NESTA PÁGINA
Configuração de um L2TP LNS com interfaces de serviço em linha
Aplicando atributos PPP a assinantes L2TP LNS por interface de serviço em linha
Aplicando atributos PPP a assinantes L2TP LNS com um perfil de grupo de usuários
Configuração de um pool de atribuição de endereços para L2TP LNS com serviços em linha
Configuração de uma interface de serviço em linha para L2TP LNS
Configuração de opções para a interface lógica de serviços em linha do LNS
Configuração da redundância stateful 1:1 LNS em interfaces de serviço em linha agregadas
Verificando a redundância 1:1 da interface de serviço em linha agregada do LNS
Limites de sessão L2TP e balanceamento de carga para interfaces de serviço
Configuração de um grupo de túneis L2TP para sessões LNS com interfaces de serviços em linha
Configuração de um pool de interfaces de serviços em linha para sessões dinâmicas do LNS
Configuração de um perfil dinâmico para sessões dinâmicas do LNS
Interfaces de serviço em linha L2TP LNS
Configuração de um L2TP LNS com interfaces de serviço em linha
A licença do recurso L2TP LNS deve ser instalada antes de você iniciar a configuração. Caso contrário, uma mensagem de aviso será exibida quando a configuração for confirmada.
Para configurar um L2TP LNS com interfaces de serviço em linha:
Você também precisa configurar o CoS para sessões LNS. Para obter mais informações, consulte Configuração de CoS dinâmico para um serviço em linha L2TP LNS.
Aplicando atributos PPP a assinantes L2TP LNS por interface de serviço em linha
Você pode configurar atributos PPP que são aplicados pelo LNS na interface de serviço inline (si) aos assinantes PPP tunelados do LAC. Como você está configurando os atributos por interface em vez de com um perfil de grupo de usuários, os atributos para assinantes podem ser variados com uma granularidade mais fina. Essa configuração corresponde à usada para assinantes PPPoE encerrados.
Para configurar os atributos PPP para interfaces si criadas dinamicamente:
Para configurar os atributos PPP para interfaces si criadas estaticamente:
Especifique a interface de serviço lógica em linha.
[edit interfaces si-slot/pic/port] user@host# edit unit logical-unit-number
Configure o intervalo entre as mensagens de keepalive do PPP para o túnel L2TP que termina no LNS.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set keepalives interval seconds
Configure o número de pacotes keepalive que um destino deve deixar de receber antes que a rede desative um link.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set keepalives down-count number
Observação:A
keepalives up-countopção normalmente não é usada para gerenciamento de assinantes.Configure métodos de autenticação PPP que se aplicam a assinantes PPP com túnel no LNS.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set ppp-options chap user@host# set ppp-options pap
Configure o roteador para solicitar que o Customer Premises Equipment (CPE) negocie os endereços DNS primários e secundários durante a negociação do IPCP para assinantes PPP com túnel no LNS.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set ppp-options ipcp-suggest-dns-option
Embora todas as outras instruções subordinadas a ppp-options—incluindo aquelas subordinadas a chap e pap—sejam suportadas, elas normalmente não são usadas para gerenciamento de assinantes. Recomendamos que você deixe essas outras instruções com seus valores padrão.
Você também pode configurar atributos PPP com um perfil de grupo de usuários que aplica os atributos a todos os assinantes com esse perfil em um cliente LAC. Consulte Aplicando atributos PPP a assinantes L2TP LNS com um perfil de grupo de usuários para obter mais informações. Quando você configura os atributos PPP para assinantes L2TP LNS na interface si e nos perfis de grupo de usuários, a configuração da interface de serviço em linha tem precedência sobre a configuração do perfil do grupo de usuários.
Quando as opções de PPP são configuradas em um perfil de grupo e dinâmico, a configuração de perfil dinâmico tem precedência completa sobre o perfil de grupo quando o perfil dinâmico inclui uma ou mais das opções de PPP que podem ser configuradas no perfil de grupo. A precedência completa significa que não há mesclagem de opções entre os perfis. O perfil de grupo é aplicado ao assinante somente quando o perfil dinâmico não inclui nenhuma opção PPP disponível no perfil de grupo.
Aplicando atributos PPP a assinantes L2TP LNS com um perfil de grupo de usuários
Você pode configurar um perfil de grupo de usuários que permite que o LNS aplique atributos PPP aos assinantes PPP tunelados do LAC. O perfil do grupo de usuários está associado a clientes (LACs) no perfil de acesso L2TP. Consequentemente, todos os assinantes tratados por um determinado cliente compartilham os mesmos atributos PPP.
Para configurar um perfil de grupo de usuários:
Você também pode configurar atributos PPP por interface. Consulte Aplicando atributos PPP a assinantes L2TP LNS por interface de serviço em linha para obter mais informações. Quando você configura os atributos PPP para assinantes L2TP LNS na interface si e nos perfis de grupo de usuários, a configuração da interface de serviço em linha tem precedência sobre a configuração do perfil do grupo de usuários.
Quando as opções de PPP são configuradas em um perfil de grupo e dinâmico, a configuração de perfil dinâmico tem precedência completa sobre o perfil de grupo quando o perfil dinâmico inclui uma ou mais das opções de PPP que podem ser configuradas no perfil de grupo. A precedência completa significa que não há mesclagem de opções entre os perfis. O perfil de grupo é aplicado ao assinante somente quando o perfil dinâmico não inclui nenhuma opção PPP disponível no perfil de grupo.
Configuração de um perfil de acesso L2TP no LNS
Os perfis de acesso definem como validar conexões e solicitações de sessão do Protocolo de Tunelamento de Camada 2 (L2TP). Em cada perfil de acesso L2TP, você configura um ou mais clientes (LACs). As características do cliente são usadas para autenticar LACs com senhas correspondentes e para estabelecer atributos do túnel e da sessão do cliente. Você pode configurar vários perfis de acesso e vários clientes em cada perfil.
Para configurar um perfil de acesso L2TP:
Configuração de um perfil de acesso local AAA no LNS
Para alguns túneis LNS, talvez você queira substituir o perfil de acesso configurado na instância de roteamento que hospeda o túnel por uma configuração específica do servidor RADIUS. Você pode configurar um perfil de acesso local para fazer isso. Posteriormente, você pode usar a aaa-access-profile instrução para aplicar o perfil de acesso local a um grupo de túneis ou cliente LAC.
Um perfil de acesso local aplicado a um cliente substitui um perfil de acesso local aplicado a um grupo de túneis, que por sua vez substitui o perfil de acesso para a instância de roteamento.
Para configurar um perfil de acesso local AAA:
Configuração de um pool de atribuição de endereços para L2TP LNS com serviços em linha
Você pode configurar pools de endereços que podem ser atribuídos dinamicamente aos assinantes PPP com túnel. Os pools devem ser locais para a instância de roteamento em que o assinante aparece. Os pools configurados são fornecidos nos atributos RADIUS Framed-Pool e Framed-IPv6-Pool. Os pools são opcionais quando Framed-IP-Address é enviado por RADIUS.
Para configurar um pool de atribuição de endereços, você deve especificar o nome do pool e configurar os endereços para o pool.
Opcionalmente, você pode configurar vários intervalos nomeados, ou subconjuntos, de endereços em um pool de atribuição de endereços. Durante a atribuição dinâmica de endereços, um cliente pode receber um endereço de um intervalo nomeado específico. Para criar um intervalo nomeado, especifique um nome para o intervalo e defina o intervalo de endereços.
Certifique-se de usar a address-assignment pools (address-assignment) declaração em vez da address pools (address-pool) declaração.
Para obter mais informações sobre pools de atribuição de endereços, consulte Visão geral dos pools de atribuição de endereços e Visão geral da configuração do pool de atribuição de endereços.
Para configurar um pool de atribuição de endereços IPv4 para L2TP LNS:
Por exemplo, para configurar um pool de atribuição de endereços IPv4:
[edit access] user@host# edit address-assignment pool lns-v4-pool family inet [edit access address-assignment pool lns-v4-pool family inet] user@host# set network 192.168.1.1/16 [edit access address-assignment pool lns-v4-pool family inet] user@host# set range lns-v4-pool-range low 192.168.1.1 high 192.168.255.255
Para configurar um pool de atribuição de endereços IPv6 para L2TP LNS:
Configure o nome do pool e especifique a família IPv6.
[edit access] user@host# edit address-assignment pool pool-name family inet6
Configure o prefixo de rede IPv6 para o pool de endereços. A especificação de prefixo é necessária quando você configura um pool de atribuição de endereços IPv6.
