このページの目次
L2TP LNSインラインサービスインターフェイス
インライン サービス インターフェイスを使用した L2TP LNS の設定
設定を開始する前に、L2TP LNS 機能ライセンスをインストールする必要があります。そうでない場合は、設定のコミット時に警告メッセージが表示されます。
インラインサービスインターフェイスを持つL2TP LNSを設定するには:
また、LNS セッションの CoS も設定する必要があります。詳細については、 L2TP LNSインライン サービス向けのダイナミック CoS の設定を参照してください。
インライン サービス インターフェイスごとの L2TP LNS 加入者への PPP 属性の適用
インラインサービス(si)インターフェイス上のLNSによって、LACからトンネリングされたPPP加入者に適用されるPPP属性を設定できます。ユーザーグループプロファイルではなくインターフェイスごとに属性を設定するため、加入者の属性をより細かく変更できます。この設定は、終端した PPPoE 加入者に使用される設定と一致します。
動的に作成された si インターフェイスの PPP 属性を設定するには、次の手順に従います。
静的に作成されたsiインターフェイスのPPP属性を設定するには、次の手順に従います。
論理インライン サービス インターフェイスを指定します。
[edit interfaces si-slot/pic/port] user@host# edit unit logical-unit-number
LNS で終端する L2TP トンネルの PPP キープアライブ メッセージの間隔を設定します。
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set keepalives interval seconds
ネットワークがリンクを切断する前に、宛先がキープアライブ パケットの受信に失敗しなければならない数を設定します。
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set keepalives down-count number
メモ:通常、このオプションは
keepalives up-count
加入者の管理には使用されません。LNS でトンネリングされた PPP 加入者に適用される PPP 認証方法を設定します。
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set ppp-options chap user@host# set ppp-options pap
LNS でトンネルされた PPP 加入者の IPCP ネゴシエーション中に、プライマリとセカンダリの両方の DNS アドレスをネゴシエートするように顧客宅内機器(CPE)にプロンプトを表示するようにルーターを設定します。
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set ppp-options ipcp-suggest-dns-option
にppp-options
従属する他のすべてのステートメント(および pap
に従属chap
するステートメントを含む)はサポートされますが、通常は加入者の管理には使用されません。これらの他のステートメントはデフォルト値のままにしておくことをお勧めします。
また、LAC クライアント上でそのプロファイルを持つすべての加入者に属性を適用するユーザグループプロファイルで PPP 属性を設定することもできます。詳細については、「 ユーザ グループ プロファイルを使用した L2TP LNS サブスクライバへの PPP 属性の適用 」を参照してください。SIインターフェイスとユーザーグループプロファイルの両方でL2TP LNS加入者のPPP属性を設定する場合、インラインサービスインターフェイスの設定がユーザーグループプロファイルの設定よりも優先されます。
PPP オプションがグループプロファイルと動的プロファイルの両方で設定されている場合、動的プロファイルにグループプロファイルで設定可能な PPP オプションが 1 つ以上含まれていると、動的プロファイル設定がグループプロファイルよりも完全に優先されます。完全な優先順位は、プロファイル間でオプションのマージがないことを意味します。グループ・プロファイルが加入者に適用されるのは,動的プロファイルにグループ・プロファイルで使用可能なPPPオプションが含まれていない場合だけです。
ユーザグループプロファイルを使用したL2TP LNS加入者へのPPP属性の適用
LNSがLACからトンネリングされたPPP加入者にPPP属性を適用できるようにするユーザーグループプロファイルを設定できます。ユーザーグループプロファイルは、L2TPアクセスプロファイル内のクライアント(LAC)に関連付けられます。その結果、特定のクライアントによって処理されるすべての加入者は、同じ PPP 属性を共有します。
ユーザーグループプロファイルを設定するには:
また、PPP 属性をインターフェイスごとに設定することもできます。詳細については、 インライン サービス インターフェイスごとの L2TP LNS サブスクライバへの PPP 属性の適用 を参照してください。SIインターフェイスとユーザーグループプロファイルの両方でL2TP LNS加入者のPPP属性を設定する場合、インラインサービスインターフェイスの設定がユーザーグループプロファイルの設定よりも優先されます。
PPP オプションがグループプロファイルと動的プロファイルの両方で設定されている場合、動的プロファイルにグループプロファイルで設定可能な PPP オプションが 1 つ以上含まれていると、動的プロファイル設定がグループプロファイルよりも完全に優先されます。完全な優先順位は、プロファイル間でオプションのマージがないことを意味します。グループ・プロファイルが加入者に適用されるのは,動的プロファイルにグループ・プロファイルで使用可能なPPPオプションが含まれていない場合だけです。
LNSでのL2TPアクセスプロファイルの設定
アクセスプロファイルは、レイヤー2トンネリングプロトコル(L2TP)接続とセッションリクエストを検証する方法を定義します。各 L2TP アクセス プロファイル内で、1 つ以上のクライアント (LAC) を設定します。クライアント特性は、パスワードが一致する LAC の認証、およびクライアント トンネルとセッションの属性の確立に使用されます。複数のアクセス プロファイルと、各プロファイル内に複数のクライアントを設定できます。
L2TPアクセスプロファイルを設定するには:
LNSでのAAAローカルアクセスプロファイルの設定
一部の LNS トンネルでは、トンネルをホストするルーティングインスタンスで設定されたアクセスプロファイルを、特定の RADIUS サーバー設定で上書きしたい場合があります。そのために、ローカル アクセス プロファイルを構成できます。その後、 ステートメントを使用して aaa-access-profile
、トンネル グループまたは LAC クライアントにローカル アクセス プロファイルを適用できます。
クライアントに適用されたローカル アクセス プロファイルは、トンネル グループに適用されたローカル アクセス プロファイルを上書きし、トンネル グループはルーティング インスタンスのアクセス プロファイルを上書きします。
AAAローカルアクセスプロファイルを設定するには:
インライン サービスを使用した L2TP LNS のアドレス割り当てプールの設定
トンネルされた PPP 加入者に動的に割り当てることができるアドレスのプールを設定することができます。プールは、加入者が立ち上がるルーティングインスタンスに対してローカルでなければなりません。設定されたプールは、RADIUSフレームプールおよびフレームIPv6プール属性で提供されます。プールは、フレームIPアドレスがRADIUSによって送信される場合、オプションです。
アドレス割り当てプールを設定するには、プールの名前を指定し、プールのアドレスを設定する必要があります。
オプションで、アドレス割り当てプール内に複数のアドレスの名前付き範囲(またはサブセット)を設定できます。動的アドレス割り当て時に、特定の名前付き範囲からクライアントに割り当てることができます。名前付き範囲を作成するには、範囲の名前を指定し、アドレス範囲を定義します。
アドレス プール (address-pool
) ステートメントではなく、アドレス割り当てプール (address-assignment
) ステートメントを使用してください。
アドレス割り当てプールの詳細については、「アドレス割り当てプールの概要」および「アドレス割り当てプールの構成の概要」を参照してください。
L2TP LNS の IPv4 アドレス割り当てプールを設定するには、次の手順に従います。
たとえば、IPv4 アドレス割り当てプールを設定するには、次のようにします。
[edit access] user@host# edit address-assignment pool lns-v4-pool family inet [edit access address-assignment pool lns-v4-pool family inet] user@host# set network 192.168.1.1/16 [edit access address-assignment pool lns-v4-pool family inet] user@host# set range lns-v4-pool-range low 192.168.1.1 high 192.168.255.255
L2TP LNS の IPv6 アドレス割り当てプールを設定するには、次の手順に従います。
プールの名前を設定し、IPv6ファミリーを指定します。
[edit access] user@host# edit address-assignment pool pool-name family inet6
アドレスプールのIPv6ネットワークプレフィックスを設定します。プレフィックス指定は、IPv6 アドレス割り当てプールを構成する場合に必要です。
[edit access address-assignment pool pool-name family inet6] user@host# set prefix ipv6-prefix
範囲の名前を設定し、範囲を定義します。範囲は、範囲内のプレフィックスの下限と上限、または範囲内のプレフィックスの長さに基づいて定義できます。
[edit access address-assignment pool pool-name family inet6] user@host# set range range-name low lower-limit high upper-limit
たとえば、IPv6 アドレス割り当てプールを設定するには、次のようにします。
[edit access] user@host# edit address-assignment pool lns-v6-pool family inet6 [edit access address-assignment pool lns-v6-pool family inet6] user@host# set prefix 2001:DB8::/32 [edit access address-assignment pool lns-v6-pool family inet6] user@host# set range lns-v6-pool-range low 2001:DB8:1::/48 high 2001:DB8::ffff::/48
L2TP LNSピアインターフェイスの設定
ピア インターフェイスは、トンネルのエンドポイント間で IP パケットを交換できるように、LNS をクラウドの LAC に向けて接続します。MPLSと集合型イーサネットを使用して、LACに到達することもできます。
MX シリーズ ルーターでは、MPC でピア インターフェイスを設定する必要があります。
LNS ピア インターフェイスを設定するには、次の手順に従います。
インラインサービスインターフェイスの有効化
インライン サービス インターフェイスは、パケット転送エンジン上に置かれる仮想物理インターフェイスです。この si
インターフェイスは アンカー インターフェイスと呼ばれ、特別なサービス PIC なしで L2TP サービスを提供することを可能にします。インライン サービス インターフェイスは、MX シリーズ ルーター上の MPC でのみサポートされます。インライン サービス インターフェイスは、MPC が占有するシャーシ スロットごとに 4 つ設定できます。
MX80およびMX104ルーターでは、L2TP LNSセッションのアンカーインターフェイスとして設定できるインラインサービス物理インターフェイスは、si-1/0/0、si-1/1/0、si-1/2/0、si-1/3/0の4つだけです。MX80およびMX104ルーターでは、この目的でsi-0/0/0を設定することはできません。
帯域幅値の範囲は 1 Gbps から 400 Gbps ですが、12,345,878,000 bps などの絶対数で帯域幅を設定することはできません。CLI ステートメントで利用可能なオプションを使用する必要があります。
1g
10g
10Gbps 単位: 、 、 、 、 、50g
80g
60g
90g
20g
70g
40g
