza para autenticar el túnel durante la fase de establecimiento. El LAC incluye el AVP de desafío en el mensaje SCCRQ enviado a la LNS. El LNS devuelve el AVP de respuesta a desafío en el mensaje SCCRP. Si la respuesta del LNS no coincide con el valor esperado por la LAC, se produce un error en la autenticación de túnel y no se establece el túnel.

    3. Abre una nueva sesión.

  5. El enrutador reenvía los resultados de las negociaciones de LCP y la autenticación al LNS.

Ahora existe una conexión PPP entre el cliente y el LNS.

Nota:

El enrutador descarta los paquetes recibidos si el tamaño del campo de panel de desplazamiento opcional de longitud variable en el encabezado L2TP es demasiado grande. El enrutador siempre admite paquetes que tienen un campo de panel de desplazamiento de hasta 16 bytes y puede admitir campos de panel de desplazamiento más grandes, según otra información del encabezado. Esta restricción es una causa posible, aunque poco probable, de descarte excesivo de paquetes L2TP.
Nota:

Cuando el LAC finaliza una sesión PPP, genera una causa de desconexión PPP e incluye esta información en el código de causa de desconexión PPP (AVP 46) cuando envía un mensaje Call-Disconnect-Notify (CDN) al LNS. El valor del código es 0, lo que indica un error global sin información disponible.

Secuencia de eventos en el LNS

Un enrutador que actúa como LNS puede configurarse de la siguiente manera:

  1. El LAC inicia un túnel con el enrutador que actúa como LNS.

  2. LNS verifica que un túnel con este LAC sea válido: el destino está configurado, el nombre de host y la contraseña del túnel son correctos.

  3. El LNS completa la configuración del túnel con el LAC.

  4. El LAC configura una sesión e inicia una solicitud de sesión al LNS.

  5. El LNS utiliza una interfaz estática o crea una interfaz dinámica para anclar la sesión PPP.

  6. Si están habilitados y presentes, el LNS acepta el LCP de proxy y los datos de autenticación de proxy y los pasa a PPP.

  7. PPP procesa el LCP de proxy, si está presente, y, si el LCP de proxy es aceptable, coloca a LCP en el LNS en estado abierto sin renegociación de LCP.

  8. PPP procesa los datos de autenticación de proxy, si están presentes, y pasa los datos a AAA para su verificación. (Si los datos no están presentes, PPP solicita los datos al par).

    Nota:

    Cuando el LCP de proxy no está presente o no es aceptable, el LNS negocia el LCP con el par. Cuando la renegociación de LCP está habilitada en LNS, LNS ignora cualquier parámetro de LCP negociado previamente y renegocia tanto los parámetros de LCP como la autenticación PPP con el cliente PPP.

  9. El LNS pasa los resultados de la autenticación al par.

Retransmisión de mensajes de control L2TP

Los pares L2TP mantienen una cola de mensajes de control que se deben enviar al dispositivo par. Después de que el par local (LAC o LNS) envía un mensaje, espera una respuesta del par remoto. Si no se recibe una respuesta, el par local retransmite el mensaje. Este comportamiento permite al par remoto más tiempo para responder al mensaje.

Puede controlar el comportamiento de la retransmisión de las dos maneras siguientes:

  • Recuento de retransmisiones: puede configurar cuántas veces retransmite un mensaje no reconocido por el par local. Aumentar el recuento proporciona más oportunidades para que el par remoto responda, pero también aumenta la cantidad de tráfico de control. En el caso de los túneles que se han establecido, incluya la retransmission-count-established instrucción en el [edit services l2tp tunnel] nivel de jerarquía. En el caso de los túneles que aún no se han establecido, incluya la retransmission-count-not-established instrucción.

  • Intervalo de retransmisión: puede configurar cuánto tiempo espera el par local la primera respuesta a un mensaje de control. Si no se recibe una respuesta dentro del primer intervalo de tiempo de espera, el temporizador de retransmisión duplica el intervalo entre cada retransmisión sucesiva hasta un máximo de 16 segundos. Aumentar el intervalo le da al par remoto más tiempo para responder, pero también gasta más recursos en un par potencialmente no disponible. Incluya la minimum-retransmission-interval instrucción en el [edit services l2tp tunnel] nivel de jerarquía.

