EN ESTA PÁGINA
Acciones de conmutación de túnel para AVP L2TP en el límite de conmutación
Establecer el tiempo de espera de inactividad del túnel L2TP
Configuración del tiempo de espera de bloqueo de destino L2TP
Eliminación de un destino L2TP de la lista de bloqueo de destino
Usar el mismo túnel L2TP para inyección y duplicación de paquetes IP
Conmutación de túnel L2TP para redes de dominios múltiples
Descripción general de la conmutación de túnel L2TP
La conmutación de túnel L2TP, también conocida como multisalto L2TP, simplifica el despliegue de una red L2TP en varios dominios. Un enrutador que se encuentra entre un LAC y un LNS se configura como un conmutador de túnel (LTS) L2TP , a veces denominado simplemente conmutador de túnel o agregador de conmutación de túnel (TSA), como se muestra en la Figura 1. El LTS se configura como LNS y LAC. Cuando un LAC remoto envía paquetes PPP encapsulados al LNS configurado en el LTS, el LTS puede reenviar o redirigir los paquetes a través de un túnel diferente a un LNS diferente más allá del LTS. El punto de terminación lógica de la sesión L2TP original se conmuta a un punto de conexión diferente.
Por ejemplo, en la red que se muestra en la Figura 1, los paquetes del suscriptor aprovisionado por el proveedor de servicios A se dirigen inicialmente al LNS configurado en el LTS. El LTS podría redirigir esos paquetes a LNS1.
La conmutación de túnel L2TP simplifica la configuración de red cuando el dominio administrativo de una LAC es diferente del LNS deseado. Por ejemplo:
-
El LTS actúa como LNS para varias LAC. Los LAC individuales no tienen que tener el control administrativo o la capacidad necesarios para identificar el LNS más adecuado para terminar sus sesiones. El LTS realiza esa función está centralizada en el LTS.
-
El LTS actúa como LAC para varios LNS. Cuando se agrega un nuevo LAC remoto a la red de un ISP, este no tiene que reconfigurar sus enrutadores LNS para dar cabida al nuevo LAC, ya que se conectan al LAC en el LTS.
En una red al por mayor de capa 2, el mayorista puede usar la conmutación de túnel L2TP para crear una configuración de red más plana que sea más fácil de administrar. El mayorista agrupa las sesiones de capa 2 desde una LAC que están destinadas a diferentes ISP (y, por lo tanto, a diferentes LNS) en un único túnel L2TP. Esta configuración permite utilizar una conexión de control L2TP común para el LAC.
En la figura 2, se muestra un ejemplo de conmutación de túnel L2TP para llamadas entrantes con la siguiente secuencia de eventos:
-
El suscriptor abre una sesión PPP en la LAC.
-
El LAC crea el primer túnel L2TP al LNS configurado en el LTS y la primera sesión L2TP para transportar los paquetes PPP encapsulados.
-
Durante la autenticación de esta primera sesión, el LTS determina si se debe volver a tunelizar la sesión a un LNS más allá del LTS, en función de la presencia o ausencia de un perfil de conmutador de túnel configurado en el LTS.
El perfil de conmutador de túnel puede ser un perfil predeterminado o puede aplicarlo el servidor de RADIUS, una configuración de asignación de dominio o una configuración de grupo de túnel.
-
Si se configura un perfil de conmutador de túnel, el LTS crea un segundo túnel (si aún no existe) al LNS más allá del LTS como se especifica en el perfil y crea la segunda sesión en este túnel.
- Aplicación de perfiles de conmutador de túnel
- Finalización de sesiones conmutadas por túnel en el LTS
Aplicación de perfiles de conmutador de túnel
Puede configurar un perfil de conmutador de túnel para que se aplique de varias maneras:
-
Por defecto, el perfil se aplica globalmente al tráfico recibido de todas las ALC
-
Con un mapa de dominio aplicado a una sesión de suscriptor
-
Con un grupo de túnel aplicado a una sesión de suscriptor
-
En la configuración del servidor RADIUS, devuelto en el Perfil de conmutador de túnel VSA (26-91)
Puede configurar más de uno de estos métodos de aplicación. Cuando hay varios perfiles de conmutador de túnel, el siguiente orden de precedencia establece qué perfil utiliza el LTS; El orden es de mayor (RADIUS) a menor (perfil predeterminado):
-
RADIUS mapa de dominio de > VSA 26-91 > túnel grupo > perfil de conmutador túnel global
El perfil de conmutador de túnel también debe hacer referencia a un perfil de túnel. Este perfil de túnel especifica las características del segundo túnel al que se conmutan los paquetes de suscriptor.
