NESTA PÁGINA
Configuração de um L2TP LNS com interfaces de serviço em linha
Aplicação de atributos PPP aos assinantes L2TP LNS por interface de serviço em linha
Aplicando atributos de PPP aos assinantes L2TP LNS com um perfil de grupo de usuários
Configuração de um pool de atribuição de endereços para L2TP LNS com serviços em linha
Configuração de uma interface de serviço em linha para L2TP LNS
Configuração de opções para a interface lógica de serviços em linha LNS
Configuração de redundância stateful de 1:1 LNS em interfaces de serviço de linha agregadas
Verificação da interface de serviço de linha agregada LNS 1:1 Redundância
Limites de sessão L2TP e balanceamento de carga para interfaces de serviço
Configuração de um grupo de túneis L2TP para sessões de LNS com interfaces de serviços em linha
Configuração de um pool de interfaces de serviços em linha para sessões de LNS dinâmicas
Configuração de um perfil dinâmico para sessões de LNS dinâmicas
Interfaces de serviço em linha L2TP LNS
Configuração de um L2TP LNS com interfaces de serviço em linha
A licença de recurso L2TP LNS deve ser instalada antes de iniciar a configuração. Caso contrário, uma mensagem de aviso é exibida quando a configuração é comprometida.
Para configurar uma LNS L2TP com interfaces de serviço em linha:
Você também precisa configurar CoS para sessões de LNS. Para obter mais informações, veja Configuração de CoS dinâmico para um serviço de linha L2TP LNS.
Aplicação de atributos PPP aos assinantes L2TP LNS por interface de serviço em linha
Você pode configurar atributos PPP que são aplicados pela LNS na interface de serviço (si) em linha para os assinantes PPP em tunelamento a partir do LAC. Como você está configurando os atributos por interface em vez de com um perfil de grupo de usuário, os atributos para assinantes podem ser variados com uma granularidade mais fina. Essa configuração combina com a usada para assinantes de PPPoE encerrados.
Para configurar os atributos PPP para interfaces si criadas dinamicamente:
Para configurar os atributos PPP para interfaces si criadas estaticamente:
Especifique a interface de serviço de linha lógica.
[edit interfaces si-slot/pic/port] user@host# edit unit logical-unit-number
Configure o intervalo entre as mensagens keepalive PPP para o fim do túnel L2TP no LNS.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set keepalives interval seconds
Configure o número de pacotes keepalive que um destino deve não receber antes que a rede derrube um link.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set keepalives down-count number
Nota:A opção
keepalives up-countnormalmente não é usada para gerenciamento de assinantes.Configure métodos de autenticação de PPP que se aplicam aos assinantes de PPP em túneis na LNS.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set ppp-options chap user@host# set ppp-options pap
Configure o roteador para solicitar ao Customer Premises Equipment (CPE) que negocie endereços de DNS primários e secundários durante a negociação do IPCP para assinantes de PPP em túnel no LNS.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set ppp-options ipcp-suggest-dns-option
Embora todas as outras declarações subordinadas ppp-options— incluindo aquelas subordinadas chap e pap— sejam apoiadas, elas normalmente não são usadas para gerenciamento de assinantes. Recomendamos que você deixe essas outras declarações em seus valores padrão.
Você também pode configurar atributos de PPP com um perfil de grupo de usuários que aplica os atributos a todos os assinantes com esse perfil em um cliente LAC. Veja a aplicação de atributos PPP aos assinantes L2TP LNS com um perfil de grupo de usuários para obter mais informações. Quando você configura os atributos PPP para assinantes L2TP LNS tanto na interface si quanto em perfis de grupo de usuários, a configuração da interface de serviço em linha prevalece sobre a configuração do perfil do grupo do usuário.
Quando as opções de PPP são configuradas tanto em um perfil de grupo quanto em um perfil dinâmico, a configuração dinâmica de perfil tem precedência completa sobre o perfil do grupo quando o perfil dinâmico inclui uma ou mais opções de PPP que podem ser configuradas no perfil do grupo. A precedência completa significa que não há fusão de opções entre os perfis. O perfil do grupo é aplicado ao assinante apenas quando o perfil dinâmico não inclui nenhuma opção de PPP disponível no perfil do grupo.
Aplicando atributos de PPP aos assinantes L2TP LNS com um perfil de grupo de usuários
Você pode configurar um perfil de grupo de usuários que permite que o LNS aplique atributos PPP aos assinantes de PPP a partir do LAC. O perfil do grupo de usuários está associado a clientes (LACs) no perfil de acesso L2TP. Consequentemente, todos os assinantes tratados por um determinado cliente compartilham os mesmos atributos PPP.
Para configurar um perfil de grupo de usuários:
Você também pode configurar atributos PPP por interface. Veja a aplicação de atributos PPP aos assinantes L2TP LNS por interface de serviço em linha para obter mais informações. Quando você configura os atributos PPP para assinantes L2TP LNS tanto na interface si quanto em perfis de grupo de usuários, a configuração da interface de serviço em linha prevalece sobre a configuração do perfil do grupo do usuário.
Quando as opções de PPP são configuradas tanto em um perfil de grupo quanto em um perfil dinâmico, a configuração dinâmica de perfil tem precedência completa sobre o perfil do grupo quando o perfil dinâmico inclui uma ou mais opções de PPP que podem ser configuradas no perfil do grupo. A precedência completa significa que não há fusão de opções entre os perfis. O perfil do grupo é aplicado ao assinante apenas quando o perfil dinâmico não inclui nenhuma opção de PPP disponível no perfil do grupo.
Configuração de um perfil de acesso L2TP no LNS
Os perfis de acesso definem como validar as conexões e solicitações de sessão do Protocolo de Tunelamento de Camada 2 (L2TP). Em cada perfil de acesso L2TP, você configura um ou mais clientes (LACs). As características do cliente são usadas para autenticar LACs com senhas correspondentes e estabelecer atributos do túnel e sessão do cliente. Você pode configurar vários perfis de acesso e vários clientes em cada perfil.
Para configurar um perfil de acesso L2TP:
Configuração de um perfil de acesso local AAA no LNS
Para alguns túneis LNS, você pode querer substituir o perfil de acesso configurado na instância de roteamento que hospeda o túnel com uma configuração específica do servidor RADIUS. Você pode configurar um perfil de acesso local para isso. Posteriormente, você pode usar a aaa-access-profile declaração para aplicar o perfil de acesso local a um grupo de túneis ou cliente LAC.
Um perfil de acesso local aplicado a um cliente substitui um perfil de acesso local aplicado a um grupo de túneis, que por sua vez substitui o perfil de acesso para a instância de roteamento.
Para configurar um perfil de acesso local AAA:
Configuração de um pool de atribuição de endereços para L2TP LNS com serviços em linha
Você pode configurar grupos de endereços que podem ser atribuídos dinamicamente aos assinantes de PPP em túnel. Os pools devem ser locais até a instância de roteamento em que o assinante aparece. Os pools configurados são fornecidos nos atributos RADIUS Framed-Pool e Framed-IPv6-Pool. Os pools são opcionais quando o endereço enquadrado-IP é enviado pelo RADIUS.
Para configurar um pool de atribuição de endereços, você deve especificar o nome do pool e configurar os endereços para o pool.
Você pode configurar opcionalmente vários intervalos ou subconjuntos nomeados de endereços em um pool de atribuição de endereços. Durante a atribuição dinâmica do endereço, um cliente pode receber um endereço de uma faixa de nome específica. Para criar um intervalo nomeado, você especifica um nome para o intervalo e define o intervalo de endereços.
Certifique-se de usar a declaração de pools de atribuição de endereço (address-assignment) em vez da declaração de pools de endereço ().address-pool
Para obter mais informações sobre pools de atribuição de endereços, veja a visão geral dos grupos de atribuição de endereços e a visão geral da configuração do pool de atribuição de endereços.
Para configurar um pool de atribuição de endereço IPv4 para L2TP LNS:
Por exemplo, para configurar um pool de atribuição de endereçoS IPv4:
[edit access] user@host# edit address-assignment pool lns-v4-pool family inet [edit access address-assignment pool lns-v4-pool family inet] user@host# set network 192.168.1.1/16 [edit access address-assignment pool lns-v4-pool family inet] user@host# set range lns-v4-pool-range low 192.168.1.1 high 192.168.255.255
Para configurar um pool de atribuição de endereço IPv6 para L2TP LNS:
Configure o nome do pool e especifique a família IPv6.