El par local continúa retransmitiendo el mensaje de control hasta que se produce una de las siguientes situaciones:

  • Se recibe una respuesta dentro del período de espera actual.

  • Se ha alcanzado el recuento máximo de retransmisiones.

Si se alcanza el recuento máximo y no se ha recibido respuesta, se borrarán el túnel y todas sus sesiones.

Nota:

Alcanzar el intervalo máximo de 16 segundos no detiene las retransmisiones. El par local sigue esperando 16 segundos después de cada retransmisión posterior.

Los siguientes ejemplos describen el comportamiento de retransmisión en diferentes circunstancias:

  • Ejemplo 1: el recuento de retransmisiones es tres y el intervalo de retransmisión mínimo es de 1 segundo.

    1. El par local envía un mensaje de control.

    2. El par local espera 1 segundo, pero no recibe respuesta.

    3. El par local retransmite el mensaje de control. Esta es la primera retransmisión.

    4. El par local espera 2 segundos, pero recibe una respuesta antes de que expire el intervalo.

    5. La retransmisión se detiene porque se recibe una respuesta dentro del intervalo.

  • Ejemplo 2: el recuento de retransmisión es dos y el intervalo de retransmisión mínimo es de 8 segundos.

    1. El par local envía un mensaje de control.

    2. El par local espera 8 segundos, pero no recibe respuesta.

    3. El par local retransmite el mensaje de control. Esta es la primera retransmisión.

    4. El par local espera 16 segundos, pero no recibe respuesta.

    5. El par local retransmite el mensaje de control. Esta es la segunda retransmisión.

    6. El par local vuelve a esperar 16 segundos, ya que el intervalo no puede aumentar más allá de 16, pero no recibe respuesta.

    7. La retransmisión se detiene porque se alcanzó el recuento máximo de retransmisión de dos.

    8. El túnel y todas sus sesiones están despejados.

Configuración de atributos de retransmisión para mensajes de control L2TP

Puede controlar la retransmisión de mensajes de control L2TP no reconocidos configurando cuántas veces el par local retransmite el mensaje y cuánto tiempo espera una respuesta antes de la retransmisión.

Los pares L2TP mantienen una cola de mensajes de control que se deben enviar al dispositivo par. Después de que el par local (LAC o LNS) envía un mensaje, espera una respuesta del par remoto. Si no se recibe una respuesta dentro del intervalo mínimo de retransmisión, el par local retransmite el mensaje y espera el doble del intervalo de retransmisión. Cada vez que retransmite el mensaje, el par duplica el tiempo que espera, hasta un máximo de 16 segundos.

Si no se recibe respuesta, el par local continúa enviando el mensaje hasta que el número de retransmisiones coincida con el recuento de retransmisiones. En este caso, las retransmisiones se detienen y el túnel y todas sus sesiones se borran.

Práctica recomendada:

Antes de cambiar a una versión de Junos OS que no admita estas instrucciones, se recomienda que anule la configuración de la característica de forma explícita incluyendo la no retransmission-count-established instrucción y la no retransmission-count-non-established instrucción en el nivel de [edit services l2tp tunnel] jerarquía.
Práctica recomendada:

Durante una actualización de software en servicio unificada (ISSU unificada) en un enrutador de la serie MX configurado como LAC, el LAC no responde a los mensajes de control del LNS. Esto puede dar lugar a la interrupción de sesiones LAC L2TP. Puede evitar esta situación asegurándose de que el recuento máximo de retransmisión en el LNS esté establecido en 16 o superior.

Para establecer el recuento máximo de retransmisión para túneles establecidos:

  • Configure el recuento.

Para establecer el recuento máximo de retransmisión para túneles no establecidos:

  • Configure el recuento.

Para establecer el intervalo mínimo entre retransmisiones:

  • Configure el intervalo.