30g
10g
100g
100g
100g
100 Gbps 刻みでスルー400g
:100g
、 、 、200g
300g
400g
表1に示すように、利用可能な最大帯域幅はMPCによって異なります。MPC でサポートされている帯域幅よりも高い帯域幅を設定すると、システム ログ メッセージが生成されます。
Mpc |
サポートされる最大帯域幅 |
---|---|
MPC2E NG、MPC2E NG Q、 |
80Gbps |
MPC3E NG、MPC3E NG Q |
130Gbps |
100 GE および 40 GE MPC3 および MIC |
40Gbps |
MPC4E |
130Gbps |
MPC5E |
130Gbps |
MPC6E |
130Gbps |
MPC7E |
240Gbps |
MPC8E |
240Gbps 1.6Tbpsアップグレードモードで400Gbps |
MPC9E |
400Gbps |
インライン サービス インターフェイスを有効にするには:
L2TP LNS のインライン サービス インターフェイスの設定
インライン サービス インターフェイスは、パケット転送エンジン上に置かれる仮想物理サービス インターフェイスです。この si
インターフェイスは アンカー インターフェイスと呼ばれ、特別なサービス PIC なしで L2TP サービスを提供することを可能にします。インライン サービス インターフェイスは、MX シリーズ ルーター上の MPC でのみサポートされます。インライン サービス インターフェイスは、MPC が占有するシャーシ スロットごとに 4 つ設定できます。
階層レベルの最大数を 2 に設定することで、1 つのサービスインターフェイスでシェーピングできるセッションの数を最大化できます。この場合、各LNSセッションは、シェーピングのためにスケジューラ階層内の1つのL3ノードを消費します。
レベル数を指定しない場合(2 つが唯一のオプション)、サービスインタフェースでシェーピングできる LNS セッションの数は、L2 ノードの数または 4096 セッションに制限されます。追加のセッションはまだ登場しますが、形作られていません。
インラインサービスインターフェイスを設定するには:
LNSインラインサービス論理インターフェイスのオプションの設定
LNS に設定するインラインサービス論理インターフェイスごとに、特性 —dial-options
を指定する必要があります。MX シリーズ ルーター上の LNS は、論理インターフェイスごとに 1 つのセッションのみをサポートするため、インターフェイスとして dedicated
設定する必要があります。このオプション shared
はサポートされていません。(MシリーズルーターのLNSは、 と dedicated
shared
オプションをサポートしています。)また、アクセスプロファイルで指定した名前と一致する識別名を論理インターフェイスにも設定します。
アドレスファミリーは、inet
各静的論理インターフェイスまたは動的 LNS インターフェイスの動的プロファイルで指定する必要があります。CLI はスタティック論理インターフェイスに対して または inet6
のいずれかinet
を受け入れますが、アドレスファミリーinet
が設定されていないと、加入者が正常にログインできません。
動的インターフェイス設定については、動的 LNSセッションの動的プロファイルの設定を参照してください。
静的論理インターフェイスのオプションを設定するには:
LNS 1:1 ステートフル冗長性の概要
デフォルトでは、インライン サービス(si)アンカー インターフェイスがダウンすると(たとえば、インターフェイスをホストするカードの障害や再起動が発生した場合)、L2TP 加入者トラフィックは失われます。その後、トンネルの PPP キープアライブ タイマーが期限切れになると、コントロール プレーンがダウンし、PPP クライアントが切断されます。その結果、クライアントは再接続する必要があります。
このような状況でのトラフィック喪失を回避するには、集約型インラインサービスインターフェイス(ASI)バンドルを設定して、ホットスタンバイまたはアクティブバックアップ冗長性とも呼ばれる、1:1のステートフル冗長性を提供します。バンドルは、一対のsi物理インタフェース、プライマリ(アクティブ)メンバーリンクとセカンダリ(スタンバイまたはバックアップ)メンバーリンクで構成されています。これらのインターフェイスは、異なる MPC で設定する必要があります。プライマリ インターフェイスとセカンダリ インターフェイスを同じ MPC に設定した場合、カードがダウンすると両方のメンバー インターフェイスがダウンするため、冗長性を確保できません。
加入者がログインし、1:1の冗長性が構成されている場合、L2TPセッションは、asi0物理インターフェイス上の基盤となる仮想論理インターフェイス(asi.0x)上で確立されます。個々の加入者論理インターフェイスは、asiX.の形式で基盤となるインターフェイス上に作成されます。logical-unit-numberプライマリメンバーリンクインターフェイスをホストしているMPCで障害または再起動が発生した場合でも、セッションは稼働したままになります。このL2TPセッションを宛先とするすべてのデータトラフィックは、自動的に他のMPCのセカンダリメンバーリンクインターフェイスに移動します。
集約型インラインサービスインターフェイスでの1:1 LNSステートフル冗長性の設定
集約型インラインサービスインターフェイス(asi)バンドルを作成して、インラインサービス(si)アンカーインターフェイスに1:1 LNSステートフル冗長性を提供できます。バンドルは、プライマリリンクとセカンダリリンクとして異なるMPCに存在する2つのインターフェイスをペアにします。その後、LNSセッションは仮想論理インターフェイスasiX.logical-unit-numberを介して確立されます。LNS セッション フェールオーバーは、プライマリ アンカー インターフェイスがダウンしたとき、または コマンドを使用してカードが再起動 request chassis fpc restart
されたときに発生します。この場合、別のMPC上のセカンダリリンクがアクティブになり、セッションを宛先とするすべてのLNSデータトラフィックが自動的にセカンダリインターフェイスに移動します。サブスクライバ セッションは asiX. 仮想インターフェイスで稼働したままになります。logical-unit-number トラフィック統計は失われません。この冗長性が構成されていない場合、加入者のトラフィックは失われ、キープアライブは期限切れになり、PPP クライアントは切断されて再接続する必要があります。
開始する前に、次の操作を行う必要があります。
拡張加入者管理が有効になっていることを確認します。
インラインサービスインターフェイスを異なるMPC上に作成し、バンドルに集約します。
インライン サービス インターフェイスの 有効化 および L2TP LNS のインライン サービス インターフェイスの設定を参照してください。
サービス・インターフェースのプールを使用する場合は、サービス・プールを定義します。
以下のガイドラインに従います。
バンドルごとに を設定する必要があります
unit 0 family inet
。設定しないと、セッションの起動に失敗します。プライマリ(アクティブ)およびセカンダリ(バックアップ)インターフェイスは、異なるMPC上にある必要があります。
階層レベルで設定される帯域幅は、
[edit chassis fpc slot pic number inline-services bandwidth]
両方のメンバーリンクで同じである必要があります。集約型インライン サービス インターフェイス バンドルのメンバーとして設定された si インターフェイスは、別のバンドル グループのメンバーとして設定できません。
集約されたインライン・サービス・インターフェース・バンドルのメンバーとして構成された si インターフェースは、集約されたサービスに関連しない機能には使用できません。例えば、インライン IP 再構成には使用できません。
siインターフェイスを集約されたインラインサービスバンドルのメンバーとして設定する場合、そのsiインターフェイスを個別に設定することはできなくなります。親バンドルのみを設定できます。バンドルの設定は、すべてのメンバーインターフェイスに直ちに適用されます。
1:1 LNS ステートフル冗長性を設定するには、次の手順に従います。
次の設定例では、スロット 1 とスロット 2 の MPC にメンバー リンクを持つバンドル asi0 を作成し、トンネル グループ tg1 の L2TP セッションに冗長性を提供するバンドルを割り当てます。
[edit interfaces asi0] user@host# set aggregated-inline-services-options primary-interface si-1/0/0 user@host# set aggregated-inline-services-options secondary-interface si-2/0/0 user@host# set unit 0 family inet [edit chassis fpc 1 pic 0 inline-services] user@host# set bandwidth 10g [edit chassis fpc 2 pic 0 inline-services] user@host# set bandwidth 10g [edit services l2tp tunnel-group tg1] user@host# set service-interface asi0
LNS集約型インラインサービスインターフェイス1:1冗長性の検証
目的
集約されたインラインサービスインターフェイスバンドル、個々のメンバーリンク、および冗長性ステータスに関する情報を表示します。
アクション
集約されたインラインサービスインターフェイスバンドルに関する概要情報を表示するには:
user@host> show interfaces asi0 terse Interface Admin Link Proto Local Remote asi0 up up asi0.0 up up inet
集約されたインラインサービスインターフェイスバンドルに関する詳細情報を表示するには:
user@host> show interfaces asi0 extensive Physical interface: asi0, Enabled, Physical link is Up Interface index: 223, SNMP ifIndex: 734, Generation: 226 Type: Adaptive-Services, Link-level type: Adaptive-Services, MTU: 9192, Clocking: Unspecified, Speed: 20000mbps Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Internal: 0x4000 Link type : Full-Duplex Link flags : None Physical info : Unspecified Hold-times : Up 0 ms, Down 0 ms Current address: Unspecified, Hardware address: Unspecified Alternate link address: Unspecified Last flapped : 2014-01-20 23:35:02 PST (00:03:25 ago) Statistics last cleared: Never Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 IPv6 transit statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Input errors: Errors: 0, Drops: 0, Framing errors: 0, Runts: 0, Giants: 0, Policed discards: 0, Resource errors: 0 Output errors: Carrier transitions: 0, Errors: 0, Drops: 0, MTU errors: 0, Resource errors: 0 Logical interface asi0.0 (Index 356) (SNMP ifIndex 52241) (Generation 165) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: Adaptive-Services Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Protocol inet, MTU: 9192, Generation: 198, Route table: 0 Flags: Sendbcast-pkt-to-re
集約されたインラインサービスインターフェイスバンドル内の個々のメンバーインターフェイスに関する情報を表示するには:
user@host> show interfaces si-1/0/0 Physical interface: si-1/0/0, Enabled, Physical link is Up Interface index: 165, SNMP ifIndex: 630 Type: Adaptive-Services, Link-level type: Adaptive-Services, MTU: 9192, Speed: 10000mbps Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Internal: 0x4000 Link type : Full-Duplex Link flags : None Last flapped : Never Input rate : 0 bps (0 pps) Output rate : 0 bps (0 pps) Logical interface si-1/0/0.0 (Index 357) (SNMP ifIndex 52229) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: Adaptive-Services Input packets : 0 Output packets: 0 Protocol asi, AS bundle: asi0.0 Flags: Function2
集約されたインラインサービスインターフェイスバンドルの冗長性ステータスを表示するには:
user@host> show interfaces redundancy Interface State Last change Primary Secondary Current status asi0 On secondary 1d 23:56 si-1/0/0 si-2/0/0 primary down asi1 On primary 10:10:27 si-3/0/0 si-4/0/0 secondary down ae0 On primary 00:00:02 ge-1/0/0 ge-3/0/1 backup down ae2 On primary 00:00:01 ge-2/0/0 ge-4/0/1 both up
このサンプル出力は、集合型イーサネットと集約型インラインサービスインターフェイスの両方が冗長性を考慮して設定されていることを示しています。集約されたインラインサービスインターフェイスバンドルの1つだけを表示するには:
user@host> show interfaces redundancy asi0 Interface State Last change Primary Secondary Current status asi0 On secondary 1d 23:56 si-1/0/0 si-2/0/0 primary down
設定されたすべての冗長インターフェイスに関する詳細情報を表示するには:
user@host> show interfaces redundancy detail Redundancy interfaces detail Interface : asi0 State : On primary Last change : 00:00:36 Primary : si-1/0/0 Secondary : si-3/0/0 Current status: both up Interface : ae0 State : On primary Last change : 00:01:30 Primary : ge-1/0/0 Secondary : ge-3/0/1 Current status : backup down
サービスインターフェイスのL2TPセッション制限とロードバランシング
LNS は、インターフェイスで現在アクティブなセッションの数に基づいて、デバイス プール内の使用可能なサービス インターフェイス間で加入者セッションのロード バランシングを行います。最大制限は、サービス インターフェイス(si)ごと、および集約されたサービス インターフェイス(asi)ごとに設定できます。asi インターフェイスの場合、バンドル内の個々の si メンバー インターフェイスに制限を設定することはできません。
サービスインターフェイスのセッション制限
サービスインタフェースに対してL2TPセッション要求が開始されると、LNSは、そのインタフェース上の現在アクティブなセッションの数を、個々のサービスインタフェースまたは集約されたサービスインタフェースに許可されているセッションの最大数と照合します。LNSは、現在のセッション数(コマンドで show services l2tp summary
表示)が構成された制限を下回っているかどうかを判断します。これが当てはまる場合、または制限が設定されていない場合、チェックに合格し、セッションを確立できます。現在のセッション数が設定された制限と等しい場合、LNSはセッション要求を拒否します。アクティブな要求の数が構成された最大値を下回るまで、そのインターフェイスで後続の要求を受け入れることはできません。siまたはasiインターフェイスのセッション要求が拒否されると、LNSは結果コードを2に、エラーコードを4に設定したCDNメッセージを返します。
たとえば、トンネル グループに 1 つのサービス インターフェイスが設定されているとします。現在の L2TP セッション数は 1500 で、2000 セッションの制限が構成されています。新しいセッションが要求されると、制限チェックに合格し、セッション要求が受け入れられます。
インターフェイス |
構成されたセッション制限 |
現在のセッション数 |
セッション制限チェック結果 |
---|---|---|---|
SI-0/0/0 |
2000 |
1500 |
渡す |
制限チェックは引き続き合格し、500 要求が受け入れられるまでセッション要求が受け入れられ、現在のセッション数は構成された最大値と一致する 2000 になります。後続のすべての要求でセッション制限チェックが失敗し、インターフェイス上の現在のセッション数が 2000 を下回るまですべての要求が拒否されるため、制限チェックは合格できます。
インターフェイス |
構成されたセッション制限 |
現在のセッション数 |
セッション制限チェック結果 |
---|---|---|---|
SI-0/0/0 |
2000 |
2000 |
失敗 |
インターフェイスのセッション制限がゼロに設定されている場合、セッション要求は受け入れられません。それがトンネル グループ内の唯一のインターフェイスである場合、セッション制限がゼロから増加するか、別のサービス インターフェイスがトンネル グループに追加されるまで、グループ内のすべてのセッション要求は拒否されます。
サービスデバイスプール内のサービスインタフェースが設定された最大制限に達した場合、または設定された制限がゼロの場合、LNSはセッション要求が行われたときにそのインタフェースをスキップし、プール内の別のインタフェースを選択してセッション制限を確認します。これは、インターフェイスがパスされてセッションが受け入れられるか、選択する他のインターフェイスがプールに残らなくなるまで続きます。
サービスインターフェイス間のセッションロードバランシング
Junos OSリリース16.2で、サービスデバイスプールでのセッション負荷分散の動作が変更されました。サービス インターフェイスのセッション数がプール内の別のインターフェイスよりも少なく、両方のインターフェイスが最大セッション制限を下回っている場合、後続のセッションはセッション数の少ないインターフェイスに分散されます。
以前のリリースでは、セッション数はに関係なく、セッションは厳密にラウンドロビン方式で分散されます。以前の動作では、パケット転送エンジンが再起動されたとき、またはサービス インターフェイスがダウンして復旧したときに、セッションの分散が不均一になる可能性があります。
たとえば、2 つのサービス インターフェイスを持つプールに対して古いラウンドロビン分散動作を使用する次のシナリオを考えてみます。
200 セッションが 2 つのサービス インターフェイス全体に均等に分散されます。
si-0/0/0には100セッションあります。
si-1/0/0 には 100 セッションがあります。
si-1/0/0インターフェイスが再起動します。戻ってくると、最初はセッションはsi-0/0/0でのみアップします。
si-0/0/0には100セッションあります。
si-1/0/0 のセッションは 0 です。
以前はsi-1/0/0であったセッションが再接続されると、両方のサービスインターフェイスに均等に分散されます。100 セッションすべてがバックアップされると、分散は著しく不均衡になります。
si-0/0/0には150のセッションがあります。
si-1/0/0 には 50 のセッションがあります。
100 個の新しいセッションが接続されると、si-0/0/0 が上限に達します。後続のセッションは si-1/0/0 でのみ受け付けられます。
si-0/0/0には200のセッションがあります。
si-1/0/0 には 100 セッションがあります。
さらに 100 セッション接続すると、si-1/0/0 が上限に達します。インターフェイスの 1 つのセッション数が 200 を下回るまで、これ以上セッションを受け入れることはできません。
si-0/0/0には200のセッションがあります。
si-1/0/0 には 200 セッションがあります。
次に、接続されているセッションの数に基づく現在の負荷分散動作を使用して、同じシナリオを考えてみましょう。デバイス プールには、それぞれ 2 つのサービス インターフェイスがあり、それぞれに 200 セッションの最大制限が設定されています。
200 セッションが 2 つのサービス インターフェイス全体に均等に分散されます。
si-0/0/0には100セッションあります。
si-1/0/0 には 100 セッションがあります。
si-1/0/0インターフェイスが再起動します。復旧すると、セッションは最初はsi-0/0/0でのみ起動します。
si-0/0/0には100セッションあります。
si-1/0/0 のセッションは 0 です。
以前はsi-1/0/0であったセッションが再接続されると、各インターフェイスのセッション負荷に応じて分散されます。どちらのインターフェイスも上限を下回っており、si-1/0/0のセッション数はsi-0/0/0よりも少ないため、セッションは最初はsi-1/0/0にのみ分散されます。
1回の新規セッションの後:
si-0/0/0には100セッションあります。
si-1/0/0 には 1 つのセッションがあります。
10回の新しいセッションの後:
si-0/0/0には100セッションあります。
si-1/0/0 には 10 のセッションがあります。
100回の新規セッションの後:
si-0/0/0には100セッションあります。
si-1/0/0 には 100 セッションがあります。
現在、両方のインターフェイスのセッション数は同じであるため、次のセッション(#101)は2つのインターフェイス間でランダムに分散されます。その後の次のセッション(#102)は、セッション数の少ないインターフェイスに移動します。これにより、インターフェイスが再び等しくなるため、次のセッション(#103)はランダムに分散されます。このパターンは、両方のインターフェイスでセッションの上限である 200 セッションまで繰り返されます。
si-0/0/0には200のセッションがあります。
si-1/0/0 には 200 セッションがあります。
いずれかのインターフェイスでセッション数が 200 を下回るまで、どちらのインターフェイスでもセッションを受け入れることはできません。
ロードバランシングの動作は、集約されたサービスインターフェイスの場合と同じです。ASIインターフェイスは、ASIインターフェイスの現在のセッション数に基づいてプールから選択されます。そのカウントが最大値未満の場合、LNSはasiバンドル内のアクティブなsiインターフェイスの現在のセッションカウントをチェックします。その数が最大値より少ない場合、ASIインターフェイスでセッションを確立できます。
サービスインターフェイスと集約されたサービスインターフェイスの両方を持つ混合デバイスプールでは、セッションはセッション数が最も少ないインターフェイス(asiまたはsi)に分散されます。いずれかのタイプのインターフェイスのセッション数が上限に達すると、そのセッション数は最大値を下回るまでセッションを受け入れることができなくなります。
セッション制限設定を使用して、特定のパケット転送エンジンのセッション制限を実現できます。2つのサービス・インターフェースを持つPFE0で、セッション数を100に制限したいとします。各インターフェイスの最大制限を 50 に設定するか、合計が 100 になるその他の組み合わせを設定して、PFE0 制限を設定できます。
例:L2TP LNSの設定
この例では、MX シリーズ ルーターで L2TP LNS を構成し、ネットワーク内の L2TP LAC のトンネル エンドポイントを提供する方法を示します。この設定には、デュアルスタック加入者向けの動的プロファイルが含まれています。
要件
この L2TP LNS の例では、次のハードウェアとソフトウェアが必要です。
MX シリーズ 5G ユニバーサル ルーティング プラットフォーム
1 つ以上の MPC
Junos OS リリース 11.4 以降
この機能を設定する前に、デバイスの初期化以上の特別な設定を行う必要はありません。
この例を機能させるには、LNS に関連する AAA サーバーの属性リターンリストで、特定の標準 RADIUS 属性とジュニパーネットワークス VSA を設定する必要があります。表 2 に、属性と、必要な順序設定および値をリストします。https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/subscriber-access/index.html のJunos OS加入者管理ページの[ダウンロード]ボックスにある最新のジュニパーネットワークスRADIUS辞書を使用することをお勧めします。
VSA名 [番号] |
順序 |
値 |
---|---|---|
CoSパラメータタイプ[26–108] |
1 |
T01 マルチプレイ |
CoSパラメータタイプ[26–108] |
2 |
T02 10m |
CoSパラメータタイプ[26–108] |
3 |
T08 -36 |
CoSパラメータタイプ[26–108] |
4 |
T07セルモード |
フレーム IPv6 プール [100] |
0 |
jnpr_ipv6_pool |
フレームプール [88] |
0 |
jnpr_pool |
egress-policy-name [26-11] |
0 |
分類 |
イングレスポリシー名[26-10] |
0 |
分類 |
仮想ルーター [26-1] |
0 |
既定 |
概要
LNS は、ユーザ グループ プロファイルを使用して、LAC からトンネリングされた PPP 加入者に PPP 属性を適用します。ネットワーク内の LAC は LNS のクライアントです。クライアントは、LNS に設定された L2TP アクセスプロファイルのユーザグループプロファイルに関連付けられます。この例では、ユーザーグループプロファイル ce-l2tp-group-profile
は以下のPPP属性を指定します。
LNS で終端するクライアント LAC からの L2TP トンネルの PPP キープアライブ メッセージ間の 30 秒間隔。
PPP 加入者セッションがタイムアウトしたと見なされるまでにアイドル状態を維持できる時間を定義する 200 秒間隔。
LNS でトンネルされた PPP 加入者に適用される PPP 認証方法としての PAP と CHAP の両方。
L2TP アクセス プロファイル ce-l2tp-profile
は、各クライアント LAC の一連の L2TP パラメータを定義します。この例では、ユーザー・グループ・プロファイル ce-l2tp-group-profile
は、 lac1
と の両方のクライアントに関連付けられています lac2
。どちらのクライアントも、LAC が LNS に渡す事前にネゴシエートされた LCP パラメータを受け入れるのではなく、LNS が PPP クライアントとリンク制御プロトコル(LCP)を再ネゴシエートするように設定されています。また、LCP の再ネゴシエーションにより、LNS によって認証が再ネゴシエートされます。認証方式は、ユーザー・グループ・プロファイルで指定されます。トンネルごとに許可されるセッションの最大数は、 では 1000 、 では lac1
lac2
4000 に設定されます。LACごとに異なるパスワードが設定されます。
ローカル AAA アクセス プロファイルである aaa-profile
では、グローバル AAA アクセス プロファイルを上書きして、認証順序、L2TP に使用する RADIUS サーバー、サーバーのパスワードを指定できます。
この例では、アドレスプールは、LNSがトンネリングされたPPPセッションに割り当てるIPアドレスの範囲を定義します。この例では、IPv4 アドレスと IPv6 アドレスの範囲を定義します。
2つのインラインサービスインターフェイスは、ルーターのスロット5にあるMPCで有効になっています。各インターフェイスについて、10 Gbpsの帯域幅が、インターフェイスに関連付けられたPFEのトンネルトラフィック用に予約されています。これらの アンカー インターフェイスは、基盤となる物理インターフェイスとして機能します。個々の論理インライン サービス インターフェイスで CoS キューのサポートを有効にするには、アンカーでサービス カプセル化(generic-services
)と階層スケジューリング サポートの両方を設定する必要があります。IPv4 アドレスファミリーは、両方のアンカーインターフェイス用に設定されています。どちらのアンカー インターフェイスも、サービス デバイス プールで lns_p1
指定されます。LNS は、トンネル グループにプールが含まれている場合、2 つのアンカー インターフェイス間でトラフィック負荷を分散できます。
この例では、動的プロファイル dyn-lns-profile2
を使用して、加入者が LNS にトンネリングされるときに動的に作成または割り当てられる L2TP セッションの特性を指定します。多くの特性に対して、事前定義された変数が設定されます。加入者が LNS にトンネリングされるときに、変数が適切な値に動的に置き換えられます。
トンネリングされたPPPクライアントが接続するインターフェイス()は、加入者に割り当てられたルーティングインスタンス($junos-interface-name
$junos-routing-instance
)に動的に作成されます。アクセス ルートのルーティング オプションには、ルートのネクスト ホップ アドレス()、メトリック()、優先度($junos-framed-route-nexthop
$junos-framed-route-cost
$junos-framed-route-distance
)があります。アクセス内部ルートでは、動的IPアドレス変数($junos-subscriber-ip-address
)が設定されます。
論理インライン サービス インターフェイスは、設定されたアンカー インターフェイスの名前()と論理ユニット番号($junos-interface-ifd-name
$junos-interface-unit
)で定義されます。プロファイルは、論理インターフェイスの識別子として割り当てl2tp-encapuslation
、各インターフェイスが一度に1つのセッションにのみ使用できることを指定します。
IPv4 アドレスは、AAA サーバーから返された値に設定されます。IPv4 トラフィックの場合、入力ファイアウォール フィルターと出力ファイアウォール フィルター $junos-input-filter
$junos-output-filter
がインターフェイスにアタッチされます。ループバック変数()は、ルーティングインスタンスに設定されたループバックインターフェイス($junos-loopback-interface
lo
)からIPアドレスを導き出し、PPPサーバーアドレスとしてIPCPネゴシエーションで使用します。これはデュアルスタック構成であるため、IPv6アドレスファミリーも設定され、アドレスは 変数によって$junos-ipv6-address
提供されます。
$junos-ipv6-address
この変数が使用されるのは、ルーターアドバタイズプロトコルも設定されているからです。この変数により、AAAは、インターフェイスのローカルアドレスとして予約するプレフィックスの最初のアドレスを割り当てることができます。動的プロファイルのルーターアドバタイズプロトコルの最小設定では、IPv6ネイバーディスカバリルーターアドバタイズメントでプレフィックス値を動的に割り当てるために、 $junos-interface-name
および $junos-ipv6-ndra-prefix
変数を指定します。
動的プロファイルには、トンネルトラフィックに適用されるサービスクラス設定も含まれます。トラフィック制御プロファイル()には、スケジューラマップ()、シェーピングレート()、オーバーヘッドアカウンティング(tc-profile
$junos-cos-shaping-mode
$junos-cos-scheduler-map
$junos-cos-shaping-rate
)、バイト調整$junos-cos-byte-adjust
の変数が含まれています。動的プロファイルは、転送クラス、出力トラフィック制御プロファイル、書き換えルールなどの CoS 設定を動的サービス インターフェイスに適用します。
トンネル グループ設定ではtg-dynamic
、LNS セッションの動的作成とセッションの特性の定義に使用されるアクセス プロファイル、ローカル AAA プロファイル、および動的プロファイルce-l2tp-profile
aaa-profile
dyn-lns-profile2
を指定します。サービスデバイスプールはlns_p1
、サービスインタフェースのプールをグループに関連付けて、LNSがインタフェース間でトラフィックを分散できるようにします。ローカル ゲートウェイ アドレスは、LAC に設定されているリモート ゲートウェイ アドレス203.0.113.2
に対応します。ローカル ゲートウェイ名はce-lns
、LAC に設定されているリモート ゲートウェイ名に対応します。
この例では、考えられるすべての設定の選択肢が示されているわけではありません。
構成
手順
CLIクイック構成
L2TP LNS をすばやく構成するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除してから、コマンドをコピーして CLI に貼り付けます。
[edit] edit access group-profile ce-l2tp-group-profile set ppp idle-timeout 200 set ppp ppp-options pap set ppp ppp-options chap set ppp keepalive 30 top edit access profile ce-l2tp-profile set client lac1 l2tp maximum-sessions-per-tunnel 1000 set client lac1 l2tp interface-id l2tp-encapsulation-1 set client lac1 l2tp lcp-renegotiation set client lac1 l2tp shared-secret "lac1-$ABC123" set client lac1 user-group-profile ce-l2tp-group-profile set client lac2 l2tp maximum-sessions-per-tunnel 4000 set client lac2 l2tp interface-id l2tp-encap-2 set client lac2 l2tp lcp-renegotiation set client lac2 l2tp shared-secret "lac2-$ABC123" set client lac2 user-group-profile ce-l2tp-group-profile top edit access profile aaa-profile set authentication-order radius set radius authentication-server 198.51.100.193 set radius-server 198.51.100.193 secret "$ABC123” top edit access address-assignment pool client-pool1 family inet set network 192.168.1.1/16 set range lns-v4-pool-range low 192.168.1.1 set range lns-v4-pool-range high 192.168.255.255 top edit access address-assignment pool client-ipv6-pool2 family inet6 set prefix 2001:DB8::/32 set range lns-v6-pool-range low 2001:DB8:1::/48 set range lns-v6-pool-range high 2001:DB8:ffff::/48 top set interfaces ge-5/0/1 unit 11 vlan-id 11 set interfaces ge-5/0/1 unit 11 family inet address 203.0.113.2/24 set interfaces lo0 unit 0 family inet address 127.0.0.1/32 top set chassis fpc 5 pic 0 inline-services bandwidth 10g set chassis fpc 5 pic 2 inline-services bandwidth 10g top edit interfaces si-5/0/0 set hierarchical-scheduler maximum-hierarchy-levels 2 set encapsulation generic-services set unit 0 family inet top edit interfaces si-5/2/0 