Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

L2TP LNSインラインサービスインターフェイス

インライン サービス インターフェイスを使用した L2TP LNS の設定

設定を開始する前に、L2TP LNS 機能ライセンスをインストールする必要があります。そうでない場合は、設定のコミット時に警告メッセージが表示されます。

インラインサービスインターフェイスを持つL2TP LNSを設定するには:

  1. (オプション)トンネル加入者のPPP設定を定義するユーザーグループプロファイルを設定します。
  2. (オプション)インライン サービス インターフェイス上の加入者の PPP 属性を設定します。
  3. インライン IP 再構成を構成します。
  4. 各 LNS クライアント (LAC) の L2TP パラメータを定義する L2TP アクセス プロファイルを設定します。
  5. (オプション)AAAアクセスプロファイルを設定して、ルーティングインスタンスの下で設定されたアクセスプロファイルを上書きします。
  6. トンネル PPP 加入者に動的に割り当てられるアドレスのプールを設定します。
  7. トンネルと PPP サーバー側の IPCP アドレスを終端するようにピア インターフェイスを設定します。

    L2TP LNSピアインターフェイスの設定を参照してください。

  8. MPCでインラインサービスインターフェイスを有効にします。
  9. サービス・インターフェースを設定します。
  10. 各インライン サービス論理インターフェイスのオプションを設定します。
  11. (オプション)集約されたインラインサービスインターフェイスと1:1ステートフル冗長性を設定します。
  12. L2TP トンネル グループを設定します。
  13. (オプション)L2TP論理インターフェイスを動的に作成する動的プロファイルを設定します。

    動的 LNSセッションの動的プロファイルの設定を参照してください。

  14. (オプション)動的LNSセッションのサービスインタフェースプールを設定します。
  15. (オプション)L2TPが未確認の制御メッセージを再送信する回数を指定します。
  16. (オプション)トンネルが破棄されるまでアイドル状態を維持できる時間を指定します。
  17. (オプション) L2TP トンネルの L2TP 受信ウィンドウ サイズを指定します。受信ウィンドウ サイズは、ルーターからの確認応答を待つ前にピアが送信できるパケット数を指定します。

    「L2TP 受信ウィンドウ サイズの設定」を参照してください。

  18. (オプション)L2TPが終了した動的トンネル、セッション、および宛先に関する情報を保持する期間を指定します。

    L2TP破壊タイムアウトの設定を参照してください。

  19. (オプション)L2TP 宛先ロックアウトのタイムアウトを設定します。
  20. (オプション) L2TP トンネル スイッチングを設定します。

    L2TP トンネル スイッチングの設定を参照してください。

  21. (オプション)L2TP の新しいセッション、宛先、またはトンネルの作成を防止します。

    L2TPドレインの設定を参照してください。

  22. (オプション)再同期にL2TPフェイルオーバープロトコルをネゴシエートするか、サイレントフェイルオーバー方式を使用するかを設定します。

    L2TPピア再同期方式の設定を参照してください。

  23. (オプション) SNMP 統計カウンターを有効にします。
  24. (オプション)設定のトラブルシューティング用のトレースオプションを設定します。

また、LNS セッションの CoS も設定する必要があります。詳細については、 L2TP LNSインライン サービス向けのダイナミック CoS の設定を参照してください。

インライン サービス インターフェイスごとの L2TP LNS 加入者への PPP 属性の適用

インラインサービス(si)インターフェイス上のLNSによって、LACからトンネリングされたPPP加入者に適用されるPPP属性を設定できます。ユーザーグループプロファイルではなくインターフェイスごとに属性を設定するため、加入者の属性をより細かく変更できます。この設定は、終端した PPPoE 加入者に使用される設定と一致します。

動的に作成された si インターフェイスの PPP 属性を設定するには、次の手順に従います。

  1. 動的プロファイルで、定義済みの動的インターフェイス変数および論理インターフェイス変数を指定します。
  2. LNS で終端する L2TP トンネルの PPP キープアライブ メッセージの間隔を設定します。
  3. LNS でトンネリングされた PPP 加入者に適用される PPP 認証方法を設定します。
  4. AAA オプションセットで指定された加入者および AAA コンテキストを使用してログインしている LNS で、トンネル PPP 加入者の認証と許可に使用される一連の AAA オプションを指定します。

    オプション セットは、 階層レベルで ステートメントを使用して aaa-options aaa-options-name 構成します [edit access]

  5. LNS でトンネルされた PPP 加入者の IPCP ネゴシエーション中に、プライマリとセカンダリの両方の DNS アドレスをネゴシエートするように顧客宅内機器(CPE)にプロンプトを表示するようにルーターを設定します。
  6. (オプション)LCPネゴシエーション中およびLCPキープアライブ(エコーリクエスト/エコー応答)交換中のPPPマジックナンバーの検証を無効にします。受信したマジックナンバーと内部で生成されたマジックナンバーの比較を防止し、不一致によってセッションが終了することはありません。

静的に作成されたsiインターフェイスのPPP属性を設定するには、次の手順に従います。

  1. 論理インライン サービス インターフェイスを指定します。

  2. LNS で終端する L2TP トンネルの PPP キープアライブ メッセージの間隔を設定します。

  3. ネットワークがリンクを切断する前に、宛先がキープアライブ パケットの受信に失敗しなければならない数を設定します。

    メモ:

    通常、このオプションは keepalives up-count 加入者の管理には使用されません。

  4. LNS でトンネリングされた PPP 加入者に適用される PPP 認証方法を設定します。

  5. LNS でトンネルされた PPP 加入者の IPCP ネゴシエーション中に、プライマリとセカンダリの両方の DNS アドレスをネゴシエートするように顧客宅内機器(CPE)にプロンプトを表示するようにルーターを設定します。

ベスト プラクティス:

ppp-options従属する他のすべてのステートメント(および papに従属chapするステートメントを含む)はサポートされますが、通常は加入者の管理には使用されません。これらの他のステートメントはデフォルト値のままにしておくことをお勧めします。

メモ:

また、LAC クライアント上でそのプロファイルを持つすべての加入者に属性を適用するユーザグループプロファイルで PPP 属性を設定することもできます。詳細については、「 ユーザ グループ プロファイルを使用した L2TP LNS サブスクライバへの PPP 属性の適用 」を参照してください。SIインターフェイスとユーザーグループプロファイルの両方でL2TP LNS加入者のPPP属性を設定する場合、インラインサービスインターフェイスの設定がユーザーグループプロファイルの設定よりも優先されます。

メモ:

PPP オプションがグループプロファイルと動的プロファイルの両方で設定されている場合、動的プロファイルにグループプロファイルで設定可能な PPP オプションが 1 つ以上含まれていると、動的プロファイル設定がグループプロファイルよりも完全に優先されます。完全な優先順位は、プロファイル間でオプションのマージがないことを意味します。グループ・プロファイルが加入者に適用されるのは,動的プロファイルにグループ・プロファイルで使用可能なPPPオプションが含まれていない場合だけです。

ユーザグループプロファイルを使用したL2TP LNS加入者へのPPP属性の適用

LNSがLACからトンネリングされたPPP加入者にPPP属性を適用できるようにするユーザーグループプロファイルを設定できます。ユーザーグループプロファイルは、L2TPアクセスプロファイル内のクライアント(LAC)に関連付けられます。その結果、特定のクライアントによって処理されるすべての加入者は、同じ PPP 属性を共有します。

ユーザーグループプロファイルを設定するには:

  1. プロファイルを作成します。
  2. LNS で終端する L2TP トンネルの PPP キープアライブ メッセージの間隔を設定します。
    メモ:

    ユーザーグループプロファイルのキープアライブ間隔の変更は、変更後に起動する新しいL2TPセッションにのみ影響します。既存のセッションは影響を受けません。

  3. LNS でトンネリングされた PPP 加入者に適用される PPP 認証方法を設定します。
  4. AAA オプションセットで指定された加入者および AAA コンテキストを使用してログインしている LNS で、トンネル PPP 加入者の認証と許可に使用される一連の AAA オプションを指定します。

    オプション セットは、 階層レベルで ステートメントを使用して aaa-options aaa-options-name 構成します [edit access]

  5. LNS でトンネルされた PPP 加入者の IPCP ネゴシエーション中に、プライマリとセカンダリの両方の DNS アドレスをネゴシエートするように顧客宅内機器(CPE)にプロンプトを表示するようにルーターを設定します。
  6. (オプション)LCP キープアライブ(エコー要求/エコー応答)交換でリモート ピアから受信した PPP マジック ナンバーの検証チェックをパケット転送エンジンが実行できないようにします。これにより、番号がLCPネゴシエーション中に合意された値と一致しない場合に、PPPがセッションを終了することを防ぎます。この機能は、リモート PPP ピアのキープアライブ パケットに任意のマジック ナンバーが含まれている場合に役立ちます。このステートメントを設定しても、LCPマジックナンバーネゴシエーションや、リモートピアマジックナンバーが予期されたネゴシエート番号である場合のキープアライブの交換には影響しません。
  7. PPP加入者セッションがタイムアウトしたと見なされるまでにアイドル状態を維持できる時間を設定します。
メモ:

また、PPP 属性をインターフェイスごとに設定することもできます。詳細については、 インライン サービス インターフェイスごとの L2TP LNS サブスクライバへの PPP 属性の適用 を参照してください。SIインターフェイスとユーザーグループプロファイルの両方でL2TP LNS加入者のPPP属性を設定する場合、インラインサービスインターフェイスの設定がユーザーグループプロファイルの設定よりも優先されます。

メモ:

PPP オプションがグループプロファイルと動的プロファイルの両方で設定されている場合、動的プロファイルにグループプロファイルで設定可能な PPP オプションが 1 つ以上含まれていると、動的プロファイル設定がグループプロファイルよりも完全に優先されます。完全な優先順位は、プロファイル間でオプションのマージがないことを意味します。グループ・プロファイルが加入者に適用されるのは,動的プロファイルにグループ・プロファイルで使用可能なPPPオプションが含まれていない場合だけです。

LNSでのL2TPアクセスプロファイルの設定

アクセスプロファイルは、レイヤー2トンネリングプロトコル(L2TP)接続とセッションリクエストを検証する方法を定義します。各 L2TP アクセス プロファイル内で、1 つ以上のクライアント (LAC) を設定します。クライアント特性は、パスワードが一致する LAC の認証、およびクライアント トンネルとセッションの属性の確立に使用されます。複数のアクセス プロファイルと、各プロファイル内に複数のクライアントを設定できます。

L2TPアクセスプロファイルを設定するには:

  1. アクセスプロファイルを作成します。
  2. 1つ以上のクライアント(LAC)の特性を設定します。
    メモ:

    クライアントの特殊なケース default を除き、アクセスプロファイルで設定するLACクライアント名は、LACのホスト名と一致する必要があります。LACとして動作するジュニパーネットワークスのルーターの場合、ホスト名は、階層レベルでゲートウェイgateway-nameステートメント [edit access tunnel-profile profile-name tunnel tunnel-id source-gateway] を使用してLACトンネルプロファイルに設定されます。または、RADIUSの属性Tunnel-Client-Auth-ID [90]にクライアント名を返すこともできます。

    メモ:

    デフォルトのトンネルクライアントを定義する場合、クライアント名として使用します default 。デフォルト クライアントでは、同じシークレットと L2TP 属性を持つ複数の LAC の認証が可能です。この動作は、たとえば、多くの新しい LAC がネットワークに追加された場合に役立ちます。これにより、追加の LNS プロファイル設定なしで LAC を使用できるようになります。

    MXシリーズルーターでのみ使用します default 。M シリーズ ルーター *上の同等のクライアント名は です。

  3. (オプション)グローバル アクセス プロファイルとトンネル グループ AAA アクセス プロファイルを上書きするローカル アクセス プロファイルを指定して、クライアントの RADIUS サーバ設定を行います。
  4. PPP クライアントとリンク制御プロトコル(LCP)を再ネゴシエートするように LNS を設定します。 クライアントからトンネゴライズされます。
  5. LACのすべての加入者にサービスを適用するために、1つ以上の動的サービスプロファイルを設定します。必要に応じて、同じステートメントでサービスにパラメーターを渡すことができます。
  6. クライアント(LAC)からトンネルで許可されるセッションの最大数を設定します。
  7. L2TP セッションの数が設定された最大値に達したときに、LAC に送信する CDN メッセージの結果コード 4 と 5 を結果コード 2 で上書きするように LNS を構成します。一部のサードパーティ LAC は、結果コードの値が 2 でない限り、別の LNS にフェイルオーバーできません。
  8. クライアント(LAC)の認証に使用するトンネルパスワードを設定します。
  9. (オプション)このLACクライアントからトンネリングされるPPPセッションに適用するPPP属性を含むグループプロファイルを関連付けます。
    メモ:

    が変更または削除されると user-group-profile 、このレイヤ 2 トンネリング プロトコル クライアント設定を使用していた既存の LNS サブスクライバがダウンします。

LNSでのAAAローカルアクセスプロファイルの設定

一部の LNS トンネルでは、トンネルをホストするルーティングインスタンスで設定されたアクセスプロファイルを、特定の RADIUS サーバー設定で上書きしたい場合があります。そのために、ローカル アクセス プロファイルを構成できます。その後、 ステートメントを使用して aaa-access-profile 、トンネル グループまたは LAC クライアントにローカル アクセス プロファイルを適用できます。

クライアントに適用されたローカル アクセス プロファイルは、トンネル グループに適用されたローカル アクセス プロファイルを上書きし、トンネル グループはルーティング インスタンスのアクセス プロファイルを上書きします。

AAAローカルアクセスプロファイルを設定するには:

  1. アクセスプロファイルを作成します。
  2. AAA 認証方法の順序を設定します。
  3. 認証パスワードなどのRADIUSサーバー属性を設定します。

インライン サービスを使用した L2TP LNS のアドレス割り当てプールの設定

トンネルされた PPP 加入者に動的に割り当てることができるアドレスのプールを設定することができます。プールは、加入者が立ち上がるルーティングインスタンスに対してローカルでなければなりません。設定されたプールは、RADIUSフレームプールおよびフレームIPv6プール属性で提供されます。プールは、フレームIPアドレスがRADIUSによって送信される場合、オプションです。

アドレス割り当てプールを設定するには、プールの名前を指定し、プールのアドレスを設定する必要があります。

オプションで、アドレス割り当てプール内に複数のアドレスの名前付き範囲(またはサブセット)を設定できます。動的アドレス割り当て時に、特定の名前付き範囲からクライアントに割り当てることができます。名前付き範囲を作成するには、範囲の名前を指定し、アドレス範囲を定義します。

メモ:

アドレス プール (address-pool) ステートメントではなく、アドレス割り当てプール (address-assignment) ステートメントを使用してください。

アドレス割り当てプールの詳細については、「アドレス割り当てプールの概要」および「アドレス割り当てプールの構成の概要」を参照してください。

L2TP LNS の IPv4 アドレス割り当てプールを設定するには、次の手順に従います。

  1. プールの名前を設定し、IPv4ファミリーを指定します。
  2. プール内のアドレスのネットワーク アドレスとプレフィックス長を構成します。
  3. 範囲の名前と、範囲内のアドレスの下限と上限を設定します。

たとえば、IPv4 アドレス割り当てプールを設定するには、次のようにします。

L2TP LNS の IPv6 アドレス割り当てプールを設定するには、次の手順に従います。

  1. プールの名前を設定し、IPv6ファミリーを指定します。

  2. アドレスプールのIPv6ネットワークプレフィックスを設定します。プレフィックス指定は、IPv6 アドレス割り当てプールを構成する場合に必要です。

  3. 範囲の名前を設定し、範囲を定義します。範囲は、範囲内のプレフィックスの下限と上限、または範囲内のプレフィックスの長さに基づいて定義できます。

たとえば、IPv6 アドレス割り当てプールを設定するには、次のようにします。

L2TP LNSピアインターフェイスの設定

ピア インターフェイスは、トンネルのエンドポイント間で IP パケットを交換できるように、LNS をクラウドの LAC に向けて接続します。MPLSと集合型イーサネットを使用して、LACに到達することもできます。

メモ:

MX シリーズ ルーターでは、MPC でピア インターフェイスを設定する必要があります。

LNS ピア インターフェイスを設定するには、次の手順に従います。

  1. インターフェイス名を指定します。
  2. VLANを有効にします。
  3. 論理インターフェイスを指定し、インターフェイスにVLANタグIDをバインドし、論理インターフェイスのアドレスファミリーとIPアドレスを設定します。
    メモ:

    IPv6 アドレスファミリーは、トンネルエンドポイントとしてサポートされていません。

インラインサービスインターフェイスの有効化

インライン サービス インターフェイスは、パケット転送エンジン上に置かれる仮想物理インターフェイスです。この si インターフェイスは アンカー インターフェイスと呼ばれ、特別なサービス PIC なしで L2TP サービスを提供することを可能にします。インライン サービス インターフェイスは、MX シリーズ ルーター上の MPC でのみサポートされます。インライン サービス インターフェイスは、MPC が占有するシャーシ スロットごとに 4 つ設定できます。

メモ:

MX80およびMX104ルーターでは、L2TP LNSセッションのアンカーインターフェイスとして設定できるインラインサービス物理インターフェイスは、si-1/0/0、si-1/1/0、si-1/2/0、si-1/3/0の4つだけです。MX80およびMX104ルーターでは、この目的でsi-0/0/0を設定することはできません。

帯域幅値の範囲は 1 Gbps から 400 Gbps ですが、12,345,878,000 bps などの絶対数で帯域幅を設定することはできません。CLI ステートメントで利用可能なオプションを使用する必要があります。

  • 1g

  • 10g10Gbps 単位: 、 、 、 、 、 50g80g60g90g20g70g40g30g10g100g100g

  • 100g100 Gbps 刻みでスルー400g: 100g、 、 、 200g300g400g

表1に示すように、利用可能な最大帯域幅はMPCによって異なります。MPC でサポートされている帯域幅よりも高い帯域幅を設定すると、システム ログ メッセージが生成されます。

表 1: MPC あたりのインライン サービスの最大帯域幅

Mpc

サポートされる最大帯域幅

MPC2E NG、MPC2E NG Q、

80Gbps

MPC3E NG、MPC3E NG Q

130Gbps

100 GE および 40 GE MPC3 および MIC

40Gbps

MPC4E

130Gbps

MPC5E

130Gbps

MPC6E

130Gbps

MPC7E

240Gbps

MPC8E

240Gbps

1.6Tbpsアップグレードモードで400Gbps

MPC9E

400Gbps

インライン サービス インターフェイスを有効にするには:

  1. MPCが占有しているスロットと、インターフェイスを有効にするPICにアクセスします。
  2. インターフェイスを有効にし、オプションで、インラインサービスを使用するトンネルトラフィック用に各パケット転送エンジンで予約されている帯域幅の量を指定します。Junos OS リリース 16.2 以降では、インライン サービスを使用して L2TP LNS トンネル トラフィックの帯域幅を明示的に指定する必要はありません。帯域幅を指定しない場合、PICでサポートされている最大帯域幅がインラインサービスで自動的に利用可能になります。インライン サービスは、この最大値まで使用できます。それ以前のリリースでは、 ステートメントで inline-services インラインサービスを有効にするときに帯域幅を指定する必要があります。

L2TP LNS のインライン サービス インターフェイスの設定

インライン サービス インターフェイスは、パケット転送エンジン上に置かれる仮想物理サービス インターフェイスです。この si インターフェイスは アンカー インターフェイスと呼ばれ、特別なサービス PIC なしで L2TP サービスを提供することを可能にします。インライン サービス インターフェイスは、MX シリーズ ルーター上の MPC でのみサポートされます。インライン サービス インターフェイスは、MPC が占有するシャーシ スロットごとに 4 つ設定できます。

階層レベルの最大数を 2 に設定することで、1 つのサービスインターフェイスでシェーピングできるセッションの数を最大化できます。この場合、各LNSセッションは、シェーピングのためにスケジューラ階層内の1つのL3ノードを消費します。

レベル数を指定しない場合(2 つが唯一のオプション)、サービスインタフェースでシェーピングできる LNS セッションの数は、L2 ノードの数または 4096 セッションに制限されます。追加のセッションはまだ登場しますが、形作られていません。

インラインサービスインターフェイスを設定するには:

  1. サービス インターフェイスにアクセスします。
  2. (オプション、セッション単位のシェーピングのみ)階層スケジューラのインライン サービス インターフェイスを有効にし、スケジューラ レベルの数を 2 に制限します。
  3. (オプション、セッション単位のシェーピングのみ)インライン サービス インターフェイスのサービス カプセル化を設定します。
  4. 予約ユニット 0 の論理インターフェイスで IPv4 ファミリーを設定します。

LNSインラインサービス論理インターフェイスのオプションの設定

LNS に設定するインラインサービス論理インターフェイスごとに、特性 —dial-options を指定する必要があります。MX シリーズ ルーター上の LNS は、論理インターフェイスごとに 1 つのセッションのみをサポートするため、インターフェイスとして dedicated 設定する必要があります。このオプション shared はサポートされていません。(MシリーズルーターのLNSは、 と dedicated shared オプションをサポートしています。)また、アクセスプロファイルで指定した名前と一致する識別名を論理インターフェイスにも設定します。

アドレスファミリーは、inet各静的論理インターフェイスまたは動的 LNS インターフェイスの動的プロファイルで指定する必要があります。CLI はスタティック論理インターフェイスに対して または inet6 のいずれかinetを受け入れますが、アドレスファミリーinetが設定されていないと、加入者が正常にログインできません。

メモ:

動的インターフェイス設定については、動的 LNSセッションの動的プロファイルの設定を参照してください。

静的論理インターフェイスのオプションを設定するには:

  1. インライン サービスの論理インターフェイスにアクセスします。
  2. 論理インターフェイスの識別子を指定します。
  3. 論理インターフェイスが一度に 1 つのセッションにのみ使用されるように設定します。
  4. 各論理インターフェイスのアドレスファミリーを設定し、L2TPトンネルのローカル終端を提供するLNSのローカルアドレスを、指定されたインターフェイス名から取得できるようにします。

LNS 1:1 ステートフル冗長性の概要

デフォルトでは、インライン サービス(si)アンカー インターフェイスがダウンすると(たとえば、インターフェイスをホストするカードの障害や再起動が発生した場合)、L2TP 加入者トラフィックは失われます。その後、トンネルの PPP キープアライブ タイマーが期限切れになると、コントロール プレーンがダウンし、PPP クライアントが切断されます。その結果、クライアントは再接続する必要があります。

このような状況でのトラフィック喪失を回避するには、集約型インラインサービスインターフェイス(ASI)バンドルを設定して、ホットスタンバイまたはアクティブバックアップ冗長性とも呼ばれる、1:1のステートフル冗長性を提供します。バンドルは、一対のsi物理インタフェース、プライマリ(アクティブ)メンバーリンクとセカンダリ(スタンバイまたはバックアップ)メンバーリンクで構成されています。これらのインターフェイスは、異なる MPC で設定する必要があります。プライマリ インターフェイスとセカンダリ インターフェイスを同じ MPC に設定した場合、カードがダウンすると両方のメンバー インターフェイスがダウンするため、冗長性を確保できません。

加入者がログインし、1:1の冗長性が構成されている場合、L2TPセッションは、asi0物理インターフェイス上の基盤となる仮想論理インターフェイス(asi.0x)上で確立されます。個々の加入者論理インターフェイスは、asiX.の形式で基盤となるインターフェイス上に作成されます。logical-unit-numberプライマリメンバーリンクインターフェイスをホストしているMPCで障害または再起動が発生した場合でも、セッションは稼働したままになります。このL2TPセッションを宛先とするすべてのデータトラフィックは、自動的に他のMPCのセカンダリメンバーリンクインターフェイスに移動します。

集約型インラインサービスインターフェイスでの1:1 LNSステートフル冗長性の設定

集約型インラインサービスインターフェイス(asi)バンドルを作成して、インラインサービス(si)アンカーインターフェイスに1:1 LNSステートフル冗長性を提供できます。バンドルは、プライマリリンクとセカンダリリンクとして異なるMPCに存在する2つのインターフェイスをペアにします。その後、LNSセッションは仮想論理インターフェイスasiX.logical-unit-numberを介して確立されます。LNS セッション フェールオーバーは、プライマリ アンカー インターフェイスがダウンしたとき、または コマンドを使用してカードが再起動 request chassis fpc restart されたときに発生します。この場合、別のMPC上のセカンダリリンクがアクティブになり、セッションを宛先とするすべてのLNSデータトラフィックが自動的にセカンダリインターフェイスに移動します。サブスクライバ セッションは asiX. 仮想インターフェイスで稼働したままになります。logical-unit-number トラフィック統計は失われません。この冗長性が構成されていない場合、加入者のトラフィックは失われ、キープアライブは期限切れになり、PPP クライアントは切断されて再接続する必要があります。

開始する前に、次の操作を行う必要があります。

  • 拡張加入者管理が有効になっていることを確認します。

  • インラインサービスインターフェイスを異なるMPC上に作成し、バンドルに集約します。

    インライン サービス インターフェイスの 有効化 および L2TP LNS のインライン サービス インターフェイスの設定を参照してください。

  • サービス・インターフェースのプールを使用する場合は、サービス・プールを定義します。

ベスト プラクティス:

以下のガイドラインに従います。

  • バンドルごとに を設定する必要があります unit 0 family inet 。設定しないと、セッションの起動に失敗します。

  • プライマリ(アクティブ)およびセカンダリ(バックアップ)インターフェイスは、異なるMPC上にある必要があります。

  • 階層レベルで設定される帯域幅は、 [edit chassis fpc slot pic number inline-services bandwidth] 両方のメンバーリンクで同じである必要があります。

  • 集約型インライン サービス インターフェイス バンドルのメンバーとして設定された si インターフェイスは、別のバンドル グループのメンバーとして設定できません。

  • 集約されたインライン・サービス・インターフェース・バンドルのメンバーとして構成された si インターフェースは、集約されたサービスに関連しない機能には使用できません。例えば、インライン IP 再構成には使用できません。

  • siインターフェイスを集約されたインラインサービスバンドルのメンバーとして設定する場合、そのsiインターフェイスを個別に設定することはできなくなります。親バンドルのみを設定できます。バンドルの設定は、すべてのメンバーインターフェイスに直ちに適用されます。

1:1 LNS ステートフル冗長性を設定するには、次の手順に従います。

  1. 1つのMPCで、バンドル内の1次(アクティブ)インラインサービスメンバーリンクを指定します。
  2. プライマリインラインサービスインターフェイスを使用して、このMPCでトンネルトラフィック用に予約されている帯域幅の量を設定します。
  3. 別のMPCで、バンドル内のセカンダリ(バックアップ)インラインサービスメンバーリンクを指定します。
    メモ:

    アクティブ メンバー リンクとバックアップ メンバー リンクを同じ MPC に設定した場合、それ以降の設定のコミットは失敗します。

  4. セカンダリインラインサービスインターフェイスを使用して、このMPCでトンネルトラフィック用に予約されている帯域幅の量を設定します。
  5. 集約されたインライン サービス インターフェイス バンドルを、次のいずれかの方法で L2TP トンネル グループに割り当てます。
    • 集約されたインラインサービス物理インターフェイスの名前を指定して、単一のバンドルを割り当てます。

    • 1 つ以上のバンドル プールをトンネル グループに割り当てます。

      メモ:

      プールは混在させることができます。つまり、集約されたインラインサービスインターフェイスバンドルと個々のインラインサービスインターフェイスの両方を含めることができます。個々のインターフェイスは、既存のバンドルのメンバーであってはなりません。

次の設定例では、スロット 1 とスロット 2 の MPC にメンバー リンクを持つバンドル asi0 を作成し、トンネル グループ tg1 の L2TP セッションに冗長性を提供するバンドルを割り当てます。

LNS集約型インラインサービスインターフェイス1:1冗長性の検証

目的

集約されたインラインサービスインターフェイスバンドル、個々のメンバーリンク、および冗長性ステータスに関する情報を表示します。

アクション

  • 集約されたインラインサービスインターフェイスバンドルに関する概要情報を表示するには:

  • 集約されたインラインサービスインターフェイスバンドルに関する詳細情報を表示するには:

  • 集約されたインラインサービスインターフェイスバンドル内の個々のメンバーインターフェイスに関する情報を表示するには:

  • 集約されたインラインサービスインターフェイスバンドルの冗長性ステータスを表示するには:

    このサンプル出力は、集合型イーサネットと集約型インラインサービスインターフェイスの両方が冗長性を考慮して設定されていることを示しています。集約されたインラインサービスインターフェイスバンドルの1つだけを表示するには:

  • 設定されたすべての冗長インターフェイスに関する詳細情報を表示するには:

サービスインターフェイスのL2TPセッション制限とロードバランシング

LNS は、インターフェイスで現在アクティブなセッションの数に基づいて、デバイス プール内の使用可能なサービス インターフェイス間で加入者セッションのロード バランシングを行います。最大制限は、サービス インターフェイス(si)ごと、および集約されたサービス インターフェイス(asi)ごとに設定できます。asi インターフェイスの場合、バンドル内の個々の si メンバー インターフェイスに制限を設定することはできません。

サービスインターフェイスのセッション制限

サービスインタフェースに対してL2TPセッション要求が開始されると、LNSは、そのインタフェース上の現在アクティブなセッションの数を、個々のサービスインタフェースまたは集約されたサービスインタフェースに許可されているセッションの最大数と照合します。LNSは、現在のセッション数(コマンドで show services l2tp summary 表示)が構成された制限を下回っているかどうかを判断します。これが当てはまる場合、または制限が設定されていない場合、チェックに合格し、セッションを確立できます。現在のセッション数が設定された制限と等しい場合、LNSはセッション要求を拒否します。アクティブな要求の数が構成された最大値を下回るまで、そのインターフェイスで後続の要求を受け入れることはできません。siまたはasiインターフェイスのセッション要求が拒否されると、LNSは結果コードを2に、エラーコードを4に設定したCDNメッセージを返します。

たとえば、トンネル グループに 1 つのサービス インターフェイスが設定されているとします。現在の L2TP セッション数は 1500 で、2000 セッションの制限が構成されています。新しいセッションが要求されると、制限チェックに合格し、セッション要求が受け入れられます。

インターフェイス

構成されたセッション制限

現在のセッション数

セッション制限チェック結果

SI-0/0/0

2000

1500

渡す

制限チェックは引き続き合格し、500 要求が受け入れられるまでセッション要求が受け入れられ、現在のセッション数は構成された最大値と一致する 2000 になります。後続のすべての要求でセッション制限チェックが失敗し、インターフェイス上の現在のセッション数が 2000 を下回るまですべての要求が拒否されるため、制限チェックは合格できます。

インターフェイス

構成されたセッション制限

現在のセッション数

セッション制限チェック結果

SI-0/0/0

2000

2000

失敗

インターフェイスのセッション制限がゼロに設定されている場合、セッション要求は受け入れられません。それがトンネル グループ内の唯一のインターフェイスである場合、セッション制限がゼロから増加するか、別のサービス インターフェイスがトンネル グループに追加されるまで、グループ内のすべてのセッション要求は拒否されます。

サービスデバイスプール内のサービスインタフェースが設定された最大制限に達した場合、または設定された制限がゼロの場合、LNSはセッション要求が行われたときにそのインタフェースをスキップし、プール内の別のインタフェースを選択してセッション制限を確認します。これは、インターフェイスがパスされてセッションが受け入れられるか、選択する他のインターフェイスがプールに残らなくなるまで続きます。

サービスインターフェイス間のセッションロードバランシング

Junos OSリリース16.2で、サービスデバイスプールでのセッション負荷分散の動作が変更されました。サービス インターフェイスのセッション数がプール内の別のインターフェイスよりも少なく、両方のインターフェイスが最大セッション制限を下回っている場合、後続のセッションはセッション数の少ないインターフェイスに分散されます。

以前のリリースでは、セッション数はに関係なく、セッションは厳密にラウンドロビン方式で分散されます。以前の動作では、パケット転送エンジンが再起動されたとき、またはサービス インターフェイスがダウンして復旧したときに、セッションの分散が不均一になる可能性があります。

たとえば、2 つのサービス インターフェイスを持つプールに対して古いラウンドロビン分散動作を使用する次のシナリオを考えてみます。

  1. 200 セッションが 2 つのサービス インターフェイス全体に均等に分散されます。

    • si-0/0/0には100セッションあります。

    • si-1/0/0 には 100 セッションがあります。

  2. si-1/0/0インターフェイスが再起動します。戻ってくると、最初はセッションはsi-0/0/0でのみアップします。

    • si-0/0/0には100セッションあります。

    • si-1/0/0 のセッションは 0 です。

  3. 以前はsi-1/0/0であったセッションが再接続されると、両方のサービスインターフェイスに均等に分散されます。100 セッションすべてがバックアップされると、分散は著しく不均衡になります。

    • si-0/0/0には150のセッションがあります。

    • si-1/0/0 には 50 のセッションがあります。

  4. 100 個の新しいセッションが接続されると、si-0/0/0 が上限に達します。後続のセッションは si-1/0/0 でのみ受け付けられます。

    • si-0/0/0には200のセッションがあります。

    • si-1/0/0 には 100 セッションがあります。

  5. さらに 100 セッション接続すると、si-1/0/0 が上限に達します。インターフェイスの 1 つのセッション数が 200 を下回るまで、これ以上セッションを受け入れることはできません。

    • si-0/0/0には200のセッションがあります。

    • si-1/0/0 には 200 セッションがあります。

次に、接続されているセッションの数に基づく現在の負荷分散動作を使用して、同じシナリオを考えてみましょう。デバイス プールには、それぞれ 2 つのサービス インターフェイスがあり、それぞれに 200 セッションの最大制限が設定されています。

  1. 200 セッションが 2 つのサービス インターフェイス全体に均等に分散されます。

    • si-0/0/0には100セッションあります。

    • si-1/0/0 には 100 セッションがあります。

  2. si-1/0/0インターフェイスが再起動します。復旧すると、セッションは最初はsi-0/0/0でのみ起動します。

    • si-0/0/0には100セッションあります。

    • si-1/0/0 のセッションは 0 です。

  3. 以前はsi-1/0/0であったセッションが再接続されると、各インターフェイスのセッション負荷に応じて分散されます。どちらのインターフェイスも上限を下回っており、si-1/0/0のセッション数はsi-0/0/0よりも少ないため、セッションは最初はsi-1/0/0にのみ分散されます。

    1. 1回の新規セッションの後:

      • si-0/0/0には100セッションあります。

      • si-1/0/0 には 1 つのセッションがあります。

    2. 10回の新しいセッションの後:

      • si-0/0/0には100セッションあります。

      • si-1/0/0 には 10 のセッションがあります。

    3. 100回の新規セッションの後:

      • si-0/0/0には100セッションあります。

      • si-1/0/0 には 100 セッションがあります。

  4. 現在、両方のインターフェイスのセッション数は同じであるため、次のセッション(#101)は2つのインターフェイス間でランダムに分散されます。その後の次のセッション(#102)は、セッション数の少ないインターフェイスに移動します。これにより、インターフェイスが再び等しくなるため、次のセッション(#103)はランダムに分散されます。このパターンは、両方のインターフェイスでセッションの上限である 200 セッションまで繰り返されます。

    • si-0/0/0には200のセッションがあります。

    • si-1/0/0 には 200 セッションがあります。

    いずれかのインターフェイスでセッション数が 200 を下回るまで、どちらのインターフェイスでもセッションを受け入れることはできません。

ロードバランシングの動作は、集約されたサービスインターフェイスの場合と同じです。ASIインターフェイスは、ASIインターフェイスの現在のセッション数に基づいてプールから選択されます。そのカウントが最大値未満の場合、LNSはasiバンドル内のアクティブなsiインターフェイスの現在のセッションカウントをチェックします。その数が最大値より少ない場合、ASIインターフェイスでセッションを確立できます。

サービスインターフェイスと集約されたサービスインターフェイスの両方を持つ混合デバイスプールでは、セッションはセッション数が最も少ないインターフェイス(asiまたはsi)に分散されます。いずれかのタイプのインターフェイスのセッション数が上限に達すると、そのセッション数は最大値を下回るまでセッションを受け入れることができなくなります。

セッション制限設定を使用して、特定のパケット転送エンジンのセッション制限を実現できます。2つのサービス・インターフェースを持つPFE0で、セッション数を100に制限したいとします。各インターフェイスの最大制限を 50 に設定するか、合計が 100 になるその他の組み合わせを設定して、PFE0 制限を設定できます。

例:L2TP LNSの設定

この例では、MX シリーズ ルーターで L2TP LNS を構成し、ネットワーク内の L2TP LAC のトンネル エンドポイントを提供する方法を示します。この設定には、デュアルスタック加入者向けの動的プロファイルが含まれています。

要件

この L2TP LNS の例では、次のハードウェアとソフトウェアが必要です。

  • MX シリーズ 5G ユニバーサル ルーティング プラットフォーム

  • 1 つ以上の MPC

  • Junos OS リリース 11.4 以降

この機能を設定する前に、デバイスの初期化以上の特別な設定を行う必要はありません。

この例を機能させるには、LNS に関連する AAA サーバーの属性リターンリストで、特定の標準 RADIUS 属性とジュニパーネットワークス VSA を設定する必要があります。表 2 に、属性と、必要な順序設定および値をリストします。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/subscriber-access/index.htmlJunos OS加入者管理ページの[ダウンロード]ボックスにある最新のジュニパーネットワークスRADIUS辞書を使用することをお勧めします。

表2:VSAおよび標準のRADIUS属性名、順序、および必要な値

VSA名 [番号]

順序

CoSパラメータタイプ[26–108]

1

T01 マルチプレイ

CoSパラメータタイプ[26–108]

2

T02 10m

CoSパラメータタイプ[26–108]

3

T08 -36

CoSパラメータタイプ[26–108]

4

T07セルモード

フレーム IPv6 プール [100]

0

jnpr_ipv6_pool

フレームプール [88]

0

jnpr_pool

egress-policy-name [26-11]

0

分類

イングレスポリシー名[26-10]

0

分類

仮想ルーター [26-1]

0

既定

概要

LNS は、ユーザ グループ プロファイルを使用して、LAC からトンネリングされた PPP 加入者に PPP 属性を適用します。ネットワーク内の LAC は LNS のクライアントです。クライアントは、LNS に設定された L2TP アクセスプロファイルのユーザグループプロファイルに関連付けられます。この例では、ユーザーグループプロファイル ce-l2tp-group-profile は以下のPPP属性を指定します。

  • LNS で終端するクライアント LAC からの L2TP トンネルの PPP キープアライブ メッセージ間の 30 秒間隔。

  • PPP 加入者セッションがタイムアウトしたと見なされるまでにアイドル状態を維持できる時間を定義する 200 秒間隔。

  • LNS でトンネルされた PPP 加入者に適用される PPP 認証方法としての PAP と CHAP の両方。

L2TP アクセス プロファイル ce-l2tp-profile は、各クライアント LAC の一連の L2TP パラメータを定義します。この例では、ユーザー・グループ・プロファイル ce-l2tp-group-profile は、 lac1 と の両方のクライアントに関連付けられています lac2。どちらのクライアントも、LAC が LNS に渡す事前にネゴシエートされた LCP パラメータを受け入れるのではなく、LNS が PPP クライアントとリンク制御プロトコル(LCP)を再ネゴシエートするように設定されています。また、LCP の再ネゴシエーションにより、LNS によって認証が再ネゴシエートされます。認証方式は、ユーザー・グループ・プロファイルで指定されます。トンネルごとに許可されるセッションの最大数は、 では 1000 、 では lac1 lac24000 に設定されます。LACごとに異なるパスワードが設定されます。

ローカル AAA アクセス プロファイルである aaa-profileでは、グローバル AAA アクセス プロファイルを上書きして、認証順序、L2TP に使用する RADIUS サーバー、サーバーのパスワードを指定できます。

この例では、アドレスプールは、LNSがトンネリングされたPPPセッションに割り当てるIPアドレスの範囲を定義します。この例では、IPv4 アドレスと IPv6 アドレスの範囲を定義します。

2つのインラインサービスインターフェイスは、ルーターのスロット5にあるMPCで有効になっています。各インターフェイスについて、10 Gbpsの帯域幅が、インターフェイスに関連付けられたPFEのトンネルトラフィック用に予約されています。これらの アンカー インターフェイスは、基盤となる物理インターフェイスとして機能します。個々の論理インライン サービス インターフェイスで CoS キューのサポートを有効にするには、アンカーでサービス カプセル化(generic-services)と階層スケジューリング サポートの両方を設定する必要があります。IPv4 アドレスファミリーは、両方のアンカーインターフェイス用に設定されています。どちらのアンカー インターフェイスも、サービス デバイス プールで lns_p1 指定されます。LNS は、トンネル グループにプールが含まれている場合、2 つのアンカー インターフェイス間でトラフィック負荷を分散できます。

この例では、動的プロファイル dyn-lns-profile2 を使用して、加入者が LNS にトンネリングされるときに動的に作成または割り当てられる L2TP セッションの特性を指定します。多くの特性に対して、事前定義された変数が設定されます。加入者が LNS にトンネリングされるときに、変数が適切な値に動的に置き換えられます。

トンネリングされたPPPクライアントが接続するインターフェイス()は、加入者に割り当てられたルーティングインスタンス($junos-interface-name$junos-routing-instance)に動的に作成されます。アクセス ルートのルーティング オプションには、ルートのネクスト ホップ アドレス()、メトリック()、優先度($junos-framed-route-nexthop$junos-framed-route-cost$junos-framed-route-distance)があります。アクセス内部ルートでは、動的IPアドレス変数($junos-subscriber-ip-address)が設定されます。

論理インライン サービス インターフェイスは、設定されたアンカー インターフェイスの名前()と論理ユニット番号($junos-interface-ifd-name$junos-interface-unit)で定義されます。プロファイルは、論理インターフェイスの識別子として割り当てl2tp-encapuslation、各インターフェイスが一度に1つのセッションにのみ使用できることを指定します。

IPv4 アドレスは、AAA サーバーから返された値に設定されます。IPv4 トラフィックの場合、入力ファイアウォール フィルターと出力ファイアウォール フィルター $junos-input-filter $junos-output-filterがインターフェイスにアタッチされます。ループバック変数()は、ルーティングインスタンスに設定されたループバックインターフェイス($junos-loopback-interfacelo)からIPアドレスを導き出し、PPPサーバーアドレスとしてIPCPネゴシエーションで使用します。これはデュアルスタック構成であるため、IPv6アドレスファミリーも設定され、アドレスは 変数によって$junos-ipv6-address提供されます。

$junos-ipv6-addressこの変数が使用されるのは、ルーターアドバタイズプロトコルも設定されているからです。この変数により、AAAは、インターフェイスのローカルアドレスとして予約するプレフィックスの最初のアドレスを割り当てることができます。動的プロファイルのルーターアドバタイズプロトコルの最小設定では、IPv6ネイバーディスカバリルーターアドバタイズメントでプレフィックス値を動的に割り当てるために、 $junos-interface-name および $junos-ipv6-ndra-prefix 変数を指定します。

動的プロファイルには、トンネルトラフィックに適用されるサービスクラス設定も含まれます。トラフィック制御プロファイル()には、スケジューラマップ()、シェーピングレート()、オーバーヘッドアカウンティング(tc-profile$junos-cos-shaping-mode$junos-cos-scheduler-map$junos-cos-shaping-rate)、バイト調整$junos-cos-byte-adjustの変数が含まれています。動的プロファイルは、転送クラス、出力トラフィック制御プロファイル、書き換えルールなどの CoS 設定を動的サービス インターフェイスに適用します。

トンネル グループ設定ではtg-dynamic、LNS セッションの動的作成とセッションの特性の定義に使用されるアクセス プロファイル、ローカル AAA プロファイル、および動的プロファイルce-l2tp-profileaaa-profiledyn-lns-profile2を指定します。サービスデバイスプールはlns_p1、サービスインタフェースのプールをグループに関連付けて、LNSがインタフェース間でトラフィックを分散できるようにします。ローカル ゲートウェイ アドレスは、LAC に設定されているリモート ゲートウェイ アドレス203.0.113.2に対応します。ローカル ゲートウェイ名はce-lns、LAC に設定されているリモート ゲートウェイ名に対応します。

メモ:

この例では、考えられるすべての設定の選択肢が示されているわけではありません。

構成

手順

CLIクイック構成

L2TP LNS をすばやく構成するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除してから、コマンドをコピーして CLI に貼り付けます。

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。

インラインサービスインターフェイスを持つL2TP LNSを設定するには:

  1. トンネル加入者のPPP設定を定義するユーザーグループプロファイルを設定します。

    [edit access]
    user@host# edit group-profile ce-l2tp-group-profile
    [edit access group-profile ce-l2tp-group-profile]
    user@host# set ppp keepalive 30
    user@host# set ppp idle-timeout 200
    user@host# set ppp ppp-options chap
    user@host# set ppp ppp-options pap
    

  2. 各クライアント LAC の L2TP パラメータを定義する L2TP アクセス プロファイルを設定します。これには、ユーザグループプロファイルをクライアントに関連付け、LNSでL2TPセッションを表すインラインサービス論理インターフェイスの識別子を指定することが含まれます。

    メモ:

    が変更または削除されると user-group-profile 、このレイヤ 2 トンネリング プロトコル クライアント設定を使用していた既存の LNS サブスクライバがダウンします。

  3. AAA 認証方式とサーバ属性の順序に応じてグローバル アクセス プロファイルを上書きするように、AAA アクセス プロファイルを設定します。

  4. IPv4 および IPv6 のアドレス割り当てプールを設定して、クライアント(LAC)にアドレスを割り当てます。

  5. トンネルを終端するようにピア インターフェイスと、PPP サーバー側の IPCP アドレス(ループバック アドレス)を設定します。

  6. MPCでインラインサービスインターフェイスを有効にします。

  7. アンカーサービスインターフェイスに、サービスのカプセル化、階層スケジューリング、およびアドレスファミリーを設定します。

  8. 動的LNSセッションのサービスインタフェースのプールを設定します。

  9. デュアルスタック加入者向けのL2TP論理インターフェイスを動的に作成する動的プロファイルを設定します。

  10. シェーピング、スケジューリング、書き換えルールを設定し、トンネルトラフィックに動的プロファイルで適用します。

  11. L2TP トンネル グループを設定して、インライン サービス インターフェイスのプールを使用して動的 LNS セッションを起動し、ロード バランシングを有効にします。

結果

設定モードから、 コマンドを入力して show access 、アクセス プロファイル、グループ プロファイル、AAA プロファイル、アドレス割り当てプールの設定を確認します。コマンドを入力して show chassis 、インラインサービスの設定を確認します。コマンドを入力して show interfaces 、インターフェイスの設定を確認します。コマンドを入力して show dynamic-profiles 、動的プロファイルの設定を確認します。コマンドを入力して show services l2tp 、トンネル グループの設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

インライン サービス インターフェイスとの LNS セッション用の L2TP トンネル グループの設定

L2TP トンネル グループは、LAC クライアント グループからの L2TP トンネルとセッションに適用される属性を指定します。これらの属性には、ローカル ゲートウェイ アドレスで LNS に対して行われた L2TP 接続要求を検証するために使用されるアクセス プロファイル、グローバル アクセス プロファイルを上書きするローカル アクセス プロファイル、キープアライブ タイマー、および IP ToS 値が反映されているかどうかが含まれます。

メモ:

トンネル グループを削除すると、そのトンネル グループ内のすべての L2TP セッションが終了します。、 、または ステートメントの値 local-gateway-addressを変更すると、 service-device-poolこれらの設定を使用するすべての L2TP セッションが service-interface 終了します。階層レベルで他のステートメント [edit services l2tp tunnel-group name] を変更または削除した場合、確立する新しいトンネルでは更新された値が使用されますが、既存のトンネルやセッションは影響を受けません。

LNS トンネル グループを設定するには、次の手順に従います。

  1. トンネル グループを作成します。
    メモ:

    最大 256 個のトンネル グループを作成できます。

  2. LNSでのL2TP処理を担当するサービスアンカーインターフェイスを指定します。

    このサービスアンカーインターフェイスは、静的LNSセッション、およびアンカーインターフェイスのプール全体でトラフィックを分散しない動的LNSセッションに必要です。インターフェイスは、 [edit interfaces] 階層レベルで設定されます。

  3. (オプション、負荷分散動的 LNS セッションの場合のみ)インライン サービス アンカー インターフェイスのプールを指定して、インターフェイス全体で L2TP トラフィックの負荷分散を有効にします。

    プールは 階層レベルで定義されます [edit services service-device-pools]

  4. (動的LNSセッションの場合のみ)L2TPトンネルのインラインサービスインタフェースを定義およびインスタンス化する動的プロファイルの名前を指定します

    プロファイルは、 [edit dynamic-profiles] 階層レベルで定義されます。

  5. ローカルゲートウェイアドレスへのすべてのL2TP接続要求を検証するアクセスプロファイルを指定します。
  6. LNS のローカルゲートウェイアドレスを設定します。これは、LAC が LNS を識別するために使用する IP アドレスに対応します。
  7. (オプション)SCCRP メッセージで LAC に返される LNS のローカル ゲートウェイ名を設定します。名前がLACに設定されたリモートゲートウェイ名と一致していなければ、トンネルを作成できません。
  8. (オプション)LNS が LAC からメッセージを受信していない場合に Hello メッセージを送信する間隔を設定します。
  9. (オプション)グローバル アクセス プロファイルを上書きするローカル アクセス プロファイルを指定して、トンネル グループの RADIUS サーバー設定を行います。

    このローカル プロファイルは、 [edit access profile] 階層レベルで構成されます。

  10. (オプション)内部 IP ヘッダーから外部 IP ヘッダーに IP ToS 値を反映するように LNS を設定します(CoS 設定に適用されます)。
  11. (オプション)ログイン時に L2TP セッションに適用する動的サービス プロファイルと、サービスに渡すパラメータを指定します。

RADIUS を使用せずに L2TP セッションにサービスを適用する

サービスは、アクティベーションのためにL2TPセッションに適用されるか、後でRADIUSサーバーからのベンダー固有属性(VSA)またはRADIUS認証変更(CoA)リクエストによって変更されます。Junos OS リリース 18.1R1 以降、RADIUS を使用せずに動的サービス プロファイルを使用して、L2TP セッションにサービスを適用できます。マルチベンダー環境では、複数のベンダーのVSAを使用しないようにすることで、管理を簡素化するために標準のRADIUS属性のみを使用することができます。しかし、VSAは一般的にサービスを適用する必要があるため、L2TPセッションへのサービスの適用は複雑になります。ローカル動的サービス プロファイルのアクティブ化により、この問題を回避できます。また、ローカル サービス プロファイルのアクティブ化を使用して、RADIUS サーバーがダウンしたときにデフォルト サービスを提供することもできます。

トンネル グループ内のすべての加入者、または特定の LAC を使用するすべての加入者にサービスを適用できます。トンネル グループまたは LAC ホスト名ごとに最大 12 のサービスを設定できます。

サービスを定義する 1 つ以上のダイナミック サービス プロファイルを設定した後、サービス プロファイル名を指定して、トンネル グループまたは LAC クライアントのアクセス プロファイル設定に適用します。活動化する複数のプロファイルをアンパサンド (&) で区切ってリストすることができます。また、CoS サービスの下流シェーピング レートなど、プロファイル自体で設定された値を上書きする可能性のあるサービス プロファイルで使用するパラメータを指定することもできます。

ローカルに設定されたサービスのリストは(サービス プロファイルを介して)クライアント セッションのアクティブ化中に authd によって適用されるローカル許可として機能します。このサービスのリストは、RADIUS などの外部機関から発信されたサービスと同じ検証と処理の対象となります。これらのサービスは、加入者のログイン時に表示されます。

RADIUS VSAまたはCoAリクエストをサービスプロファイルと組み合わせて使用することもできます。認証時または加入者セッションのプロビジョニング(アクティベーション)中に、サービスが外部認証機関から認可として供給される場合、外部認証機関からのサービスがローカル設定のサービスよりも厳密に優先されます。RADIUS で適用されたサービスが、CLI のサービス プロファイルで適用されたサービスと同じで、パラメータが異なる場合、RADIUS サービスは新しいセッション ID で適用され、以前のサービス プロファイルよりも優先されます。

コマンドを発行して、トンネル グループまたは LAC に対して以前にアクティブ化したサービスを非アクティブ化または再アクティブ化できます。

後でトンネル グループまたは LAC に適用するダイナミック サービス プロファイルを定義します。

トンネル グループ内のすべての加入者にサービス プロファイルを適用するには、次の手順に従います。

  • 1 つ以上のサービス プロファイルと、サービスに渡すパラメータを指定します。

特定の LAC のすべての加入者にサービス プロファイルを適用するには、次の手順に従います。

  • 1 つ以上のサービス プロファイルと、サービスに渡すパラメータを指定します。

    メモ:

    LAC クライアントおよびそのクライアントを使用するトンネル グループに対してサービス プロファイルが設定されている場合、LAC クライアント サービス プロファイルのみが適用されます。トンネル グループの設定を上書きします。たとえば、次の設定では、トンネル グループ tg-LAC-3 は LAC クライアント LAC-3 を使用しているため、LAC3 設定はトンネル グループの設定を上書きします。その結果、トンネル グループの加入者に対しては、Cos2 および fw1 ではなく、cos-A3 サービスのみがアクティブになります。サービスに渡されるシェーピング レートは 24 Mbps です。

以下のコマンドを発行することで、サブスクライバセッションに適用されているサービスを非アクティブ化できます。

以下のコマンドを発行することで、サブスクライバセッションに適用されているサービスを再アクティブ化できます。

現在のすべての加入者セッションのサービス セッションを表示するには、 または show network-access aaa subscribers session-id id-number detail コマンドを使用しますshow subscribers extensive

ローカル サービス アプリケーションのしくみを理解するために、次の例は、さまざまな構成の可能性を示しています。まず、次の動的サービス プロファイル設定(cos2 および fw1)について考えます。

次のステートメントは、トンネルグループ tg1 のすべての加入者に両方のサービスを適用します。31 Mbps のパラメータ値が CoS2 サービスに渡されます。

cos2サービスプロファイルでは、シェーピングレートは、デフォルト値10m(1Mbps)のユーザー定義変数によって提供されます。L2TP セッションがアップすると、cos2 と fw1 がそれぞれサービス セッション ID 34 と 35 でアクティブ化されます。

cos2に渡されたパラメータは、$shapingレートの値として使用されます。その結果、次のコマンド出力に示すように、サービスのシェーピング レートがデフォルト値の 10 Mbps から 31 Mbps に調整されます。出力では、調整アプリケーションがRADIUS CoAであることを示していますが、調整はサービス プロファイルに渡されたパラメータの結果です。この操作は、CoAと同じ内部フレームワークを使用し、そのように報告されます。

これで、cos2サービスがサブスクライバセッション27のCLIから非アクティブ化されます。

次の出力は、cos2 がなくなり、アクティブなサービスとして fw1 のみが残っていることを示しています。

次のコマンドは、サブスクライバ セッション 27 の cos2 を再アクティブ化します。

再アクティブ化された cos2 サービスの新しいサービス セッション ID は 36 です。

再アクティブ化されたcos2サービスは、サービスプロファイルのデフォルトのシェーピングレートである10Mbpsを使用します。

次に、サービスアクティブ化VSA(26-65)を含むRADIUS CoA要求を受信します。VSAは、サービスを指定およびアクティブ化し、cos2のシェーピングレートのデフォルトの10Mbpsから12Mbpsへの変更を指定します。cos2サービスセッション36は引き続き出力に表示されますが、CoA49によって開始された新しいサービスセッションに取って代わられます。

CLI設定とRADIUS VSA(26-65)の両方でサービスが適用され、パラメータが異なる場合、RADIUSの設定がCLIの設定よりも優先されます。次の例では、CLI 設定により、シェーピング レートの値 31 Mbps を持つ cos2 サービス プロファイルが適用されます。

RADIUS Access-AcceptメッセージサービスアクティベーションVSA(26-65)は、シェーピングレートに21Mbpsの値でcos2を適用します。

CLI 設定では、シェーピング レート 31 Mbps でサービス セッション 22 がアクティブになります。RADIUS VSA は、シェーピング レート 21 Mbps でサービス セッション 23 をアクティブにします。

動的LNSセッション用のインラインサービスインターフェイスのプールの設定

インライン サービス インターフェイスのプール( サービス デバイス プールとも呼ばれます)を作成して、インターフェイス間で L2TP トラフィックの負荷分散を行うことができます。プールは動的LNS構成でサポートされており、動的に作成してLNS上のL2TPセッションに割り当てることができる一連の論理インターフェイスを提供します。プールは LNS トンネル グループに割り当てられます。L2TP は、各インライン サービス インターフェイスの状態を維持し、ラウンドロビン方式を使用して、新しいセッション要求が受け入れられたときに使用可能なインターフェイス間で負荷を均等に分散します。

メモ:

ロードバランシングは、動的に作成された加入者インターフェイスでのみ使用できます。

MPC に固定された LNS セッションは、ピア LAC への他のパスが存在する限り、MIC 障害の影響を受けません。ピア インターフェイスをホストしている MPC に障害が発生し、ピア LAC へのパスがない場合、障害によって MPC 上のすべてのセッションの終了とクリーンアップが開始されます。

LNSセッション自体を固定しているMPCに障害が発生した場合、ルーティングエンジンはセッションを別のスロットに移動せず、すべてのセッションが直ちに終了します。クライアントが再試行すると、別の使用可能なインターフェイスで新しいセッションが起動する可能性があります。

サービスデバイスプールを設定するには:

  1. プールを作成します。
  2. プールを構成するインライン サービス インターフェイスを指定します。

動的 LNS セッションの動的プロファイルの設定

L2TP を設定し、L2TP トンネルにインライン サービス インターフェイスを動的に割り当てることができます。1 つ以上の動的プロファイルを定義し、各トンネル グループにプロファイルを割り当てる必要があります。LNSは、IPv4のみ、IPv6のみ、およびデュアルスタックIPv4/IPv6セッションをサポートします。

L2TP動的プロファイルを設定するには:

  1. 動的プロファイルを作成します。
  2. トンネル化された PPP クライアントが使用するルーティングインスタンスに動的に割り当てられるようにインターフェイスを設定します。
  3. ルーティングインスタンスで、アクセスルートのルーティングオプションを設定します。
  4. ルーティングインスタンスで、アクセス内部ルートのルーティングオプションを設定します。
  5. 動的プロファイルで使用されるインターフェイスを定義します。この変数は、設定されたインライン・サービス・インターフェースの 1 つに動的に置き換えられます。
  6. インライン サービスの論理インターフェイスが動的にインスタンス化されるように設定します。
  7. 論理インターフェイスの識別子を指定します。
  8. 各論理インターフェイスは、一度に 1 つのセッションにのみ使用するように設定します。
  9. 論理インターフェイスのアドレスファミリーを設定し、L2TPトンネルのローカル終端を提供するLNSのローカルアドレスが、指定されたインターフェイス名から派生できるようにします。
    メモ:

    動的 LNS セッションでは、動的プロファイルに ステートメントを含める必要があり、 dial-options そのためには ステートメントを含める family inet 必要があります。これにより、次のような影響が生じます。

    • プロファイルでIPv4のみ、IPv6のみ、またはデュアルスタックインターフェイスのいずれを設定するかに関係なく、常に設定 family inet する必要があります。

    • IPv4 専用インターフェイスを設定する場合は、 のみを設定し family inet 、 の下で family inetインターフェイス アドレスを設定する必要があります。

    • IPv6 専用インターフェイスを設定する場合、 の下でfamily inet6インターフェイス アドレス も 設定family inet6する必要があり、 でインターフェイスアドレスを設定する必要があります。ではfamily inet、 の下にアドレスを設定しません。

    • デュアルスタック、IPv4/IPv6インターフェイスを設定する場合、各ファミリの下に および family inet6 と の両方のインターフェイスアドレスを設定しますfamily inet

    IPv4 専用インターフェイスの場合:

    IPv6 専用インターフェイスの場合:

    デュアルスタックIPv4/IPv6インターフェイスの場合:

    メモ:

    ルーターアドバタイズプロトコルが設定されている場合、IPv6ローカルアドレスには番号なしアドレスではなく番号付きアドレスを設定します。

    動的プロファイルでのIPv6専用およびデュアルスタックアドレス指定の変数の使用については、 ブロードバンド加入者セッションユーザーガイド を参照してください。

リリース履歴テーブル
リリース
説明
18.1R1
Junos OS リリース 18.1R1 以降、RADIUS を使用せずに動的サービス プロファイルを使用して、L2TP セッションにサービスを適用できます。
16.2R1
Junos OS リリース 16.2 以降では、インライン サービスを使用して L2TP LNS トンネル トラフィックの帯域幅を明示的に指定する必要はありません。