[edit access] user@host# edit address-assignment pool pool-name family inet6
Configure o prefixo de rede IPv6 para o pool de endereços. A especificação do prefixo é necessária quando você configura um pool de atribuição de endereço IPv6.
[edit access address-assignment pool pool-name family inet6] user@host# set prefix ipv6-prefix
Configure o nome do intervalo e defina o intervalo. Você pode definir o intervalo com base nos limites inferior e superior dos prefixos na faixa, ou com base no comprimento dos prefixos na faixa.
[edit access address-assignment pool pool-name family inet6] user@host# set range range-name low lower-limit high upper-limit
Por exemplo, para configurar um pool de atribuição de endereço IPv6:
[edit access] user@host# edit address-assignment pool lns-v6-pool family inet6 [edit access address-assignment pool lns-v6-pool family inet6] user@host# set prefix 2001:DB8::/32 [edit access address-assignment pool lns-v6-pool family inet6] user@host# set range lns-v6-pool-range low 2001:DB8:1::/48 high 2001:DB8::ffff::/48
Configuração da interface de peer L2TP LNS
A interface peer conecta o LNS à nuvem em direção aos LACs para que os pacotes de IP possam ser trocados entre os endpoints do túnel. MPLS e Ethernet agregada também podem ser usados para chegar aos LACs.
Nos roteadores da Série MX, você deve configurar a interface peer em um MPC.
Para configurar a interface de peer LNS:
Habilitando interfaces de serviço em linha
A interface de serviço em linha é uma interface física virtual que reside no Packet Forwarding Engine. Essa si interface, conhecida como interface âncora , possibilita fornecer serviços L2TP sem um PIC de serviços especiais. A interface de serviço em linha é suportada apenas por MPCs em roteadores da Série MX. Quatro interfaces de serviço em linha são configuráveis por slot de chassi ocupado por MPC.
Nos roteadores MX80 e MX104, você pode configurar apenas quatro interfaces físicas de serviços em linha como interfaces âncora para sessões L2TP LNS: si-1/0/0, si-1/1/0, si-1/2/0 e si-1/3/0. Você não pode configurar si-0/0/0 para esta finalidade em roteadores MX80 e MX104.
Embora a faixa de valores de largura de banda seja de 1 Gbps a 400 Gbps, você não pode configurar a largura de banda em números absolutos, como 12.345.878.000 bps. Você deve usar as opções disponíveis na declaração de CLI:
1g10gaté100gincrementos de 10 Gbps:10g, ,20g,30g,40g, ,50g,60g,70g,80g, , ,90g100g100gaté400gincrementos de 100 Gbps:100g, ,200g,300g400g
A largura de banda máxima disponível varia entre MPCs, conforme mostrado na Tabela 1. Uma mensagem de log do sistema é gerada quando você configura uma largura de banda superior à suportada no MPC.
MPC |
Largura de banda máxima suportada |
|---|---|
| MPC2E NG, MPC2E NG Q, |
80 Gbps |
MPC3E NG, MPC3E NG Q |
130 Gbps |
100GE e 40GE MPC3 e MICs |
40 Gbps |
MPC4E |
130 Gbps |
MPC5E |
130 Gbps |
MPC6E |
130 Gbps |
MPC7E |
240 Gbps |
MPC8E |
240 Gbps 400 Gbps em modo atualizado de 1,6 Tbps |
MPC9E |
400 Gbps |
Para habilitar interfaces de serviço em linha:
Configuração de uma interface de serviço em linha para L2TP LNS
A interface de serviço em linha é uma interface de serviço física virtual que reside no Mecanismo de encaminhamento de pacotes. Essa si interface, conhecida como interface âncora , possibilita fornecer serviços L2TP sem um PIC de serviços especiais. A interface de serviço em linha é suportada apenas por MPCs em roteadores da Série MX. Quatro interfaces de serviço em linha são configuráveis por slot de chassi ocupado por MPC.
Você pode maximizar o número de sessões que podem ser moldadas em uma interface de serviço configurando o número máximo de níveis de hierarquia para duas. Neste caso, cada sessão de LNS consome um nó L3 na hierarquia do agendador para a formação.
Se você não especificar o número de níveis (dois é a única opção), então o número de sessões de LNS que podem ser moldadas na interface de serviço é limitado ao número de nós L2, ou 4096 sessões. Sessões adicionais ainda surgem, mas não estão moldadas.
Para configurar uma interface de serviço em linha:
Configuração de opções para a interface lógica de serviços em linha LNS
Você deve especificar características —dial-options para cada uma das interfaces lógicas de serviços em linha que você configura para a LNS. As LNS nos roteadores da Série MX oferecem suporte a apenas uma sessão por interface lógica, de modo que você deve configurá-la como uma dedicated interface; a opção shared não é suportada. (LNS em roteadores da Série M suporta dedicated e shared opções.) Você também configura um nome de identificação para a interface lógica que corresponde ao nome que você especifica no perfil de acesso.
Você deve especificar a família de inet endereços para cada interface lógica estática ou no perfil dinâmico para interfaces LNS dinâmicas. Embora a CLI aceite interfaces lógicas estáticas inet ou inet6 estáticas, o assinante não pode fazer login com sucesso a menos que a família inet de endereços esteja configurada.
Para configuração dinâmica de interface, veja Configuração de um perfil dinâmico para sessões de LNS dinâmicas.
Para configurar as opções de interface lógica estática:
Visão geral da redundância stateful LNS 1:1
Por padrão, quando uma interface âncora de serviço (si) em linha cai — por exemplo, quando a placa que hospeda a interface falha ou reinicia — o tráfego de assinantes L2TP é perdido. Quando o temporizador de PPP para o túnel expira posteriormente, o plano de controle cai e o cliente PPP é desconectado. Consequentemente, o cliente deve então se reconectar.
Você pode evitar a perda de tráfego nessas circunstâncias configurando um pacote agregado de interface de serviços em linha (asi) para fornecer redundância stateful de 1:1, também chamada de redundância de standby quente ou backup ativo. O pacote consiste em um par de interfaces físicas si, o link principal (ativo) do membro e o link secundário (standby ou backup) do membro. Essas interfaces devem ser configuradas em DIFERENTES MPCs; redundância não é possível se você configurar a interface primária e secundária no mesmo MPC, porque ambas as interfaces de membros diminuirão se a placa cair.
Quando os assinantes fazem login e a redundância de 1:1 é configurada, a sessão L2TP é estabelecida em uma interface lógica virtual subjacente (asi.0x) por meio da interface física asi0. Interfaces lógicas de assinantes individuais são criadas na interface subjacente no formato, asiX.logical-unit-number. A sessão permanece ativa no caso de uma falha ou uma reinicialização do MPC que hospeda a interface de link de membro principal. Todo o tráfego de dados destinado a esta sessão L2TP passa automaticamente para a interface de link de membro secundário no outro MPC.
Configuração de redundância stateful de 1:1 LNS em interfaces de serviço de linha agregadas
Você pode criar um pacote agregado de interface de serviço em linha (asi) para fornecer redundância stateful de 1:1 LNS para interfaces âncora de serviço (si) em linha. O pacote combina duas interfaces que residem em MPCs diferentes como links primários e secundários. As sessões de LNS são posteriormente estabelecidas em uma interface lógica virtual, asiX.logical-unit-number. O failover da sessão de LNS ocorre quando a interface de âncora principal cai ou a placa é reiniciada com o request chassis fpc restart comando. Quando isso acontece, o link secundário — em um MPC diferente — fica ativo e todo o tráfego de dados LNS destinado à sessão se move automaticamente para a interface secundária. A sessão de assinantes permanece ativa na interface virtual da ASIX.logical-unit-number Nenhuma estatística de tráfego é perdida. Quando essa redundância não está configurada, o tráfego de assinantes é perdido, os keepalives expiram e o cliente PPP é desconectado e deve se reconectar.
Antes de começar, você deve fazer o seguinte:
Confirme que o gerenciamento aprimorado de assinantes está habilitado.
Crie interfaces de serviço em linha em diferentes MPCs a serem agregadas no pacote.
Veja como ativar interfaces de serviço em linha e configurar uma interface de serviço em linha para L2TP LNS.
Se você estiver usando grupos de interfaces de serviço, defina os pools de serviço.
Siga essas diretrizes:
Você deve configurar
unit 0 family inetpara cada pacote; caso contrário, a sessão não aparece.As interfaces primária (ativa) e secundária (backup) devem estar em DIFERENTES MPCs.