[edit access address-assignment pool pool-name family inet6] user@host# set prefix ipv6-prefix
Configure o nome do intervalo e defina o intervalo. Você pode definir o intervalo com base nos limites inferior e superior dos prefixos no intervalo ou com base no comprimento dos prefixos no intervalo.
[edit access address-assignment pool pool-name family inet6] user@host# set range range-name low lower-limit high upper-limit
Por exemplo, para configurar um pool de atribuição de endereços IPv6:
[edit access] user@host# edit address-assignment pool lns-v6-pool family inet6 [edit access address-assignment pool lns-v6-pool family inet6] user@host# set prefix 2001:DB8::/32 [edit access address-assignment pool lns-v6-pool family inet6] user@host# set range lns-v6-pool-range low 2001:DB8:1::/48 high 2001:DB8::ffff::/48
Configuração da interface de peer L2TP LNS
A interface de peer conecta o LNS à nuvem em direção aos LACs para que os pacotes IP possam ser trocados entre os endpoints do túnel. MPLS e Ethernet agregada também podem ser usados para alcançar os LACs.
Nos roteadores da Série MX, você deve configurar a interface peer em um MPC.
Para configurar a interface peer LNS:
Habilitação de interfaces de serviço em linha
A interface de serviço em linha é uma interface física virtual que reside no Mecanismo de Encaminhamento de Pacotes. Essa si interface, conhecida como interface âncora , possibilita fornecer serviços L2TP sem um PIC de serviços especiais. A interface de serviço em linha é suportada apenas por MPCs em roteadores da Série MX. Quatro interfaces de serviço em linha são configuráveis por slot de chassi ocupado por MPC.
Nos roteadores MX80 e MX104, você pode configurar apenas quatro interfaces físicas de serviços em linha como interfaces âncora para sessões L2TP LNS: si-1/0/0, si-1/1/0, si-1/2/0 e si-1/3/0. Você não pode configurar si-0/0/0 para essa finalidade em roteadores MX80 e MX104.
Embora o intervalo de valores de largura de banda seja de 1 Gbps a 400 Gbps, você não pode configurar a largura de banda em números absolutos, como 12.345.878.000 bps. Você deve usar as opções disponíveis na instrução CLI:
1g10gem100gincrementos de 10 Gbps:10g,20g,90g70g50g80g30g40g60g,100g100gaté400gem incrementos de 100 Gbps:100g,200g,300g,400g
A largura de banda máxima disponível varia entre os MPCs, conforme mostrado na Tabela 1. Uma mensagem de log do sistema é gerada quando você configura uma largura de banda maior do que a suportada no MPC.
MPC |
Largura de banda máxima suportada |
|---|---|
| MPC2E NG, MPC2E NG Q, |
80 Gbps |
MPC3E NG, MPC3E NG Q |
130 Gbps |
100GE e 40GE MPC3 e MICs |
40 Gbps |
MPC4E |
130 Gbps |
MPC5E |
130 Gbps |
MPC6E |
130 Gbps |
MPC7E |
240 Gbps |
MPC8E |
240 Gbps 400 Gbps no modo atualizado de 1,6 Tbps |
MPC9E |
400 Gbps |
Para habilitar interfaces de serviço em linha:
Configuração de uma interface de serviço em linha para L2TP LNS
A interface de serviço em linha é uma interface de serviço física virtual que reside no Mecanismo de Encaminhamento de Pacotes. Essa si interface, conhecida como interface âncora , possibilita fornecer serviços L2TP sem um PIC de serviços especiais. A interface de serviço em linha é suportada apenas por MPCs em roteadores da Série MX. Quatro interfaces de serviço em linha são configuráveis por slot de chassi ocupado por MPC.
Você pode maximizar o número de sessões que podem ser moldadas em uma interface de serviço definindo o número máximo de níveis de hierarquia como dois. Nesse caso, cada sessão do LNS consome um nó L3 na hierarquia do agendador para formatação.
Se você não especificar o número de níveis (dois é a única opção), o número de sessões LNS que podem ser moldadas na interface de serviço será limitado ao número de nós L2 ou 4096 sessões. Sessões adicionais ainda surgem, mas não são moldadas.
Para configurar uma interface de serviço em linha:
Configuração de opções para a interface lógica de serviços em linha do LNS
Você deve especificar características —dial-options para cada uma das interfaces lógicas de serviços em linha configuradas para o LNS. O LNS nos roteadores da Série MX oferece suporte a apenas uma sessão por interface lógica, portanto, você deve configurá-lo como uma dedicated interface; a shared opção não é suportada. (LNS em roteadores da Série M oferece suporte dedicated e shared opções.) Você também configura um nome de identificação para a interface lógica que corresponde ao nome especificado no perfil de acesso.
Você deve especificar a família de inet endereços para cada interface lógica estática ou no perfil dinâmico para interfaces LNS dinâmicas. Embora a CLI aceite ou inet inet6 para interfaces lógicas estáticas, o assinante não pode efetuar login com êxito, a menos que a família inet de endereços esteja configurada.
Para obter a configuração da interface dinâmica, consulte Configuração de um perfil dinâmico para sessões dinâmicas do LNS.
Para configurar as opções de interface lógica estática:
Visão geral da redundância stateful do LNS 1:1
Por padrão, quando uma interface de âncora de serviço inline (si) fica inativa — por exemplo, quando a placa que hospeda a interface falha ou é reiniciada — o tráfego de assinante L2TP é perdido. Quando o temporizador de keepalive PPP para o túnel expira subsequentemente, o plano de controle fica inativo e o cliente PPP é desconectado. Consequentemente, o cliente deve se reconectar.
Você pode evitar a perda de tráfego nessas circunstâncias configurando um pacote agregado de interface de serviço em linha (asi) para fornecer redundância stateful 1:1, também chamada de hot standby ou redundância de backup ativo. O pacote consiste em um par de interfaces físicas si, o link de membro primário (ativo) e o link de membro secundário (standby ou backup). Essas interfaces devem ser configuradas em diferentes MPCs; a redundância não é alcançável se você configurar a interface primária e secundária no mesmo MPC porque ambas as interfaces de membros ficam inativas se a placa cair.
Quando os assinantes fazem login e a redundância 1:1 é configurada, a sessão L2TP é estabelecida em uma interface lógica virtual subjacente (asi.0x) na interface física asi0. Interfaces lógicas de assinante individuais são criadas na interface subjacente no formato, asiX.logical-unit-number. A sessão permanece ativa em caso de falha ou reinicialização no MPC que hospeda a interface do enlace do membro primário. Todo o tráfego de dados destinado a essa sessão L2TP é movido automaticamente para a interface de enlace de membro secundário no outro MPC.
Configuração da redundância stateful 1:1 LNS em interfaces de serviço em linha agregadas
Você pode criar um pacote agregado de interface de serviço em linha (asi) para fornecer redundância stateful 1:1 LNS para interfaces de âncora de serviço em linha (si). O pacote emparelha duas interfaces que residem em diferentes MPCs como links primários e secundários. As sessões do LNS são subseqüentemente estabelecidas em uma interface lógica virtual, asiX.logical-unit-number. O failover de sessão LNS ocorre quando a interface de âncora primária fica inativa ou a placa é reiniciada com o request chassis fpc restart comando. Quando isso acontece, o enlace secundário — em um MPC diferente — torna-se ativo e todo o tráfego de dados LNS destinado à sessão é movido automaticamente para a interface secundária. A sessão do assinante permanece ativa na interface virtual asiX.logical-unit-number Nenhuma estatística de tráfego é perdida. Quando essa redundância não está configurada, o tráfego do assinante é perdido, os keepalives expiram e o cliente PPP é desconectado e deve se reconectar.
Antes de começar, você deve fazer o seguinte:
Confirme se o gerenciamento aprimorado de assinantes está habilitado.
Crie interfaces de serviço em linha em diferentes MPCs para serem agregadas no pacote.
Consulte Ativação de interfaces de serviço em linha e Configuração de uma interface de serviço em linha para L2TP LNS.
Se você estiver usando pools de interfaces de serviço, defina os pools de serviço.
Siga estas diretrizes:
Você deve configurar
unit 0 family inetpara cada pacote; caso contrário, a sessão não será ativada.As interfaces primária (ativa) e secundária (backup) devem estar em MPCs diferentes.
