Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Tunnelisation LAC L2TP pour les abonnés

Aperçu de la sélection des tunnels LAC

Lorsqu’un utilisateur se connecte à un domaine, le client PPP contacte le LAC pour établir une connexion. Le LAC doit trouver une destination dans le domaine et un tunnel qui peut l’atteindre. L’association entre les destinations, les tunnels et les domaines est fournie par un profil de tunnel, soit dans un mappage de domaine dans le profil d’accès de l’abonné, soit dans l’attribut Tunnel-Group (VSA 26-64) reçu d’un serveur RADIUS. L’attribut RADIUS est prioritaire sur un profil spécifié dans un mappage de domaine. Le profil de tunnel comprend une liste de tunnels ; chaque tunnel est associé à une adresse IP de destination et à un niveau de préférence de tunnel.

L2TP vous permet de spécifier :

  • Jusqu’à 31 destinations par domaine.

  • Jusqu’à huit niveaux de préférence de tunnel. Le niveau de préférence détermine l’ordre dans lequel le LAC tente d’utiliser un tunnel existant (ou d’en établir un nouveau) vers une destination dans le domaine demandé par l’utilisateur.

    Remarque :

    Zéro (0) est le niveau de préférence le plus élevé ; c’est le niveau le plus préféré.

    Si deux tunnels atteignent tous deux des destinations valides au sein d’un domaine, le LAC sélectionne d’abord le tunnel ayant le niveau de préférence le plus élevé. Par exemple, lorsque le tunnel A a un niveau de préférence de 1 et le tunnel B un niveau de préférence de 4, le LAC tente d’utiliser le tunnel A en premier.

  • Jusqu’à 31 destinations pour un seul niveau de préférence.

Lorsque le LAC détermine qu’une session PPP doit être tunnelisée, il sélectionne un tunnel dans l’ensemble des tunnels associés à l’utilisateur PPP ou au domaine de l’utilisateur PPP par un profil de tunnel.

La sélection du tunnel est affectée par les configurations suivantes :

  • Basculement entre les niveaux de préférence : par défaut, lorsqu’un tunnel vers une destination valide n’est pas sélectionné dans un niveau de préférence, le processus de sélection bascule au niveau suivant ; c’est-à-dire que le LAC descend au niveau inférieur suivant pour poursuivre la recherche d’un tunnel approprié. Voir Sélection lorsque le basculement entre les niveaux de préférence est configuré pour plus d’informations.

  • Basculement à l’intérieur d’un niveau de préférence : dans ce cas, le LAC ne limite pas ses tentatives d’établissement d’une session à un seul tunnel à un seul niveau de préférence. Si la tentative échoue dans le tunnel sélectionné, le processus de sélection bascule à l’intérieur de ce même niveau en sélectionnant un autre tunnel approprié vers une destination valide. Le LAC poursuit ses tentatives de connexion à ce niveau jusqu’à ce qu’il n’y ait plus de tunnels vers une destination valide à ce niveau. Ensuite, le LAC descend au niveau inférieur suivant pour continuer la recherche. Voir Sélection lorsque le basculement à l’intérieur d’un niveau de préférence est configuré pour plus d’informations.

  • Nombre maximal de sessions par tunnel : lorsque le nombre maximal de sessions autorisées par tunnel est configuré, le LAC prend en compte ce paramètre lors du processus de sélection du tunnel. Le nombre maximal de sessions par tunnel peut être configuré au moyen de la VSA RADIUS Tunnel-Max-Sessions [26-33] ou en incluant l’instruction max-sessions dans un profil de tunnel.

    Lorsqu’un nombre de sessions actuel d’un tunnel sélectionné de manière aléatoire est égal à son nombre maximal de sessions, le LAC ne tente pas de se connecter à une destination utilisant ce tunnel. Au lieu de cela, il sélectionne un autre tunnel dans l’ensemble des tunnels de ce niveau de préférence qui ont des destinations valides dans le domaine. S’il n’existe aucun tunnel de ce type au niveau de préférence actuel, le LAC passe au niveau de préférence suivant pour effectuer la sélection. Ce processus est cohérent, quel que soit le schéma de basculement en cours sur le réseau LAC.

    Lorsque le nombre maximal de sessions n’est pas configuré pour un tunnel, ce tunnel n’a pas de limite supérieure sur le nombre de sessions qu’il peut prendre en charge. Par défaut, la valeur maximale des sessions est 0 (zéro), ce qui autorise un nombre illimité de sessions dans le tunnel.

  • L’équilibrage de charge pondéré : cette méthode d’équilibrage utilise une évaluation basée sur les probabilités du poids des tunnels pour répartir les sessions entre les tunnels. Le LAC continue de sélectionner les tunnels de manière aléatoire dans un niveau de préférence, mais en moyenne, les sessions sont réparties entre les tunnels en fonction du poids des tunnels. Le poids d’un tunnel est déterminé par la limite de session maximale du tunnel et les limites de session maximales des autres tunnels au même niveau de préférence. Voir Équilibrage de charge pondéré pour plus d’informations.

  • L’équilibrage de charge égal à la destination : cette méthode d’équilibrage de session évalue les tunnels en fonction du nombre de sessions vers la destination et du nombre de sessions transportées par le tunnel afin de répartir la charge de session de manière égale entre tous les tunnels. Le tunnel dont la destination a le nombre de sessions le plus faible est déterminé comme ayant la charge la plus légère. Ce processus fonctionne sur les tunnels au niveau de préférence le plus élevé disponible. Voir Équilibrage de charge à destination égale pour plus d’informations.

Prenez en compte les informations suivantes pour comprendre le processus de sélection et de basculement des tunnels et des destinations :

  • Plusieurs tunnels peuvent atteindre une destination, et ces tunnels peuvent avoir le même niveau de préférence ou des niveaux de préférence différents.

  • Le tunnel sélectionné pour établir la session d’abonné peut lui-même déjà être établi. ce qui signifie qu’il a des sessions actives. Alternativement, le LAC peut devoir établir un nouveau tunnel vers la destination si aucun tunnel capable d’atteindre la destination n’est déjà établi.

  • Une destination valide répond aux critères suivants :

    • Elle est accessible par un tunnel qui n’a pas atteint sa limite maximale de sessions.

    • Il n’a pas encore été contacté pour la demande de connexion de l’abonné actuel.

    • Il peut être verrouillé ou déverrouillé.

  • Une destination verrouillée est une destination pour laquelle le minuteur de verrouillage de destination est en cours d’exécution. Les destinations verrouillées sont placées sur une liste de verrouillage jusqu’à l’expiration du minuteur ou jusqu’à ce qu’il soit effacé (remise à zéro). Les destinations figurant sur la liste ne peuvent pas être contactées pour établir une session.

  • Une destination déverrouillée est une destination pour laquelle le minuteur de verrouillage de destination est zéro.

  • Lorsque le LAC découvre des destinations valides qui sont verrouillées, il les place dans la liste DestinationsLockedNotContacted, qui est différente de la liste de verrouillage qui inclut toutes les destinations verrouillées. La liste DestinationsLockedNotContacted ne comprend que les destinations verrouillées que BAC n’a pas encore tenté de contacter pour la connexion d’abonné en cours et en cours. La liste DestinationsLockedNotContacted n’inclut pas les destinations que le LAC verrouille après avoir tenté d’établir une connexion et échoué.

  • Vous pouvez utiliser la clear services l2tp destination lockout commande pour effacer manuellement toutes les destinations verrouillées ou uniquement les destinations verrouillées qui correspondent à l’adresse de passerelle locale ou distante spécifiée. Vous pouvez utiliser la commande si, par exemple, vous souhaitez effacer une destination spécifique afin qu’elle obtienne la priorité dans un niveau de préférence.

  • Le comportement de basculement qui fait partie du processus de sélection du tunnel s’applique uniquement lorsque la destination est inaccessible pour l’une des raisons suivantes :

    • Le LNS ne renvoie pas de message SCCRP en réponse au message SCCRQ du LAC après le nombre maximal de tentatives de retransmission.

    • Le tunnel est établi, mais le LNS ne renvoie pas de message ICRP en réponse à l’ICRQ du LAC après le nombre maximal de tentatives de retransmission.

  • Ce comportement de basculement ne s’applique pas dans les circonstances suivantes :

    • Le client met fin à la connexion.

    • Le tunnel est établi, mais le LNS envoie un message CDN pendant que le LAC tente d’établir la session avec le LNS, ce qui entraîne l’échec de la tentative de connexion de l’abonné.

Sélection lorsque le basculement entre les niveaux de préférence est configuré

Lorsqu’un utilisateur tente de se connecter à un domaine dans une configuration par défaut, c’est-à-dire lorsque le basculement à l’intérieur d’un niveau de préférence et l’équilibrage de charge ne sont pas configurés, le LAC recherche les destinations valides vers le domaine demandé, en commençant par le niveau de préférence de tunnel le plus élevé. Si aucune destination valide n’est trouvée ou si la tentative de connexion à une destination échoue, le LAC descend au niveau inférieur suivant pour poursuivre la recherche. Le processus de recherche est le même pour tous les niveaux, sauf pour le plus faible :

  1. La recherche commence par identifier les tunnels avec des destinations valides au niveau de préférence parmi tous les tunnels spécifiés dans le profil de tunnel du domaine.

  2. Toutes les destinations verrouillées et valides sont placées dans la liste DestinationsLockedNotContacted. Aucune tentative n’est faite pour contacter l’une de ces destinations.

  3. Parmi les destinations valides déverrouillées, le LAC en sélectionne une au hasard et tente de se connecter par le biais du tunnel associé ; si le tunnel n’a pas de sessions en cours, le LAC doit établir le tunnel.

    Remarque :

    La sélection aléatoire est le comportement par défaut. Le comportement est différent lorsque l’équilibrage de charge pondéré ou l’équilibrage de charge égal à destination est configuré. Voir Sélection lors de la répartition de la charge de session entre plusieurs LNS pour plus d’informations sur l’équilibrage de charge.

    • Si la tentative réussit, le LAC signale la connexion réussie au client PPP. Le BAC efface également toutes les destinations de la liste DestinationsLockedNotContacted.