Finalización de sesiones conmutadas por túnel en el LTS
Las sesiones conmutadas por túnel finalizan en el LTS cuando ocurre cualquiera de las siguientes situaciones:
-
La interfaz LAC o LNS en el LTS recibe un mensaje de llamada, desconexión y notificación (CDN) (tabla 1).
Tabla 1: Causa del mensaje CDN El mensaje de CDN se recibe el
Cuando
Interfaz LAC
Ocurre cualquiera de las siguientes situaciones:
-
No se puede establecer la segunda sesión.
-
El LNS remoto finaliza la segunda sesión.
Interfaz LNS
Ocurre cualquiera de las siguientes situaciones:
-
El cliente PPPoE inicia un cierre de sesión.
-
La LAC de origen inicia la terminación del túnel
Tanto la primera como la segunda sesión finalizan porque el LTS retransmite la CDN a la interfaz que no recibió la CDN. La causa de la desconexión es la misma para ambas sesiones.
-
-
La interfaz LAC o LNS en el LTS recibe un mensaje Stop-Control-Connection-Notification (StopCCN) (Tabla 2).
Tabla 2: Causa del mensaje StopCCN El mensaje StopCCN se recibe el
Cuando
Interfaz LAC
Ocurre cualquiera de las siguientes situaciones:
-
No se puede establecer la segunda sesión.
-
El LNS remoto termina el segundo túnel.
Interfaz LNS
La LAC de origen inicia la terminación del túnel.
El LTS no retransmite el mensaje StopCCN, ya que un túnel dado puede contener sesiones conmutadas y no conmutadas. Otra razón en un escenario al por mayor es que el túnel que termina en el LNS en el LTS puede contener sesiones de LAC de diferentes proveedores. En su lugar, el LTS envía un mensaje CDN a la interfaz que no recibió StopCCN para finalizar la sesión conmutada por túnel. Esta CDN transmite el código de error que lleva el StopCCN.
-
-
Se emite un comando administrativo
clearen el LTS.
En la Tabla 3 se enumeran las acciones realizadas cuando se emite un comando administrativo clear en el LTS.
| Comando |
Acción LAC o LNS |
Acción LTS |
|---|---|---|
|
|
Borre el destino y todos los túneles y sesiones asociados. |
Para cada sesión conmutada en un túnel al destino, borre la sesión conmutada asignada correspondiente enviándole un mensaje CDN con la causa establecida en Administrativa. |
|
|
Borre todos los destinos y todos los túneles y sesiones asociados. |
Ninguno. |
|
|
Despeje la sesión. |
Borre la sesión conmutada asignada correspondiente para esta sesión enviándole un mensaje CDN con la causa establecida en Administrativa. |
|
|
Borrar todas las sesiones. |
Ninguno. |
|
|
Borre el túnel y todas sus sesiones. |
Para cada sesión conmutada en el túnel, borre la sesión conmutada asignada correspondiente enviándole un mensaje CDN con la causa establecida en Administrativa. |
|
|
Borre todos los túneles. |
Ninguno. |
Acciones de conmutación de túnel para AVP L2TP en el límite de conmutación
Cuando la conmutación de túnel L2TP redirige paquetes a un LNS diferente, realiza una de las siguientes acciones predeterminadas en el límite de conmutación para cada AVP transportado en los mensajes L2TP:
relay—L2TP reenvía de forma transparente el AVP en el paquete conmutado sin alteración.regenerate: L2TP ignora el AVP recibido que negoció el primer túnel y la sesión. Genera un nuevo AVP para la segunda sesión basado en la política local en el LTS y envía este AVP en el paquete conmutado. La política local puede o no usar el valor del AVP recibido durante la negociación de la primera sesión.
En la Tabla 4 se enumera la acción predeterminada para cada AVP. Los AVP obligatorios siempre se incluyen en los mensajes L2TP de la LAC; es posible que se incluyan AVP opcionales en los mensajes.
Opcionalmente, puede anular la acción predeterminada realizada en el límite de conmutación para el tipo de portador AVP (18), el número de llamada AVP (22) o la información del puerto Cisco NAS AVP (100). Puede configurar cualquiera de estos tres AVP para que se elimine de los paquetes conmutados o se regenere, o puede restaurar la acción de relé predeterminada.
Los AVP de L2TP que tienen sus valores de atributo ocultos siempre se regeneran en el límite de conmutación. El valor se decodifica y se envía como texto sin cifrar cuando el paquete se reenvía al LNS remoto.
