Настройка L2TP

5 min read

Настройка L2TP

Для простой настройки L2TP на EcoRouter достаточно:

  • Настроить IP связность между LNS и LAC.
  • Настроить IP связность с сервером AAA.
  • Настроить профили абонентов и параметры в них.
  • Настроить опции PPP.
  • Настроить профиль L2TP.
  • Настроить BMI интерфейс.

Настройка опций PPP

Для обработки PPP-сессий абонентов необходимо настроить набор опций PPP с помощью команды конфигурационного режима ppp-options <NAME>, где NAME — локальное наименование профиля.

Команды в контексте ppp-options:

  • description <LINE> — задаёт строку описания для данного набора опций PPP.
  • set aaa <NAME> — подключает профиль абонента внешнего сервера AAA (Authentication Authorization Accounting), созданный по команде subscriber-aaa. В свою очередь, subscriber-aaa ссылается на настройки radius-group.
  • set subscriber-service <NAME> — подключает абонентский сервис, который будет применён в случае отсутствия сервиса от сервера AAA.
  • lcp renegotiation — включает функцию повторного согласования параметров LCP напрямую с клиентом.
  • authentication {pap | chap | ms-chap | ms-chap-v2} — задаёт набор (можно указать несколько протоколов) поддерживаемых способов аутентификации.
  • pool ipv4 <NAME> — подключает созданный с помощью команды ip pool <NAME> пул IP-адресов и переводит в контекст настройки пула. В случае отсутствия со стороны сервера AAA соответствующих параметров могут быть заданы параметры по умолчанию:
    • gateway <A.B.C.D> — передаёт абонентам адрес шлюза по умолчанию.
    • dns <A.B.C.D> — передаёт абонентам DNS IP-адрес
  • auth-req-limit <1-100> — задаёт количество полученных от абонента запросов на аутентификацию, после которого на сервер AAA будет передан повторный запрос на аутентификацию. До достижения указанного лимита повторных запросов, система будет ожидать ответ от сервера ААА на предыдущий запрос абонента. Значение по умолчанию равно 10.
  • idle-timeout <0-1440> — задаёт максимальное время простоя сессии в минутах (отсутствие какого-либо трафика со стороны абонента), после которого сессия будет завершена. Значение по умолчанию равно 30 минутам.
  • max-configure <1-20> — задаёт максимальное количество запросов параметров сессии (Configuration Request) в адрес абонента, после которого сессия будет завершена. Значение по умолчанию равно 10.
  • max-failure <1-10> — задаёт максимально допустимое количество отказов (Nak) в получении параметров сессии, которое система может отправить, после чего будет отправлено сообщение Reject. Значение по умолчанию равно пяти. Отказ (Nak) отправляется абоненту, если поле запроса поддерживается, но его значение не может быть принято. Запрос параметров сессии может быть полностью отклонён (Reject) если поле в запросе не поддерживается или же если количество запросов с неудовлетворяющими значениями превысит количество, указанное в max-failure.
  • max-terminate <1-10> — задаёт максимальное количество запросов на завершение сессии (Termination Request) без положительных ответов, после которого сессия будет завершена в одностороннем порядке. Значение по умолчанию равно единице.
  • mru-alignment — включает работу функции выравнивая размера MRU (Maximum Receive Unit). Функция применяет наименьший MRU и выравнивает его размер в байтах так, чтобы он был был кратен восьми. По умолчанию функция выключена.
  • new-session-min-interval <0-60> — задаёт минимальный интервал времени в секундах до момента, когда абонент сможет повторно инициировать сессию. Значение по умолчанию равно 10 секундам.
  • session-timeout <0-71582780> — время работы сессии в минутах, по истечению которого сессия будет завершена. Значение по умолчанию равно 1440 минутам.
  • shared-service key {agent-option | framed-ip | radius-attribute | vlan} — устанавливает ключевой признак, по которому ряд пользовательских сессий будут обработаны общим сервисом (subscriber-service):
    • agent-option — общая DHCP опция 82 (Circuit ID + Remote ID) (для IPoE абонентов) или теги PPPoE IA (для PPP абонентов);
    • framed-ip — общий список адресов (Framed-IP-Address), назначенный сервером AAA;
    • radius-attribute — общий специфический для РДП Инновации RADIUS-атрибут 251 (Shared Service).
    • vlan — общий VLAN тег или комбинация sVLAN и cVLAN.
  • timeout-echo <1-10> — задаёт промежуток времени в секундах между отправками Echo-сообщений. Значение по умолчанию равно 10.
  • max-echo <0-100> — задаёт максимальное допустимое количество запросов Echo-Request без ответов, после которого сессия будет завершена. Значение по умолчанию равно пяти.
  • timeout-retry <1-10> — задаёт максимально допустимое время ожидания ответа абонента на управляющие сообщения (кроме Echo-Request) в секундах, после которого последует повторная отправка управляющего сообщения. Значение по умолчанию равно трём секундам.
  • update-interval <0-1440> — задаёт промежуток времени в минутах между отправками отчётных (Accounting) сообщений на сервер AAA. Значение по умолчанию равно пяти минутам.

Настройка профиля L2TP

Для работы L2TP-туннеля на маршрутизаторе необходимо создать и настроить соответствующий профиль. Это делается в конфигурационном режиме командой l2tp-profile <NAME>, где NAME — локальное наименование профиля.

Команды в контексте l2tp-profile:

  • description <LINE> — задаёт строку описания для данного профиля L2TP.
  • set ppp-options <PPP> — подключает набор опций PPP, созданный по команде ppp-options <PPP> к L2TP. Процесс установления соединения PPP, в данном случае, является стадией процесса L2TP.
  • set allowed-ip <PREFIX_LIST> — с помощью префиксного списка задаёт допустимые исходящие адреса принимаемых L2TP туннелей.
  • ipv4 address {A.B.C.D | any} — задаёт IPv4-адрес назначения, с которым допускается принимать L2TP туннели. Значение any — позволяет принимать туннели с любым адресом назначения.
  • hostname <NAME> — задаёт наименование маршрутизатора. Включается в управляющие сообщения L2TP. Cлужит для идентификации человеком при журналировании и отладке. Может также быть использовано для аутентификации и авторизации серверами AAA.
  • vendor-name <NAME> — задаёт наименование производителя. Включается в управляющие сообщения L2TP. Служит для идентификации производителя оборудования. Cлужит для идентификации человеком при журналировании и отладке. При настройке мультивендорных сетей помогает правильно интерпретировать поведение туннеля.
  • secret <WORD> — пароль для L2TP туннеля. Для работы туннеля на обоих его концах должен быть задать одинаковый пароль.
  • hello-interval <1-250> — задаёт интервал отправки приветственных сообщений в секундах. Обеспечивает механизм поддержания жизнеспособности туннеля (keepalive). Значение по умолчанию равно 60 секундам.
  • max-retransmit count <1-250> — задаёт максимальное количество повторных попыток передать управляющее сообщение. При неполучении подтверждающих сообщений управляющее сообщение отправляется повторно через время, определяемое ack-timeout. После исчерпания количества попыток сессия будет завершена. Значение по умолчанию равно пяти.
  • ack-timeout <1-250> — задаёт время ожидания подтверждающего сообщения (ZLB) в секундах, по истечении которого произойдёт повторная отправка управляющего сообщения. Заданное время ожидания увеличивается вдвое после каждой повторной отправки управляющего сообщения. Значение по умолчанию равно одной секунде.
  • max-ack-timeout <8-250> — задаёт предельное время ожидания подтверждающих сообщений ZLB (Zero-Length Body) в секундах. Когда время ожидания ack-timeout превысит значение заданное max-ack-timeout, управляющие сообщения продолжат отправляться с периодичностью max-ack-timeout до исчерпания max-retransmit count. Значение по умолчанию равно 16 секундам.
  • receive-window-size <1-32768> — задаёт размер окна приёма для управляющих сообщений. Удалённый узел может отправить указанное количество управляющих сообщений, после чего ему придётся ждать подтверждения для отправки следующих. Значение по умолчанию равно 16.
  • tunnel-negotiation wait-timeout <1-250> — максимальное время на установления L2TP туннеля. Значение по умолчанию равно 60 секундам.

Graph View