    • Si le LAC ne reçoit pas de réponse, il retente la tentative jusqu’au nombre maximum de nouvelles tentatives. Si le LAC épuise les nouvelles tentatives sans recevoir de réponse, la tentative est considérée comme infructueuse et le LAC marque la destination comme inaccessible en verrouillant la destination. Il place la destination sur la liste de verrouillage et démarre le minuteur de verrouillage de destination.

  4. Ce que le BAC fera ensuite dépend du niveau de préférence actuel.

    • S’il ne s’agit pas du niveau de préférence le plus bas, le BAC passe au niveau de préférence inférieur suivant et poursuit le processus de recherche.

    • S’il s’agit du niveau de préférence le plus bas et que la liste DestinationsLockedNotContacted n’est pas vide, le LAC déverrouille toutes les destinations de la liste DestinationsLockedNotContacted et revient au niveau de préférence le plus élevé et redémarre le processus de recherche.

    • S’il s’agit du niveau de préférence le plus bas et que la liste DestinationsLockedNotContacted est vide, ce qui signifie que toutes les destinations valides ont été tentées, le LAC signale un échec de connexion au client PPP.

  5. Lorsque les destinations valides d’un niveau sont toutes verrouillées, ce que le LAC fait ensuite dépend du niveau de préférence actuel.

    • S’il ne s’agit pas du niveau de préférence le plus bas, le BAC passe au niveau de préférence inférieur suivant et poursuit le processus de recherche.

    • S’il s’agit du niveau de préférence le plus bas, le LAC sélectionne la destination verrouillée et valide avec le temps de verrouillage restant le plus court. Il efface le délai de verrouillage et tente de se connecter à la destination et d’établir une session.

      • Si la tentative réussit, le LAC signale la connexion réussie au client PPP.

      • Si la tentative échoue et que la liste DestinationsLockedNotContacted est vide, ce qui signifie que toutes les destinations valides ont été tentées, le LAC signale un échec de connexion au client PPP.

      • Si la tentative échoue et que la liste DestinationsLockedNotContacted n’est pas vide, le LAC déverrouille toutes les destinations de la liste DestinationsLockedNotContacted, revient au niveau de préférence le plus élevé et redémarre le processus de recherche.

  6. Lorsqu’aucune destination valide n’est présente, ce que le LAC fait ensuite dépend du niveau de préférence actuel.

    • S’il ne s’agit pas du niveau de préférence le plus bas, le BAC passe au niveau de préférence inférieur suivant et poursuit le processus de recherche.

    • S’il s’agit du niveau de préférence le plus bas et que la liste DestinationsLockedNotContacted est vide, ce qui signifie que toutes les destinations valides ont été tentées, le LAC signale un échec de connexion au client PPP.

    • S’il s’agit du niveau de préférence le plus bas et que la liste DestinationsLockedNotContacted n’est pas vide, la LAC déverrouille toutes les destinations de la liste DestinationsLockedNotContacted, revient au niveau de préférence le plus élevé et redémarre le processus.

  7. Le processus de recherche et de basculement passe d’un niveau à l’autre jusqu’à ce qu’une session soit établie ou que toutes les destinations valides aient été tentées (aucune destination ne figure dans la liste DestinationsLockedNotContacted) et que la connexion échoue.

La figure 1 illustre les conditions et les points de décision possibles qui déterminent le choix d’une destination et du tunnel correspondant pour le cas par défaut, où le basculement se produit entre les niveaux de préférence de tunnel.

Figure 1 : Processus de sélection de la destination et du tunnel avec basculement entre les niveaux de Flowchart of a PPP client logging into a domain outlining steps for selecting destinations, checking validity, and establishing sessions, with conditions for successful or failed logins. préférence

Par exemple, supposons que le profil tunnel inclut les tunnels suivants, chacun avec une destination valide :

  • Préférence 0, Tunnel 1, 192.168.10.10

  • Préférence 1, Tunnel 2, 192.168.22.22

  • Préférence 1, Tunnel 3, 192.168.33.33

  • Préférence 2, Tunnel 4, 192.168.44.44

Le basculement dans les préférences et l’équilibrage de charge ne sont pas configurés.

Lorsqu’un utilisateur PPP tente de se connecter au domaine, le LAC agit comme suit :

  1. Au niveau de préférence le plus élevé, 0, le LAC sélectionne le tunnel 1, car il s’agit du seul tunnel du niveau avec une destination valide. Le LAC tente d’atteindre 192.168.10.10.

  2. Cette tentative de connexion échoue, le LAC verrouille donc 192.168.10.10. Il n’est pas pris en compte à nouveau lors de cette tentative de connexion et ne peut être pris en compte pour aucune tentative de connexion tant que le délai de verrouillage de destination n’a pas expiré.

  3. Le LAC passe au niveau suivant, le niveau de préférence 1, pour atteindre une destination pour le domaine. Le LAC sélectionne au hasard entre 192.168.22.22 par le tunnel 2 et 192.168.33.33 par le tunnel 3. Il sélectionne 192.168.22.22 et tente de se connecter via le tunnel 2.

  4. La tentative de connexion à 192.168.22.22 échoue, de sorte que le LAC verrouille 192.168.22.22. Il n’est pas pris en compte à nouveau lors de cette tentative de connexion et ne peut être pris en compte pour aucune tentative de connexion tant que le délai de verrouillage de destination n’a pas expiré.

    Remarque :

    Même si le tunnel 3 a une destination valide déverrouillée, le LAC ne peut pas maintenant sélectionner ce tunnel pour atteindre 192.168.33.33, car le LAC ne peut faire qu’une seule tentative pour atteindre une destination valide chaque fois qu’il recherche dans un niveau où la méthode de basculement se situe entre deux niveaux de préférence.

  5. Le LAC tombe au niveau final (le plus bas) dans cet exemple, le niveau de préférence 2. Le LAC sélectionne le tunnel 4 car c’est le seul tunnel du niveau avec une destination valide. Le LAC tente de joindre 192.168.44.44.

  6. La tentative de connexion à 192.168.44.44 échoue également, de sorte que le LAC verrouille 192.168.44.44. Il n’est pas pris en compte à nouveau lors de cette tentative de connexion et ne peut être pris en compte pour aucune tentative de connexion tant que le délai de verrouillage de destination n’a pas expiré.

  7. Étant donné qu’il s’agit du niveau le plus bas et que la liste DestinationsLockedNotContacted est vide, le LAC rejette la demande de connexion du client PPP.

    Les destinations 192.168.10.10, 192.168.22.22 et 192.168.44.44 ont été verrouillées, mais n’ont pas été ajoutées à la liste DestinationsLockedNotContacted, car le BAC les a verrouillées après avoir tenté de se connecter. La destination 192.168.33.33 n’a pas été contactée, mais n’a pas été ajoutée à la liste DestinationsLockedNotContacted car elle n’est pas verrouillée.

  8. Le client tente à nouveau de se reconnecter et le LAC répète le processus de sélection du tunnel, en recommençant au niveau de préférence 0 pour vérifier la présence d’une destination non verrouillée et valide, puis en passant d’un niveau à l’autre si nécessaire.

  9. Au niveau de préférence 0, 192.168.10.10 est la seule destination valide et est toujours verrouillée, de sorte que le LAC ne peut pas tenter de se connecter à la destination. Le LAC ajoute 192.168.10.10 à la liste DestinationsLockedNotContacted, puis passe au niveau de préférence 1.

    Remarque :

    N’oubliez pas que le minuteur de verrouillage de destination s’applique globalement, de sorte qu’il persiste sur plusieurs connexions d’abonnés. La liste DestinationsLockedNotContacted s’applique uniquement à une connexion d’abonné donnée et ne persiste pas. Même si BAC a communiqué avec le 192.168.10.10 au sujet de cet abonné, c’était lors d’une tentative de connexion précédente. Lors de cette tentative de connexion, il ne peut pas contacter la destination en raison du verrouillage et place par conséquent la destination dans la liste DestinationsLockedNotContacted.

  10. Au niveau de préférence 1, 192.168.22.22 est toujours verrouillé, donc le LAC ajoute 192.168.22.22 à la liste DestinationsLockedNotContacted. 192.168.33.33 est toujours disponible. Le LAC tente de se connecter à 192.168.33.33 par le tunnel 3.

  11. Cette tentative de connexion échoue, le LAC verrouille donc 192.168.33.33. Il n’est pas pris en compte à nouveau lors de cette tentative de connexion et ne peut être pris en compte pour aucune tentative de connexion tant que le délai de verrouillage de destination n’a pas expiré. Le LAC tombe au niveau de préférence 2.

  12. 192.168.44.44 est toujours verrouillé, donc le LAC ajoute 192.168.44.44 à la liste DestinationsLockedNotContacted.

  13. Il s’agit du niveau de préférence le plus bas, mais cette fois, la liste DestinationsLockedNotContacted n’est pas vide ; Il contient 192.168.10.10, 192.168.22.22 et 192.168.44.44. Le LAC déverrouille toutes les destinations de la liste DestinationsLockedNotContacted, puis revient au niveau de préférence le plus élevé.

  14. Au niveau de préférence 0, le LAC tente de se connecter à 192.168.10.10 car il a été déverrouillé. Le LAC établit la session et signale la connexion réussie au client PPP.

Bien que le BAC ne tente pas de communiquer avec une destination qui est verrouillée, il y a un cas particulier où le BAC a atteint le niveau de préférence le plus bas. Le niveau doit avoir plus d’une destination valide et toutes doivent être verrouillées. Par exemple, supposons que le profil tunnel inclut les tunnels suivants, chacun avec une destination valide :

  • Préférence 0, Tunnel 1, 192.168.10.10

  • Préférence 1, Tunnel 2, 192.168.22.22. La destination est verrouillée avec le minuteur de verrouillage actuellement à 245 secondes.

  • Préférence 1, Tunnel 3, 192.168.33.33. La destination est verrouillée avec le minuteur de verrouillage actuellement à 180 secondes.

Le basculement dans les préférences et l’équilibrage de charge ne sont pas configurés.

