複数ドメインネットワーク向けのL2TPトンネルスイッチング
L2TP トンネル スイッチングの概要
L2TPトンネルスイッチングは、L2TPマルチホップとも呼ばれ、複数のドメインにまたがるL2TPネットワークの導入を簡素化します。図 1 に示すように、LAC と LNS の間にあるルーターは、L2TP トンネル スイッチ(LTS)として設定されます(単にトンネル スイッチまたは TSA(トンネル スイッチング アグリゲータ)と呼ばれることもあります)。LTS は LNS と LAC の両方として設定されます。リモートLACがカプセル化されたPPPパケットをLTSに設定されたLNSに送信すると、LTSは別のトンネルを介して、LTSを越えた別のLNSにパケットを転送またはリダイレクトできます。元の L2TP セッションの論理終了ポイントは、別のエンドポイントに切り替わります。
たとえば、 図 1 に示すネットワークでは、サービス プロバイダー A によってプロビジョニングされた加入者からのパケットは、最初に LTS に設定された LNS をターゲットとします。LTS は、これらのパケットを LNS1 にリダイレクトする場合があります。
L2TPトンネルスイッチングは、LACの管理ドメインが目的のLNSの管理ドメインと異なる場合のネットワーク設定を簡素化します。例えば:
LTS は、複数の LAC の LNS として機能します。個々の LAC は、セッションを終了するのに最も適した LNS を特定するために必要な管理制御や機能を持っている必要はありません。LTS は、その機能を LTS に一元化して実行します。
LTS は、複数の LNS の LAC として機能します。新しいリモートLACがISPのネットワークに追加された場合、ISPはLTS上のLACに接続するため、新しいLACに対応するようにLNSルーターを再設定する必要はありません。
レイヤー2ホールセールネットワークでは、ホールセール業者はL2TPトンネルスイッチングを使用して、管理しやすいフラットなネットワーク構成を作成できます。ホールセールラーは、異なるISP(つまり異なるLNS)を宛先とするLACからのレイヤー2セッションを、1つのL2TPトンネルにバンドルします。この設定では、共通の L2TP 制御接続を LAC に使用できるようになります。
図 2 は、次の一連のイベントを持つ着信呼び出しの L2TP トンネル切り替えの例を示しています。
加入者は、LACへのPPPセッションを開きます。
LAC は、LTS に設定された LNS への最初の L2TP トンネルと、カプセル化された PPP パケットを伝送する最初の L2TP セッションを作成します。
この最初のセッションの認証時に、LTS は、LTS に設定されたトンネル スイッチ プロファイルの有無に基づいて、LTS を超えた LNS にセッションを再トンネリングするかどうかを決定します。
トンネル スイッチ プロファイルは、デフォルト プロファイルにすることも、RADIUS サーバー、ドメイン マップ設定、トンネル グループ設定によって適用することもできます。
トンネル スイッチ プロファイルが設定されている場合、LTS はプロファイルで指定された LTS を超えて LNS への 2 番目のトンネル(まだ存在しない場合)を作成し、このトンネルに 2 番目のセッションを作成します。
トンネル スイッチ プロファイルの適用
いくつかの方法で、トンネル スイッチ プロファイルが適用されるように設定できます。
すべてのLACから受信したトラフィックにグローバルに適用されるデフォルトプロファイルとして
ドメイン マップが加入者セッションに適用されている場合
加入者セッションに適用されたトンネル グループあり
RADIUS サーバー設定では、トンネル スイッチ プロファイル VSA(26-91)で返されます。
これらの適用方法は、複数設定できます。複数のトンネル スイッチ プロファイルが存在する場合、次の優先順位により、LTS が使用するプロファイルが確立されます。高い順(RADIUS)から低い順(デフォルトプロファイル)です。
RADIUS VSA 26-91 >ドメイン マップ >トンネル グループ>グローバル トンネル スイッチ プロファイル
トンネル スイッチ プロファイルは、トンネル プロファイルも参照する必要があります。このトンネル プロファイルは、加入者パケットがスイッチされる 2 番目のトンネルの特性を指定します。
LTS でのトンネルスイッチセッションの終了
トンネル スイッチ セッションは、次のいずれかが発生した場合に LTS で終了します。
LTSのLACまたはLNSインターフェイスのいずれかが、Call-Disconnect-Notify(CDN)メッセージを受信します(表1)。
表 1: CDN メッセージの原因 CDN メッセージの受信日時
いつ
LAC インターフェイス
次のいずれかが発生します。
2 番目のセッションを確立できません。
リモート LNS は 2 番目のセッションを終了します。
LNSインターフェイス
次のいずれかが発生します。
PPPoE クライアントがログアウトを開始します。
送信元LACがトンネルの終端を開始します
LTS は CDN を受信しなかったインターフェイスに CDN を中継するため、1 番目と 2 番目のセッションの両方が終了します。切断の原因はどちらのセッションでも同じです。
LTS の LAC または LNS インターフェイスのいずれかが、StopCCN(Stop-Control-Connection-Notification)メッセージを受信します(表 2)。
表 2: StopCCN メッセージの原因 StopCCN メッセージの受信日時
いつ
LAC インターフェイス
次のいずれかが発生します。
2 番目のセッションを確立できません。
リモート LNS は 2 番目のトンネルを終端します。
LNSインターフェイス
送信元のLACがトンネルの終端を開始します。
LTS は StopCCN メッセージをリレーしません。これは、特定のトンネルにスイッチされたセッションとスイッチされていないセッションの両方を含めることができるためです。ホールセール シナリオのもう 1 つの理由は、LTS 上の LNS で終了するトンネルに、異なるプロバイダーの LAC からのセッションが含まれる可能性があることです。代わりに、LTS は StopCCN を受信しなかったインターフェイスに CDN メッセージを送信して、トンネルスイッチ セッションを終了します。このCDNは、StopCCNで運ばれたエラーコードを中継します。
管理
clearコマンドが LTS で発行されます。
表 3 は、LTS で administrative clear コマンドが発行されたときに実行されるアクションを示しています。
命令 |
LAC または LNS アクション |
LTSアクション |
|---|---|---|
|
宛先と、関連するすべてのトンネルとセッションをクリアします。 |
宛先へのトンネル内のスイッチド セッションごとに、原因が Administrative(管理)に設定された CDN メッセージを送信して、対応するマッピングされたスイッチド セッションをクリアします。 |
|
すべての宛先と、関連するすべてのトンネルとセッションをクリアします。 |
何一つ。 |
|
セッションをクリアします。 |
原因が Administrative に設定された CDN メッセージを送信して、このセッションに対応するマッピングされたスイッチ セッションをクリアします。 |
|
すべてのセッションをクリアします。 |
何一つ。 |
|
トンネルとそのすべてのセッションをクリアします。 |
トンネル内のスイッチされたセッションごとに、原因が [管理(Administrative)] に設定された CDN メッセージを送信して、対応するマッピングされたスイッチド セッションをクリアします。 |
|
すべてのトンネルをクリアします。 |
何一つ。 |
スイッチング境界での L2TP AVP のトンネル スイッチング アクション
L2TP トンネル スイッチングがパケットを異なる LNS にリダイレクトする場合、L2TP メッセージで伝送される各 AVP のスイッチング境界で、次のいずれかのデフォルト アクションを実行します。
relay—L2TP は、変更なしでスイッチド パケット内の AVP を透過的に転送します。regenerate—L2TP は、最初のトンネルとセッションでネゴシエートされた受信 AVP を無視します。LTS のローカル ポリシーに基づいて 2 番目のセッションの新しい AVP を生成し、この AVP をスイッチド パケットで送信します。ローカル ポリシーは、最初のセッションのネゴシエーション中に受信した AVP の値を使用する場合と使用しない場合があります。
表 4 に、各 AVP のデフォルト アクションを示します。必須の AVP は、LAC からの L2TP メッセージに常に含まれます。オプションのAVPがメッセージに含まれる場合があります。
オプションで、ベアラ タイプ AVP(18)、発信者番号 AVP(22)、または Cisco NAS Port Info AVP(100)のスイッチング境界で実行されるデフォルト アクションを上書きできます。これら 3 つの AVP のいずれかを、スイッチド パケットからドロップするか、再生成するか、デフォルトのリレー アクションを復元するように設定できます。
属性値が非表示になっている L2TP AVP は、常にスイッチング境界で再生成されます。値はデコードされ、パケットがリモートLNSに転送されるときにクリアテキストで送信されます。
AVP 名(番号) |
AVP タイプ |
L2TP メッセージの種類 |
デフォルトアクション |
|---|---|---|---|
割り当てられたセッションID (14) |
必須 |
CDN、ICRQ |
再生 |
割り当てられたトンネル ID(9) |
必須 |
SCCRQの |
再生 |
ベアラー機能 (4) |
随意 |
SCCRQの |
再生 |
ベアラータイプ (18) |
随意 |
ICRQ |
リレー |
シリアル番号に電話する (15) |
必須 |
ICRQ |
リレー |
請求記号(21) |
随意 |
ICRQ |
リレー |
発信番号 (22) |
随意 |
ICRQ |
リレー |
チャレンジ (11) |
随意 |
SCCRQの |
再生 |
チャレンジレスポンス (13) |
随意 |
SCCCNの |
再生 |
Cisco NASポート |
随意 |
ICRQ |
リレー |
フェイルオーバー機能 |
随意 |
SCCRQの |
再生 |
ファームウェアリビジョン (6) |
随意 |
SCCRQの |
再生 |
フレーミング機能 (3) |
必須 |
SCCRQの |
再生 |
フレーミングタイプ (19) |
必須 |
ICCNの |
リレー |
ホスト名 (7) |
必須 |
SCCRQの |
再生 |
初期受信LCP CONFREQ(26) |
随意 |
ICCNの |
リレー LCP 再ネゴシエーションが LNS 上のクライアント プロファイルの |
最終受信LCP CONFREQ (28) |
随意 |
ICCNの |
リレー LCP 再ネゴシエーションが LNS 上のクライアント プロファイルの |
最終送信日LCP CONFREQ(27) |
随意 |
ICCNの |
リレー LCP 再ネゴシエーションが LNS 上のクライアント プロファイルの |
メッセージの種類 (0) |
必須 |
すべての |
再生 |
物理チャネル ID(25) |
随意 |
ICRQ |
再生 |
プライベートグループID (37) |
随意 |
ICCNの |
リレー |
プロトコルバージョン (2) |
必須 |
SCCRQの |
再生 |
プロキシAuthenチャレンジ (31) |
随意 |
ICCNの |
リレー LCP 再ネゴシエーションが LNS 上のクライアント プロファイルの |
プロキシ Authen ID (32) |
随意 |
ICCNの |
リレー LCP 再ネゴシエーションが LNS 上のクライアント プロファイルの |
プロキシ Authen 名 (30) |
随意 |
ICCNの |
リレー LCP 再ネゴシエーションが LNS 上のクライアント プロファイルの |
プロキシ認証応答 (33) |
随意 |
ICCNの |
リレー LCP 再ネゴシエーションが LNS 上のクライアント プロファイルの |
プロキシオーセンタイプ (29) |
随意 |
ICCNの |
リレー LCP 再ネゴシエーションが LNS 上のクライアント プロファイルの |
受信ウィンドウ サイズ (10) |
随意 |
SCCRQの |
再生 |
RX接続速度 (38) |
随意 |
ICCNの |
リレー |
シーケンシングが必要 (39) |
随意 |
ICCNの |
再生 |
サブアドレス (23) |
随意 |
ICRQ |
リレー |
タイブレイカー (5) |
随意 |
SCCRQの |
再生 |
トンネルリカバリー |
随意 |
SCCRQの |
再生 |
Tx接続速度 (24) |
必須 |
ICCNの |
リレー |
ベンダー名(8) |
随意 |
SCCRQの |
再生 |
L2TP トンネル スイッチングの設定
L2TP トンネル スイッチングを使用すると、LTS として設定されたルーターが、1 つの L2TP セッションで伝送された PPP パケットを、別の LNS で終了した 2 番目の L2TP セッションに転送できます。L2TP トンネル スイッチングを設定するには、トンネル スイッチ プロファイルを定義し、そのプロファイルを割り当てる必要があります。
RADIUS トンネル スイッチ プロファイル(26-91)で返されるように、グローバルにすべてのセッション、トンネル グループ内のすべてのセッション、ドメイン内のすべてのセッション、または RADIUS サーバー設定で設定できます。さまざまなソースからのトンネル スイッチ プロファイルの優先順位は次のとおりです。
RADIUS VSA 26-91 >ドメイン マップ >トンネル グループ>グローバル トンネル スイッチ プロファイル
L2TP トンネル スイッチ プロファイルを定義するには、次の手順を実行します。
例えば、次のような構成を考えてみましょう。これにより、l2tp-tunnel-switch-profile、lts-profile-groupA、lts-profile-example-com の 3 つのトンネル スイッチ プロファイルが作成されます。
[edit access tunnel-switch-profile l2tp-tunnel-switch-profile] user@host# set avp bearer-type regenerate user@host# set avp calling-number regenerate user@host# set avp cisco-nas-port-info drop user@host# set tunnel-profile l2tp-tunnel-profile1 [edit access tunnel-switch-profile lts-profile-groupA] user@host# set tunnel-profile l2tp-tunnel-profile2 [edit access tunnel-switch-profile lts-profile-example.com] user@host# set tunnel-profile l2tp-tunnel-profile3 [edit services l2tp] user@host1# set tunnel-switch-profile l2tp-tunnel-switch-profile user@host1# set tunnel-group groupA tunnel-switch-profile lts-profile-groupA [edit access domain] user@host1# set map example.com tunnel-switch-profile lts-profile-example.com
MXシリーズデバイスのLTS(レイヤー2トンネルスイッチング)設定の例は次のとおりです。
set services l2tp tunnel-group TG1 l2tp-access-profile DEFAULT set services l2tp tunnel-group TG1 aaa-access-profile aaa-access-profile set services l2tp tunnel-group TG1 hello-interval 0 set services l2tp tunnel-group TG1 local-gateway address 192.1.1.1 set services l2tp tunnel-group TG1 local-gateway gateway-name default set services l2tp tunnel-group TG1 service-interface si-0/0/0 set services l2tp tunnel-group TG1 dynamic-profile lns-profile set chassis fpc 0 pic 0 inline-services bandwidth 10g set chassis network-services enhanced-ip set dynamic-profiles lns-profile routing-instances "$junos-routing-instance" interface "$junos-interface-name" set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" ppp-options chap set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" ppp-options pap set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" family inet unnumbered-address "$junos-loopback-interface" set dynamic-profiles lns-profile interfaces "$junos-interface-ifd-name" unit "$junos-interface-unit" family inet6 unnumbered-address "$junos-loopback-interface" set access profile DEFAULT client default l2tp aaa-access-profile aaa-access-profile set access profile DEFAULT client default l2tp shared-secret "$9$i.T3AtOREyApIcSrLX" set access profile DEFAULT client default l2tp dynamic-profile lns-profile set access profile DEFAULT client default user-group-profile l2tp-access-group-profile set access group-profile l2tp-access-group-profile ppp idle-timeout 200 set access group-profile l2tp-access-group-profile ppp ppp-options pap set access group-profile l2tp-access-group-profile ppp ppp-options chap set access group-profile l2tp-access-group-profile ppp keepalive 0 set access tunnel-profile lac-profile tunnel 1 preference 1 set access tunnel-profile lac-profile tunnel 1 identification 1 set access tunnel-profile lac-profile tunnel 1 remote-gateway address 192.1.2.1 set access tunnel-profile lac-profile tunnel 1 remote-gateway gateway-name default set access tunnel-profile lac-profile tunnel 1 source-gateway address 192.1.2.5 set access tunnel-profile lac-profile tunnel 1 source-gateway gateway-name default set access tunnel-profile lac-profile tunnel 1 secret "$9$u9CE0BEleW-dsp07Vb2GUCtu" set access tunnel-switch-profile tsp-profile tunnel-profile lac-profile set access domain map yogeshn.com tunnel-switch-profile tsp-profile …
プロファイル l2tp-tunnel-switch-profile は、グローバルなデフォルトとして適用されます。このプロファイルに従ってパケットがスイッチングされると、L2TP パケットのベアラ タイプ AVP(18)と発信者番号 AVP(22)の値が L2TP トンネル スイッチのローカル ポリシーに基づいて再生成され、パケットとともに送信されます。Cisco NAS Port Info AVP(100)は単にドロップされます。最後に、l2tp-tunnel-profile1 は、トラフィックがスイッチされるトンネルの設定特性を提供します。
トンネル スイッチ プロファイル lts-profile-groupA は、トンネル グループ groupA によって適用されます。別のトンネル プロファイル l2tp-tunnel-profile2 を指定し、AVP アクションを上書きしません。トンネル スイッチ プロファイル lts-profile-example.com は、example.com ドメインのドメイン マップによって適用されます。異なるトンネル プロファイル l2tp-tunnel-profile3 を指定し、AVP アクションを上書きしません。
L2TP 受信ウィンドウ サイズの設定
L2TP トンネルの L2TP 受信ウィンドウ サイズを構成できます。受信ウィンドウ サイズは、ルーターからの確認応答を待つ前にピアが送信できるパケット数を指定します。
デフォルトでは、受信ウィンドウ サイズは 4 パケットに設定されています。受信ウィンドウ サイズが既定値に設定されている場合、ルーターはトンネル ネゴシエーション中にピアに送信される最初のパケットで受信ウィンドウ サイズ AVP(AVP 10)を送信しません。
受信ウィンドウ サイズを構成するには、次の操作を行います。
[edit services l2tp tunnel] user@host# set rx-window-size packets
L2TP トンネルのアイドル タイムアウトの設定
LACまたはLNSを設定して、セッションのないトンネルがアクティブのままになる期間を指定できます。アイドル タイマーは、トンネルの最後のセッションが終了したときに開始されます。タイマーが終了すると、トンネルは切断されます。このアイドル タイムアウトにより、非アクティブなトンネルで消費されていたリソースが解放されます。
アイドル タイムアウト値を 0 に設定すると、最後のセッションが終了した後、次のいずれかが発生するまで、トンネルは無期限にアクティブのままになります。
clear services l2tp tunnelコマンドを発行します。リモートピアがトンネルを切断します。
このステートメントをサポートしないJunos OS リリースにダウングレードする前に、[edit services l2tp tunnel]階層レベルでno idle-timeoutステートメントを含めて、この機能を明示的にアンセットすることをお勧めします。
トンネルのアイドル タイムアウトを設定するには、次のようにします。
タイムアウト期間を設定します。
[edit services l2tp tunnel] user@host# set idle-timeout seconds
L2TP破壊タイムアウトの設定
LACまたはLNSを設定して、ルーターが動的宛先、トンネル、およびセッションが破棄された後、それらの維持を試みる時間を指定できます。この破壊タイムアウトは、宛先、トンネル、またはセッションが終了した後に基盤となるメモリ構造を保存することで、デバッグやその他の分析に役立ちます。新しいトンネルを確立するためにリソースを早期に再利用する必要がある場合は、特定の動的な宛先、トンネル、またはセッションが、この期間全体にわたって維持されない可能性があります。
このステートメントをサポートしないJunos OS リリースにダウングレードする前に、[edit services l2tp]階層レベルでno destruct-timeoutステートメントを含めて、この機能を明示的にアンセットすることをお勧めします。
L2TP 破壊タイムアウトを設定するには:
タイムアウト期間を設定します。
[edit services l2tp] user@host# set destruct-timeout seconds
L2TP 宛先ロックアウト タイムアウトの設定
トンネリングパラメータのセットが複数ある場合、L2TPは選択プロセスを使用して、加入者トラフィックに最適なトンネルを選択します。この選択プロセスの一環として、L2TP は、加入者がドメインに到達しようとしたときに接続できない宛先をロックアウトします。L2TP は、宛先を宛先ロックアウト リストに配置し、 宛先ロックアウト タイムアウトと呼ばれる構成可能な期間、宛先を考慮事項から除外します。
デフォルトでは、宛先ロックアウトタイムアウトは 300 秒 (5 分) です。60〜3600秒(1分から1時間)の値を設定できます。ロックアウト タイムアウトの期限が切れると、L2TP は宛先が使用可能になったと見なし、トンネル選択プロセスの実行時に宛先を含めます。宛先ロックアウト期間はグローバルな値であり、特定の宛先、トンネル、またはトンネル グループに対して個別に設定することはできません。
一般に、ロックされた宛先は、ロックアウトタイマーが終了するまで使用できません。ただし、L2TP がトンネル選択プロセスを実行すると、状況によっては、ロックされた宛先のロックアウト タイマーがクリアされます。選択プロセスの詳細については、LACトンネル選択の概要の「優先レベル間のフェイルオーバーが構成されている場合の選択」および「優先レベル内でフェイルオーバーが構成されている場合の選択」を参照してください。
ロックアウトタイムアウトを、破壊タイムアウトと同じかそれより短く設定します。それ以外の場合、ロックアウトタイムアウトの前に破壊タイムアウトが期限切れになります。この場合、ロックアウトされた宛先は破棄され、その後、ロックアウト タイムアウトが期限切れになる前にサービスに復帰できるため、ロックアウト タイムアウトの有効性が打ち消されます。
宛先ロックアウトタイムアウトを設定するには:
期間を秒単位で指定します。
[edit services l2tp destination] user@host# set lockout-timeout seconds
show services l2tp destination lockout コマンドは、宛先ロックアウト リストを表示し、各宛先のタイムアウトが切れるまでの残り時間を示します。show services l2tp destination detail コマンドは、宛先ごとに、宛先がロックされていて、タイムアウトが切れるのを待っているか、ロックされていないかを示します。
宛先ロックアウトリストからのL2TP宛先の削除
PPP加入者がドメインにログインしようとすると、L2TPはそのドメイン内の宛先に関連付けられたトンネルを選択し、宛先へのアクセスを試みます。接続に失敗した場合、L2TP は宛先を宛先ロックアウト リストに配置します。このリストの宛先は、 宛先ロックアウト タイムアウトと呼ばれる構成可能な期間の間、後続の接続の対象から除外されます。
特定の宛先に対して request services l2tp destination unlock コマンドを発行して、その宛先ロックアウト リストから削除できます。その結果、サブスクライバーが関連付けられたドメインにログインすると、この宛先をすぐに検討できるようになります。
宛先ロックアウトリストから宛先を削除するには:
ロックを解除する宛先の名前を指定します。
user@host> request services l2tp destination unlock destination-name
L2TPドレインの設定
管理目的で、L2TP の宛先またはトンネルの状態をドレインに設定できます。これにより、L2TP LACおよびLNSで新しいセッション、トンネル、宛先が作成されなくなります。
L2TP ドレインは、グローバル レベルで、または特定の宛先またはトンネルに対して設定できます。この機能がグローバル L2TP レベルで設定されている場合、新しい宛先、トンネル、またはセッションは作成できません。この機能が特定の宛先に対して設定されている場合、その宛先で新しいトンネルまたはセッションを作成することはできません。同様に、この機能が特定のトンネルに対して設定されている場合、そのトンネルに新しいセッションを割り当てることはできませんが、新しい宛先とトンネルを作成することはできます。
この機能を設定すると、 show services l2tp summary、 show services l2tp destination、および show services l2tp tunnel のコマンド出力に、L2TPセッション、宛先、およびトンネルの状態が Drainとして表示されます。
IP パケットの挿入と複製に同じ L2TP トンネルを使用
加入者の安全ポリシー ミラーリングに使用されるのと同じ L2TP トンネルを、パケットの複製に使用するように設定できます。複製されたパケットは、顧客またはネットワークに向けてトラフィックを注入するために使用されます。パケットの挿入または送信は、すべての加入者アクセス モードでサポートされています。1 つの L2TP トンネルは、パケットの送信とパケットの複製の両方に使用されます。L2TP トンネルの一方の側でパケットの複製用に設定されたポートまたはインターフェイスは、もう一方のトンネル エンドポイントに接続されます。トンネルの他のエンドポイントは、L2TP トンネルを使用してパケット複製用に設定されたポートまたはインターフェイスに IP パケットを送信でき、そのインターフェイスで受信された IP パケットを顧客に転送するか、顧客から受信したかのように送信できます。
リモート トンネル エンドポイントは、ペイロードにイーサネット MAC アドレスを含む IP トンネル パケットを送信します。ペイロードパケットの宛先MACアドレスにルーターのMACアドレスが含まれている場合、イーサネットパケットはネットワークに向けて発信方向に送信され、カスタマーポートで受信したかのように処理および転送されます。ペイロードパケットの送信元MACアドレスにルーターのMACアドレスが含まれている場合、イーサネットパケットはカスタマーポートに向けて発信方向に送信されます。トンネルに受信cookieが設定されていない場合、パケットインジェクションは行われません。このような場合、間違った Cookie で到着したパケットがカウントされてドロップされるのと同じ方法で、受信されたトンネル パケットはカウントされ、ドロップされます。
(イーサネットペイロードのMACアドレスに基づいて)パケットを複製して顧客またはネットワークに送信するように設定するには、[edit firewall family family-name filter filter-name term term-name then]階層レベルでdecapsulate l2tp output-interface interface-name cookie l2tpv3-cookieステートメントを含めます。また、[edit firewall family family-name filter filter-name term term-name then]階層レベルでcount counter-nameステートメントを含めることで、重複またはカプセル化解除されたL2TPパケットのカウンターを設定することもできます