AVP Nombre (Número) |
Tipo de AVP |
Tipo de mensaje L2TP |
Acción predeterminada |
|---|---|---|---|
ID de sesión asignada (14) |
Obligatorio |
CDN, ICRQ |
Regenerar |
ID de túnel asignado (9) |
Obligatorio |
SCCRQ |
Regenerar |
Capacidades portadoras (4) |
Opcional |
SCCRQ |
Regenerar |
Tipo de portador (18) |
Opcional |
ICRQ |
Relé |
Número de serie de la llamada (15) |
Obligatorio |
ICRQ |
Relé |
Número llamado (21) |
Opcional |
ICRQ |
Relé |
Número de llamada (22) |
Opcional |
ICRQ |
Relé |
Desafío (11) |
Opcional |
SCCRQ |
Regenerar |
Respuesta al desafío (13) |
Opcional |
SCCCN |
Regenerar |
Puerto NAS de Cisco |
Opcional |
ICRQ |
Relé |
Capacidad de conmutación por error |
Opcional |
SCCRQ |
Regenerar |
Revisión de firmware (6) |
Opcional |
SCCRQ |
Regenerar |
Capacidades de encuadre (3) |
Obligatorio |
SCCRQ |
Regenerar |
Tipo de enmarcado (19) |
Obligatorio |
ICCN |
Relé |
Nombre de host (7) |
Obligatorio |
SCCRQ |
Regenerar |
LCP CONFREQ recibido inicialmente (26) |
Opcional |
ICCN |
Relé Cuando la renegociación de LCP está habilitada con la |
Último recibido LCP CONFREQ (28) |
Opcional |
ICCN |
Relé Cuando la renegociación de LCP está habilitada con la |
Último enviado LCP CONFREQ (27) |
Opcional |
ICCN |
Relé Cuando la renegociación de LCP está habilitada con la |
Tipo de mensaje (0) |
Obligatorio |
Todo |
Regenerar |
ID de canal físico (25) |
Opcional |
ICRQ |
Regenerar |
Identificación de grupo privado (37) |
Opcional |
ICCN |
Relé |
Versión de protocolo (2) |
Obligatorio |
SCCRQ |
Regenerar |
Desafío de autenticación de proxy (31) |
Opcional |
ICCN |
Relé Cuando la renegociación de LCP está habilitada con la |
ID de autenticación de proxy (32) |
Opcional |
ICCN |
Relé Cuando la renegociación de LCP está habilitada con la |
Nombre de autenticación de proxy (30) |
Opcional |
ICCN |
Relé Cuando la renegociación de LCP está habilitada con la |
Respuesta de autenticación de proxy (33) |
Opcional |
ICCN |
Relé Cuando la renegociación de LCP está habilitada con la |
Tipo de autenticación de proxy (29) |
Opcional |
ICCN |
Relé Cuando la renegociación de LCP está habilitada con la |
Tamaño de la ventana de recepción (10) |
Opcional |
SCCRQ |
Regenerar |
Velocidad de conexión de recepción (38) |
Opcional |
ICCN |
Relé |
Se requiere secuenciación (39) |
Opcional |
ICCN |
Regenerar |
Subdirección (23) |
Opcional |
ICRQ |
Relé |
Desempate (5) |
Opcional |
SCCRQ |
Regenerar |
Recuperación de túnel |
Opcional |
SCCRQ |
Regenerar |
Velocidad de conexión de transmisión (24) |
Obligatorio |
ICCN |
Relé |
Nombre del proveedor (8) |
Opcional |
SCCRQ |
Regenerar |
Configuración de la conmutación de túnel L2TP
La conmutación de túnel L2TP permite que un enrutador configurado como LTS reenvíe paquetes PPP transportados en una sesión L2TP a una segunda sesión L2TP terminada en un LNS diferente. Para configurar la conmutación de túnel L2TP, debe definir un perfil de conmutador de túnel y, luego, asignarlo.