Lorsqu’un utilisateur PPP tente de se connecter au domaine, le LAC agit comme suit :

  1. Au niveau de préférence le plus élevé, 0, le LAC sélectionne le tunnel 1, car il s’agit du seul tunnel du niveau avec une destination valide. Le LAC tente d’atteindre 192.168.10.10.

  2. Cette tentative de connexion échoue, le LAC verrouille donc 192.168.10.10. Il n’est pas pris en compte à nouveau lors de cette tentative de connexion et ne peut être pris en compte pour aucune tentative de connexion tant que le délai de verrouillage de destination n’a pas expiré.

  3. Le LAC passe au niveau suivant, le niveau de préférence 1, pour atteindre une destination pour le domaine. Les deux destinations valides à ce niveau, 192.168.22.22 et 192.168.33.33, sont verrouillées.

  4. Le LAC ajoute les deux destinations à la liste DestinationsLockedNotContacted.

  5. Comme il s’agit du niveau de préférence le plus bas, le LAC détermine quelle destination a un temps de verrouillage restant le plus court. Il sélectionne 192.168.33.33 car il a un temps de verrouillage restant plus court (180 secondes) que 192.168.22.22 (245 secondes). Le LAC déverrouille 192.168.33.33 et tente de se connecter via le tunnel 3. Par conséquent, le BAC retire également 192.168.33.33 de la liste DestinationsLockedNotContacted.

  6. La tentative de connexion réussit et une session est établie à 192.168.33.33. Le LAC signale une connexion réussie au client PPP.

Sélection lorsque le basculement à l’intérieur d’un niveau de préférence est configuré

Lorsque vous configurez le basculement à l’intérieur d’un niveau de préférence, le processus de sélection de la destination et du tunnel est le même que pour la configuration par défaut, à une exception près : le LAC n’est pas limité à une seule tentative de connexion à un niveau de préférence.

Lorsque le LAC tente de se connecter à une destination valide et déverrouillée sans succès, il verrouille cette destination, mais ne passe pas immédiatement au niveau inférieur suivant. Au lieu de cela, si une autre destination valide et déverrouillée est disponible au même niveau de préférence, le LAC tente de se connecter à cette destination.

Si le LAC ne se connecte pas, il continue d’essayer d’atteindre une destination dans ce niveau de préférence jusqu’à ce qu’il ne reste plus de destinations valides déverrouillées à tenter. À ce moment-là, le LAC descend pour rechercher au niveau de préférence inférieur suivant. À chaque niveau, le BAC recherche et tente de se connecter à une destination valide jusqu’à ce qu’aucune destination valide non verrouillée ne soit disponible.

Si le LAC tombe au niveau de préférence le plus bas et ne trouve aucune destination valide et déverrouillée, le comportement dépend de la liste DestinationsLockedNotContacted :

  • Si la liste DestinationsLockedNotContacted n’est pas vide, la LAC déverrouille toutes les destinations de la liste DestinationsLockedNotContacted et revient au niveau de préférence le plus élevé et redémarre le processus de recherche.

  • Si DestinationsLockedNotContacted est vide, ce qui signifie que toutes les destinations valides ont été tentées, le LAC signale un échec de connexion au client PPP.

Par exemple, supposons que le profil tunnel spécifie les tunnels et les destinations suivants. L’équilibrage de charge n’est pas configuré. Toutes les destinations sont valables ; tous sont débloqués sauf 192.168.3.3. Les niveaux de préférence pour les tunnels sont attribués comme suit :

  • Préférence 0, Tunnel 1, 192.168.1.1, déverrouillé

  • Préférence 0, Tunnel 2, 192.168.2.2, déverrouillé

  • Préférence 0, Tunnel 3, 192.168.3.3, minuterie de verrouillage 100 secondes

  • Préférence 1, Tunnel 4, 192.168.4.4, déverrouillé

  • Préférence 1, Tunnel 5, 192.168.5.5, déverrouillé

Dans cet exemple, lorsqu’un utilisateur PPP tente de se connecter au domaine, le LAC agit comme suit :

  1. Le LAC sélectionne de manière aléatoire entre les deux destinations déverrouillées et valides au niveau de préférence 0, 192.168.1.1 via le tunnel 1 et 192.168.2.2 via le tunnel 2. Il choisit 192.168.2.2 et tente de se connecter via le tunnel 2.

  2. La tentative de connexion à 192.168.2.2 échoue, de sorte que le LAC verrouille 192.168.2.2. Il n’est pas pris en compte à nouveau lors de cette tentative de connexion et ne peut être pris en compte pour aucune tentative de connexion tant que le délai de verrouillage de destination n’a pas expiré.

  3. Le LAC tente ensuite de se connecter à 192.168.1.1 via le tunnel 1 au niveau de préférence 0.

  4. La tentative de connexion à 192.168.1.1 échoue, de sorte que le LAC verrouille 192.168.1.1. Il n’est pas pris en compte à nouveau lors de cette tentative de connexion et ne peut être pris en compte pour aucune tentative de connexion tant que le délai de verrouillage de destination n’a pas expiré.

  5. 192.168.3.3 à travers le tunnel 3 est la seule destination valide restante au niveau de préférence 0, mais elle est verrouillée. Le BAC ajoute 192.168.3.3 à la liste DestinationsLockedNotContacted. BAC n’a pas ajouté 192.168.1.1 et 192.168.2.2 à la liste DestinationsLockedNotContacted, car il les a verrouillés après avoir tenté de les contacter.

  6. Comme le niveau 0 n’a plus de destinations valides déverrouillées, le LAC passe au niveau suivant, le niveau de préférence 1, pour atteindre une destination pour le domaine.

  7. Au niveau de préférence 1, le LAC sélectionne au hasard 192.168.4.4 et tente de se connecter via le tunnel 4.

  8. La tentative de connexion à 192.168.4.4 échoue, de sorte que le LAC verrouille 192.168.4.4. Il n’est pas pris en compte à nouveau lors de cette tentative de connexion et ne peut être pris en compte pour aucune tentative de connexion tant que le délai de verrouillage de destination n’a pas expiré.

  9. Le LAC tente ensuite de se connecter à 192.168.5.5 via le tunnel 5 au niveau de préférence 1.

  10. La tentative de connexion à 192.168.5.5 échoue, de sorte que le LAC verrouille 192.168.5.5. Il n’est pas pris en compte à nouveau lors de cette tentative de connexion et ne peut être pris en compte pour aucune tentative de connexion tant que le délai de verrouillage de destination n’a pas expiré. Le niveau 1 n’a plus de destinations valides et débloquées. Étant donné que la liste DestinationsLockedNotContacted n’est pas vide, le LAC déverrouille toutes les destinations de la liste (dans ce cas, 192.168.3.3) et revient au niveau de préférence le plus élevé, 0.

  11. 192.168.3.3 est maintenant la seule destination déverrouillée au niveau de préférence 0, donc le LAC tente de s’y connecter via le tunnel 3.

  12. La tentative de connexion à 192.168.3.3 échoue, de sorte que le LAC verrouille 192.168.3.3. Il n’est pas pris en compte à nouveau lors de cette tentative de connexion et ne peut être pris en compte pour aucune tentative de connexion tant que le délai de verrouillage de destination n’a pas expiré.

  13. Parce que le niveau 0 n’a plus de destinations valides déverrouillées, le LAC passe au niveau suivant, le niveau de préférence 1.

  14. Le niveau de préférence 1 n’a pas de destinations valides déverrouillées. Le champ DestinationsLockedNotContacted est vide, car le BAC a contacté toutes les destinations valides aux deux niveaux de préférence. Le LAC rejette la demande de connexion du client PPP.

Sélection lors de la répartition de la charge de session entre plusieurs LNS

Plusieurs profils de tunnel peuvent être configurés sur le LAC ; Certains tunnels peuvent partager des destinations. Lorsque le LAC tunnelise la session d’un abonné PPP au LNS, un tunnel doit être sélectionné pour la session d’abonné. Le processus de sélection des tunnels choisit le tunnel ayant la préférence la plus élevée et ayant une destination accessible. Par défaut, le LAC sélectionne aléatoirement un tunnel parmi plusieurs tunnels répondant aux mêmes critères. Vous pouvez également configurer l’équilibrage de charge pour permettre différents choix de sélection. Les deux méthodes d’équilibrage de charge affectent les tunnels et les destinations sélectionnés par le LAC, mais le processus de sélection et de basculement reste le même.

Remarque :

L’équilibrage de charge pondéré et l’équilibrage de charge à destination égale s’excluent mutuellement. Vous ne pouvez activer que l’un ou l’autre.

Équilibrage de charge pondéré

L’équilibrage de charge pondéré évalue les tunnels en fonction de leur poids. Le poids d’un tunnel est déterminé par la limite de session maximale du tunnel et les limites de session maximales des autres tunnels au même niveau de préférence. Le tunnel avec la limite de session maximale la plus élevée a la pondération la plus élevée dans ce niveau de préférence. Le tunnel dont la limite de session maximale est la plus élevée a le poids le plus élevé, et ainsi de suite. Le tunnel avec la limite de session maximale la plus faible a le poids le plus faible.

Remarque :

La sélection des tunnels et la distribution des sessions sont basées sur les probabilités ; La charge n’est pas strictement répartie en fonction du poids.

Lorsque vous configurez l’équilibrage de charge pondéré, le LAC sélectionne toujours les tunnels de manière aléatoire dans un niveau de préférence, mais en moyenne, les sessions sont réparties entre les tunnels en fonction du poids des tunnels.

Avec l’équilibrage de charge pondéré, le LAC génère un nombre aléatoire dans une plage égal au total agrégé de toutes les limites de session pour tous les tunnels du niveau de préférence. Il associe une partie de l’intervalle – un ensemble de nombres – à chaque tunnel proportionnelle au poids tunnel. Un tunnel avec un poids plus élevé est associé à une plus grande partie de la portée (un pool plus grand) qu’un tunnel avec un poids plus faible. Un tunnel est sélectionné lorsque le nombre aléatoire se trouve dans son pool de nombres associé. Le nombre aléatoire est plus probable, en moyenne, dans un pool plus grand, de sorte qu’un tunnel avec un poids plus élevé (pool plus grand) est plus susceptible d’être sélectionné qu’un tunnel avec un poids plus faible (pool plus petit).

