このページの内容
L2TP LNSインラインサービスインターフェイス
インラインサービスインターフェイスを使用したL2TP LNSの設定
設定を開始する前に、L2TP LNS機能ライセンスをインストールする必要があります。それ以外の場合は、設定がコミットされたときに警告メッセージが表示されます。
インラインサービスインターフェイスを持つL2TP LNSを設定するには:
また、LNSセッションにCoSを設定する必要があります。詳細については、 L2TP LNSインラインサービス向け動的CoSの設定を参照してください。
インラインサービスインターフェイスごとのL2TP LNS加入者へのPPP属性の適用
インラインサービス(si)インターフェイス上のLNSによって、LACからトンネリングされたPPP加入者に適用されるPPP属性を設定することができます。ユーザーグループプロファイルではなく、インターフェイスごとに属性を設定するため、加入者の属性をより細かく変更できます。この設定は、終了したPPPoE加入者に使用される設定と一致します。
動的に作成されるsiインターフェイスのPPP属性を設定するには:
静的に作成されたsiインターフェイスのPPP属性を設定するには:
論理インライン サービス インターフェイスを指定します。
[edit interfaces si-slot/pic/port] user@host# edit unit logical-unit-number
LNSで終端するL2TPトンネルのPPPキープアライブメッセージ間の間隔を設定します。
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set keepalives interval seconds
ネットワークがリンクを停止する前に、宛先が受信できないキープアライブパケットの数を設定します。
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set keepalives down-count number
注:通常、
keepalives up-countオプションは加入者管理には使用されません。LNSでトンネル化されたPPP加入者に適用されるPPP認証方法を設定します。
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set ppp-options chap user@host# set ppp-options pap
LNSでのトンネル化されたPPP加入者に対するIPCPネゴシエーション中に、カスタマー構内機器(CPE)にプライマリとセカンダリの両方のDNSアドレスをネゴシエートするように促すようにルーターを設定します。
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set ppp-options ipcp-suggest-dns-option
chapやpapに従属するものを含め、ppp-optionsに従属する他のすべてのステートメントはサポートされていますが、通常は加入者管理には使用されません。これらのその他のステートメントは、デフォルト値のままにしておくことをお勧めします。
また、ユーザーグループプロファイルでPPP属性を設定し、LACクライアントでそのプロファイルを持つすべての加入者に属性を適用することもできます。詳細については、「 ユーザーグループプロファイルを持つL2TP LNS加入者へのPPP属性の適用」 を参照してください。siインターフェイスとユーザーグループプロファイルの両方でL2TP LNS加入者のPPP属性を設定する場合、インラインサービスインターフェイス設定がユーザーグループプロファイル設定よりも優先されます。
グループプロファイルと動的プロファイルの両方でPPPオプションが設定されている場合、動的プロファイルにグループプロファイルで設定可能なPPPオプションが1つ以上含まれている場合、動的プロファイル設定がグループプロファイルよりも完全に優先されます。完全な優先順位は、プロファイル間でオプションのマージがないことを意味します。グループプロファイルは、動的プロファイルにグループプロファイルで利用可能なPPPオプションが含まれていない場合にのみ、加入者に適用されます。
ユーザーグループプロファイルを持つL2TP LNS加入者へのPPP属性の適用
LNSがLACからトンネリングされたPPP加入者にPPP属性を適用できるようにするユーザーグループプロファイルを設定できます。ユーザーグループプロファイルは、L2TPアクセスプロファイルのクライアント(LAC)に関連付けられています。その結果、特定のクライアントによって処理されるすべての加入者は、同じPPP属性を共有します。
ユーザーグループプロファイルを設定するには:
また、インターフェイスごとにPPP属性を設定することもできます。詳細については、「 インラインサービスインターフェイスごとのL2TP LNS加入者へのPPP属性の適用 」を参照してください。siインターフェイスとユーザーグループプロファイルの両方でL2TP LNS加入者のPPP属性を設定する場合、インラインサービスインターフェイス設定がユーザーグループプロファイル設定よりも優先されます。
グループプロファイルと動的プロファイルの両方でPPPオプションが設定されている場合、動的プロファイルにグループプロファイルで設定可能なPPPオプションが1つ以上含まれている場合、動的プロファイル設定がグループプロファイルよりも完全に優先されます。完全な優先順位は、プロファイル間でオプションのマージがないことを意味します。グループプロファイルは、動的プロファイルにグループプロファイルで利用可能なPPPオプションが含まれていない場合にのみ、加入者に適用されます。
LNSでのL2TPアクセスプロファイルの設定
アクセスプロファイルは、レイヤー2トンネリングプロトコル(L2TP)接続とセッションリクエストを検証する方法を定義します。各L2TPアクセスプロファイル内で、1つ以上のクライアント(LAC)を設定します。クライアント特性は、一致するパスワードを持つLACを認証し、クライアントトンネルとセッションの属性を確立するために使用されます。複数のアクセスプロファイルと、各プロファイル内で複数のクライアントを設定できます。
L2TPアクセスプロファイルを設定するには:
LNSでのAAAローカルアクセスプロファイルの設定
一部のLNSトンネルでは、特定のRADIUSサーバー設定で、トンネルをホストするルーティングインスタンスで設定されたトンネルを上書きすることができます。ローカルアクセスプロファイルを設定することで、ローカルアクセスプロファイルを設定できます。その後、 aaa-access-profile ステートメントを使用して、ローカルアクセスプロファイルをトンネルグループまたはLACクライアントに適用できます。
クライアントに適用されたローカルアクセスプロファイルは、トンネルグループに適用されたローカルアクセスプロファイルを上書きし、これによりルーティングインスタンスのアクセスプロファイルが上書きされます。
AAAローカルアクセスプロファイルを設定するには:
インラインサービスを使用したL2TP LNSのアドレス割り当てプールの設定
トンネル化されたPPP加入者に動的に割り当てることができるアドレスのプールを設定することができます。プールは、加入者が立ち上がるルーティングインスタンスに対してローカルになければなりません。設定されたプールは、RADIUS Framed-Pool属性とFramed-IPv6-Pool属性で提供されます。Framed-IP-Address が RADIUS によって送信される場合、プールはオプションです。
アドレス割り当てプールを設定するには、プールの名前を指定し、プールのアドレスを設定する必要があります。
オプションで、アドレス割り当てプール内のアドレスの名前付き範囲またはサブセットを複数設定できます。動的アドレス割り当て中に、クライアントには特定の名前付き範囲からアドレスを割り当てることができます。名前付き範囲を作成するには、範囲の名前を指定し、アドレス範囲を定義します。
アドレスプール(address-pool)ステートメントではなく、アドレス割り当てプール(address-assignment)ステートメントを使用してください。
アドレス割り当てプールの詳細については、「 アドレス割り当てプールの概要 」および「 アドレス割り当てプールの設定の概要」を参照してください。
L2TP LNSのIPv4アドレス割り当てプールを設定するには:
例えば、IPv4アドレス割り当てプールを設定する場合:
[edit access] user@host# edit address-assignment pool lns-v4-pool family inet [edit access address-assignment pool lns-v4-pool family inet] user@host# set network 192.168.1.1/16 [edit access address-assignment pool lns-v4-pool family inet] user@host# set range lns-v4-pool-range low 192.168.1.1 high 192.168.255.255
L2TP LNS の IPv6 アドレス割り当てプールを設定するには:
プールの名前を設定し、IPv6ファミリーを指定します。
[edit access] user@host# edit address-assignment pool pool-name family inet6
アドレスプールのIPv6ネットワークプレフィックスを設定します。プレフィックス指定は、IPv6アドレス割り当てプールを設定するときに必要です。
[edit access address-assignment pool pool-name family inet6] user@host# set prefix ipv6-prefix
範囲の名前を設定し、範囲を定義します。範囲内のプレフィックスの下限と上限、または範囲内のプレフィックスの長さに基づいて範囲を定義できます。
[edit access address-assignment pool pool-name family inet6] user@host# set range range-name low lower-limit high upper-limit
例えば、IPv6アドレス割り当てプールを設定するには、次のようにします。
[edit access] user@host# edit address-assignment pool lns-v6-pool family inet6 [edit access address-assignment pool lns-v6-pool family inet6] user@host# set prefix 2001:DB8::/32 [edit access address-assignment pool lns-v6-pool family inet6] user@host# set range lns-v6-pool-range low 2001:DB8:1::/48 high 2001:DB8::ffff::/48
L2TP LNSピアインターフェイスの設定
ピア インターフェイスは、トンネル エンドポイント間で IP パケットを交換できるように、LNS を LAC に向けてクラウドに接続します。MPLSおよびアグリゲートイーサネットを使用して、LACに到達することもできます。
MXシリーズルーターでは、MPCでピアインターフェイスを設定する必要があります。
LNSピアインターフェイスを設定するには:
インライン サービス インターフェイスの有効化
インライン サービス インターフェイスは、パケット転送エンジン上に存在する仮想物理インターフェイスです。この si インターフェイスは アンカー インターフェイスと呼ばれ、特別なサービスPICなしでL2TPサービスを提供することができます。インライン サービス インターフェイスは、MXシリーズ ルーター上のMPCでのみサポートされています。MPCが占有されているシャーシスロットごとに、4つのインラインサービスインターフェイスを設定することができます。
MX80およびMX104ルーターでは、L2TP LNSセッションのアンカーインターフェイスとして設定できるインラインサービス物理インターフェイスは、si-1/0/0、si-1/1/0、si-1/2/0、si-1/3/0の4つだけです。MX80およびMX104ルーターでは、この目的のためにsi-0/0/0を設定することはできません。
帯域幅の値の範囲は1Gbpsから400Gbpsですが、12,345,878,000bpsなどの絶対数で帯域幅を設定することはできません。CLIステートメントで利用可能なオプションを使用する必要があります。
1g10g10g、20g、30g、40g、50g、60g、70g、80g、90g100g100g100g400gを100Gbps刻みで100g、200g、300g400g
使用可能な最大帯域幅は、 表1に示すように、MPCによって異なります。MPCでサポートされている帯域幅よりも高い帯域幅を設定すると、システムログメッセージが生成されます。
MPC |
サポートされる最大帯域幅 |
|---|---|
| MPC2E NG、MPC2E NG Q、 |
80Gbps |
MPC3E NG、MPC3E NG Q |
130Gbps |
100GEおよび40GE MPC3およびMIC |
40Gbps |
MPC4E |
130Gbps |
MPC5E |
130Gbps |
MPC6E |
130Gbps |
MPC7E |
240Gbps |
MPC8E |
240Gbps 1.6 Tbpsアップグレードモードでは400 Gbps |
MPC9E |
400Gbps |
インライン サービス インターフェイスを有効にするには:
L2TP LNSのインラインサービスインターフェイスの設定
インライン サービス インターフェイスは、パケット転送エンジン上に存在する仮想物理サービス インターフェイスです。この si インターフェイスは アンカー インターフェイスと呼ばれ、特別なサービスPICなしでL2TPサービスを提供することができます。インライン サービス インターフェイスは、MXシリーズ ルーター上のMPCでのみサポートされています。MPCが占有されているシャーシスロットごとに、4つのインラインサービスインターフェイスを設定することができます。
階層レベルの最大数を2に設定することで、1つのサービスインターフェイスでシェーピングできるセッションの数を最大化できます。この場合、各 LNS セッションはシェーピングのためにスケジューラ階層内の L3 ノードを 1 つ消費します。
レベル数を指定しない場合(2つだけが選択肢)、サービスインターフェイス上でシェーピングできるLNSセッションの数は、L2ノードの数、つまり4096セッションに制限されます。追加のセッションはまだ開催されますが、形作られていません。
インライン サービス インターフェイスを設定するには:
LNSインラインサービス論理インターフェイスのオプションの設定
LNS用に設定する各インラインサービス論理インターフェイスに特性(dial-options)を指定する必要があります。MXシリーズルーター上のLNSは、論理インターフェイスごとに1つのセッションしかサポートしないため、 dedicated インターフェイスとして設定する必要があります。 shared オプションはサポートされていません。(M SeriesルーターのLNSは、 dedicated および shared オプションをサポートしています)。また、アクセスプロファイルで指定した名前と一致する論理インターフェイスの識別名も設定します。
inetアドレスファミリーは、静的論理インターフェイスごとに、または動的LNSインターフェイスの動的プロファイルで指定する必要があります。CLIは静的論理インターフェイスのinetまたはinet6のいずれかを受け入れますが、アドレスファミリーinetが設定されていない限り、加入者は正常にログインできません。
動的インターフェイス設定については、 動的 LNS セッション用の動的プロファイルの設定を参照してください。
静的論理インターフェイスオプションを設定するには:
LNS 1:1ステートフル冗長性の概要
デフォルトでは、インラインサービス(si)アンカーインターフェイスがダウンすると(インターフェイスをホストしているカードに障害が発生したり再起動したりした場合など)、L2TP加入者トラフィックは失われます。その後、トンネルのPPPキープアライブタイマーが終了すると、コントロールプレーンがダウンし、PPPクライアントは切断されます。その結果、クライアントは再接続する必要があります。
このような状況でのトラフィック ロスを回避するには、1:1 のステートフル 冗長性(ホット スタンバイまたはアクティブバックアップ 冗長性とも呼ばれる)を提供するようにアグリゲート インライン サービス インターフェイス(ASI)バンドルを構成する必要があります。バンドルは、1対のsi物理インターフェイス、プライマリ(アクティブ)メンバーリンク、セカンダリ(スタンバイまたはバックアップ)メンバーリンクで構成されています。これらのインターフェイスは、異なる MPC で設定する必要があります。同じMPC上でプライマリインターフェイスとセカンダリインターフェイスを設定すると、カードがダウンすると両方のメンバーインターフェイスがダウンするため、冗長性は達成できません。
加入者がログインし、1:1の冗長性が設定されている場合、L2TPセッションは、asi0物理インターフェイス上の基盤となる仮想論理インターフェイス(asix.0)上で確立されます。個々の論理インターフェイス加入者、asiX.logical-unit-numberの形式で基礎となるインターフェイス上に作成されます。プライマリメンバーリンクインターフェイスをホストするMPCで障害や再起動が発生しても、セッションは稼働したままになります。このL2TPセッションを宛先とするすべてのデータトラフィックは、他のMPCのセカンダリメンバーリンクインターフェイスに自動的に移動します。
集約されたインラインサービスインターフェイスでの1:1 LNSステートフル冗長性の設定
集約型インラインサービスインターフェイス(asi)バンドルを作成して、インラインサービス(si)アンカーインターフェイスに1:1のLNSステートフル冗長性を提供することができます。このバンドルは、異なるMPC上にある2つのインターフェイスをプライマリリンクとセカンダリリンクとしてペアにします。その後、LNSセッションは仮想論理インターフェイスasiX.logical-unit-number上で確立されます。LNSセッションフェイルオーバーは、プライマリアンカーインターフェイスがダウンした場合、または request chassis fpc restart コマンドでカードが再起動されたときに発生します。この場合、別のMPC上のセカンダリリンクがアクティブになり、セッションを宛先とするすべてのLNSデータトラフィックが自動的にセカンダリインターフェイスに移動します。加入者セッションは、asiX.logical-unit-number 仮想インターフェイス上で稼働したままになります。トラフィック統計は失われません。この冗長性が設定されていない場合、加入者トラフィックは失われ、キープアライブは期限切れになり、PPPクライアントは切断され、再接続する必要があります。
開始する前に、次のことを行う必要があります。
拡張加入者管理が有効になっていることを確認します。
バンドルに集約する異なるMPC上にインラインサービスインターフェイスを作成します。
インラインサービスインターフェイスの有効化およびL2TP LNSのインラインサービスインターフェイスの設定を参照してください。
サービスインターフェイスのプールを使用する場合は、サービスプールを定義します。
以下のガイドラインに従います。
バンドルごとに
unit 0 family inetを設定する必要があります。設定しないと、セッションを起動できません。プライマリ(アクティブ)インターフェイスとセカンダリ(バックアップ)インターフェイスは、異なるMPC上にある必要があります。
[edit chassis fpc slot pic number inline-services bandwidth]階層レベルで設定される帯域幅は、両方のメンバーリンクで同一である必要があります。集約されたインラインサービスインターフェイスバンドルのメンバーとして設定されたsiインターフェイスは、別のバンドルグループのメンバーとして設定することはできません。
集約されたインラインサービスインターフェイスバンドルのメンバーとして設定されたsiインターフェイスは、集約されたサービスに関連しない機能には使用できません。例えば、インラインIPの再アセンブリには使用できません。
集約されたインラインサービスバンドルのメンバーとしてsiインターフェイスを設定する場合、そのsiインターフェイスを個別に設定することはできなくなります。設定できるのは親バンドルのみです。バンドルの設定は、すべてのメンバーインターフェイスに直ちに適用されます。
1:1 LNS ステートフル冗長性を設定するには:
次のサンプル設定では、スロット1とスロット2のMPC上にメンバーリンクを持つバンドルasi0を作成し、トンネルグループtg1のL2TPセッションに冗長性を提供するバンドルを割り当てます。
[edit interfaces asi0] user@host# set aggregated-inline-services-options primary-interface si-1/0/0 user@host# set aggregated-inline-services-options secondary-interface si-2/0/0 user@host# set unit 0 family inet [edit chassis fpc 1 pic 0 inline-services] user@host# set bandwidth 10g [edit chassis fpc 2 pic 0 inline-services] user@host# set bandwidth 10g [edit services l2tp tunnel-group tg1] user@host# set service-interface asi0
LNSアグリゲートインラインサービスインターフェイス1:1冗長性の検証
目的
集約されたインライン サービス インターフェイス バンドル、個々のメンバー リンク、冗長性ステータスに関する情報を表示します。
アクション
集約されたインラインサービスインターフェイスバンドルに関する概要情報を表示するには:
user@host> show interfaces asi0 terse Interface Admin Link Proto Local Remote asi0 up up asi0.0 up up inet
集約されたインラインサービスインターフェイスバンドルに関する詳細情報を表示するには:
user@host> show interfaces asi0 extensive Physical interface: asi0, Enabled, Physical link is Up Interface index: 223, SNMP ifIndex: 734, Generation: 226 Type: Adaptive-Services, Link-level type: Adaptive-Services, MTU: 9192, Clocking: Unspecified, Speed: 20000mbps Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Internal: 0x4000 Link type : Full-Duplex Link flags : None Physical info : Unspecified Hold-times : Up 0 ms, Down 0 ms Current address: Unspecified, Hardware address: Unspecified Alternate link address: Unspecified Last flapped : 2014-01-20 23:35:02 PST (00:03:25 ago) Statistics last cleared: Never Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 IPv6 transit statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Input errors: Errors: 0, Drops: 0, Framing errors: 0, Runts: 0, Giants: 0, Policed discards: 0, Resource errors: 0 Output errors: Carrier transitions: 0, Errors: 0, Drops: 0, MTU errors: 0, Resource errors: 0 Logical interface asi0.0 (Index 356) (SNMP ifIndex 52241) (Generation 165) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: Adaptive-Services Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Protocol inet, MTU: 9192, Generation: 198, Route table: 0 Flags: Sendbcast-pkt-to-re集約されたインライン サービス インターフェイス バンドル内の個々のメンバー インターフェイスに関する情報を表示するには:
user@host> show interfaces si-1/0/0 Physical interface: si-1/0/0, Enabled, Physical link is Up Interface index: 165, SNMP ifIndex: 630 Type: Adaptive-Services, Link-level type: Adaptive-Services, MTU: 9192, Speed: 10000mbps Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Internal: 0x4000 Link type : Full-Duplex Link flags : None Last flapped : Never Input rate : 0 bps (0 pps) Output rate : 0 bps (0 pps) Logical interface si-1/0/0.0 (Index 357) (SNMP ifIndex 52229) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: Adaptive-Services Input packets : 0 Output packets: 0 Protocol asi, AS bundle: asi0.0 Flags: Function2集約されたインラインサービスインターフェイスバンドルの冗長性ステータスを表示するには:
user@host> show interfaces redundancy Interface State Last change Primary Secondary Current status asi0 On secondary 1d 23:56 si-1/0/0 si-2/0/0 primary down asi1 On primary 10:10:27 si-3/0/0 si-4/0/0 secondary down ae0 On primary 00:00:02 ge-1/0/0 ge-3/0/1 backup down ae2 On primary 00:00:01 ge-2/0/0 ge-4/0/1 both up
このサンプル出力は、集約型イーサネットと集約型インラインサービスインターフェイスの両方が冗長性に設定されていることを示しています。集約されたインラインサービスインターフェイスバンドルを1つだけ表示するには:
user@host> show interfaces redundancy asi0 Interface State Last change Primary Secondary Current status asi0 On secondary 1d 23:56 si-1/0/0 si-2/0/0 primary down
設定されているすべての冗長性インターフェイスに関する詳細情報を表示するには:
user@host> show interfaces redundancy detail Redundancy interfaces detail Interface : asi0 State : On primary Last change : 00:00:36 Primary : si-1/0/0 Secondary : si-3/0/0 Current status: both up Interface : ae0 State : On primary Last change : 00:01:30 Primary : ge-1/0/0 Secondary : ge-3/0/1 Current status : backup down
サービスインターフェイスのL2TPセッション制限とロードバランシング
LNSは、インターフェイスで現在アクティブなセッションの数に基づいて、デバイスプール内の利用可能なサービスインターフェイス全体で加入者セッションの負荷分散を行います。サービスインターフェイス(si)ごと、およびアグリゲートサービスインターフェイス(asi)ごとの最大制限を設定できます。ASIインターフェイスの場合、バンドル内の個々のsiメンバーインターフェイスに制限を設定することはできません。
サービスインターフェイスのセッション制限
サービスインターフェイスに対してL2TPセッションリクエストが開始されると、LNSは、そのインターフェイスの現在アクティブなセッションの数を、個々のサービスインターフェイスまたは集約されたサービスインターフェイスに許可されるセッションの最大数と照合します。LNS は、現在のセッション数( show services l2tp summary コマンドで表示)が設定された制限を下回っているかどうかを判断します。これが当てはまる場合、または制限が設定されていない場合、チェックは通過し、セッションを確立できます。現在のセッションカウントが設定された制限と同じ場合、LNSはセッションリクエストを拒否します。アクティブなリクエストの数が設定された最大値を下回るまで、そのインターフェイスで後続のリクエストを受け入れることはできません。si または asi インターフェイスのセッション要求が拒否されると、LNS は結果コードが 2 に設定され、エラーコードが 4 に設定された CDN メッセージを返します。
例えば、単一のサービスインターフェイスがトンネルグループで設定されているとします。現在のL2TPセッション数は1500で、2000セッションに制限されています。新しいセッションが要求されると、制限チェックに合格し、セッション要求が受け入れられます。
インターフェース |
設定されたセッション制限 |
現在のセッション数 |
セッション制限チェック結果 |
|---|---|---|---|
SI-0/0/0 |
2000 |
1500 |
合格 |
制限チェックは引き続き合格し、500 件のリクエストが受け入れられるまでセッションリクエストが受け入れられ、現在のセッション数は 2000 となり、設定された最大値に一致します。セッション制限チェックは後続のすべての要求で失敗し、インターフェイス上の現在のセッション数が2000を下回るまですべての要求が拒否され、制限チェックに合格します。
インターフェース |
設定されたセッション制限 |
現在のセッション数 |
セッション制限チェック結果 |
|---|---|---|---|
SI-0/0/0 |
2000 |
2000 |
失敗 |
インターフェイスのセッション制限がゼロに設定されている場合、セッション要求は受け入れられません。それがトンネルグループ内の唯一のインターフェイスである場合、セッション制限がゼロから増加するか、別のサービスインターフェイスがトンネルグループに追加されるまで、グループ内のすべてのセッション要求は拒否されます。
サービスデバイスプール内のサービスインターフェイスが設定された最大値に達した場合、または設定された制限がゼロの場合、LNSはセッションリクエストが行われたときにそのインターフェイスをスキップし、プール内の別のインターフェイスを選択してセッション制限を確認します。これは、インターフェイスが通過してセッションが受け入れられるか、選択するプールに他のインターフェイスが残らなくなるまで続きます。
サービスインターフェイス間のセッションロードバランシング
サービスデバイスプールでのセッション負荷分散の動作は、Junos OSリリース16.2で変更されました。あるサービスインターフェイスのセッション数がプール内の別のインターフェイスよりも少なく、両方のインターフェイスが最大セッション制限を下回っている場合、後続のセッションはセッション数の少ないインターフェイスに分散されます。
以前のリリースでは、セッション数に関係なく、セッションは厳密なラウンドロビン方式で配布されます。古い動作では、パケット転送エンジンが再起動されたり、サービスインターフェイスがダウンしてから復帰したりするときに、セッションの分散が不均一になることがあります。
例えば、2つのサービスインターフェイスを持つプールに古いラウンドロビン配布動作を使用した以下のシナリオを考えてみましょう。
200のセッションが2つのサービスインターフェイス全体に均等に分散されています。
si-0/0/0には100セッションがあります。
si-1/0/0には100セッションがあります。
si-1/0/0インターフェイスが再起動します。元に戻ると、最初はsi-0/0/0でのみセッションが稼働しています。
si-0/0/0には100セッションがあります。
si-1/0/0 は 0 セッションです。
以前はsi-1/0/0にあったセッションが再接続すると、両方のサービスインターフェイスに均等に分散されます。100セッションすべてがバックアップされている場合、分散は非常に不均衡になります。
si-0/0/0には150セッションがあります。
SI-1/0/0には50のセッションがあります。
100個の新しいセッションが接続された後、si-0/0/0は上限に達します。それ以降のセッションは、si-1/0/0でのみ受け入れられます。
si-0/0/0には200セッションがあります。
si-1/0/0には100セッションがあります。
さらに100セッションが接続されると、si-1/0/0は上限に達します。インターフェイスの1つのセッションカウントが200を下回るまで、それ以上のセッションは受け入れられません。
si-0/0/0には200セッションがあります。
si-1/0/0には200セッションがあります。
ここで、接続されたセッションの数に基づいて現在の負荷分散動作を使用して、同じシナリオを考えてみましょう。デバイスプールには再び2つのサービスインターフェイスがあり、それぞれに200セッションの最大制限が設定されています。
200のセッションが2つのサービスインターフェイス全体に均等に分散されています。
si-0/0/0には100セッションがあります。
si-1/0/0には100セッションがあります。
si-1/0/0インターフェイスが再起動します。復旧すると、最初はsi-0/0/0でのみセッションが立ち上がります。
si-0/0/0には100セッションがあります。
si-1/0/0 は 0 セッションです。
以前はsi-1/0/0にあったセッションが再接続すると、各インターフェイスのセッション負荷に応じて分散されます。両方のインターフェイスが最大制限を下回っており、si-1/0/0のセッション数がsi-0/0/0よりも少ないため、セッションは最初はsi-1/0/0にのみ配布されます。
1つの新しいセッションの後:
si-0/0/0には100セッションがあります。
si-1/0/0 には 1 つのセッションがあります。
10回の新しいセッションの後:
si-0/0/0には100セッションがあります。
SI-1/0/0には10セッションがあります。
100回の新しいセッションの後:
si-0/0/0には100セッションがあります。
si-1/0/0には100セッションがあります。
両方のインターフェイスのセッション数が同じになるため、次のセッション(#101)は2つのインターフェイス間でランダムに分散されます。その後の次のセッション(#102)は、セッション数の少ないインターフェイスに移動します。これにより、インターフェイスが再び等しくなるので、次のセッション(#103)はランダムに分散されます。このパターンは、両方のインターフェイスでセッションの最大制限である200まで繰り返されます。
si-0/0/0には200セッションがあります。
si-1/0/0には200セッションがあります。
いずれかのインターフェイスのセッション数が200を下回るまで、どちらのインターフェイスでもこれ以上セッションを受け入れることはできません。
ロードバランシングの動作は、集約されたサービスインターフェイスでも同じです。ASIインターフェイスは、ASIインターフェイスの現在のセッションカウントに基づいてプールから選択されます。このカウントが最大値を下回ると、LNSはASIバンドル内のアクティブなsiインターフェイスの現在のセッションカウントを確認します。その数が最大値を下回ると、ASIインターフェイスでセッションを確立できます。
サービスインターフェイスと集約サービスインターフェイスの両方を持つ混合デバイスプールでは、セッションは、セッション数が最も少ないインターフェイス(ASIまたはSI)に分散されます。いずれかのタイプのインターフェイスのセッション数が上限に達すると、カウントが最大値を下回るまでセッションを受け付けることができなくなります。
セッション制限設定を使用して、特定のパケット転送エンジンのセッション制限を実現できます。2つのサービスインターフェイスを持つPFE0のセッション数を100に制限する必要があるとします。各インターフェイスの最大制限を 50 に設定するか、合計して 100 になるその他の組み合わせを設定して、PFE0 制限を確立できます。
例:L2TP LNSの設定
この例では、MXシリーズルーターでL2TP LNSを設定し、ネットワーク内のL2TP LACにトンネルエンドポイントを提供する方法を示しています。この設定には、デュアルスタック加入者用の動的プロファイルが含まれています。
要件
このL2TP LNSの例では、以下のハードウェアとソフトウェアが必要です。
MXシリーズ5Gユニバーサルルーティングプラットフォーム
1つ以上のMPC
Junos OSリリース11.4以降
この機能を設定する前に、デバイスの初期化以外の特別な設定は必要ありません。
この例を機能させるには、LNSに関連付けられたAAAサーバーの属性リターンリストで特定の標準RADIUS属性とジュニパーネットワークスVSAを設定する必要があります。表2は、属性とその必要な順序設定と値を示しています。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/subscriber-access/index.html のJunos OS加入者管理ページのダウンロードボックスにある最新のジュニパーネットワークスRADIUS辞書を使用することをお勧めします。
VSA名[番号] |
順序 |
値 |
|---|---|---|
CoSパラメータタイプ [26–108] |
1 |
T01マルチプレイ |
CoSパラメータタイプ [26–108] |
2 |
T02 10m |
CoSパラメータタイプ [26–108] |
3 |
T08 -36 |
CoSパラメータタイプ [26–108] |
4 |
T07セルモード |
framed-IPv6-pool [100] |
0 |
jnpr_ipv6_pool |
フレームプール [88] |
0 |
jnpr_pool |
Egress-Policy-Name [26-11] |
0 |
分類 |
ingress-policy-name [26-10] |
0 |
分類 |
仮想ルーター [26-1] |
0 |
デフォルト |
概要
LNSは、ユーザーグループプロファイルを使用して、LACからトンネリングされたPPP加入者にPPP属性を適用します。ネットワーク内のLACは、LNSのクライアントです。クライアントは、LNSで設定されたL2TPアクセスプロファイル内のユーザーグループプロファイルに関連付けられています。この例では、ユーザーグループプロファイル ce-l2tp-group-profile 、以下のPPP属性を指定します。
LNSで終端するクライアントLACからのL2TPトンネルのPPPキープアライブメッセージ間の30秒間隔。
PPP加入者セッションがタイムアウトしたとみなされるまでにアイドル状態を維持できる時間を定義する200秒の間隔。
LNSでトンネル化されたPPP加入者に適用されるPPP認証方法としてのPAPとCHAPの両方。
L2TPアクセスプロファイル ce-l2tp-profile は、各クライアントLACのL2TPパラメーターのセットを定義します。この例では、ユーザーグループプロファイル ce-l2tp-group-profile がクライアント、 lac1 と lac2の両方に関連付けられています。どちらのクライアントも、LAC が LNS に渡すネゴシエート済みの LCP パラメーターを受け入れるのではなく、LNS が PPP クライアントとリンク制御プロトコル(LCP)を再ネゴシエートするように設定されています。LCPの再ネゴシエーションでは、LNSによって認証が再ネゴシエートされます。認証方法は、ユーザーグループプロファイルで指定されます。トンネルごとに許可されるセッションの最大数は、 lac1 の場合は1000、 lac2の場合は4000に設定されています。LACごとに異なるパスワードが設定されます。
ローカルAAAアクセスプロファイル( aaa-profile)を使用すると、グローバルAAAアクセスプロファイルをオーバーライドできるため、認証順序、L2TPに使用するRADIUSサーバー、およびサーバーのパスワードを指定できます。
この例では、アドレスプールが、LNSがトンネル化されたPPPセッションに割り当てるIPアドレスの範囲を定義します。この例では、IPv4 および IPv6 アドレスの範囲を定義します。
ルーターのスロット5にあるMPCで、2つのインラインサービスインターフェイスが有効になっています。各インターフェイスに対して、10 Gbpsの帯域幅が、インターフェイスに関連付けられたPFE上のトンネルトラフィック用に予約されています。これらの アンカー インターフェイスは、基盤となる物理インターフェイスとして機能します。個々の論理インライン サービス インターフェイスでCoSキュー サポートを有効にするには、アンカーでサービス カプセル化(generic-services)と階層スケジューリング サポートの両方を設定する必要があります。IPv4アドレスファミリーは、両方のアンカーインターフェイスに設定されています。両方のアンカー インターフェイスが、 lns_p1 サービス デバイス プールで指定されます。LNSは、トンネルグループにプールが含まれている場合、2つのアンカーインターフェイス間でトンネル負荷を分散させることができます。
この例では、動的プロファイル dyn-lns-profile2 を使用して、加入者がLNSにトンネリングされるときに動的に作成または割り当てられるL2TPセッションの特性を指定します。多くの特性には、事前に定義された変数が設定されています。変数は、加入者が LNS にトンネリングされると、適切な値に動的に置き換えられます。
トンネル化されたPPPクライアントが接続するインターフェイス($junos-interface-name)は、加入者に割り当てられたルーティングインスタンス($junos-routing-instance)に動的に作成されます。アクセスルートのルーティングオプションには、ルートのネクストホップアドレス($junos-framed-route-nexthop)、メトリック($junos-framed-route-cost)、および優先事項($junos-framed-route-distance)が含まれます。アクセス内部ルートでは、動的IPアドレス変数($junos-subscriber-ip-address)が設定されます。
論理インラインサービスインターフェイスは、設定されたアンカーインターフェイス($junos-interface-ifd-name)の名前と論理ユニット番号($junos-interface-unit)によって定義されます。このプロファイルは、論理インターフェイスの識別子として l2tp-encapuslation を割り当て、各インターフェイスが一度に1つのセッションにのみ使用できるように指定します。
IPv4アドレスは、AAAサーバーから返された値に設定されます。IPv4トラフィックの場合、入力ファイアウォールフィルター $junos-input-filter と出力ファイアウォールフィルター $junos-output-filter がインターフェイスに接続されています。ループバック変数($junos-loopback-interface)は、ルーティングインスタンスに設定されたループバックインターフェイス(lo)からIPアドレスを導き出し、IPCPネゴシエーションでPPPサーバーアドレスとして使用します。これはデュアルスタック設定であるため、IPv6アドレスファミリーも設定され、アドレスは $junos-ipv6-address 変数によって提供されます。
ルーターアドバタイズプロトコルも設定されているため、 $junos-ipv6-address 変数が使用されます。この変数により、AAAは、インターフェイスのローカルアドレスとして予約するプレフィックスの最初のアドレスを割り当てることができます。動的プロファイルのルーターアドバタイズプロトコルの最小設定では、IPv6ネイバーディスカバリルーターアドバタイズでプレフィックス値を動的に割り当てるための $junos-interface-name 変数と $junos-ipv6-ndra-prefix 変数を指定します。
動的プロファイルには、トンネルトラフィックに適用されるサービスクラス設定も含まれています。トラフィック制御プロファイル(tc-profile)には、スケジューラマップ($junos-cos-scheduler-map)、シェーピングレート($junos-cos-shaping-rate)、オーバーヘッドアカウンティング($junos-cos-shaping-mode)、バイト調整 $junos-cos-byte-adjust)の変数が含まれます。動的プロファイルは、転送クラス、出力トラフィック制御プロファイル、書き換えルールを含むCoS設定を動的サービスインターフェイスに適用します。
tg-dynamicトンネルグループの設定では、LNSセッションを動的に作成し、セッションの特性を定義するために使用するアクセスプロファイルce-l2tp-profile、ローカルAAAプロファイルaaa-profile、および動的プロファイルdyn-lns-profile2を指定します。lns_p1サービスデバイスプールは、サービスインターフェイスのプールをグループに関連付け、LNSがインターフェイス間のトラフィックを分散できるようにします。ローカルゲートウェイアドレス203.0.113.2は、LACに設定されているリモートゲートウェイアドレスに対応しています。ローカルゲートウェイ名ce-lnsは、LACに設定されているリモートゲートウェイ名に対応しています。
この例では、可能なすべての設定選択肢を示しているわけではありません。
設定
手順
CLIクイックコンフィグレーション
L2TP LNSをすばやく設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除してから、コマンドをコピーしてCLIに貼り付けます。
[edit] edit access group-profile ce-l2tp-group-profile set ppp idle-timeout 200 set ppp ppp-options pap set ppp ppp-options chap set ppp keepalive 30 top edit access profile ce-l2tp-profile set client lac1 l2tp maximum-sessions-per-tunnel 1000 set client lac1 l2tp interface-id l2tp-encapsulation-1 set client lac1 l2tp lcp-renegotiation set client lac1 l2tp shared-secret "lac1-$ABC123" set client lac1 user-group-profile ce-l2tp-group-profile set client lac2 l2tp maximum-sessions-per-tunnel 4000 set client lac2 l2tp interface-id l2tp-encap-2 set client lac2 l2tp lcp-renegotiation set client lac2 l2tp shared-secret "lac2-$ABC123" set client lac2 user-group-profile ce-l2tp-group-profile top edit access profile aaa-profile set authentication-order radius set radius authentication-server 198.51.100.193 set radius-server 198.51.100.193 secret "$ABC123” top edit access address-assignment pool client-pool1 family inet set network 192.168.1.1/16 set range lns-v4-pool-range low 192.168.1.1 set range lns-v4-pool-range high 192.168.255.255 top edit access address-assignment pool client-ipv6-pool2 family inet6 set prefix 2001:DB8::/32 set range lns-v6-pool-range low 2001:DB8:1::/48 set range lns-v6-pool-range high 2001:DB8:ffff::/48 top set interfaces ge-5/0/1 unit 11 vlan-id 11 set interfaces ge-5/0/1 unit 11 family inet address 203.0.113.2/24 set interfaces lo0 unit 0 family inet address 127.0.0.1/32 top set chassis fpc 5 pic 0 inline-services bandwidth 10g set chassis fpc 5 pic 2 inline-services bandwidth 10g top edit interfaces si-5/0/0 set hierarchical-scheduler maximum-hierarchy-levels 2 set encapsulation generic-services set unit 0 family inet top edit interfaces si-5/2/0 set hierarchical-scheduler maximum-hierarchy-levels 2 set encapsulation generic-services set unit 0 family inet top set services service-device-pools pool lns_p1 interface si-5/0/0 set services service-device-pools pool lns_p1 interface si-5/2/0 top edit dynamic-profiles dyn-lns-profile2 routing-instances $junos-routing-instance set interface $junos-interface-name edit routing-options access route $junos-framed-route-ip-address-prefix set next-hop $junos-framed-route-nexthop set metric $junos-framed-route-cost set preference $junos-framed-route-distance up 2 edit access-internal route $junos-subscriber-ip-address set qualified-next-hop $junos-interface-name up 5 edit interfaces $junos-interface-ifd-name unit $junos-interface-unit set dial-options l2tp-interface-id l2tp-encapsulation set dial-options dedicated set family inet filter input $junos-input-filter set family inet filter output $junos-output-filter set family inet unnumbered-address $junos-loopback-interface set family inet6 address $junos-ipv6-address set family inet6 filter input $junos-input-ipv6-filter set family inet6 filter output $junos-output-ipv6-filter up 3 edit protocols router-advertisement set interface $junos-interface-name prefix $junos-ipv6-ndra-prefix top [edit class-of-service] edit rewrite-rules dscp rewriteDSCP forwarding-class expedited-forwarding set loss-priority high code-point af11 set loss-priority high code-point af12 top edit dynamic-profiles dyn-lns-profile2 class-of-service traffic-control-profiles tc-profile set scheduler-map $junos-cos-scheduler-map set shaping-rate $junos-cos-shaping-rate set overhead-accounting $junos-cos-shaping-mode set overhead-accounting bytes $junos-cos-byte-adjust up edit interfaces $junos-interface-ifd-name unit $junos-interface-unit set forwarding-class expedited-forwarding set output-traffic-control-profile tc-profile set rewrite-rules dscp rewriteDSCP edit interfaces si-5/0/0 set output-control-profile-remaining tc-profile top set services l2tp tunnel-group tg-dynamic l2tp-access-profile ce-l2tp-profile set services l2tp tunnel-group tg-dynamic aaa-access-profile aaa-profile set services l2tp tunnel-group tg-dynamic local-gateway address 203.0.113.2 set services l2tp tunnel-group tg-dynamic local-gateway gateway-name ce-lns set services l2tp tunnel-group tg-dynamic service-device-pool lns_p1 set services l2tp tunnel-group tg-dynamic dynamic-profile dyn-lns-profile2
ステップバイステップの手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、 設定モードでの CLI エディターの使用を参照してください。
インラインサービスインターフェイスを持つL2TP LNSを設定するには:
トンネル加入者のPPP設定を定義するユーザーグループプロファイルを設定します。
[edit access] user@host# edit group-profile ce-l2tp-group-profile [edit access group-profile ce-l2tp-group-profile] user@host# set ppp keepalive 30 user@host# set ppp idle-timeout 200 user@host# set ppp ppp-options chap user@host# set ppp ppp-options pap
各クライアントLACのL2TPパラメーターを定義するL2TPアクセスプロファイルを設定します。これには、ユーザーグループプロファイルをクライアントに関連付けることや、LNS上のL2TPセッションを表すインラインサービス論理インターフェイスの識別子を指定することが含まれます。
[edit access profile ce-l2tp-profile client lac1] user@host# set l2tp interface-id l2tp-encapsulation user@host# set l2tp maximum-sessions-per-tunnel 1000 user@host# set l2tp shared-secret "lac1-$ABC123" user@host# set l2tp lcp-renegotiation user@host# set user-group-profile ce-l2tp-group-profile [edit access profile ce-l2tp-profile client lac2] user@host# set l2tp interface-id interface-id user@host# set l2tp maximum-sessions-per-tunnel 4000 user@host# set l2tp shared-secret "lac2-$ABC123" user@host# set l2tp lcp-renegotiation user@host# set user-group-profile ce-l2tp-group-profile
注:user-group-profileが変更または削除されると、このレイヤー2トンネリングプロトコルクライアント設定を使用していた既存のLNS加入者はダウンします。AAAアクセスプロファイルを設定して、AAA認証方法とサーバー属性の順序でグローバルアクセスプロファイルを上書きします。
[edit access profile aaa-profile] user@host# set authentication-order radius user@host# set radius authentication-server 198.51.100.193 user@host# set radius-server 198.51.100.193 secret "$ABC123”
IPv4 および IPv6 アドレス割り当てプールを設定して、クライアント(LAC)にアドレスを割り当てます。
[edit access address-assignment pool client-pool1 family inet] user@host# set network 192.168.1.1/16 user@host# set range lns-v4-pool-range low 192.168.1.1 high 192.168.255.255 [edit access address-assignment pool client-ipv6-pool2 family inet6] user@host# set prefix 2001:DB8::/32 user@host# set range lns-v6-pool-range low 2001:DB8:1::/48 user@host# set range lns-v6-pool-range high 2001:DB8:ffff::/48
トンネルとPPPサーバー側IPCPアドレス(ループバックアドレス)を終端するようにピアインターフェイスを設定します。
[edit interfaces ge-5/0/1 user@host# set vlan-tagging user@host# set unit 11 [edit interfaces ge-5/0/1.11 user@host# set vlan-id 11 user@host# set family inet address 10.1.1.2/24 [edit interfaces lo0] user@host# set unit 0 family inet address 127.0.0.1/32
MPCでインラインサービスインターフェイスを有効にします。
[edit chassis fpc 5] user@host# set pic 0 inline-services bandwidth 10g user@host# set pic 2 inline-services bandwidth 10g
サービスカプセル化、階層スケジューリング、アドレスファミリーを使用して、アンカーサービスインターフェイスを設定します。
[edit interfaces si-5/0/0] user@host# set hierarchical-scheduler maximum hierarchy-levels 2 user@host# set encapsulation generic-services user@host# set unit 0 family inet [edit interfaces si-5/2/0] user@host# set hierarchical-scheduler maximum hierarchy-levels 2 user@host# set encapsulation generic-services user@host# set unit 0 family inet
動的LNSセッション用にサービスインターフェイスのプールを設定します。
[edit services service-device-pools pool lns_p1] user@host# set interface si-5/0/0 user@host# set interface si-5/2/0
デュアルスタック加入者向けのL2TP論理インターフェイスを動的に作成する動的プロファイルを設定します。
[edit dynamic-profiles dyn-lns-profile2] user@host# edit routing-instances $junos-routing-instance user@host# set interface $junos-interface-name [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance”] user@host# edit routing-options access route $junos-framed-route-ip-address-prefix [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance” routing-options access route “$junos-framed-route-ip-address-prefix”] user@host# set next-hop $junos-framed-route-nexthop user@host# set metric $junos-framed-route-cost user@host# set preference $junos-framed-route-distance [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance” routing-options access-internal] user@host# set route $junos-subscriber-ip-address qualified-next-hop $junos-interface-name [edit dynamic-profiles dyn-lns-profile2 interfaces “$junos-interface-ifd-name” unit “$junos-interface-unit”] user@host# set dial-options l2tp-interface-id l2tp-encapsulation user@host# set dial-options dedicated user@host# set family inet unnumbered-address $junos-loopback-interface user@host# set family inet filter input $junos-input-filter user@host# set family inet filter output $junos-output-filter user@host# set family inet6 address $junos-ipv6-address set family inet6 filter input $junos-input-ipv6-filter set family inet6 filter output $junos-output-ipv6-filter [edit dynamic-profiles dyn-lns-profile2 protocols router-advertisement] user@host# set interface $junos-interface-name prefix $junos-ipv6-ndra-prefix
シェーピング、スケジューリング、書き換えのルールを設定し、動的プロファイルでトンネルトラフィックに適用します。
[edit class-of-service] user@host# edit rewrite-rules dscp rewriteDSCP forwarding-class expedited-forwarding user@host# set loss-priority high code-point af11 user@host# set loss-priority high code-point af12 [edit dynamic-profiles dyn-lns-profile2 class-of-service traffic-control-profiles tc-profile] user@host# set scheduler-map $junos-cos-scheduler-map user@host# set shaping-rate $junos-cos-shaping-rate user@host# set overhead-accounting $junos-cos-shaping-mode user@host# set overhead-accounting bytes $junos-cos-byte-adjust [edit dynamic-profiles dyn-lns-profile2 class-of-service interfaces “$junos-interface-ifd-name” unit "$junos-interface-unit"] user@host# set forwarding-class expedited-forwarding user@host# set output-traffic-control-profile tc-profile user@host# set rewrite-rules dscp rewriteDSCP [edit class-of-service interfaces si-5/0/0] user@host# set output-traffic-control-profile-remaining tc-profile
L2TPトンネルグループを設定し、インラインサービスインターフェイスのプールを使用して動的LNSセッションを立ち上げ、ロードバランシングを有効にします。
[edit services l2tp tunnel-group tg-dynamic] user@host# set l2tp-access-profile ce-l2tp-profile user@host# set local-gateway address 10.1.1.2 user@host# set local-gateway gateway-name ce-lns user@host# set aaa-access-profile aaa-profile user@host# set dynamic-profile dyn-lns-profile2 user@host# set service-device-pool lns_p1
結果
設定モードから、 show access コマンドを入力して、アクセスプロファイル、グループプロファイル、AAAプロファイル、アドレス割り当てプールの設定を確認します。 show chassis コマンドを入力して、インラインサービス設定を確認します。 show interfaces コマンドを入力して、インターフェイス設定を確認します。 show dynamic-profiles コマンドを入力して、動的プロファイル設定を確認します。 show services l2tp コマンドを入力して、トンネルグループの設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show access
group-profile ce-l2tp-group-profile {
ppp {
idle-timeout 200;
ppp-options {
pap;
chap;
}
keepalive 30;
}
}
profile ce-l2tp-profile {
client lac1 {
l2tp {
maximum-sessions-per-tunnel 1000;
interface-id l2tp-encapsulation-1;
lcp-renegotiation;
shared-secret "lac1-$ABC123"; ## SECRET-DATA
}
user-group-profile ce-l2tp-group-profile;
}
client lac2 {
l2tp {
maximum-sessions-per-tunnel 4000;
interface-id l2tp-encap-2;
lcp-renegotiation;
shared-secret "lac2-$ABC123"; ## SECRET-DATA
}
user-group-profile ce-l2tp-group-profile;
}
}
profile aaa-profile {
authentication-order radius;
radius-server {
198.51.100.193 secret "$ABC123"; ## SECRET-DATA
}
}
address-assignment {
pool client-pool1 {
family inet {
network 192.168.1.1/16;
range lns-v4-pool-range {
low 192.168.1.1;
high 192.168.255.255;
}
}
}
pool client-ipv6-pool2 {
family inet6 {
prefix 2001:DB8::/32;
range lns-v6-pool-range {
low 2001:DB8:1::/48;
high 2001:DB8:ffff::/48;
}
}
}
}
[edit]
user@host# show chassis
fpc 5 {
pic 0 {
inline-services {
bandwidth 10g;
}
}
pic 2 {
inline-services {
bandwidth 10g;
}
}
}
[edit]
user@host# show interfaces
ge-5/0/1 {
vlan-tagging;;
unit 11 {
vlan-id 11;
family inet {
address 203.0.113.2/24;
}
}
}
si-5/0/0 {
hierarchical-scheduler maximum-hierarchy-levels 2;
encapsulation generic-services;
unit 0 {
family inet;
}
}
si-5/2/0 {
hierarchical-scheduler maximum-hierarchy-levels 2;
encapsulation generic-services;
unit 0 {
family inet;
}
}
lo0 {
unit 0 {
family inet {
address 127.0.0.1/32;
}
}
}
[edit]
user@host# show dynamic-profiles
dyn-lns-profile2 {
routing-instances {
"$junos-routing-instance" {
interface "$junos-interface-name";
routing-options {
access {
route $junos-framed-route-ip-address-prefix {
next-hop "$junos-framed-route-nexthop";
metric "$junos-framed-route-cost";
preference "$junos-framed-route-distance";
}
}
access-internal {
route $junos-subscriber-ip-address {
qualified-next-hop "$junos-interface-name";
}
}
}
}
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
dial-options {
l2tp-interface-id l2tp-encapsulation;
dedicated;
}
family inet {
filter {
input "$junos-input-filter";
output "$junos-output-filter";
}
unnumbered-address "$junos-loopback-interface";
}
family inet6 {
address $junos-ipv6-address;
input $junos-input-ipv6-filter;
output $junos-output-ipv6-filter;
}
}
}
}
protocols {
router-advertisement {
interface "$junos-interface-name" {
prefix $junos-ipv6-ndra-prefix;
}
}
}
class-of-service {
rewrite-rules {
dscp rewriteDSCP {
forwarding-class expedited-forwarding {
loss-priority high code-point af11
loss-priority high code-point af12
}
}
}
traffic-control-profiles {
tc-profile {
scheduler-map "$junos-cos-scheduler-map";
shaping-rate "$junos-cos-shaping-rate";
overhead-accounting "$junos-cos-shaping-mode" bytes "$junos-cos-byte-adjust";
}
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
forwarding-class expedited-forwarding;
output-traffic-control-profile tc-profile;
rewrite-rules {
dscp rewriteDSCP;
}
}
}
}
}
}
[edit]
user@host# show services l2tp
tunnel-group tg-dynamic {
l2tp-access-profile ce-l2tp-profile;
aaa-access-profile aaa-profile;
local-gateway {
address 203.0.113.2;
gateway-name ce-lns;
}
service-device-pool lns_p1;
dynamic-profile dyn-lns-profile2;
}
デバイスの設定が完了したら、設定モードから commit を入力します。
インラインサービスインターフェイスを使用したLNSセッションのL2TPトンネルグループの設定
L2TPトンネルグループは、LACクライアントのグループからL2TPトンネルとセッションに適用される属性を指定します。これらの属性には、ローカルゲートウェイアドレスでLNSに対して行われたL2TP接続要求の検証に使用されるアクセスプロファイル、グローバルアクセスプロファイルを上書きするローカルアクセスプロファイル、キープアライブタイマー、およびIP ToS値が反映されるかどうかが含まれます。
トンネルグループを削除すると、そのトンネルグループ内のすべてのL2TPセッションが終了します。 local-gateway-address、 service-device-pool、または service-interface ステートメントの値を変更すると、これらの設定を使用しているすべてのL2TPセッションが終了します。 [edit services l2tp tunnel-group name] 階層レベルで他のステートメントを変更または削除した場合、確立した新しいトンネルは更新された値を使用しますが、既存のトンネルとセッションは影響を受けません。
LNS トンネル グループを設定するには:
RADIUS を使用せずに L2TP セッションにサービスを適用する
サービスは、L2TPセッションに適用され、アクティブ化したり、RADIUSサーバーからのVSA(ベンダー固有属性)やRADIUS Change of Authorization(CoA)リクエストによって後で変更されます。Junos OSリリース18.1R1以降、RADIUSを使用せずに、動的サービスプロファイルを使用してL2TPセッションにサービスを適用できます。マルチベンダー環境では、顧客は標準のRADIUS属性のみを使用することで、複数のベンダーのVSAを使用しないようにすることで、管理を簡素化することができます。ただし、サービスを適用するには一般的にVSAが必要となるため、L2TPセッションへのサービス適用は複雑になります。ローカルの動的サービスプロファイルのアクティブ化により、この問題を回避できます。ローカルサービスプロファイルのアクティブ化を使用して、RADIUSサーバーがダウンしているときにデフォルトサービスを提供することもできます。
サービスは、トンネル グループのすべての加入者、または特定の LAC を使用するすべての加入者に適用できます。トンネルグループまたはLACホスト名ごとに最大12のサービスを設定できます。
サービスを定義する1つ以上の動的サービスプロファイルを設定した後、サービスプロファイル名を指定して、トンネルグループまたはLACクライアントのアクセスプロファイル設定に適用します。アクティブにする複数のプロファイルをアンパサンド(&)で区切ってリストできます。また、CoSサービスのダウンストリームシェーピングレートなど、プロファイル自体で設定された値を上書きする可能性のあるサービスプロファイルで使用されるパラメーターを指定することもできます。
ローカルに設定されたサービスのリスト(サービスプロファイルを介して)は、クライアントセッションのアクティブ化中にauthdによって適用されるローカル認証として機能します。このサービスのリストは、RADIUSなどの外部機関から発信されたサービスと同じ検証と処理の対象となります。これらのサービスは、加入者のログイン中に表示されます。
RADIUS VSA または CoA リクエストをサービスプロファイルと組み合わせて使用することは可能です。サービスが認証中または加入者セッションのプロビジョニング(アクティベーション)中に承認として外部機関から提供されている場合、外部機関からのサービスがローカル設定のサービスよりも厳密に優先されます。RADIUSで適用されるサービスが、CLIのサービスプロファイルで適用されるサービスと同じで、パラメーターが異なる場合、RADIUSサービスは新しいセッションIDで適用され、以前のサービスプロファイルよりも優先されます。
コマンドを発行して、トンネルグループまたはLACに対して以前にアクティブ化したサービスを非アクティブ化または再アクティブ化できます。
後でトンネルグループまたはLACに適用する動的サービスプロファイルを定義します。
トンネルグループ内のすべての加入者にサービスプロファイルを適用するには:
1つ以上のサービスプロファイルと、サービスに渡すパラメーターを指定します。
[edit services l2tp tunnel-group group-name] user@host# set service-profile profile-name(parameter)&profile-name
特定のLACのすべての加入者にサービスプロファイルを適用するには:
1つ以上のサービスプロファイルと、サービスに渡すパラメーターを指定します。
[edit access profile profile-name client client-name l2tp] user@host# set service-profile profile-name(parameter)&profile-name
注:LACクライアントと、そのクライアントを使用するトンネルグループに対してサービスプロファイルが設定されている場合、LACクライアントサービスプロファイルのみが適用されます。これは、トンネルグループの設定を上書きします。例えば、以下の設定では、トンネルグループtg-LAC-3はLACクライアントLAC-3を使用するため、LAC3の設定がトンネルグループの設定を上書きします。その結果、Cos2やfw1ではなく、トンネルグループの加入者に対してcos-A3サービスのみがアクティブになります。サービスに渡されるシェーピング レートは 24 Mbps です。
[edit] user@host# set services l2tp tunnel-group tg-LAC-3 service-profile cos2(31000000)&fw1 user@host# set access profile prof-lac client LAC-3 l2tp service-profile cos-A3(24000000)
以下のコマンドを発行することで、加入者セッションに適用されるサービスを無効にすることができます。
user@host> request network-access aaa subscriber delete session-id subscriber-session-id service-profile profile-name
以下のコマンドを発行することで、加入者セッションに適用されたサービスを再アクティブ化できます。
user@host> request network-access aaa subscriber add session-id subscriber-session-id service-profile profile-name
現在のすべての加入者セッションのサービスセッションを表示するには、 show subscribers extensive または show network-access aaa subscribers session-id id-number detail コマンドを使用します。
ローカルサービスアプリケーションの仕組みを理解するために、以下の例はさまざまな設定の可能性を示しています。最初に、次の動的サービスプロファイル設定cos2とfw1について考えてみましょう。
dynamic-profiles {
cos2 {
variables {
shaping-rate default-value 10m;
shaping-rate-in default-value 10m;
data-in-filter uid;
data-in-policer uid;
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
family inet;
}
}
}
class-of-service {
traffic-control-profiles {
TrafficShaper {
scheduler-map a;
shaping-rate "$shaping-rate";
}
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
output-traffic-control-profile TrafficShaper;
}
}
}
}
}
|
dynamic-profiles {
fw1 {
variables {
v6input default-value v6ingress;
v6output default-value v6egress;
input default-value upstrm-filter;
output default-value dwnstrm-filter;
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
family inet;
}
}
}
}
}
次のステートメントは、両方のサービスをトンネルグループtg1のすべての加入者に適用します。31Mbpsのパラメーター値がCoS2サービスに渡されます。
[edit] user@host# set services l2tp tunnel-group tg1 service-profile cos2(31000000)&fw1
cos2サービスプロファイルでは、シェーピングレートは、デフォルト値が10m(1Mbps)のユーザー定義変数によって提供されます。L2TPセッションが起動した後、cos2とfw1は、それぞれ34と35のサービスセッションIDでアクティブになります。
user@host1> show subscribers extensive
...
Service Session ID: 34
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
cos2 に渡されたパラメータは、$shapingレートの値として使用されます。その結果、以下のコマンド出力に示すように、サービスのシェーピングレートがデフォルト値の10Mbpsから31Mbpsに調整されます。出力は調整アプリケーションがRADIUS CoAであることを示していますが、調整はサービスプロファイルに渡されたパラメーターの結果です。この操作はCoAと同じ内部フレームワークを使用し、そのように報告されます。
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 31000000
adjustment-value: 31000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
これで、cos2サービスが加入者セッション27のCLIから非アクティブ化されます。
user@host1> request network-access aaa subscriber delete service-profile cos2 session-id 27 Successful completion
以下の出力は、cos2がなくなり、アクティブなサービスとしてfw1だけが残っていることを示しています。
user@host1> show subscribers extensive
Type: L2TP
User Name: user@example.com
IP Address: 192.0.2.103
IP Netmask: 255.255.255.255
Logical System: default
Routing Instance: default
Interface: si-1/0/0.3221225492
Interface type: Dynamic
Underlying Interface: si-1/0/0.3221225492
Dynamic Profile Name: dyn-lns-profile
State: Active
Radius Accounting ID: 27
Session ID: 27
PFE Flow ID: 42
Login Time: 2017-08-30 07:29:39 IST
Service Sessions: 1
IP Address Pool: ipv4_pool
Accounting interval: 600
Frame/cell mode: Frame
Overhead accounting bytes: -38
Calculated downstream data rate: 1000000 kbps
Adjusted downstream data rate: 1000000 kbps
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
次のコマンドは、加入者セッション27のcos2を再活性化します。
user@host1> request network-access aaa subscriber add service-profile cos2 session-id 27 Successful completion
再アクティブ化されたcos2サービスの新しいサービスセッションIDは36になりました。
user@host1> show subscribers extensive
...
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
Service Session ID: 36
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 15:58:23 IST
再アクティブ化されたcos2サービスは、サービスプロファイルのデフォルトのシェーピングレートである10Mbpsを使用します。
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 10000000
adjustment-value: 10000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
次に、Activate-Service VSA(26-65)を含む RADIUS CoA リクエストを受信します。VSAは、サービスを指定してアクティブ化し、cos2のシェーピングレートをデフォルトの10Mbpsから12Mbpsに変更します。cos2サービスセッション36は、出力にはまだ表示されますが、CoA49によって開始された新しいサービスセッションに取って代わられます。
user@host1> show subscribers extensive
...
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
Service Session ID: 36
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 15:58:23 IST
Service Session ID: 49
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 16:25:04 IST
Dynamic configuration:
shaping-rate: 12000000
shaping-rate-in: 10m
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 12000000
adjustment-value: 12000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
CLI設定とRADIUS VSA(26-65)の両方でサービスが適用されるが、パラメータが異なる場合、RADIUS設定がCLI設定よりも優先されます。次の例では、CLI設定がシェーピングレートに値31Mbpsのcos2サービスプロファイルを適用しています。
[edit] user@host# set services l2tp tunnel-group tg1 service-profile cos2(31000000)
RADIUS Access-AcceptメッセージサービスアクティベーションVSA(26-65)は、シェーピングレートに値21Mbpsのcos2を適用します。
l2tp@l2tp.com User-Password := "bras"
Auth-Type = Local,
Service-Type = Framed-User,
Framed-Protocol = PPP,
ERX-Service-Activate:1 += 'cos2(21000000)',
CLI設定は、サービスセッション22を31Mbpsのシェーピングレートでアクティブにします。RADIUS VSA は、21 Mbps のシェーピング レートでサービス セッション 23 をアクティブにします。
user@host1> show subscribers extensive
...
Service Session ID: 22
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-16 08:22:03 IST
Dynamic configuration:
shaping-rate: 31000000
shaping-rate-in: 10m
Service Session ID: 23
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-16 08:22:03 IST
Dynamic configuration:
shaping-rate: 21000000
shaping-rate-in: 10m
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 21000000
adjustment-value: 21000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
動的 LNS セッション用のインライン サービス インターフェイスのプールの設定
インライン サービス インターフェイスのプール( サービス デバイス プールとも呼ばれる)を作成して、インターフェイス間での L2TP トラフィックのロード バランシングを有効にすることができます。このプールは動的 LNS 設定でサポートされており、動的に作成して LNS 上の L2TP セッションに割り当てることができる一連の論理インターフェイスを提供します。プールはLNSトンネルグループに割り当てられます。L2TPは、各インラインサービスインターフェイスの状態を維持し、新しいセッション要求が受け入れられたときに、ラウンドロビン方式を使用して、利用可能なインターフェイス間で負荷を均等に分散します。
負荷分散は、動的に作成された加入者インターフェイスでのみ使用できます。
MPC に固定された LNS セッションは、ピア LAC への他のパスが存在する限り、MIC 障害の影響を受けません。ピアインターフェイスをホストしているMPCに障害が発生し、ピアLACへのパスがない場合、障害によりMPC上のすべてのセッションの終了とクリーンアップが開始されます。
LNSセッション自体を固定しているMPCに障害が発生した場合、ルーティングエンジンはセッションを別のスロットに移動しず、すべてのセッションが直ちに終了します。クライアントが再試行すると、別の利用可能なインターフェイスで新しいセッションが立ち上げられることがあります。
サービスデバイスプールを設定するには:
動的 LNS セッションの動的プロファイルの設定
L2TPを設定して、L2TPトンネルのインラインサービスインターフェイスを動的に割り当てることができます。1つ以上の動的プロファイルを定義し、各トンネルグループにプロファイルを割り当てる必要があります。LNSは、IPv4のみ、IPv6のみ、およびデュアルスタックIPv4/IPv6セッションをサポートします。
L2TP動的プロファイルを設定するには:
変更履歴テーブル
サポートされる機能は、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。