Puede configurar perfiles de conmutador de túnel para todas las sesiones globalmente, todas las sesiones de un grupo de túnel, todas las sesiones de un dominio o en la configuración del servidor RADIUS para que se devuelvan en el perfil de conmutador de túnel de RADIUS VSA (26-91). El orden de prioridad para los perfiles de conmutador de túnel de varios orígenes es el siguiente:
RADIUS mapa de dominio de > VSA 26-91 > túnel grupo > perfil de conmutador túnel global
Para definir un perfil de conmutador de túnel L2TP:
Por ejemplo, considere la siguiente configuración. que crea tres perfiles de conmutador de túnel, l2tp-túnel-switch-profile, lts-profile-groupA y lts-profile-example-com:
[edit access tunnel-switch-profile l2tp-tunnel-switch-profile] user@host# set avp bearer-type regenerate user@host# set avp calling-number regenerate user@host# set avp cisco-nas-port-info drop user@host# set tunnel-profile l2tp-tunnel-profile1 [edit access tunnel-switch-profile lts-profile-groupA] user@host# set tunnel-profile l2tp-tunnel-profile2 [edit access tunnel-switch-profile lts-profile-example.com] user@host# set tunnel-profile l2tp-tunnel-profile3 [edit services l2tp] user@host1# set tunnel-switch-profile l2tp-tunnel-switch-profile user@host1# set tunnel-group groupA tunnel-switch-profile lts-profile-groupA [edit access domain] user@host1# set map example.com tunnel-switch-profile lts-profile-example.com
El ejemplo de configuración LTS (conmutación de túnel de capa 2) para dispositivos de la serie MX es el siguiente:
set services l2tp tunnel-group TG1 l2tp-access-profile DEFAULT set services l2tp tunnel-group TG1 aaa-access-profile aaa-access-profile set services l2tp tunnel-group TG1 hello-interval 0 set services l2tp tunnel-group TG1 local-gateway address 192.1.1.1 set services l2tp tunnel-group TG1 local-gateway gateway-name default set services l2tp tunnel-group TG1 service-interface si-0/0/0 set services l2tp tunnel-group TG1 dynamic-profile lns-profile set chassis fpc 0 pic 0 inline-services bandwidth 10g set chassis network-services enhanced-ip set dynamic-profiles lns-profile routing-instances "$junos-routing-instance" interface "$junos-interface-name" set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" ppp-options chap set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" ppp-options pap set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" family inet unnumbered-address "$junos-loopback-interface" set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" family inet6 unnumbered-address "$junos-loopback-interface" set access profile DEFAULT client default l2tp aaa-access-profile aaa-access-profile set access profile DEFAULT client default l2tp shared-secret "$9$i.T3AtOREyApIcSrLX" set access profile DEFAULT client default l2tp dynamic-profile lns-profile set access profile DEFAULT client default user-group-profile l2tp-access-group-profile set access group-profile l2tp-access-group-profile ppp idle-timeout 200 set access group-profile l2tp-access-group-profile ppp ppp-options pap set access group-profile l2tp-access-group-profile ppp ppp-options chap set access group-profile l2tp-access-group-profile ppp keepalive 0 set access tunnel-profile lac-profile tunnel 1 preference 1 set access tunnel-profile lac-profile tunnel 1 identification 1 set access tunnel-profile lac-profile tunnel 1 remote-gateway address 192.1.2.1 set access tunnel-profile lac-profile tunnel 1 remote-gateway gateway-name default set access tunnel-profile lac-profile tunnel 1 source-gateway address 192.1.2.5 set access tunnel-profile lac-profile tunnel 1 source-gateway gateway-name default set access tunnel-profile lac-profile tunnel 1 secret "$9$u9CE0BEleW-dsp07Vb2GUCtu" set access tunnel-switch-profile tsp-profile tunnel-profile lac-profile set access domain map yogeshn.com tunnel-switch-profile tsp-profile …
El perfil l2tp-túnel-switch profile se aplica como el valor predeterminado global. Cuando los paquetes se conmutan de acuerdo con este perfil, los valores del tipo de portador AVP (18) y el número de llamada AVP (22) en los paquetes L2TP se regeneran según la política local en el conmutador de túnel L2TP y, a continuación, se envían con los paquetes. La información del puerto Cisco NAS AVP (100) simplemente se cae. Finalmente, l2tp-túnel-profile1 proporciona las características de configuración del túnel al que se conmuta el tráfico.
El perfil de conmutador de túnel lts-profile-groupA se aplica mediante un grupo de túneles, groupA; especifica un perfil de túnel diferente, l2tp-tunnel-profile2, y no anula ninguna acción de AVP. El perfil de conmutador de túnel lts-profile-example.com se aplica por medio de un mapa de dominio para el dominio example.com; especifica un perfil de túnel diferente, l2tp-túnel-profile3 y no anula ninguna acción de AVP.
