Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Conmutación de túnel L2TP para redes de varios dominios

Descripción general de la conmutación de túnel L2TP

La conmutación de túnel L2TP, también conocida como multisalto L2TP, simplifica el despliegue de una red L2TP en varios dominios. Un enrutador que se encuentra entre un LAC y un LNS se configura como un conmutador de túnel L2TP (LTS), a veces denominado simplemente conmutador de túnel o agregador de conmutación de túnel (TSA), como se muestra en la Figura 1. El LTS se configura como un LNS y un LAC. Cuando un LAC remoto envía paquetes PPP encapsulados al LNS configurado en el LTS, el LTS puede reenviar o redirigir los paquetes a través de un túnel diferente a un LNS diferente más allá del LTS. El punto de terminación lógica de la sesión L2TP original se conmuta a un extremo diferente.

Por ejemplo, en la red que se muestra en la figura 1, los paquetes del suscriptor aprovisionados por el proveedor de servicios A se dirigen inicialmente al LNS configurado en el LTS. El LTS podría redirigir esos paquetes a LNS1.

Figura 1: Topología de red de conmutación de túnel L2TP L2TP Tunnel Switching Network Topology

La conmutación de túnel L2TP simplifica la configuración de la red cuando el dominio administrativo de un LAC es diferente del del LNS deseado. Por ejemplo:

  • El LTS actúa como el LNS para múltiples LAC. Los LAC individuales no tienen que tener el control administrativo o la capacidad requerida para identificar el LNS más apropiado para terminar sus sesiones. El LTS realiza esa función está centralizada en el LTS.

  • El LTS actúa como LAC para múltiples LNS. Cuando se agrega un nuevo LAC remoto a la red de un ISP, el ISP no tiene que reconfigurar sus enrutadores LNS para acomodar el nuevo LAC, ya que se conectan al LAC en el LTS.

En una red mayorista de capa 2, el mayorista puede utilizar la conmutación de túnel L2TP para crear una configuración de red más plana que sea más fácil de administrar. El mayorista agrupa las sesiones de capa 2 de un LAC destinadas a diferentes ISP y, por lo tanto, a diferentes LNS, en un único túnel L2TP. Esta configuración permite utilizar una conexión de control L2TP común para el LAC.

La figura 2 muestra un ejemplo de conmutación de túnel L2TP para llamadas entrantes con la siguiente secuencia de eventos:

  1. El suscriptor abre una sesión PPP al LAC.

  2. El LAC crea el primer túnel L2TP al LNS configurado en el LTS y la primera sesión L2TP para transportar los paquetes PPP encapsulados.

  3. Durante la autenticación de esta primera sesión, LTS determina si se debe volver a tunelizar la sesión a un LNS más allá del LTS, en función de la presencia o ausencia de un perfil de conmutador de túnel configurado en el LTS.

    El perfil de conmutador de túnel puede ser un perfil predeterminado o puede aplicarlo mediante el servidor RADIUS, una configuración de mapa de dominio o una configuración de grupo de túneles.

  4. Si se configura un perfil de conmutador de túnel, el LTS crea un segundo túnel (si aún no existe) al LNS más allá del LTS como se especifica en el perfil y crea la segunda sesión en este túnel.

Figura 2: Conmutación de túnel L2TP para llamadas entrantes L2TP Tunnel Switching for Incoming Calls

Aplicación de perfiles de conmutación de túnel

Puede configurar un perfil de conmutador de túnel para que se aplique de varias maneras:

  • Como perfil predeterminado aplicado globalmente al tráfico recibido de todas las LAC

  • Con un mapa de dominio aplicado a una sesión de suscriptor

  • Con un grupo de túneles aplicado a una sesión de suscriptor

  • En la configuración del servidor RADIUS, devuelto en el VSA de perfil de conmutación de túnel (26-91)

Puede configurar más de uno de estos métodos de aplicación. Cuando hay varios perfiles de conmutador de túnel, el siguiente orden de prioridad establece qué perfil utiliza el LTS; el orden es del más alto (RADIUS) al más bajo (perfil predeterminado):

  1. Mapa de dominio de > RADIUS VSA 26-91 > grupo de túneles > perfil global de conmutador de túnel

El perfil de conmutación de túnel también debe hacer referencia a un perfil de túnel. Este perfil de túnel especifica las características del segundo túnel, al que se conmutan los paquetes de suscriptor.

Finalización de sesiones de conmutación de túnel en LTS

Las sesiones de conmutación de túnel finalizan en LTS cuando se produce alguna de las siguientes situaciones:

  • La interfaz LAC o LNS en el LTS recibe un mensaje de llamada-desconexión-notificación (CDN) (Tabla 1).

    Tabla 1: Causa del mensaje de CDN

    El mensaje CDN se recibe el

    Cuando

    Interfaz LAC

    Se produce una de las siguientes situaciones:

    • No se puede establecer la segunda sesión.

    • El LNS remoto finaliza la segunda sesión.

    Interfaz LNS

    Se produce una de las siguientes situaciones:

    • El cliente PPPoE inicia un cierre de sesión.

    • El LAC de origen inicia la terminación del túnel

    Tanto la primera como la segunda sesión finalizan porque LTS transmite la CDN a la interfaz que no recibió la CDN. La causa de desconexión es la misma para ambas sesiones.

  • La interfaz LAC o LNS en el LTS recibe un mensaje Stop-Control-Connection-Notification (StopCCN) (Tabla 2).

    Tabla 2: Causa del mensaje StopCCN

    El mensaje StopCCN se recibe el

    Cuando

    Interfaz LAC

    Se produce una de las siguientes situaciones:

    • No se puede establecer la segunda sesión.

    • El LNS remoto termina el segundo túnel.

    Interfaz LNS

    El LAC de origen inicia la terminación del túnel.

    El LTS no retransmite el mensaje StopCCN, ya que un túnel determinado puede contener sesiones conmutadas y no conmutadas. Otra razón en un escenario mayorista es que el túnel que termina en el LNS en el LTS puede contener sesiones de LAC de diferentes proveedores. En su lugar, el LTS envía un mensaje de CDN a la interfaz que no recibió el StopCCN para finalizar la sesión de conmutación de túnel. Esta CDN transmite el código de error que se lleva en el StopCCN.

  • Se emite un comando administrativo clear en el LTS.

En el cuadro 3 se enumeran las medidas adoptadas cuando se emite una orden administrativa clear en la LTS.

Tabla 3: Acciones de LAC, LNS y LTS tomadas para túneles conmutados en respuesta a comandos administrativos claros

Comando

Acción LAC o LNS

Acción LTS

clear services l2tp destination

Borre el destino y todos los túneles y sesiones asociados.

Para cada sesión conmutada en un túnel hacia el destino, borre la sesión conmutada asignada correspondiente enviándole un mensaje CDN con la causa establecida en Administrativa.

clear services l2tp destination all

Borre todos los destinos y todos los túneles y sesiones asociados.

Ninguno.

clear services l2tp session

Borre la sesión.

Borre la sesión conmutada asignada correspondiente para esta sesión enviándole un mensaje CDN con la causa establecida en Administrativa.

clear services l2tp session all

Borre todas las sesiones.

Ninguno.

clear services l2tp tunnel

Borre el túnel y todas sus sesiones.

Para cada sesión conmutada en el túnel, borre la sesión conmutada asignada correspondiente enviándole un mensaje CDN con la causa establecida en Administrativa.

clear services l2tp tunnel all

Borre todos los túneles.

Ninguno.

Acciones de conmutación de túnel para AVP L2TP en el límite de conmutación

Cuando la conmutación de túnel L2TP redirige paquetes a un LNS diferente, realiza una de las siguientes acciones predeterminadas en el límite de conmutación para cada AVP transportado en los mensajes L2TP:

  • relay—L2TP reenvía de forma transparente el AVP en el paquete conmutado sin alteraciones.

  • regenerate—L2TP ignora el AVP recibido que fue negociado por el primer túnel y sesión. Genera un nuevo AVP para la segunda sesión basado en la política local en el LTS y envía este AVP en el paquete conmutado. La directiva local puede o no usar el valor del AVP recibido durante la negociación de la primera sesión.

En la tabla 4 se enumera la acción predeterminada para cada AVP. Los AVP obligatorios siempre se incluyen en los mensajes L2TP del ALC; Es posible que se incluyan AVP opcionales en los mensajes.

Opcionalmente, puede anular la acción predeterminada realizada en el límite de conmutación para el AVP de tipo portador (18), el AVP del número de llamada (22) o el AVP de información del puerto del NAS de Cisco (100). Puede configurar cualquiera de estos tres AVP para que se eliminen de los paquetes conmutados o se regeneren, o puede restaurar la acción de retransmisión predeterminada.

Nota:

Los AVP L2TP que tienen sus valores de atributo ocultos siempre se regeneran en el límite de conmutación. El valor se descodifica y se envía en texto sin cifrar cuando el paquete se reenvía al LNS remoto.

Tabla 4: Acción predeterminada para controlar AVP L2TP en el límite de conmutación

Nombre AVP (número)

Tipo de AVP

Tipo de mensaje L2TP

Acción predeterminada

ID de sesión asignado (14)

Obligatorio

CDN, ICRQ

Regenerar

ID de túnel asignado (9)

Obligatorio

SCCRQ

Regenerar

Capacidades al portador (4)

Opcional

SCCRQ

Regenerar

Tipo de portador (18)

Opcional

ICRQ

Relé

Número de serie de la llamada (15)

Obligatorio

ICRQ

Relé

Número de llamada (21)

Opcional

ICRQ

Relé

Número de llamada (22)

Opcional

ICRQ

Relé

Desafío (11)

Opcional

SCCRQ

Regenerar

Respuesta al desafío (13)

Opcional

SCCCN

Regenerar

Puerto NAS de Cisco

Opcional

ICRQ

Relé

Capacidad de conmutación por error

Opcional

SCCRQ

Regenerar

Revisión de firmware (6)

Opcional

SCCRQ

Regenerar

Capacidades de encuadre (3)

Obligatorio

SCCRQ

Regenerar

Tipo de encuadre (19)

Obligatorio

ICCN (en inglés)

Relé

Nombre de host (7)

Obligatorio

SCCRQ

Regenerar

LCP CONFREQ recibido inicialmente (26)

Opcional

ICCN (en inglés)

Relé

Cuando la renegociación de LCP está habilitada con la lcp-negotiation instrucción en el perfil de cliente en el LNS, el AVP se regenera en lugar de retransmitirse.

Última recepción LCP CONFREQ (28)

Opcional

ICCN (en inglés)

Relé

Cuando la renegociación de LCP está habilitada con la lcp-negotiation instrucción en el perfil de cliente en el LNS, el AVP se regenera en lugar de retransmitirse.

Último envío LCP CONFREQ (27)

Opcional

ICCN (en inglés)

Relé

Cuando la renegociación de LCP está habilitada con la lcp-negotiation instrucción en el perfil de cliente en el LNS, el AVP se regenera en lugar de retransmitirse.

Tipo de mensaje (0)

Obligatorio

Todo

Regenerar

Identificador de canal físico (25)

Opcional

ICRQ

Regenerar

ID de grupo privado (37)

Opcional

ICCN (en inglés)

Relé

Versión del protocolo (2)

Obligatorio

SCCRQ

Regenerar

Desafío Proxy Authen (31)

Opcional

ICCN (en inglés)

Relé

Cuando la renegociación de LCP está habilitada con la lcp-negotiation instrucción en el perfil de cliente en el LNS, la autenticación también se renegocia y el AVP se regenera en lugar de retransmitirse.

ID de autenticación de proxy (32)

Opcional

ICCN (en inglés)

Relé

Cuando la renegociación de LCP está habilitada con la lcp-negotiation instrucción en el perfil de cliente en el LNS, la autenticación también se renegocia y el AVP se regenera en lugar de retransmitirse.

Proxy Authen Nombre (30)

Opcional

ICCN (en inglés)

Relé

Cuando la renegociación de LCP está habilitada con la lcp-negotiation instrucción en el perfil de cliente en el LNS, la autenticación también se renegocia y el AVP se regenera en lugar de retransmitirse.

Proxy Authen Respuesta (33)

Opcional

ICCN (en inglés)

Relé

Cuando la renegociación de LCP está habilitada con la lcp-negotiation instrucción en el perfil de cliente en el LNS, la autenticación también se renegocia y el AVP se regenera en lugar de retransmitirse.

Tipo de autenticación de proxy (29)

Opcional

ICCN (en inglés)

Relé

Cuando la renegociación de LCP está habilitada con la lcp-negotiation instrucción en el perfil de cliente en el LNS, la autenticación también se renegocia y el AVP se regenera en lugar de retransmitirse.

Tamaño de ventana de recepción (10)

Opcional

SCCRQ

Regenerar

Velocidad de conexión Rx (38)

Opcional

ICCN (en inglés)

Relé

Secuenciación requerida (39)

Opcional

ICCN (en inglés)

Regenerar

Subdirección (23)

Opcional

ICRQ

Relé

Desempate (5)

Opcional

SCCRQ

Regenerar

Recuperación de túnel

Opcional

SCCRQ

Regenerar

Velocidad de conexión TX (24)

Obligatorio

ICCN (en inglés)

Relé

Nombre del proveedor (8)

Opcional

SCCRQ

Regenerar

Configuración de la conmutación de túnel L2TP

La conmutación de túnel L2TP permite a un enrutador configurado como LTS reenviar paquetes PPP transportados en una sesión L2TP a una segunda sesión L2TP terminada en un LNS diferente. Para configurar la conmutación de túnel L2TP, debe definir un perfil de conmutador de túnel y, a continuación, asignarlo.

Puede configurar perfiles de conmutador de túnel para todas las sesiones globalmente, todas las sesiones en un grupo de túneles, todas las sesiones en un dominio o en la configuración del servidor RADIUS para que se devuelvan en el VSA de perfil de conmutador de túnel RADIUS (26-91). El orden de prioridad para los perfiles de conmutación de túnel de diversos orígenes es el siguiente:

  • Mapa de dominio de > RADIUS VSA 26-91 > grupo de túneles > perfil global de conmutador de túnel

Para definir un perfil de conmutador de túnel L2TP:

  1. Cree el perfil.
  2. (Opcional) Anule las acciones predeterminadas realizadas para determinados AVP L2TP en el límite de conmutación.
  3. Especifique el perfil de túnel que define el túnel al que se conmuta el tráfico de suscriptores.
    Nota:

    Este paso no es necesario para un perfil de conmutación de túnel especificado en el VSA de perfil de conmutación de túnel (26-91).

  4. (Opcional) Aplique el perfil como un perfil predeterminado global para cambiar paquetes de todas las sesiones entrantes desde la región Latina y el Caribe.
  5. (Opcional) Aplique el perfil como parte de un grupo de túneles para conmutar paquetes de todas las sesiones del grupo de túneles.
    Nota:

    El grupo de túneles forma parte de la configuración LTS que le permite actuar como LNS para las sesiones originales desde el LAC.

    Un grupo de túneles con un perfil de conmutador de túnel también debe contener un perfil dinámico, ya que la conmutación de túnel solo admite suscriptores dinámicos.

  6. (Opcional) Aplique el perfil como parte de un mapa de dominio para cambiar paquetes de todas las sesiones asociadas al dominio.
    Nota:

    Un mapa de dominio no puede tener un perfil de conmutador de túnel y un perfil de túnel. Debe eliminar uno si agrega el otro.

  7. (Opcional) Aplique el perfil mediante el VSA de perfil de conmutación de túnel [26–91] en el mensaje de aceptación de acceso RADIUS devuelto cuando se autentica la sesión desde LAC. Consulte la documentación del servidor RADIUS para determinar cómo configurar este método.
    Nota:

    Un perfil de conmutación de túnel especificado por un servidor RADIUS en el VSA de perfil de conmutación de túnel (26-91) tiene prioridad sobre el perfil de conmutación de túnel especificado en la configuración de CLI. Si se recibe el VSA de grupo de túnel (26-64) además del VSA de perfil de conmutación de túnel (26-91), el VSA de perfil de conmutación de túnel (26-91) tiene prioridad sobre el VSA de grupo de túnel (26-64), lo que garantiza que los suscriptores tengan conmutación de túnel en lugar de túnel de LAC.

Por ejemplo, considere la siguiente configuración. que crea tres perfiles de conmutador de túnel, l2tp-tunnel-switch-profile, lts-profile-groupA y lts-profile-example-com:

El perfil l2tp-tunnel-switch-profile se aplica como valor predeterminado global. Cuando los paquetes se conmutan de acuerdo con este perfil, los valores para el AVP de tipo portador (18) y el número de llamada AVP (22) en los paquetes L2TP se regeneran según la política local en el conmutador de túnel L2TP y luego se envían con los paquetes. El AVP (100) de información del puerto NAS de Cisco simplemente se elimina. Por último, l2tp-tunnel-profile1 proporciona las características de configuración del túnel al que se conmuta el tráfico.

El perfil de conmutación de túnel lts-profile-groupA se aplica mediante un grupo de túneles, groupA; Especifica un perfil de túnel diferente, l2tp-tunnel-profile2 y no anula ninguna acción de AVP. El perfil de conmutación de túnel lts-profile-example.com se aplica mediante un mapa de dominio para el dominio example.com; Especifica un perfil de túnel diferente, l2tp-tunnel-profile3 y no anula ninguna acción de AVP.

Configuración del tamaño de la ventana de recepción L2TP

Puede configurar el tamaño de la ventana de recepción L2TP para un túnel L2TP. El tamaño de la ventana de recepción especifica el número de paquetes que un par puede enviar antes de esperar una confirmación del enrutador.

De forma predeterminada, el tamaño de la ventana de recepción se establece en cuatro paquetes. Si el tamaño de la ventana de recepción se establece en su valor predeterminado, el enrutador no envía el AVP de tamaño de ventana de recepción, AVP 10, en su primer paquete enviado durante la negociación de túnel a su par.

Para configurar el tamaño de la ventana de recepción:

Configuración del tiempo de espera de inactividad del túnel L2TP

Puede configurar el LAC o el LNS para especificar cuánto tiempo permanece activo un túnel sin ninguna sesión. El temporizador de inactividad se inicia cuando finaliza la última sesión en el túnel. Cuando el temporizador expira, el túnel se desconecta. Este tiempo de espera de inactividad libera recursos que de otro modo serían consumidos por túneles inactivos.

Si establece el valor de tiempo de espera de inactividad en cero, el túnel se ve obligado a permanecer activo indefinidamente después de que finalice la última sesión hasta que ocurra una de las siguientes situaciones:

  • Ejecutar el clear services l2tp tunnel comando.

  • El par remoto desconecta el túnel.

Práctica recomendada:

Antes de cambiar a una versión de Junos OS que no admita esta instrucción, se recomienda desconfigurar explícitamente la función incluyendo la no idle-timeout instrucción en el nivel de [edit services l2tp tunnel] jerarquía.

Para establecer el tiempo de espera de inactividad del túnel:

  • Configure el período de tiempo de espera.

Configuración del tiempo de espera de destrucción L2TP

Puede configurar el LAC o el LNS para especificar cuánto tiempo intenta el enrutador mantener destinos, túneles y sesiones dinámicos después de haber sido destruidos. Este tiempo de espera de destrucción ayuda a la depuración y otros análisis al guardar las estructuras de memoria subyacentes después de finalizar el destino, el túnel o la sesión. Es posible que no se mantenga ningún destino, túnel o sesión dinámico específico durante todo este período de tiempo si los recursos deben recuperarse anticipadamente para permitir que se establezcan nuevos túneles.

Práctica recomendada:

Antes de cambiar a una versión de Junos OS que no admita esta instrucción, se recomienda desconfigurar explícitamente la función incluyendo la no destruct-timeout instrucción en el nivel de [edit services l2tp] jerarquía.

Para establecer el tiempo de espera de destrucción de L2TP:

  • Configure el período de tiempo de espera.

Configuración del tiempo de espera de bloqueo de destino L2TP

Cuando hay varios conjuntos de parámetros de túnel disponibles, L2TP utiliza un proceso de selección para elegir el mejor túnel para el tráfico de suscriptores. Como parte de este proceso de selección, L2TP bloquea los destinos a los que no puede conectarse cuando un suscriptor intenta llegar a un dominio. L2TP coloca el destino en la lista de bloqueo de destino y excluye el destino de la consideración durante un período configurable denominado tiempo de espera de bloqueo de destino.

De forma predeterminada, el tiempo de espera de bloqueo de destino es de 300 segundos (5 minutos). Puede configurar un valor de 60 a 3600 segundos (de 1 minuto a 1 hora). Cuando expira el tiempo de espera de bloqueo, L2TP asume que el destino ya está disponible e incluye el destino al realizar el proceso de selección de túnel. El período de bloqueo de destino es un valor global y no se puede configurar individualmente para destinos, túneles o grupos de túneles concretos.

Nota:

En general, no se puede usar un destino bloqueado hasta que expire el temporizador de bloqueo. Sin embargo, cuando L2TP realiza el proceso de selección de túnel, en algunas circunstancias borra el temporizador de bloqueo para un destino bloqueado. Consulte Selección cuando se configura la conmutación por error entre niveles de preferencia y Selección cuando se configura la conmutación por error dentro de un nivel de preferencia en Descripción general de la selección de túnel LAC para obtener información detallada sobre el proceso de selección.

Práctica recomendada:

Configure el tiempo de espera de bloqueo para que sea igual o menor que el tiempo de espera de destrucción. De lo contrario, el tiempo de espera de destrucción expira antes de que se agote el tiempo de espera de bloqueo. En este caso, el destino bloqueado se destruye y puede volver al servicio posteriormente antes de que expire el tiempo de espera de bloqueo, lo que anula la efectividad del tiempo de espera de bloqueo.

Para configurar el tiempo de espera de bloqueo de destino:

  • Especifique el período en segundos.

El show services l2tp destination lockout comando muestra la lista de bloqueo de destino y, para cada destino, indica cuánto tiempo queda antes de que expire el tiempo de espera. El show services l2tp destination detail comando indica para cada destino si está bloqueado y esperando a que expire o no el tiempo de espera.

Eliminación de un destino L2TP de la lista de bloqueo de destino

Cuando un suscriptor PPP intenta iniciar sesión en un dominio, L2TP selecciona un túnel asociado con un destino en ese dominio e intenta acceder al destino. Si el intento de conexión falla, L2TP coloca el destino en la lista de bloqueo de destino. Los destinos de esta lista se excluyen de ser considerados para conexiones posteriores durante un período configurable denominado tiempo de espera de bloqueo de destino.

Puede emitir el request services l2tp destination unlock comando para un destino determinado para quitarlo de la lista de bloqueo de destino. El resultado es que este destino está inmediatamente disponible para su consideración cuando un suscriptor inicia sesión en el dominio asociado.

Para eliminar un destino de la lista de bloqueo de destino:

  • Especifique el nombre del destino que se va a desbloquear.

Configuración del drenaje L2TP

Para fines administrativos, puede establecer el estado de un destino o túnel L2TP para drenar. Esto impide la creación de nuevas sesiones, túneles y destinos en L2TP LAC y LNS.

Puede configurar el drenaje L2TP a nivel global o para un destino o túnel específico. Si la característica está configurada en el nivel L2TP global, no se puede crear ningún destino, túnel o sesión nuevos. Si la característica está configurada para un destino específico, no se puede crear ningún túnel o sesión nuevos en ese destino. Del mismo modo, si la característica está configurada para un túnel específico, no se pueden asignar nuevas sesiones a ese túnel, pero se pueden crear nuevos destinos y túneles.

  • Para evitar la creación de nuevas sesiones, destinos y túneles para L2TP:
  • Para evitar la creación de nuevos túneles y sesiones en un destino determinado:
  • Para evitar la creación de nuevas sesiones en un túnel específico:
    Nota:

    El túnel es el nombre asignado localmente del túnel con el siguiente formato:destination-name/tunnel-name otunnel-name Cuando sólo se proporciona el, debe incluir la address ip-address instrucción para identificar el tunnel-name destino del túnel name por.

Cuando se configura esta característica, el comando genera show services l2tp summary, y muestra el estado de la sesión, show services l2tp destinationel destino y show services l2tp tunnel el túnel L2TP como Drain.

Uso del mismo túnel L2TP para inyección y duplicación de paquetes IP

Puede configurar el mismo túnel L2TP que se utiliza para la duplicación segura de políticas de suscriptor para la duplicación de paquetes. Los paquetes duplicados se utilizan para inyectar tráfico hacia el cliente o hacia la red. La inyección o transmisión de paquetes es compatible con todos los modos de acceso del suscriptor. Se utiliza un único túnel L2TP tanto para la transmisión de paquetes como para la duplicación de paquetes. Un puerto o interfaz configurado para la duplicación de paquetes en un lado de un túnel L2TP está conectado al otro extremo del túnel. El otro extremo del túnel puede enviar paquetes IP mediante el túnel L2TP al puerto o interfaz configurado para la duplicación de paquetes, y los paquetes IP recibidos en esa interfaz se pueden reenviar al cliente o enviarse como si hubieran sido recibidos por el cliente.

El extremo del túnel remoto envía un paquete de túnel IP que contiene una dirección MAC Ethernet en la carga. Si la dirección MAC de destino del paquete de carga contiene la dirección MAC del enrutador, el paquete Ethernet se envía en la dirección saliente hacia la red, y se procesa y reenvía como si se recibiera en el puerto del cliente. Si la dirección MAC de origen del paquete de carga contiene la dirección MAC del enrutador, el paquete Ethernet se transmite en la dirección de salida hacia el puerto del cliente. Si el túnel no contiene la cookie de recepción configurada, no se produce la inyección de paquetes. En tal caso, cualquier paquete de túnel recibido se cuenta y se deja caer de la misma manera en que se cuentan y descartan los paquetes que llegan con una cookie incorrecta.

Para configurar el paquete para que se duplique y se envíe al cliente o a la red (según la dirección MAC de la carga Ethernet), incluya la decapsulate l2tp output-interface interface-name cookie l2tpv3-cookie instrucción en el nivel de [edit firewall family family-name filter filter-name term term-name then] jerarquía. También puede configurar un contador para los paquetes L2TP duplicados o desencapsulados incluyendo la count counter-name instrucción en el nivel de [edit firewall family family-name filter filter-name term term-name then] jerarquía