AUF DIESER SEITE
Konfiguration eines L2TP-LNS mit Inline-Serviceschnittstellen
Anwenden von PPP-Attributen auf L2TP LNS-Abonnenten pro Inline-Serviceschnittstelle
Anwenden von PPP-Attributen auf L2TP LNS-Abonnenten mit einem Benutzergruppenprofil
Konfiguration eines Adresszuweisungspools für L2TP LNS mit Inline-Services
Konfiguration einer Inline-Serviceschnittstelle für L2TP LNS
Optionen für die logische Schnittstelle für LNS Inline Services konfigurieren
Konfiguration der zustandsbehafteten 1:1-LNS-Redundanz auf aggregierten Inline-Serviceschnittstellen
Überprüfung der 1:1-Redundanz der aggregierten Inline-Serviceschnittstelle von LNS
L2TP-Sitzungslimits und Lastausgleich für Serviceschnittstellen
Konfigurieren einer L2TP-Tunnelgruppe für LNS-Sitzungen mit Inline-Serviceschnittstellen
Anwenden von Services auf eine L2TP-Sitzung ohne Verwendung von RADIUS
Pool von Inline-Service-Schnittstellen für dynamische LNS-Sitzungen konfigurieren
Konfigurieren eines dynamischen Profils für dynamische LNS-Sitzungen
L2TP LNS Inline-Serviceschnittstellen
Konfiguration eines L2TP-LNS mit Inline-Serviceschnittstellen
Die L2TP LNS-Featurelizenz muss installiert werden, bevor Sie mit der Konfiguration beginnen. Andernfalls wird eine Warnmeldung angezeigt, wenn ein Commit für die Konfiguration ausgeführt wird.
So konfigurieren Sie ein L2TP-LNS mit Inline-Serviceschnittstellen:
Sie müssen auch CoS für LNS-Sitzungen konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von dynamischem CoS für einen L2TP LNS-Inline-Service.
Anwenden von PPP-Attributen auf L2TP LNS-Abonnenten pro Inline-Serviceschnittstelle
Sie können PPP-Attribute konfigurieren, die vom LNS auf der Inline-Service-Schnittstelle (si) auf die PPP-Abonnenten angewendet werden, die von der LAC getunnelt werden. Da Sie die Attribute pro Schnittstelle und nicht mit einem Benutzergruppenprofil konfigurieren, können die Attribute für Abonnenten mit einer feineren Granularität variiert werden. Diese Konfiguration entspricht der Konfiguration für beendete PPPoE-Abonnenten.
So konfigurieren Sie die PPP-Attribute für dynamisch erstellte si-Schnittstellen:
So konfigurieren Sie die PPP-Attribute für statisch erzeugte si-Schnittstellen:
Geben Sie die logische Inline-Serviceschnittstelle an.
[edit interfaces si-slot/pic/port] user@host# edit unit logical-unit-number
Konfigurieren Sie das Intervall zwischen PPP-Keepalive-Meldungen für den L2TP-Tunnel, der auf dem LNS endet.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set keepalives interval seconds
Konfigurieren Sie die Anzahl der Keepalive-Pakete, die ein Ziel nicht empfangen darf, bevor das Netzwerk eine Verbindung trennt.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set keepalives down-count number
Hinweis:Die Option wird in der Regel nicht für die
keepalives up-countVerwaltung von Anwendern verwendet.Konfigurieren Sie PPP-Authentifizierungsmethoden, die für getunnelte PPP-Abonnenten im LNS gelten.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set ppp-options chap user@host# set ppp-options pap
Konfigurieren Sie den Router so, dass er CPE (Customer Premises Equipment) auffordert, während der IPCP-Aushandlung für getunnelte PPP-Abonnenten am LNS sowohl primäre als auch sekundäre DNS-Adressen auszuhandeln.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set ppp-options ipcp-suggest-dns-option
Obwohl alle anderen Anweisungen, die untergeordnet sind – ppp-optionseinschließlich derjenigen, die und untergeordnet chap papsind – unterstützt werden, werden sie in der Regel nicht für die Verwaltung von Anwendern verwendet. Es wird empfohlen, diese anderen Anweisungen auf ihren Standardwerten zu belassen.
Sie können PPP-Attribute auch mit einem Benutzergruppenprofil konfigurieren, das die Attribute auf alle Abonnenten mit diesem Profil auf einem LAC-Client anwendet. Weitere Informationen finden Sie unter Anwenden von PPP-Attributen auf L2TP LNS-Abonnenten mit einem Benutzergruppenprofil . Wenn Sie die PPP-Attribute für L2TP LNS-Abonnenten sowohl auf der si-Schnittstelle als auch in Benutzergruppenprofilen konfigurieren, hat die Konfiguration der Inline-Serviceschnittstelle Vorrang vor der Konfiguration des Benutzergruppenprofils.
Wenn PPP-Optionen sowohl in einem Gruppenprofil als auch in einem dynamischen Profil konfiguriert sind, hat die Konfiguration des dynamischen Profils vollständigen Vorrang vor dem Gruppenprofil, wenn das dynamische Profil eine oder mehrere der PPP-Optionen enthält, die im Gruppenprofil konfiguriert werden können. Vollständige Rangfolge bedeutet, dass es keine Zusammenführung von Optionen zwischen den Profilen gibt. Das Gruppenprofil wird nur dann auf den Anwender angewendet, wenn das dynamische Profil keine im Gruppenprofil verfügbare PPP-Option enthält.
Anwenden von PPP-Attributen auf L2TP LNS-Abonnenten mit einem Benutzergruppenprofil
Sie können ein Benutzergruppenprofil konfigurieren, das es dem LNS ermöglicht, PPP-Attribute auf die PPP-Abonnenten anzuwenden, die von der LAC getunnelt werden. Das Benutzergruppenprofil ist Clients (LACs) im L2TP-Zugriffsprofil zugeordnet. Folglich haben alle Abonnenten, die von einem bestimmten Client verwaltet werden, die gleichen PPP-Attribute.
So konfigurieren Sie ein Benutzergruppenprofil:
Sie können PPP-Attribute auch für einzelne Schnittstellen konfigurieren. Weitere Informationen finden Sie unter Anwenden von PPP-Attributen auf L2TP LNS-Abonnenten pro Inline-Service-Schnittstelle . Wenn Sie die PPP-Attribute für L2TP LNS-Abonnenten sowohl auf der si-Schnittstelle als auch in Benutzergruppenprofilen konfigurieren, hat die Konfiguration der Inline-Serviceschnittstelle Vorrang vor der Konfiguration des Benutzergruppenprofils.
Wenn PPP-Optionen sowohl in einem Gruppenprofil als auch in einem dynamischen Profil konfiguriert sind, hat die Konfiguration des dynamischen Profils vollständigen Vorrang vor dem Gruppenprofil, wenn das dynamische Profil eine oder mehrere der PPP-Optionen enthält, die im Gruppenprofil konfiguriert werden können. Vollständige Rangfolge bedeutet, dass es keine Zusammenführung von Optionen zwischen den Profilen gibt. Das Gruppenprofil wird nur dann auf den Anwender angewendet, wenn das dynamische Profil keine im Gruppenprofil verfügbare PPP-Option enthält.
Konfigurieren eines L2TP-Zugriffsprofils auf dem LNS
Zugriffsprofile definieren, wie Layer 2 Tunneling Protocol (L2TP)-Verbindungen und Sitzungsanfragen validiert werden. Innerhalb jedes L2TP-Zugriffsprofils konfigurieren Sie einen oder mehrere Clients (LACs). Die Client-Merkmale werden verwendet, um LACs mit übereinstimmenden Kennwörtern zu authentifizieren und Attribute des Client-Tunnels und der Sitzung festzulegen. Sie können mehrere Zugriffsprofile und mehrere Clients in jedem Profil konfigurieren.
So konfigurieren Sie ein L2TP-Zugriffsprofil:
Konfiguration eines lokalen AAA-Zugriffsprofils auf dem LNS
Bei einigen LNS-Tunneln möchten Sie möglicherweise das Zugriffsprofil überschreiben, das in der Routing-Instanz konfiguriert ist, die den Tunnel mit einer bestimmten RADIUS-Serverkonfiguration hostet. Dazu können Sie ein lokales Zugriffsprofil konfigurieren. Anschließend können Sie die aaa-access-profile Anweisung verwenden, um das lokale Zugriffsprofil auf eine Tunnel-Gruppe oder einen LAC-Client anzuwenden.
Ein lokales Zugriffsprofil, das auf einen Client angewendet wird, überschreibt ein lokales Zugriffsprofil, das auf eine Tunnel-Gruppe angewendet wird, wodurch wiederum das Zugriffsprofil für die Routing-Instanz überschrieben wird.
So konfigurieren Sie ein lokales AAA-Zugriffsprofil:
Konfiguration eines Adresszuweisungspools für L2TP LNS mit Inline-Services
Sie können Adresspools konfigurieren, die den getunnelten PPP-Abonnenten dynamisch zugewiesen werden können. Die Pools müssen sich lokal in der Routing-Instanz befinden, in der der Anwender hochkommt. Die konfigurierten Pools werden in den Attributen RADIUS Framed-Pool und Framed-IPv6-Pool bereitgestellt. Pools sind optional, wenn Framed-IP-Address von RADIUS gesendet wird.
Um einen Adresszuweisungspool zu konfigurieren, müssen Sie den Namen des Pools angeben und die Adressen für den Pool konfigurieren.
Sie können optional mehrere benannte Bereiche oder Teilmengen von Adressen innerhalb eines Adresszuweisungspools konfigurieren. Bei der dynamischen Adresszuweisung kann einem Client eine Adresse aus einem bestimmten benannten Bereich zugewiesen werden. Um einen benannten Bereich zu erstellen, geben Sie einen Namen für den Bereich an und definieren den Adressbereich.
Achten Sie darauf, die Anweisung address-assignment pools (address-assignment) anstelle der Anweisung address pools (address-pool) zu verwenden.
Weitere Informationen zu Adresszuweisungspools finden Sie unter Übersicht über Adresszuweisungspools und Konfigurationsübersicht für Adresszuweisungspools.