Establecer el tamaño de la ventana de recepción L2TP
Puede configurar el tamaño de la ventana de recepción L2TP para un túnel L2TP. El tamaño de la ventana de recepción especifica la cantidad de paquetes que un par puede enviar antes de esperar una confirmación del enrutador.
De forma predeterminada, el tamaño de la ventana de recepción se establece en cuatro paquetes. Si el tamaño de la ventana de recepción se establece en su valor predeterminado, el enrutador no envía el AVP de tamaño de ventana de recepción, AVP 10, en su primer paquete enviado durante la negociación del túnel a su par.
Para configurar el tamaño de la ventana de recepción:
[edit services l2tp tunnel] user@host# set rx-window-size packets
Establecer el tiempo de espera de inactividad del túnel L2TP
Puede configurar el LAC o el LNS para especificar cuánto tiempo permanece activo un túnel sin sesiones. El temporizador de inactividad se inicia cuando finaliza la última sesión en el túnel. Cuando expira el temporizador, el túnel se desconecta. Este tiempo de espera de inactividad libera recursos que de otro modo serían consumidos por túneles inactivos.
Si establece el valor de tiempo de espera de inactividad en cero, el túnel se obliga a permanecer activo indefinidamente después de que finalice la última sesión hasta que ocurra una de las siguientes situaciones:
Tú das el
clear services l2tp tunnelcomando.El par remoto desconecta el túnel.
Antes de cambiar a una versión de Junos OS que no admita esta instrucción, le recomendamos que anule la configuración de la característica explícitamente incluyendo la no idle-timeout instrucción en el nivel de [edit services l2tp tunnel] jerarquía.
Para establecer el tiempo de espera de inactividad del túnel:
Configure el período de tiempo de espera.
[edit services l2tp tunnel] user@host# set idle-timeout seconds
Establecer el tiempo de espera de destrucción de L2TP
Puede configurar el LAC o el LNS para especificar cuánto tiempo intenta el enrutador mantener los destinos, los túneles y las sesiones dinámicos después de que se hayan destruido. Este tiempo de espera de destrucción ayuda a la depuración y otros análisis al guardar las estructuras de memoria subyacentes después de que finaliza el destino, el túnel o la sesión. Es posible que no se mantenga ningún destino, túnel o sesión dinámicos específicos durante todo este período de tiempo si los recursos deben recuperarse antes para permitir que se establezcan nuevos túneles.
Antes de cambiar a una versión de Junos OS que no admita esta instrucción, le recomendamos que anule la configuración de la característica explícitamente incluyendo la no destruct-timeout instrucción en el nivel de [edit services l2tp] jerarquía.
Para establecer el tiempo de espera de destrucción de L2TP:
Configure el período de tiempo de espera.
[edit services l2tp] user@host# set destruct-timeout seconds
Configuración del tiempo de espera de bloqueo de destino L2TP
Cuando hay varios conjuntos de parámetros de túnel disponibles, L2TP utiliza un proceso de selección para elegir el mejor túnel para el tráfico de suscriptores. Como parte de este proceso de selección, L2TP bloquea los destinos a los que no puede conectarse cuando un suscriptor intenta comunicarse con un dominio. L2TP coloca el destino en la lista de bloqueo de destino y excluye el destino de la consideración durante un período configurable denominado tiempo de espera de bloqueo de destino.
De forma predeterminada, el tiempo de espera de bloqueo de destino es de 300 segundos (5 minutos). Puede configurar un valor de 60 a 3600 segundos (de 1 minuto a 1 hora). Cuando caduca el tiempo de espera de bloqueo, L2TP asume que el destino ahora está disponible e incluye el destino al realizar el proceso de selección de túnel. El período de bloqueo de destino es un valor global y no se puede configurar individualmente para destinos, túneles o grupos de túneles concretos.
En general, no se puede usar un destino bloqueado hasta que expire el temporizador de bloqueo. Sin embargo, cuando L2TP realiza el proceso de selección de túnel, en algunas circunstancias borra el temporizador de bloqueo de un destino bloqueado. Consulte Selección cuando se configura la conmutación por error entre niveles de preferencia y Selección cuando se configura la conmutación por error dentro de un nivel de preferencia en Descripción general de selección de túnel LAC para obtener información detallada sobre el proceso de selección.
Configure el tiempo de espera de bloqueo para que sea igual o menor que el tiempo de espera de destrucción. De lo contrario, el tiempo de espera de destrucción caduca antes de que se agote el tiempo de espera de bloqueo. En este caso, el destino bloqueado se destruye y se puede volver a poner en servicio posteriormente antes de que expire el tiempo de espera de bloqueo, anulando así la eficacia del tiempo de espera de bloqueo.