Prenons l’exemple d’un niveau de préférence qui ne comporte que deux tunnels, 1 et 2. Le tunnel 1 a une limite maximale de 1000 sessions et le tunnel 2 a une limite de 2000 sessions, soit un total total de 3000 sessions. Le LAC génère un nombre aléatoire à partir d’un groupe de 3000 dans la plage de 0 à 2999. Un pool de 1000 numéros, la partie de la plage de 0 à 999, est associé au tunnel 1. Un groupe de 2000 numéros, allant de 1000 à 2999, est associé au tunnel 2.

  • Lorsque le nombre généré est inférieur à 1000, le tunnel 1 est sélectionné, même s’il a un poids inférieur (1000) à celui du tunnel 2 (2000).

  • Lorsque le nombre généré est égal ou supérieur à 1000, le tunnel 2 est sélectionné.

Comme le pool de nombres générés possibles pour le tunnel 2 (2000) est deux fois plus élevé que pour le tunnel 1 (1000), le tunnel 2, en moyenne, est sélectionné deux fois plus souvent que le tunnel 1.

Équilibrage de charge à destination égale

L’équilibrage de charge égal à destination évalue les tunnels en fonction du nombre de sessions vers la destination et du nombre de sessions acheminées par le tunnel afin de répartir la charge de session de manière égale entre tous les tunnels. Le tunnel dont la destination a le nombre de sessions le plus faible est considéré comme ayant la charge la plus légère. Ce processus fonctionne sur les tunnels au niveau de préférence le plus élevé disponible et suit les instructions suivantes :

  • Lorsque chaque tunnel mène à une destination distincte et qu’une seule destination a le nombre de sessions le plus faible parmi toutes les destinations, le LAC sélectionne le tunnel vers cette destination.

  • Lorsque chaque tunnel mène à une destination distincte et que plusieurs destinations ont le même nombre de sessions le plus bas, le LAC sélectionne un tunnel au hasard parmi les tunnels vers ces destinations.

  • Lorsque plusieurs tunnel se rendent à la même destination et que cette destination a le nombre de sessions de destination le plus faible, le LAC sélectionne parmi ces tunnels celui qui a le plus petit nombre total de sessions tunnel. Si le nombre de sessions de tunnel est le même pour tous ces tunnels, le LAC sélectionne l’un d’entre eux au hasard.

Considérez les scénarios suivants pour mieux comprendre le comportement de sélection des tunnels lorsque l’équilibrage de charge égal à la destination est activé.

Dans le scénario 1, chaque tunnel a une destination valide différente et seul le nombre de sessions de destination est évalué :

  • Tunnel 1, niveau de préférence 1, 192.168.1.1, nombre de sessions de destination = 200

  • Tunnel 2, niveau de préférence 1, 192.168.2.2, nombre de sessions de destination = 50

  • Tunnel 3, niveau de préférence 1, 192.168.3.3, nombre de sessions de destination = 300

  • Tunnel 4, niveau de préférence 1, 192.168.4.4, nombre de sessions de destination = 100

Lorsque le premier utilisateur PPP tente de se connecter au domaine, le LAC sélectionne le tunnel 2, car il se trouve au niveau de préférence le plus élevé, 1, et a pour destination valide, B, avec le nombre de sessions le plus faible, 50.

Lorsque d’autres utilisateurs du PPP tentent de se connecter au domaine, le LAC agit comme suit :

  1. Le tunnel 2 continue d’être sélectionné jusqu’à ce que le nombre de sessions pour 192.168.2.2 soit égal à 100, ce qui correspond au nombre de sessions le plus bas suivant, 192.168.4.4 dans le tunnel 4.

  2. Lorsque l’abonné suivant se connecte, le LAC choisit de manière aléatoire entre le tunnel 2 et le tunnel 4, car leurs destinations ont le même nombre de sessions et celui-ci est inférieur à celui des autres destinations.

  3. Quel que soit le tunnel sélectionné dans cette paire, le nombre de sessions pour sa destination est désormais de 101. L’autre tunnel est sélectionné lorsque l’abonné suivant se connecte, car le nombre de sessions de destination le plus faible est de 100. Le nombre de sessions de destination est ainsi passé à 101, ce qui correspond à l’autre tunnel.

  4. À mesure que les abonnés continuent de se connecter, le LAC répète ce processus en sélectionnant de manière aléatoire entre le tunnel 2 et le tunnel 4 lorsque leur nombre de sessions correspond, puis en sélectionnant l’autre tunnel avec l’abonné suivant, jusqu’à ce que leur nombre de sessions de destination atteigne 200, correspondant au tunnel 1.

  5. Lorsque l’abonné suivant se connecte, le LAC sélectionne désormais de manière aléatoire entre le tunnel 1, le tunnel 2 et le tunnel 4, car 192.168.1.1, 192.168.2.2, 192.168.3.3 ont tous le même nombre de sessions de 200. Le nombre de sessions de destination est porté à 201 pour le tunnel sélectionné. Ainsi, pour l’abonné suivant, le LAC sélectionne de manière aléatoire entre les deux autres tunnels. Désormais, le nombre de sessions de destination pour deux tunnels est de 201. Le LAC sélectionne donc le tunnel restant pour l’abonné suivant.

  6. À mesure que les abonnés continuent de se connecter, le LAC répète ce processus en sélectionnant de manière aléatoire parmi le tunnel 1, le tunnel 2 et le tunnel 4 lorsque leur nombre de sessions correspond, en sélectionnant de manière aléatoire la paire restante pour l’abonné suivant, puis en sélectionnant le tunnel restant, de sorte que le nombre de sessions de destination pour ces trois tunnels corresponde à nouveau. Ce schéma se poursuit jusqu’à ce que le nombre de sessions de destination pour les trois tunnels atteigne 300, ce qui correspond au tunnel 3.

  7. Désormais, les destinations des quatre tunnels ont le même nombre de sessions. Comme il n’y a que quatre tunnels, le schéma final est établi. Le LAC sélectionne d’abord au hasard parmi les quatre tunnels, puis les trois autres, puis la paire restante, et enfin sélectionne le dernier tunnel. Lorsque le nombre de sessions de destination est le même, le LAC redémarre ce schéma.

Dans le scénario 2, deux tunnels partagent la même destination valide. Le nombre de sessions de tunnel et le nombre de sessions de destination sont tous deux évalués :

  • Tunnel 1, niveau de préférence 1, nombre de sessions de tunnel = 120, 192.168.1.1, nombre de sessions de destination = 200

  • Tunnel 2, niveau de préférence 1, nombre de sessions de tunnel = 80, 192.168.1.1, nombre de sessions de destination = 200

  • Tunnel 3, niveau de préférence 1, 192.168.2.2, nombre de sessions de destination = 300

  • Tunnel 4, niveau de préférence 2, 192.168.3.3, nombre de sessions de destination = 100

Lorsque le premier utilisateur du PPP tente de se connecter au domaine, le LAC sélectionne d’abord entre les destinations. Les tunnels pour 192.168.1.1 et 192.168.2.2 sont au niveau de préférence 1. Le LAC sélectionne 192.168.1.1, car son nombre de sessions est inférieur (200) à celui de 192.168.2.2 (300). Le LAC doit ensuite choisir entre le tunnel 1 et le tunnel 2 car les deux vont à 192.168.1.1. Le LAC évalue le nombre de sessions du tunnel. Le tunnel 2 a un nombre inférieur (80) au tunnel 1 (120), de sorte que le LAC sélectionne le tunnel 2 pour le premier abonné.

Lorsque d’autres utilisateurs du PPP tentent de se connecter au domaine, le LAC agit comme suit :

  1. La sélection du tunnel 2 reste importante jusqu’à ce que le nombre de sessions de tunnel passe à 120, ce qui correspond au tunnel 1.

  2. Lorsque l’abonné suivant se connecte, le LAC choisit de manière aléatoire entre le tunnel 1 et le tunnel 2, car ils ont le même nombre de sessions de tunnel. Le nombre de sessions de tunnel du tunnel sélectionné est porté à 121.

  3. Lorsque l’abonné suivant se connecte, le LAC sélectionne l’autre tunnel vers 192.168.1.1, car le nombre de sessions de tunnel est plus faible. À partir de ce point, le LAC continue d’alterner, en effectuant d’abord une sélection aléatoire entre les tunnels 1 et 2, puis en sélectionnant l’autre tunnel, jusqu’à ce que le nombre de sessions de destination passe à 300, ce qui correspond au nombre de sessions 192.168.2.2 dans le tunnel 3. (À ce stade, le nombre de sessions de tunnel est de 150 pour les tunnels 1 et 2.)

  4. Pour l’abonné suivant, le LAC sélectionne au hasard parmi les tunnels 1, 2 et 3.

    • Si le LAC sélectionne le tunnel 1 ou le tunnel 2, le nombre de sessions 192.168.1.1 passe à 301. Par conséquent, le LAC sélectionne le tunnel 3 pour l’abonné suivant, car le nombre de sessions 192.168.2.2 est toujours de 300. À ce stade, les deux destinations ont à nouveau le même nombre de sessions.

    • Si le LAC sélectionne le tunnel 3, le nombre de sessions 192.168.2.2 passe à 301. Pour l’abonné suivant, le LAC choisit de manière aléatoire entre le tunnel 1 et le tunnel 2 car ils vont tous les deux à 192.168.1.1. Quel que soit le choix du BAC, le nombre de sessions 192.168.1.1 passe à 301. À ce stade, les deux destinations ont à nouveau le même nombre de sessions.

      Remarque :

      Le nombre de sessions de tunnel pour les tunnels 1 et 2 n’est plus évalué ; le LAC ne prend en compte que le nombre de sessions de destination pour 192.168.1.1 et 192.168.2.2.

      Cette tendance se poursuit pour tous les abonnés suivants.

Dans le scénario 3, chaque tunnel a une destination valide différente et seul le nombre de sessions de destination est évalué :

  • Tunnel 1, niveau de préférence 1, 192.168.1.1, nombre de sessions de destination = 100

  • Tunnel 2, niveau de préférence 1, 192.168.2.2, nombre de sessions de destination = 100

  • Tunnel 3, niveau de préférence 1, 192.168.3.3, nombre de sessions de destination = 100

  • Tunnel 4, niveau de préférence 1, 192.168.4.4, nombre de sessions de destination = 100

Lorsque le premier utilisateur PPP tente de se connecter au domaine, le LAC détermine que le nombre de sessions de destination est le même pour toutes les destinations des quatre tunnels au niveau de préférence. Par conséquent, le LAC choisit au hasard parmi les quatre tunnels.

Supposons que le LAC sélectionne le tunnel 1 pour le premier abonné.

Lorsque d’autres utilisateurs du PPP tentent de se connecter au domaine, le LAC agit comme suit :

  1. Le LAC sélectionne de manière aléatoire parmi les tunnels 2, 3 et 4, car les destinations 192.168.2.2, 192.168.3.3 et 192.168.4.4 ont toutes le même nombre de sessions, 100, ce qui est inférieur au nombre de sessions actuel pour 192.168.1.1, 101.

  2. Supposons que le LAC sélectionne le tunnel 2. Pour l’abonné suivant, le LAC sélectionne de manière aléatoire entre les tunnels 3 et 4, car 192.168.3.3 et 192.168.4.4 ont tous le même nombre de sessions, 100, ce qui est inférieur au nombre de sessions actuel de 101 pour 192.168.1.1 et 192.168.2.2.

  3. Supposons que le LAC sélectionne le tunnel 3. Pour l’abonné suivant, le LAC sélectionne le tunnel 4, car 192.168.4.4 a un nombre de sessions de 100 et toutes les autres destinations ont un nombre de 101.

  4. Désormais, les destinations des quatre tunnels ont le même nombre de sessions. Comme il n’y a que quatre tunnels, le schéma final est établi. Au fur et à mesure que les abonnés continuent de se connecter, le LAC sélectionne d’abord au hasard parmi les quatre tunnels, puis les trois autres, puis la paire restante, et enfin sélectionne le dernier tunnel. Lorsque le nombre de sessions de destination est le même, le LAC redémarre ce schéma.

Dans le scénario 4, le LAC évalue à la fois les limites de session de destination et les limites de session maximale du tunnel :

  • Tunnel 1, niveau de préférence 1, 192.168.1.1, nombre de sessions de destination = 30, limite de sessions maximale du tunnel = 200

  • Tunnel 2, niveau de préférence 1, 192.168.2.2, nombre de sessions de destination = 40, limite de sessions maximale du tunnel = 200

  • Tunnel 3, niveau de préférence 1, 192.168.3.3, nombre de sessions de destination = 300, limite de sessions maximale du tunnel = 1000

  • Tunnel 4, niveau de préférence 2, 192.168.4.4, nombre de sessions de destination = 100

Lorsque le premier utilisateur PPP tente de se connecter au domaine, le LAC sélectionne le tunnel 1, car 192.168.1.1 a le nombre de sessions le plus bas du niveau de préférence.

Lorsque d’autres utilisateurs du PPP tentent de se connecter au domaine, le LAC agit comme suit :

  1. Le LAC continue de sélectionner le tunnel 1 jusqu’à ce que le nombre de sessions de destination pour 192.168.1.1 soit égal à 40, ce qui correspond au nombre de sessions 192.168.2.2 dans le tunnel 2.

  2. Lorsque l’abonné suivant se connecte, le LAC choisit de manière aléatoire entre le tunnel 1 et le tunnel 2, car leurs destinations ont le même nombre de sessions, et il est inférieur à celui du tunnel 3 (300).

  3. Quel que soit le tunnel sélectionné dans cette paire, le nombre de sessions pour sa destination est désormais de 41. L’autre tunnel est sélectionné lorsque l’abonné suivant se connecte, car le nombre de sessions de destination le plus faible est de 40. Le nombre de sessions de destination est ainsi passé à 41, ce qui correspond à celui de l’autre tunnel.

  4. À mesure que les abonnés continuent de se connecter, le LAC répète ce processus en sélectionnant de manière aléatoire entre le tunnel 1 et le tunnel 2 lorsque leur nombre de sessions correspond, puis en sélectionnant l’autre tunnel avec l’abonné suivant, jusqu’à ce que leur nombre de sessions de destination atteigne 200, ce qui correspond à la limite maximale de 200 sessions du tunnel. Les deux tunnels ayant atteint leur limite de session maximale, ils ne peuvent pas être sélectionnés.

  5. À mesure que les abonnés continuent de se connecter, le LAC sélectionne le tunnel restant dans le niveau de préférence, Tunnel 3, jusqu’à ce que le nombre de sessions pour sa destination atteigne la limite maximale de sessions pour le tunnel, 1000.

  6. Lorsque l’abonné suivant se connecte, le LAC passe au niveau de préférence suivant et sélectionne le tunnel 4, car il s’agit du seul tunnel à ce niveau.

  7. À mesure que les abonnés continuent de se connecter, le LAC continue de sélectionner le tunnel 4, car aucune limite de session maximale n’est configurée pour ce tunnel. Le LAC peut ensuite sélectionner un tunnel dans le niveau de préférence supérieur uniquement lorsqu’une session est terminée pour l’un des tunnels de ce niveau, ce qui fait passer son nombre de sessions en dessous de la limite maximale.

Dans le scénario 5, l’une des destinations est verrouillée :

  • Tunnel 1, niveau de préférence 1, 192.168.1.1, nombre de sessions de destination = 100, destination verrouillée

  • Tunnel 2, niveau de préférence 1, 192.168.2.2, nombre de sessions de destination = 200

  • Tunnel 3, niveau de préférence 1, 192.168.3.3, nombre de sessions de destination = 250

Lorsque le premier utilisateur PPP tente de se connecter au domaine, le LAC ne peut pas sélectionner le tunnel 1, même si sa destination a le nombre de sessions le plus faible, car le tunnel est dans l’état de verrouillage de destination. Le tunnel 1 ne peut être pris en compte tant qu’il n’est pas sorti de l’état verrouillé. Le LAC sélectionne le tunnel 2 car le nombre de sessions pour 192.168.2.2 est inférieur à celui de 192.168.3.3.

Lorsque d’autres utilisateurs PPP tentent de se connecter au domaine, la suite dépend du moment où 192.168.1.1 sort de l’état de verrouillage. Tant que l’article 192.168.1.1 est verrouillé, le BAC effectue les sélections comme suit :

  1. Le LAC continue de sélectionner le tunnel 2 jusqu’à ce que le nombre de sessions pour 192.168.2.2 soit égal à 250, ce qui correspond au nombre de sessions 192.168.3.3 dans le tunnel 3.

  2. Lorsque le prochain abonné se connecte, le LAC choisit de manière aléatoire entre le tunnel 2 et le tunnel 3, car leurs destinations ont le même nombre de sessions, 250.

  3. Quel que soit le tunnel sélectionné dans cette paire, le nombre de sessions pour sa destination est désormais de 251. L’autre tunnel est sélectionné lorsque l’abonné suivant se connecte, car le nombre de sessions de destination le plus faible est de 250. Le nombre de sessions de destination est ainsi passé à 251, ce qui correspond à l’autre tunnel.

  4. À mesure que les abonnés continuent de se connecter, le LAC répète ce processus en sélectionnant de manière aléatoire entre le tunnel 2 et le tunnel 3 lorsque leur nombre de sessions correspond, puis en sélectionnant l’autre tunnel avec l’abonné suivant.

Chaque fois que 192.168.1.1 sort de l’état de verrouillage, le LAC sélectionne le tunnel 1 pour l’abonné suivant, car 192.168.1.1 a le nombre de sessions le plus faible. Le LAC continue ainsi jusqu’à ce que le nombre de sessions pour 192.168.1.1 corresponde au nombre de sessions actuel pour l’une des autres destinations. À partir de ce moment, le LAC effectue une sélection aléatoire entre les tunnels dont le nombre de sessions de destination correspond à tour de rôle, puis sélectionne le tunnel ayant le nombre le plus faible.

Chaque fois que 192.168.1.1 émerge de l’état de lock-out,

  1. Le LAC sélectionne le tunnel 1 pour l’abonné suivant, car 192.168.1.1 a le nombre de sessions le plus faible.

  2. Le LAC continue de sélectionner le tunnel 1 jusqu’à ce que le nombre de sessions pour 192.168.1.1 corresponde au nombre de sessions actuel pour l’une des autres destinations.

  3. À partir de ce moment, le LAC effectue une sélection aléatoire entre les tunnels dont le nombre de sessions de destination correspond à tour de rôle, puis sélectionne le tunnel ayant le nombre le plus faible.

Présentation des limites de session L2TP

Lorsqu’une demande de session L2TP est lancée, le LNS ou le LAC vérifie le nombre de sessions actives actuelles par rapport au nombre maximal de sessions autorisées pour le châssis, les tunnels, un groupe de tunnels, un client (équipement hôte demandeur) ou un groupe de clients. Les nouvelles demandes de session sont rejetées lorsque la limite de session configurée est atteinte.

Lorsqu’une session est demandée, le LNS vérifie les limites de session dans l’ordre suivant :

Châssis > tunnel > tunnel groupe > groupe à limite de session > client

À chaque niveau, le LNS détermine si le nombre de sessions en cours est inférieur à la limite configurée. Lorsque c’est le cas ou qu’aucune limite n’est configurée, la vérification passe et le LNS passe à la vérification du niveau suivant. Si, à un niveau quelconque, le nombre de sessions en cours est égal à la limite configurée, le LNS rejette la demande de session et ne coche aucun autre niveau. Sinon, la session peut être établie.

Lorsqu’une demande de session est rejetée pour un tunnel existant, un message CDN (Call-Disconnect-Notify) avec un code de résultat et un code d’erreur tous deux définis sur 4 est renvoyé en réponse à la demande d’appel entrant (ICRQ). Lorsque la demande rejetée concerne un nouveau tunnel, le tunnel est établi, mais la session n’arrive pas, ce qui entraîne l’arrêt du tunnel car il n’a pas de sessions.

Le LAC effectue la même vérification, mais uniquement au niveau du châssis et du tunnel. Le LAC rejette les demandes en renvoyant un message de fin PPP au client.

Vous pouvez configurer des limites de session pour le châssis, tous les tunnels, un groupe de tunnels, un groupe de clients ou un client individuel. Les scénarios suivants décrivent ce qui se passe pour différentes configurations de limites de session.

Scénario 1 : Limite de châssis

Dans le tableau 1, le nombre actuel de sessions L2TP est de 10 000 et la limite de sessions est configurée à 10 000 à tous les niveaux. Lorsqu’une nouvelle session est demandée, la première vérification au niveau du châssis échoue, car le nombre de sessions en cours correspond à la limite configurée. Aucune autre vérification n’est effectuée aux autres niveaux et la demande de session est rejetée. Aucune nouvelle session n’est autorisée à quelque niveau que ce soit tant que le nombre de sessions actuel n’est pas inférieur à 10 000.

Tableau 1 : Scénario 1, limite de châssis

Niveau

Limite de session configurée

Nombre de sessions actuel affiché par show services l2tp summary commande

Résultat de la vérification des limites de session

Châssis

10,000

10,000

Échec

Tunnel A

10,000

10,000

Groupe de tunnels B

10,000

10,000

Groupe de limite de session

10,000

10,000

Maître d’ouvrage

10,000

10,000

Scénario 2 : Limite de tunnel

Dans le Tableau 2, le nombre actuel de sessions L2TP est de 2000. Lorsqu’une nouvelle session est demandée, la première vérification au niveau du châssis réussit, car la limite configurée autorise jusqu’à 10 000 sessions sur le châssis, mais seulement 2 000 sessions sont actuellement actives. La vérification suivante, au niveau tunnel, échoue, car le nombre de sessions actuel correspond à la limite configurée tunnel à la limite de 2000 pour tunnel A.

Aucune autre vérification n’est effectuée aux autres niveaux et la demande de session est rejetée.

Tableau 2 : Scénario 2, limite de tunnel

Niveau

Limite de session configurée

Nombre de sessions actuel affiché par show services l2tp summary commande

Résultat de la vérification des limites de session

Châssis

10,000

2000

Réussite

Tunnel A

2000

2000

Échec

Groupe de tunnels B

10,000

2000

Groupe de limite de session

6000

2000

Maître d’ouvrage

6000

2000

Aucune nouvelle session n’est autorisée sur le tunnel A tant que son nombre actuel de sessions n’est pas inférieur à 2000 et que la vérification de session ne peut pas passer. Si cela se produit, les contrôles de l’autre niveau réussissent dans ce scénario car leurs limites configurées sont supérieures à leur nombre actuel.

La limite de sessions de 2000 s’applique à tous les tunnels ; En d’autres termes, chaque tunnel actif a une limite indépendante de 2 000 sessions. La défaillance d’un tunnel n’a aucun effet sur les autres tunnels. Une demande de session sur un autre tunnel passe, tant que le nombre de sessions actuel pour ce tunnel est inférieur à 2000.

Scénario 3 : Limite de groupe de tunnels

Dans le tableau 3, le nombre actuel de sessions L2TP est de 2000. Lorsqu’une nouvelle session est demandée, la première vérification au niveau du châssis réussit, car la limite configurée autorise jusqu’à 10 000 sessions sur le châssis, mais seulement 2 000 sessions sont actuellement actives. La deuxième vérification, au niveau du tunnel, passe également pour la même raison. La vérification suivante, au niveau du groupe de tunnels pour le groupe de tunnels B, échoue, car le nombre de sessions actuel pour le groupe de tunnels B correspond à la limite configurée du groupe de tunnels de 2000.

Aucune autre vérification n’est effectuée aux autres niveaux et la demande de session est rejetée.

Tableau 3 : Scénario 3, limite de groupe de tunnels

Niveau

Limite de session configurée

Nombre de sessions actuel affiché par show services l2tp summary commande

Résultat de la vérification des limites de session

Châssis

10,000

2000

Réussite

Tunnel A

10,000

2000

Réussite

Groupe de tunnels B

2000

2000

Échec

Groupe de limite de session

6000

2000

Maître d’ouvrage

6000

2000

Aucune nouvelle session n’est autorisée sur le groupe de tunnels B tant que le nombre de sessions actuel n’est pas inférieur à 2000 et que la vérification de session n’est pas acceptée. Si cela se produit, les contrôles de l’autre niveau peuvent passer car leurs limites configurées sont supérieures à leurs nombres actuels.

Pour les groupes de tunnels, la limite de sessions est configurée par groupe ; En d’autres termes, vous ne pouvez pas spécifier une limite unique qui s’applique à tous les groupes de tunnels. La défaillance d’un groupe de tunnels n’a aucun effet sur les autres groupes de tunnels. Dans ce scénario, une demande de session sur un autre groupe de tunnels est transmise si le nombre de sessions en cours pour ce groupe est inférieur à la limite de sessions configurée.

Scénario 4 : limite de groupe de session

Dans le tableau 4, le nombre actuel de sessions L2TP est de 6000. Lorsqu’une nouvelle session est demandée, la vérification passe pour le châssis, le tunnel et le groupe de tunnels, car la limite configurée pour chacun autorise jusqu’à 10 000 sessions, mais seulement 6 000 sessions sont actuellement actives. La vérification au niveau du groupe de limite de session échoue, car le nombre de sessions actuel pour le groupe de limite de session slg1 correspond à la limite configurée de 6000.

Aucune autre vérification n’est effectuée au niveau restant et la demande de session est rejetée.

Tableau 4 : Scénario 4, limite de groupe de limite de session

Niveau

Limite de session configurée

Nombre de sessions actuel affiché par show services l2tp summary commande

Résultat de la vérification des limites de session

Châssis

10,000

6000

Réussite

Tunnel A

10,000

6000

Réussite

Groupe de tunnels B

10,000

6000

Réussite

Groupe de limite de session slg1

6000

6000

Échec

Maître d’ouvrage

8000

2000

Aucune nouvelle session n’est autorisée pour les clients du groupe de limite de session slg1 tant que le nombre de sessions actuel du groupe n’est pas inférieur à 6000 et que la vérification de session peut réussir. Si cela se produit, la vérification de niveau restante peut passer car sa limite configurée est supérieure à son nombre actuel.

Vous pouvez reconfigurer un groupe de limite de session en supprimant ou en ajoutant des clients sans affecter les sessions en cours. La reconfiguration affecte le nombre de sessions disponibles à établir pour le groupe de clients.

  • Si vous supprimez un client, le nombre de nouvelles sessions qui peuvent être établies augmente du nombre de sessions actuelles de ce client.

  • Si vous ajoutez un client, le nombre de nouvelles sessions pouvant être établies est réduit du nombre de sessions actuelles de ce client. Le nouveau total de sessions en cours pour les clients existants plus le nouveau client peut dépasser la limite configurée pour le groupe de limite de session. Dans ce cas, aucune session n’est abandonnée, mais aucune nouvelle session ne peut être établie tant que le nombre de sessions ne tombe pas en dessous de la limite de groupe configurée.

Pour approfondir cette question, considérez la séquence d’événements suivante :

  1. Le groupe de limite de sessions slg1 a deux clients, ent1-serviceA avec un nombre de sessions actuel de 3500 et ent1-serviceB avec un nombre de sessions actuel de 0. Le groupe slg1 étant limité à 6 000 sessions, vous ne pouvez pas ajouter plus de 2 500 sessions pour ces clients :

    6000 - 3500 = 2500

  2. Ensuite, 1000 sessions sont connectées pour le client ent1-service B. Désormais, pas plus de 1500 sessions peuvent être ajoutées pour ces clients :

    6 000 - (3 500 + 1 000) = 1 500

  3. Ensuite, supposons que vous supprimiez le client ent1-serviceA du groupe session-limit. La capacité des sessions de groupe passe à 5000 sessions :

    6000 - 1000 = 5000

  4. Enfin, vous ajoutez un nouveau client, ent1-serviceC, au groupe session-limit. Ce nouveau client compte actuellement 8000 sessions actives. Dans ce cas, le groupe session-limit compte désormais 9000 sessions :

    1000 + 8000 = 9000

    Aucune session n’est abandonnée même si la limite maximale de sessions pour le groupe, 6000, est dépassée. Aucune nouvelle session ne peut être ajoutée tant que le nombre de sessions n’est pas passé de 9 000 à moins de 6 000.

Scénario 5 : Limite de clients individuels

Dans le Tableau 5, la vérification de session passe pour le châssis, le tunnel et le groupe de tunnels, car leurs limites configurées sont supérieures à leur nombre de sessions actuel. Le client, ent1-serviceA, n’appartient pas à un groupe de limitation de session. La vérification de limite échoue pour le client car son nombre de sessions actuel correspond à la limite configurée de 6000.

Tableau 5 : Scénario 5, limite de clients individuels

Niveau

Limite de session configurée

Nombre de sessions actuel affiché par show services l2tp summary commande

Résultat de la vérification des limites de session

Châssis

10,000

6000

Réussite

Tunnel A

10,000

6000

Réussite

Groupe de tunnels B

8000

6000

Réussite

Client ent1-serviceA

6000

6000

Échec

Aucune nouvelle session n’est autorisée pour ce client tant que son nombre de sessions actuel n’est pas inférieur à 6000 et que la vérification de session peut réussir. La défaillance d’un client indépendant n’a aucun effet sur les autres clients. Dans ce scénario, une demande de session pour tout autre client indépendant est transmise si le nombre de sessions en cours pour ce client est inférieur à sa limite de session configurée.

La limite de session que vous définissez pour un client individuel (qui ne fait pas partie d’un groupe de limite de session) s’applique par groupe de tunnel. Plusieurs LAC avec le même nom d’hôte source, mais des adresses IP sources différentes, sont traités comme le même client.

Supposons que vous ayez trois LAC, A, B et C. Tous les trois ont le même nom d’hôte source, ce-lac. LAC A et LAC B établissent des sessions avec un LNS via l’adresse de passerelle associée au groupe de tunnels 1. LAC C établit les sessions via une passerelle différente associée au groupe de tunnels 2. Les LAC ayant le même nom d’hôte, la configuration du client est la même pour les trois. Toutefois, la limite de session client s’applique différemment aux LAC en raison des groupes de tunnels.

Supposons que la limite de sessions client soit de 100. Étant donné que LAC A et LAC B créent tous deux des sessions dans le groupe de tunnels 1, ils doivent partager la limite de clients. Cela signifie que le nombre total de sessions autorisées pour LAC A et LAC B combinés est de 100.

LAC C crée des sessions dans un autre groupe de tunnels, 2. Étant donné que la limite de sessions client s’applique par groupe de tunnels, LAC C a droit à 100 sessions, quel que soit le nombre de sessions déjà établies par LAC A et LAC B.

Limitation du nombre de sessions L2TP autorisées par le LAC ou le LNS

Vous pouvez limiter le nombre maximal de sessions L2TP autorisées pour le châssis, tous les tunnels, un groupe de tunnels, un groupe de clients, un client individuel, une interface de service individuelle ou une interface de service agrégée. Les nouvelles demandes de session sont rejetées par le LNS ou le LAC lorsque la limite de session configurée est atteinte. Les demandes de session sont également rejetées lorsque la limite maximale du châssis est atteinte, même si une limite configurée n’est pas dépassée. Les limites de session configurables permettent de contrôler précisément le nombre de sessions qu’un client peut avoir lorsqu’il est connecté via des LAC situés à plusieurs endroits.

Remarque :

Vous ne pouvez pas définir la limite pour qu’elle soit supérieure à la limite maximale par défaut pour le châssis.

Pour limiter le nombre de sessions autorisées sur un châssis (LAC ou LNS) :

  • Configurez le nombre maximal de sessions.

Pour limiter le nombre de sessions par tunnel pour tous les tunnels (LAC ou LNS) :

  • Configurez le nombre maximal de sessions.

    Vous ne pouvez pas définir la limite à plus de 65 535 sessions.

Pour limiter le nombre de sessions pour tous les tunnels d’un groupe de tunnels (LNS) spécifique :

  • Configurez le nombre maximal de sessions.

Pour limiter le nombre de sessions autorisées sur une interface de service individuelle :

  • Configurez le nombre maximal de sessions.

Pour limiter le nombre de sessions autorisées sur une interface de service agrégée individuelle :

  • Configurez le nombre maximal de sessions.

    Remarque :

    La configuration s’applique à toutes les interfaces membres ; La limite ne peut pas être configurée pour les interfaces membres individuelles de l’interface de service agrégée.

Pour limiter le nombre de sessions d’un groupe de clients (LNS) :

  1. Configurez le nombre maximal de sessions.
  2. Associez un client au groupe de limite de session.

Pour limiter le nombre de sessions d’un client qui n’est pas membre d’un groupe de limitation de session (LNS) :

  • Configurez le nombre maximal de sessions.

Remarque :

La configuration de la limite de sessions à n’importe quel niveau pour qu’elle soit inférieure au nombre de sessions qui existent actuellement à ce niveau n’a aucun effet sur les sessions existantes. La nouvelle limite s’applique uniquement si le nombre de sessions tombe en dessous de la nouvelle limite.

Vous pouvez utiliser la show services l2tp summary extensive commande pour afficher la limite de sessions configurée pour un tunnel :

La limite affichée pour les sessions configurées est définie sur la plus basse des valeurs de session configurées suivantes :

  • Global (châssis)—(LAC et LNS) set services l2tp tunnel maximum-sessionsnumber

  • Profil de tunnel (tunnel individuel) : (LAC et LNS) set access tunnel-profile profile-name tunnel tunnel-idmax-sessionsnumber]

  • RADIUS—(LAC et LNS) Valeur de VSA 26–33, tunnel-max-sessions

  • Profil d’hôte : (LNS uniquement) set access profile profile-name client client-name l2tp maximum-sessions-per-tunnel

Les valeurs configurées déterminent la valeur de champ à partir des versions de Junos OS suivantes : 19.2R3, 19.3R3, 19.4R3, 20.1R2, 20.2R2 et 20.3R1. Dans les versions antérieures, le champ affiche la valeur du profil d’hôte pour le LNS, mais il affiche une valeur fixe de 512 000 pour le LAC.

Remarque :

Après un GRES, un ISSU unifié ou un redémarrage du processus jl2tpd, la valeur de ce champ n’est exacte qu’après l’apparition d’une nouvelle session sur le tunnel. Jusqu’à ce que cela se produise, le champ affiche une valeur de 65 535 au lieu de la valeur configurée.

Supposons que vous ayez deux tunnels, le tunnel A et le tunnel B. Un GRES a lieu, et le champ pour chaque tunnel en affiche 65 535. Lorsqu’une nouvelle session arrive sur le tunnel B, la valeur de ce tunnel est mise à jour sur la valeur configurée. Pour le tunnel A, le champ continue d’afficher 65 535 jusqu’à ce que ce tunnel obtienne une nouvelle session.

Définition du format du nom du tunnel

Par défaut, le nom d’un tunnel correspond au Tunnel-Assignment-Id [82] renvoyé par le serveur AAA. Vous pouvez éventuellement configurer le LAC pour utiliser plus d’éléments dans la construction d’un nom de tunnel en incluant l’instruction assignment-id-format client-server-id au niveau de la [edit services l2tp tunnel] hiérarchie. Ce format utilise trois attributs : Tunnel-Client-Auth-Id [90], Tunnel-Server-Endpoint [67] et Tunnel-Assignment-Id [82]. Ces attributs correspondent, respectivement, aux valeurs configurées dans le profil de tunnel pour le nom LAC (passerelle source), l’adresse du point de terminaison du tunnel (passerelle distante) sur le LNS et l’ID de tunnel.

Une conséquence du format est que le LAC crée automatiquement un nouveau tunnel lorsque le serveur AAA renvoie un Tunnel-Client-Auth-Id différent de client-server-id celui précédemment renvoyé.

Remarque :

Avant de revenir à une version antérieure de Junos OS qui ne prend pas en charge cette instruction, nous vous recommandons d’annuler explicitement la configuration de la fonctionnalité en l’incluant no assignment-id-format assignment-id au niveau de la [edit services l2tp tunnel] hiérarchie.

Pour modifier la mise en forme du nom du tunnel :

  • Configurez le format.

Configuration d’un profil de tunnel pour l’accès abonné

Le profil de tunnel spécifie un ensemble d’attributs pour caractériser le tunnel. Le profil peut être appliqué par un mappage de domaine ou automatiquement lors de la création du tunnel.

Remarque :

Les attributs RADIUS et les VSA peuvent remplacer les valeurs configurées par un profil de tunnel dans une carte de domaine. En l’absence de carte de domaine, RADIUS peut fournir toutes les caractéristiques d’un tunnel. Les étapes de la procédure suivante répertorient l’attribut ou VSA standard RADIUS correspondant que vous pouvez configurer sur votre serveur RADIUS pour modifier ou configurer le profil de tunnel.

Les attributs fournis par RADIUS sont associés à un tunnel par une balise portée dans l’attribut, qui correspond à l’identifiant du tunnel. Une balise de 0 indique que la balise n’est pas utilisée. Si L2TP reçoit un attribut RADIUS avec une balise de 0, l’attribut ne peut pas être fusionné avec la configuration de profil de tunnel correspondant au domaine d’abonné, car un profil de tunnel ne peut pas fournir une balise de tunnel (identificateur de tunnel) de 0. Seules les balises comprises entre 1 et 31 sont prises en charge.

Pour configurer une définition de tunnel pour un profil de tunnel :

  1. Spécifiez le profil de tunnel pour lequel vous définissez un tunnel. (Groupe Tunnel [26-64])
  2. Spécifiez un identifiant (nom) pour la connexion de contrôle L2TP pour le tunnel.
  3. Configurez l’adresse IP du point de terminaison de tunnel L2TP local, le LAC. (tunnel-client-point de terminaison [66])
  4. Configurez l’adresse IP du point de terminaison de tunnel L2TP distant, le LNS. (point de terminaison de serveur de tunnel [67])
  5. (Facultatif) Configurez le niveau de préférence pour le tunnel. (Préférence de tunnel [83])
  6. (Facultatif) Configurez le nom d’hôte du client local (LAC). (tunnel-client-auth-id [90])
  7. (Facultatif) Configurez le nom d’hôte du serveur distant (LNS). (tunnel-server-auth-id [91])
  8. (Facultatif) Spécifiez le type de support (réseau) du tunnel. (Type moyen de tunnel [65])
  9. (Facultatif) Spécifiez le type de protocole du tunnel. (Type de tunnel [64])
  10. (Facultatif) Configurez l’ID d’affectation pour le tunnel. (ID d’affectation de tunnel [82])
  11. (Facultatif) Configurez le nombre maximal de sessions autorisées dans le tunnel. (Tunnel-max-sessions [26-33])
  12. (Facultatif) Configurez le mot de passe pour l’authentification du serveur distant. (Attribut RADIUS standard Tunnel-Password [69] ou VSA Tunnel-Password [26-9])
  13. (Facultatif) Configurez le système logique à utiliser pour le tunnel.

    Si vous configurez un système logique, vous devez également configurer une instance de routage.

  14. (Facultatif) Configurez l’instance de routage à utiliser pour le tunnel. (Tunnel-routeur-virtuel [26-8])

    Si vous configurez une instance de routage, la configuration d’un système logique est facultative.

  15. (Facultatif) Activez le LAC pour interagir avec les périphériques LNS Cisco. (Méthode tunnel-nas-port [26-30])

L’exemple suivant montre une configuration complète pour un profil de tunnel :

Configuration des paramètres de sélection du tunnel L2TP LAC

Lorsque le LAC détermine qu’une session PPP doit être tunnelisée, il sélectionne un tunnel dans l’ensemble des tunnels associés à l’utilisateur PPP ou au domaine de l’utilisateur PPP. Vous pouvez configurer la manière dont un tunnel est sélectionné et si certaines informations sont envoyées par le LAC au LNS.

Pour configurer les paramètres de sélection du tunnel :

  1. (Facultatif) Configurez la façon dont un tunnel est sélectionné lorsqu’une tentative de connexion échoue.

    Consultez Configuration du basculement de la sélection de tunnel LAC dans un niveau de préférence.

  2. (Facultatif) Configurez la façon dont les sessions sont équilibrées entre les tunnels.

    Voir Configuration de l’équilibrage de charge pondéré pour les sessions de tunnel BAC.

  3. (Facultatif) Configurez les sessions pour qu’elles soient équilibrées entre les tunnels dans un niveau de préférence, en répartissant les sessions de manière égale entre tous les tunnels.

    Consultez Configuration de l’équilibrage de charge à destination égale pour les sessions de tunnel BAC.

Configuration du basculement de la sélection de tunnel LAC dans un niveau de préférence

Vous pouvez configurer la façon dont la sélection du tunnel LAC se poursuit en cas d’échec de connexion. Par défaut, lorsque le routeur ne peut pas se connecter à une destination à un niveau de préférence donné, il tente de se connecter au niveau inférieur suivant. Vous pouvez spécifier que le routeur tente plutôt de se connecter à une autre destination au même niveau que la tentative infructueuse.

Si toutes les destinations d’un niveau de préférence sont marquées comme inaccessibles, le routeur ne tente pas de se connecter à une destination de ce niveau. Il passe au niveau de préférence inférieur suivant pour sélectionner une destination.

Si toutes les destinations de tous les niveaux de préférence sont marquées comme inaccessibles, le routeur choisit la destination qui a échoué en premier et tente d’établir une connexion. Si la connexion échoue, le routeur rejette la session utilisateur PPP sans tenter de contacter le routeur distant.

Par exemple, supposons qu’il existe quatre tunnels pour un domaine : A, B, C et D. Tous les tunnels sont considérés comme accessibles et les niveaux de préférence sont attribués comme suit :

  • A et B à la préférence 0

  • C et D à la préférence 1

Lorsque le routeur tente de se connecter au domaine, supposons qu’il sélectionne de manière aléatoire le tunnel B dans la préférence 0. S’il ne parvient pas à se connecter au tunnel B, le routeur exclut le tunnel B pendant cinq minutes et tente de se connecter au tunnel A. Si cette tentative échoue également, le routeur passe à la préférence 1. Supposons ensuite que le routeur sélectionne le tunnel C. S’il ne parvient pas non plus à se connecter au tunnel C, le routeur exclut le tunnel C pendant cinq minutes et tente de se connecter au tunnel D.

Vous configurez le niveau de préférence utilisé pour cette méthode de sélection de tunnel dans le profil de tunnel ou l’attribut RADIUS Tunnel-Preference [83].

Pour activer le basculement de la sélection de tunnel dans un niveau de préférence :

  • Spécifiez le basculement selon vos préférences.

Configuration de l’équilibrage de charge pondéré pour les sessions de tunnel LAC

Par défaut, le LAC L2TP sélectionne des tunnels pour les nouvelles sessions de manière aléatoire à partir du niveau de préférence le plus élevé disponible. Vous pouvez configurer le LAC pour distribuer les sessions entre les tunnels au niveau de préférence le plus élevé disponible en évaluant le poids de chaque tunnel. Cette méthode est connue sous le nom d’équilibrage de charge pondéré. Le poids d’un tunnel est proportionnel à sa limite de session maximale et aux limites de session maximales des autres tunnels au même niveau de préférence. Lorsque vous configurez la équilibrage de charge pondérée, le LAC sélectionne toujours les tunnels de manière aléatoire dans un niveau de préférence, mais en moyenne, les sessions sont réparties entre les tunnels en fonction des pondérations tunnel.

Pour configurer l’équilibrage de charge pondéré :

  • Spécifiez l’équilibrage de charge.

Configuration de l’équilibrage de charge à destination égale pour les sessions de tunnel LAC

Par défaut, le LAC L2TP sélectionne des tunnels pour les nouvelles sessions de manière aléatoire à partir du niveau de préférence le plus élevé disponible. À partir de la version 15.1 de Junos OS, vous pouvez configurer le LAC pour distribuer les sessions de manière égale entre tous les tunnels au niveau de préférence le plus élevé disponible en évaluant le nombre de sessions vers les destinations et le nombre de sessions acheminées par les tunnels. Cette méthode de distribution est connue sous le nom d’équilibrage de charge égal destination. Le LAC sélectionne le tunnel avec la charge la plus légère, selon les directives suivantes :

  • Lorsque chaque tunnel mène à une destination distincte et qu’une seule destination a le nombre de sessions le plus faible parmi toutes les destinations, le LAC sélectionne le tunnel vers cette destination.

  • Lorsque chaque tunnel mène à une destination distincte et que plusieurs destinations ont le même nombre de sessions le plus bas, le LAC sélectionne un tunnel au hasard parmi les tunnels vers ces destinations.

  • Lorsque plusieurs tunnel se rendent à la même destination et que cette destination a le nombre de sessions de destination le plus faible, le LAC sélectionne parmi ces tunnels celui qui a le plus petit nombre total de sessions tunnel. Si le nombre de sessions de tunnel est le même pour tous ces tunnels, le LAC sélectionne l’un d’entre eux au hasard.

Pour configurer l’équilibrage de charge à destination égale :

  • Spécifiez l’équilibrage de charge à destination égale.

Activation du LAC pour les services IPv6

Vous pouvez configurer le LAC pour créer la famille d’adresses IPv6 (inet6) lors de la tunnelisation des abonnés vers le LNS. Les filtres de pare-feu IPv6 peuvent ensuite être appliqués par les services de la LAC au trafic des abonnés. Par défaut, le LAC n’a besoin que de la famille inet pour activer le transfert dans un tunnel IP. Le LAC peut appliquer des filtres de pare-feu IPv4 à la session. Même lorsque la famille inet6 est incluse dans le profil dynamique, elle n’est pas créée par défaut afin de conserver les ressources, car elle n’est pas nécessaire. Par conséquent, les filtres de pare-feu IPv6 ne peuvent pas être appliqués.

Pour permettre la création d’une famille d’adresses IPv6 et l’application de filtres de pare-feu IPv6 :

  • Configurer l’activation.

Vous pouvez utiliser la show services l2tp summary commande pour afficher si l’instruction est activée ou désactivée.

Test des configurations de tunnel L2TP à partir du LAC

Vous pouvez tester les configurations de tunnel L2TP sur le lac ainsi que l’authentification et la tunnelisation des abonnés sans utiliser un utilisateur PPP et un tunnel associé.

Exécutez la test services l2tp tunnel commande à partir d’CLI mode opérationnel pour mapper un abonné à un tunnel L2TP, vérifier la configuration du tunnel L2TP (à la fois localement sur le LAC et sur un serveur back-end tel qu’un serveur RADIUS) et vérifier que les tunnels L2TP du LAC peuvent être établis avec le LNS distant.

L’implémentation LAC Junos OS vous permet de configurer plusieurs tunnels, parmi lesquels un tunnel est choisi pour tunneliser un abonné PPP. Vous pouvez utiliser la test services l2tp tunnel commande pour tester toutes les configurations de tunnel possibles afin de vérifier que chacune peut être établie. Vous pouvez également tester un tunnel spécifique pour l’abonné.

Vous devez spécifier un nom d’utilisateur d’abonné configuré lorsque vous exécutez la commande. Le test génère un mot de passe factice (testpass) pour l’abonné, ou vous pouvez éventuellement spécifier le mot de passe. Le test vérifie si l’abonné identifié par ce nom d’utilisateur peut être tunnelisé conformément à la configuration du tunnel. Si l’abonné peut être tunnelisé, le test vérifie si le tunnel L2TP peut être établi avec le LNS conformément à la configuration L2TP.

Vous pouvez éventuellement spécifier un ID de tunnel, auquel cas seul ce tunnel est testé ; Le tunnel doit déjà être configuré pour ce nom d’utilisateur. Si vous omettez cette option, le test est appliqué à l’ensemble des configurations de tunnel renvoyées pour le nom d’utilisateur. L’ID de tunnel que vous spécifiez est le même que celui utilisé par Tunnel-Assignment-Id (attribut RADIUS 82) et spécifié par l’instruction identification dans le profil de tunnel.

Pour tester l’authentification des abonnés et la configuration du tunnel :

  • Spécifiez uniquement le nom d’utilisateur.

    Exemple 1 :

    L’utilisateur a échoué à s’authentifier avec le mot de passe généré et n’a donc pas été tunnelisé.

    Exemple 2 :

    Cet utilisateur a été authentifié avec le mot de passe généré et a réussi à tunneliser. Un ensemble de tunnels a été associé à ce nom d’utilisateur et l’ensemble a été testé.

  • Spécifiez le nom d’utilisateur et le mot de passe configuré de l’utilisateur.

    L’abonné était authentifié. Cependant, l’utilisateur était terminé localement plutôt que tunnelisé ; Cela signifie qu’aucun tunnel n’a été associé à l’utilisateur.

  • Spécifiez le nom d’utilisateur et un tunnel particulier pour l’abonné.

    L’abonné a été authentifié et tunnelisé. Le tunnel spécifié a été trouvé pour l’abonné et le tunnel a été établi, confirmant la configuration du tunnel.

  • Spécifiez le nom d’utilisateur, le mot de passe configuré de l’utilisateur et un tunnel.

    L’abonné a été authentifié et tunnelisé. L’absence d’informations sur le tunnel dans la sortie indique que la configuration de tunnel spécifiée n’existe pas.

Documentation connexe

Tableau de l’historique des modifications

La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.

Libération
Descriptif
20.3R1
Les valeurs configurées déterminent la valeur de champ à partir des versions de Junos OS suivantes : 19.2R3, 19.3R3, 19.4R3, 20.1R2, 20.2R2 et 20.3R1.
15.1
À partir de la version 15.1 de Junos OS, vous pouvez configurer le LAC pour distribuer les sessions de manière égale entre tous les tunnels au niveau de préférence le plus élevé disponible en évaluant le nombre de sessions vers les destinations et le nombre de sessions acheminées par les tunnels.