set hierarchical-scheduler maximum-hierarchy-levels 2 set encapsulation generic-services set unit 0 family inet top set services service-device-pools pool lns_p1 interface si-5/0/0 set services service-device-pools pool lns_p1 interface si-5/2/0 top edit dynamic-profiles dyn-lns-profile2 routing-instances $junos-routing-instance set interface $junos-interface-name edit routing-options access route $junos-framed-route-ip-address-prefix set next-hop $junos-framed-route-nexthop set metric $junos-framed-route-cost set preference $junos-framed-route-distance up 2 edit access-internal route $junos-subscriber-ip-address set qualified-next-hop $junos-interface-name up 5 edit interfaces $junos-interface-ifd-name unit $junos-interface-unit set dial-options l2tp-interface-id l2tp-encapsulation set dial-options dedicated set family inet filter input $junos-input-filter set family inet filter output $junos-output-filter set family inet unnumbered-address $junos-loopback-interface set family inet6 address $junos-ipv6-address set family inet6 filter input $junos-input-ipv6-filter set family inet6 filter output $junos-output-ipv6-filter up 3 edit protocols router-advertisement set interface $junos-interface-name prefix $junos-ipv6-ndra-prefix top [edit class-of-service] edit rewrite-rules dscp rewriteDSCP forwarding-class expedited-forwarding set loss-priority high code-point af11 set loss-priority high code-point af12 top edit dynamic-profiles dyn-lns-profile2 class-of-service traffic-control-profiles tc-profile set scheduler-map $junos-cos-scheduler-map set shaping-rate $junos-cos-shaping-rate set overhead-accounting $junos-cos-shaping-mode set overhead-accounting bytes $junos-cos-byte-adjust up edit interfaces $junos-interface-ifd-name unit $junos-interface-unit set forwarding-class expedited-forwarding set output-traffic-control-profile tc-profile set rewrite-rules dscp rewriteDSCP edit interfaces si-5/0/0 set output-control-profile-remaining tc-profile top set services l2tp tunnel-group tg-dynamic l2tp-access-profile ce-l2tp-profile set services l2tp tunnel-group tg-dynamic aaa-access-profile aaa-profile set services l2tp tunnel-group tg-dynamic local-gateway address 203.0.113.2 set services l2tp tunnel-group tg-dynamic local-gateway gateway-name ce-lns set services l2tp tunnel-group tg-dynamic service-device-pool lns_p1 set services l2tp tunnel-group tg-dynamic dynamic-profile dyn-lns-profile2
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 設定モードでのCLIエディターの使用を参照してください。
インラインサービスインターフェイスを持つL2TP LNSを設定するには:
トンネル加入者のPPP設定を定義するユーザーグループプロファイルを設定します。
[edit access] user@host# edit group-profile ce-l2tp-group-profile [edit access group-profile ce-l2tp-group-profile] user@host# set ppp keepalive 30 user@host# set ppp idle-timeout 200 user@host# set ppp ppp-options chap user@host# set ppp ppp-options pap
各クライアント LAC の L2TP パラメータを定義する L2TP アクセス プロファイルを設定します。これには、ユーザグループプロファイルをクライアントに関連付け、LNSでL2TPセッションを表すインラインサービス論理インターフェイスの識別子を指定することが含まれます。
[edit access profile ce-l2tp-profile client lac1] user@host# set l2tp interface-id l2tp-encapsulation user@host# set l2tp maximum-sessions-per-tunnel 1000 user@host# set l2tp shared-secret "lac1-$ABC123" user@host# set l2tp lcp-renegotiation user@host# set user-group-profile ce-l2tp-group-profile [edit access profile ce-l2tp-profile client lac2] user@host# set l2tp interface-id interface-id user@host# set l2tp maximum-sessions-per-tunnel 4000 user@host# set l2tp shared-secret "lac2-$ABC123" user@host# set l2tp lcp-renegotiation user@host# set user-group-profile ce-l2tp-group-profile
メモ:が変更または削除されると
user-group-profile
、このレイヤ 2 トンネリング プロトコル クライアント設定を使用していた既存の LNS サブスクライバがダウンします。AAA 認証方式とサーバ属性の順序に応じてグローバル アクセス プロファイルを上書きするように、AAA アクセス プロファイルを設定します。
[edit access profile aaa-profile] user@host# set authentication-order radius user@host# set radius authentication-server 198.51.100.193 user@host# set radius-server 198.51.100.193 secret "$ABC123”
IPv4 および IPv6 のアドレス割り当てプールを設定して、クライアント(LAC)にアドレスを割り当てます。
[edit access address-assignment pool client-pool1 family inet] user@host# set network 192.168.1.1/16 user@host# set range lns-v4-pool-range low 192.168.1.1 high 192.168.255.255 [edit access address-assignment pool client-ipv6-pool2 family inet6] user@host# set prefix 2001:DB8::/32 user@host# set range lns-v6-pool-range low 2001:DB8:1::/48 user@host# set range lns-v6-pool-range high 2001:DB8:ffff::/48
トンネルを終端するようにピア インターフェイスと、PPP サーバー側の IPCP アドレス(ループバック アドレス)を設定します。
[edit interfaces ge-5/0/1 user@host# set vlan-tagging user@host# set unit 11 [edit interfaces ge-5/0/1.11 user@host# set vlan-id 11 user@host# set family inet address 10.1.1.2/24 [edit interfaces lo0] user@host# set unit 0 family inet address 127.0.0.1/32
MPCでインラインサービスインターフェイスを有効にします。
[edit chassis fpc 5] user@host# set pic 0 inline-services bandwidth 10g user@host# set pic 2 inline-services bandwidth 10g
アンカーサービスインターフェイスに、サービスのカプセル化、階層スケジューリング、およびアドレスファミリーを設定します。
[edit interfaces si-5/0/0] user@host# set hierarchical-scheduler maximum hierarchy-levels 2 user@host# set encapsulation generic-services user@host# set unit 0 family inet [edit interfaces si-5/2/0] user@host# set hierarchical-scheduler maximum hierarchy-levels 2 user@host# set encapsulation generic-services user@host# set unit 0 family inet
動的LNSセッションのサービスインタフェースのプールを設定します。
[edit services service-device-pools pool lns_p1] user@host# set interface si-5/0/0 user@host# set interface si-5/2/0
デュアルスタック加入者向けのL2TP論理インターフェイスを動的に作成する動的プロファイルを設定します。
[edit dynamic-profiles dyn-lns-profile2] user@host# edit routing-instances $junos-routing-instance user@host# set interface $junos-interface-name [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance”] user@host# edit routing-options access route $junos-framed-route-ip-address-prefix [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance” routing-options access route “$junos-framed-route-ip-address-prefix”] user@host# set next-hop $junos-framed-route-nexthop user@host# set metric $junos-framed-route-cost user@host# set preference $junos-framed-route-distance [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance” routing-options access-internal] user@host# set route $junos-subscriber-ip-address qualified-next-hop $junos-interface-name [edit dynamic-profiles dyn-lns-profile2 interfaces “$junos-interface-ifd-name” unit “$junos-interface-unit”] user@host# set dial-options l2tp-interface-id l2tp-encapsulation user@host# set dial-options dedicated user@host# set family inet unnumbered-address $junos-loopback-interface user@host# set family inet filter input $junos-input-filter user@host# set family inet filter output $junos-output-filter user@host# set family inet6 address $junos-ipv6-address set family inet6 filter input $junos-input-ipv6-filter set family inet6 filter output $junos-output-ipv6-filter [edit dynamic-profiles dyn-lns-profile2 protocols router-advertisement] user@host# set interface $junos-interface-name prefix $junos-ipv6-ndra-prefix
シェーピング、スケジューリング、書き換えルールを設定し、トンネルトラフィックに動的プロファイルで適用します。
[edit class-of-service] user@host# edit rewrite-rules dscp rewriteDSCP forwarding-class expedited-forwarding user@host# set loss-priority high code-point af11 user@host# set loss-priority high code-point af12 [edit dynamic-profiles dyn-lns-profile2 class-of-service traffic-control-profiles tc-profile] user@host# set scheduler-map $junos-cos-scheduler-map user@host# set shaping-rate $junos-cos-shaping-rate user@host# set overhead-accounting $junos-cos-shaping-mode user@host# set overhead-accounting bytes $junos-cos-byte-adjust [edit dynamic-profiles dyn-lns-profile2 class-of-service interfaces “$junos-interface-ifd-name” unit "$junos-interface-unit"] user@host# set forwarding-class expedited-forwarding user@host# set output-traffic-control-profile tc-profile user@host# set rewrite-rules dscp rewriteDSCP [edit class-of-service interfaces si-5/0/0] user@host# set output-traffic-control-profile-remaining tc-profile
L2TP トンネル グループを設定して、インライン サービス インターフェイスのプールを使用して動的 LNS セッションを起動し、ロード バランシングを有効にします。
[edit services l2tp tunnel-group tg-dynamic] user@host# set l2tp-access-profile ce-l2tp-profile user@host# set local-gateway address 10.1.1.2 user@host# set local-gateway gateway-name ce-lns user@host# set aaa-access-profile aaa-profile user@host# set dynamic-profile dyn-lns-profile2 user@host# set service-device-pool lns_p1
結果
設定モードから、 コマンドを入力して show access
、アクセス プロファイル、グループ プロファイル、AAA プロファイル、アドレス割り当てプールの設定を確認します。コマンドを入力して show chassis
、インラインサービスの設定を確認します。コマンドを入力して show interfaces
、インターフェイスの設定を確認します。コマンドを入力して show dynamic-profiles
、動的プロファイルの設定を確認します。コマンドを入力して show services l2tp
、トンネル グループの設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show access group-profile ce-l2tp-group-profile { ppp { idle-timeout 200; ppp-options { pap; chap; } keepalive 30; } } profile ce-l2tp-profile { client lac1 { l2tp { maximum-sessions-per-tunnel 1000; interface-id l2tp-encapsulation-1; lcp-renegotiation; shared-secret "lac1-$ABC123"; ## SECRET-DATA } user-group-profile ce-l2tp-group-profile; } client lac2 { l2tp { maximum-sessions-per-tunnel 4000; interface-id l2tp-encap-2; lcp-renegotiation; shared-secret "lac2-$ABC123"; ## SECRET-DATA } user-group-profile ce-l2tp-group-profile; } } profile aaa-profile { authentication-order radius; radius-server { 198.51.100.193 secret "$ABC123"; ## SECRET-DATA } } address-assignment { pool client-pool1 { family inet { network 192.168.1.1/16; range lns-v4-pool-range { low 192.168.1.1; high 192.168.255.255; } } } pool client-ipv6-pool2 { family inet6 { prefix 2001:DB8::/32; range lns-v6-pool-range { low 2001:DB8:1::/48; high 2001:DB8:ffff::/48; } } } } [edit] user@host# show chassis fpc 5 { pic 0 { inline-services { bandwidth 10g; } } pic 2 { inline-services { bandwidth 10g; } } } [edit] user@host# show interfaces ge-5/0/1 { vlan-tagging;; unit 11 { vlan-id 11; family inet { address 203.0.113.2/24; } } } si-5/0/0 { hierarchical-scheduler maximum-hierarchy-levels 2; encapsulation generic-services; unit 0 { family inet; } } si-5/2/0 { hierarchical-scheduler maximum-hierarchy-levels 2; encapsulation generic-services; unit 0 { family inet; } } lo0 { unit 0 { family inet { address 127.0.0.1/32; } } } [edit] user@host# show dynamic-profiles dyn-lns-profile2 { routing-instances { "$junos-routing-instance" { interface "$junos-interface-name"; routing-options { access { route $junos-framed-route-ip-address-prefix { next-hop "$junos-framed-route-nexthop"; metric "$junos-framed-route-cost"; preference "$junos-framed-route-distance"; } } access-internal { route $junos-subscriber-ip-address { qualified-next-hop "$junos-interface-name"; } } } } } interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { dial-options { l2tp-interface-id l2tp-encapsulation; dedicated; } family inet { filter { input "$junos-input-filter"; output "$junos-output-filter"; } unnumbered-address "$junos-loopback-interface"; } family inet6 { address $junos-ipv6-address; input $junos-input-ipv6-filter; output $junos-output-ipv6-filter; } } } } protocols { router-advertisement { interface "$junos-interface-name" { prefix $junos-ipv6-ndra-prefix; } } } class-of-service { rewrite-rules { dscp rewriteDSCP { forwarding-class expedited-forwarding { loss-priority high code-point af11 loss-priority high code-point af12 } } } traffic-control-profiles { tc-profile { scheduler-map "$junos-cos-scheduler-map"; shaping-rate "$junos-cos-shaping-rate"; overhead-accounting "$junos-cos-shaping-mode" bytes "$junos-cos-byte-adjust"; } } interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { forwarding-class expedited-forwarding; output-traffic-control-profile tc-profile; rewrite-rules { dscp rewriteDSCP; } } } } } } [edit] user@host# show services l2tp tunnel-group tg-dynamic { l2tp-access-profile ce-l2tp-profile; aaa-access-profile aaa-profile; local-gateway { address 203.0.113.2; gateway-name ce-lns; } service-device-pool lns_p1; dynamic-profile dyn-lns-profile2; }
デバイスの設定が完了したら、設定モードから を入力します commit
。
インライン サービス インターフェイスとの LNS セッション用の L2TP トンネル グループの設定
L2TP トンネル グループは、LAC クライアント グループからの L2TP トンネルとセッションに適用される属性を指定します。これらの属性には、ローカル ゲートウェイ アドレスで LNS に対して行われた L2TP 接続要求を検証するために使用されるアクセス プロファイル、グローバル アクセス プロファイルを上書きするローカル アクセス プロファイル、キープアライブ タイマー、および IP ToS 値が反映されているかどうかが含まれます。
トンネル グループを削除すると、そのトンネル グループ内のすべての L2TP セッションが終了します。、 、または ステートメントの値 local-gateway-address
を変更すると、 service-device-pool
これらの設定を使用するすべての L2TP セッションが service-interface
終了します。階層レベルで他のステートメント [edit services l2tp tunnel-group name]
を変更または削除した場合、確立する新しいトンネルでは更新された値が使用されますが、既存のトンネルやセッションは影響を受けません。
LNS トンネル グループを設定するには、次の手順に従います。
RADIUS を使用せずに L2TP セッションにサービスを適用する
サービスは、アクティベーションのためにL2TPセッションに適用されるか、後でRADIUSサーバーからのベンダー固有属性(VSA)またはRADIUS認証変更(CoA)リクエストによって変更されます。Junos OS リリース 18.1R1 以降、RADIUS を使用せずに動的サービス プロファイルを使用して、L2TP セッションにサービスを適用できます。マルチベンダー環境では、複数のベンダーのVSAを使用しないようにすることで、管理を簡素化するために標準のRADIUS属性のみを使用することができます。しかし、VSAは一般的にサービスを適用する必要があるため、L2TPセッションへのサービスの適用は複雑になります。ローカル動的サービス プロファイルのアクティブ化により、この問題を回避できます。また、ローカル サービス プロファイルのアクティブ化を使用して、RADIUS サーバーがダウンしたときにデフォルト サービスを提供することもできます。
トンネル グループ内のすべての加入者、または特定の LAC を使用するすべての加入者にサービスを適用できます。トンネル グループまたは LAC ホスト名ごとに最大 12 のサービスを設定できます。
サービスを定義する 1 つ以上のダイナミック サービス プロファイルを設定した後、サービス プロファイル名を指定して、トンネル グループまたは LAC クライアントのアクセス プロファイル設定に適用します。活動化する複数のプロファイルをアンパサンド (&) で区切ってリストすることができます。また、CoS サービスの下流シェーピング レートなど、プロファイル自体で設定された値を上書きする可能性のあるサービス プロファイルで使用するパラメータを指定することもできます。
ローカルに設定されたサービスのリストは(サービス プロファイルを介して)クライアント セッションのアクティブ化中に authd によって適用されるローカル許可として機能します。このサービスのリストは、RADIUS などの外部機関から発信されたサービスと同じ検証と処理の対象となります。これらのサービスは、加入者のログイン時に表示されます。
RADIUS VSAまたはCoAリクエストをサービスプロファイルと組み合わせて使用することもできます。認証時または加入者セッションのプロビジョニング(アクティベーション)中に、サービスが外部認証機関から認可として供給される場合、外部認証機関からのサービスがローカル設定のサービスよりも厳密に優先されます。RADIUS で適用されたサービスが、CLI のサービス プロファイルで適用されたサービスと同じで、パラメータが異なる場合、RADIUS サービスは新しいセッション ID で適用され、以前のサービス プロファイルよりも優先されます。
コマンドを発行して、トンネル グループまたは LAC に対して以前にアクティブ化したサービスを非アクティブ化または再アクティブ化できます。
後でトンネル グループまたは LAC に適用するダイナミック サービス プロファイルを定義します。
トンネル グループ内のすべての加入者にサービス プロファイルを適用するには、次の手順に従います。
1 つ以上のサービス プロファイルと、サービスに渡すパラメータを指定します。
[edit services l2tp tunnel-group group-name] user@host# set service-profile profile-name(parameter)&profile-name
特定の LAC のすべての加入者にサービス プロファイルを適用するには、次の手順に従います。
1 つ以上のサービス プロファイルと、サービスに渡すパラメータを指定します。
[edit access profile profile-name client client-name l2tp] user@host# set service-profile profile-name(parameter)&profile-name
メモ:LAC クライアントおよびそのクライアントを使用するトンネル グループに対してサービス プロファイルが設定されている場合、LAC クライアント サービス プロファイルのみが適用されます。トンネル グループの設定を上書きします。たとえば、次の設定では、トンネル グループ tg-LAC-3 は LAC クライアント LAC-3 を使用しているため、LAC3 設定はトンネル グループの設定を上書きします。その結果、トンネル グループの加入者に対しては、Cos2 および fw1 ではなく、cos-A3 サービスのみがアクティブになります。サービスに渡されるシェーピング レートは 24 Mbps です。
[edit] user@host# set services l2tp tunnel-group tg-LAC-3 service-profile cos2(31000000)&fw1 user@host# set access profile prof-lac client LAC-3 l2tp service-profile cos-A3(24000000)
以下のコマンドを発行することで、サブスクライバセッションに適用されているサービスを非アクティブ化できます。
user@host> request network-access aaa subscriber delete session-id subscriber-session-id service-profile profile-name
以下のコマンドを発行することで、サブスクライバセッションに適用されているサービスを再アクティブ化できます。
user@host> request network-access aaa subscriber add session-id subscriber-session-id service-profile profile-name
現在のすべての加入者セッションのサービス セッションを表示するには、 または show network-access aaa subscribers session-id id-number detail
コマンドを使用しますshow subscribers extensive
。
ローカル サービス アプリケーションのしくみを理解するために、次の例は、さまざまな構成の可能性を示しています。まず、次の動的サービス プロファイル設定(cos2 および fw1)について考えます。
dynamic-profiles { cos2 { variables { shaping-rate default-value 10m; shaping-rate-in default-value 10m; data-in-filter uid; data-in-policer uid; } interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { family inet; } } } class-of-service { traffic-control-profiles { TrafficShaper { scheduler-map a; shaping-rate "$shaping-rate"; } } interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { output-traffic-control-profile TrafficShaper; } } } } } |
dynamic-profiles { fw1 { variables { v6input default-value v6ingress; v6output default-value v6egress; input default-value upstrm-filter; output default-value dwnstrm-filter; } interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { family inet; } } } } }
次のステートメントは、トンネルグループ tg1 のすべての加入者に両方のサービスを適用します。31 Mbps のパラメータ値が CoS2 サービスに渡されます。
[edit] user@host# set services l2tp tunnel-group tg1 service-profile cos2(31000000)&fw1
cos2サービスプロファイルでは、シェーピングレートは、デフォルト値10m(1Mbps)のユーザー定義変数によって提供されます。L2TP セッションがアップすると、cos2 と fw1 がそれぞれサービス セッション ID 34 と 35 でアクティブ化されます。
user@host1> show subscribers extensive ... Service Session ID: 34 Service Session Name: cos2 State: Active Family: inet Service Activation time: 2018-02-15 15:44:16 IST Service Session ID: 35 Service Session Name: fw1 State: Active Family: inet Service Activation time: 2018-02-15 15:44:16 IST Dynamic configuration: input: upstrm-filter output: dwnstrm-filter v6input: v6ingress v6output: v6egress
cos2に渡されたパラメータは、$shapingレートの値として使用されます。その結果、次のコマンド出力に示すように、サービスのシェーピング レートがデフォルト値の 10 Mbps から 31 Mbps に調整されます。出力では、調整アプリケーションがRADIUS CoAであることを示していますが、調整はサービス プロファイルに渡されたパラメータの結果です。この操作は、CoAと同じ内部フレームワークを使用し、そのように報告されます。
user@host1> show class-of-service interface si-1/0/0.3221225492 Logical interface: si-1/0/0.3221225492, Index: 3221225492 Object Name Type Index Traffic-control-profile subscriber-tcp-2 Output 23571 Scheduler-map a Output 4294967354 Classifier dscp-ipv6-compatibility dscp-ipv6 9 Classifier ipprec-compatibility ip 13 Adjusting application: RADIUS CoA Adjustment type: absolute configured-shaping-rate: 31000000 adjustment-value: 31000000 Adjustment overhead-accounting mode: frame mode Adjustment overhead bytes: 0 Adjustment target: node Adjustment priority: 1
これで、cos2サービスがサブスクライバセッション27のCLIから非アクティブ化されます。
user@host1> request network-access aaa subscriber delete service-profile cos2 session-id 27 Successful completion
次の出力は、cos2 がなくなり、アクティブなサービスとして fw1 のみが残っていることを示しています。
user@host1> show subscribers extensive Type: L2TP User Name: user@example.com IP Address: 192.0.2.103 IP Netmask: 255.255.255.255 Logical System: default Routing Instance: default Interface: si-1/0/0.3221225492 Interface type: Dynamic Underlying Interface: si-1/0/0.3221225492 Dynamic Profile Name: dyn-lns-profile State: Active Radius Accounting ID: 27 Session ID: 27 PFE Flow ID: 42 Login Time: 2017-08-30 07:29:39 IST Service Sessions: 1 IP Address Pool: ipv4_pool Accounting interval: 600 Frame/cell mode: Frame Overhead accounting bytes: -38 Calculated downstream data rate: 1000000 kbps Adjusted downstream data rate: 1000000 kbps Service Session ID: 35 Service Session Name: fw1 State: Active Family: inet Service Activation time: 2018-02-15 15:44:16 IST Dynamic configuration: input: upstrm-filter output: dwnstrm-filter v6input: v6ingress v6output: v6egress
次のコマンドは、サブスクライバ セッション 27 の cos2 を再アクティブ化します。
user@host1> request network-access aaa subscriber add service-profile cos2 session-id 27 Successful completion
再アクティブ化された cos2 サービスの新しいサービス セッション ID は 36 です。
user@host1> show subscribers extensive ... Service Session ID: 35 Service Session Name: fw1 State: Active Family: inet Service Activation time: 2018-02-15 15:44:16 IST Dynamic configuration: input: upstrm-filter output: dwnstrm-filter v6input: v6ingress v6output: v6egress Service Session ID: 36 Service Session Name: cos2 State: Active Family: inet Service Activation time: 2018-02-15 15:58:23 IST
再アクティブ化されたcos2サービスは、サービスプロファイルのデフォルトのシェーピングレートである10Mbpsを使用します。
user@host1> show class-of-service interface si-1/0/0.3221225492 Logical interface: si-1/0/0.3221225492, Index: 3221225492 Object Name Type Index Traffic-control-profile subscriber-tcp-2 Output 23571 Scheduler-map a Output 4294967354 Classifier dscp-ipv6-compatibility dscp-ipv6 9 Classifier ipprec-compatibility ip 13 Adjusting application: RADIUS CoA Adjustment type: absolute configured-shaping-rate: 10000000 adjustment-value: 10000000 Adjustment overhead-accounting mode: frame mode Adjustment overhead bytes: 0 Adjustment target: node Adjustment priority: 1
次に、サービスアクティブ化VSA(26-65)を含むRADIUS CoA要求を受信します。VSAは、サービスを指定およびアクティブ化し、cos2のシェーピングレートのデフォルトの10Mbpsから12Mbpsへの変更を指定します。cos2サービスセッション36は引き続き出力に表示されますが、CoA49によって開始された新しいサービスセッションに取って代わられます。
user@host1> show subscribers extensive ... Service Session ID: 35 Service Session Name: fw1 State: Active Family: inet Service Activation time: 2018-02-15 15:44:16 IST Dynamic configuration: input: upstrm-filter output: dwnstrm-filter v6input: v6ingress v6output: v6egress Service Session ID: 36 Service Session Name: cos2 State: Active Family: inet Service Activation time: 2018-02-15 15:58:23 IST Service Session ID: 49 Service Session Name: cos2 State: Active Family: inet Service Activation time: 2018-02-15 16:25:04 IST Dynamic configuration: shaping-rate: 12000000 shaping-rate-in: 10m
user@host1> show class-of-service interface si-1/0/0.3221225492 Logical interface: si-1/0/0.3221225492, Index: 3221225492 Object Name Type Index Traffic-control-profile subscriber-tcp-2 Output 23571 Scheduler-map a Output 4294967354 Classifier dscp-ipv6-compatibility dscp-ipv6 9 Classifier ipprec-compatibility ip 13 Adjusting application: RADIUS CoA Adjustment type: absolute configured-shaping-rate: 12000000 adjustment-value: 12000000 Adjustment overhead-accounting mode: frame mode Adjustment overhead bytes: 0 Adjustment target: node Adjustment priority: 1
CLI設定とRADIUS VSA(26-65)の両方でサービスが適用され、パラメータが異なる場合、RADIUSの設定がCLIの設定よりも優先されます。次の例では、CLI 設定により、シェーピング レートの値 31 Mbps を持つ cos2 サービス プロファイルが適用されます。
[edit] user@host# set services l2tp tunnel-group tg1 service-profile cos2(31000000)
RADIUS Access-AcceptメッセージサービスアクティベーションVSA(26-65)は、シェーピングレートに21Mbpsの値でcos2を適用します。
l2tp@l2tp.com User-Password := "bras" Auth-Type = Local, Service-Type = Framed-User, Framed-Protocol = PPP, ERX-Service-Activate:1 += 'cos2(21000000)',
CLI 設定では、シェーピング レート 31 Mbps でサービス セッション 22 がアクティブになります。RADIUS VSA は、シェーピング レート 21 Mbps でサービス セッション 23 をアクティブにします。
user@host1> show subscribers extensive ... Service Session ID: 22 Service Session Name: cos2 State: Active Family: inet Service Activation time: 2018-02-16 08:22:03 IST Dynamic configuration: shaping-rate: 31000000 shaping-rate-in: 10m Service Session ID: 23 Service Session Name: cos2 State: Active Family: inet Service Activation time: 2018-02-16 08:22:03 IST Dynamic configuration: shaping-rate: 21000000 shaping-rate-in: 10m
user@host1> show class-of-service interface si-1/0/0.3221225492 Logical interface: si-1/0/0.3221225492, Index: 3221225492 Object Name Type Index Traffic-control-profile subscriber-tcp-2 Output 23571 Scheduler-map a Output 4294967354 Classifier dscp-ipv6-compatibility dscp-ipv6 9 Classifier ipprec-compatibility ip 13 Adjusting application: RADIUS CoA Adjustment type: absolute configured-shaping-rate: 21000000 adjustment-value: 21000000 Adjustment overhead-accounting mode: frame mode Adjustment overhead bytes: 0 Adjustment target: node Adjustment priority: 1
動的LNSセッション用のインラインサービスインターフェイスのプールの設定
インライン サービス インターフェイスのプール( サービス デバイス プールとも呼ばれます)を作成して、インターフェイス間で L2TP トラフィックの負荷分散を行うことができます。プールは動的LNS構成でサポートされており、動的に作成してLNS上のL2TPセッションに割り当てることができる一連の論理インターフェイスを提供します。プールは LNS トンネル グループに割り当てられます。L2TP は、各インライン サービス インターフェイスの状態を維持し、ラウンドロビン方式を使用して、新しいセッション要求が受け入れられたときに使用可能なインターフェイス間で負荷を均等に分散します。
ロードバランシングは、動的に作成された加入者インターフェイスでのみ使用できます。
MPC に固定された LNS セッションは、ピア LAC への他のパスが存在する限り、MIC 障害の影響を受けません。ピア インターフェイスをホストしている MPC に障害が発生し、ピア LAC へのパスがない場合、障害によって MPC 上のすべてのセッションの終了とクリーンアップが開始されます。
LNSセッション自体を固定しているMPCに障害が発生した場合、ルーティングエンジンはセッションを別のスロットに移動せず、すべてのセッションが直ちに終了します。クライアントが再試行すると、別の使用可能なインターフェイスで新しいセッションが起動する可能性があります。
サービスデバイスプールを設定するには:
動的 LNS セッションの動的プロファイルの設定
L2TP を設定し、L2TP トンネルにインライン サービス インターフェイスを動的に割り当てることができます。1 つ以上の動的プロファイルを定義し、各トンネル グループにプロファイルを割り当てる必要があります。LNSは、IPv4のみ、IPv6のみ、およびデュアルスタックIPv4/IPv6セッションをサポートします。
L2TP動的プロファイルを設定するには: