Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

适用于订户的 L2TP LAC 隧道

LAC 隧道选择概述

当用户登录域时,PPP 客户端会与 LAC 联系建立连接。LAC 必须找到域中的一个目标,以及可以到达目的地的隧道。通过通道配置文件在用户访问配置文件中的域映射或从 RADIUS 服务器收到的隧道组属性 (VSA 26-64) 中提供目标、隧道和域之间的关联。RADIUS属性优先于域映射中指定的配置文件。隧道配置文件包括一个隧道列表;每个通道与目标 IP 地址和通道首选项级别相关联。

L2TP 允许您指定:

  • 一个域多达 31 个目的地。

  • 最多八个通道优先级级别。优先级级别确定 LAC 尝试使用用户请求的域中目标的现有隧道(或建立新隧道)的顺序。

    注意:

    零 (0) 是最高级别的优先级;这是首选级别

    如果两个隧道均到达域内的有效目标,则 LAC 会首先选择优先级最高的隧道。例如,如果通道 A 的优先级为 1,而通道 B 的优先级为 4,则 LAC 将尝试先使用通道 A。

  • 单个首选项级别最多 31 个目标。

当 LAC 确定应建立 PPP 会话的通道时,它从一组通过隧道配置文件与 PPP 用户或 PPP 用户域相关联的隧道中选择一个隧道。

隧道选择受以下配置影响:

  • 首选项级别之间的故障切换 — 默认情况下,如果优先级别中未选择到有效目的地的隧道,则选择流程将失败至下一个级别;也就是说,LAC 下降到下一个较低级别,以继续搜索合适的通道。有关详细信息 ,请参阅 在配置优先级切换时选择 。

  • 在优先级级别内的故障切换 — 在这种情况下,LAC 不会限制其建立会话的尝试范围,仅限制为首选项级别的单个隧道。如果尝试通过所选隧道失败,则选择流程会通过同一级别失败,方法为有效目标选择另一个合适的隧道。LAC 在级别内继续其连接尝试,直到该级别不再有到有效目的地的隧道可用。然后 LAC 下降到下一个较低级别,以继续搜索。有关详细信息 ,请参阅 在首选项级别内配置故障切换时选择 。

  • 每隧道的最大会话数 — 当配置每个隧道允许的最大会话数时,LAC 将在此隧道选择过程中考虑该设置。每个隧道的最大会话数可通过 RADIUS 隧道最大会话 VSA [26-33] 或将 语句包括在隧道配置文件中来配置 max-sessions

    当随机选择的隧道的当前会话计数等于其最大会话计数时,LAC 不会尝试通过该隧道连接到目标。相反,它会从具有有效域目标该优先级的一组隧道中选择一个备用隧道。如果当前优先级级别中不存在此类隧道,LAC 将下降到下一优先级级别进行选择。无论当前在 LAC 上运行的故障切换方案是什么,此过程都是一致的。

    未为隧道配置最大会话数时,隧道在可支持的会话数上没有上限。默认情况下,最大会话值为 0(零),这允许在隧道中无限会话。

  • 加权负载平衡 — 这种平衡方法使用基于概率的隧道权重评估在隧道之间分配会话。LAC 仍在优先级别内随机选择隧道,但平均会话分布到与隧道重量有关系隧道的隧道间。隧道的重量由隧道的最大会话限制和其他隧道的最大会话限制(处于相同优先级级别)决定。有关详细信息 ,请参阅 加权负载平衡 。

  • 目标均衡负载平衡 — 此会话平衡方法根据到目标会话数和隧道承载的会话数评估隧道,以便在所有隧道之间平均分配会话负载。具有最低会话计数的目标的隧道确定具有最轻的负载。此过程在处于最高可用优先级的隧道上操作。有关详细信息 ,请参阅 目标平等负载 平衡 。

考虑以下信息,了解隧道和目标选择过程和故障切换:

  • 多个隧道可能可以到达目标,而这些隧道的优先级相同或偏好级别不同。

  • 选择建立订阅者会话的隧道本身已建立。也就是说,它当前拥有活动的会话或者,如果尚未建立能够到达目的地的隧道,LAC 可能必须建立一条新隧道来到达目的地。

  • 有效 目标 满足以下标准:

    • 未达到最大会话限制的隧道可到达此隧道。

    • 尚未就当前订阅者登录请求联系它。

    • 它可以锁定或解锁。

  • 锁定 的目标 是正在运行目标锁定计时器的目标。锁定的目标将放置在锁定列表中,直至计时器到期或被清除(重置为零)。不能与列表中的目标联系以建立会话。

  • 锁定 的目标是目标锁定计时器为零的目标。

  • 当 LAC 发现已锁定的有效目标时,将其放在 DestinationsLockedNotContacted 列表中,该列表不同于包含所有已锁定目的地的锁定列表。DestinationsLockedNotContacted 列表仅包含 LAC 尚未尝试针对当前订阅者登录联系的锁定目标。DestinationsLockedNotContacted 列表不包括 LAC 在尝试建立连接且未能建立连接后锁定的目标。

  • 您可以使用 命令手动清除所有已锁定目标或仅与指定本地或远程网关地址匹配的 clear services l2tp destination lockout 锁定目标。例如,如果要清除特定目标,以便获得优先级,您可以使用 命令。

  • 隧道选择流程的故障切换行为仅在目标无法到达时适用,原因有以下一种:

    • LNS 无法响应从 LAC 发出的最大重新传输尝试数的 SCCQ 消息返回 SCCRP 消息。

    • 隧道已建立,但 LNS 不会在尝试最多重新传输次数后从 LAC 响应 ICRQ 的 ICRP 消息。

  • 此故障切换行为不适用于以下情况:

    • 客户端终止连接。

    • 隧道已建立,但 LNS 在 LAC 尝试建立与 LNS 的会话时发送 CDN 消息,导致订阅者登录尝试失败。

在配置优先级级别之间的故障转移时选择

当用户尝试在默认配置(即未配置优先级内的故障切换和负载平衡)中登录域时,LAC 将搜索至请求的域的有效目标,从最高隧道优先级开始。如果未找到有效目标,或尝试连接到目标失败,LAC 将下降到下一个较低级别,以继续搜索。除了最低级别之外,所有级别的搜索流程都相同:

  1. 搜索首先从域的隧道配置文件中指定的所有隧道之间在优先级级别识别具有有效目的地的隧道。

  2. 所有锁定的有效目标均位于 DestinationsLockedNotContacted 列表中。不尝试联系上述任何目的地。

  3. 在未锁定的有效目标之间,LAC 随机选择一个,并尝试通过关联的隧道连接;如果隧道没有当前会话,则 LAC 必须建立通道。

    注意:

    随机选择是默认行为。在配置加权负载平衡或目标均衡时,行为会有所不同。有关 负载平衡的信息,请参阅 在跨多个 LNS 分配会话负载时选择 。

    • 如果尝试成功,LAC 报告成功登录 PPP 客户端。LAC 还会清除 DestinationsLockedNotconed 列表上的所有目标。

    • 如果 LAC 未收到任何响应,则重试尝试最多为最大重试编号。如果 LAC 在未收到回复的情况下耗尽重试,则视为尝试失败,而 LAC 将目标标记为无法到达,因为锁定目标。它将目标放在锁定列表中,然后启动目标锁定计时器。

  4. LAC 接下来会做什么取决于当前的偏好级别。

    • 如果这不是最低优先级级别,则 LAC 将下降到下一个较低的优先级级别,并继续搜索过程。

    • 如果是最低优先级,并且 DestinationsLockedNotContacted 列表未为空,则 LAC 将解锁 DestinationsLockedNotContacted 列表中的所有目标,并向上跃至最高优先级级别并重新启动搜索过程。

    • 如果是最低优先级级别,并且 DestinationsLockedNotContacted 列表为空(表示已尝试所有有效目标),则 LAC 报告 PPP 客户端登录失败。

  5. 如果一个级别的有效目标全部锁定,则 LAC 接下来做什么取决于当前优先级。

    • 如果这不是最低优先级级别,则 LAC 将下降到下一个较低的优先级级别,并继续搜索过程。

    • 如果是最低优先级,则 LAC 会选择锁定的有效目标,以及剩余的最短锁定时间。它会清除锁定计时器,并尝试连接到目标并建立会话。

      • 如果尝试成功,LAC 报告成功登录 PPP 客户端。

      • 如果尝试失败,且 DestinationsLockedNotContacted 列表为空(表示已尝试所有有效目标),则 LAC 报告 PPP 客户端登录失败。

      • 如果尝试失败,并且 DestinationsLockedNotContacted 列表未为空,则 LAC 将解锁 DestinationsLockedNotcontacted 列表中的所有目标,向上跃至最高优先级,然后重新启动搜索进程。

  6. 如果不存在有效的目标,LAC 接下来会做什么取决于当前的优先级。

    • 如果这不是最低优先级级别,则 LAC 将下降到下一个较低的优先级级别,并继续搜索过程。

    • 如果是最低优先级级别,并且 DestinationsLockedNotContacted 列表为空(表示已尝试所有有效目标),则 LAC 报告 PPP 客户端登录失败。

    • 如果是最低优先级,并且 DestinationsLockedNotContacted 列表未为空,则 LAC 将解锁 DestinationsLockedNotContacted 列表中的所有目标,向上跃至最高优先级级别,然后重新启动进程。

  7. 搜索和故障切换流程将循环浏览级别,直至建立会话或尝试所有有效目标 — 目标LockedNotContacted 列表中没有目标保留 —登录失败。

图 1 说明了确定在隧道优先级级别之间发生故障切换的默认用例中选择目标及相应隧道的可能条件和决策点。

图 1:在优先级级别之间切换的目标和隧道选择流程 Destination and Tunnel Selection Process with Failover Between Preference Levels

例如,假设隧道配置文件包括以下隧道,每个隧道都具有一个有效的目标:

  • 优先级 0、隧道 1、192.168.10.10

  • 优先级 1、隧道 2、192.168.22.22

  • 优先级 1、隧道 3、192.168.33.33

  • 优先级 2、隧道 4、192.168.44.44

未配置优先级和负载平衡内的故障切换。

当 PPP 用户尝试连接到域时,LAC 的行为如下:

  1. 在最高优先级级别 0 时,LAC 选择隧道 1,因为它是唯一具有有效目标级别的通道。LAC 尝试达到 192.168.10.10。

  2. 此连接尝试失败,因此 LAC 会锁定 192.168.10.10。在此登录尝试期间不会再次考虑,并且不能在任何登录尝试中考虑,直到目标锁定计时器到期。

  3. LAC 将(故障过)下一个级别为优先级 1,以到达域的目标。LAC 从隧道 2 到隧道 3 随机选择 192.168.22.22 到 192.168.33.33。它会选择 192.168.22.22 并尝试通过隧道 2 进行连接。

  4. 如果到 192.168.22.22 的连接尝试失败,则 LAC 将锁定 192.168.22.22。在此登录尝试期间不会再次考虑,并且不能在任何登录尝试中考虑,直到目标锁定计时器到期。

    注意:

    即使隧道 3 具有未锁定的有效目标,LAC 现在无法选择到达 192.168.33.33 的隧道,因为 LAC 每次在故障切换方法介于优先级之间时,只能尝试一次达到有效目标。

  5. 在此例中,LAC 下降到最终(最低)级别,优先级 2。LAC 选择隧道 4 是因为它是唯一具有有效目标级别的隧道。LAC 尝试达到 192.168.44.44。

  6. 连接到 192.168.44.44 的连接尝试也失败,因此 LAC 锁定 192.168.44.44。在此登录尝试期间不会再次考虑,并且不能在任何登录尝试中考虑,直到目标锁定计时器到期。

  7. 由于这是最低级别,并且 DestinationsLockedNotContacted 列表为空,因此 LAC 拒绝 PPP 客户端的登录请求。

    目标 192.168.10.10、192.168.22.22 和 192.168.44.44 已锁定,但没有添加到目标Locked NotContacted 列表中,因为 LAC 在尝试连接后将其锁定。未联系目标 192.168.33.33,但是未添加到 DestinationsLocked NotContacted 列表中,因为它未锁定。

  8. 客户端尝试再次登录,而 LAC 会重复隧道选择流程,从优先级 0 开始,检查已解锁的有效目标,并根据需要循环浏览级别。

  9. 在优先级 0 时,192.168.10.10 是唯一有效的目标,仍然处于锁定状态,因此 LAC 不能尝试连接到目标。LAC 将 192.168.10.10 添加到 DestinationsLockedNotContacted 列表中,然后降到优先级 1 。

    注意:

    请记住,目标锁定计时器全局应用,因此会在多个订阅者登录间持续运行。DestinationsLockedNotContacted 列表仅适用于给定订阅者登录,不会保持。即使 LAC 联系了此订阅者 192.168.10.10,但这是在上一次登录尝试期间。在此登录尝试中,由于锁定,无法联系目标,因此将目标放在 DestinationsLockedNotconed 列表中。

  10. 在优先级 1 下,192.168.22.22 仍然被锁定,因此 LAC 将 192.168.22.22 添加到 DestinationsLockedNotcontacted 列表中。192.168.33.33 仍然可用。LAC 尝试通过隧道 3 连接到 192.168.33.33。

  11. 此连接尝试失败,因此 LAC 会锁定 192.168.33.33。在此登录尝试期间不会再次考虑,并且不能在任何登录尝试中考虑,直到目标锁定计时器到期。LAC 下降到优先级 2。

  12. 192.168.44.44 仍然被锁定,因此 LAC 将 192.168.44.44 添加到目标LockedNotContacted 列表中。

  13. 这是最低优先级级别,但这一次 DestinationsLocked NotContacted 列表不会为空;包含 192.168.10.10、192.168.22.22 和 192.168.44.44。LAC 将解锁目标列表上的所有目标LockedNotContacted,然后跳回到最高优先级。

  14. 在优先级 0 时,LAC 会尝试连接到 192.168.10.10,因为它已解锁。LAC 会建立会话并报告成功登录 PPP 客户端。

虽然 LAC 不会尝试联系被锁定的目标,但当 LAC 达到最低优先级级别时,会存在一个特殊情况。该级别必须具有多个有效目标,并且所有目标都必须锁定。例如,假设隧道配置文件包括以下隧道,每个隧道都具有一个有效的目标:

  • 优先级 0、隧道 1、192.168.10.10

  • 优先级 1、隧道 2、192.168.22.22。目标被锁定,锁定计时器当前为 245 秒。

  • 优先级 1、隧道 3、192.168.33.33。目标被锁定,锁定计时器当前为 180 秒。

未配置优先级和负载平衡内的故障切换。

当 PPP 用户尝试连接到域时,LAC 的行为如下:

  1. 在最高优先级级别 0 时,LAC 选择隧道 1,因为它是唯一具有有效目标级别的通道。LAC 尝试达到 192.168.10.10。

  2. 此连接尝试失败,因此 LAC 会锁定 192.168.10.10。在此登录尝试期间不会再次考虑,并且不能在任何登录尝试中考虑,直到目标锁定计时器到期。

  3. LAC 下降到下一个级别(优先级级别 1)以到达域的目标。此级别的两个有效目标(192.168.22.22 和 192.168.33.33)均被锁定。

  4. LAC 将两个目的地添加到 DestinationsLockedNotconed 列表中。

  5. 因为这是最低优先级级别,因此 LAC 确定哪个目标的剩余锁定时间更短。选择 192.168.33.33 因为它的剩余锁定时间(180 秒)比 192.168.22.22(245 秒)更短。LAC 解锁 192.168.33.33 并尝试通过隧道 3 进行连接。因此,LAC 还会从 DestinationsLockedNotcontacted 列表中移除 192.168.33.33。

  6. 连接尝试成功,会话建立到 192.168.33.33。LAC 报告成功登录 PPP 客户端。

在配置优先级内的故障切换时选择

在首选项级别内配置故障切换时,目标与隧道选择流程与默认配置相同,但例外:LAC 不限于在首选项级别进行一次连接尝试。

当 LAC 尝试连接到未锁定的有效目标且未成功时,它会锁定该目标,但不会立即下拉至下一个较低级别。相反,如果另一个未锁定的有效目标处于相同优先级,则 LAC 将尝试连接到该目标。

如果 LAC 未连接,则继续尝试达到该优先级范围内的目标,直至不再解锁,仍然会尝试有效目标。此时,LAC 向下丢弃以在下一个较低优先级进行搜索。在每个级别,LAC 将搜索并尝试连接到有效目标,直到没有解锁的有效目标可用。

如果 LAC 下降到最低优先级级别且未发现已解锁的有效目标,则行为取决于目标LockedNotconed 列表:

  • 如果 DestinationsLockedNotContacted 列表未为空,则 LAC 将解锁 DestinationsLocked NotContacted 列表中的所有目标,并向上跃至最高优先级级别并重新启动搜索进程。

  • 如果 DestinationsLockedNotContacted 为空(表示已尝试所有有效目标),则 LAC 报告 PPP 客户端登录失败。

例如,假设隧道配置文件指定以下隧道和目标。未配置负载平衡。所有目标都有效;除 192.168.3.3 外,所有设备均解锁。隧道的优先级级别分配如下:

  • 优先级 0、隧道 1、192.168.1.1、未锁定

  • 优先级 0、隧道 2、192.168.2.2、未锁定

  • 优先级 0、隧道 3、192.168.3.3、锁定计时器 100 秒

  • 优先级 1、隧道 4、192.168.4.4、未锁定

  • 优先级 1、隧道 5、192.168.5.5、未锁定

在这种情况下,当 PPP 用户尝试连接到域时,LAC 的行为如下:

  1. LAC 在优先级为 0 、192.168.1.1 到隧道 1 和 192.168.2.2 到隧道 2 的两个未锁定有效目标之间随机选择。它选择 192.168.2.2 并尝试通过隧道 2 进行连接。

  2. 连接到 192.168.2.2 的连接尝试失败,因此 LAC 将锁定 192.168.2.2。在此登录尝试期间不会再次考虑,并且不能在任何登录尝试中考虑,直到目标锁定计时器到期。

  3. 然后 LAC 会尝试通过隧道 1 在优先级为 0 时连接到 192.168.1.1。

  4. 连接到 192.168.1.1 的连接尝试失败,因此 LAC 将锁定 192.168.1.1。在此登录尝试期间不会再次考虑,并且不能在任何登录尝试中考虑,直到目标锁定计时器到期。

  5. 192.168.3.3 到 Tunnel 3 是优先级 0 中唯一的剩余有效目标,但已锁定。LAC 将 192.168.3.3 添加到 DestinationsLockedNotContacted 列表中。LAC 未在 DestinationsLocked NotContacted 列表中添加 192.168.1.1 和 192.168.2.2,因为它在尝试联系他们后将其锁定。

  6. 由于级别 0 没有锁定的有效目标,LAC 将下降到下一个级别(优先级 1)以到达域的目标。

  7. 在优先级 1 下,LAC 随机选择 192.168.4.4 并尝试通过隧道 4 连接。

  8. 连接到 192.168.4.4 的连接尝试失败,因此 LAC 将锁定 192.168.4.4。在此登录尝试期间不会再次考虑,并且不能在任何登录尝试中考虑,直到目标锁定计时器到期。

  9. 然后 LAC 会尝试通过隧道 5 在优先级 1 下连接到 192.168.5.5。

  10. 如果到 192.168.5.5 的连接尝试失败,则 LAC 将锁定 192.168.5.5。在此登录尝试期间不会再次考虑,并且不能在任何登录尝试中考虑,直到目标锁定计时器到期。级别 1 不再有已解锁的有效目标。由于 DestinationsLockedNotContacted 列表未为空,因此 LAC 将解锁列表中的所有目标(在这种情况下为 192.168.3.3)并跳回到最高优先级级别 0 。

  11. 192.168.3.3 现在是唯一处于优先级 0 的未锁定目标,因此 LAC 尝试通过隧道 3 连接到它。

  12. 连接到 192.168.3.3 的连接尝试失败,因此 LAC 将锁定 192.168.3.3。在此登录尝试期间不会再次考虑,并且不能在任何登录尝试中考虑,直到目标锁定计时器到期。

  13. 由于级别 0 没有锁定的有效目标,LAC 将下降到下一个级别,即优先级 1。

  14. 优先级 1 没有未锁定的有效目标。DestinationsLockedNotContacted 为空,因为 LAC 已同时在两个优先级联系所有有效目标。LAC 拒绝 PPP 客户端的登录请求。

在多个 LNS 之间分配会话负载时选择

可以在 LAC 上配置多个通道配置文件;一些隧道可能会共享目标当 LAC 将 PPP 订阅者会话隧道传输至 LNS 时,必须为订阅者会话选择通道。通道选择流程会选择优先级最高的隧道,该隧道具有可达的目标。默认情况下,LAC 会从符合相同标准的多个隧道之间随机选择一个隧道。或者,您可以配置负载平衡以启用不同的选择选项。这两种负载平衡方法都会影响 LAC 选择哪些隧道和目的地,但选择和故障切换流程也会保持相同。

注意:

加权负载平衡和目的均衡负载平衡相互排斥。只能启用一个或另一个。

加权负载平衡

加权负载平衡根据隧道的重量评估隧道。隧道的重量由隧道的最大会话限制和其他隧道的最大会话限制(处于相同优先级级别)决定。具有最大会话限制的隧道具有该优先级中最高的权重。具有第二个最大会话限制的隧道具有次高权重,等等。具有最低最大会话限制的隧道具有最低的权重。

注意:

通道选择和会话分配基于概率;负载并非按重量严格分配。

配置加权负载平衡时,LAC 仍将在优先级级别内随机选择隧道,但平均会话分布到与隧道权重不同的隧道上。

借助加权负载平衡,LAC 在一个范围中生成一个随机编号,该编号相当于优先级级别中所有隧道的所有会话限制总和。它将一部分(一个编号池)与每个隧道与隧道重量成正比关联。权重更高的隧道与更大的范围(更大的池)的较大部分相关联,而不是与具有较低重量的隧道相关联。当随机编号位于其关联的编号池中时,会选择一个隧道。平均而言,随机数更可能位于更大的池中,因此选择权重更高的隧道(较大的池)的可能性比权重较低的隧道(较小的池)更可能。

例如,考虑只有两个隧道(1 和 2)的优先级。隧道 1 最多有 1000 个会话,而隧道 2 有 2000 个会话的限制,从而产生总计 3000 个会话。LAC 从 3000 个池(从 0 到 2999)生成一个随机编号。1000 个编号的池(范围从 0 到 999)与隧道 1 相关联。2000 个编号的池(从 1000 到 2999 的范围部分)与隧道 2 相关联。

  • 如果生成的编号小于 1000,则选择隧道 1,即使其重量 (1000) 低于隧道 2 (2000)。

  • 当生成的编号为 1000 或更大时,将选择隧道 2。

由于为隧道 2 (2000) 生成的可能数字池是隧道 1 (1000) 的两倍,因此平均选择隧道 2 的编号是隧道 1 的两倍。

目标均衡 负载平衡

目标均衡负载平衡根据到目的地的会话数和隧道承载的会话数评估隧道,以便在所有隧道之间平均分配会话负载。具有最小会话计数的目标的隧道被视为具有最轻的负载。此过程在处于最高可用优先级的隧道上操作,并采用以下准则:

  • 如果每个隧道都进入单独一个目标,而所有目标中只有一个目的地的会话计数最低,则 LAC 会选择到达该目的地的隧道。

  • 如果每个隧道都进入单独一个目标,且多个目标有相同的最低会话计数,则 LAC 会从隧道之间随机选择一个隧道以到达这些目的地。

  • 如果多个隧道进入同一目标,并且该目标的目标会话计数最低,则 LAC 会从这些隧道中选择具有最小总隧道会话数的隧道。如果所有这些隧道的隧道会话计数相同,则 LAC 会随机选择其中一个。

考虑以下情景,以更好地了解启用目标平等负载平衡时隧道选择行为。

在方案 1 中,每个隧道都有不同的有效目标,并且仅评估目标会话计数:

  • 隧道 1、优先级 1、192.168.1.1、目标会话计数 = 200

  • 隧道 2、优先级 1、192.168.2.2、目标会话计数 = 50

  • 隧道 3,优先级 1,192.168.3.3,目标会话计数 = 300

  • 隧道 4,优先级 1,192.168.4.4,目标会话计数 = 100

当第一个 PPP 用户尝试连接到域时,LAC 会选择隧道 2,因为它处于优先级最高的级别 1 ,并且具有有效的目标 B(会话计数最低的 B),即 50。

当其他 PPP 用户尝试连接到域时,LAC 的行为如下:

  1. 隧道 2 将继续选择,直到 192.168.2.2 的会话计数等于 100,与隧道 4 中的下一个最低会话计数 192.168.4.4 匹配。

  2. 当下一个订阅者登录时,LAC 在隧道 2 和隧道 4 之间随机选择,因为他们的目的地具有相同的会话计数,并且低于其他目的地的会话计数。

  3. 从此对选择的任何隧道,其目的地的会话计数现在为 101。当下一位订阅者登录时,选择另一个隧道,因为它的目标会话计数较低,即 100。这会将目标会话计数提高至 101,与其他隧道匹配。

  4. 随着订阅者继续登录,LAC 会重复此过程,在会话计数匹配时在隧道 2 和隧道 4 之间随机选择,然后选择另一个隧道与下一位订阅者,直至其目标会话计数均达到 200,匹配隧道 1。

  5. 当下一个订阅者登录时,LAC 现在在隧道 1、隧道 2 和隧道 4 之间随机选择,因为 192.168.1.1、192.168.2.2、192.168.3.3 都具有相同的会话计数 200。对于选定的隧道,目标会话计数会提高至 201,因此对于下一个订阅者,LAC 将在其他两个隧道之间随机选择。现在两个隧道的目标会话计数为 201,因此 LAC 会为下一个订阅者选择剩余的隧道。

  6. 随着订阅者继续登录,LAC 会重复此过程,当其会话计数匹配时,在隧道 1、隧道 2 和隧道 4 之间随机选择,在其余对订阅者之间随机选择,然后选择剩余的隧道,以便这三个隧道的目标会话计数再次匹配。此模式一直持续到所有三个隧道的目标会话计数达到 300,与隧道 3 匹配。

  7. 现在,所有四个隧道的目的地都具有相同的会话计数。由于仅有四个隧道,因此建立了最终模式。LAC 首先随机选择全部四个隧道,然后是其余三个隧道,最后是最后一对隧道。当目标会话计数相同时,LAC 将再次启动此模式。

在方案 2 中,两个隧道共享相同的有效目标。隧道会话计数和目标会话计数均会评估:

  • 隧道 1、优先级级别 1、隧道会话计数 = 120、192.168.1.1、目标会话计数 = 200

  • 隧道 2、优先级级别 1、隧道会话计数 = 80、192.168.1.1、目标会话计数 = 200

  • 隧道 3、优先级 1、192.168.2.2、目标会话计数 = 300

  • 隧道 4,优先级 2,192.168.3.3,目标会话计数 = 100

当第一个 PPP 用户尝试连接到域时,LAC 会首先在目标之间选择。192.168.1.1 和 192.168.2.2 的隧道处于优先级级别 1 。LAC 选择 192.168.1.1,因为它的会话计数 (200) 比 192.168.2.2 (300) 更低。然后 LAC 必须选择隧道 1 和隧道 2,因为二者均转至 192.168.1.1。LAC 评估通道会话计数。通道 2 的计数 (80) 低于隧道 1 (120),因此 LAC 会为第一个订阅者选择隧道 2。

当其他 PPP 用户尝试连接到域时,LAC 的行为如下:

  1. 隧道 2 将继续选择,直到其隧道会话计数增加至 120,与隧道 1 匹配。

  2. 当下一个订阅者登录时,LAC 在隧道 1 和隧道 2 之间随机选择,因为它们具有相同的隧道会话计数。所选隧道的隧道会话计数提高至 121。

  3. 当下一个订阅者登录时,LAC 会选择另一个隧道至 192.168.1.1,因为它的通道会话计数较低。从此时开始,LAC 将继续交替,首先在隧道 1 和 2 之间随机选择,然后选择另一个隧道,直到目标会话计数上升到 300,与隧道 3 中的 192.168.2.2 会话计数匹配。(此时,隧道 1 和隧道 2 的隧道会话计数为 150。)

  4. 对于下一位订阅者,LAC 在隧道 1、2 和 3 之间随机选择。

    • 如果 LAC 选择通道 1 或隧道 2,192.168.1.1 会话计数将上升到 301。因此,LAC 会为下一个订阅者选择 Tunnel 3,因为 192.168.2.2 会话计数仍然为 300。此时,这两个目的地再次拥有相同的会话计数。

    • 如果 LAC 选择隧道 3,则 192.168.2.2 会话计数将上升到 301。对于下一位订阅者,LAC 在隧道 1 和隧道 2 之间随机选择,因为它们都转至 192.168.1.1。无论 LAC 选择哪个,192.168.1.1 会话计数上升到 301。此时,这两个目的地再次拥有相同的会话计数。

      注意:

      不再评估隧道 1 和 2 的隧道会话计数;LAC 仅考虑 192.168.1.1 和 192.168.2.2 的目标会话计数。

      此模式将持续适用于所有后续订阅者。

在方案 3 中,每个隧道都有不同的有效目标,并且仅评估目标会话计数:

  • 隧道 1、优先级 1、192.168.1.1、目标会话计数 = 100

  • 隧道 2、优先级 1、192.168.2.2、目标会话计数 = 100

  • 隧道 3,优先级 1,192.168.3.3,目标会话计数 = 100

  • 隧道 4,优先级 1,192.168.4.4,目标会话计数 = 100

当第一个 PPP 用户尝试连接到域时,LAC 确定目标会话计数在优先级级别的所有四个隧道均相同。因此,LAC 在四个隧道中随机选择。

假设 LAC 会为第一个订阅者选择 Tunnel 1。

当其他 PPP 用户尝试连接到域时,LAC 的行为如下:

  1. LAC 在隧道 2 中随机选择 3 和 4,因为目标 192.168.2.2、192.168.3.3 和 192.168.4.4 均具有相同的会话计数,即 100,低于 192.168.1.1、101 的当前会话计数。

  2. 假设 LAC 选择了 Tunnel 2。对于下一位订阅者 LAC 在隧道 3 和 4 之间随机选择,因为 192.168.3.3 和 192.168.4.4 都具有相同的会话计数 100,低于 192.168.1.1 和 192.168.2.2 的当前会话计数 101。

  3. 假设 LAC 选择了 Tunnel 3。对于下一位订阅者,LAC 会选择 Tunnel 4,因为 192.168.4.4 的会话计数为 100,所有其他目的地的计数为 101。

  4. 现在,所有四个隧道的目的地都具有相同的会话计数。由于仅有四个隧道,因此建立了最终模式。随着订阅者继续登录,LAC 首先在所有四个隧道中选择,然后是其余三个隧道,最后是其余一对,最后选择最后一个隧道。当目标会话计数相同时,LAC 将再次启动此模式。

在方案 4 中,LAC 评估目标会话限制和隧道最大会话限制:

  • 隧道 1、优先级级别 1、192.168.1.1、目标会话计数 = 30、隧道最大会话限制 = 200

  • 隧道 2,优先级 1,192.168.2.2,目标会话计数 = 40,隧道最大会话限制 = 200

  • 隧道 3,优先级 1,192.168.3.3,目标会话计数 = 300,隧道最大会话限制 = 1000

  • 隧道 4,优先级 2,192.168.4.4,目标会话计数 = 100

当第一个 PPP 用户尝试连接到域时,LAC 选择隧道 1,因为 192.168.1.1 的会话计数在优先级中最低。

当其他 PPP 用户尝试连接到域时,LAC 的行为如下:

  1. LAC 将继续选择隧道 1,直到 192.168.1.1 的目标会话计数等于 40,与隧道 2 中的 192.168.2.2 计数匹配。

  2. 当下一个订阅者登录时,LAC 在隧道 1 和隧道 2 之间随机选择,因为他们的目的地具有相同的会话计数,并且低于隧道 3 (300) 的会话计数。

  3. 从此对选择的任何隧道,其目的地的会话计数现在为 41。当下一位订阅者登录时,选择另一个隧道,因为它的目标会话计数较低,即 40。这会将目标会话计数提高至 41,与其他隧道匹配。

  4. 随着订阅者继续登录,LAC 会重复此过程,在会话计数匹配时在隧道 1 和隧道 2 之间随机选择,然后选择另一个隧道与下一位订阅者,直至其目标会话计数均达到 200,匹配其隧道最大会话限制 200。由于两个隧道均已达到最大会话限制,因此无法选择它们。

  5. 随着订阅者继续登录,LAC 在优先级级别隧道 3 中选择剩余隧道,直至其目标会话计数达到隧道 1000 的最大会话限制。

  6. 当下一个订阅者登录时,LAC 将下降到下一个优先级级别并选择 Tunnel 4,因为它是唯一在此级别的通道。

  7. 随着订阅者继续登录,LAC 将继续选择隧道 4,因为未为此隧道配置最大会话限制。之后,LAC 只有在某个会话终止该级别的某条隧道时,才能选择优先级更高的隧道,将会话计数丢弃至最大值以下。

在方案 5 中,其中一个目标被锁定:

  • 隧道 1、优先级 1、192.168.1.1、目标会话计数 = 100、锁定目标

  • 隧道 2、优先级 1、192.168.2.2、目标会话计数 = 200

  • 隧道 3,优先级 1,192.168.3.3,目标会话计数 = 250

当第一个 PPP 用户尝试连接到域时,LAC 无法选择隧道 1,即使其目标会话计数最低,因为通道位于目标锁定状态。通道 1 要超过锁定状态才能考虑。LAC 选择隧道 2 是因为 192.168.2.2 的会话计数低于 192.168.3.3。

当其他 PPP 用户尝试连接到域时,接下来会发生什么取决于 192.168.1.1 何时出现锁定状态。只要 192.168.1.1 被锁定,LAC 就按如下方式选择:

  1. LAC 将继续选择隧道 2,直到 192.168.2.2 的会话计数等于 250,匹配隧道 3 中的 192.168.3.3 计数。

  2. 当下一个订阅者登录时,LAC 在隧道 2 和隧道 3 之间随机选择,因为他们的目标会话计数相同,为 250。

  3. 从此对选择的任何隧道,其目的地的会话计数现在为 251。当下一位订阅者登录时,选择另一个隧道,因为它的目标会话计数较低,即 250。这会将目标会话计数提高至 251,与其他隧道匹配。

  4. 随着订阅者继续登录,LAC 会重复此过程,当其会话计数与匹配时,在隧道 2 和隧道 3 之间随机选择,然后选择另一个与下一位订阅者共同的隧道。

只要 192.168.1.1 出现锁定状态,LAC 就会为下一个订阅者选择 Tunnel 1,因为 192.168.1.1 的会话计数最低。LAC 将一直这样做,直到 192.168.1.1 的会话计数与其他任一目的地的当前会话计数匹配。从此时开始,LAC 备选路由在具有匹配目标会话计数的隧道之间随机选择,然后选择具有最低计数的隧道。

只要 192.168.1.1 出现锁定状态

  1. LAC 会为下一个订阅者选择隧道 1,因为 192.168.1.1 的会话计数最低。

  2. LAC 将继续选择隧道 1,直到 192.168.1.1 的会话计数与其他任一目的地的当前会话计数匹配。

  3. 从此时开始,LAC 备选路由在具有匹配目标会话计数的隧道之间随机选择,然后选择具有最低计数的隧道。

L2TP 会话限制概述

启动 L2TP 会话请求时,LNS 或 LAC 将针对机箱、隧道、隧道组、客户端(请求主机设备)或一组客户端允许的最大会话数检查当前活动会话的数量。当达到配置的会话限制时,新会话请求将被拒绝。

请求会话时,LNS 按以下顺序检查会话限制:

机箱>隧道>组>会话限制组>客户端

在每个级别,LNS 将确定当前会话计数是否小于配置的限制。如果为真,或者未配置限制,则检查通过,LNS 继续检查下一个级别。如果在任何级别,当前会话计数等于配置的限制,则 LNS 将拒绝会话请求,并且不会检查任何其他级别。否则,可以建立会话。

当现有隧道的会话请求被拒绝时,将返回一条呼叫-断开连接通知 (CDN) 消息,作为响应传入呼叫请求 (ICRQ) 时,会返回一条将结果代码和错误代码均设置为 4 的呼叫-断开连接 (CDN) 消息。当拒绝的请求是请求新隧道时,将建立隧道,但会话无法建立,导致隧道因无会话而关闭。

LAC 执行相同的检查,但仅针对机箱和隧道级别。LAC 将 PPP 终止消息退还给客户端,以拒绝请求。

您可以为机箱、所有隧道、隧道组、一组客户端或单个客户端配置会话限制。以下情景介绍不同会话限制配置的情况。

场景 1:机箱限制

表 1中,当前 L2TP 会话计数为 10,000,每级会话限制配置为 10,000。请求新会话时,机箱级别的第一次检查将失败,因为当前会话计数与配置的限制匹配。其他级别不会执行任何进一步检查,并且会话请求将被拒绝。不允许任何级别的新会话,直到当前会话计数下降到 10,000 以下。

表 1:方案 1,机箱限制

水平

配置的会话限制

命令显示的当前会话 show services l2tp summary 计数

会话限制检查结果

底盘

10,000

10,000

失败

隧道 A

10,000

10,000

隧道组 B

10,000

10,000

会话限制组

10,000

10,000

客户

10,000

10,000

场景 2:隧道限制

表 2中,当前 L2TP 会话计数为 2000。请求新会话时,机箱级别的第一次检查通过,因为配置的限制允许机箱上多达 10,000 个会话,但是当前只有 2000 个会话处于活动状态。隧道级别的下一项检查失败,因为当前会话计数与隧道 A 的已配置限制通道限制 2000 匹配。

其他级别不会执行任何进一步检查,并且会话请求将被拒绝。

表 2:方案 2,隧道限制

水平

配置的会话限制

命令显示的当前会话 show services l2tp summary 计数

会话限制检查结果

底盘

10,000

2000

通过

隧道 A

2000

2000

失败

隧道组 B

10,000

2000

会话限制组

6000

2000

客户

6000

2000

在隧道 A 上不允许新的会话,直到其当前会话计数下降到 2000 以下,并且会话检查可以通过。如果发生这种情况,在这种情况下,其他级别检查将通过,因为它们配置的限制大于其当前计数。

2000 的会话限制适用于所有隧道;也就是说,每个活动隧道都有一个独立的 2000 个会话限制一个隧道的故障对另一个隧道没有影响。任何其他隧道上的会话请求,只要该隧道的当前会话计数小于 2000。

场景 3:隧道组限制

表 3中,当前 L2TP 会话计数为 2000。请求新会话时,机箱级别的第一次检查通过,因为配置的限制允许机箱上多达 10,000 个会话,但是当前只有 2000 个会话处于活动状态。隧道级别的第二次检查也出于相同原因进行。隧道组 B 的隧道组级别下一项检查失败,因为隧道组 B 的当前会话计数与配置的限制通道组限制 2000 匹配。

其他级别不会执行任何进一步检查,并且会话请求将被拒绝。

表 3:方案 3,隧道组限制

水平

配置的会话限制

命令显示的当前会话 show services l2tp summary 计数

会话限制检查结果

底盘

10,000

2000

通过

隧道 A

10,000

2000

通过

隧道组 B

2000

2000

失败

会话限制组

6000

2000

客户

6000

2000

在隧道组 B 上不允许新的会话,直到其当前会话计数下降到 2000 以下,并且会话检查可以通过。如果发生这种情况,则其他级别检查可以通过,因为它们配置的限制大于其当前计数。

对于隧道组,会话限制按组配置;也就是说,您不能指定应用于所有隧道组的单个限制。任何隧道组的故障都对其他隧道组没有影响。在这种情况下,如果该组的当前会话计数小于其配置的会话限制,将针对任何其他隧道组发送会话请求。

情景 4:会话限制组限制

表 4中,当前 L2TP 会话计数为 6000。请求新会话时,将检查机箱、隧道和隧道组,因为每个会话的配置限制最多允许 10,000 个会话,但是当前只有 6000 个会话处于活动状态。会话限制组的检查失败,因为会话限制组 slg1 的当前会话计数与配置的限制 6000 匹配。

不会在剩余级别执行进一步检查,并且会话请求会被拒绝。

表 4:方案 4,会话限制组限制

水平

配置的会话限制

命令显示的当前会话 show services l2tp summary 计数

会话限制检查结果

底盘

10,000

6000

通过

隧道 A

10,000

6000

通过

隧道组 B

10,000

6000

通过

会话限制组 slg1

6000

6000

失败

客户

8000

2000

会话限制组 slg1 中的任何客户端不允许任何新会话,直到组的当前会话计数下降到 6000 以下,并且会话检查可以通过。如果发生这种情况,则其余级别检查可以通过,因为它配置的限制大于其当前计数。

您可以通过卸下或添加客户端来重新配置会话限制组,而不会影响任何当前会话。重新配置会影响可用于客户端组的会话数量。

  • 如果删除客户端,则可建立的新会话数量会通过该客户端当前会话的数量增加。

  • 如果添加一个客户端,则可建立的新会话数量将减少该客户端当前会话的数量。现有客户端的新当前会话总数以及新客户端超出会话限制组的配置限制。在这种情况下,不会丢弃会话,但是直到会话计数下降到配置的组限制以下时,无法建立新会话。

要进一步探讨这一点,请考虑以下系列事件:

  1. 会话限制组 slg1 有两个客户端,即 ent1-serviceA,当前会话计数为 3500,ent1-serviceB 当前会话计数为 0。由于组 slg1 有 6000 个限制,因此不能为这些客户端添加超过 2500 个会话:

    6000 - 3500 = 2500

  2. 然后,在客户端 ent1-service B 上登录 1000 个会话。现在,这些客户端无法添加超过 1500 个会话:

    6000 - (3500 + 1000) = 1500

  3. 接下来,假设您从会话限制组移除客户端 ent1-serviceA。组会话容量增长到 5000 个会话:

    6000 - 1000 = 5000

  4. 最后,您可向会话限制组添加新的客户端 ent1-serviceC。此新客户端当前具有 8000 个活动会话。在这种情况下,会话限制组现在具有 9000 个会话:

    1000 + 8000 = 9000

    即使超过组的最大会话限制 6000,不会丢弃任何会话。在会话计数从 9000 下降到低于 6000 之前,无法添加新会话。

场景 5:单个客户端限制

表 5 中,会话检查将针对机箱、隧道和隧道组,因为它们的配置限制大于其当前会话计数。客户端 ent1-serviceA 不属于会话限制组。由于客户端的当前会话计数与配置的 6000 个限制匹配,因此限制检查失败。

表 5:方案 5,单个客户端限制

水平

配置的会话限制

命令显示的当前会话 show services l2tp summary 计数

会话限制检查结果

底盘

10,000

6000

通过

隧道 A

10,000

6000

通过

隧道组 B

8000

6000

通过

客户端 ent1-serviceA

6000

6000

失败

此客户端不允许有新的会话,直到其当前会话计数下降到 6000 以下,并且会话检查可以通过。任何独立客户端的故障都对其他客户端没有影响。在这种情况下,如果该客户端的当前会话计数小于其配置的会话限制,则针对任何其他独立客户端的会话请求将经过。

为单个客户端(并非会话限制组一部分)设置的会话限制会按隧道组应用。多个具有相同源主机名但不同源 IP 地址的 LAC 视为同一个客户端。

假设您有三个 LAC:A、B 和 C。这三种主机名都具有相同的源主机名 ce-lac。LAC A 和 LAC B 通过与通道组 1 相关联的网关地址与 LNS 建立会话。LAC C 通过与隧道组 2 相关联的不同网关建立会话。由于这些 LAC 的主机名相同,因此所有三种主机名的客户端配置都相同。但是,由于隧道组,客户端会话限制对 LAC 有不同应用。

假设客户端会话限制为 100。由于 LAC A 和 LAC B 都在隧道组 1 中创建会话,因此它们必须共享客户端限制。这意味着允许使用 LAC A 和 LAC B 的会话总数为 100 个。

LAC C 在不同的隧道组 2 中创建会话。由于客户端会话限制应用于每个隧道组,因此无论已建立多少个 LAC A 和 LAC B 会话,LAC C 都允许 100 个会话。

限制 LAC 或 LNS 允许的 L2TP 会话数量

您可以限制机箱、所有隧道、隧道组、一组客户端、单个客户端或单个服务接口或聚合服务接口允许的最大 L2TP 会话数。当达到配置的会话限制时,新会话请求被 LNS 或 LAC 拒绝。在达到最大机箱限制时,即使未超过配置的限制,会话请求也被拒绝。可配置的会话限制提供细粒度控制,以控制客户通过多个位置的 LAC 连接时可拥有的会话数。

注意:

不能将限制设置为超过机箱的默认最大限制。

要限制机箱(LAC 或 LNS)上允许的会话数:

  • 配置最大会话数。

要限制所有隧道(LAC 或 LNS)每隧道的会话数:

  • 配置最大会话数。

    不能将限制设置为超过 65,535 个会话。

要限制特定隧道组 (LNS) 中所有隧道的会话数:

  • 配置最大会话数。

要限制单个服务接口上允许的会话数:

  • 配置最大会话数。

要限制单个聚合服务接口上允许的会话数量:

  • 配置最大会话数。

    注意:

    此配置适用于所有成员接口;不能为聚合服务接口的单个成员接口配置限制。

要限制一组客户端 (LNS) 的会话数量:

  1. 配置最大会话数。
  2. 将客户端与会话限制组进行关联。

要限制并非会话限制组 (LNS) 成员客户端的会话数:

  • 配置最大会话数。

注意:

将任何级别的会话限制配置为小于当前该级别的会话数,对现有会话没有影响。新限制仅在会话数量下降到新限制以下时适用。

您可以使用 命令 show services l2tp summary extensive 显示隧道的已配置会话限制:

配置的会话的显示限制设置为以下配置的会话值中最低的值:

  • 全局(机箱)—(LAC 和 LNS) set services l2tp tunnel maximum-sessionsnumber

  • 隧道配置文件(单个隧道)—(LAC 和 LNS) set access tunnel-profile profile-name tunnel tunnel-idmax-sessionsnumber]

  • RADIUS —(LAC 和 LNS)的 VSA 26–33 值,隧道最大会话数

  • 主机配置文件 —(仅 LNS) set access profile profile-name client client-name l2tp maximum-sessions-per-tunnel

配置的值将确定从以下 Junos OS 版本开始的字段值:19.2R3、19.3R3、19.4R3、20.1R2、20.2R2 和 20.3R1。在早期版本中,字段显示 LNS 的主机配置文件值,但是显示 LAC 的固定值 512,000。

注意:

GRES、统一 ISSU 或 jl2tpd 流程重新启动后,只有当隧道上出现新会话之后,此字段的值才准确。在此之前,字段会显示 65,535 的值,而不是配置的值。

假设您有两个隧道:隧道 A 和隧道 B。将发生 GRES,而每个隧道的字段显示 65,535。当隧道 B 上出现新会话时,该隧道的值将更新为已配置的值。对于隧道 A,字段将继续显示 65,535,直到该隧道获得新会话。

设置隧道名称的格式

默认情况下,隧道的名称对应于第三方服务器返回的隧道分配 Id [82] AAA。您可以选择性地将 LAC 配置为在构建隧道名称时使用更多元素,方法为在 层次结构级别包含 assignment-id-format client-server-id [edit services l2tp tunnel] 语句。此格式使用三个属性:Tunnel-Client-Auth-Id [90]、隧道-服务器端点 [67] 和隧道分配-Id [82]。这些属性分别与在通道配置文件中为 LAC(源网关)名称、LNS 上的通道端点(远程网关)地址和隧道 ID 配置的值对应。

因此,当服务服务器返回的通道-客户端-AAA Id 与之前返回的不同时 client-server-id ,LAC 会自动创建新隧道。

注意:

在降级到不支持Junos OS的云版本之前,建议在 层次结构级别包含 语句来显式取消 no assignment-id-format assignment-id [edit services l2tp tunnel] 配置功能。

要更改隧道名称的格式化方式,

  • 配置格式。

为订阅者访问配置隧道配置文件

隧道配置文件指定了一组用于描述隧道属性。配置文件可通过域映射应用,也可在创建隧道时自动应用。

注意:

RADIUS属性和 VSA 可以覆盖域图中隧道配置文件配置的值。在缺少域图的情况下,RADIUS通道的所有特征。以下步骤中的步骤列出了您可以在 RADIUS服务器上配置的相应标准 RADIUS 属性或 VSA,以修改或配置隧道配置文件。

RADIUS提供的属性由属性中携带的标记与隧道相关联,标记与通道标识符匹配。标记 0 表示未使用标记。如果 L2TP 收到标记为 0 的 RADIUS 属性,则属性不能与对应于订阅者域的隧道配置文件配置合并,因为通道配置文件不能提供 0 的隧道标记(隧道标识符)。仅支持范围为 1 到 31 的标记。

要配置隧道配置文件的隧道定义,

  1. 指定要定义通道的隧道配置文件。(隧道组 [26-64])
  2. 为隧道的 L2TP 控制连接指定标识符(名称)。
  3. 配置本地 L2TP 通道端点 LAC 的 IP 地址。(隧道客户端-端点 [66])
  4. 配置远程 L2TP 通道端点 LNS 的 IP 地址。(隧道-服务器端点 [67])
  5. (可选)配置隧道的优先级。(隧道优先级 [83])
  6. (可选)配置本地客户端 (LAC) 的主机名。(Tunnel-Client-Auth-Id [90])
  7. (可选)配置远程服务器的主机名 (LNS)。(Tunnel-Server-Auth-Id [91])
  8. (可选)指定隧道的介质(网络)类型。(通道介质类型 [65])
  9. (可选)指定隧道的协议类型。(隧道类型 [64])
  10. (可选)配置隧道的分配 ID。(隧道分配 ID [82])
  11. (可选)配置隧道中允许的最大会话数。(隧道最大会话数 [26-33])
  12. (可选)配置用于远程服务器认证的密码。(标准加密RADIUS隧道密码 [69] 或 VSA 隧道密码 [26-9])
  13. (可选)配置用于隧道的逻辑系统。

    如果配置逻辑系统,还必须配置路由实例。

  14. (可选)配置要用于隧道的路由实例。(隧道虚拟路由器 [26-8])

    如果配置路由实例,则配置逻辑系统是可选的。

  15. (可选)允许 LAC 与 Cisco LNS 设备进行互操作。(隧道 Nas 端口方法 [26-30])

以下示例显示隧道配置文件的完整配置:

配置 L2TP LAC 通道选择参数

当 LAC 确定应建立 PPP 会话的通道时,它会从一组与 PPP 用户或 PPP 用户域相关联的隧道中选择一个隧道。您可以配置如何选择通道以及 LAC 是否将某些信息发送到 LNS。

要配置通道选择参数,

  1. (可选)配置连接尝试失败时如何选择隧道。
  2. (可选)配置隧道之间的会话负载平衡方式。
  3. (可选)通过在所有隧道之间平均分配会话,将会话配置为在优先级别内的隧道之间实现负载平衡。

在优先级范围内配置 LAC 隧道选择故障切换

您可以配置在连接失败时 LAC 隧道选择继续的情况。默认情况下,当路由器无法在给定优先级级别连接到目标时,会尝试以下一个较低的级别连接。您可以指定路由器将尝试连接到与失败尝试处于相同级别的另一个目标。

如果优先级级别下的所有目标均标记为不可访问,则路由器不会尝试连接到该级别的目标。它会降到下一个较低的优先级级别以选择目标。

如果所有优先级级别的所有目标均标记为不可访问,则路由器将选择先出现故障的目标并尝试建立连接。如果连接失败,路由器将拒绝 PPP 用户会话,而不尝试联系远程路由器。

例如,假设一个域有四个隧道:A、B、C 和 D。所有隧道都被视为可到达的,优先级分配如下:

  • A 和 B(优先级为 0)

  • C 和 D(优先级 1)

当路由器尝试连接到域时,假设它从优先级 0 随机选择隧道 B。如果无法连接到隧道 B,路由器将排除隧道 B 5 分钟,并尝试连接到隧道 A。如果此尝试也失败,路由器将下降到优先级 1 。然后假设路由器选择了隧道 C。如果无法连接到隧道 C,则路由器将排除通道 C 5 分钟并尝试连接到通道 D。

您可以在隧道配置文件或"隧道首选项"(RADIUS [83] 属性中配置此通道选择方法的优先级。

要启用优先级别内的隧道选择故障转移:

  • 指定优先的故障切换。

为 LAC 隧道会话配置加权负载平衡

默认情况下,L2TP LAC 会从最高可用优先级中随机选择新会话的隧道。您可以通过评估每个隧道的重量,将 LAC 配置为在最高可用优先级的隧道之间分配会话。此方法称为 加权负载均衡。通道的重量与它的最大会话限制以及其他处于相同优先级级别的隧道的最大会话限制成正比。配置加权负载平衡时,LAC 仍将在优先级级别内随机选择隧道,但与隧道权重有关,会话平均分布到多个隧道。

要配置加权负载平衡:

  • 指定负载均衡。

为 LAC 隧道会话配置目标平等负载平衡

默认情况下,L2TP LAC 会从最高可用优先级中随机选择新会话的隧道。从 Junos OS 版本 15.1 开始,您可以配置 LAC 以在最高可用优先级级别跨所有隧道平均分配会话,方法包括评估到目标会话数和隧道携带的会话数。此分配方法称为 目标相等负载均衡。LAC 根据以下准则选择负载最小的隧道:

  • 如果每个隧道都进入单独一个目标,而所有目标中只有一个目的地的会话计数最低,则 LAC 会选择到达该目的地的隧道。

  • 如果每个隧道都进入单独一个目标,且多个目标有相同的最低会话计数,则 LAC 会从隧道之间随机选择一个隧道以到达这些目的地。

  • 如果多个隧道进入同一目标,并且该目标的目标会话计数最低,则 LAC 会从这些隧道中选择具有最小总隧道会话数的隧道。如果所有这些隧道的隧道会话计数相同,则 LAC 会随机选择其中一个。

要配置目标均衡负载平衡:

  • 指定目标均衡负载均衡。

为 IPv6 服务启用 LAC

您可以将 LAC 配置为在将订阅者穿过隧道到 LNS 时创建 IPv6 地址族 (inet6)。然后,LAC 上的服务可以将 IPv6 防火墙过滤器应用于订阅者流量。默认情况下,LAC 仅需要家族 inet 以允许转发到 IP 通道。LAC 可以将 IPv4 防火墙过滤器应用于会话。即使动态配置文件中包含 Family inet6,默认情况下也并非为了节省资源而创建 inet6,因为不需要。因此,无法应用 IPv6 防火墙过滤器。

要启用 IPv6 地址族创建和应用程序 IPv6 防火墙过滤器:

  • 配置启用。

您可以使用 命令 show services l2tp summary 显示语句是启用还是禁用。

测试 LAC 的 L2TP 通道配置

您可以在 LAC 测试 L2TP 隧道配置并成功执行订阅者身份验证和隧道,而无需启动 PPP 用户和相关隧道。

从 CLI 操作模式下发出命令,将订阅者映射到 L2TP 隧道,验证 L2TP 隧道配置(LAC 本地和后端服务器(例如 RADIUS 服务器)上的 L2TP 隧道配置,并验证是否可通过远程 LNS 建立 LAC 的 test services l2tp tunnel L2TP 隧道。

通过Junos OS LAC 实施,可配置多个通道,其中选择一个隧道来为 PPP 用户建立通道。您可以使用 命令 test services l2tp tunnel 测试所有可能的隧道配置,以验证是否可建立每种配置。或者,您还可以仅为订阅者测试特定隧道。

发出 命令时,必须指定配置的订阅者用户名。测试会为订阅者生成一个虚拟密码(testpass)。您也可以选择指定密码。测试将验证通过该用户名标识的订阅者能否根据隧道配置通过隧道隧道。如果订阅者可以建立隧道,则测试将验证是否可根据 L2TP 配置使用 LNS 建立 L2TP 隧道。

您可以选择指定通道 ID,在这种情况下,仅测试通道;隧道必须已为此用户名配置如果您省略此选项,则测试将应用于为用户名返回的完整隧道配置集。您指定的隧道 ID 与隧道分配 Id (RADIUS 属性 82) 和由隧道配置文件中的语句 identification 指定的隧道 ID 相同。

要测试订阅者身份验证和隧道配置:

  • 仅指定用户名。

    示例 1:

    用户无法通过生成的密码进行身份验证,因此无法通过隧道技术验证。

    示例 2:

    此用户通过生成的密码进行验证并成功通过隧道传输。发现一组隧道与该用户名相关联,并且测试了整个集。

  • 指定用户名和用户配置的密码。

    订阅者经过身份验证。但是,用户已在本地终止,而不是通过隧道终止;这意味着未找到与用户相关联的隧道

  • 为订阅者指定用户名和特定通道。

    用户经过身份验证和隧道传输。为订阅者找到指定的隧道,并建立了隧道,确认隧道配置。

  • 指定用户名、用户配置的密码和隧道。

    用户经过身份验证和隧道传输。输出中缺少通道信息表示不存在指定的通道配置。

版本历史记录表
释放
描述
20.3R1
配置的值将确定从以下 Junos OS 版本开始的字段值:19.2R3、19.3R3、19.4R3、20.1R2、20.2R2 和 20.3R1。
15.1
从 Junos OS 版本 15.1 开始,您可以配置 LAC 以在最高可用优先级级别跨所有隧道平均分配会话,方法包括评估到目标会话数和隧道携带的会话数。