A largura de banda configurada no nível da
[edit chassis fpc slot pic number inline-services bandwidth]hierarquia deve ser a mesma para ambos os links de membros.Uma interface si configurada como membro de um pacote configurável de interface de serviço em linha agregada não pode ser configurada como membro de outro grupo de pacotes.
Uma interface si configurada como membro de um pacote de interface de serviço em linha agregada também não pode ser usada para nenhuma função que não esteja relacionada a serviços agregados; por exemplo, ele não pode ser usado para remontagem de IP em linha.
Quando você configura uma interface si como membro de um pacote de serviços em linha agregado, você não pode mais configurar essa interface si de forma independente. Você pode configurar apenas o pacote pai; A configuração do pacote é aplicada imediatamente a todas as interfaces de membros.
Para configurar a redundância stateful 1:1 LNS:
A configuração de exemplo a seguir cria o pacote asi0 com links de membros em MPCs no slot 1 e no slot 2 e, em seguida, atribui o pacote para fornecer redundância para sessões L2TP no grupo de túnel tg1:
[edit interfaces asi0] user@host# set aggregated-inline-services-options primary-interface si-1/0/0 user@host# set aggregated-inline-services-options secondary-interface si-2/0/0 user@host# set unit 0 family inet [edit chassis fpc 1 pic 0 inline-services] user@host# set bandwidth 10g [edit chassis fpc 2 pic 0 inline-services] user@host# set bandwidth 10g [edit services l2tp tunnel-group tg1] user@host# set service-interface asi0
Verificando a redundância 1:1 da interface de serviço em linha agregada do LNS
Finalidade
Veja informações sobre pacotes agregados de interface de serviço em linha, links de membros individuais e status de redundância.
Ação
Para exibir informações resumidas sobre um pacote configurável de interface de serviço em linha agregado:
user@host> show interfaces asi0 terse Interface Admin Link Proto Local Remote asi0 up up asi0.0 up up inet
Para exibir informações detalhadas sobre um pacote de interface de serviço em linha agregado:
user@host> show interfaces asi0 extensive Physical interface: asi0, Enabled, Physical link is Up Interface index: 223, SNMP ifIndex: 734, Generation: 226 Type: Adaptive-Services, Link-level type: Adaptive-Services, MTU: 9192, Clocking: Unspecified, Speed: 20000mbps Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Internal: 0x4000 Link type : Full-Duplex Link flags : None Physical info : Unspecified Hold-times : Up 0 ms, Down 0 ms Current address: Unspecified, Hardware address: Unspecified Alternate link address: Unspecified Last flapped : 2014-01-20 23:35:02 PST (00:03:25 ago) Statistics last cleared: Never Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 IPv6 transit statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Input errors: Errors: 0, Drops: 0, Framing errors: 0, Runts: 0, Giants: 0, Policed discards: 0, Resource errors: 0 Output errors: Carrier transitions: 0, Errors: 0, Drops: 0, MTU errors: 0, Resource errors: 0 Logical interface asi0.0 (Index 356) (SNMP ifIndex 52241) (Generation 165) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: Adaptive-Services Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Protocol inet, MTU: 9192, Generation: 198, Route table: 0 Flags: Sendbcast-pkt-to-rePara visualizar informações sobre uma interface de membro individual em um pacote configurável de interface de serviço em linha agregado:
user@host> show interfaces si-1/0/0 Physical interface: si-1/0/0, Enabled, Physical link is Up Interface index: 165, SNMP ifIndex: 630 Type: Adaptive-Services, Link-level type: Adaptive-Services, MTU: 9192, Speed: 10000mbps Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Internal: 0x4000 Link type : Full-Duplex Link flags : None Last flapped : Never Input rate : 0 bps (0 pps) Output rate : 0 bps (0 pps) Logical interface si-1/0/0.0 (Index 357) (SNMP ifIndex 52229) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: Adaptive-Services Input packets : 0 Output packets: 0 Protocol asi, AS bundle: asi0.0 Flags: Function2Para exibir o status de redundância para pacotes de interface de serviço em linha agregados:
user@host> show interfaces redundancy Interface State Last change Primary Secondary Current status asi0 On secondary 1d 23:56 si-1/0/0 si-2/0/0 primary down asi1 On primary 10:10:27 si-3/0/0 si-4/0/0 secondary down ae0 On primary 00:00:02 ge-1/0/0 ge-3/0/1 backup down ae2 On primary 00:00:01 ge-2/0/0 ge-4/0/1 both up
Essa saída de exemplo mostra que as interfaces de serviço Ethernet agregadas e em linha agregadas estão configuradas para redundância. Para exibir apenas um dos pacotes configuráveis de interface de serviço em linha agregados:
user@host> show interfaces redundancy asi0 Interface State Last change Primary Secondary Current status asi0 On secondary 1d 23:56 si-1/0/0 si-2/0/0 primary down
Para exibir informações detalhadas sobre todas as interfaces de redundância configuradas:
user@host> show interfaces redundancy detail Redundancy interfaces detail Interface : asi0 State : On primary Last change : 00:00:36 Primary : si-1/0/0 Secondary : si-3/0/0 Current status: both up Interface : ae0 State : On primary Last change : 00:01:30 Primary : ge-1/0/0 Secondary : ge-3/0/1 Current status : backup down
Limites de sessão L2TP e balanceamento de carga para interfaces de serviço
A carga do LNS equilibra as sessões de assinantes nas interfaces de serviço disponíveis em um pool de dispositivos com base no número de sessões atualmente ativas nas interfaces. Você pode configurar um limite máximo por interface de serviço (si) e por interface de serviço agregada (asi). No caso de interfaces asi, você não pode configurar um limite para as interfaces de membros si individuais no pacote.
- Limites de sessão em interfaces de serviço
- Balanceamento de carga de sessão entre interfaces de serviço
Limites de sessão em interfaces de serviço
Quando uma solicitação de sessão L2TP é iniciada para uma interface de serviço, o LNS verifica o número de sessões ativas atuais nessa interface em relação ao número máximo de sessões permitidas para a interface de serviço individual ou a interface de serviço agregada. O LNS determina se a contagem de sessões atual (exibida pelo show services l2tp summary comando) é menor que o limite configurado. Quando isso é verdade ou quando nenhum limite é configurado, a verificação é aprovada e a sessão pode ser estabelecida. Se a contagem de sessões atual for igual ao limite configurado, o LNS rejeitará a solicitação de sessão. Nenhuma solicitação subsequente pode ser aceita nessa interface até que o número de solicitações ativas caia abaixo do máximo configurado. Quando uma solicitação de sessão é rejeitada para uma interface si ou asi, o LNS retorna uma mensagem CDN com o código de resultado definido como 2 e o código de erro definido como 4.
Por exemplo, suponha que uma única interface de serviço esteja configurada no grupo de túneis. A contagem de sessões L2TP atual é de 1500, com um limite configurado de 2000 sessões. Quando uma nova sessão é solicitada, a verificação de limite é aprovada e a solicitação de sessão é aceita.
Interface |
Limite de sessão configurado |
Contagem de sessões atuais |
Resultado da verificação de limite de sessão |
|---|---|---|---|
si-0/0/0 |
2000 |
1500 |
Passe |
A verificação de limite continua a ser aprovada e as solicitações de sessão são aceitas até que 500 solicitações sejam aceitas, fazendo com que a sessão atual conte 2000, o que corresponde ao máximo configurado. A verificação de limite de sessão falha para todas as solicitações subsequentes e todas as solicitações são rejeitadas até que a contagem de sessões atual na interface caia abaixo de 2000, para que a verificação de limite possa ser aprovada.
Interface |
Limite de sessão configurado |
Contagem de sessões atuais |
Resultado da verificação de limite de sessão |
|---|---|---|---|
si-0/0/0 |
2000 |
2000 |
Falha |
Quando o limite de sessão é definido como zero para uma interface, nenhuma solicitação de sessão pode ser aceita. Se essa for a única interface no grupo de túneis, todas as solicitações de sessão no grupo serão rejeitadas até que o limite de sessão seja aumentado de zero ou outra interface de serviço seja adicionada ao grupo de túneis.
Quando uma interface de serviço Em um pool de dispositivos de serviço atinge o limite máximo configurado ou tem um limite configurado de zero, o LNS ignora essa interface quando uma solicitação de sessão é feita e seleciona outra interface no pool para verificar o limite da sessão. Isso continua até que uma interface seja aprovada e a sessão seja aceita ou nenhuma outra interface permaneça no pool a ser selecionada.
Balanceamento de carga de sessão entre interfaces de serviço
O comportamento da distribuição de carga de sessão em um pool de dispositivos de serviço mudou no Junos OS Release 16.2. Quando uma interface de serviço tem uma contagem de sessões menor do que outra interface no pool e ambas as interfaces estão abaixo do limite máximo de sessão, as sessões subsequentes são distribuídas para a interface com menos sessões.
Em versões anteriores, as sessões são distribuídas de maneira estritamente round-robin, independentemente da contagem de sessões. O comportamento antigo pode resultar em distribuição de sessão desigual quando o Mecanismo de Encaminhamento de Pacotes é reinicializado ou uma interface de serviço fica inativa e volta a funcionar.
Por exemplo, considere o seguinte cenário usando o antigo comportamento de distribuição round-robin para um pool com duas interfaces de serviço:
Duzentas sessões são distribuídas igualmente entre as duas interfaces de serviço.
si-0/0/0 tem 100 sessões.
si-1/0/0 tem 100 sessões.
A interface si-1/0/0 é reinicializada. Quando volta, inicialmente as sessões estão ativas apenas no si-0/0/0.
si-0/0/0 tem 100 sessões.
si-1/0/0 tem 0 sessões.
À medida que as sessões anteriormente no si-1/0/0 se reconectam, elas são distribuídas igualmente em ambas as interfaces de serviço. Quando todas as 100 sessões estão de volta, a distribuição é significativamente desequilibrada.
si-0/0/0 tem 150 sessões.
si-1/0/0 tem 50 sessões.
Após a conexão de 100 novas sessões, o si-0/0/0 atinge seu limite máximo. Sessões subseqüentes são aceitas somente em si-1/0/0.
si-0/0/0 tem 200 sessões.
si-1/0/0 tem 100 sessões.
Após mais 100 sessões de conexão, si-1/0/0 atinge seu limite máximo. Nenhuma outra sessão pode ser aceita até que a contagem de sessões caia abaixo de 200 para uma das interfaces.
si-0/0/0 tem 200 sessões.
si-1/0/0 tem 200 sessões.
Agora, considere o mesmo cenário usando o comportamento de distribuição de carga atual com base no número de sessões anexadas. O pool de dispositivos novamente tem duas interfaces de serviço, cada uma com um limite máximo configurado de 200 sessões:
Duzentas sessões são distribuídas igualmente entre as duas interfaces de serviço.
si-0/0/0 tem 100 sessões.
si-1/0/0 tem 100 sessões.
A interface si-1/0/0 é reinicializada. Quando ele volta, as sessões estão ativas inicialmente apenas em si-0/0/0.
si-0/0/0 tem 100 sessões.
si-1/0/0 tem 0 sessões.
À medida que as sessões anteriormente no si-1/0/0 se reconectam, elas são distribuídas de acordo com a carga da sessão em cada interface. Como ambas as interfaces estão abaixo de seu limite máximo e si-1/0/0 tem menos sessões que si-0/0/0, as sessões são inicialmente distribuídas apenas para si-1/0/0.
Após 1 nova sessão:
si-0/0/0 tem 100 sessões.
si-1/0/0 tem 1 sessão.
Após 10 novas sessões:
si-0/0/0 tem 100 sessões.
SI-1/0/0 tem 10 sessões.
Após 100 novas sessões:
si-0/0/0 tem 100 sessões.
si-1/0/0 tem 100 sessões.
Como ambas as interfaces agora têm a mesma contagem de sessões, a próxima sessão (#101) é distribuída aleatoriamente entre as duas interfaces. A próxima sessão depois disso (#102) vai para a interface com a menor contagem de sessões. Isso torna as interfaces iguais novamente, então a próxima sessão (# 103) é distribuída aleatoriamente. Esse padrão se repete até o limite máximo de 200 sessões para ambas as interfaces.
si-0/0/0 tem 200 sessões.
si-1/0/0 tem 200 sessões.
Nenhuma sessão pode ser aceita em nenhuma das interfaces até que o número de sessões caia abaixo de 200 em uma das interfaces.
O comportamento do balanceamento de carga é o mesmo para interfaces de serviço agregadas. Uma interface asi é selecionada em um pool com base na contagem de sessões atual para a interface asi. Quando essa contagem é menor que o máximo, o LNS verifica a contagem de sessões atual para a interface si ativa no pacote asi. Quando essa contagem é menor que o máximo, a sessão pode ser estabelecida na interface asi.
Em um pool de dispositivos misto que tem interfaces de serviço e interfaces de serviço agregadas, as sessões são distribuídas para a interface, asi ou si, que tem a menor contagem de sessões. Quando a contagem de sessões de uma interface de qualquer tipo atinge seu limite, ela não pode mais aceitar sessões até que a contagem caia abaixo do máximo.
Você pode usar a configuração de limite de sessão para atingir um limite de sessão em mecanismos de encaminhamento de pacotes específicos. Suponha que você queira um limite de 100 sessões em um PFE0, que tem duas interfaces de serviço. Você pode definir o limite máximo em cada interface como 50 ou qualquer outra combinação que some 100 para estabelecer o limite PFE0.
Exemplo: configurar um LNS L2TP
Este exemplo mostra como você pode configurar um L2TP LNS em um roteador da Série MX para fornecer endpoints de túnel para um LAC L2TP em sua rede. Essa configuração inclui um perfil dinâmico para assinantes de pilha dupla.
Requerimentos
Este exemplo de L2TP LNS requer o seguinte hardware e software:
Plataforma de roteamento universal 5G da Série MX
Um ou mais MPCs
Junos OS versão 11.4 ou posterior
Nenhuma configuração especial além da inicialização do dispositivo é necessária antes que você possa configurar esse recurso.
Você deve configurar determinados atributos RADIUS padrão e VSAs da Juniper Networks na lista de retorno de atributos no servidor AAA associado ao LNS para que este exemplo funcione. A Tabela 2 lista os atributos com suas configurações e valores de ordem necessários. Recomendamos que você use o dicionário RADIUS Juniper Networks mais atual, disponível na caixa Downloads na página Gerenciamento de Assinantes do Junos OS em https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/subscriber-access/index.html.
Nome da VSA [Número] |
Ordem |
Valor |
|---|---|---|
Tipo de parâmetro CoS [26–108] |
1 |
T01 Multiplay |
Tipo de parâmetro CoS [26–108] |
2 |
T02 10m |
Tipo de parâmetro CoS [26–108] |
3 |
T08 -36 |
Tipo de parâmetro CoS [26–108] |
4 |
T07 modo de célula |
Pool IPv6 emoldurado [100] |
0 |
jnpr_ipv6_pool |
Quadro-associação (88) |
0 |
jnpr_pool |
Nome da política de saída [26-11] |
0 |
classificar |
Nome da política de entrada [26-10] |
0 |
classificar |
Roteador virtual [26-1] |
0 |
padrão |
Visão geral
O LNS emprega perfis de grupo de usuários para aplicar atributos PPP aos assinantes PPP que são tunelados do LAC. Os LACs na rede são clientes do LNS. Os clientes estão associados a perfis de grupo de usuários no perfil de acesso L2TP configurado no LNS. Neste exemplo, o perfil ce-l2tp-group-profile do grupo de usuários especifica os seguintes atributos PPP:
Um intervalo de 30 segundos entre as mensagens de keepalive PPP para túneis L2TP do LAC do cliente terminando no LNS.
Um intervalo de 200 segundos que define por quanto tempo a sessão do assinante PPP pode ficar ociosa antes de ser considerada como tendo atingido o tempo limite.
PAP e CHAP como os métodos de autenticação PPP que se aplicam a assinantes PPP com túnel no LNS.
O perfil ce-l2tp-profile de acesso L2TP define um conjunto de parâmetros L2TP para cada LAC cliente. Neste exemplo, o perfil ce-l2tp-group-profile do grupo de usuários está associado a clientes e lac2. lac1 Ambos os clientes são configurados para que o LNS renegocie o protocolo de controle de enlace (LCP) com o cliente PPP, em vez de aceitar os parâmetros LCP pré-negociados que os LACs passam para o LNS. A renegociação do LCP também faz com que a autenticação seja renegociada pelo LNS; O método de autenticação é especificado no perfil do grupo de usuários. O número máximo de sessões permitidas por túnel é definido como 1000 para lac1 e como 4000 para lac2. Uma senha diferente é configurada para cada LAC.