Para configurar el tiempo de espera de bloqueo de destino:
Especifique el período en segundos.
[edit services l2tp destination] user@host# set lockout-timeout seconds
El show services l2tp destination lockout comando muestra la lista de bloqueo de destino y, para cada destino, indica cuánto tiempo queda antes de que expire el tiempo de espera. El show services l2tp destination detail comando indica para cada destino si está bloqueado y esperando que expire el tiempo de espera o no bloqueado.
Eliminación de un destino L2TP de la lista de bloqueo de destino
Cuando un suscriptor PPP intenta iniciar sesión en un dominio, L2TP selecciona un túnel asociado con un destino en ese dominio e intenta acceder al destino. Si se produce un error en el intento de conexión, L2TP coloca el destino en la lista de bloqueo de destino. Los destinos de esta lista no se tienen en cuenta para las conexiones posteriores durante un período configurable denominado tiempo de espera de bloqueo de destino.
Puede ejecutar el request services l2tp destination unlock comando para un destino determinado a fin de eliminarlo de la lista de bloqueo de destino. El resultado es que este destino está disponible inmediatamente para su consideración cuando un suscriptor inicia sesión en el dominio asociado.
Para eliminar un destino de la lista de bloqueo de destino:
Especifique el nombre del destino que se va a desbloquear.
user@host> request services l2tp destination unlock destination-name
Configuración de drenaje L2TP
Para fines administrativos, puede establecer el estado de un destino o túnel L2TP en drenaje. Esto impide la creación de nuevas sesiones, túneles y destinos en L2TP LAC y LNS.
Puede configurar el purgado L2TP a nivel global o para un destino o túnel específico. Si la función está configurada en el nivel L2TP global, no se puede crear ningún destino, túnel o sesión nuevos. Si la función está configurada para un destino específico, no se puede crear ningún túnel o sesión nuevos en ese destino. Del mismo modo, si la función está configurada para un túnel específico, no se pueden asignar nuevas sesiones a ese túnel, pero se pueden crear nuevos destinos y túneles.
Cuando se configura esta característica, el comando de salida de show services l2tp summary, show services l2tp destinationy show services l2tp tunnel muestra el estado de la sesión, el destino y el túnel de L2TP como Drain.
Usar el mismo túnel L2TP para inyección y duplicación de paquetes IP
Puede configurar el mismo túnel L2TP que se utiliza para la duplicación segura de políticas del suscriptor que se utilizará para la duplicación de paquetes. Los paquetes duplicados se utilizan para inyectar tráfico hacia el cliente o hacia la red. La inyección o transmisión de paquetes se admite para todos los modos de acceso de suscriptores. Se utiliza un único túnel L2TP tanto para la transmisión de paquetes como para la duplicación de paquetes. Un puerto o interfaz configurado para la duplicación de paquetes en un lado de un túnel L2TP está conectado al otro punto de conexión del túnel. El otro punto de conexión del túnel puede enviar paquetes IP mediante el túnel L2TP al puerto o la interfaz configurados para la duplicación de paquetes, y los paquetes IP recibidos en esa interfaz se pueden reenviar al cliente o como si hubieran sido recibidos por el cliente.
El punto de conexión del túnel remoto envía un paquete de túnel IP que contiene una dirección MAC de Ethernet en la carga. Si la dirección MAC de destino del paquete de carga contiene la dirección MAC del enrutador, el paquete Ethernet se envía en la dirección saliente hacia la red, y se procesa y reenvía como si se recibiera en el puerto del cliente. Si la dirección MAC de origen del paquete de carga contiene la dirección MAC del enrutador, el paquete Ethernet se transmite en la dirección de salida hacia el puerto del cliente. Si el túnel no contiene la cookie de recepción configurada, no se produce la inyección de paquetes. En tal caso, cualquier paquete de túnel recibido se cuenta y se descarta de la misma manera en que se cuentan y descartan los paquetes que llegan con una cookie incorrecta.
Para configurar el paquete que se va a duplicar y enviar al cliente o a la red (según la dirección MAC de la carga Ethernet), incluya la decapsulate l2tp output-interface interface-name cookie l2tpv3-cookie instrucción en el [edit firewall family family-name filter filter-name term term-name then] nivel jerárquico. También puede configurar un contador para los paquetes L2TP duplicados o desencapsulados incluyendo la count counter-name instrucción en el nivel de [edit firewall family family-name filter filter-name term term-name then] jerarquía