So konfigurieren Sie einen IPv4-Adresszuweisungspool für L2TP LNS:
So konfigurieren Sie beispielsweise einen IPv4-Adresszuweisungspool:
[edit access] user@host# edit address-assignment pool lns-v4-pool family inet [edit access address-assignment pool lns-v4-pool family inet] user@host# set network 192.168.1.1/16 [edit access address-assignment pool lns-v4-pool family inet] user@host# set range lns-v4-pool-range low 192.168.1.1 high 192.168.255.255
So konfigurieren Sie einen IPv6-Adresszuweisungspool für L2TP LNS:
Konfigurieren Sie den Namen des Pools und geben Sie die IPv6-Familie an.
[edit access] user@host# edit address-assignment pool pool-name family inet6
Konfigurieren Sie das IPv6-Netzwerkpräfix für den Adresspool. Die Präfixspezifikation ist erforderlich, wenn Sie einen IPv6-Adresszuweisungspool konfigurieren.
[edit access address-assignment pool pool-name family inet6] user@host# set prefix ipv6-prefix
Konfigurieren Sie den Namen des Bereichs und definieren Sie den Bereich. Sie können den Bereich basierend auf den unteren und oberen Grenzen der Präfixe im Bereich oder basierend auf der Länge der Präfixe im Bereich definieren.
[edit access address-assignment pool pool-name family inet6] user@host# set range range-name low lower-limit high upper-limit
So konfigurieren Sie beispielsweise einen IPv6-Adresszuweisungspool:
[edit access] user@host# edit address-assignment pool lns-v6-pool family inet6 [edit access address-assignment pool lns-v6-pool family inet6] user@host# set prefix 2001:DB8::/32 [edit access address-assignment pool lns-v6-pool family inet6] user@host# set range lns-v6-pool-range low 2001:DB8:1::/48 high 2001:DB8::ffff::/48
Konfiguration der L2TP LNS-Peer-Schnittstelle
Die Peer-Schnittstelle verbindet das LNS mit der Cloud zu den LACs, sodass IP-Pakete zwischen den Tunnel-Endpunkten ausgetauscht werden können. MPLS und aggregiertes Ethernet können auch verwendet werden, um die LACs zu erreichen.
Auf Routern der MX-Serie müssen Sie die Peer-Schnittstelle auf einem MPC konfigurieren.
So konfigurieren Sie die LNS-Peer-Schnittstelle:
Aktivieren von Inline-Serviceschnittstellen
Die Inline-Serviceschnittstelle ist eine virtuelle physische Schnittstelle, die sich auf der Packet Forwarding Engine befindet. Diese si Schnittstelle, die als Ankerschnittstelle bezeichnet wird, ermöglicht es, L2TP-Dienste ohne ein spezielles Service-PIC bereitzustellen. Die Inline-Serviceschnittstelle wird nur von MPCs auf Routern der MX-Serie unterstützt. Vier Inline-Serviceschnittstellen sind pro MPC-belegtem Gehäusesteckplatz konfigurierbar.
Auf MX80- und MX104-Routern können Sie nur vier physische Inline-Service-Schnittstellen als Ankerschnittstellen für L2TP-LNS-Sitzungen konfigurieren: si-1/0/0, si-1/1/0, si-1/2/0 und si-1/3/0. Sie können si-0/0/0 für diesen Zweck nicht auf MX80- und MX104-Routern konfigurieren.
Obwohl der Bereich der Bandbreitenwerte 1 Gbit/s bis 400 Gbit/s beträgt, können Sie die Bandbreite nicht in absoluten Zahlen wie 12.345.878.000 Bit/s konfigurieren. Sie müssen die in der CLI-Anweisung verfügbaren Optionen verwenden:
1g10gin100gSchritten von 10 Gbit/s:10g,20g,30g,40g,50g,60g70g, ,80g, ,90g, ,100g100gin400gSchritten von 100 Gbit/s:100g,200g,300g,400g
Die maximal verfügbare Bandbreite variiert je nach MPC, wie in Tabelle 1 dargestellt. Eine Systemprotokollmeldung wird generiert, wenn Sie eine höhere Bandbreite als die auf der MPC unterstützte Bandbreite konfigurieren.
MPC |
Maximal unterstützte Bandbreite |
|---|---|
| MPC2E NG, MPC2E NG Q, |
80 Gbit/s |
MPC3E NG, MPC3E NG Q |
130 Gbit/s |
100GE und 40GE MPC3 und MICs |
40 Gbit/s |
MPC4E |
130 Gbit/s |
MPC5E |
130 Gbit/s |
MPC6E |
130 Gbit/s |
MPC7E |
240 Gbit/s |
MPC8E |
240 Gbit/s 400 Gbit/s im 1,6 Tbit/s Upgrade-Modus |
MPC9E |
400 Gbit/s |
So aktivieren Sie Inline-Serviceschnittstellen:
Konfiguration einer Inline-Serviceschnittstelle für L2TP LNS
Die Inline-Serviceschnittstelle ist eine virtuelle physische Serviceschnittstelle, die sich auf der Packet Forwarding Engine befindet. Diese si Schnittstelle, die als Ankerschnittstelle bezeichnet wird, ermöglicht es, L2TP-Dienste ohne ein spezielles Service-PIC bereitzustellen. Die Inline-Serviceschnittstelle wird nur von MPCs auf Routern der MX-Serie unterstützt. Vier Inline-Serviceschnittstellen sind pro MPC-belegtem Gehäusesteckplatz konfigurierbar.
Sie können die Anzahl der Sitzungen maximieren, die in einer Serviceschnittstelle gestaltet werden können, indem Sie die maximale Anzahl von Hierarchieebenen auf zwei festlegen. In diesem Fall verbraucht jede LNS-Sitzung einen L3-Knoten in der Scheduler-Hierarchie für das Shaping.
Wenn Sie die Anzahl der Ebenen nicht angeben (zwei sind die einzige Option), ist die Anzahl der LNS-Sitzungen, die auf der Serviceschnittstelle geformt werden können, auf die Anzahl der L2-Knoten oder 4096 Sitzungen beschränkt. Es kommen noch zusätzliche Sitzungen, aber sie sind nicht ausgestaltet.
So konfigurieren Sie eine Inline-Serviceschnittstelle:
Optionen für die logische Schnittstelle für LNS Inline Services konfigurieren
Sie müssen Merkmaledial-options für jede der logischen Inline-Service-Schnittstellen angeben, die Sie für das LNS konfigurieren. LNS auf Routern der MX-Serie unterstützt nur eine Sitzung pro logischer Schnittstelle, daher müssen Sie es als dedicated Schnittstelle konfigurieren; diese shared Option wird nicht unterstützt. (Unterstützung dedicated und shared Optionen für LNS auf Routern der M Series.) Außerdem konfigurieren Sie einen identifizierenden Namen für die logische Schnittstelle, der mit dem Namen übereinstimmt, den Sie im Zugriffsprofil angeben.
Sie müssen die inet Adressfamilie für jede statische logische Schnittstelle oder im dynamischen Profil für dynamische LNS-Schnittstellen angeben. Obwohl die CLI entweder inet oder inet6 für statische logische Schnittstellen akzeptiert, kann sich der Anwender nur dann erfolgreich anmelden, wenn die Adressfamilie inet konfiguriert ist.
Informationen zur Konfiguration dynamischer Schnittstellen finden Sie unter Konfigurieren eines dynamischen Profils für dynamische LNS-Sitzungen.
So konfigurieren Sie die statischen logischen Schnittstellenoptionen:
Übersicht über zustandsbehaftete LNS-1:1-Redundanz
Wenn eine Inline-Service-Ankerschnittstelle (si) ausfällt, z. B. wenn die Karte, auf der die Schnittstelle gehostet wird, ausfällt oder neu gestartet wird, geht standardmäßig der L2TP-Datenverkehr der Anwender verloren. Wenn der PPP-Keepalive-Timer für den Tunnel anschließend abläuft, fällt die Steuerungsebene aus und der PPP-Client wird getrennt. Folglich muss der Client die Verbindung wiederherstellen.
Unter diesen Umständen können Sie Datenverkehrsverluste vermeiden, indem Sie ein ASI-Paket (Aggregated Inline Service Interface) so konfigurieren, dass es zustandsbehaftete 1:1-Redundanz bietet, die auch als Hot-Standby- oder Active-Backup-Redundanz bezeichnet wird. Das Bündel besteht aus einem Paar physischer Si-Schnittstellen, dem primären (aktiven) Mitgliedslink und dem sekundären (Standby- oder Backup) member-Link. Diese Schnittstellen müssen auf verschiedenen MPCs konfiguriert werden; Redundanz ist nicht erreichbar, wenn Sie die primäre und sekundäre Schnittstelle auf demselben MPC konfigurieren, da beide Mitgliedsschnittstellen ausfallen, wenn die Karte ausfällt.
Wenn sich Anwender anmelden und eine 1:1-Redundanz konfiguriert ist, wird die L2TP-Sitzung über eine zugrunde liegende virtuelle logische Schnittstelle (asi.0x) über die physische AS0-Schnittstelle eingerichtet. Individuelle logische Schnittstellen des Anwenders werden auf der zugrunde liegenden Schnittstelle im Format asiX erstelltlogical-unit-number. Die Sitzung bleibt im Falle eines Fehlers oder eines Neustarts auf dem MPC aktiv, der die primäre Member Link-Schnittstelle hostet. Der gesamte Datenverkehr, der für diese L2TP-Sitzung bestimmt ist, wird automatisch an die sekundäre Verbindungsschnittstelle des anderen MPC weitergeleitet.
Konfiguration der zustandsbehafteten 1:1-LNS-Redundanz auf aggregierten Inline-Serviceschnittstellen
Sie können ein aggregiertes Inline-Service-Interface-Bundle (asi) erstellen, um eine zustandsbehaftete 1:1-LNS-Redundanz für Inline-Service-Ankerschnittstellen (SI) bereitzustellen. Das Bundle paart zwei Schnittstellen, die sich auf verschiedenen MPCs befinden, als primäre und sekundäre Verbindungen. LNS-Sitzungen werden anschließend über eine virtuelle logische Schnittstelle aufgebaut, asiX.logical-unit-number. Das LNS-Sitzungs-Failover tritt auf, wenn entweder die primäre Ankerschnittstelle ausfällt oder die Karte mit dem request chassis fpc restart Befehl neu gestartet wird. In diesem Fall wird die sekundäre Verbindung – auf einer anderen MPC – aktiv, und der gesamte LNS-Datenverkehr, der für die Sitzung bestimmt ist, wird automatisch an die sekundäre Schnittstelle weitergeleitet. Die Sitzung des Anwenders bleibt auf der virtuellen Schnittstelle asiX.logical-unit-number aktiv. Es gehen keine Verkehrsstatistiken verloren. Wenn diese Redundanz nicht konfiguriert ist, geht der Datenverkehr des Anwenders verloren, die Keepalives laufen ab, und der PPP-Client wird getrennt und muss die Verbindung wiederherstellen.