A largura de banda configurada no nível de
[edit chassis fpc slot pic number inline-services bandwidth]hierarquia deve ser a mesma para ambos os links de membros.Uma interface si configurada como membro de um pacote de interface de serviço de linha agregada não pode ser configurada como um membro de outro grupo de pacotes.
Uma interface si configurada como membro de um pacote de interface de serviço de linha agregada também não pode ser usada para qualquer função que não esteja relacionada a serviços agregados; por exemplo, não pode ser usado para remontagem ip em linha.
Quando você configura uma interface si como membro de um pacote agregado de serviços de linha, você não pode mais configurar essa interface si de forma independente. Você pode configurar apenas o pacote-mãe; a configuração do pacote é aplicada imediatamente a todas as interfaces de membros.
Para configurar a redundância stateful de 1:1 LNS:
A configuração da amostra a seguir cria o pacote asi0 com links de membros em MPCs no slot 1 e slot 2 e, em seguida, atribui o pacote para fornecer redundância para sessões L2TP no grupo de túneis tg1:
[edit interfaces asi0] user@host# set aggregated-inline-services-options primary-interface si-1/0/0 user@host# set aggregated-inline-services-options secondary-interface si-2/0/0 user@host# set unit 0 family inet [edit chassis fpc 1 pic 0 inline-services] user@host# set bandwidth 10g [edit chassis fpc 2 pic 0 inline-services] user@host# set bandwidth 10g [edit services l2tp tunnel-group tg1] user@host# set service-interface asi0
Verificação da interface de serviço de linha agregada LNS 1:1 Redundância
Propósito
Veja informações sobre pacotes agregados de interface de serviço em linha, links de membros individuais e status de redundância.
Ação
Para visualizar informações resumidas sobre um pacote agregado de interface de serviços em linha:
user@host> show interfaces asi0 terse Interface Admin Link Proto Local Remote asi0 up up asi0.0 up up inet
Para visualizar informações detalhadas sobre um pacote agregado de interface de serviços em linha:
user@host> show interfaces asi0 extensive Physical interface: asi0, Enabled, Physical link is Up Interface index: 223, SNMP ifIndex: 734, Generation: 226 Type: Adaptive-Services, Link-level type: Adaptive-Services, MTU: 9192, Clocking: Unspecified, Speed: 20000mbps Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Internal: 0x4000 Link type : Full-Duplex Link flags : None Physical info : Unspecified Hold-times : Up 0 ms, Down 0 ms Current address: Unspecified, Hardware address: Unspecified Alternate link address: Unspecified Last flapped : 2014-01-20 23:35:02 PST (00:03:25 ago) Statistics last cleared: Never Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 IPv6 transit statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Input errors: Errors: 0, Drops: 0, Framing errors: 0, Runts: 0, Giants: 0, Policed discards: 0, Resource errors: 0 Output errors: Carrier transitions: 0, Errors: 0, Drops: 0, MTU errors: 0, Resource errors: 0 Logical interface asi0.0 (Index 356) (SNMP ifIndex 52241) (Generation 165) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: Adaptive-Services Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Protocol inet, MTU: 9192, Generation: 198, Route table: 0 Flags: Sendbcast-pkt-to-rePara visualizar informações sobre uma interface de membro individual em um pacote de interface de serviço em linha agregado:
user@host> show interfaces si-1/0/0 Physical interface: si-1/0/0, Enabled, Physical link is Up Interface index: 165, SNMP ifIndex: 630 Type: Adaptive-Services, Link-level type: Adaptive-Services, MTU: 9192, Speed: 10000mbps Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Internal: 0x4000 Link type : Full-Duplex Link flags : None Last flapped : Never Input rate : 0 bps (0 pps) Output rate : 0 bps (0 pps) Logical interface si-1/0/0.0 (Index 357) (SNMP ifIndex 52229) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: Adaptive-Services Input packets : 0 Output packets: 0 Protocol asi, AS bundle: asi0.0 Flags: Function2Para visualizar o status de redundância para pacotes agregados de interface de serviços em linha:
user@host> show interfaces redundancy Interface State Last change Primary Secondary Current status asi0 On secondary 1d 23:56 si-1/0/0 si-2/0/0 primary down asi1 On primary 10:10:27 si-3/0/0 si-4/0/0 secondary down ae0 On primary 00:00:02 ge-1/0/0 ge-3/0/1 backup down ae2 On primary 00:00:01 ge-2/0/0 ge-4/0/1 both up
Essa saída de amostra mostra que tanto a Ethernet agregada quanto as interfaces de serviço de linha agregadas estão configuradas para redundância. Para exibir apenas um dos pacotes agregados de interface de serviço em linha:
user@host> show interfaces redundancy asi0 Interface State Last change Primary Secondary Current status asi0 On secondary 1d 23:56 si-1/0/0 si-2/0/0 primary down
Para visualizar informações detalhadas sobre todas as interfaces de redundância configuradas:
user@host> show interfaces redundancy detail Redundancy interfaces detail Interface : asi0 State : On primary Last change : 00:00:36 Primary : si-1/0/0 Secondary : si-3/0/0 Current status: both up Interface : ae0 State : On primary Last change : 00:01:30 Primary : ge-1/0/0 Secondary : ge-3/0/1 Current status : backup down
Limites de sessão L2TP e balanceamento de carga para interfaces de serviço
A carga de LNS equilibra as sessões de assinantes em todas as interfaces de serviço disponíveis em um pool de dispositivos com base no número de sessões atualmente ativas nas interfaces. Você pode configurar um limite máximo por interface de serviço (si) e por interface de serviço agregada (asi). No caso de interfaces asi, você não pode configurar um limite para as interfaces individuais de si membro no pacote.
- Limites de sessão em interfaces de serviço
- Balanceamento de carga de sessão em interfaces de serviço
Limites de sessão em interfaces de serviço
Quando uma solicitação de sessão L2TP é iniciada para uma interface de serviço, a LNS verifica o número de sessões ativas atuais nessa interface em relação ao número máximo de sessões permitidas para a interface de serviço individual ou interface de serviço agregada. O LNS determina se a contagem de sessão atual (exibida pelo show services l2tp summary comando) é menor do que o limite configurado. Quando isso é verdade ou quando nenhum limite está configurado, a verificação passa e a sessão pode ser estabelecida. Se a contagem de sessão atual for igual ao limite configurado, o LNS rejeitará a solicitação da sessão. Nenhuma solicitação subseqüente pode ser aceita nessa interface até que o número de solicitações ativas caia abaixo do máximo configurado. Quando um pedido de sessão é rejeitado para uma interface si ou asi, o LNS retorna uma mensagem CDN com o código de resultado definido para 2 e o código de erro definido para 4.
Por exemplo, suponha que uma única interface de serviço esteja configurada no grupo do túnel. A contagem de sessões L2TP atual é de 1500, com um limite configurado de 2000 sessões. Quando uma nova sessão é solicitada, a verificação de limite passa e a solicitação da sessão é aceita.
Interface |
Limite de sessão configurado |
Contagem de sessões atual |
Resultado da verificação do limite da sessão |
|---|---|---|---|
si-0/0/0 |
2000 |
1500 |
Passar |
A verificação de limite continua a ser aprovada e as solicitações de sessão são aceitas até que 500 solicitações sejam aceitas, fazendo com que a sessão atual conte 2000, o que corresponde ao máximo configurado. A verificação do limite da sessão falha em todas as solicitações subsequentes e todas as solicitações são recusadas até que a contagem atual da sessão na interface caia abaixo de 2000, para que a verificação de limite possa ser aprovada.
Interface |
Limite de sessão configurado |
Contagem de sessões atual |
Resultado da verificação do limite da sessão |
|---|---|---|---|
si-0/0/0 |
2000 |
2000 |
Falhar |
Quando o limite da sessão é definido para zero para uma interface, nenhuma solicitação de sessão pode ser aceita. Se essa for a única interface do grupo de túneis, todas as solicitações de sessão do grupo serão recusadas até que o limite da sessão seja aumentado de zero ou outra interface de serviço seja adicionada ao grupo do túnel.
Quando uma interface de serviço em um pool de dispositivos de serviço atingiu o limite máximo configurado ou tem um limite configurado de zero, a LNS ignora essa interface quando uma solicitação de sessão é feita e seleciona outra interface no pool para verificar o limite da sessão. Isso continua até que uma interface passe e a sessão seja aceita ou nenhuma outra interface permaneça no pool a ser selecionada.
Balanceamento de carga de sessão em interfaces de serviço
O comportamento da distribuição de carga de sessão em um pool de dispositivos de serviço mudou no Junos OS Release 16.2. Quando uma interface de serviço tem uma contagem de sessões menor do que outra interface no pool e ambas as interfaces estão abaixo do limite máximo de sessão, as sessões subsequentes são distribuídas para a interface com menos sessões.
Em versões anteriores, as sessões são distribuídas de uma maneira estritamente redonda, independentemente da contagem de sessões. O comportamento antigo pode resultar em uma distribuição de sessão desigual quando o Mecanismo de encaminhamento de pacotes é reiniciado ou uma interface de serviço cai e volta para cima.
Por exemplo, considere o cenário a seguir usando o antigo comportamento de distribuição round-robin para um pool com duas interfaces de serviço:
Duzentos sessões são distribuídas uniformemente pelas duas interfaces de serviço.
si-0/0/0 tem 100 sessões.
si-1/0/0 tem 100 sessões.
As reinicializações da interface si-1/0/0. Quando ele voltar, inicialmente as sessões ficam ativas apenas em si-0/0/0.
si-0/0/0 tem 100 sessões.
si-1/0/0 tem 0 sessões.
Conforme as sessões anteriores sobre si-1/0/0 se reconectam, elas são distribuídas igualmente em ambas as interfaces de serviço. Quando todas as 100 sessões estão de volta, a distribuição fica significativamente desequilibrada.
si-0/0/0 tem 150 sessões.
si-1/0/0 tem 50 sessões.
Após 100 novas sessões se conectarem, a si-0/0/0 atinge seu limite máximo. As sessões subsequentes são aceitas apenas em si-1/0/0.
si-0/0/0 tem 200 sessões.
si-1/0/0 tem 100 sessões.
Após mais de 100 sessões se conectarem, a si-1/0/0 atinge seu limite máximo. Não é possível aceitar mais sessões até que a contagem de sessões fique abaixo de 200 para uma das interfaces.
si-0/0/0 tem 200 sessões.
si-1/0/0 tem 200 sessões.
Agora considere o mesmo cenário usando o comportamento de distribuição de carga atual com base no número de sessões anexadas. O pool de dispositivos novamente tem duas interfaces de serviço cada uma com um limite máximo configurado de 200 sessões:
Duzentos sessões são distribuídas uniformemente pelas duas interfaces de serviço.
si-0/0/0 tem 100 sessões.
si-1/0/0 tem 100 sessões.
As reinicializações da interface si-1/0/0. Quando ele volta, as sessões ficam ativas inicialmente apenas em si-0/0/0.
si-0/0/0 tem 100 sessões.
si-1/0/0 tem 0 sessões.
Conforme as sessões anteriores sobre si-1/0/0 se reconectam, elas são distribuídas de acordo com a carga de sessão em cada interface. Como ambas as interfaces estão abaixo do limite máximo, e si-1/0/0 tem menos sessões do que si-0/0/0, as sessões são inicialmente distribuídas apenas para si-1/0/0.
Após 1 nova sessão:
si-0/0/0 tem 100 sessões.
si-1/0/0 tem 1 sessão.
Após 10 novas sessões:
si-0/0/0 tem 100 sessões.
si-1/0/0 tem 10 sessões.
Após 100 novas sessões:
si-0/0/0 tem 100 sessões.
si-1/0/0 tem 100 sessões.
Como ambas as interfaces agora têm a mesma contagem de sessões, a próxima sessão (nº 101) é distribuída aleatoriamente entre as duas interfaces. A próxima sessão depois disso (#102) vai para a interface com a menor contagem de sessões. Isso torna as interfaces iguais novamente, de modo que a próxima sessão (nº 103) seja distribuída aleatoriamente. Esse padrão se repete até o limite máximo de 200 sessões para ambas as interfaces.
si-0/0/0 tem 200 sessões.
si-1/0/0 tem 200 sessões.
Não é possível aceitar mais sessões em nenhuma das interfaces até que o número de sessões caia abaixo de 200 em uma das interfaces.
O comportamento de balanceamento de carga é o mesmo para interfaces de serviço agregadas. Uma interface asi é selecionada em um pool com base na contagem de sessões atual para a interface asi. Quando essa contagem é menor que a máxima, o LNS verifica a contagem de sessões atuais para a interface si ativa no pacote asi. Quando essa contagem é menor que a máxima, a sessão pode ser estabelecida na interface asi.
Em um pool de dispositivos mistos que tem interfaces de serviço e interfaces de serviço agregadas, as sessões são distribuídas para a interface, seja asi ou si, que tem a menor contagem de sessões. Quando a contagem de sessões de uma interface de ambos os tipos atinge seu limite, ela não pode mais aceitar sessões até que a contagem caia abaixo do máximo.
Você pode usar a configuração do limite de sessão para atingir um limite de sessão em mecanismos de encaminhamento de pacotes específicos. Suponha que você queira um limite de 100 sessões em um PFE0, que tem duas interfaces de serviço. Você pode definir o limite máximo em cada interface para 50, ou qualquer outra combinação que adicione até 100 para estabelecer o limite PFE0.
Exemplo: Configuração de um LNS L2TP
Este exemplo mostra como você pode configurar uma LNS L2TP em um roteador da Série MX para fornecer endpoints de túnel para um LAC L2TP em sua rede. Essa configuração inclui um perfil dinâmico para assinantes de pilha dupla.
Requisitos
Este exemplo L2TP LNS requer o seguinte hardware e software:
Plataforma de roteamento universal 5G da Série MX
Um ou mais MPCs
Versão do Junos OS 11.4 ou posterior
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes que você possa configurar esse recurso.
Você deve configurar certos atributos RADIUS padrão e VSAs da Juniper Networks na lista de devolução de atributos no servidor AAA associado à LNS para este exemplo funcionar. A Tabela 2 lista os atributos com a configuração e os valores de pedidos necessários. Recomendamos que você use o níquete RADIUS mais atual da Juniper Networks, disponível na caixa de Downloads na página de gerenciamento de assinantes do Junos OS em https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/subscriber-access/index.html.
Nome VSA [Número] |
Ordem |
Valor |
|---|---|---|
Tipo de parâmetro cos [26-108] |
1 |
T01 Multiplay |
Tipo de parâmetro cos [26-108] |
2 |
T02 10m |
Tipo de parâmetro cos [26-108] |
3 |
T08 -36 |
Tipo de parâmetro cos [26-108] |
4 |
Modo celular T07 |
Grupo IPv6 emoldurado [100] |
0 |
jnpr_ipv6_pool |
Grupo emoldurado [88] |
0 |
jnpr_pool |
Nome da política de saída [26-11] |
0 |
Classificar |
Nome da política de entrada [26-10] |
0 |
Classificar |
Roteador virtual [26-1] |
0 |
Padrão |
Visão geral
A LNS emprega perfis de grupo de usuários para aplicar atributos PPP aos assinantes de PPP que são extraídos do LAC. Os LACs na rede são clientes da LNS. Os clientes estão associados a perfis de grupo de usuários no perfil de acesso L2TP configurado na LNS. Neste exemplo, o perfil ce-l2tp-group-profile do grupo de usuários especifica os seguintes atributos PPP:
Um intervalo de 30 segundos entre mensagens de manutenção PPP para túneis L2TP do LAC do cliente terminando na LNS.
Um intervalo de 200 segundos que define quanto tempo a sessão de assinantes do PPP pode ficar ociosa antes que seja considerada cronometrada.
Tanto o PAP quanto o CHAP como os métodos de autenticação de PPP que se aplicam aos assinantes de PPP em túnel na LNS.
O perfil ce-l2tp-profile de acesso L2TP define um conjunto de parâmetros L2TP para cada LAC cliente. Neste exemplo, o perfil ce-l2tp-group-profile do grupo de usuários lac1 está associado a clientes e lac2. Ambos os clientes estão configurados para que o LNS refacie o protocolo de controle de enlaces (LCP) com o cliente PPP em vez de aceitar os parâmetros de LCP pré-negociados que os LACs passam para a LNS. A renegociação da LCP também faz com que a autenticação seja renegociada pela LNS; o método de autenticação está especificado no perfil do grupo de usuários. O número máximo de sessões permitidas por túnel é definido para 1000 para lac1 e para 4000 para lac2. Uma senha diferente está configurada para cada LAC.
Um perfil aaa-profilelocal de acesso AAA permite que você substitua o perfil global de acesso AAA para que você possa especificar uma ordem de autenticação, um servidor RADIUS que você deseja usar para L2TP e uma senha para o servidor.
Neste exemplo, um pool de endereços define uma variedade de endereços IP que a LNS aloca para as sessões de PPP em túnel. Este exemplo define intervalos de endereços IPv4 e IPv6.
Duas interfaces de serviço em linha estão habilitadas no MPC localizado no slot 5 do roteador. Para cada interface, 10 Gbps de largura de banda são reservados para tráfego de túnel no PFE associado da interface. Essas interfaces âncora servem como a interface física subjacente. Para habilitar o suporte de fila de CoS nas interfaces de serviços lógicas individuais, você deve configurar tanto o encapsulamento de serviços (generic-services) quanto o suporte de agendamento hierárquico nas âncoras. A família de endereços IPv4 está configurada para ambas as interfaces âncora. Ambas as interfaces âncora são especificadas no pool de lns_p1 dispositivos de serviço. O LNS pode equilibrar as cargas de tráfego nas duas interfaces âncoras quando o grupo do túnel inclui o pool.
Este exemplo usa o perfil dyn-lns-profile2 dinâmico para especificar características das sessões L2TP que são criadas ou atribuídas dinamicamente quando um assinante é tunelado para a LNS. Para muitas das características, uma variável predefinida é definida; as variáveis são substituídas dinamicamente pelos valores apropriados quando um assinante é colocado em túnel para a LNS.
A interface à qual o cliente PPP em túnel conecta ($junos-interface-name) é criada dinamicamente na instância de roteamento ($junos-routing-instance) atribuída ao assinante. As opções de roteamento para rotas de acesso incluem endereço de próximo salto ($junos-framed-route-nexthop), métrica ($junos-framed-route-cost) e preferência ($junos-framed-route-distance). Para rotas internas de acesso, uma variável dinâmica de endereço IP ($junos-subscriber-ip-address) é definida.
As interfaces de serviço de linha lógica são definidas pelo nome de uma interface de âncora configurada ($junos-interface-ifd-name) e um número de unidade lógica ($junos-interface-unit). O perfil atribui l2tp-encapuslation como identificador para a interface lógica e especifica que cada interface pode ser usada para apenas uma única sessão de cada vez.
O endereço IPv4 é definido para um valor devolvido do servidor AAA. Para tráfego IPv4, um filtro $junos-input-filter de firewall de entrada e um filtro $junos-output-filter de firewall de saída são anexados à interface. A variável de loopback ($junos-loopback-interface) deriva um endereço IP de uma interface de loopback (lo) configurada na instância de roteamento e a usa na negociação de IPCP como endereço de servidor PPP. Como esta é uma configuração de pilha dupla, a família de endereços IPv6 também está definida, com os endereços fornecidos pela $junos-ipv6-address variável.
A $junos-ipv6-address variável é usada porque o protocolo de anúncio do roteador também está configurado. Essa variável permite à AAA alocar o primeiro endereço no prefixo a ser reservado como endereço local para a interface. A configuração mínima para o protocolo de anúncio de roteador no perfil dinâmico especifica as variáveis e $junos-ipv6-ndra-prefix as $junos-interface-name variáveis para atribuir dinamicamente um valor de prefixo em anúncios de roteadores de descoberta vizinhos IPv6.
O perfil dinâmico também inclui a classe de configuração de serviço que é aplicada ao tráfego do túnel. O perfil de controle de tráfego (tc-profile) inclui variáveis para o mapa do agendador ($junos-cos-scheduler-map), taxa de modelagem ($junos-cos-shaping-rate), contabilidade sobrecarga ($junos-cos-shaping-modee ajuste $junos-cos-byte-adjustde byte). O perfil dinâmico aplica a configuração de CoS — incluindo a classe de encaminhamento, o perfil de controle de tráfego de saída e as regras de reescrita — para as interfaces de serviço dinâmicas.
A tg-dynamic configuração do grupo de túneis especifica o perfil ce-l2tp-profilede acesso, o perfil aaa-profileAAA local e o perfil dyn-lns-profile2 dinâmico que são usados para criar sessões de LNS dinamicamente e definir as características das sessões. O lns_p1 pool de dispositivos de serviço associa um pool de interfaces de serviço com o grupo para permitir que a LNS equilibre o tráfego em todas as interfaces. O endereço 203.0.113.2 de gateway local corresponde ao endereço de gateway remoto que está configurado no LAC. O nome ce-lns do gateway local corresponde ao nome de gateway remoto que está configurado no LAC.
Este exemplo não mostra todas as opções de configuração possíveis.
Configuração
Procedimento
Configuração rápida da CLI
Para configurar rapidamente um LNS L2TP, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha e, em seguida, copie e cole os comandos no CLI.
[edit] edit access group-profile ce-l2tp-group-profile set ppp idle-timeout 200 set ppp ppp-options pap set ppp ppp-options chap set ppp keepalive 30 top edit access profile ce-l2tp-profile set client lac1 l2tp maximum-sessions-per-tunnel 1000 set client lac1 l2tp interface-id l2tp-encapsulation-1 set client lac1 l2tp lcp-renegotiation set client lac1 l2tp shared-secret "lac1-$ABC123" set client lac1 user-group-profile ce-l2tp-group-profile set client lac2 l2tp maximum-sessions-per-tunnel 4000 set client lac2 l2tp interface-id l2tp-encap-2 set client lac2 l2tp lcp-renegotiation set client lac2 l2tp shared-secret "lac2-$ABC123" set client lac2 user-group-profile ce-l2tp-group-profile top edit access profile aaa-profile set authentication-order radius set radius authentication-server 198.51.100.193 set radius-server 198.51.100.193 secret "$ABC123” top edit access address-assignment pool client-pool1 family inet set network 192.168.1.1/16 set range lns-v4-pool-range low 192.168.1.1 set range lns-v4-pool-range high 192.168.255.255 top edit access address-assignment pool client-ipv6-pool2 family inet6 set prefix 2001:DB8::/32 set range lns-v6-pool-range low 2001:DB8:1::/48 set range lns-v6-pool-range high 2001:DB8:ffff::/48 top set interfaces ge-5/0/1 unit 11 vlan-id 11 set interfaces ge-5/0/1 unit 11 family inet address 203.0.113.2/24 set interfaces lo0 unit 0 family inet address 127.0.0.1/32 top set chassis fpc 5 pic 0 inline-services bandwidth 10g set chassis fpc 5 pic 2 inline-services bandwidth 10g top edit interfaces si-5/0/0 set hierarchical-scheduler maximum-hierarchy-levels 2 set encapsulation generic-services set unit 0 family inet top edit interfaces si-5/2/0 set hierarchical-scheduler maximum-hierarchy-levels 2 set encapsulation generic-services set unit 0 family inet top set services service-device-pools pool lns_p1 interface si-5/0/0 set services service-device-pools pool lns_p1 interface si-5/2/0 top edit dynamic-profiles dyn-lns-profile2 routing-instances $junos-routing-instance set interface $junos-interface-name edit routing-options access route $junos-framed-route-ip-address-prefix set next-hop $junos-framed-route-nexthop set metric $junos-framed-route-cost set preference $junos-framed-route-distance up 2 edit access-internal route $junos-subscriber-ip-address set qualified-next-hop $junos-interface-name up 5 edit interfaces $junos-interface-ifd-name unit $junos-interface-unit set dial-options l2tp-interface-id l2tp-encapsulation set dial-options dedicated set family inet filter input $junos-input-filter set family inet filter output $junos-output-filter set family inet unnumbered-address $junos-loopback-interface set family inet6 address $junos-ipv6-address set family inet6 filter input $junos-input-ipv6-filter set family inet6 filter output $junos-output-ipv6-filter up 3 edit protocols router-advertisement set interface $junos-interface-name prefix $junos-ipv6-ndra-prefix top [edit class-of-service] edit rewrite-rules dscp rewriteDSCP forwarding-class expedited-forwarding set loss-priority high code-point af11 set loss-priority high code-point af12 top edit dynamic-profiles dyn-lns-profile2 class-of-service traffic-control-profiles tc-profile set scheduler-map $junos-cos-scheduler-map set shaping-rate $junos-cos-shaping-rate set overhead-accounting $junos-cos-shaping-mode set overhead-accounting bytes $junos-cos-byte-adjust up edit interfaces $junos-interface-ifd-name unit $junos-interface-unit set forwarding-class expedited-forwarding set output-traffic-control-profile tc-profile set rewrite-rules dscp rewriteDSCP edit interfaces si-5/0/0 set output-control-profile-remaining tc-profile top set services l2tp tunnel-group tg-dynamic l2tp-access-profile ce-l2tp-profile set services l2tp tunnel-group tg-dynamic aaa-access-profile aaa-profile set services l2tp tunnel-group tg-dynamic local-gateway address 203.0.113.2 set services l2tp tunnel-group tg-dynamic local-gateway gateway-name ce-lns set services l2tp tunnel-group tg-dynamic service-device-pool lns_p1 set services l2tp tunnel-group tg-dynamic dynamic-profile dyn-lns-profile2
Procedimento passo a passo
O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, veja Usando o Editor de CLI no modo de configuração.
Para configurar uma LNS L2TP com interfaces de serviço em linha:
Configure um perfil de grupo de usuários que define a configuração de PPP para assinantes de túnel.
[edit access] user@host# edit group-profile ce-l2tp-group-profile [edit access group-profile ce-l2tp-group-profile] user@host# set ppp keepalive 30 user@host# set ppp idle-timeout 200 user@host# set ppp ppp-options chap user@host# set ppp ppp-options pap
Configure um perfil de acesso L2TP que define os parâmetros L2TP para cada LAC cliente. Isso inclui associar um perfil de grupo de usuário com o cliente e especificar o identificador para a interface lógica de serviços em linha que representa uma sessão L2TP no LNS.
[edit access profile ce-l2tp-profile client lac1] user@host# set l2tp interface-id l2tp-encapsulation user@host# set l2tp maximum-sessions-per-tunnel 1000 user@host# set l2tp shared-secret "lac1-$ABC123" user@host# set l2tp lcp-renegotiation user@host# set user-group-profile ce-l2tp-group-profile [edit access profile ce-l2tp-profile client lac2] user@host# set l2tp interface-id interface-id user@host# set l2tp maximum-sessions-per-tunnel 4000 user@host# set l2tp shared-secret "lac2-$ABC123" user@host# set l2tp lcp-renegotiation user@host# set user-group-profile ce-l2tp-group-profile
Nota:Se
user-group-profileforem modificados ou excluídos, os assinantes LNS existentes, que estavam usando esta configuração de cliente do Protocolo de Tunelamento de Camada 2, serão desativados.Configure um perfil de acesso AAA para substituir o perfil de acesso global para a ordem de métodos de autenticação AAA e atributos de servidor.
[edit access profile aaa-profile] user@host# set authentication-order radius user@host# set radius authentication-server 198.51.100.193 user@host# set radius-server 198.51.100.193 secret "$ABC123”
Configure grupos de atribuição de endereçoS IPv4 e IPv6 para alocar endereços para os clientes (LACs).
[edit access address-assignment pool client-pool1 family inet] user@host# set network 192.168.1.1/16 user@host# set range lns-v4-pool-range low 192.168.1.1 high 192.168.255.255 [edit access address-assignment pool client-ipv6-pool2 family inet6] user@host# set prefix 2001:DB8::/32 user@host# set range lns-v6-pool-range low 2001:DB8:1::/48 user@host# set range lns-v6-pool-range high 2001:DB8:ffff::/48
Configure a interface de peer para encerrar o túnel e o endereço IPCP do lado do servidor PPP (endereço loopback).
[edit interfaces ge-5/0/1 user@host# set vlan-tagging user@host# set unit 11 [edit interfaces ge-5/0/1.11 user@host# set vlan-id 11 user@host# set family inet address 10.1.1.2/24 [edit interfaces lo0] user@host# set unit 0 family inet address 127.0.0.1/32
Habilite interfaces de serviço em linha em um MPC.
[edit chassis fpc 5] user@host# set pic 0 inline-services bandwidth 10g user@host# set pic 2 inline-services bandwidth 10g
Configure as interfaces de serviço âncora com encapsulamento de serviços, agendamento hierárquico e a família de endereços.
[edit interfaces si-5/0/0] user@host# set hierarchical-scheduler maximum hierarchy-levels 2 user@host# set encapsulation generic-services user@host# set unit 0 family inet [edit interfaces si-5/2/0] user@host# set hierarchical-scheduler maximum hierarchy-levels 2 user@host# set encapsulation generic-services user@host# set unit 0 family inet
Configure um pool de interfaces de serviço para sessões de LNS dinâmicas.
[edit services service-device-pools pool lns_p1] user@host# set interface si-5/0/0 user@host# set interface si-5/2/0
Configure um perfil dinâmico que cria interfaces lógicas L2TP dinamicamente para assinantes de pilha dupla.
[edit dynamic-profiles dyn-lns-profile2] user@host# edit routing-instances $junos-routing-instance user@host# set interface $junos-interface-name [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance”] user@host# edit routing-options access route $junos-framed-route-ip-address-prefix [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance” routing-options access route “$junos-framed-route-ip-address-prefix”] user@host# set next-hop $junos-framed-route-nexthop user@host# set metric $junos-framed-route-cost user@host# set preference $junos-framed-route-distance [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance” routing-options access-internal] user@host# set route $junos-subscriber-ip-address qualified-next-hop $junos-interface-name [edit dynamic-profiles dyn-lns-profile2 interfaces “$junos-interface-ifd-name” unit “$junos-interface-unit”] user@host# set dial-options l2tp-interface-id l2tp-encapsulation user@host# set dial-options dedicated user@host# set family inet unnumbered-address $junos-loopback-interface user@host# set family inet filter input $junos-input-filter user@host# set family inet filter output $junos-output-filter user@host# set family inet6 address $junos-ipv6-address set family inet6 filter input $junos-input-ipv6-filter set family inet6 filter output $junos-output-ipv6-filter [edit dynamic-profiles dyn-lns-profile2 protocols router-advertisement] user@host# set interface $junos-interface-name prefix $junos-ipv6-ndra-prefix
Configure regras de modelagem, agendamento e reescrita e aplique no perfil dinâmico o tráfego de túneis.
[edit class-of-service] user@host# edit rewrite-rules dscp rewriteDSCP forwarding-class expedited-forwarding user@host# set loss-priority high code-point af11 user@host# set loss-priority high code-point af12 [edit dynamic-profiles dyn-lns-profile2 class-of-service traffic-control-profiles tc-profile] user@host# set scheduler-map $junos-cos-scheduler-map user@host# set shaping-rate $junos-cos-shaping-rate user@host# set overhead-accounting $junos-cos-shaping-mode user@host# set overhead-accounting bytes $junos-cos-byte-adjust [edit dynamic-profiles dyn-lns-profile2 class-of-service interfaces “$junos-interface-ifd-name” unit "$junos-interface-unit"] user@host# set forwarding-class expedited-forwarding user@host# set output-traffic-control-profile tc-profile user@host# set rewrite-rules dscp rewriteDSCP [edit class-of-service interfaces si-5/0/0] user@host# set output-traffic-control-profile-remaining tc-profile
Configure o grupo de túneis L2TP para criar sessões de LNS dinâmicas usando o pool de interfaces de serviço em linha para permitir o balanceamento de carga.
[edit services l2tp tunnel-group tg-dynamic] user@host# set l2tp-access-profile ce-l2tp-profile user@host# set local-gateway address 10.1.1.2 user@host# set local-gateway gateway-name ce-lns user@host# set aaa-access-profile aaa-profile user@host# set dynamic-profile dyn-lns-profile2 user@host# set service-device-pool lns_p1
Resultados
A partir do modo de configuração, confirme o perfil de acesso, o perfil do grupo, o perfil AAA e a configuração dos pools de atribuição de endereços entrando no show access comando. Confirme a configuração dos serviços em linha entrando no show chassis comando. Confirme a configuração da interface entrando no show interfaces comando. Confirme a configuração dinâmica do perfil entrando no show dynamic-profiles comando. Confirme a configuração do grupo do túnel entrando no show services l2tp comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show access
group-profile ce-l2tp-group-profile {
ppp {
idle-timeout 200;
ppp-options {
pap;
chap;
}
keepalive 30;
}
}
profile ce-l2tp-profile {
client lac1 {
l2tp {
maximum-sessions-per-tunnel 1000;
interface-id l2tp-encapsulation-1;
lcp-renegotiation;
shared-secret "lac1-$ABC123"; ## SECRET-DATA
}
user-group-profile ce-l2tp-group-profile;
}
client lac2 {
l2tp {
maximum-sessions-per-tunnel 4000;
interface-id l2tp-encap-2;
lcp-renegotiation;
shared-secret "lac2-$ABC123"; ## SECRET-DATA
}
user-group-profile ce-l2tp-group-profile;
}
}
profile aaa-profile {
authentication-order radius;
radius-server {
198.51.100.193 secret "$ABC123"; ## SECRET-DATA
}
}
address-assignment {
pool client-pool1 {
family inet {
network 192.168.1.1/16;
range lns-v4-pool-range {
low 192.168.1.1;
high 192.168.255.255;
}
}
}
pool client-ipv6-pool2 {
family inet6 {
prefix 2001:DB8::/32;
range lns-v6-pool-range {
low 2001:DB8:1::/48;
high 2001:DB8:ffff::/48;
}
}
}
}
[edit]
user@host# show chassis
fpc 5 {
pic 0 {
inline-services {
bandwidth 10g;
}
}
pic 2 {
inline-services {
bandwidth 10g;
}
}
}
[edit]
user@host# show interfaces
ge-5/0/1 {
vlan-tagging;;
unit 11 {
vlan-id 11;
family inet {
address 203.0.113.2/24;
}
}
}
si-5/0/0 {
hierarchical-scheduler maximum-hierarchy-levels 2;
encapsulation generic-services;
unit 0 {
family inet;
}
}
si-5/2/0 {
hierarchical-scheduler maximum-hierarchy-levels 2;
encapsulation generic-services;
unit 0 {
family inet;
}
}
lo0 {
unit 0 {
family inet {
address 127.0.0.1/32;
}
}
}
[edit]
user@host# show dynamic-profiles
dyn-lns-profile2 {
routing-instances {
"$junos-routing-instance" {
interface "$junos-interface-name";
routing-options {
access {
route $junos-framed-route-ip-address-prefix {
next-hop "$junos-framed-route-nexthop";
metric "$junos-framed-route-cost";
preference "$junos-framed-route-distance";
}
}
access-internal {
route $junos-subscriber-ip-address {
qualified-next-hop "$junos-interface-name";
}
}
}
}
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
dial-options {
l2tp-interface-id l2tp-encapsulation;
dedicated;
}
family inet {
filter {
input "$junos-input-filter";
output "$junos-output-filter";
}
unnumbered-address "$junos-loopback-interface";
}
family inet6 {
address $junos-ipv6-address;
input $junos-input-ipv6-filter;
output $junos-output-ipv6-filter;
}
}
}
}
protocols {
router-advertisement {
interface "$junos-interface-name" {
prefix $junos-ipv6-ndra-prefix;
}
}
}
class-of-service {
rewrite-rules {
dscp rewriteDSCP {
forwarding-class expedited-forwarding {
loss-priority high code-point af11
loss-priority high code-point af12
}
}
}
traffic-control-profiles {
tc-profile {
scheduler-map "$junos-cos-scheduler-map";
shaping-rate "$junos-cos-shaping-rate";
overhead-accounting "$junos-cos-shaping-mode" bytes "$junos-cos-byte-adjust";
}
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
forwarding-class expedited-forwarding;
output-traffic-control-profile tc-profile;
rewrite-rules {
dscp rewriteDSCP;
}
}
}
}
}
}
[edit]
user@host# show services l2tp
tunnel-group tg-dynamic {
l2tp-access-profile ce-l2tp-profile;
aaa-access-profile aaa-profile;
local-gateway {
address 203.0.113.2;
gateway-name ce-lns;
}
service-device-pool lns_p1;
dynamic-profile dyn-lns-profile2;
}
Quando terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração de um grupo de túneis L2TP para sessões de LNS com interfaces de serviços em linha
O grupo de túneis L2TP especifica atributos aplicáveis a túneis E sessões L2TP de um grupo de clientes LAC. Esses atributos incluem o perfil de acesso usado para validar solicitações de conexão L2TP feitas à LNS no endereço de gateway local, um perfil de acesso local que substitui o perfil de acesso global, o temporizador keepalive e se o valor do IP ToS é refletido.
Se você excluir um grupo de túneis, todas as sessões L2TP nesse grupo de túnel serão terminadas. Se você alterar o valor da local-gateway-address, service-device-poolou service-interface declarações, todas as sessões L2TP usando essas configurações forem terminadas. Se você alterar ou excluir outras declarações no nível de [edit services l2tp tunnel-group name] hierarquia, novos túneis que você estabelecer usam os valores atualizados, mas os túneis e sessões existentes não serão afetados.
Para configurar o grupo de túneis LNS:
Aplicar serviços a uma sessão L2TP sem usar o RADIUS
Os serviços são aplicados a sessões L2TP para ativação ou posteriormente modificados por atributos específicos (VSAs) do servidor RADIUS ou em solicitações de alteração de autorização (CoA) do RADIUS. A partir do Junos OS Release 18.1R1, você pode aplicar serviços às sessões L2TP por meio de perfis de serviço dinâmicos sem envolver o RADIUS. Em ambientes multifornecedor, os clientes podem usar apenas atributos RADIUS padrão para simplificar o gerenciamento, evitando o uso de VSAs de vários fornecedores. No entanto, isso complica a aplicação de serviços às sessões L2TP porque os VSAs geralmente são obrigados a aplicar serviços. A ativação do perfil dinâmico local de serviços permite que você evite esse problema. Você também pode usar a ativação do perfil de serviço local para fornecer serviços padrão quando os servidores RADIUS estiverem desativados.
Você pode aplicar serviços a todos os assinantes em um grupo de túneis ou a todos os assinantes usando um LAC específico. Você pode configurar um máximo de 12 serviços por grupo de túnel ou nome de host LAC.
Depois de configurar um ou mais perfis de serviço dinâmicos que definem serviços, você os aplica no grupo do túnel ou na configuração do perfil de acesso para um cliente LAC especificando os nomes do perfil do serviço. Você pode listar mais de um perfil a ser ativado, separado por uma empresa (&). Você também pode especificar parâmetros a serem usados pelo perfil de serviço que podem substituir valores configurados no próprio perfil, como uma taxa de modelagem downstream para um serviço CoS.
A lista de serviços configurada localmente (por meio de perfis de serviço) serve como autorização local que é aplicada por authd durante a ativação da sessão do cliente. Esta lista de serviços está sujeita à mesma validação e processamento que serviços originários de autoridade externa, como o RADIUS. Esses serviços são apresentados durante o login do assinante.
Você ainda pode usar solicitações de RADIUS VSAs ou CoA em conjunto com os perfis de serviço. Se os serviços forem originados de uma autoridade externa como autorização durante a autenticação ou durante o provisionamento de sessão de assinantes (ativação), os serviços da autoridade externa têm prioridade rigorosa sobre os da configuração local. Se um serviço aplicado com RADIUS for o mesmo que um serviço aplicado com um perfil de serviço na CLI, mas com parâmetros diferentes, o serviço RADIUS é aplicado com um novo ID de sessão e tem precedência sobre o perfil de serviço anterior.
Você pode emitir comandos para desativar ou reativar qualquer serviço que tenha ativado anteriormente para um grupo de túneis ou LAC.
Defina os perfis dinâmicos de serviços que você deseja aplicar posteriormente a um grupo de túneis ou LAC.
Aplicar perfis de serviço a todos os assinantes em um grupo de túneis:
Especifique um ou mais perfis de serviço e quaisquer parâmetros a serem passados para os serviços.
[edit services l2tp tunnel-group group-name] user@host# set service-profile profile-name(parameter)&profile-name
Aplicar perfis de serviço a todos os assinantes para um LAC específico:
Especifique um ou mais perfis de serviço e quaisquer parâmetros a serem passados para os serviços.
[edit access profile profile-name client client-name l2tp] user@host# set service-profile profile-name(parameter)&profile-name
Nota:Quando os perfis de serviços são configurados para um cliente LAC e para um grupo de túnel que usa esse cliente, apenas o perfil de serviço do cliente LAC é aplicado. Ele substitui a configuração do grupo do túnel. Por exemplo, na configuração a seguir, o grupo de túneis, tg-LAC-3, usa o cliente LAC, LAC-3, de modo que a configuração LAC3 substitui a configuração do grupo do túnel. Consequentemente, apenas o serviço cos-A3 é ativado para assinantes no grupo de túneis, em vez de Cos2 e fw1. A taxa de modelagem passada para o serviço é de 24 Mbps.
[edit] user@host# set services l2tp tunnel-group tg-LAC-3 service-profile cos2(31000000)&fw1 user@host# set access profile prof-lac client LAC-3 l2tp service-profile cos-A3(24000000)
Você pode desativar qualquer serviço aplicado a uma sessão de assinantes emitindo o seguinte comando:
user@host> request network-access aaa subscriber delete session-id subscriber-session-id service-profile profile-name
Você pode reativar qualquer serviço aplicado a uma sessão de assinantes emitindo o seguinte comando:
user@host> request network-access aaa subscriber add session-id subscriber-session-id service-profile profile-name
Para exibir as sessões de serviços para todas as sessões de assinantes atuais, use o show subscribers extensive ou show network-access aaa subscribers session-id id-number detail o comando.
Para entender como funciona o aplicativo de serviço local, os exemplos a seguir ilustram as várias possibilidades de configuração. Primeiro, considere as seguintes configurações dinâmicas de perfil de serviço, cos2 e fw1:
dynamic-profiles {
cos2 {
variables {
shaping-rate default-value 10m;
shaping-rate-in default-value 10m;
data-in-filter uid;
data-in-policer uid;
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
family inet;
}
}
}
class-of-service {
traffic-control-profiles {
TrafficShaper {
scheduler-map a;
shaping-rate "$shaping-rate";
}
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
output-traffic-control-profile TrafficShaper;
}
}
}
}
}
|
dynamic-profiles {
fw1 {
variables {
v6input default-value v6ingress;
v6output default-value v6egress;
input default-value upstrm-filter;
output default-value dwnstrm-filter;
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
family inet;
}
}
}
}
}
A declaração a seguir aplica ambos os serviços a todos os assinantes do grupo de túneis tg1; um valor de parâmetro de 31 Mbps é passado para o serviço cos2:
[edit] user@host# set services l2tp tunnel-group tg1 service-profile cos2(31000000)&fw1
No perfil de serviço cos2, a taxa de modelagem é fornecida por uma variável definida pelo usuário com um valor padrão de 10m, ou 1Mbps. Após o fim da sessão L2TP, cos2 e fw1 são ativados com IDs de sessão de serviço de 34 e 35, respectivamente.
user@host1> show subscribers extensive
...
Service Session ID: 34
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
O parâmetro passado para cos2 é usado como valor para a taxa de $shaping; consequentemente, a taxa de modelagem para o serviço é ajustada do valor padrão de 10 Mbps a 31 Mbps, como mostrado na saída de comando a seguir. Embora a saída indique que o aplicativo de ajuste seja RADIUS CoA, o ajuste é uma consequência do parâmetro passado para o perfil de serviço. Essa operação usa a mesma estrutura interna que um CoA e é relatada como tal.
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 31000000
adjustment-value: 31000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
Agora, o serviço cos2 é desativado da CLI para assinantes na sessão 27.
user@host1> request network-access aaa subscriber delete service-profile cos2 session-id 27 Successful completion
A saída a seguir mostra que o cos2 se foi, deixando apenas o FW1 como um serviço ativo.
user@host1> show subscribers extensive
Type: L2TP
User Name: user@example.com
IP Address: 192.0.2.103
IP Netmask: 255.255.255.255
Logical System: default
Routing Instance: default
Interface: si-1/0/0.3221225492
Interface type: Dynamic
Underlying Interface: si-1/0/0.3221225492
Dynamic Profile Name: dyn-lns-profile
State: Active
Radius Accounting ID: 27
Session ID: 27
PFE Flow ID: 42
Login Time: 2017-08-30 07:29:39 IST
Service Sessions: 1
IP Address Pool: ipv4_pool
Accounting interval: 600
Frame/cell mode: Frame
Overhead accounting bytes: -38
Calculated downstream data rate: 1000000 kbps
Adjusted downstream data rate: 1000000 kbps
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
O comando a seguir reativa cos2 para assinantes na sessão 27.
user@host1> request network-access aaa subscriber add service-profile cos2 session-id 27 Successful completion
O serviço cos2 reativado tem uma nova ID de sessão de serviço de 36.
user@host1> show subscribers extensive
...
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
Service Session ID: 36
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 15:58:23 IST
O serviço cos2 reativado usa a taxa de modelagem padrão, de 10 Mbps, a partir do perfil de serviço.
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 10000000
adjustment-value: 10000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
Em seguida, é recebida uma solicitação de CoA RADIUS, que inclui o Activate-Service VSA (26-65). O VSA especifica e ativa o serviço e especifica uma mudança na taxa de modelagem de cos2 dos 10 Mbps padrão para 12 Mbps. A sessão de serviço cos2 36 ainda aparece na saída, mas é superada pela nova sessão de serviço iniciada pela CoA, 49.
user@host1> show subscribers extensive
...
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
Service Session ID: 36
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 15:58:23 IST
Service Session ID: 49
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 16:25:04 IST
Dynamic configuration:
shaping-rate: 12000000
shaping-rate-in: 10m
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 12000000
adjustment-value: 12000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
Quando um serviço é aplicado tanto pela configuração CLI quanto por um RADIUS VSA (26-65), mas com parâmetros diferentes, a configuração RADIUS substitui a configuração CLI. No exemplo a seguir, a configuração CLI aplica o perfil de serviço cos2 com um valor de 31 Mbps para a taxa de modelagem.
[edit] user@host# set services l2tp tunnel-group tg1 service-profile cos2(31000000)
A ativação do serviço de mensagem RADIUS Access-Accept VSA (26-65) aplica-se cos2 com um valor de 21 Mbps para a taxa de modelagem.
l2tp@l2tp.com User-Password := "bras"
Auth-Type = Local,
Service-Type = Framed-User,
Framed-Protocol = PPP,
ERX-Service-Activate:1 += 'cos2(21000000)',
A configuração da CLI ativa a sessão de serviço 22 com uma taxa de modelagem de 31 Mbps. O RADIUS VSA ativa a sessão de serviço 23 com uma taxa de modelagem de 21 Mbps.
user@host1> show subscribers extensive
...
Service Session ID: 22
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-16 08:22:03 IST
Dynamic configuration:
shaping-rate: 31000000
shaping-rate-in: 10m
Service Session ID: 23
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-16 08:22:03 IST
Dynamic configuration:
shaping-rate: 21000000
shaping-rate-in: 10m
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 21000000
adjustment-value: 21000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
Configuração de um pool de interfaces de serviços em linha para sessões de LNS dinâmicas
Você pode criar um pool de interfaces de serviço em linha, também conhecidas como um pool de dispositivos de serviço, para permitir o balanceamento de carga do tráfego L2TP em todas as interfaces. O pool é compatível com configurações de LNS dinâmicas, onde oferece um conjunto de interfaces lógicas que podem ser criadas dinamicamente e alocadas em sessões L2TP no LNS. A piscina é atribuída a um grupo de túneis LNS. O L2TP mantém o estado de cada interface de serviço em linha e usa um método round-robin para distribuir uniformemente a carga entre as interfaces disponíveis quando novas solicitações de sessão forem aceitas.
O balanceamento de carga está disponível apenas para interfaces de assinantes criadas dinamicamente.
As sessões de LNS ancoradas em um MPC não são afetadas por uma falha MIC, desde que exista algum outro caminho para os LACs peer. Se o MPC que hospeda a interface peer falhar e não houver caminho para LACs peer, a falha inicia a rescisão e a limpeza de todas as sessões no MPC.
Se o MPC ancorar as sessões de LNS em si falhar, o Mecanismo de Roteamento não realoca as sessões para outro slot e todas as sessões serão terminadas imediatamente. Novas sessões podem surgir em outra interface disponível quando o cliente retries.
Para configurar o pool de dispositivos de serviço:
Configuração de um perfil dinâmico para sessões de LNS dinâmicas
Você pode configurar o L2TP para atribuir interfaces de serviço em linha dinamicamente para túneis L2TP. Você deve definir um ou mais perfis dinâmicos e atribuir um perfil a cada grupo de túneis. O LNS oferece suporte a sessões IPv4,somente IPv6 e IPv4/IPv6 de pilha dupla.
Para configurar o perfil dinâmico L2TP: