EN ESTA PÁGINA
Acciones de conmutación de túnel para AVP L2TP en el límite de conmutación
Configuración del tiempo de espera de inactividad del túnel L2TP
Configuración del tiempo de espera de bloqueo de destino L2TP
Eliminación de un destino L2TP de la lista de bloqueo de destino
Uso del mismo túnel L2TP para inyección y duplicación de paquetes IP
Conmutación de túnel L2TP para redes de varios dominios
Descripción general de la conmutación de túnel L2TP
La conmutación de túnel L2TP, también conocida como multisalto L2TP, simplifica el despliegue de una red L2TP en varios dominios. Un enrutador que se encuentra entre un LAC y un LNS se configura como un conmutador de túnel L2TP (LTS), a veces denominado simplemente conmutador de túnel o agregador de conmutación de túnel (TSA), como se muestra en la Figura 1. El LTS se configura como un LNS y un LAC. Cuando un LAC remoto envía paquetes PPP encapsulados al LNS configurado en el LTS, el LTS puede reenviar o redirigir los paquetes a través de un túnel diferente a un LNS diferente más allá del LTS. El punto de terminación lógica de la sesión L2TP original se conmuta a un extremo diferente.
Por ejemplo, en la red que se muestra en la figura 1, los paquetes del suscriptor aprovisionados por el proveedor de servicios A se dirigen inicialmente al LNS configurado en el LTS. El LTS podría redirigir esos paquetes a LNS1.
La conmutación de túnel L2TP simplifica la configuración de la red cuando el dominio administrativo de un LAC es diferente del del LNS deseado. Por ejemplo:
El LTS actúa como el LNS para múltiples LAC. Los LAC individuales no tienen que tener el control administrativo o la capacidad requerida para identificar el LNS más apropiado para terminar sus sesiones. El LTS realiza esa función está centralizada en el LTS.
El LTS actúa como LAC para múltiples LNS. Cuando se agrega un nuevo LAC remoto a la red de un ISP, el ISP no tiene que reconfigurar sus enrutadores LNS para acomodar el nuevo LAC, ya que se conectan al LAC en el LTS.
En una red mayorista de capa 2, el mayorista puede utilizar la conmutación de túnel L2TP para crear una configuración de red más plana que sea más fácil de administrar. El mayorista agrupa las sesiones de capa 2 de un LAC destinadas a diferentes ISP y, por lo tanto, a diferentes LNS, en un único túnel L2TP. Esta configuración permite utilizar una conexión de control L2TP común para el LAC.
La figura 2 muestra un ejemplo de conmutación de túnel L2TP para llamadas entrantes con la siguiente secuencia de eventos:
El suscriptor abre una sesión PPP al LAC.
El LAC crea el primer túnel L2TP al LNS configurado en el LTS y la primera sesión L2TP para transportar los paquetes PPP encapsulados.
Durante la autenticación de esta primera sesión, LTS determina si se debe volver a tunelizar la sesión a un LNS más allá del LTS, en función de la presencia o ausencia de un perfil de conmutador de túnel configurado en el LTS.
El perfil de conmutador de túnel puede ser un perfil predeterminado o puede aplicarlo mediante el servidor RADIUS, una configuración de mapa de dominio o una configuración de grupo de túneles.
Si se configura un perfil de conmutador de túnel, el LTS crea un segundo túnel (si aún no existe) al LNS más allá del LTS como se especifica en el perfil y crea la segunda sesión en este túnel.
- Aplicación de perfiles de conmutación de túnel
- Finalización de sesiones de conmutación de túnel en LTS
Aplicación de perfiles de conmutación de túnel
Puede configurar un perfil de conmutador de túnel para que se aplique de varias maneras:
Como perfil predeterminado aplicado globalmente al tráfico recibido de todas las LAC
Con un mapa de dominio aplicado a una sesión de suscriptor
Con un grupo de túneles aplicado a una sesión de suscriptor
En la configuración del servidor RADIUS, devuelto en el VSA de perfil de conmutación de túnel (26-91)
Puede configurar más de uno de estos métodos de aplicación. Cuando hay varios perfiles de conmutador de túnel, el siguiente orden de prioridad establece qué perfil utiliza el LTS; el orden es del más alto (RADIUS) al más bajo (perfil predeterminado):
Mapa de dominio de > RADIUS VSA 26-91 > grupo de túneles > perfil global de conmutador de túnel
El perfil de conmutación de túnel también debe hacer referencia a un perfil de túnel. Este perfil de túnel especifica las características del segundo túnel, al que se conmutan los paquetes de suscriptor.
Finalización de sesiones de conmutación de túnel en LTS
Las sesiones de conmutación de túnel finalizan en LTS cuando se produce alguna de las siguientes situaciones:
La interfaz LAC o LNS en el LTS recibe un mensaje de llamada-desconexión-notificación (CDN) (Tabla 1).
Tabla 1: Causa del mensaje de CDN El mensaje CDN se recibe el
Cuando
Interfaz LAC
Se produce una de las siguientes situaciones:
No se puede establecer la segunda sesión.
El LNS remoto finaliza la segunda sesión.
Interfaz LNS
Se produce una de las siguientes situaciones:
El cliente PPPoE inicia un cierre de sesión.
El LAC de origen inicia la terminación del túnel
Tanto la primera como la segunda sesión finalizan porque LTS transmite la CDN a la interfaz que no recibió la CDN. La causa de desconexión es la misma para ambas sesiones.
La interfaz LAC o LNS en el LTS recibe un mensaje Stop-Control-Connection-Notification (StopCCN) (Tabla 2).
Tabla 2: Causa del mensaje StopCCN El mensaje StopCCN se recibe el
Cuando
Interfaz LAC
Se produce una de las siguientes situaciones:
No se puede establecer la segunda sesión.
El LNS remoto termina el segundo túnel.
Interfaz LNS
El LAC de origen inicia la terminación del túnel.
El LTS no retransmite el mensaje StopCCN, ya que un túnel determinado puede contener sesiones conmutadas y no conmutadas. Otra razón en un escenario mayorista es que el túnel que termina en el LNS en el LTS puede contener sesiones de LAC de diferentes proveedores. En su lugar, el LTS envía un mensaje de CDN a la interfaz que no recibió el StopCCN para finalizar la sesión de conmutación de túnel. Esta CDN transmite el código de error que se lleva en el StopCCN.
Se emite un comando administrativo
clearen el LTS.
En el cuadro 3 se enumeran las medidas adoptadas cuando se emite una orden administrativa clear en la LTS.
Comando |
Acción LAC o LNS |
Acción LTS |
|---|---|---|
|
Borre el destino y todos los túneles y sesiones asociados. |
Para cada sesión conmutada en un túnel hacia el destino, borre la sesión conmutada asignada correspondiente enviándole un mensaje CDN con la causa establecida en Administrativa. |
|
Borre todos los destinos y todos los túneles y sesiones asociados. |
Ninguno. |
|
Borre la sesión. |
Borre la sesión conmutada asignada correspondiente para esta sesión enviándole un mensaje CDN con la causa establecida en Administrativa. |
|
Borre todas las sesiones. |
Ninguno. |
|
Borre el túnel y todas sus sesiones. |
Para cada sesión conmutada en el túnel, borre la sesión conmutada asignada correspondiente enviándole un mensaje CDN con la causa establecida en Administrativa. |
|
Borre todos los túneles. |
Ninguno. |
Acciones de conmutación de túnel para AVP L2TP en el límite de conmutación
Cuando la conmutación de túnel L2TP redirige paquetes a un LNS diferente, realiza una de las siguientes acciones predeterminadas en el límite de conmutación para cada AVP transportado en los mensajes L2TP:
relay—L2TP reenvía de forma transparente el AVP en el paquete conmutado sin alteraciones.regenerate—L2TP ignora el AVP recibido que fue negociado por el primer túnel y sesión. Genera un nuevo AVP para la segunda sesión basado en la política local en el LTS y envía este AVP en el paquete conmutado. La directiva local puede o no usar el valor del AVP recibido durante la negociación de la primera sesión.
En la tabla 4 se enumera la acción predeterminada para cada AVP. Los AVP obligatorios siempre se incluyen en los mensajes L2TP del ALC; Es posible que se incluyan AVP opcionales en los mensajes.
Opcionalmente, puede anular la acción predeterminada realizada en el límite de conmutación para el AVP de tipo portador (18), el AVP del número de llamada (22) o el AVP de información del puerto del NAS de Cisco (100). Puede configurar cualquiera de estos tres AVP para que se eliminen de los paquetes conmutados o se regeneren, o puede restaurar la acción de retransmisión predeterminada.
Los AVP L2TP que tienen sus valores de atributo ocultos siempre se regeneran en el límite de conmutación. El valor se descodifica y se envía en texto sin cifrar cuando el paquete se reenvía al LNS remoto.
Nombre AVP (número) |
Tipo de AVP |
Tipo de mensaje L2TP |
Acción predeterminada |
|---|---|---|---|
ID de sesión asignado (14) |
Obligatorio |
CDN, ICRQ |
Regenerar |
ID de túnel asignado (9) |
Obligatorio |
SCCRQ |
Regenerar |
Capacidades al portador (4) |
Opcional |
SCCRQ |
Regenerar |
Tipo de portador (18) |
Opcional |
ICRQ |
Relé |
Número de serie de la llamada (15) |
Obligatorio |
ICRQ |
Relé |
Número de llamada (21) |
Opcional |
ICRQ |
Relé |
Número de llamada (22) |
Opcional |
ICRQ |
Relé |
Desafío (11) |
Opcional |
SCCRQ |
Regenerar |
Respuesta al desafío (13) |
Opcional |
SCCCN |
Regenerar |
Puerto NAS de Cisco |
Opcional |
ICRQ |
Relé |
Capacidad de conmutación por error |
Opcional |
SCCRQ |
Regenerar |
Revisión de firmware (6) |
Opcional |
SCCRQ |
Regenerar |
Capacidades de encuadre (3) |
Obligatorio |
SCCRQ |
Regenerar |
Tipo de encuadre (19) |
Obligatorio |
ICCN (en inglés) |
Relé |
Nombre de host (7) |
Obligatorio |
SCCRQ |
Regenerar |
LCP CONFREQ recibido inicialmente (26) |
Opcional |
ICCN (en inglés) |
Relé Cuando la renegociación de LCP está habilitada con la |
Última recepción LCP CONFREQ (28) |
Opcional |
ICCN (en inglés) |
Relé Cuando la renegociación de LCP está habilitada con la |
Último envío LCP CONFREQ (27) |
Opcional |
ICCN (en inglés) |
Relé Cuando la renegociación de LCP está habilitada con la |
Tipo de mensaje (0) |
Obligatorio |
Todo |
Regenerar |
Identificador de canal físico (25) |
Opcional |
ICRQ |
Regenerar |
ID de grupo privado (37) |
Opcional |
ICCN (en inglés) |
Relé |
Versión del protocolo (2) |
Obligatorio |
SCCRQ |
Regenerar |
Desafío Proxy Authen (31) |
Opcional |
ICCN (en inglés) |
Relé Cuando la renegociación de LCP está habilitada con la |
ID de autenticación de proxy (32) |
Opcional |
ICCN (en inglés) |
Relé Cuando la renegociación de LCP está habilitada con la |
Proxy Authen Nombre (30) |
Opcional |
ICCN (en inglés) |
Relé Cuando la renegociación de LCP está habilitada con la |
Proxy Authen Respuesta (33) |
Opcional |
ICCN (en inglés) |
Relé Cuando la renegociación de LCP está habilitada con la |
Tipo de autenticación de proxy (29) |
Opcional |
ICCN (en inglés) |
Relé Cuando la renegociación de LCP está habilitada con la |
Tamaño de ventana de recepción (10) |
Opcional |
SCCRQ |
Regenerar |
Velocidad de conexión Rx (38) |
Opcional |
ICCN (en inglés) |
Relé |
Secuenciación requerida (39) |
Opcional |
ICCN (en inglés) |
Regenerar |
Subdirección (23) |
Opcional |
ICRQ |
Relé |
Desempate (5) |
Opcional |
SCCRQ |
Regenerar |
Recuperación de túnel |
Opcional |
SCCRQ |
Regenerar |
Velocidad de conexión TX (24) |
Obligatorio |
ICCN (en inglés) |
Relé |
Nombre del proveedor (8) |
Opcional |
SCCRQ |
Regenerar |
Configuración de la conmutación de túnel L2TP
La conmutación de túnel L2TP permite a un enrutador configurado como LTS reenviar paquetes PPP transportados en una sesión L2TP a una segunda sesión L2TP terminada en un LNS diferente. Para configurar la conmutación de túnel L2TP, debe definir un perfil de conmutador de túnel y, a continuación, asignarlo.
Puede configurar perfiles de conmutador de túnel para todas las sesiones globalmente, todas las sesiones en un grupo de túneles, todas las sesiones en un dominio o en la configuración del servidor RADIUS para que se devuelvan en el VSA de perfil de conmutador de túnel RADIUS (26-91). El orden de prioridad para los perfiles de conmutación de túnel de diversos orígenes es el siguiente:
Mapa de dominio de > RADIUS VSA 26-91 > grupo de túneles > perfil global de conmutador de túnel
Para definir un perfil de conmutador de túnel L2TP:
Por ejemplo, considere la siguiente configuración. que crea tres perfiles de conmutador de túnel, l2tp-tunnel-switch-profile, lts-profile-groupA y lts-profile-example-com:
[edit access tunnel-switch-profile l2tp-tunnel-switch-profile] user@host# set avp bearer-type regenerate user@host# set avp calling-number regenerate user@host# set avp cisco-nas-port-info drop user@host# set tunnel-profile l2tp-tunnel-profile1 [edit access tunnel-switch-profile lts-profile-groupA] user@host# set tunnel-profile l2tp-tunnel-profile2 [edit access tunnel-switch-profile lts-profile-example.com] user@host# set tunnel-profile l2tp-tunnel-profile3 [edit services l2tp] user@host1# set tunnel-switch-profile l2tp-tunnel-switch-profile user@host1# set tunnel-group groupA tunnel-switch-profile lts-profile-groupA [edit access domain] user@host1# set map example.com tunnel-switch-profile lts-profile-example.com
El perfil l2tp-tunnel-switch-profile se aplica como valor predeterminado global. Cuando los paquetes se conmutan de acuerdo con este perfil, los valores para el AVP de tipo portador (18) y el número de llamada AVP (22) en los paquetes L2TP se regeneran según la política local en el conmutador de túnel L2TP y luego se envían con los paquetes. El AVP (100) de información del puerto NAS de Cisco simplemente se elimina. Por último, l2tp-tunnel-profile1 proporciona las características de configuración del túnel al que se conmuta el tráfico.
El perfil de conmutación de túnel lts-profile-groupA se aplica mediante un grupo de túneles, groupA; Especifica un perfil de túnel diferente, l2tp-tunnel-profile2 y no anula ninguna acción de AVP. El perfil de conmutación de túnel lts-profile-example.com se aplica mediante un mapa de dominio para el dominio example.com; Especifica un perfil de túnel diferente, l2tp-tunnel-profile3 y no anula ninguna acción de AVP.
Configuración del tamaño de la ventana de recepción L2TP
Puede configurar el tamaño de la ventana de recepción L2TP para un túnel L2TP. El tamaño de la ventana de recepción especifica el número de paquetes que un par puede enviar antes de esperar una confirmación del enrutador.
De forma predeterminada, el tamaño de la ventana de recepción se establece en cuatro paquetes. Si el tamaño de la ventana de recepción se establece en su valor predeterminado, el enrutador no envía el AVP de tamaño de ventana de recepción, AVP 10, en su primer paquete enviado durante la negociación de túnel a su par.
Para configurar el tamaño de la ventana de recepción:
[edit services l2tp tunnel] user@host# set rx-window-size packets
Configuración del tiempo de espera de inactividad del túnel L2TP
Puede configurar el LAC o el LNS para especificar cuánto tiempo permanece activo un túnel sin ninguna sesión. El temporizador de inactividad se inicia cuando finaliza la última sesión en el túnel. Cuando el temporizador expira, el túnel se desconecta. Este tiempo de espera de inactividad libera recursos que de otro modo serían consumidos por túneles inactivos.
Si establece el valor de tiempo de espera de inactividad en cero, el túnel se ve obligado a permanecer activo indefinidamente después de que finalice la última sesión hasta que ocurra una de las siguientes situaciones:
Ejecutar el
clear services l2tp tunnelcomando.El par remoto desconecta el túnel.
Antes de cambiar a una versión de Junos OS que no admita esta instrucción, se recomienda desconfigurar explícitamente la función incluyendo la no idle-timeout instrucción en el nivel de [edit services l2tp tunnel] jerarquía.
Para establecer el tiempo de espera de inactividad del túnel:
Configure el período de tiempo de espera.
[edit services l2tp tunnel] user@host# set idle-timeout seconds
Configuración del tiempo de espera de destrucción L2TP
Puede configurar el LAC o el LNS para especificar cuánto tiempo intenta el enrutador mantener destinos, túneles y sesiones dinámicos después de haber sido destruidos. Este tiempo de espera de destrucción ayuda a la depuración y otros análisis al guardar las estructuras de memoria subyacentes después de finalizar el destino, el túnel o la sesión. Es posible que no se mantenga ningún destino, túnel o sesión dinámico específico durante todo este período de tiempo si los recursos deben recuperarse anticipadamente para permitir que se establezcan nuevos túneles.
Antes de cambiar a una versión de Junos OS que no admita esta instrucción, se recomienda desconfigurar explícitamente la función incluyendo la no destruct-timeout instrucción en el nivel de [edit services l2tp] jerarquía.
Para establecer el tiempo de espera de destrucción de L2TP:
Configure el período de tiempo de espera.
[edit services l2tp] user@host# set destruct-timeout seconds
Configuración del tiempo de espera de bloqueo de destino L2TP
Cuando hay varios conjuntos de parámetros de túnel disponibles, L2TP utiliza un proceso de selección para elegir el mejor túnel para el tráfico de suscriptores. Como parte de este proceso de selección, L2TP bloquea los destinos a los que no puede conectarse cuando un suscriptor intenta llegar a un dominio. L2TP coloca el destino en la lista de bloqueo de destino y excluye el destino de la consideración durante un período configurable denominado tiempo de espera de bloqueo de destino.
De forma predeterminada, el tiempo de espera de bloqueo de destino es de 300 segundos (5 minutos). Puede configurar un valor de 60 a 3600 segundos (de 1 minuto a 1 hora). Cuando expira el tiempo de espera de bloqueo, L2TP asume que el destino ya está disponible e incluye el destino al realizar el proceso de selección de túnel. El período de bloqueo de destino es un valor global y no se puede configurar individualmente para destinos, túneles o grupos de túneles concretos.
En general, no se puede usar un destino bloqueado hasta que expire el temporizador de bloqueo. Sin embargo, cuando L2TP realiza el proceso de selección de túnel, en algunas circunstancias borra el temporizador de bloqueo para un destino bloqueado. Consulte Selección cuando se configura la conmutación por error entre niveles de preferencia y Selección cuando se configura la conmutación por error dentro de un nivel de preferencia en Descripción general de la selección de túnel LAC para obtener información detallada sobre el proceso de selección.
Configure el tiempo de espera de bloqueo para que sea igual o menor que el tiempo de espera de destrucción. De lo contrario, el tiempo de espera de destrucción expira antes de que se agote el tiempo de espera de bloqueo. En este caso, el destino bloqueado se destruye y puede volver al servicio posteriormente antes de que expire el tiempo de espera de bloqueo, lo que anula la efectividad del tiempo de espera de bloqueo.
Para configurar el tiempo de espera de bloqueo de destino:
Especifique el período en segundos.
[edit services l2tp destination] user@host# set lockout-timeout seconds
El show services l2tp destination lockout comando muestra la lista de bloqueo de destino y, para cada destino, indica cuánto tiempo queda antes de que expire el tiempo de espera. El show services l2tp destination detail comando indica para cada destino si está bloqueado y esperando a que expire o no el tiempo de espera.
Eliminación de un destino L2TP de la lista de bloqueo de destino
Cuando un suscriptor PPP intenta iniciar sesión en un dominio, L2TP selecciona un túnel asociado con un destino en ese dominio e intenta acceder al destino. Si el intento de conexión falla, L2TP coloca el destino en la lista de bloqueo de destino. Los destinos de esta lista se excluyen de ser considerados para conexiones posteriores durante un período configurable denominado tiempo de espera de bloqueo de destino.
Puede emitir el request services l2tp destination unlock comando para un destino determinado para quitarlo de la lista de bloqueo de destino. El resultado es que este destino está inmediatamente disponible para su consideración cuando un suscriptor inicia sesión en el dominio asociado.
Para eliminar un destino de la lista de bloqueo de destino:
Especifique el nombre del destino que se va a desbloquear.
user@host> request services l2tp destination unlock destination-name
Configuración del drenaje L2TP
Para fines administrativos, puede establecer el estado de un destino o túnel L2TP para drenar. Esto impide la creación de nuevas sesiones, túneles y destinos en L2TP LAC y LNS.
Puede configurar el drenaje L2TP a nivel global o para un destino o túnel específico. Si la característica está configurada en el nivel L2TP global, no se puede crear ningún destino, túnel o sesión nuevos. Si la característica está configurada para un destino específico, no se puede crear ningún túnel o sesión nuevos en ese destino. Del mismo modo, si la característica está configurada para un túnel específico, no se pueden asignar nuevas sesiones a ese túnel, pero se pueden crear nuevos destinos y túneles.
Cuando se configura esta característica, el comando genera show services l2tp summary, y muestra el estado de la sesión, show services l2tp destinationel destino y show services l2tp tunnel el túnel L2TP como Drain.
Uso del mismo túnel L2TP para inyección y duplicación de paquetes IP
Puede configurar el mismo túnel L2TP que se utiliza para la duplicación segura de políticas de suscriptor para la duplicación de paquetes. Los paquetes duplicados se utilizan para inyectar tráfico hacia el cliente o hacia la red. La inyección o transmisión de paquetes es compatible con todos los modos de acceso del suscriptor. Se utiliza un único túnel L2TP tanto para la transmisión de paquetes como para la duplicación de paquetes. Un puerto o interfaz configurado para la duplicación de paquetes en un lado de un túnel L2TP está conectado al otro extremo del túnel. El otro extremo del túnel puede enviar paquetes IP mediante el túnel L2TP al puerto o interfaz configurado para la duplicación de paquetes, y los paquetes IP recibidos en esa interfaz se pueden reenviar al cliente o enviarse como si hubieran sido recibidos por el cliente.
El extremo del túnel remoto envía un paquete de túnel IP que contiene una dirección MAC Ethernet en la carga. Si la dirección MAC de destino del paquete de carga contiene la dirección MAC del enrutador, el paquete Ethernet se envía en la dirección saliente hacia la red, y se procesa y reenvía como si se recibiera en el puerto del cliente. Si la dirección MAC de origen del paquete de carga contiene la dirección MAC del enrutador, el paquete Ethernet se transmite en la dirección de salida hacia el puerto del cliente. Si el túnel no contiene la cookie de recepción configurada, no se produce la inyección de paquetes. En tal caso, cualquier paquete de túnel recibido se cuenta y se deja caer de la misma manera en que se cuentan y descartan los paquetes que llegan con una cookie incorrecta.
Para configurar el paquete para que se duplique y se envíe al cliente o a la red (según la dirección MAC de la carga Ethernet), incluya la decapsulate l2tp output-interface interface-name cookie l2tpv3-cookie instrucción en el nivel de [edit firewall family family-name filter filter-name term term-name then] jerarquía. También puede configurar un contador para los paquetes L2TP duplicados o desencapsulados incluyendo la count counter-name instrucción en el nivel de [edit firewall family family-name filter filter-name term term-name then] jerarquía