Bevor Sie beginnen, müssen Sie Folgendes tun:
Vergewissern Sie sich, dass die erweiterte Anwender Verwaltung aktiviert ist.
Erstellen Sie Inline-Serviceschnittstellen auf verschiedenen MPCs, die im Bundle zusammengefasst werden sollen.
Siehe Aktivieren von Inline-Serviceschnittstellen und Konfigurieren einer Inline-Serviceschnittstelle für L2TP LNS.
Wenn Sie Pools von Service-Schnittstellen verwenden, definieren Sie die Service-Pools.
Befolgen Sie diese Richtlinien:
Sie müssen für jedes Bundle konfigurieren
unit 0 family inet, andernfalls kann die Sitzung nicht gestartet werden.Die primäre (aktive) und die sekundäre (Backup-) Schnittstelle müssen sich auf unterschiedlichen MPCs befinden.
Die auf der
[edit chassis fpc slot pic number inline-services bandwidth]Hierarchieebene konfigurierte Bandbreite muss für beide Mitgliedsverbindungen gleich sein.Eine SI-Schnittstelle, die als Mitglied eines aggregierten Inline-Service-Schnittstellenpakets konfiguriert ist, kann nicht als Mitglied einer anderen Paketgruppe konfiguriert werden.
Eine si-Schnittstelle, die als Mitglied eines aggregierten Inline-Service-Schnittstellenpakets konfiguriert ist, kann nicht auch für Funktionen verwendet werden, die nicht mit aggregierten Services verbunden sind. es kann beispielsweise nicht für die Inline-IP-Reassemblierung verwendet werden.
Wenn Sie eine SI-Schnittstelle als Mitglied eines aggregierten Inline-Services-Pakets konfigurieren, können Sie diese SI-Schnittstelle nicht mehr unabhängig konfigurieren. Sie können nur das übergeordnete Bundle konfigurieren. Die Konfiguration des Bundles wird sofort auf alle Mitgliedsschnittstellen angewendet.
So konfigurieren Sie die zustandsabhängige 1:1-LNS-Redundanz:
Die folgende Beispielkonfiguration erstellt das Bundle asi0 mit Member-Links auf MPCs in Slot 1 und Slot 2 und weist dann das Bundle zu, um Redundanz für L2TP-Sitzungen in der Tunnel-Gruppe TG1 bereitzustellen:
[edit interfaces asi0] user@host# set aggregated-inline-services-options primary-interface si-1/0/0 user@host# set aggregated-inline-services-options secondary-interface si-2/0/0 user@host# set unit 0 family inet [edit chassis fpc 1 pic 0 inline-services] user@host# set bandwidth 10g [edit chassis fpc 2 pic 0 inline-services] user@host# set bandwidth 10g [edit services l2tp tunnel-group tg1] user@host# set service-interface asi0
Überprüfung der 1:1-Redundanz der aggregierten Inline-Serviceschnittstelle von LNS
Zweck
Zeigen Sie Informationen über aggregierte Inline-Serviceschnittstellenpakete, einzelne Mitgliederverbindungen und den Redundanzstatus an.
Aktion
So zeigen Sie zusammenfassende Informationen zu einem aggregierten Inline-Service-Schnittstellen-Bundle an:
user@host> show interfaces asi0 terse Interface Admin Link Proto Local Remote asi0 up up asi0.0 up up inet
So zeigen Sie detaillierte Informationen zu einem aggregierten Inline-Serviceschnittstellenpaket an:
user@host> show interfaces asi0 extensive Physical interface: asi0, Enabled, Physical link is Up Interface index: 223, SNMP ifIndex: 734, Generation: 226 Type: Adaptive-Services, Link-level type: Adaptive-Services, MTU: 9192, Clocking: Unspecified, Speed: 20000mbps Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Internal: 0x4000 Link type : Full-Duplex Link flags : None Physical info : Unspecified Hold-times : Up 0 ms, Down 0 ms Current address: Unspecified, Hardware address: Unspecified Alternate link address: Unspecified Last flapped : 2014-01-20 23:35:02 PST (00:03:25 ago) Statistics last cleared: Never Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 IPv6 transit statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Input errors: Errors: 0, Drops: 0, Framing errors: 0, Runts: 0, Giants: 0, Policed discards: 0, Resource errors: 0 Output errors: Carrier transitions: 0, Errors: 0, Drops: 0, MTU errors: 0, Resource errors: 0 Logical interface asi0.0 (Index 356) (SNMP ifIndex 52241) (Generation 165) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: Adaptive-Services Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Protocol inet, MTU: 9192, Generation: 198, Route table: 0 Flags: Sendbcast-pkt-to-reSo zeigen Sie Informationen zu einer einzelnen Mitgliedsschnittstelle in einem aggregierten Inline-Serviceschnittstellenpaket an:
user@host> show interfaces si-1/0/0 Physical interface: si-1/0/0, Enabled, Physical link is Up Interface index: 165, SNMP ifIndex: 630 Type: Adaptive-Services, Link-level type: Adaptive-Services, MTU: 9192, Speed: 10000mbps Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Internal: 0x4000 Link type : Full-Duplex Link flags : None Last flapped : Never Input rate : 0 bps (0 pps) Output rate : 0 bps (0 pps) Logical interface si-1/0/0.0 (Index 357) (SNMP ifIndex 52229) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: Adaptive-Services Input packets : 0 Output packets: 0 Protocol asi, AS bundle: asi0.0 Flags: Function2So zeigen Sie den Redundanz-Status für aggregierte Inline-Serviceschnittstellen-Bundles an:
user@host> show interfaces redundancy Interface State Last change Primary Secondary Current status asi0 On secondary 1d 23:56 si-1/0/0 si-2/0/0 primary down asi1 On primary 10:10:27 si-3/0/0 si-4/0/0 secondary down ae0 On primary 00:00:02 ge-1/0/0 ge-3/0/1 backup down ae2 On primary 00:00:01 ge-2/0/0 ge-4/0/1 both up
Diese Beispielausgabe zeigt, dass sowohl aggregierte Ethernet- als auch aggregierte Inline-Serviceschnittstellen für Redundanz konfiguriert sind. So zeigen Sie nur eines der aggregierten Inline-Serviceschnittstellenpakete an:
user@host> show interfaces redundancy asi0 Interface State Last change Primary Secondary Current status asi0 On secondary 1d 23:56 si-1/0/0 si-2/0/0 primary down
So zeigen Sie detaillierte Informationen zu allen konfigurierten Redundanz-Schnittstellen an:
user@host> show interfaces redundancy detail Redundancy interfaces detail Interface : asi0 State : On primary Last change : 00:00:36 Primary : si-1/0/0 Secondary : si-3/0/0 Current status: both up Interface : ae0 State : On primary Last change : 00:01:30 Primary : ge-1/0/0 Secondary : ge-3/0/1 Current status : backup down
L2TP-Sitzungslimits und Lastausgleich für Serviceschnittstellen
Das LNS gleicht Anwender-Sitzungen über die verfügbaren Serviceschnittstellen in einem Gerätepool basierend auf der Anzahl der derzeit auf den Schnittstellen aktiven Sitzungen aus. Sie können eine Höchstgrenze pro Serviceschnittstelle (si) und pro aggregierter Serviceschnittstelle (asi) konfigurieren. Bei asi-Schnittstellen können Sie kein Limit für die einzelnen SI-Member-Schnittstellen im Bundle konfigurieren.
- Sitzungsbeschränkungen für Serviceschnittstellen
- Sitzungslastausgleich über Serviceschnittstellen hinweg
Sitzungsbeschränkungen für Serviceschnittstellen
Wenn eine L2TP-Sitzungsanforderung für eine Serviceschnittstelle initiiert wird, vergleicht das LNS die Anzahl der derzeit aktiven Sitzungen auf dieser Schnittstelle mit der maximalen Anzahl von Sitzungen, die für die einzelne Serviceschnittstelle oder die aggregierte Serviceschnittstelle zulässig sind. Das LNS bestimmt, ob die aktuelle Sitzungsanzahl (vom show services l2tp summary Befehl angezeigt) kleiner als der konfigurierte Grenzwert ist. Wenn dies der Fall ist oder wenn kein Limit konfiguriert ist, ist die Prüfung erfolgreich und die Sitzung kann eingerichtet werden. Wenn die aktuelle Sitzungsanzahl dem konfigurierten Grenzwert entspricht, lehnt LNS die Sitzungsanforderung ab. Nachfolgende Anforderungen können auf dieser Schnittstelle erst akzeptiert werden, wenn die Anzahl der aktiven Anforderungen unter das konfigurierte Maximum fällt. Wenn eine Sitzungsanforderung für eine SI- oder ASI-Schnittstelle abgelehnt wird, gibt das LNS eine CDN-Nachricht zurück, deren Ergebniscode auf 2 und der Fehlercode auf 4 gesetzt ist.
Nehmen wir zum Beispiel an, dass eine einzelne Serviceschnittstelle in der Tunnel-Gruppe konfiguriert ist. Die aktuelle L2TP-Sitzungsanzahl beträgt 1500, mit einem konfigurierten Limit von 2000 Sitzungen. Wenn eine neue Sitzung angefordert wird, ist die Grenzwertprüfung erfolgreich und die Sitzungsanforderung wird akzeptiert.
Schnittstelle |
Konfiguriertes Sitzungslimit |
Anzahl der aktuellen Sitzungen |
Ergebnis der Überprüfung des Sitzungslimits |
|---|---|---|---|
SI-0/0/0 |
2000 |
1500 |
Bestehen |
Die Grenzwertprüfung wird fortgesetzt und Sitzungsanforderungen werden akzeptiert, bis 500 Anforderungen akzeptiert wurden, sodass die aktuelle Sitzung 2000 zählt, was dem konfigurierten Maximum entspricht. Die Sitzungsbegrenzungsprüfung schlägt für alle nachfolgenden Anforderungen fehl, und alle Anforderungen werden abgelehnt, bis die aktuelle Sitzungsanzahl auf der Schnittstelle unter 2000 fällt, sodass die Grenzwertprüfung bestanden werden kann.
Schnittstelle |
Konfiguriertes Sitzungslimit |
Anzahl der aktuellen Sitzungen |
Ergebnis der Überprüfung des Sitzungslimits |
|---|---|---|---|
SI-0/0/0 |
2000 |
2000 |
Fehler |
Wenn das Sitzungslimit für eine Schnittstelle auf Null gesetzt ist, können keine Sitzungsanforderungen akzeptiert werden. Wenn dies die einzige Schnittstelle in der Tunnel-Gruppe ist, werden alle Sitzungsanforderungen in der Gruppe abgelehnt, bis das Sitzungslimit von Null erhöht wird oder eine weitere Serviceschnittstelle zur Tunnel-Gruppe hinzugefügt wird.
Wenn eine Serviceschnittstelle in einem Servicegerätepool den maximalen konfigurierten Grenzwert erreicht hat oder einen konfigurierten Grenzwert von Null hat, überspringt das LNS diese Schnittstelle, wenn eine Sitzungsanforderung gestellt wird, und wählt eine andere Schnittstelle im Pool aus, um das Sitzungslimit zu überprüfen. Dies wird so lange fortgesetzt, bis eine Schnittstelle passiert und die Sitzung akzeptiert wird oder keine andere Schnittstelle mehr im Pool zur Auswahl ist.
Sitzungslastausgleich über Serviceschnittstellen hinweg
Das Verhalten für die Verteilung der Sitzungslast in einem Dienstgerätepool wurde in Junos OS Version 16.2 geändert. Wenn eine Dienstschnittstelle eine niedrigere Sitzungsanzahl als eine andere Schnittstelle im Pool aufweist und beide Schnittstellen unter ihrem maximalen Sitzungslimit liegen, werden nachfolgende Sitzungen an die Schnittstelle mit weniger Sitzungen verteilt.
In früheren Versionen wurden Sitzungen unabhängig von der Anzahl der Sitzungen streng nach dem Round-Robin-Prinzip verteilt. Das alte Verhalten kann zu einer ungleichmäßigen Sitzungsverteilung führen, wenn die Packet Forwarding Engine neu gestartet wird oder eine Serviceschnittstelle ausfällt und wieder hochfährt.
Betrachten Sie beispielsweise das folgende Szenario mit dem alten Roundrobin-Verteilungsverhalten für einen Pool mit zwei Dienstschnittstellen:
Zweihundert Sitzungen werden gleichmäßig auf die beiden Serviceschnittstellen verteilt.
si-0/0/0 hat 100 Sitzungen.
SI-1/0/0 hat 100 Sitzungen.
Die si-1/0/0-Schnittstelle wird neu gestartet. Wenn er zurückkommt, sind die Sitzungen zunächst nur auf si-0/0/0 verfügbar.
si-0/0/0 hat 100 Sitzungen.
si-1/0/0 hat 0 Sitzungen.
Wenn die Sitzungen zuvor auf si-1/0/0 wieder verbunden werden, werden sie gleichmäßig auf beide Serviceschnittstellen verteilt. Wenn alle 100 Sitzungen wieder verfügbar sind, ist die Verteilung erheblich unausgewogen.
SI-0/0/0 hat 150 Sitzungen.
SI-1/0/0 hat 50 Sitzungen.
Nach 100 neuen Sitzungen erreicht si-0/0/0 sein maximales Limit. Nachfolgende Sitzungen werden nur an si-1/0/0 akzeptiert.
si-0/0/0 hat 200 Sitzungen.
SI-1/0/0 hat 100 Sitzungen.
Nach 100 weiteren Sitzungen erreicht si-1/0/0 sein maximales Limit. Es können keine weiteren Sitzungen akzeptiert werden, bis die Anzahl der Sitzungen für eine der Schnittstellen unter 200 fällt.
si-0/0/0 hat 200 Sitzungen.
SI-1/0/0 hat 200 Sitzungen.
Betrachten Sie nun das gleiche Szenario mit dem aktuellen Lastverteilungsverhalten basierend auf der Anzahl der angeschlossenen Sitzungen. Der Gerätepool verfügt wieder über zwei Serviceschnittstellen mit jeweils einem konfigurierten maximalen Limit von 200 Sitzungen:
Zweihundert Sitzungen werden gleichmäßig auf die beiden Serviceschnittstellen verteilt.
si-0/0/0 hat 100 Sitzungen.
SI-1/0/0 hat 100 Sitzungen.
Die si-1/0/0-Schnittstelle wird neu gestartet. Wenn sie wieder hochgefahren wird, sind die Sitzungen zunächst nur auf si-0/0/0 verfügbar.
si-0/0/0 hat 100 Sitzungen.
si-1/0/0 hat 0 Sitzungen.
Wenn die Sitzungen, die zuvor auf si-1/0/0 waren, wieder verbunden werden, werden sie entsprechend der Sitzungslast auf jeder Schnittstelle verteilt. Da beide Schnittstellen unter ihrem maximalen Grenzwert liegen und si-1/0/0 weniger Sitzungen als si-0/0/0 hat, werden Sitzungen zunächst nur an si-1/0/0 verteilt.
Nach 1 neuen Sitzung:
si-0/0/0 hat 100 Sitzungen.
SI-1/0/0 hat 1 Sitzung.
Nach 10 neuen Sitzungen:
si-0/0/0 hat 100 Sitzungen.
SI-1/0/0 hat 10 Sitzungen.
Nach 100 neuen Sitzungen:
si-0/0/0 hat 100 Sitzungen.
SI-1/0/0 hat 100 Sitzungen.
Da beide Schnittstellen jetzt die gleiche Sitzungsanzahl haben, wird die nächste Sitzung (#101) zufällig auf die beiden Schnittstellen verteilt. Die nächste Sitzung danach (#102) geht an die Schnittstelle mit der niedrigeren Sitzungsanzahl. Das macht die Schnittstellen wieder gleich, so dass die nächste Sitzung (#103) zufällig verteilt ist. Dieses Muster wiederholt sich bis zum maximalen Grenzwert von 200 Sitzungen für beide Schnittstellen.
si-0/0/0 hat 200 Sitzungen.
SI-1/0/0 hat 200 Sitzungen.
Auf beiden Schnittstellen können keine weiteren Sitzungen akzeptiert werden, bis die Anzahl der Sitzungen auf einer der Schnittstellen unter 200 fällt.
Das Verhalten des Load Balancing ist für aggregierte Serviceschnittstellen identisch. Eine ASI-Schnittstelle wird aus einem Pool basierend auf der aktuellen Sitzungsanzahl für die ASI-Schnittstelle ausgewählt. Wenn diese Anzahl kleiner als das Maximum ist, prüft das LNS die Anzahl der aktuellen Sitzungen für die aktive SI-Schnittstelle im ASI-Paket. Wenn diese Anzahl kleiner als das Maximum ist, kann die Sitzung auf der asi-Schnittstelle eingerichtet werden.
In einem gemischten Gerätepool, der sowohl Dienstschnittstellen als auch aggregierte Dienstschnittstellen umfasst, werden Sitzungen an die Schnittstelle (entweder asi oder si) verteilt, die die niedrigste Sitzungsanzahl aufweist. Wenn die Sitzungsanzahl einer Schnittstelle eines der beiden Typs ihren Grenzwert erreicht, kann sie keine Sitzungen mehr akzeptieren, bis die Anzahl unter das Maximum fällt.
Sie können die Konfiguration des Sitzungslimits verwenden, um ein Sitzungslimit für bestimmte Packet Forwarding Engines zu erreichen. Angenommen, Sie möchten ein Limit von 100 Sitzungen auf einer PFE0 mit zwei Serviceschnittstellen. Sie können das maximale Limit für jede Schnittstelle auf 50 oder eine andere Kombination festlegen, die zusammen 100 ergibt, um das PFE0-Limit festzulegen.
Beispiel: L2TP-LNS konfigurieren
Dieses Beispiel zeigt, wie Sie ein L2TP-LNS auf einem Router der MX-Serie konfigurieren können, um Tunnel-Endpunkte für eine L2TP-LAC in Ihrem Netzwerk bereitzustellen. Diese Konfiguration umfasst ein dynamisches Profil für Dual-Stack-Abonnenten.
Anforderungen
Für dieses L2TP LNS-Beispiel ist folgende Hard- und Software erforderlich:
Universelle Routing-Plattform der MX-Serie 5G
Ein oder mehrere MPCs
Junos OS Version 11.4 oder höher
Bevor Sie diese Funktion konfigurieren können, ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Damit dieses Beispiel funktioniert, müssen Sie bestimmte standardmäßige RADIUS-Attribute und Juniper Networks VSAs in der Attributrückgabeliste auf dem AAA-Server konfigurieren, der dem LNS zugeordnet ist. Tabelle 2 listet die Attribute mit der erforderlichen Reihenfolge, Einstellung und den Werten auf. Es wird empfohlen, das aktuellste Juniper Networks RADIUS Wörterbuch zu verwenden, das im Feld Downloads auf der Seite Junos OS Subscriber Management unter https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/subscriber-access/index.html verfügbar ist.
VSA-Name [Nummer] |
Bestellung |
Wert |
|---|---|---|
CoS-Parameter-Typ [26–108] |
1 |
T01 Multiplay |
CoS-Parameter-Typ [26–108] |
2 |
T02 10m |
CoS-Parameter-Typ [26–108] |
3 |
T08 -36 |
CoS-Parameter-Typ [26–108] |
4 |
T07 Zellen-Modus |
Framed-IPv6-Pool [100] |
0 |
jnpr_ipv6_pool |
Gerahmter Pool [88] |
0 |
jnpr_pool |
Name der Ausgangsrichtlinie [26-11] |
0 |
Klassifizieren |
Name der Eingangsrichtlinie [26-10] |
0 |
Klassifizieren |
Virtueller Router [26-1] |
0 |
Standardeinstellung |
Überblick
Das LNS verwendet Benutzergruppenprofile, um PPP-Attribute auf die PPP-Abonnenten anzuwenden, die von der LAC getunnelt werden. LACs im Netzwerk sind Clients des LNS. Die Clients sind Benutzergruppenprofilen in dem auf dem LNS konfigurierten L2TP-Zugriffsprofil zugeordnet. In diesem Beispiel gibt das Benutzergruppenprofil ce-l2tp-group-profile die folgenden PPP-Attribute an:
Ein 30-Sekunden-Intervall zwischen PPP-Keepalive-Meldungen für L2TP-Tunnel von der Client-LAC bis zum LNS.
Ein Intervall von 200 Sekunden, das definiert, wie lange die PPP-Anwender-Sitzung im Leerlauf sein kann, bevor sie als Zeitüberschreitung gilt.
Sowohl PAP als auch CHAP als PPP-Authentifizierungsmethoden, die für getunnelte PPP-Abonnenten im LNS gelten.
Das L2TP-Zugriffsprofil ce-l2tp-profile definiert eine Reihe von L2TP-Parametern für jede Client-LAC. In diesem Beispiel ist das Benutzergruppenprofil ce-l2tp-group-profile sowohl Clients als lac2auch zugeordnet. lac1 Beide Clients sind so konfiguriert, dass der LNS das Link Control Protocol (LCP) mit dem PPP-Client neu aushandelt, anstatt die vorab ausgehandelten LCP-Parameter zu akzeptieren, die die LACs an den LNS übergeben. Die LCP-Neuverhandlung führt auch dazu, dass die Authentifizierung vom LNS neu ausgehandelt wird. Die Authentifizierungsmethode wird im Benutzergruppenprofil angegeben. Die maximal zulässige Anzahl von Sitzungen pro Tunnel ist auf 1000 für lac1 und auf 4000 für lac2festgelegt. Für jede LAC ist ein anderes Kennwort konfiguriert.
Mit einem lokalen AAA-Zugriffsprofil aaa-profilekönnen Sie das globale AAA-Zugriffsprofil außer Kraft setzen, sodass Sie einen Authentifizierungs-Auftrag, einen RADIUS-Server, den Sie für L2TP verwenden möchten, und ein Kennwort für den Server angeben können.
In diesem Beispiel definiert ein Adresspool einen Bereich von IP-Adressen, die das LNS den getunnelten PPP-Sitzungen zuweist. In diesem Beispiel werden Bereiche von IPv4- und IPv6-Adressen definiert.
Auf dem MPC in Steckplatz 5 des Routers sind zwei Inline-Serviceschnittstellen aktiviert. Für jede Schnittstelle sind 10 Gbit/s Bandbreite für den Tunnel-Datenverkehr auf der zugehörigen PFE der Schnittstelle reserviert. Diese Ankerschnittstellen dienen als zugrunde liegende physische Schnittstelle. Um die Unterstützung für CoS-Warteschlangen auf den einzelnen logischen Inline-Serviceschnittstellen zu aktivieren, müssen Sie sowohl die Servicekapselung (generic-services) als auch die Unterstützung für die hierarchische Planung auf den Ankern konfigurieren. Die IPv4-Adressfamilie ist für beide Ankerschnittstellen konfiguriert. Beide Ankerschnittstellen werden im lns_p1 Dienstgerätepool angegeben. Das LNS kann Datenverkehrslasten über die beiden Ankerschnittstellen ausgleichen, wenn die Tunnel-Gruppe den Pool umfasst.
In diesem Beispiel wird das dynamische Profil dyn-lns-profile2 verwendet, um Merkmale der L2TP-Sitzungen anzugeben, die dynamisch erstellt oder zugewiesen werden, wenn ein Anwender zum LNS getunnelt wird. Für viele der Merkmale wird eine vordefinierte Variable festgelegt; Die Variablen werden dynamisch durch die entsprechenden Werte ersetzt, wenn ein Anwender zum LNS getunnelt wird.
Die Schnittstelle, mit der der getunnelte PPP-Client eine Verbindung herstellt ($junos-interface-name), wird dynamisch in der Routing-Instanz ($junos-routing-instance) erstellt, die dem Anwender zugewiesen ist. Routing-Optionen für Zugriffsrouten umfassen die Next-Hop-Adresse ($junos-framed-route-nexthop), Metrik ($junos-framed-route-cost) und Präferenzen ($junos-framed-route-distance). Für zugriffsinterne Routen wird eine dynamische IP-Adressvariable ($junos-subscriber-ip-address) gesetzt.
Die logischen Inline-Serviceschnittstellen werden durch den Namen einer konfigurierten Ankerschnittstelle ($junos-interface-ifd-name) und eine logische Einheitennummer ($junos-interface-unit) definiert. Das Profil wird l2tp-encapuslation als Bezeichner für die logische Schnittstelle zugewiesen und gibt an, dass jede Schnittstelle jeweils nur für eine Sitzung verwendet werden kann.
Die IPv4-Adresse wird auf einen Wert festgelegt, der vom AAA-Server zurückgegeben wird. Für IPv4-Datenverkehr sind ein Eingabe-Firewall-Filter $junos-input-filter und ein Ausgabe-Firewall-Filter $junos-output-filter an die Schnittstelle angeschlossen. Die Loopback-Variable ($junos-loopback-interface) leitet eine IP-Adresse von einer in der Routing-Instanz konfigurierten Loopback-Schnittstelle (lo) ab und verwendet sie in der IPCP-Aushandlung als PPP-Serveradresse. Da es sich um eine Dual-Stack-Konfiguration handelt, wird auch die IPv6-Adressfamilie mit den von der $junos-ipv6-address Variablen bereitgestellten Adressen festgelegt.
Die $junos-ipv6-address Variable wird verwendet, weil auch das Router Advertisement Protocol konfiguriert ist. Diese Variable ermöglicht es AAA, die erste Adresse im Präfix, die als lokale Adresse für die Schnittstelle reserviert werden soll, zuzuweisen. Die Minimalkonfiguration für das Router-Ankündigungsprotokoll im dynamischen Profil gibt die und-Variablen $junos-ipv6-ndra-prefix an, um einen $junos-interface-name Präfixwert in IPv6-Neighbor-Discovery-Router-Ankündigungen dynamisch zuzuweisen.
Das dynamische Profil enthält auch die Class-of-Service-Konfiguration, die auf den Tunnel-Datenverkehr angewendet wird. Das Datenverkehrssteuerungsprofil (tc-profile) enthält Variablen für die Scheduler-Zuordnung ($junos-cos-scheduler-map), die Shaping-Rate ($junos-cos-shaping-rate), die Overhead-Abrechnung ($junos-cos-shaping-mode) und die Byte-Anpassung $junos-cos-byte-adjust). Das dynamische Profil wendet die CoS-Konfiguration – einschließlich der Weiterleitungsklasse, des Ausgabe-Datenverkehrssteuerungsprofils und der Rewrite-Regeln – auf die dynamischen Serviceschnittstellen an.
Die tg-dynamic Konfiguration der Tunnel-Gruppe spezifiziert das Zugriffsprofil ce-l2tp-profile, das lokale AAA-Profil aaa-profileund das dynamische Profil dyn-lns-profile2 , die zum dynamischen Erstellen von LNS-Sitzungen und zum Definieren der Merkmale der Sitzungen verwendet werden. Der lns_p1 Servicegerätepool ordnet der Gruppe einen Pool von Serviceschnittstellen zu, damit LNS den Datenverkehr über die Schnittstellen hinweg ausgleichen kann. Die lokale Gateway-Adresse 203.0.113.2 entspricht der Remote-Gateway-Adresse, die in der LAC konfiguriert ist. Der Name ce-lns des lokalen Gateways entspricht dem Namen des Remotegateways, der in der LAC konfiguriert ist.
In diesem Beispiel werden nicht alle möglichen Konfigurationsoptionen angezeigt.
Konfiguration
Vorgehensweise
CLI-Schnellkonfiguration
Um ein L2TP-LNS schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen Sie sie in eine Textdatei ein, entfernen Sie alle Zeilenumbrüche, kopieren Sie die Befehle dann und fügen Sie sie in die CLI ein.
[edit] edit access group-profile ce-l2tp-group-profile set ppp idle-timeout 200 set ppp ppp-options pap set ppp ppp-options chap set ppp keepalive 30 top edit access profile ce-l2tp-profile set client lac1 l2tp maximum-sessions-per-tunnel 1000 set client lac1 l2tp interface-id l2tp-encapsulation-1 set client lac1 l2tp lcp-renegotiation set client lac1 l2tp shared-secret "lac1-$ABC123" set client lac1 user-group-profile ce-l2tp-group-profile set client lac2 l2tp maximum-sessions-per-tunnel 4000 set client lac2 l2tp interface-id l2tp-encap-2 set client lac2 l2tp lcp-renegotiation set client lac2 l2tp shared-secret "lac2-$ABC123" set client lac2 user-group-profile ce-l2tp-group-profile top edit access profile aaa-profile set authentication-order radius set radius authentication-server 198.51.100.193 set radius-server 198.51.100.193 secret "$ABC123” top edit access address-assignment pool client-pool1 family inet set network 192.168.1.1/16 set range lns-v4-pool-range low 192.168.1.1 set range lns-v4-pool-range high 192.168.255.255 top edit access address-assignment pool client-ipv6-pool2 family inet6 set prefix 2001:DB8::/32 set range lns-v6-pool-range low 2001:DB8:1::/48 set range lns-v6-pool-range high 2001:DB8:ffff::/48 top set interfaces ge-5/0/1 unit 11 vlan-id 11 set interfaces ge-5/0/1 unit 11 family inet address 203.0.113.2/24 set interfaces lo0 unit 0 family inet address 127.0.0.1/32 top set chassis fpc 5 pic 0 inline-services bandwidth 10g set chassis fpc 5 pic 2 inline-services bandwidth 10g top edit interfaces si-5/0/0 set hierarchical-scheduler maximum-hierarchy-levels 2 set encapsulation generic-services set unit 0 family inet top edit interfaces si-5/2/0 set hierarchical-scheduler maximum-hierarchy-levels 2 set encapsulation generic-services set unit 0 family inet top set services service-device-pools pool lns_p1 interface si-5/0/0 set services service-device-pools pool lns_p1 interface si-5/2/0 top edit dynamic-profiles dyn-lns-profile2 routing-instances $junos-routing-instance set interface $junos-interface-name edit routing-options access route $junos-framed-route-ip-address-prefix set next-hop $junos-framed-route-nexthop set metric $junos-framed-route-cost set preference $junos-framed-route-distance up 2 edit access-internal route $junos-subscriber-ip-address set qualified-next-hop $junos-interface-name up 5 edit interfaces $junos-interface-ifd-name unit $junos-interface-unit set dial-options l2tp-interface-id l2tp-encapsulation set dial-options dedicated set family inet filter input $junos-input-filter set family inet filter output $junos-output-filter set family inet unnumbered-address $junos-loopback-interface set family inet6 address $junos-ipv6-address set family inet6 filter input $junos-input-ipv6-filter set family inet6 filter output $junos-output-ipv6-filter up 3 edit protocols router-advertisement set interface $junos-interface-name prefix $junos-ipv6-ndra-prefix top [edit class-of-service] edit rewrite-rules dscp rewriteDSCP forwarding-class expedited-forwarding set loss-priority high code-point af11 set loss-priority high code-point af12 top edit dynamic-profiles dyn-lns-profile2 class-of-service traffic-control-profiles tc-profile set scheduler-map $junos-cos-scheduler-map set shaping-rate $junos-cos-shaping-rate set overhead-accounting $junos-cos-shaping-mode set overhead-accounting bytes $junos-cos-byte-adjust up edit interfaces $junos-interface-ifd-name unit $junos-interface-unit set forwarding-class expedited-forwarding set output-traffic-control-profile tc-profile set rewrite-rules dscp rewriteDSCP edit interfaces si-5/0/0 set output-control-profile-remaining tc-profile top set services l2tp tunnel-group tg-dynamic l2tp-access-profile ce-l2tp-profile set services l2tp tunnel-group tg-dynamic aaa-access-profile aaa-profile set services l2tp tunnel-group tg-dynamic local-gateway address 203.0.113.2 set services l2tp tunnel-group tg-dynamic local-gateway gateway-name ce-lns set services l2tp tunnel-group tg-dynamic service-device-pool lns_p1 set services l2tp tunnel-group tg-dynamic dynamic-profile dyn-lns-profile2
Schritt-für-Schritt-Anleitung
Im folgenden Beispiel müssen Sie durch verschiedene Ebenen in der Konfigurationshierarchie navigieren. Anweisungen dazu finden Sie unter Verwenden des CLI-Editors im Konfigurationsmodus.
So konfigurieren Sie ein L2TP-LNS mit Inline-Serviceschnittstellen:
Konfigurieren Sie ein Benutzergruppenprofil, das die PPP-Konfiguration für Tunnel-Abonnenten definiert.
[edit access] user@host# edit group-profile ce-l2tp-group-profile [edit access group-profile ce-l2tp-group-profile] user@host# set ppp keepalive 30 user@host# set ppp idle-timeout 200 user@host# set ppp ppp-options chap user@host# set ppp ppp-options pap
Konfigurieren Sie ein L2TP-Zugriffsprofil, das die L2TP-Parameter für jede Client-LAC definiert. Dazu gehört die Zuordnung eines Benutzergruppenprofils zum Client und die Angabe der Kennung für die logische Schnittstelle der Inline-Services, die eine L2TP-Sitzung im LNS darstellt.
[edit access profile ce-l2tp-profile client lac1] user@host# set l2tp interface-id l2tp-encapsulation user@host# set l2tp maximum-sessions-per-tunnel 1000 user@host# set l2tp shared-secret "lac1-$ABC123" user@host# set l2tp lcp-renegotiation user@host# set user-group-profile ce-l2tp-group-profile [edit access profile ce-l2tp-profile client lac2] user@host# set l2tp interface-id interface-id user@host# set l2tp maximum-sessions-per-tunnel 4000 user@host# set l2tp shared-secret "lac2-$ABC123" user@host# set l2tp lcp-renegotiation user@host# set user-group-profile ce-l2tp-group-profile
Hinweis:Wenn
user-group-profilegeändert oder gelöscht wird, fallen die vorhandenen LNS-Abonnenten, die diese Layer-2-Tunneling-Protokoll-Client-Konfiguration verwendet haben, aus.Konfigurieren Sie ein AAA-Zugriffsprofil, um das globale Zugriffsprofil für die Reihenfolge der AAA-Authentifizierungsmethoden und Serverattribute zu überschreiben.
[edit access profile aaa-profile] user@host# set authentication-order radius user@host# set radius authentication-server 198.51.100.193 user@host# set radius-server 198.51.100.193 secret "$ABC123”
Konfigurieren Sie IPv4- und IPv6-Adresszuweisungspools, um Adressen für die Clients (LACs) zuzuweisen.
[edit access address-assignment pool client-pool1 family inet] user@host# set network 192.168.1.1/16 user@host# set range lns-v4-pool-range low 192.168.1.1 high 192.168.255.255 [edit access address-assignment pool client-ipv6-pool2 family inet6] user@host# set prefix 2001:DB8::/32 user@host# set range lns-v6-pool-range low 2001:DB8:1::/48 user@host# set range lns-v6-pool-range high 2001:DB8:ffff::/48
Konfigurieren Sie die Peer-Schnittstelle zum Beenden des Tunnels und die serverseitige PPP-IPCP-Adresse (Loopback-Adresse).
[edit interfaces ge-5/0/1 user@host# set vlan-tagging user@host# set unit 11 [edit interfaces ge-5/0/1.11 user@host# set vlan-id 11 user@host# set family inet address 10.1.1.2/24 [edit interfaces lo0] user@host# set unit 0 family inet address 127.0.0.1/32
Aktivieren Sie Inline-Serviceschnittstellen auf einer MPC.
[edit chassis fpc 5] user@host# set pic 0 inline-services bandwidth 10g user@host# set pic 2 inline-services bandwidth 10g
Konfigurieren Sie die Ankerdienstschnittstellen mit Servicekapselung, hierarchischer Planung und der Adressfamilie.
[edit interfaces si-5/0/0] user@host# set hierarchical-scheduler maximum hierarchy-levels 2 user@host# set encapsulation generic-services user@host# set unit 0 family inet [edit interfaces si-5/2/0] user@host# set hierarchical-scheduler maximum hierarchy-levels 2 user@host# set encapsulation generic-services user@host# set unit 0 family inet
Konfigurieren Sie einen Pool von Serviceschnittstellen für dynamische LNS-Sitzungen.
[edit services service-device-pools pool lns_p1] user@host# set interface si-5/0/0 user@host# set interface si-5/2/0
Konfigurieren Sie ein dynamisches Profil, das dynamische logische L2TP-Schnittstellen für Dual-Stack-Abonnenten erstellt.
[edit dynamic-profiles dyn-lns-profile2] user@host# edit routing-instances $junos-routing-instance user@host# set interface $junos-interface-name [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance”] user@host# edit routing-options access route $junos-framed-route-ip-address-prefix [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance” routing-options access route “$junos-framed-route-ip-address-prefix”] user@host# set next-hop $junos-framed-route-nexthop user@host# set metric $junos-framed-route-cost user@host# set preference $junos-framed-route-distance [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance” routing-options access-internal] user@host# set route $junos-subscriber-ip-address qualified-next-hop $junos-interface-name [edit dynamic-profiles dyn-lns-profile2 interfaces “$junos-interface-ifd-name” unit “$junos-interface-unit”] user@host# set dial-options l2tp-interface-id l2tp-encapsulation user@host# set dial-options dedicated user@host# set family inet unnumbered-address $junos-loopback-interface user@host# set family inet filter input $junos-input-filter user@host# set family inet filter output $junos-output-filter user@host# set family inet6 address $junos-ipv6-address set family inet6 filter input $junos-input-ipv6-filter set family inet6 filter output $junos-output-ipv6-filter [edit dynamic-profiles dyn-lns-profile2 protocols router-advertisement] user@host# set interface $junos-interface-name prefix $junos-ipv6-ndra-prefix
Konfigurieren Sie Shaping-, Scheduling- und Rewrite-Regeln und wenden Sie sie im dynamischen Profil auf den Datenverkehr im Tunnel an.
[edit class-of-service] user@host# edit rewrite-rules dscp rewriteDSCP forwarding-class expedited-forwarding user@host# set loss-priority high code-point af11 user@host# set loss-priority high code-point af12 [edit dynamic-profiles dyn-lns-profile2 class-of-service traffic-control-profiles tc-profile] user@host# set scheduler-map $junos-cos-scheduler-map user@host# set shaping-rate $junos-cos-shaping-rate user@host# set overhead-accounting $junos-cos-shaping-mode user@host# set overhead-accounting bytes $junos-cos-byte-adjust [edit dynamic-profiles dyn-lns-profile2 class-of-service interfaces “$junos-interface-ifd-name” unit "$junos-interface-unit"] user@host# set forwarding-class expedited-forwarding user@host# set output-traffic-control-profile tc-profile user@host# set rewrite-rules dscp rewriteDSCP [edit class-of-service interfaces si-5/0/0] user@host# set output-traffic-control-profile-remaining tc-profile
Konfigurieren Sie die L2TP-Tunnel-Gruppe so, dass dynamische LNS-Sitzungen mithilfe des Pools von Inline-Serviceschnittstellen aufgerufen werden, um Load-Balancing zu ermöglichen.
[edit services l2tp tunnel-group tg-dynamic] user@host# set l2tp-access-profile ce-l2tp-profile user@host# set local-gateway address 10.1.1.2 user@host# set local-gateway gateway-name ce-lns user@host# set aaa-access-profile aaa-profile user@host# set dynamic-profile dyn-lns-profile2 user@host# set service-device-pool lns_p1
Ergebnisse
Bestätigen Sie im Konfigurationsmodus die Konfiguration des Zugriffsprofils, des Gruppenprofils, des AAA-Profils und der Adresszuweisungspools, indem Sie den show access Befehl eingeben. Bestätigen Sie die Konfiguration der Inline-Dienste, indem Sie den show chassis Befehl eingeben. Bestätigen Sie die Schnittstellenkonfiguration durch Eingabe des show interfaces Befehls. Bestätigen Sie die Konfiguration des dynamischen Profils durch Eingabe des show dynamic-profiles Befehls. Bestätigen Sie die Konfiguration der Tunnel-Gruppe, indem Sie den show services l2tp Befehl eingeben. Wenn die Ausgabe nicht die beabsichtigte Konfiguration anzeigt, wiederholen Sie die Konfigurationsanweisungen in diesem Beispiel, um sie zu korrigieren.
[edit]
user@host# show access
group-profile ce-l2tp-group-profile {
ppp {
idle-timeout 200;
ppp-options {
pap;
chap;
}
keepalive 30;
}
}
profile ce-l2tp-profile {
client lac1 {
l2tp {
maximum-sessions-per-tunnel 1000;
interface-id l2tp-encapsulation-1;
lcp-renegotiation;
shared-secret "lac1-$ABC123"; ## SECRET-DATA
}
user-group-profile ce-l2tp-group-profile;
}
client lac2 {
l2tp {
maximum-sessions-per-tunnel 4000;
interface-id l2tp-encap-2;
lcp-renegotiation;
shared-secret "lac2-$ABC123"; ## SECRET-DATA
}
user-group-profile ce-l2tp-group-profile;
}
}
profile aaa-profile {
authentication-order radius;
radius-server {
198.51.100.193 secret "$ABC123"; ## SECRET-DATA
}
}
address-assignment {
pool client-pool1 {
family inet {
network 192.168.1.1/16;
range lns-v4-pool-range {
low 192.168.1.1;
high 192.168.255.255;
}
}
}
pool client-ipv6-pool2 {
family inet6 {
prefix 2001:DB8::/32;
range lns-v6-pool-range {
low 2001:DB8:1::/48;
high 2001:DB8:ffff::/48;
}
}
}
}
[edit]
user@host# show chassis
fpc 5 {
pic 0 {
inline-services {
bandwidth 10g;
}
}
pic 2 {
inline-services {
bandwidth 10g;
}
}
}
[edit]
user@host# show interfaces
ge-5/0/1 {
vlan-tagging;;
unit 11 {
vlan-id 11;
family inet {
address 203.0.113.2/24;
}
}
}
si-5/0/0 {
hierarchical-scheduler maximum-hierarchy-levels 2;
encapsulation generic-services;
unit 0 {
family inet;
}
}
si-5/2/0 {
hierarchical-scheduler maximum-hierarchy-levels 2;
encapsulation generic-services;
unit 0 {
family inet;
}
}
lo0 {
unit 0 {
family inet {
address 127.0.0.1/32;
}
}
}
[edit]
user@host# show dynamic-profiles
dyn-lns-profile2 {
routing-instances {
"$junos-routing-instance" {
interface "$junos-interface-name";
routing-options {
access {
route $junos-framed-route-ip-address-prefix {
next-hop "$junos-framed-route-nexthop";
metric "$junos-framed-route-cost";
preference "$junos-framed-route-distance";
}
}
access-internal {
route $junos-subscriber-ip-address {
qualified-next-hop "$junos-interface-name";
}
}
}
}
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
dial-options {
l2tp-interface-id l2tp-encapsulation;
dedicated;
}
family inet {
filter {
input "$junos-input-filter";
output "$junos-output-filter";
}
unnumbered-address "$junos-loopback-interface";
}
family inet6 {
address $junos-ipv6-address;
input $junos-input-ipv6-filter;
output $junos-output-ipv6-filter;
}
}
}
}
protocols {
router-advertisement {
interface "$junos-interface-name" {
prefix $junos-ipv6-ndra-prefix;
}
}
}
class-of-service {
rewrite-rules {
dscp rewriteDSCP {
forwarding-class expedited-forwarding {
loss-priority high code-point af11
loss-priority high code-point af12
}
}
}
traffic-control-profiles {
tc-profile {
scheduler-map "$junos-cos-scheduler-map";
shaping-rate "$junos-cos-shaping-rate";
overhead-accounting "$junos-cos-shaping-mode" bytes "$junos-cos-byte-adjust";
}
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
forwarding-class expedited-forwarding;
output-traffic-control-profile tc-profile;
rewrite-rules {
dscp rewriteDSCP;
}
}
}
}
}
}
[edit]
user@host# show services l2tp
tunnel-group tg-dynamic {
l2tp-access-profile ce-l2tp-profile;
aaa-access-profile aaa-profile;
local-gateway {
address 203.0.113.2;
gateway-name ce-lns;
}
service-device-pool lns_p1;
dynamic-profile dyn-lns-profile2;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, rufen Sie den Konfigurationsmodus auf commit .
Konfigurieren einer L2TP-Tunnelgruppe für LNS-Sitzungen mit Inline-Serviceschnittstellen
Die L2TP-Tunnel-Gruppe gibt Attribute an, die für L2TP-Tunnel und -Sitzungen von einer Gruppe von LAC-Clients gelten. Zu diesen Attributen gehören das Zugriffsprofil, das zur Validierung von L2TP-Verbindungsanforderungen verwendet wird, die an das LNS an der lokalen Gateway-Adresse gesendet werden, ein lokales Zugriffsprofil, das das globale Zugriffsprofil überschreibt, der Keepalive-Timer und ob der IP-ToS-Wert widergespiegelt wird.
Wenn Sie eine Tunnel-Gruppe löschen, werden alle L2TP-Sitzungen in dieser Tunnel-Gruppe beendet. Wenn Sie den Wert der local-gateway-addressAnweisungen , service-device-pooloder service-interface ändern, werden alle L2TP-Sitzungen beendet, die diese Einstellungen verwenden. Wenn Sie andere Anweisungen auf Hierarchieebene [edit services l2tp tunnel-group name] ändern oder löschen, verwenden neue Tunnel, die Sie einrichten, die aktualisierten Werte, aber vorhandene Tunnel und Sitzungen sind nicht betroffen.
So konfigurieren Sie die LNS-Tunnel-Gruppe:
Anwenden von Services auf eine L2TP-Sitzung ohne Verwendung von RADIUS
Services werden auf L2TP-Sitzungen zur Aktivierung angewendet oder später durch anbieterspezifische Attribute (VSAs) vom RADIUS-Server oder in RADIUS-CoA-Anforderungen (Change of Authorization) geändert. Ab Junos OS Version 18.1R1 können Sie Services auf L2TP-Sitzungen mithilfe von dynamischen Serviceprofilen anwenden, ohne RADIUS einzubeziehen. In Umgebungen mit mehreren Anbietern verwenden Kunden möglicherweise nur Standard-RADIUS-Attribute, um die Verwaltung zu vereinfachen, indem die Verwendung von VSAs von mehreren Anbietern vermieden wird. Dies erschwert jedoch die Anwendung von Services auf L2TP-Sitzungen, da VSAs in der Regel Services anwenden müssen. Mit der Aktivierung des lokalen dynamischen Serviceprofils können Sie dieses Problem vermeiden. Sie können auch die lokale Serviceprofilaktivierung verwenden, um Standarddienste bereitzustellen, wenn RADIUS-Server ausgefallen sind.
Sie können Services auf alle Teilnehmer in einer Tunnel-Gruppe oder auf alle Teilnehmer anwenden, die eine bestimmte LAC verwenden. Sie können maximal 12 Services pro Tunnel-Gruppe oder LAC-Hostname konfigurieren.
Nachdem Sie ein oder mehrere dynamische Serviceprofile konfiguriert haben, die Services definieren, wenden Sie diese in der Tunnel-Gruppe oder in der Zugriffsprofilkonfiguration für einen LAC-Client an, indem Sie die Namen der Serviceprofile angeben. Sie können mehr als ein zu aktivierendes Profil auflisten, getrennt durch ein kaufmännisches Und-Zeichen (&). Sie können auch Parameter angeben, die vom Dienstprofil verwendet werden sollen, die im Profil selbst konfigurierte Werte überschreiben können, z. B. eine Downstream-Shaping-Rate für einen CoS-Dienst.
Die lokal konfigurierte Liste der Services (über Serviceprofile) dient als lokale Autorisierung, die von authd während der Aktivierung der Client-Sitzung angewendet wird. Diese Liste von Services unterliegt der gleichen Validierung und Verarbeitung wie Services, die von einer externen Stelle wie RADIUS stammen. Diese Dienste werden während der Anmeldung des Anwenders angezeigt.
Sie können weiterhin RADIUS VSAs oder CoA-Anforderungen zusammen mit den Dienstprofilen verwenden. Wenn Services von einer externen Stelle als Autorisierung während der Authentifizierung oder während der Sitzungsbereitstellung (Aktivierung) des Anwenders bezogen werden, haben die Services der externen Instanz strikten Vorrang vor denen in der lokalen Konfiguration. Wenn ein mit RADIUS angewendeter Service mit einem Service identisch ist, der mit einem Serviceprofil in der CLI angewendet wird, jedoch mit anderen Parametern, wird der RADIUS-Service mit einer neuen Sitzungs-ID angewendet und hat Vorrang vor dem früheren Serviceprofil.
Sie können Befehle ausgeben, um jeden Service zu deaktivieren oder zu reaktivieren, den Sie zuvor für eine Tunnel-Gruppe oder LAC aktiviert haben.
Definieren Sie die dynamischen Serviceprofile, die Sie später auf eine Tunnel-Gruppe oder LAC anwenden möchten.
So wenden Sie Serviceprofile auf alle Abonnenten in einer Tunnel-Gruppe an:
Geben Sie ein oder mehrere Serviceprofile und alle Parameter an, die an die Services übergeben werden sollen.
[edit services l2tp tunnel-group group-name] user@host# set service-profile profile-name(parameter)&profile-name
So wenden Sie Serviceprofile auf alle Abonnenten für eine bestimmte LAC an:
Geben Sie ein oder mehrere Serviceprofile und alle Parameter an, die an die Services übergeben werden sollen.
[edit access profile profile-name client client-name l2tp] user@host# set service-profile profile-name(parameter)&profile-name
Hinweis:Wenn Dienstprofile für einen LAC-Client und für eine Tunnel-Gruppe konfiguriert sind, die diesen Client verwendet, wird nur das LAC-Client-Serviceprofil angewendet. Es überschreibt die Konfiguration der Tunnel-Gruppe. In der folgenden Konfiguration verwendet die Tunnel-Gruppe tg-LAC-3 beispielsweise den LAC-Client LAC-3, sodass die LAC3-Konfiguration die Konfiguration der Tunnel-Gruppe überschreibt. Folglich wird für Teilnehmer in der Tunnel-Gruppe nur der cos-A3-Dienst aktiviert und nicht Cos2 und fw1. Die für den Dienst übergebene Shaping-Rate beträgt 24 Mbit/s.
[edit] user@host# set services l2tp tunnel-group tg-LAC-3 service-profile cos2(31000000)&fw1 user@host# set access profile prof-lac client LAC-3 l2tp service-profile cos-A3(24000000)
Sie können jeden Dienst, der auf eine Anwendersitzung angewendet wird, deaktivieren, indem Sie den folgenden Befehl eingeben:
user@host> request network-access aaa subscriber delete session-id subscriber-session-id service-profile profile-name
Sie können jeden Dienst, der auf eine Anwendersitzung angewendet wird, reaktivieren, indem Sie den folgenden Befehl ausführen:
user@host> request network-access aaa subscriber add session-id subscriber-session-id service-profile profile-name
Um die Dienstsitzungen für alle aktuellen Anwender Sitzungen anzuzeigen, verwenden Sie den show subscribers extensive Befehl oder show network-access aaa subscribers session-id id-number detail .
Um die Funktionsweise der lokalen Dienstanwendung zu verstehen, veranschaulichen die folgenden Beispiele die verschiedenen Konfigurationsmöglichkeiten. Betrachten Sie zunächst die folgenden dynamischen Serviceprofilkonfigurationen, cos2 und fw1:
dynamic-profiles {
cos2 {
variables {
shaping-rate default-value 10m;
shaping-rate-in default-value 10m;
data-in-filter uid;
data-in-policer uid;
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
family inet;
}
}
}
class-of-service {
traffic-control-profiles {
TrafficShaper {
scheduler-map a;
shaping-rate "$shaping-rate";
}
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
output-traffic-control-profile TrafficShaper;
}
}
}
}
}
|
dynamic-profiles {
fw1 {
variables {
v6input default-value v6ingress;
v6output default-value v6egress;
input default-value upstrm-filter;
output default-value dwnstrm-filter;
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
family inet;
}
}
}
}
}
Die folgende Anweisung gilt für beide Dienste für alle Teilnehmer in der Tunnel-Gruppe tg1; Ein Parameterwert von 31 Mbit/s wird an den Cos2-Dienst übergeben:
[edit] user@host# set services l2tp tunnel-group tg1 service-profile cos2(31000000)&fw1
Im cos2-Serviceprofil wird die Shaping-Rate durch eine benutzerdefinierte Variable mit einem Standardwert von 10 m oder 1 Mbit/s bereitgestellt. Nachdem die L2TP-Sitzung beendet ist, werden cos2 und fw1 mit den Servicesitzungs-IDs 34 bzw. 35 aktiviert.
user@host1> show subscribers extensive
...
Service Session ID: 34
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
Der an cos2 übergebene Parameter wird als Wert für $shaping-rate verwendet. Folglich wird die Shaping-Rate für den Dienst vom Standardwert von 10 Mbit/s auf 31 Mbit/s angepasst, wie in der folgenden Befehlsausgabe gezeigt. Obwohl die Ausgabe angibt, dass es sich bei der Anpassungsanwendung um RADIUS CoA handelt, ist die Anpassung eine Folge des an das Serviceprofil übergebenen Parameters. Dieser Vorgang verwendet denselben internen Rahmen wie ein CoA und wird als solcher gemeldet.
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 31000000
adjustment-value: 31000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
Jetzt ist der cos2-Dienst in der CLI für die Anwender-Sitzung 27 deaktiviert.
user@host1> request network-access aaa subscriber delete service-profile cos2 session-id 27 Successful completion
Die folgende Ausgabe zeigt, dass cos2 verschwunden ist, sodass nur noch fw1 als aktiver Dienst übrig bleibt.
user@host1> show subscribers extensive
Type: L2TP
User Name: user@example.com
IP Address: 192.0.2.103
IP Netmask: 255.255.255.255
Logical System: default
Routing Instance: default
Interface: si-1/0/0.3221225492
Interface type: Dynamic
Underlying Interface: si-1/0/0.3221225492
Dynamic Profile Name: dyn-lns-profile
State: Active
Radius Accounting ID: 27
Session ID: 27
PFE Flow ID: 42
Login Time: 2017-08-30 07:29:39 IST
Service Sessions: 1
IP Address Pool: ipv4_pool
Accounting interval: 600
Frame/cell mode: Frame
Overhead accounting bytes: -38
Calculated downstream data rate: 1000000 kbps
Adjusted downstream data rate: 1000000 kbps
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
Der folgende Befehl reaktiviert cos2 für die Anwendersitzung 27.
user@host1> request network-access aaa subscriber add service-profile cos2 session-id 27 Successful completion
Der reaktivierte cos2-Dienst hat eine neue Dienstsitzungs-ID von 36.
user@host1> show subscribers extensive
...
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
Service Session ID: 36
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 15:58:23 IST
Der reaktivierte cos2-Dienst verwendet die Standard-Shaping-Rate von 10 Mbit/s aus dem Dienstprofil.
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 10000000
adjustment-value: 10000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
Als nächstes geht eine RADIUS CoA-Anfrage ein, die die Activate-Service VSA (26-65) enthält. Der VSA spezifiziert und aktiviert den Dienst und gibt eine Änderung der Shaping-Rate von cos2 von den standardmäßigen 10 Mbit/s auf 12 Mbit/s an. Die cos2-Servicesitzung 36 erscheint weiterhin in der Ausgabe, wird aber durch die neue Servicesitzung ersetzt, die vom CoA 49 initiiert wurde.
user@host1> show subscribers extensive
...
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
Service Session ID: 36
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 15:58:23 IST
Service Session ID: 49
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 16:25:04 IST
Dynamic configuration:
shaping-rate: 12000000
shaping-rate-in: 10m
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 12000000
adjustment-value: 12000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
Wenn ein Service sowohl von der CLI-Konfiguration als auch von einem RADIUS-VSA (26-65) angewendet wird, jedoch mit unterschiedlichen Parametern, überschreibt die RADIUS-Konfiguration die CLI-Konfiguration. Im folgenden Beispiel wendet die CLI-Konfiguration das cos2-Dienstprofil mit einem Wert von 31 Mbit/s für die Shaping-Rate an.
[edit] user@host# set services l2tp tunnel-group tg1 service-profile cos2(31000000)
Die Aktivierung des RADIUS Access-Accept-Nachrichtendiensts VSA (26-65) wendet cos2 mit einem Wert von 21 Mbit/s für die Shaping-Rate an.
l2tp@l2tp.com User-Password := "bras"
Auth-Type = Local,
Service-Type = Framed-User,
Framed-Protocol = PPP,
ERX-Service-Activate:1 += 'cos2(21000000)',
Die CLI-Konfiguration aktiviert die Servicesitzung 22 mit einer Shaping-Rate von 31 Mbit/s. Der RADIUS VSA aktiviert die Servicesitzung 23 mit einer Shaping-Rate von 21 Mbit/s.
user@host1> show subscribers extensive
...
Service Session ID: 22
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-16 08:22:03 IST
Dynamic configuration:
shaping-rate: 31000000
shaping-rate-in: 10m
Service Session ID: 23
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-16 08:22:03 IST
Dynamic configuration:
shaping-rate: 21000000
shaping-rate-in: 10m
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 21000000
adjustment-value: 21000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
Pool von Inline-Service-Schnittstellen für dynamische LNS-Sitzungen konfigurieren
Sie können einen Pool von Inline-Serviceschnittstellen erstellen, der auch als Servicegerätepool bezeichnet wird, um das Load Balancing von L2TP-Datenverkehr über die Schnittstellen hinweg zu ermöglichen. Der Pool wird für dynamische LNS-Konfigurationen unterstützt, in denen er eine Reihe logischer Schnittstellen bereitstellt, die dynamisch erstellt und L2TP-Sitzungen auf dem LNS zugewiesen werden können. Der Pool ist einer LNS-Tunnel-Gruppe zugeordnet. L2TP behält den Status jeder Inline-Serviceschnittstelle bei und verwendet eine Round-Robin-Methode, um die Last gleichmäßig auf die verfügbaren Schnittstellen zu verteilen, wenn neue Sitzungsanforderungen akzeptiert werden.
Load Balancing ist nur für dynamisch erstellte Anwender-Schnittstellen verfügbar.
LNS-Sitzungen, die auf einem MPC verankert sind, sind von einem MIC-Ausfall nicht betroffen, solange ein anderer Pfad zu den Peer-LACs existiert. Wenn der MPC, der die Peer-Schnittstelle hostet, ausfällt und es keinen Pfad zu Peer-LACs gibt, löst der Fehler die Beendigung und Bereinigung aller Sitzungen auf dem MPC aus.
Wenn der MPC, der die LNS-Sitzungen verankert, selbst ausfällt, verlagert die Routing-Engine die Sitzungen nicht in einen anderen Steckplatz, und alle Sitzungen werden sofort beendet. Neue Sitzungen können auf einer anderen verfügbaren Schnittstelle angezeigt werden, wenn der Client einen erneuten Versuch unternimmt.
So konfigurieren Sie den Dienstgerätepool:
Konfigurieren eines dynamischen Profils für dynamische LNS-Sitzungen
Sie können L2TP so konfigurieren, dass Inline-Serviceschnittstellen für L2TP-Tunnel dynamisch zugewiesen werden. Sie müssen ein oder mehrere dynamische Profile definieren und jeder Tunnel-Gruppe ein Profil zuweisen. Das LNS unterstützt IPv4-, Nur-IPv6- und Dual-Stack-IPv4/IPv6-Sitzungen.
So konfigurieren Sie das dynamische L2TP-Profil:
Tabellarischer Änderungsverlauf
Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.