Por ejemplo, la siguiente configuración especifica que los túneles establecidos tienen un recuento máximo de retransmisión de tres y un intervalo de retransmisión mínimo de dos segundos:

Con esta configuración de ejemplo, se aplica la siguiente secuencia a cada mensaje de control enviado por LAC o LNS:

  1. El par local envía el mensaje de control y espera una respuesta del par remoto.
  2. Si la respuesta no se recibe en el intervalo mínimo de 2 segundos, el par local retransmite el mensaje. Esta es la primera retransmisión.
  3. Si la respuesta no se recibe en 4 segundos, el par local retransmite el mensaje. Esta es la segunda retransmisión.
  4. Si la respuesta no se recibe en 8 segundos, el par local retransmite el mensaje. Esta es la tercera y última retransmisión, porque se ha alcanzado el recuento máximo.
  5. Si la respuesta no se recibe en 16 segundos, el túnel y todas sus sesiones se borrarán.

Habilitación de contadores globales y de túnel para la recopilación de estadísticas SNMP

De forma predeterminada, el sondeo SNMP está deshabilitado para las estadísticas L2TP. Como consecuencia, el túnel L2TP y los contadores globales enumerados en la tabla 2 tienen un valor predeterminado de cero.

Tabla 2: Contadores SNMP para estadísticas L2TP

Nombre del contador

Tipo

jnxL2tpTunnelStatsDataTxPkts

Túnel

jnxL2tpTunnelStatsDataRxPkts

Túnel

jnxL2tpTunnelStatsDataTxBytes

túnel

jnxL2tpTunnelStatsDataRxBytes

Túnel

jnxL2tpStatsPayloadRxOctets

A nivel global

jnxL2tpStatsPayloadRxPkts

A nivel global

jnxL2tpStatsPayloadTxOctets

A nivel global

jnxL2tpStatsPayloadTxPkts

A nivel global

Puede habilitar la recopilación de estas estadísticas incluyendo la enable-snmp-tunnel-statistics instrucción en el [edit services l2tp] nivel de jerarquía. Cuando está habilitado, el proceso L2TP sondea estas estadísticas cada 30 segundos durante 1000 sesiones. La edad potencial de las estadísticas aumenta con el número de sesiones de suscriptores; Los datos se actualizan más rápidamente a medida que disminuye el número de sesiones. Por ejemplo, con 60 000 sesiones, ninguna de estas estadísticas puede tener más de 30 minutos de antigüedad.

Práctica recomendada:

La carga del sistema puede aumentar cuando habilita estos contadores y también utiliza actualizaciones contables provisionales de RADIUS. Le recomendamos que habilite estos contadores cuando solo use estadísticas SNMP.

Para habilitar la recopilación de estadísticas L2TP para SNMP:

  • Habilitar la recopilación de estadísticas.

Verificar y administrar L2TP para acceso de suscriptor

Propósito

Vea o borre información sobre los túneles y las sesiones de L2TP.

Práctica recomendada:

La all opción no está pensada para usarse como un medio para realizar un cierre de sesión masivo de suscriptores L2TP. Se recomienda no usar la all opción con las clear services l2tp destinationinstrucciones , clear services l2tp sessiono clear services l2tp tunnel en un entorno de producción. En lugar de borrar todos los suscriptores a la vez, considere borrar los suscriptores en un grupo más pequeño, según la interfaz, el túnel o el punto final de destino.

Acción

  • Para mostrar un resumen de los túneles, las sesiones, los errores y los paquetes de control y datos de L2TP:

  • Para mostrar los destinos L2TP:

  • Para borrar todos los destinos L2TP:

  • Para borrar las estadísticas de todos los túneles L2TP que pertenecen a un destino, los túneles que pertenecen a una dirección de puerta de enlace local especificada y los túneles que pertenecen a una dirección de puerta de enlace par especificada:

  • Para mostrar las sesiones L2TP:

  • Para borrar todas las sesiones L2TP, la sesión con un ID de sesión local especificado o las sesiones asociadas con la puerta de enlace local especificada por una dirección IP o un nombre:

  • Para borrar las estadísticas de todas las sesiones L2TP, la sesión con un ID de sesión local especificado o las sesiones asociadas con la puerta de enlace local especificada por una dirección IP o un nombre:

  • Para mostrar los túneles L2TP:

  • Para borrar todos los túneles L2TP, el túnel con un ID de túnel local especificado o los túneles asociados con la puerta de enlace local especificada por una dirección IP o un nombre:

  • Para borrar las estadísticas de todos los túneles L2TP, el túnel con un ID de túnel local especificado o los túneles asociados con la puerta de enlace local especificada por una dirección IP o un nombre:

Documentación relacionada