Um perfil de acesso AAA local, aaa-profile, permite que você substitua o perfil de acesso AAA global, para que você possa especificar uma ordem de autenticação, um servidor RADIUS que deseja usar para L2TP e uma senha para o servidor.
Neste exemplo, um pool de endereços define um intervalo de endereços IP que o LNS aloca para as sessões PPP em túnel. Este exemplo define intervalos de endereços IPv4 e IPv6.
Duas interfaces de serviço em linha são habilitadas no MPC localizado no slot 5 do roteador. Para cada interface, 10 Gbps de largura de banda são reservados para o tráfego de túnel no PFE associado à interface. Essas interfaces âncora servem como a interface física subjacente. Para habilitar o suporte à fila de CoS nas interfaces de serviço lógicas em linha individuais, você deve configurar o encapsulamento de serviços (generic-services) e o suporte ao agendamento hierárquico nas âncoras. A família de endereços IPv4 é configurada para ambas as interfaces de âncora. Ambas as interfaces de âncora são especificadas no pool de dispositivos de lns_p1 serviço. O LNS pode equilibrar as cargas de tráfego nas duas interfaces âncora quando o grupo de túneis inclui o pool.
Este exemplo usa o perfil dyn-lns-profile2 dinâmico para especificar características das sessões L2TP que são criadas ou atribuídas dinamicamente quando um assinante é tunelado para o LNS. Para muitas das características, uma variável predefinida é definida; as variáveis são substituídas dinamicamente pelos valores apropriados quando um assinante é tunelado para o LNS.
A interface à qual o cliente PPP em túnel se conecta ($junos-interface-name) é criada dinamicamente na instância de roteamento ($junos-routing-instance) atribuída ao assinante. As opções de roteamento para rotas de acesso incluem o endereço do próximo salto da rota ($junos-framed-route-nexthop), métrica ($junos-framed-route-cost) e preferência ($junos-framed-route-distance). Para rotas internas de acesso, uma variável de endereço IP dinâmico ($junos-subscriber-ip-address) é definida.
As interfaces lógicas de serviço em linha são definidas pelo nome de uma interface âncora configurada ($junos-interface-ifd-name) e um número de unidade lógica ($junos-interface-unit). O perfil é atribuído l2tp-encapuslation como o identificador para a interface lógica e especifica que cada interface pode ser usada apenas para uma única sessão por vez.
O endereço IPv4 é definido como um valor retornado do servidor AAA. Para tráfego IPv4, um filtro $junos-input-filter de firewall de entrada e um filtro $junos-output-filter de firewall de saída são anexados à interface. A variável de loopback ($junos-loopback-interface) deriva um endereço IP de uma interface de loopback (lo) configurada na instância de roteamento e o usa na negociação IPCP como o endereço do servidor PPP. Por se tratar de uma configuração de pilha dupla, a família de endereços IPv6 também é definida, com os endereços fornecidos pela $junos-ipv6-address variável.
A $junos-ipv6-address variável é usada porque o Protocolo de Anúncio de Roteador também está configurado. Essa variável permite que o AAA aloque o primeiro endereço no prefixo a ser reservado como o endereço local para a interface. A configuração mínima para o Protocolo de Anúncio de Roteador no perfil dinâmico especifica as variáveis e $junos-ipv6-ndra-prefix para atribuir dinamicamente um valor de prefixo $junos-interface-name em anúncios de roteador de descoberta de vizinhos IPv6.
O perfil dinâmico também inclui a classe de configuração de serviço que é aplicada ao tráfego do túnel. O perfil de controle de tráfego (tc-profile) inclui variáveis para o mapa do agendador ($junos-cos-scheduler-map), taxa de modelagem ($junos-cos-shaping-rate), contabilidade de sobrecarga ($junos-cos-shaping-mode) e ajuste $junos-cos-byte-adjustde byte ). O perfil dinâmico aplica a configuração de CoS — incluindo a classe de encaminhamento, o perfil de controle de tráfego de saída e as regras de reescrita — às interfaces de serviço dinâmicas.
A tg-dynamic configuração do grupo de túneis especifica o perfil ce-l2tp-profilede acesso , o perfil aaa-profileAAA local e o perfil dyn-lns-profile2 dinâmico que são usados para criar dinamicamente sessões LNS e definir as características das sessões. O lns_p1 pool de dispositivos de serviço associa um pool de interfaces de serviço ao grupo para permitir que o LNS equilibre o tráfego entre as interfaces. O endereço 203.0.113.2 do gateway local corresponde ao endereço do gateway remoto configurado no LAC. O nome ce-lns do gateway local corresponde ao nome do gateway remoto configurado no LAC.
Este exemplo não mostra todas as opções de configuração possíveis.
Configuração
Tramitação processual
Configuração rápida da CLI
Para configurar rapidamente um L2TP LNS, copie os comandos a seguir, cole-os em um arquivo de texto, remova as quebras de linha e copie e cole os comandos na CLI.
[edit] edit access group-profile ce-l2tp-group-profile set ppp idle-timeout 200 set ppp ppp-options pap set ppp ppp-options chap set ppp keepalive 30 top edit access profile ce-l2tp-profile set client lac1 l2tp maximum-sessions-per-tunnel 1000 set client lac1 l2tp interface-id l2tp-encapsulation-1 set client lac1 l2tp lcp-renegotiation set client lac1 l2tp shared-secret "lac1-$ABC123" set client lac1 user-group-profile ce-l2tp-group-profile set client lac2 l2tp maximum-sessions-per-tunnel 4000 set client lac2 l2tp interface-id l2tp-encap-2 set client lac2 l2tp lcp-renegotiation set client lac2 l2tp shared-secret "lac2-$ABC123" set client lac2 user-group-profile ce-l2tp-group-profile top edit access profile aaa-profile set authentication-order radius set radius authentication-server 198.51.100.193 set radius-server 198.51.100.193 secret "$ABC123” top edit access address-assignment pool client-pool1 family inet set network 192.168.1.1/16 set range lns-v4-pool-range low 192.168.1.1 set range lns-v4-pool-range high 192.168.255.255 top edit access address-assignment pool client-ipv6-pool2 family inet6 set prefix 2001:DB8::/32 set range lns-v6-pool-range low 2001:DB8:1::/48 set range lns-v6-pool-range high 2001:DB8:ffff::/48 top set interfaces ge-5/0/1 unit 11 vlan-id 11 set interfaces ge-5/0/1 unit 11 family inet address 203.0.113.2/24 set interfaces lo0 unit 0 family inet address 127.0.0.1/32 top set chassis fpc 5 pic 0 inline-services bandwidth 10g set chassis fpc 5 pic 2 inline-services bandwidth 10g top edit interfaces si-5/0/0 set hierarchical-scheduler maximum-hierarchy-levels 2 set encapsulation generic-services set unit 0 family inet top edit interfaces si-5/2/0 set hierarchical-scheduler maximum-hierarchy-levels 2 set encapsulation generic-services set unit 0 family inet top set services service-device-pools pool lns_p1 interface si-5/0/0 set services service-device-pools pool lns_p1 interface si-5/2/0 top edit dynamic-profiles dyn-lns-profile2 routing-instances $junos-routing-instance set interface $junos-interface-name edit routing-options access route $junos-framed-route-ip-address-prefix set next-hop $junos-framed-route-nexthop set metric $junos-framed-route-cost set preference $junos-framed-route-distance up 2 edit access-internal route $junos-subscriber-ip-address set qualified-next-hop $junos-interface-name up 5 edit interfaces $junos-interface-ifd-name unit $junos-interface-unit set dial-options l2tp-interface-id l2tp-encapsulation set dial-options dedicated set family inet filter input $junos-input-filter set family inet filter output $junos-output-filter set family inet unnumbered-address $junos-loopback-interface set family inet6 address $junos-ipv6-address set family inet6 filter input $junos-input-ipv6-filter set family inet6 filter output $junos-output-ipv6-filter up 3 edit protocols router-advertisement set interface $junos-interface-name prefix $junos-ipv6-ndra-prefix top [edit class-of-service] edit rewrite-rules dscp rewriteDSCP forwarding-class expedited-forwarding set loss-priority high code-point af11 set loss-priority high code-point af12 top edit dynamic-profiles dyn-lns-profile2 class-of-service traffic-control-profiles tc-profile set scheduler-map $junos-cos-scheduler-map set shaping-rate $junos-cos-shaping-rate set overhead-accounting $junos-cos-shaping-mode set overhead-accounting bytes $junos-cos-byte-adjust up edit interfaces $junos-interface-ifd-name unit $junos-interface-unit set forwarding-class expedited-forwarding set output-traffic-control-profile tc-profile set rewrite-rules dscp rewriteDSCP edit interfaces si-5/0/0 set output-control-profile-remaining tc-profile top set services l2tp tunnel-group tg-dynamic l2tp-access-profile ce-l2tp-profile set services l2tp tunnel-group tg-dynamic aaa-access-profile aaa-profile set services l2tp tunnel-group tg-dynamic local-gateway address 203.0.113.2 set services l2tp tunnel-group tg-dynamic local-gateway gateway-name ce-lns set services l2tp tunnel-group tg-dynamic service-device-pool lns_p1 set services l2tp tunnel-group tg-dynamic dynamic-profile dyn-lns-profile2
Procedimento passo a passo
O exemplo a seguir requer que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte Usando o Editor de CLI no Modo de Configuração.
Para configurar um L2TP LNS com interfaces de serviço em linha:
Configure um perfil de grupo de usuários que defina a configuração de PPP para assinantes de túnel.
[edit access] user@host# edit group-profile ce-l2tp-group-profile [edit access group-profile ce-l2tp-group-profile] user@host# set ppp keepalive 30 user@host# set ppp idle-timeout 200 user@host# set ppp ppp-options chap user@host# set ppp ppp-options pap
Configure um perfil de acesso L2TP que defina os parâmetros L2TP para cada LAC do cliente. Isso inclui associar um perfil de grupo de usuários ao cliente e especificar o identificador para a interface lógica de serviços em linha que representa uma sessão L2TP no LNS.
[edit access profile ce-l2tp-profile client lac1] user@host# set l2tp interface-id l2tp-encapsulation user@host# set l2tp maximum-sessions-per-tunnel 1000 user@host# set l2tp shared-secret "lac1-$ABC123" user@host# set l2tp lcp-renegotiation user@host# set user-group-profile ce-l2tp-group-profile [edit access profile ce-l2tp-profile client lac2] user@host# set l2tp interface-id interface-id user@host# set l2tp maximum-sessions-per-tunnel 4000 user@host# set l2tp shared-secret "lac2-$ABC123" user@host# set l2tp lcp-renegotiation user@host# set user-group-profile ce-l2tp-group-profile
Observação:Se
user-group-profilefor modificado ou excluído, os assinantes LNS existentes, que estavam usando essa configuração de cliente do Protocolo de Tunelamento de Camada 2, ficarão inativos.Configure um perfil de acesso AAA para substituir o perfil de acesso global para a ordem dos métodos de autenticação AAA e atributos do servidor.
[edit access profile aaa-profile] user@host# set authentication-order radius user@host# set radius authentication-server 198.51.100.193 user@host# set radius-server 198.51.100.193 secret "$ABC123”
Configure pools de atribuição de endereços IPv4 e IPv6 para alocar endereços para os clientes (LACs).
[edit access address-assignment pool client-pool1 family inet] user@host# set network 192.168.1.1/16 user@host# set range lns-v4-pool-range low 192.168.1.1 high 192.168.255.255 [edit access address-assignment pool client-ipv6-pool2 family inet6] user@host# set prefix 2001:DB8::/32 user@host# set range lns-v6-pool-range low 2001:DB8:1::/48 user@host# set range lns-v6-pool-range high 2001:DB8:ffff::/48
Configure a interface peer para encerrar o túnel e o endereço IPCP do lado do servidor PPP (endereço de loopback).
[edit interfaces ge-5/0/1 user@host# set vlan-tagging user@host# set unit 11 [edit interfaces ge-5/0/1.11 user@host# set vlan-id 11 user@host# set family inet address 10.1.1.2/24 [edit interfaces lo0] user@host# set unit 0 family inet address 127.0.0.1/32
Habilite interfaces de serviço em linha em um MPC.
[edit chassis fpc 5] user@host# set pic 0 inline-services bandwidth 10g user@host# set pic 2 inline-services bandwidth 10g
Configure as interfaces de serviço âncora com encapsulamento de serviços, agendamento hierárquico e a família de endereços.
[edit interfaces si-5/0/0] user@host# set hierarchical-scheduler maximum hierarchy-levels 2 user@host# set encapsulation generic-services user@host# set unit 0 family inet [edit interfaces si-5/2/0] user@host# set hierarchical-scheduler maximum hierarchy-levels 2 user@host# set encapsulation generic-services user@host# set unit 0 family inet
Configure um pool de interfaces de serviço para sessões dinâmicas do LNS.
[edit services service-device-pools pool lns_p1] user@host# set interface si-5/0/0 user@host# set interface si-5/2/0
Configure um perfil dinâmico que crie dinamicamente interfaces lógicas L2TP para assinantes de pilha dupla.
[edit dynamic-profiles dyn-lns-profile2] user@host# edit routing-instances $junos-routing-instance user@host# set interface $junos-interface-name [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance”] user@host# edit routing-options access route $junos-framed-route-ip-address-prefix [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance” routing-options access route “$junos-framed-route-ip-address-prefix”] user@host# set next-hop $junos-framed-route-nexthop user@host# set metric $junos-framed-route-cost user@host# set preference $junos-framed-route-distance [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance” routing-options access-internal] user@host# set route $junos-subscriber-ip-address qualified-next-hop $junos-interface-name [edit dynamic-profiles dyn-lns-profile2 interfaces “$junos-interface-ifd-name” unit “$junos-interface-unit”] user@host# set dial-options l2tp-interface-id l2tp-encapsulation user@host# set dial-options dedicated user@host# set family inet unnumbered-address $junos-loopback-interface user@host# set family inet filter input $junos-input-filter user@host# set family inet filter output $junos-output-filter user@host# set family inet6 address $junos-ipv6-address set family inet6 filter input $junos-input-ipv6-filter set family inet6 filter output $junos-output-ipv6-filter [edit dynamic-profiles dyn-lns-profile2 protocols router-advertisement] user@host# set interface $junos-interface-name prefix $junos-ipv6-ndra-prefix
Configure regras de modelagem, agendamento e reescrita e aplique no perfil dinâmico ao tráfego de túnel.
[edit class-of-service] user@host# edit rewrite-rules dscp rewriteDSCP forwarding-class expedited-forwarding user@host# set loss-priority high code-point af11 user@host# set loss-priority high code-point af12 [edit dynamic-profiles dyn-lns-profile2 class-of-service traffic-control-profiles tc-profile] user@host# set scheduler-map $junos-cos-scheduler-map user@host# set shaping-rate $junos-cos-shaping-rate user@host# set overhead-accounting $junos-cos-shaping-mode user@host# set overhead-accounting bytes $junos-cos-byte-adjust [edit dynamic-profiles dyn-lns-profile2 class-of-service interfaces “$junos-interface-ifd-name” unit "$junos-interface-unit"] user@host# set forwarding-class expedited-forwarding user@host# set output-traffic-control-profile tc-profile user@host# set rewrite-rules dscp rewriteDSCP [edit class-of-service interfaces si-5/0/0] user@host# set output-traffic-control-profile-remaining tc-profile
Configure o grupo de túneis L2TP para ativar sessões dinâmicas do LNS usando o pool de interfaces de serviço em linha para permitir o balanceamento de carga.
[edit services l2tp tunnel-group tg-dynamic] user@host# set l2tp-access-profile ce-l2tp-profile user@host# set local-gateway address 10.1.1.2 user@host# set local-gateway gateway-name ce-lns user@host# set aaa-access-profile aaa-profile user@host# set dynamic-profile dyn-lns-profile2 user@host# set service-device-pool lns_p1
Resultados
No modo de configuração, confirme a configuração do perfil de acesso, do perfil de grupo, do perfil AAA e dos pools de atribuição de endereços inserindo o show access comando. Confirme a configuração de serviços em linha inserindo o show chassis comando. Confirme a configuração da interface digitando o show interfaces comando. Confirme a configuração do perfil dinâmico inserindo o show dynamic-profiles comando. Confirme a configuração do grupo de túneis digitando o show services l2tp comando. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.
[edit]
user@host# show access
group-profile ce-l2tp-group-profile {
ppp {
idle-timeout 200;
ppp-options {
pap;
chap;
}
keepalive 30;
}
}
profile ce-l2tp-profile {
client lac1 {
l2tp {
maximum-sessions-per-tunnel 1000;
interface-id l2tp-encapsulation-1;
lcp-renegotiation;
shared-secret "lac1-$ABC123"; ## SECRET-DATA
}
user-group-profile ce-l2tp-group-profile;
}
client lac2 {
l2tp {
maximum-sessions-per-tunnel 4000;
interface-id l2tp-encap-2;
lcp-renegotiation;
shared-secret "lac2-$ABC123"; ## SECRET-DATA
}
user-group-profile ce-l2tp-group-profile;
}
}
profile aaa-profile {
authentication-order radius;
radius-server {
198.51.100.193 secret "$ABC123"; ## SECRET-DATA
}
}
address-assignment {
pool client-pool1 {
family inet {
network 192.168.1.1/16;
range lns-v4-pool-range {
low 192.168.1.1;
high 192.168.255.255;
}
}
}
pool client-ipv6-pool2 {
family inet6 {
prefix 2001:DB8::/32;
range lns-v6-pool-range {
low 2001:DB8:1::/48;
high 2001:DB8:ffff::/48;
}
}
}
}
[edit]
user@host# show chassis
fpc 5 {
pic 0 {
inline-services {
bandwidth 10g;
}
}
pic 2 {
inline-services {
bandwidth 10g;
}
}
}
[edit]
user@host# show interfaces
ge-5/0/1 {
vlan-tagging;;
unit 11 {
vlan-id 11;
family inet {
address 203.0.113.2/24;
}
}
}
si-5/0/0 {
hierarchical-scheduler maximum-hierarchy-levels 2;
encapsulation generic-services;
unit 0 {
family inet;
}
}
si-5/2/0 {
hierarchical-scheduler maximum-hierarchy-levels 2;
encapsulation generic-services;
unit 0 {
family inet;
}
}
lo0 {
unit 0 {
family inet {
address 127.0.0.1/32;
}
}
}
[edit]
user@host# show dynamic-profiles
dyn-lns-profile2 {
routing-instances {
"$junos-routing-instance" {
interface "$junos-interface-name";
routing-options {
access {
route $junos-framed-route-ip-address-prefix {
next-hop "$junos-framed-route-nexthop";
metric "$junos-framed-route-cost";
preference "$junos-framed-route-distance";
}
}
access-internal {
route $junos-subscriber-ip-address {
qualified-next-hop "$junos-interface-name";
}
}
}
}
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
dial-options {
l2tp-interface-id l2tp-encapsulation;
dedicated;
}
family inet {
filter {
input "$junos-input-filter";
output "$junos-output-filter";
}
unnumbered-address "$junos-loopback-interface";
}
family inet6 {
address $junos-ipv6-address;
input $junos-input-ipv6-filter;
output $junos-output-ipv6-filter;
}
}
}
}
protocols {
router-advertisement {
interface "$junos-interface-name" {
prefix $junos-ipv6-ndra-prefix;
}
}
}
class-of-service {
rewrite-rules {
dscp rewriteDSCP {
forwarding-class expedited-forwarding {
loss-priority high code-point af11
loss-priority high code-point af12
}
}
}
traffic-control-profiles {
tc-profile {
scheduler-map "$junos-cos-scheduler-map";
shaping-rate "$junos-cos-shaping-rate";
overhead-accounting "$junos-cos-shaping-mode" bytes "$junos-cos-byte-adjust";
}
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
forwarding-class expedited-forwarding;
output-traffic-control-profile tc-profile;
rewrite-rules {
dscp rewriteDSCP;
}
}
}
}
}
}
[edit]
user@host# show services l2tp
tunnel-group tg-dynamic {
l2tp-access-profile ce-l2tp-profile;
aaa-access-profile aaa-profile;
local-gateway {
address 203.0.113.2;
gateway-name ce-lns;
}
service-device-pool lns_p1;
dynamic-profile dyn-lns-profile2;
}
Quando terminar de configurar o dispositivo, entre no commit modo de configuração.
Configuração de um grupo de túneis L2TP para sessões LNS com interfaces de serviços em linha
O grupo de túneis L2TP especifica atributos que se aplicam a túneis L2TP e sessões de um grupo de clientes LAC. Esses atributos incluem o perfil de acesso usado para validar solicitações de conexão L2TP feitas ao LNS no endereço de gateway local, um perfil de acesso local que substitui o perfil de acesso global, o temporizador keepalive e se o valor de IP ToS é refletido.
Se você excluir um grupo de túneis, todas as sessões L2TP nesse grupo de túneis serão encerradas. Se você alterar o valor das local-gateway-addressinstruções , service-device-poolou , todas service-interface as sessões L2TP que usam essas configurações serão encerradas. Se você alterar ou excluir outras instruções no nível de [edit services l2tp tunnel-group name] hierarquia, os novos túneis estabelecidos usarão os valores atualizados, mas os túneis e sessões existentes não serão afetados.
Para configurar o grupo de túneis LNS:
Aplicando serviços a uma sessão L2TP sem usar o RADIUS
Os serviços são aplicados a sessões L2TP para ativação ou modificação posterior por atributos específicos do fornecedor (VSAs) do servidor RADIUS ou em solicitações de alteração de autorização (CoA) RADIUS. A partir do Junos OS Release 18.1R1, você pode aplicar serviços a sessões L2TP por meio de perfis de serviço dinâmicos sem envolver o RADIUS. Em ambientes de vários fornecedores, os clientes podem usar apenas atributos RADIUS padrão para simplificar o gerenciamento, evitando o uso de VSAs de vários fornecedores. No entanto, isso complica a aplicação de serviços a sessões L2TP porque os VSAs geralmente são obrigados a aplicar serviços. A ativação do perfil de serviço dinâmico local permite que você evite esse problema. Você também pode usar a ativação do perfil de serviço local para fornecer serviços padrão quando os servidores RADIUS estão inativos.
Você pode aplicar serviços a todos os assinantes em um grupo de túneis ou a todos os assinantes que usam um LAC específico. Você pode configurar um máximo de 12 serviços por grupo de túneis ou nome de host LAC.
Depois de configurar um ou mais perfis de serviço dinâmicos que definem serviços, você os aplica no grupo de túneis ou na configuração do perfil de acesso para um cliente LAC, especificando os nomes dos perfis de serviço. Você pode listar mais de um perfil a ser ativado, separado por um e comercial (&). Você também pode especificar parâmetros a serem usados pelo perfil de serviço que podem substituir valores configurados no próprio perfil, como uma taxa de modelagem downstream para um serviço CoS.
A lista de serviços configurada localmente (por meio de perfis de serviço) serve como autorização local que é aplicada pelo authd durante a ativação da sessão do cliente. Essa lista de serviços está sujeita à mesma validação e processamento que os serviços originados de uma autoridade externa, como a RADIUS. Esses serviços são apresentados durante o login do assinante.
Você ainda pode usar solicitações RADIUS VSAs ou CoA em conjunto com os perfis de serviço. Se os serviços forem originados de uma autoridade externa como autorização durante a autenticação ou durante o provisionamento (ativação) da sessão do assinante, os serviços da autoridade externa terão prioridade estrita sobre aqueles na configuração local. Se um serviço aplicado com RADIUS for o mesmo que um serviço aplicado com um perfil de serviço na CLI, mas com parâmetros diferentes, o serviço RADIUS será aplicado com um novo ID de sessão e terá precedência sobre o perfil de serviço anterior.
Você pode emitir comandos para desativar ou reativar qualquer serviço que tenha ativado anteriormente para um grupo de túneis ou LAC.
Defina os perfis de serviço dinâmicos que você deseja aplicar posteriormente a um grupo de túneis ou LAC.
Para aplicar perfis de serviço a todos os assinantes em um grupo de túneis:
Especifique um ou mais perfis de serviço e quaisquer parâmetros a serem passados para os serviços.
[edit services l2tp tunnel-group group-name] user@host# set service-profile profile-name(parameter)&profile-name
Para aplicar perfis de serviço a todos os assinantes de uma determinada LAC:
Especifique um ou mais perfis de serviço e quaisquer parâmetros a serem passados para os serviços.
[edit access profile profile-name client client-name l2tp] user@host# set service-profile profile-name(parameter)&profile-name
Observação:Quando os perfis de serviço são configurados para um cliente LAC e para um grupo de túneis que usa esse cliente, somente o perfil de serviço do cliente LAC é aplicado. Ele substitui a configuração do grupo de túneis. Por exemplo, na configuração a seguir, o grupo de túneis, tg-LAC-3, usa o cliente LAC, LAC-3, de modo que a configuração LAC3 substitui a configuração do grupo de túneis. Consequentemente, apenas o serviço cos-A3 é ativado para assinantes no grupo de túneis, em vez de Cos2 e fw1. A taxa de modelagem passada para o serviço é de 24 Mbps.
[edit] user@host# set services l2tp tunnel-group tg-LAC-3 service-profile cos2(31000000)&fw1 user@host# set access profile prof-lac client LAC-3 l2tp service-profile cos-A3(24000000)
Você pode desativar qualquer serviço aplicado a uma sessão de assinante emitindo o seguinte comando:
user@host> request network-access aaa subscriber delete session-id subscriber-session-id service-profile profile-name
Você pode reativar qualquer serviço aplicado a uma sessão de assinante emitindo o seguinte comando:
user@host> request network-access aaa subscriber add session-id subscriber-session-id service-profile profile-name
Para exibir as sessões de serviços para todas as sessões atuais do assinante, use o show subscribers extensive comando or show network-access aaa subscribers session-id id-number detail .
Para entender como o aplicativo de serviço local funciona, os exemplos a seguir ilustram as várias possibilidades de configuração. Primeiro, considere as seguintes configurações dinâmicas de perfil de serviço, cos2 e fw1:
dynamic-profiles {
cos2 {
variables {
shaping-rate default-value 10m;
shaping-rate-in default-value 10m;
data-in-filter uid;
data-in-policer uid;
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
family inet;
}
}
}
class-of-service {
traffic-control-profiles {
TrafficShaper {
scheduler-map a;
shaping-rate "$shaping-rate";
}
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
output-traffic-control-profile TrafficShaper;
}
}
}
}
}
|
dynamic-profiles {
fw1 {
variables {
v6input default-value v6ingress;
v6output default-value v6egress;
input default-value upstrm-filter;
output default-value dwnstrm-filter;
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
family inet;
}
}
}
}
}
A instrução a seguir aplica ambos os serviços a todos os assinantes no grupo de túneis tg1; Um valor de parâmetro de 31 Mbps é passado para o serviço cos2:
[edit] user@host# set services l2tp tunnel-group tg1 service-profile cos2(31000000)&fw1
No perfil de serviço cos2, a taxa de modelagem é fornecida por uma variável definida pelo usuário com um valor padrão de 10m ou 1Mbps. Depois que a sessão L2TP estiver ativa, cos2 e fw1 serão ativados com IDs de sessão de serviço de 34 e 35, respectivamente.
user@host1> show subscribers extensive
...
Service Session ID: 34
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
O parâmetro passado para cos2 é usado como o valor para $shaping-rate; consequentemente, a taxa de modelagem do serviço é ajustada do valor padrão de 10 Mbps para 31 Mbps, conforme mostrado na saída do comando a seguir. Embora a saída indique que o aplicativo de ajuste é RADIUS CoA, o ajuste é uma consequência do parâmetro passado para o perfil de serviço. Essa operação usa a mesma estrutura interna que um CoA e é relatada como tal.
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 31000000
adjustment-value: 31000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
Agora, o serviço cos2 está desativado da CLI para a sessão 27 do assinante.
user@host1> request network-access aaa subscriber delete service-profile cos2 session-id 27 Successful completion
A saída a seguir mostra que cos2 desapareceu, deixando apenas fw1 como um serviço ativo.
user@host1> show subscribers extensive
Type: L2TP
User Name: user@example.com
IP Address: 192.0.2.103
IP Netmask: 255.255.255.255
Logical System: default
Routing Instance: default
Interface: si-1/0/0.3221225492
Interface type: Dynamic
Underlying Interface: si-1/0/0.3221225492
Dynamic Profile Name: dyn-lns-profile
State: Active
Radius Accounting ID: 27
Session ID: 27
PFE Flow ID: 42
Login Time: 2017-08-30 07:29:39 IST
Service Sessions: 1
IP Address Pool: ipv4_pool
Accounting interval: 600
Frame/cell mode: Frame
Overhead accounting bytes: -38
Calculated downstream data rate: 1000000 kbps
Adjusted downstream data rate: 1000000 kbps
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
O comando a seguir reativa cos2 para a sessão 27 do assinante.
user@host1> request network-access aaa subscriber add service-profile cos2 session-id 27 Successful completion
O serviço cos2 reativado tem uma nova ID de sessão de serviço de 36.
user@host1> show subscribers extensive
...
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
Service Session ID: 36
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 15:58:23 IST
O serviço cos2 reativado usa a taxa de modelagem padrão, 10 Mbps, do perfil de serviço.
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 10000000
adjustment-value: 10000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
Em seguida, uma solicitação de CoA RADIUS é recebida, que inclui o VSA de serviço ativado (26-65). O VSA especifica e ativa o serviço e especifica uma alteração na taxa de modelagem do cos2 do padrão de 10 Mbps para 12 Mbps. A sessão de serviço cos2 36 ainda aparece na saída, mas é substituída pela nova sessão de serviço iniciada pelo CoA, 49.
user@host1> show subscribers extensive
...
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
Service Session ID: 36
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 15:58:23 IST
Service Session ID: 49
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 16:25:04 IST
Dynamic configuration:
shaping-rate: 12000000
shaping-rate-in: 10m
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 12000000
adjustment-value: 12000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
Quando um serviço é aplicado pela configuração da CLI e por um RADIUS VSA (26-65), mas com parâmetros diferentes, a configuração do RADIUS substitui a configuração da CLI. No exemplo a seguir, a configuração da CLI aplica o perfil de serviço cos2 com um valor de 31 Mbps para a taxa de modelagem.
[edit] user@host# set services l2tp tunnel-group tg1 service-profile cos2(31000000)
A ativação do serviço de mensagens RADIUS Access-Accept VSA (26-65) aplica cos2 com um valor de 21 Mbps para a taxa de modelagem.
l2tp@l2tp.com User-Password := "bras"
Auth-Type = Local,
Service-Type = Framed-User,
Framed-Protocol = PPP,
ERX-Service-Activate:1 += 'cos2(21000000)',
A configuração da CLI ativa a sessão de serviço 22 com uma taxa de modelagem de 31 Mbps. O RADIUS VSA ativa a sessão de serviço 23 com uma taxa de modelagem de 21 Mbps.
user@host1> show subscribers extensive
...
Service Session ID: 22
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-16 08:22:03 IST
Dynamic configuration:
shaping-rate: 31000000
shaping-rate-in: 10m
Service Session ID: 23
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-16 08:22:03 IST
Dynamic configuration:
shaping-rate: 21000000
shaping-rate-in: 10m
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 21000000
adjustment-value: 21000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
Configuração de um pool de interfaces de serviços em linha para sessões dinâmicas do LNS
Você pode criar um pool de interfaces de serviço em linha, também conhecido como pool de dispositivos de serviço, para permitir o balanceamento de carga do tráfego L2TP entre as interfaces. O pool é compatível com configurações dinâmicas do LNS, em que ele fornece um conjunto de interfaces lógicas que podem ser criadas dinamicamente e alocadas para sessões L2TP no LNS. O pool é atribuído a um grupo de túneis LNS. O L2TP mantém o estado de cada interface de serviço em linha e usa um método de rodízio para distribuir uniformemente a carga entre as interfaces disponíveis quando novas solicitações de sessão são aceitas.
O balanceamento de carga está disponível apenas para interfaces de assinante criadas dinamicamente.
As sessões LNS ancoradas em um MPC não são afetadas por uma falha de MIC, desde que exista algum outro caminho para os LACs peer. Se o MPC que hospeda a interface peer falhar e não houver nenhum caminho para LACs peer, a falha iniciará o encerramento e a limpeza de todas as sessões no MPC.
Se o próprio MPC que ancora as sessões LNS falhar, o Mecanismo de Roteamento não realocará as sessões para outro slot e todas as sessões serão encerradas imediatamente. Novas sessões podem surgir em outra interface disponível quando o cliente tenta novamente.
Para configurar o pool de dispositivos de serviço:
Configuração de um perfil dinâmico para sessões dinâmicas do LNS
Você pode configurar o L2TP para atribuir dinamicamente interfaces de serviço em linha para túneis L2TP. Você deve definir um ou mais perfis dinâmicos e atribuir um perfil a cada grupo de túneis. O LNS oferece suporte a sessões IPv4/IPv6 somente IPv4, somente IPv6 e de pilha dupla.
Para configurar o perfil dinâmico L2TP:
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.