Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Interfaces de servicio en línea LNS L2TP

Configuración de un LNS L2TP con interfaces de servicio en línea

La licencia de la característica L2TP LNS debe estar instalada antes de comenzar la configuración. De lo contrario, se muestra un mensaje de advertencia cuando se confirma la configuración.

Para configurar un LNS L2TP con interfaces de servicio en línea:

  1. (Opcional) Configure un perfil de grupo de usuarios que defina la configuración PPP para los suscriptores de túnel.
  2. (Opcional) Configure atributos PPP para suscriptores en interfaces de servicio en línea.
  3. Configure el reensamblaje de IP en línea.
  4. Configure un perfil de acceso L2TP que defina los parámetros L2TP para cada cliente LNS (LAC).
  5. (Opcional) Configure un perfil de acceso AAA para anular el perfil de acceso configurado en la instancia de enrutamiento.
  6. Configure un grupo de direcciones para que se asignen dinámicamente a suscriptores PPP tunelizados.
  7. Configure la interfaz del mismo nivel para terminar el túnel y la dirección IPCP del servidor PPP.
  8. Habilite las interfaces de servicio en línea en un MPC.
  9. Configure una interfaz de servicio.
  10. Configure las opciones para cada interfaz lógica de servicio en línea.
  11. (Opcional) Configure una interfaz de servicio en línea agregada y una redundancia de estado 1:1.
  12. Configure el grupo de túneles L2TP.
  13. (Opcional) Configure un perfil dinámico que cree dinámicamente interfaces lógicas L2TP.
  14. (Opcional) Configure un grupo de interfaces de servicio para sesiones LNS dinámicas.
  15. (Opcional) Especifique cuántas veces L2TP retransmite mensajes de control no confirmados.
  16. (Opcional) Especifique cuánto tiempo puede permanecer inactivo un túnel antes de ser derribado.
  17. (Opcional) Especifique el tamaño de la ventana de recepción L2TP para el túnel L2TP. El tamaño de la ventana de recepción especifica el número de paquetes que un par puede enviar antes de esperar una confirmación del enrutador.
  18. (Opcional) Especifique cuánto tiempo el L2TP conserva la información sobre túneles dinámicos, sesiones y destinos terminados.
  19. (Opcional) Configure el tiempo de espera de bloqueo de destino L2TP.
  20. (Opcional) Configure la conmutación de túnel L2TP.
  21. (Opcional) Impedir la creación de nuevas sesiones, destinos o túneles para L2TP.
  22. (Opcional) Configure si se negocia el protocolo de conmutación por error L2TP o si se usa el método de conmutación por error silenciosa para la resincronización.
  23. (Opcional) Habilite los contadores de estadísticas SNMP.
  24. (Opcional) Configure las opciones de seguimiento para solucionar problemas de configuración.

También debe configurar CoS para sesiones LNS. Para obtener más información, consulte Configuración de CoS dinámica para un servicio en línea LNS L2TP.

Aplicación de atributos PPP a suscriptores LNS L2TP por interfaz de servicio en línea

Puede configurar atributos PPP que aplica el LNS en la interfaz de servicio en línea (si) a los suscriptores PPP tunelizados desde LAC. Dado que está configurando los atributos por interfaz en lugar de con un perfil de grupo de usuarios, los atributos de los suscriptores se pueden variar con una granularidad más fina. Esta configuración coincide con la utilizada para los suscriptores PPPoE terminados.

Para configurar los atributos PPP para interfaces SI creadas dinámicamente:

  1. Especifique la interfaz dinámica predefinida y las variables de interfaz lógica en el perfil dinámico.
  2. Configure el intervalo entre los mensajes keepalive PPP para el túnel L2TP que termina en el LNS.
  3. Configure los métodos de autenticación PPP que se aplican a los suscriptores PPP tunelizados en el LNS.
  4. Especifique un conjunto de opciones AAA que se usa para la autenticación y autorización de suscriptores PPP tunelizados en el LNS que inician sesión mediante el suscriptor y los contextos AAA especificados en el conjunto de opciones AAA.

    El conjunto de opciones se configura con la instrucción en el nivel de aaa-options aaa-options-name [edit access] jerarquía.

  5. Configure el enrutador para solicitar al equipo local del cliente (CPE) que negocie direcciones DNS principales y secundarias durante la negociación IPCP para suscriptores PPP tunelizados en el LNS.
  6. (Opcional) Desactive la validación del número mágico PPP durante la negociación LCP y en los intercambios LCP keepalive (echo-request/echo-reply). Impide la comparación del número mágico recibido con el número mágico generado internamente, de modo que una discrepancia no provoque la finalización de la sesión.

Para configurar los atributos PPP para interfaces SI creadas estáticamente:

  1. Especifique la interfaz lógica de servicio en línea.

  2. Configure el intervalo entre los mensajes keepalive PPP para el túnel L2TP que termina en el LNS.

  3. Configure el número de paquetes keepalive que un destino no debe recibir antes de que la red elimine un vínculo.

    Nota:

    Normalmente, la keepalives up-count opción no se usa para la administración de suscriptores.

  4. Configure los métodos de autenticación PPP que se aplican a los suscriptores PPP tunelizados en el LNS.

  5. Configure el enrutador para solicitar al equipo en las instalaciones del cliente (CPE) que negocie las direcciones DNS principal y secundaria durante la negociación IPCP para los suscriptores PPP tunelizados en el LNS.

Práctica recomendada:

Aunque se admiten todas las demás instrucciones subordinadas a —incluidas las subordinadas a ppp-optionschap y pap—, normalmente no se utilizan para la administración de suscriptores. Le recomendamos que deje estas otras instrucciones en sus valores predeterminados.

Nota:

También puede configurar atributos PPP con un perfil de grupo de usuarios que aplique los atributos a todos los suscriptores con ese perfil en un cliente LAC. Consulte Aplicación de atributos PPP a suscriptores de LNS L2TP con un perfil de grupo de usuarios para obtener más información. Al configurar los atributos PPP para suscriptores LNS L2TP tanto en la interfaz SI como en los perfiles de grupo de usuarios, la configuración de la interfaz de servicio en línea tiene prioridad sobre la configuración del perfil de grupo de usuarios.

Nota:

Cuando las opciones PPP se configuran tanto en un perfil de grupo como en un perfil dinámico, la configuración del perfil dinámico tiene prioridad completa sobre el perfil de grupo cuando el perfil dinámico incluye una o varias de las opciones PPP que se pueden configurar en el perfil de grupo. La precedencia completa significa que no hay combinación de opciones entre los perfiles. El perfil de grupo se aplica al suscriptor solo cuando el perfil dinámico no incluye ninguna opción PPP disponible en el perfil de grupo.

Aplicación de atributos PPP a suscriptores de LNS L2TP con un perfil de grupo de usuarios

Puede configurar un perfil de grupo de usuarios que permita al LNS aplicar atributos PPP a los suscriptores PPP tunelizados desde LAC. El perfil de grupo de usuarios está asociado a clientes (LAC) en el perfil de acceso L2TP. En consecuencia, todos los suscriptores manejados por un cliente determinado comparten los mismos atributos PPP.

Para configurar un perfil de grupo de usuarios:

  1. Cree el perfil.
  2. Configure el intervalo entre los mensajes keepalive PPP para el túnel L2TP que termina en el LNS.
    Nota:

    Los cambios en el intervalo keepalive en un perfil de grupo de usuarios solo afectan a las nuevas sesiones L2TP que surgen después del cambio. Las sesiones existentes no se ven afectadas.

  3. Configure los métodos de autenticación PPP que se aplican a los suscriptores PPP tunelizados en el LNS.
  4. Especifique un conjunto de opciones AAA que se usa para la autenticación y autorización de suscriptores PPP tunelizados en el LNS que inician sesión mediante el suscriptor y los contextos AAA especificados en el conjunto de opciones AAA.

    El conjunto de opciones se configura con la instrucción en el nivel de aaa-options aaa-options-name [edit access] jerarquía.

  5. Configure el enrutador para solicitar al equipo en las instalaciones del cliente (CPE) que negocie las direcciones DNS principal y secundaria durante la negociación IPCP para los suscriptores PPP tunelizados en el LNS.
  6. (Opcional) Desactive el motor de reenvío de paquetes para que no realice una comprobación de validación de los números mágicos PPP recibidos de un par remoto en los intercambios keepalive (Echo-Request/Echo-Reply) de LCP. Esto impide que PPP termine la sesión cuando el número no coincide con el valor acordado durante la negociación de LCP. Esta capacidad es útil cuando los pares PPP remotos incluyen números mágicos arbitrarios en los paquetes keepalive. La configuración de esta instrucción no tiene ningún efecto en la negociación del número mágico LCP ni en el intercambio de keepalives cuando el número mágico par remoto es el número negociado esperado.
  7. Configure cuánto tiempo puede estar inactiva la sesión del suscriptor PPP antes de que se considere que se ha agotado el tiempo de espera.
Nota:

También puede configurar atributos PPP por interfaz. Consulte Aplicación de atributos PPP a suscriptores LNS L2TP por interfaz de servicio en línea para obtener más información. Al configurar los atributos PPP para suscriptores LNS L2TP tanto en la interfaz SI como en los perfiles de grupo de usuarios, la configuración de la interfaz de servicio en línea tiene prioridad sobre la configuración del perfil de grupo de usuarios.

Nota:

Cuando las opciones PPP se configuran tanto en un perfil de grupo como en un perfil dinámico, la configuración del perfil dinámico tiene prioridad completa sobre el perfil de grupo cuando el perfil dinámico incluye una o varias de las opciones PPP que se pueden configurar en el perfil de grupo. La precedencia completa significa que no hay combinación de opciones entre los perfiles. El perfil de grupo se aplica al suscriptor solo cuando el perfil dinámico no incluye ninguna opción PPP disponible en el perfil de grupo.

Configuración de un perfil de acceso L2TP en el LNS

Los perfiles de acceso definen cómo validar las conexiones y las solicitudes de sesión del Protocolo de túnel de capa 2 (L2TP). Dentro de cada perfil de acceso L2TP, se configuran uno o más clientes (LAC). Las características del cliente se utilizan para autenticar LAC con contraseñas coincidentes y para establecer atributos del túnel y la sesión del cliente. Puede configurar varios perfiles de acceso y varios clientes dentro de cada perfil.

Para configurar un perfil de acceso L2TP:

  1. Cree el perfil de acceso.
  2. Configure las características para uno o más clientes (LAC).
    Nota:

    Excepto en el caso especial del default cliente, el nombre de cliente LAC que configure en el perfil de acceso debe coincidir con el nombre de host de la LAC. En el caso de un enrutador de Juniper Networks que actúa como LAC, el nombre de host se configura en el perfil de túnel LAC con la instrucción gateway gateway-name en el nivel jerárquico [edit access tunnel-profile profile-name tunnel tunnel-id source-gateway] . Como alternativa, el nombre del cliente se puede devolver desde RADIUS en el atributo Tunnel-Client-Auth-Id [90].

    Nota:

    Utilícelo default como nombre de cliente cuando desee definir un cliente de túnel predeterminado. El cliente predeterminado habilita la autenticación de varias LAC con el mismo secreto y atributos L2TP. Este comportamiento es útil cuando, por ejemplo, se agregan muchas LAC nuevas a la red, ya que permite que las LAC se utilicen sin una configuración adicional del perfil LNS.

    Úselo default únicamente en enrutadores de la serie MX. El nombre de cliente equivalente en los enrutadores de la serie M es *.

  3. (Opcional) Especifique un perfil de acceso local que invalide el perfil de acceso global y el perfil de acceso AAA del grupo de túnel para configurar las opciones del servidor RADIUS para el cliente.
  4. Configure el LNS para renegociar el protocolo de control de vínculos (LCP) con el cliente PPP. tunelizado desde el cliente.
  5. Configure uno o más perfiles de servicio dinámicos para aplicar servicios a todos los suscriptores en LAC. Opcionalmente, puede pasar un parámetro a los servicios de la misma instrucción.
  6. Configure el número máximo de sesiones permitidas en un túnel desde el cliente (LAC).
  7. Configure el LNS para reemplazar los códigos de resultado 4 y 5 con el código de resultado 2 en los mensajes de CDN que envía al LAC cuando el número de sesiones L2TP alcanza el valor máximo configurado. Algunas LAC de terceros no pueden conmutar por error a otro LNS a menos que el código de resultado tenga un valor de 2.
  8. Configure la contraseña de túnel utilizada para autenticar el cliente (LAC).
  9. (Opcional) Asocie un perfil de grupo que contenga atributos PPP para aplicar las sesiones PPP que se tunelizan desde este cliente LAC.
    Nota:

    Si user-group-profile se modifica o elimina, los suscriptores de LNS existentes que utilizaban esta configuración de cliente de protocolo de túnel de capa 2 dejan de funcionar.

Configuración de un perfil de acceso local AAA en el LNS

Para algunos túneles LNS, es posible que desee invalidar el perfil de acceso configurado en la instancia de enrutamiento que aloja el túnel con una configuración de servidor RADIUS determinada. Puede configurar un perfil de acceso local para hacerlo. Posteriormente, puede utilizar la aaa-access-profile instrucción para aplicar el perfil de acceso local a un grupo de túnel o cliente LAC.

Un perfil de acceso local aplicado a un cliente anula un perfil de acceso local aplicado a un grupo de túneles, que a su vez anula el perfil de acceso para la instancia de enrutamiento.

Para configurar un perfil de acceso local AAA:

  1. Cree el perfil de acceso.
  2. Configure el orden de los métodos de autenticación AAA.
  3. Configure los atributos del servidor RADIUS, como la contraseña de autenticación.

Configuración de un grupo de asignación de direcciones para LNS L2TP con servicios en línea

Puede configurar grupos de direcciones que se pueden asignar dinámicamente a los suscriptores PPP tunelizados. Los grupos deben ser locales en la instancia de enrutamiento en la que aparece el suscriptor. Los grupos configurados se proporcionan en los atributos RADIUS Framed-Pool y Framed-IPv6-Pool. Los grupos son opcionales cuando RADIUS envía una dirección IP enmarcada.

Para configurar un grupo de asignación de direcciones, debe especificar el nombre del grupo y configurar las direcciones del grupo.

Opcionalmente, puede configurar varios rangos con nombre, o subconjuntos, de direcciones dentro de un grupo de asignación de direcciones. Durante la asignación dinámica de direcciones, se puede asignar a un cliente una dirección de un rango con nombre específico. Para crear un rango con nombre, especifique un nombre para el rango y defina el intervalo de direcciones.

Nota:

Asegúrese de utilizar la instrucción address-assignment pools () en lugar de la instrucción address pools (address-assignmentaddress-pool).

Para obtener más información acerca de los grupos de asignación de direcciones, vea Información general sobre los grupos de asignación de direcciones y Descripción general de la configuración del grupo de asignación de direcciones.

Para configurar un grupo de asignación de direcciones IPv4 para LNS L2TP:

  1. Configure el nombre del grupo y especifique la familia IPv4.
  2. Configure la dirección de red y la longitud del prefijo de las direcciones del grupo.
  3. Configure el nombre del intervalo y los límites inferior y superior de las direcciones del intervalo.

Por ejemplo, para configurar un grupo de asignación de direcciones IPv4:

Para configurar un grupo de asignación de direcciones IPv6 para LNS L2TP:

  1. Configure el nombre del grupo y especifique la familia IPv6.

  2. Configure el prefijo de red IPv6 para el grupo de direcciones. La especificación del prefijo es necesaria cuando se configura un grupo de asignación de direcciones IPv6.

  3. Configure el nombre del rango y defina el rango. Puede definir el intervalo basándose en los límites inferior y superior de los prefijos del intervalo, o en función de la longitud de los prefijos del intervalo.

Por ejemplo, para configurar un grupo de asignación de direcciones IPv6:

Configuración de la interfaz del mismo nivel LNS L2TP

La interfaz del mismo nivel conecta el LNS a la nube hacia las LAC para que los paquetes IP se puedan intercambiar entre los puntos finales del túnel. MPLS y Ethernet agregada también se pueden usar para llegar a las LAC.

Nota:

En los enrutadores de la serie MX, debe configurar la interfaz del mismo nivel en un MPC.

Para configurar la interfaz del mismo nivel LNS:

  1. Especifique el nombre de la interfaz.
  2. Habilite las VLAN.
  3. Especifique la interfaz lógica, enlace un ID de etiqueta VLAN a la interfaz y configure la familia de direcciones y la dirección IP para la interfaz lógica.
    Nota:

    La familia de direcciones IPv6 no se admite como extremo de túnel.

Habilitación de interfaces de servicio en línea

La interfaz de servicio en línea es una interfaz física virtual que reside en el motor de reenvío de paquetes. Esta si interfaz, denominada interfaz de anclaje , permite proporcionar servicios L2TP sin una PIC de servicios especiales. La interfaz de servicio en línea solo es compatible con MPC en enrutadores de la serie MX. Se pueden configurar cuatro interfaces de servicio en línea por ranura de chasis ocupada por MPC.

Nota:

En los enrutadores MX80 y MX104, solo puede configurar cuatro interfaces físicas de servicios en línea como interfaces de anclaje para sesiones LNS L2TP: si-1/0/0, si-1/1/0, si-1/2/0 y si-1/3/0. No puede configurar si-0/0/0 para este propósito en enrutadores MX80 y MX104.

Aunque el intervalo de valores de ancho de banda es de 1 Gbps a 400 Gbps, no puede configurar el ancho de banda en números absolutos, como 12.345.878.000 bps. Debe usar las opciones disponibles en la instrucción CLI:

  • 1g

  • 10ga través en 100g incrementos de 10 Gbps: 10g, , , , 50g20g30g40g60g70g80g90g100g

  • 100ghasta 400g en incrementos de 100 Gbps: 100g, , 200g300g400g

El ancho de banda máximo disponible varía entre los MPC, como se muestra en la Tabla 1. Se genera un mensaje de registro del sistema cuando se configura un ancho de banda superior al admitido en la MPC.

Tabla 1: Ancho de banda máximo para servicios en línea por MPC

MPC

Ancho de banda máximo admitido

MPC2E NG, MPC2E NG Q,

80 Gbps

MPC3E NG, MPC3E NG Q

130 Gbps

MPC3 y MIC de 100GE y 40GE

40 Gbps

MPC4E

130 Gbps

MPC5E

130 Gbps

MPC6E

130 Gbps

MPC7E

240 Gbps

MPC8E

240 Gbps

400 Gbps en modo actualizado de 1,6 Tbps

MPC9E

400 Gbps

Para habilitar interfaces de servicio en línea:

  1. Acceda a una ranura ocupada por MPC y a la PIC donde se va a habilitar la interfaz.
  2. Habilite la interfaz y, opcionalmente, especifique la cantidad de ancho de banda reservado en cada motor de reenvío de paquetes para el tráfico de túnel mediante servicios en línea. A partir de Junos OS versión 16.2, no es necesario especificar explícitamente un ancho de banda para el tráfico de túnel LNS L2TP mediante servicios en línea. Cuando no se especifica un ancho de banda, el ancho de banda máximo admitido en la PIC está disponible automáticamente para los servicios en línea; Los servicios en línea pueden usar hasta este valor máximo. En versiones anteriores, debe especificar un ancho de banda al habilitar los servicios en línea con la inline-services instrucción.

Configuración de una interfaz de servicio en línea para LNS L2TP

La interfaz de servicio en línea es una interfaz de servicio físico virtual que reside en el motor de reenvío de paquetes. Esta si interfaz, denominada interfaz de anclaje , permite proporcionar servicios L2TP sin una PIC de servicios especiales. La interfaz de servicio en línea solo es compatible con MPC en enrutadores de la serie MX. Se pueden configurar cuatro interfaces de servicio en línea por ranura de chasis ocupada por MPC.

Puede maximizar el número de sesiones que se pueden configurar en una interfaz de servicio estableciendo el número máximo de niveles de jerarquía en dos. En este caso, cada sesión LNS consume un nodo L3 en la jerarquía del programador para dar forma.

Si no especifica el número de niveles (dos es la única opción), el número de sesiones LNS que se pueden configurar en la interfaz de servicio se limita al número de nodos L2 o 4096 sesiones. Todavía surgen sesiones adicionales, pero no están formadas.

Para configurar una interfaz de servicio en línea:

  1. Acceda a la interfaz de servicio.
  2. (Opcional; solo para la configuración por sesión) Habilite la interfaz de servicio en línea para los programadores jerárquicos y limite el número de niveles del programador a dos.
  3. (Opcional; solo para dar forma por sesión) Configure la encapsulación de servicios para la interfaz de servicio en línea.
  4. Configure la familia IPv4 en la interfaz lógica de la unidad 0 reservada.

Configuración de opciones para la interfaz lógica de LNS Inline Services

Debe especificar característicasdial-options para cada una de las interfaces lógicas de servicios en línea que configure para el LNS. LNS en los enrutadores de la serie MX solo admite una sesión por interfaz lógica, por lo que debe configurarlo como una dedicated interfaz; la shared opción no es compatible. (LNS en los enrutadores de la serie M admite dedicated y shared opciones). También puede configurar un nombre de identificación para la interfaz lógica que coincida con el nombre especificado en el perfil de acceso.

Debe especificar la familia de inet direcciones para cada interfaz lógica estática o en el perfil dinámico para interfaces LNS dinámicas. Aunque la CLI acepta inet interfaces lógicas estáticas o inet6 para ellas, el suscriptor no puede iniciar sesión correctamente a menos que se configure la familia inet de direcciones.

Nota:

Para la configuración de interfaz dinámica, consulte Configuración de un perfil dinámico para sesiones LNS dinámicas.

Para configurar las opciones de interfaz lógica estática:

  1. Acceda a la interfaz lógica de servicios en línea.
  2. Especifique un identificador para la interfaz lógica.
  3. Configure la interfaz lógica para utilizarla solo en una sesión a la vez.
  4. Configure la familia de direcciones para cada interfaz lógica y habilite la dirección local en el LNS que proporciona la terminación local para el túnel L2TP que se derivará del nombre de interfaz especificado.

LNS 1:1 Descripción general de redundancia de estado

De forma predeterminada, cuando una interfaz de anclaje de servicio en línea (si) deja de funcionar, por ejemplo, cuando la tarjeta que aloja la interfaz falla o se reinicia, se pierde el tráfico de suscriptores L2TP. Cuando el temporizador keepalive PPP para el túnel expira posteriormente, el plano de control desciende y el cliente PPP se desconecta. En consecuencia, el cliente debe volver a conectarse.

Puede evitar la pérdida de tráfico en estas circunstancias configurando un paquete agregado de interfaz de servicio en línea (asi) para proporcionar redundancia de estado 1:1, también denominada redundancia en espera activa o de copia de seguridad activa. El paquete consta de un par de interfaces físicas si, el vínculo de miembro principal (activo) y el vínculo de miembro secundario (en espera o de respaldo). Estas interfaces deben configurarse en diferentes MPC; la redundancia no se puede lograr si configura la interfaz principal y secundaria en la misma MPC, ya que ambas interfaces miembro dejan de funcionar si la tarjeta deja de funcionar.

Cuando los suscriptores inician sesión y se configura la redundancia 1:1, la sesión L2TP se establece a través de una interfaz lógica virtual subyacente (asi.0x) sobre la interfaz física asi0. Las interfaces lógicas de suscriptor individuales se crean en la interfaz subyacente en el formato, asiX..logical-unit-number La sesión permanece activa en caso de que se produzca un error o se reinicie en el MPC que aloja la interfaz de vínculo del miembro principal. Todo el tráfico de datos destinado a esta sesión L2TP se mueve automáticamente a la interfaz de vínculo de miembro secundario en el otro MPC.

Configuración de redundancia de estado LNS 1:1 en interfaces de servicio en línea agregadas

Puede crear un paquete agregado de interfaz de servicio en línea (asi) para proporcionar redundancia de estado LNS 1:1 para interfaces de anclaje de servicio en línea (si). El paquete empareja dos interfaces que residen en MPC diferentes como vínculos principales y secundarios. Las sesiones LNS se establecen posteriormente a través de una interfaz lógica virtual, asiX..logical-unit-number La conmutación por error de sesión LNS se produce cuando la interfaz de anclaje principal deja de funcionar o la tarjeta se reinicia con el request chassis fpc restart comando. Cuando esto sucede, el vínculo secundario (en un MPC diferente) se activa y todo el tráfico de datos LNS destinado a la sesión se mueve automáticamente a la interfaz secundaria. La sesión del suscriptor permanece activa en la interfaz virtual asiX.logical-unit-number No se pierden estadísticas de tráfico. Cuando esta redundancia no está configurada, se pierde el tráfico de suscriptores, los keepalives caducan y el cliente PPP se desconecta y debe volver a conectarse.

Antes de comenzar, debe hacer lo siguiente:

Práctica recomendada:

Siga estas pautas:

  • Debe configurar unit 0 family inet para cada paquete; de lo contrario, la sesión no aparecerá.

  • Las interfaces principal (activa) y secundaria (copia de seguridad) deben estar en MPC diferentes.

  • El ancho de banda configurado en el nivel de jerarquía debe ser el mismo para ambos vínculos de [edit chassis fpc slot pic number inline-services bandwidth] miembro.

  • Una interfaz SI configurada como miembro de un paquete de interfaz de servicio en línea agregado no se puede configurar como miembro de otro grupo de paquetes.

  • Una interfaz SI configurada como miembro de un paquete de interfaz de servicio en línea agregado tampoco se puede utilizar para ninguna función que no esté relacionada con servicios agregados; por ejemplo, no se puede utilizar para el reensamblaje de IP en línea.

  • Cuando configura una interfaz SI como miembro de un paquete de servicios en línea agregados, ya no puede configurar esa interfaz SI de forma independiente. Solo puede configurar el paquete principal; La configuración del paquete se aplica inmediatamente a todas las interfaces miembro.

Para configurar la redundancia de estado LNS 1:1:

  1. En un MPC, especifique el vínculo de miembro de servicios en línea principal (activo) del paquete.
  2. Configure la cantidad de ancho de banda reservado en este MPC para el tráfico de túnel mediante la interfaz de servicio en línea principal.
  3. En otro MPC, especifique el vínculo miembro de servicios en línea secundario (copia de seguridad) del paquete.
    Nota:

    Si configura los vínculos de miembro activo y de copia de seguridad en el mismo MPC, se producirá un error en la confirmación posterior de la configuración.

  4. Configure la cantidad de ancho de banda reservado en este MPC para el tráfico de túnel mediante la interfaz de servicio en línea secundaria.
  5. Asigne el paquete de interfaz de servicio en línea agregado a un grupo de túneles L2TP mediante uno de los métodos siguientes:
    • Asigne un solo paquete especificando el nombre de la interfaz física del servicio en línea agregado.

    • Asigne uno o varios grupos de paquetes al grupo de túneles.

      Nota:

      Una piscina se puede mezclar; es decir, puede incluir tanto paquetes de interfaces de servicio en línea agregados como interfaces de servicio en línea individuales. Las interfaces individuales no deben ser miembros de paquetes existentes.

La siguiente configuración de ejemplo crea el paquete asi0 con vínculos de miembro en las MPC de la ranura 1 y la ranura 2 y, a continuación, asigna el paquete para proporcionar redundancia para las sesiones L2TP en el grupo de túnel tg1:

Verificación de la redundancia 1:1 de la interfaz de servicio en línea agregada de LNS

Propósito

Vea información sobre paquetes agregados de interfaces de servicio en línea, vínculos de miembros individuales y estado de redundancia.

Acción

  • Para ver información resumida sobre un paquete de interfaz de servicio en línea agregado:

  • Para ver información detallada acerca de un paquete de interfaz de servicio en línea agregado:

  • Para ver información sobre una interfaz de miembro individual en un paquete de interfaz de servicio en línea agregado:

  • Para ver el estado de redundancia de paquetes de interfaces de servicio en línea agregados:

    Ese resultado de ejemplo muestra que tanto Ethernet agregada como las interfaces de servicio en línea agregadas están configuradas para la redundancia. Para mostrar solo uno de los paquetes de interfaz de servicio en línea agregados:

  • Para ver información detallada sobre todas las interfaces de redundancia configuradas:

Límites de sesión L2TP y equilibrio de carga para interfaces de servicio

La carga de LNS equilibra las sesiones de suscriptor en las interfaces de servicio disponibles en un grupo de dispositivos en función del número de sesiones actualmente activas en las interfaces. Puede configurar un límite máximo por interfaz de servicio (si) y por interfaz de servicio agregada (asi). En el caso de las interfaces asi, no se puede configurar un límite para las interfaces miembro si individuales del paquete.

Límites de sesión en las interfaces de servicio

Cuando se inicia una solicitud de sesión L2TP para una interfaz de servicio, el LNS comprueba el número de sesiones activas actuales en esa interfaz con el número máximo de sesiones permitidas para la interfaz de servicio individual o la interfaz de servicio agregada. El LNS determina si el recuento de sesiones actuales (que muestra el show services l2tp summary comando) es inferior al límite configurado. Cuando eso es cierto o cuando no se configura ningún límite, la comprobación pasa y se puede establecer la sesión. Si el recuento de sesiones actual es igual al límite configurado, el LNS rechaza la solicitud de sesión. No se pueden aceptar solicitudes posteriores en esa interfaz hasta que el número de solicitudes activas caiga por debajo del máximo configurado. Cuando se rechaza una solicitud de sesión para una interfaz si o asi, el LNS devuelve un mensaje CDN con el código de resultado establecido en 2 y el código de error establecido en 4.

Por ejemplo, supongamos que se configura una única interfaz de servicio en el grupo de túneles. El recuento actual de sesiones L2TP es 1500, con un límite configurado de 2000 sesiones. Cuando se solicita una nueva sesión, la comprobación de límite pasa y se acepta la solicitud de sesión.

Interfaz

Límite de sesión configurado

Número de sesiones actuales

Resultado de la comprobación del límite de sesión

SI-0/0/0

2000

1500

Pasar

La comprobación de límite sigue pasándose y se aceptan solicitudes de sesión hasta que se hayan aceptado 500 solicitudes, lo que hace que la sesión actual cuente 2000, que coincide con el máximo configurado. Se produce un error en la comprobación del límite de sesión para todas las solicitudes posteriores y todas las solicitudes se rechazan hasta que el recuento de sesiones actual en la interfaz cae por debajo de 2000, de modo que la comprobación de límite puede pasar.

Interfaz

Límite de sesión configurado

Número de sesiones actuales

Resultado de la comprobación del límite de sesión

SI-0/0/0

2000

2000

Fallar

Cuando el límite de sesiones se establece en cero para una interfaz, no se puede aceptar ninguna solicitud de sesión. Si esa es la única interfaz en el grupo de túneles, todas las solicitudes de sesión del grupo se rechazan hasta que el límite de sesión aumente de cero o se agregue otra interfaz de servicio al grupo de túneles.

Cuando una interfaz de servicio en un grupo de dispositivos de servicio ha alcanzado el límite máximo configurado o tiene un límite configurado de cero, el LNS omite esa interfaz cuando se realiza una solicitud de sesión y selecciona otra interfaz en el grupo para comprobar el límite de sesión. Esto continúa hasta que pasa una interfaz y se acepta la sesión o no queda ninguna otra interfaz en el grupo que se va a seleccionar.

Equilibrio de carga de sesión en todas las interfaces de servicio

El comportamiento para la distribución de carga de sesión en un grupo de dispositivos de servicio cambió en Junos OS versión 16.2. Cuando una interfaz de servicio tiene un recuento de sesiones menor que otra interfaz del grupo y ambas interfaces están por debajo de su límite máximo de sesiones, las sesiones posteriores se distribuyen a la interfaz con menos sesiones.

En versiones anteriores, las sesiones se distribuyen estrictamente por turnos, independientemente del número de sesiones. El comportamiento anterior puede dar lugar a una distribución desigual de la sesión cuando se reinicia el motor de reenvío de paquetes o cuando una interfaz de servicio deja de funcionar y vuelve a subir.

Por ejemplo, considere el siguiente escenario con el antiguo comportamiento de distribución por turnos para un grupo con dos interfaces de servicio:

  1. Doscientas sesiones se distribuyen uniformemente entre las dos interfaces de servicio.

    • SI-0/0/0 tiene 100 sesiones.

    • SI-1/0/0 tiene 100 sesiones.

  2. La interfaz si-1/0/0 se reinicia. Cuando vuelve, inicialmente las sesiones se activan solo en si-0/0/0.

    • SI-0/0/0 tiene 100 sesiones.

    • SI-1/0/0 tiene 0 sesiones.

  3. A medida que las sesiones que antes estaban en si-1/0/0 se vuelven a conectar, se distribuyen por igual en ambas interfaces de servicio. Cuando se vuelven a realizar las 100 sesiones, la distribución está significativamente desequilibrada.

    • SI-0/0/0 tiene 150 sesiones.

    • SI-1/0/0 tiene 50 sesiones.

  4. Después de conectar 100 sesiones nuevas, si-0/0/0 alcanza su límite máximo. Las sesiones posteriores solo se aceptan el si-1/0/0.

    • SI-0/0/0 tiene 200 sesiones.

    • SI-1/0/0 tiene 100 sesiones.

  5. Después de conectar 100 sesiones más, si-1/0/0 alcanza su límite máximo. No se pueden aceptar más sesiones hasta que el recuento de sesiones caiga por debajo de 200 para una de las interfaces.

    • SI-0/0/0 tiene 200 sesiones.

    • SI-1/0/0 tiene 200 sesiones.

Ahora considere el mismo escenario usando el comportamiento actual de distribución de carga basado en el número de sesiones conectadas. El grupo de dispositivos vuelve a tener dos interfaces de servicio, cada una con un límite máximo configurado de 200 sesiones:

  1. Doscientas sesiones se distribuyen uniformemente entre las dos interfaces de servicio.

    • SI-0/0/0 tiene 100 sesiones.

    • SI-1/0/0 tiene 100 sesiones.

  2. La interfaz si-1/0/0 se reinicia. Cuando vuelve a subir, las sesiones se activan inicialmente solo en si-0/0/0.

    • SI-0/0/0 tiene 100 sesiones.

    • SI-1/0/0 tiene 0 sesiones.

  3. A medida que las sesiones que antes estaban en si-1/0/0 se vuelven a conectar, se distribuyen de acuerdo con la carga de la sesión en cada interfaz. Debido a que ambas interfaces están por debajo de su límite máximo y si-1/0/0 tiene menos sesiones que si-0/0/0, las sesiones se distribuyen inicialmente solo a si-1/0/0.

    1. Después de 1 nueva sesión:

      • SI-0/0/0 tiene 100 sesiones.

      • SI-1/0/0 tiene 1 sesión.

    2. Después de 10 nuevas sesiones:

      • SI-0/0/0 tiene 100 sesiones.

      • SI-1/0/0 tiene 10 sesiones.

    3. Después de 100 nuevas sesiones:

      • SI-0/0/0 tiene 100 sesiones.

      • SI-1/0/0 tiene 100 sesiones.

  4. Debido a que ambas interfaces ahora tienen el mismo recuento de sesiones, la siguiente sesión (#101) se distribuye aleatoriamente entre las dos interfaces. La siguiente sesión después de eso (#102) va a la interfaz con el recuento de sesiones más bajo. Eso hace que las interfaces vuelvan a ser iguales, por lo que la siguiente sesión (#103) se distribuye aleatoriamente. Este patrón se repite hasta el límite máximo de 200 sesiones para ambas interfaces.

    • SI-0/0/0 tiene 200 sesiones.

    • SI-1/0/0 tiene 200 sesiones.

    No se pueden aceptar más sesiones en ninguna de las interfaces hasta que el número de sesiones caiga por debajo de 200 en una de las interfaces.

El comportamiento de equilibrio de carga es el mismo para las interfaces de servicio agregadas. Se selecciona una interfaz asi de un grupo en función del recuento de sesiones actual para la interfaz asi. Cuando ese recuento es inferior al máximo, el LNS comprueba el recuento de sesiones actuales para la interfaz SI activa en el paquete asi. Cuando ese recuento es inferior al máximo, la sesión se puede establecer en la interfaz asi.

En un grupo de dispositivos mixtos que tiene interfaces de servicio e interfaces de servicio agregadas, las sesiones se distribuyen a la interfaz, ya sea asi o si, que tenga el recuento de sesiones más bajo. Cuando el recuento de sesiones de una interfaz de cualquier tipo alcanza su límite, ya no puede aceptar sesiones hasta que el recuento caiga por debajo del máximo.

Puede utilizar la configuración de límite de sesión para lograr un límite de sesión en determinados motores de reenvío de paquetes. Supongamos que desea un límite de 100 sesiones en un PFE0, que tiene dos interfaces de servicio. Puede establecer el límite máximo de cada interfaz en 50 o cualquier otra combinación que sume 100 para establecer el límite de PFE0.

Ejemplo: configuración de un LNS L2TP

En este ejemplo se muestra cómo puede configurar un LNS L2TP en un enrutador serie MX para proporcionar extremos de túnel para un LAC L2TP en su red. Esta configuración incluye un perfil dinámico para suscriptores de doble pila.

Requisitos

Este ejemplo de LNS L2TP requiere el siguiente hardware y software:

  • Plataforma de enrutamiento universal 5G serie MX

  • Uno o más MPC

  • Junos OS versión 11.4 o posterior

No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de poder configurar esta función.

Debe configurar determinados atributos RADIUS estándar y VSA de Juniper Networks en la lista de devolución de atributos del servidor AAA asociado con el LNS para que este ejemplo funcione. En la tabla 2 se enumeran los atributos con la configuración de orden y los valores necesarios. Le recomendamos que utilice el diccionario RADIUS más reciente de Juniper Networks, disponible en el cuadro Descargas de la página Administración de suscriptores de Junos OS en https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/subscriber-access/index.html.

Tabla 2: Nombres de atributos VSA y RADIUS estándar, orden y valores requeridos, por ejemplo

Nombre VSA [Número]

Orden

Valor

Tipo de parámetro CoS [26–108]

1

T01 Multiplay

Tipo de parámetro CoS [26–108]

2

T02 10m

Tipo de parámetro CoS [26–108]

3

T08 -36

Tipo de parámetro CoS [26–108]

4

Modo de celda T07

Framed-IPv6-Pool [100]

0

jnpr_ipv6_pool

Piscina enmarcada [88]

0

jnpr_pool

Nombre de la política de salida [26-11]

0

Clasificar

Nombre de la política de entrada [26-10]

0

Clasificar

Enrutador virtual [26-1]

0

Predeterminado

Visión general

El LNS emplea perfiles de grupo de usuarios para aplicar atributos PPP a los suscriptores PPP que se tunelizan desde LAC. Las LAC de la red son clientes de la LNS. Los clientes se asocian con perfiles de grupo de usuarios en el perfil de acceso L2TP configurado en el LNS. En este ejemplo, el perfil ce-l2tp-group-profile de grupo de usuarios especifica los siguientes atributos PPP:

  • Un intervalo de 30 segundos entre los mensajes keepalive PPP para túneles L2TP del LAC cliente que terminan en el LNS.

  • Un intervalo de 200 segundos que define cuánto tiempo puede estar inactiva la sesión del suscriptor PPP antes de que se considere que se ha agotado el tiempo de espera.

  • Tanto PAP como CHAP como métodos de autenticación PPP que se aplican a los suscriptores PPP tunelizados en el LNS.

El perfil ce-l2tp-profile de acceso L2TP define un conjunto de parámetros L2TP para cada LAC de cliente. En este ejemplo, el perfil ce-l2tp-group-profile del grupo de usuarios está asociado tanto a clientes lac2lac1 como a . Ambos clientes están configurados para que el LNS renegocie el protocolo de control de vínculo (LCP) con el cliente PPP en lugar de aceptar los parámetros LCP negociados previamente que las LAC pasan al LNS. La renegociación de LCP también hace que la autenticación sea renegociada por el LNS; El método de autenticación se especifica en el perfil del grupo de usuarios. El número máximo de sesiones permitidas por túnel se establece en 1000 para y en 4000 para lac1 lac2. Se configura una contraseña diferente para cada LAC.

Un perfil de acceso AAA local, , le permite invalidar el perfil de acceso AAA global, de modo que pueda especificar un orden de autenticación, aaa-profileun servidor RADIUS que desee usar para L2TP y una contraseña para el servidor.

En este ejemplo, un grupo de direcciones define un intervalo de direcciones IP que el LNS asigna a las sesiones PPP tunelizadas. En este ejemplo se definen intervalos de direcciones IPv4 e IPv6.

Hay dos interfaces de servicio en línea habilitadas en la MPC ubicada en la ranura 5 del enrutador. Para cada interfaz, se reservan 10 Gbps de ancho de banda para el tráfico de túnel en el PFE asociado de la interfaz. Estas interfaces de anclaje sirven como interfaz física subyacente. Para habilitar la compatibilidad con colas CoS en las interfaces de servicio lógico en línea individuales, debe configurar tanto la encapsulación de servicios (generic-services) como la compatibilidad de programación jerárquica en los anclajes. La familia de direcciones IPv4 está configurada para ambas interfaces de anclaje. Ambas interfaces de anclaje se especifican en el grupo de dispositivos de lns_p1 servicio. El LNS puede equilibrar las cargas de tráfico entre las dos interfaces de anclaje cuando el grupo de túneles incluye el grupo.

En este ejemplo se utiliza el perfil dyn-lns-profile2 dinámico para especificar las características de las sesiones L2TP que se crean o asignan dinámicamente cuando un suscriptor se tuneliza al LNS. Para muchas de las características, se establece una variable predefinida; las variables se reemplazan dinámicamente con los valores apropiados cuando un suscriptor es tunelizado al LNS.

La interfaz a la que se conecta el cliente PPP tunelizado () se crea dinámicamente en la instancia de enrutamiento ($junos-interface-name$junos-routing-instance) asignada al suscriptor. Las opciones de enrutamiento para las rutas de acceso incluyen la dirección del siguiente salto de la ruta (), la métrica () y la preferencia ($junos-framed-route-nexthop$junos-framed-route-cost$junos-framed-route-distance). Para las rutas internas de acceso, se establece una variable de dirección IP dinámica ($junos-subscriber-ip-address).

Las interfaces lógicas de servicio en línea se definen mediante el nombre de una interfaz de anclaje configurada () y un número de unidad lógica ($junos-interface-ifd-name$junos-interface-unit). El perfil se asigna como identificador de la interfaz lógica y especifica que cada interfaz sólo se l2tp-encapuslation puede utilizar para una única sesión a la vez.

La dirección IPv4 se establece en un valor devuelto por el servidor AAA. Para el tráfico IPv4, se adjuntan a la interfaz un filtro de firewall de entrada y un filtro $junos-input-filter $junos-output-filter de firewall de salida. La variable de circuito cerrado () deriva una dirección IP de una interfaz de circuito cerrado ($junos-loopback-interfacelo) configurada en la instancia de enrutamiento y la utiliza en la negociación IPCP como dirección del servidor PPP. Dado que se trata de una configuración de doble pila, también se establece la familia de direcciones IPv6, con las direcciones proporcionadas por la $junos-ipv6-address variable.

La $junos-ipv6-address variable se utiliza porque también está configurado el protocolo de anuncio de enrutador. Esta variable permite que AAA asigne la primera dirección del prefijo que se reservará como dirección local para la interfaz. La configuración mínima para el protocolo de anuncio de enrutador en el perfil dinámico especifica las $junos-interface-name variables y $junos-ipv6-ndra-prefix para asignar dinámicamente un valor de prefijo en los anuncios de enrutador de descubrimiento de vecinos IPv6.

El perfil dinámico también incluye la clase de configuración de servicio que se aplica al tráfico del túnel. El perfil de control de tráfico () incluye variables para el mapa del programador (), la velocidad de conformación (), la contabilidad de sobrecarga (tc-profile$junos-cos-shaping-mode$junos-cos-scheduler-map$junos-cos-shaping-rate) y el ajuste $junos-cos-byte-adjustde bytes ). El perfil dinámico aplica la configuración de CoS (incluida la clase de reenvío, el perfil de control del tráfico de salida y las reglas de reescritura) a las interfaces de servicio dinámicas.

La tg-dynamic configuración del grupo de túneles especifica el perfil de acceso, el perfil AAA local y el perfil ce-l2tp-profileaaa-profiledyn-lns-profile2 dinámico que se utilizan para crear dinámicamente sesiones LNS y definir las características de las sesiones. El lns_p1 grupo de dispositivos de servicio asocia un grupo de interfaces de servicio con el grupo para permitir que LNS equilibre el tráfico entre las interfaces. La dirección de puerta de enlace local corresponde a la dirección 203.0.113.2 de puerta de enlace remota configurada en la LAC. El nombre de la puerta de enlace local corresponde al nombre ce-lns de la puerta de enlace remota configurada en la LAC.

Nota:

En este ejemplo no se muestran todas las opciones de configuración posibles.

Configuración

Procedimiento

Configuración rápida de CLI

Para configurar rápidamente un LNS L2TP, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea y, a continuación, copie y pegue los comandos en la CLI.

Procedimiento paso a paso

En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.

Para configurar un LNS L2TP con interfaces de servicio en línea:

  1. Configure un perfil de grupo de usuarios que defina la configuración de PPP para suscriptores de túnel.

    [edit access]
    user@host# edit group-profile ce-l2tp-group-profile
    [edit access group-profile ce-l2tp-group-profile]
    user@host# set ppp keepalive 30
    user@host# set ppp idle-timeout 200
    user@host# set ppp ppp-options chap
    user@host# set ppp ppp-options pap
    

  2. Configure un perfil de acceso L2TP que defina los parámetros L2TP para cada LAC de cliente. Esto incluye asociar un perfil de grupo de usuarios con el cliente y especificar el identificador de la interfaz lógica de servicios en línea que representa una sesión L2TP en el LNS.

    Nota:

    Si user-group-profile se modifica o elimina, los suscriptores de LNS existentes que utilizaban esta configuración de cliente de protocolo de túnel de capa 2 dejan de funcionar.

  3. Configure un perfil de acceso AAA para invalidar el perfil de acceso global para el orden de los métodos de autenticación AAA y los atributos del servidor.

  4. Configure grupos de asignación de direcciones IPv4 e IPv6 para asignar direcciones para los clientes (LAC).

  5. Configure la interfaz del mismo nivel para terminar el túnel y la dirección IPCP del servidor PPP (dirección de circuito cerrado).

  6. Habilite las interfaces de servicio en línea en un MPC.

  7. Configure las interfaces del servicio de anclaje con la encapsulación de servicios, la programación jerárquica y la familia de direcciones.

  8. Configure un grupo de interfaces de servicio para sesiones LNS dinámicas.

  9. Configure un perfil dinámico que cree dinámicamente interfaces lógicas L2TP para suscriptores de doble pila.

  10. Configure las reglas de conformación, programación y reescritura, y aplíquelas en el perfil dinámico al tráfico de túnel.

  11. Configure el grupo de túneles L2TP para que genere sesiones LNS dinámicas mediante el conjunto de interfaces de servicio en línea para habilitar el equilibrio de carga.

Resultados

Desde el modo de configuración, ingrese el comando para confirmar la configuración del perfil de acceso, el perfil de grupo, el perfil AAA y los grupos de asignación de show access direcciones. Confirme la configuración de los servicios en línea introduciendo el show chassis comando. Confirme la configuración de la interfaz introduciendo el show interfaces comando. Confirme la configuración del perfil dinámico introduciendo el show dynamic-profiles comando. Confirme la configuración del grupo de túneles introduciendo el show services l2tp comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Cuando haya terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de un grupo de túneles L2TP para sesiones LNS con interfaces de servicios en línea

El grupo de túneles L2TP especifica los atributos que se aplican a los túneles L2TP y a las sesiones de un grupo de clientes LAC. Estos atributos incluyen el perfil de acceso utilizado para validar las solicitudes de conexión L2TP realizadas al LNS en la dirección de la puerta de enlace local, un perfil de acceso local que anula el perfil de acceso global, el temporizador keepalive y si se refleja el valor de ToS IP.

Nota:

Si elimina un grupo de túneles, todas las sesiones L2TP de ese grupo de túneles finalizarán. Si cambia el valor de las instrucciones, service-device-poolo , todas service-interface las local-gateway-addresssesiones L2TP que utilicen esa configuración finalizarán. Si cambia o elimina otras instrucciones en el nivel de jerarquía, los [edit services l2tp tunnel-group name] túneles nuevos que establezca utilizarán los valores actualizados, pero los túneles y las sesiones existentes no se verán afectados.

Para configurar el grupo de túneles LNS:

  1. Cree el grupo de túneles.
    Nota:

    Puede crear hasta 256 grupos de túneles.

  2. Especifique la interfaz de anclaje de servicio responsable del procesamiento L2TP en el LNS.

    Esta interfaz de anclaje de servicio es necesaria para las sesiones LNS estáticas y para las sesiones LNS dinámicas que no equilibran el tráfico a través de un grupo de interfaces de anclaje. La interfaz se configura en el nivel jerárquico [edit interfaces] .

  3. (Opcional; solo para sesiones LNS dinámicas de equilibrio de carga) Especifique un grupo de interfaces de anclaje de servicio en línea para habilitar el equilibrio de carga del tráfico L2TP en las interfaces.

    El grupo se define en el nivel jerárquico [edit services service-device-pools] .

  4. (Solo para sesiones LNS dinámicas) Especifique el nombre del perfil dinámico que define y crea instancias de interfaces de servicio en línea para túneles L2TP

    El perfil se define en el nivel jerárquico [edit dynamic-profiles] .

  5. Especifique el perfil de acceso que valida todas las solicitudes de conexión L2TP a la dirección de puerta de enlace local.
  6. Configure la dirección de puerta de enlace local en el LNS; corresponde a la dirección IP que utilizan las LAC para identificar el LNS.
  7. (Opcional) Configure el nombre de la puerta de enlace local en el LNS, devuelto en el mensaje SCCRP al LAC. El nombre debe coincidir con el nombre de puerta de enlace remota configurado en la LAC o no se podrá crear el túnel.
  8. (Opcional) Configure el intervalo en el que el LNS envía mensajes de saludo si no ha recibido mensajes del LAC.
  9. (Opcional) Especifique un perfil de acceso local que invalide el perfil de acceso global para configurar las opciones del servidor RADIUS para el grupo de túneles.

    Este perfil local se configura en el nivel de [edit access profile] jerarquía.

  10. (Opcional) Configure el LNS para que refleje el valor de ToS IP desde el encabezado IP interno hasta el encabezado IP externo (se aplica a configuraciones de CoS).
  11. (Opcional) Especifique un perfil de servicio dinámico que se aplicará a la sesión L2TP al iniciar sesión, junto con cualquier parámetro que vaya a pasar al servicio.

Aplicación de servicios a una sesión L2TP sin usar RADIUS

Los servicios se aplican a las sesiones L2TP para su activación o posteriormente modificados por atributos específicos del proveedor (VSA) desde el servidor RADIUS o en solicitudes de cambio de autorización (CoA) de RADIUS. A partir de Junos OS versión 18.1R1, puede aplicar servicios a sesiones L2TP mediante perfiles de servicio dinámicos sin involucrar a RADIUS. En entornos de varios proveedores, los clientes pueden usar solo atributos RADIUS estándar para simplificar la administración al evitar el uso de VSA de varios proveedores. Sin embargo, esto complica la aplicación de servicios a las sesiones L2TP porque generalmente se requiere VSA para aplicar servicios. La activación del perfil de servicio dinámico local le permite evitar ese problema. También puede usar la activación de perfiles de servicio local para proporcionar servicios predeterminados cuando los servidores RADIUS están inactivos.

Puede aplicar servicios a todos los suscriptores de un grupo de túneles o a todos los suscriptores que usen un LAC determinado. Puede configurar un máximo de 12 servicios por grupo de túnel o nombre de host LAC.

Después de configurar uno o más perfiles de servicio dinámicos que definen servicios, aplíquelos en el grupo de túnel o en la configuración del perfil de acceso para un cliente LAC especificando los nombres de perfil de servicio. Puede enumerar más de un perfil para activar, separado por una y comercial (&). También puede especificar parámetros que utilizará el perfil de servicio que podrían anular valores configurados en el propio perfil, como una velocidad de conformación descendente para un servicio CoS.

La lista de servicios configurada localmente (mediante perfiles de servicio) sirve como autorización local que es aplicada por authd durante la activación de la sesión del cliente. Esta lista de servicios está sujeta a la misma validación y procesamiento que los servicios originados por una autoridad externa, como RADIUS. Estos servicios se presentan durante el inicio de sesión del suscriptor.

Puede seguir utilizando solicitudes RADIUS VSA o CoA junto con los perfiles de servicio. Si los servicios se obtienen de una autoridad externa como autorización durante la autenticación o durante el aprovisionamiento de sesión del suscriptor (activación), los servicios de la autoridad externa tienen prioridad estricta sobre los de la configuración local. Si un servicio aplicado con RADIUS es el mismo que un servicio aplicado con un perfil de servicio en la CLI, pero con parámetros diferentes, el servicio RADIUS se aplica con un nuevo ID de sesión y tiene prioridad sobre el perfil de servicio anterior.

Puede emitir comandos para desactivar o reactivar cualquier servicio que haya activado previamente para un grupo de túneles o LAC.

Defina los perfiles de servicio dinámicos que desea aplicar posteriormente a un grupo de túnel o LAC.

Para aplicar perfiles de servicio a todos los suscriptores de un grupo de túneles:

  • Especifique uno o varios perfiles de servicio y los parámetros que se van a pasar a los servicios.

Para aplicar perfiles de servicio a todos los suscriptores de una ALC en particular:

  • Especifique uno o varios perfiles de servicio y los parámetros que se van a pasar a los servicios.

    Nota:

    Cuando se configuran perfiles de servicio para un cliente LAC y para un grupo de túnel que utiliza ese cliente, solo se aplica el perfil de servicio de cliente LAC. Anula la configuración del grupo de túneles. Por ejemplo, en la siguiente configuración, el grupo de túneles, tg-LAC-3, utiliza el cliente LAC-3, por lo que la configuración de LAC3 anula la configuración del grupo de túneles. En consecuencia, solo se activa el servicio cos-A3 para los suscriptores del grupo de túnel, en lugar de Cos2 y fw1. La velocidad de conformación pasada para el servicio es de 24 Mbps.

Puede desactivar cualquier servicio aplicado a una sesión de suscriptor emitiendo el siguiente comando:

Puede reactivar cualquier servicio aplicado a una sesión de suscriptor emitiendo el siguiente comando:

Para mostrar las sesiones de servicios de todas las sesiones de suscriptor actuales, use el show subscribers extensive comando o show network-access aaa subscribers session-id id-number detail .

Para comprender cómo funciona la aplicación de servicio local, los ejemplos siguientes ilustran las diversas posibilidades de configuración. En primer lugar, considere las siguientes configuraciones de perfiles de servicio dinámicos, cos2 y fw1:

La siguiente instrucción aplica ambos servicios a todos los suscriptores del grupo de túnel tg1; se pasa un valor de parámetro de 31 Mbps al servicio cos2:

En el perfil de servicio cos2, la velocidad de conformación la proporciona una variable definida por el usuario con un valor predeterminado de 10 m o 1 Mbps. Una vez finalizada la sesión L2TP, cos2 y fw1 se activan con identificadores de sesión de servicio de 34 y 35, respectivamente.

El parámetro pasado a cos2 se utiliza como valor para $shaping-rate; en consecuencia, la velocidad de conformación del servicio se ajusta del valor predeterminado de 10 Mbps a 31 Mbps, como se muestra en la siguiente salida de comando. Aunque el resultado indica que la aplicación de ajuste es RADIUS CoA, el ajuste es una consecuencia del parámetro pasado al perfil de servicio. Esa operación utiliza el mismo marco interno que un CoA y se notifica como tal.

Ahora el servicio cos2 está desactivado de la CLI para la sesión de suscriptor 27.

La siguiente salida muestra que cos2 se ha ido, dejando solo fw1 como servicio activo.

El siguiente comando reactiva cos2 para la sesión de suscriptor 27.

El servicio cos2 reactivado tiene un nuevo ID de sesión de servicio de 36.

El servicio cos2 reactivado utiliza la velocidad de conformación predeterminada, 10 Mbps, del perfil de servicio.

A continuación, se recibe una solicitud de CoA de RADIUS, que incluye el VSA de servicio activo (26-65). El VSA especifica y activa el servicio y especifica un cambio en la velocidad de conformación de cos2 de los 10 Mbps predeterminados a 12 Mbps. La sesión de servicio cos2 36 sigue apareciendo en el resultado, pero es reemplazada por la nueva sesión de servicio iniciada por el CoA, 49.

Cuando un servicio es aplicado tanto por la configuración de CLI como por un VSA de RADIUS (26-65), pero con parámetros diferentes, la configuración de RADIUS anula la configuración de CLI. En el ejemplo siguiente, la configuración de CLI aplica el perfil de servicio cos2 con un valor de 31 Mbps para la velocidad de modelación.

El VSA (26-65) de activación del servicio de mensajes RADIUS Access-Accept aplica cos2 con un valor de 21 Mbps para la velocidad de modelación.

La configuración de la CLI activa la sesión de servicio 22 con una velocidad de conformación de 31 Mbps. El RADIUS VSA activa la sesión de servicio 23 con una velocidad de conformación de 21 Mbps.

Configuración de un grupo de interfaces de servicios en línea para sesiones LNS dinámicas

Puede crear un grupo de interfaces de servicio en línea, también conocido como grupo de dispositivos de servicio, para habilitar el equilibrio de carga del tráfico L2TP entre las interfaces. El grupo es compatible con configuraciones LNS dinámicas, donde proporciona un conjunto de interfaces lógicas que se pueden crear dinámicamente y asignar a sesiones L2TP en el LNS. El grupo se asigna a un grupo de túnel LNS. L2TP mantiene el estado de cada interfaz de servicio en línea y utiliza un método round-robin para distribuir uniformemente la carga entre las interfaces disponibles cuando se aceptan nuevas solicitudes de sesión.

Nota:

El equilibrio de carga solo está disponible para interfaces de suscriptor creadas dinámicamente.

Las sesiones LNS ancladas en un MPC no se ven afectadas por una falla de MIC siempre que exista alguna otra ruta hacia los LAC pares. Si se produce un error en la MPC que aloja la interfaz del mismo nivel y no hay una ruta a las LAC pares, la falla inicia la finalización y la limpieza de todas las sesiones en la MPC.

Si se produce un error en la MPC que ancla las sesiones LNS, el motor de enrutamiento no reubica las sesiones en otra ranura y todas las sesiones se terminan inmediatamente. Pueden surgir nuevas sesiones en otra interfaz disponible cuando el cliente se reinicia.

Para configurar el grupo de dispositivos de servicio:

  1. Cree el grupo.
  2. Especifique las interfaces de servicio en línea que componen el grupo.

Configuración de un perfil dinámico para sesiones LNS dinámicas

Puede configurar L2TP para que asigne dinámicamente interfaces de servicio en línea para túneles L2TP. Debe definir uno o varios perfiles dinámicos y asignar un perfil a cada grupo de túneles. El LNS admite sesiones solo IPv4, solo IPv6 y dual-stack IPv4/IPv6.

Para configurar el perfil dinámico L2TP:

  1. Cree el perfil dinámico.
  2. Configure la interfaz para que se asigne dinámicamente a la instancia de enrutamiento utilizada por los clientes PPP tunelizados.
  3. Configure las opciones de enrutamiento para las rutas de acceso en la instancia de enrutamiento.
  4. Configure las opciones de enrutamiento para las rutas internas de acceso en la instancia de enrutamiento.
  5. Defina las interfaces utilizadas por el perfil dinámico. La variable se reemplaza dinámicamente por una de las interfaces de servicio en línea configuradas.
  6. Configure las interfaces lógicas de servicios en línea para que se instancian dinámicamente.
  7. Especifique un identificador para las interfaces lógicas.
  8. Configure cada interfaz lógica para utilizarla solo en una sesión a la vez.
  9. Configure la familia de direcciones para las interfaces lógicas y habilite la dirección local en el LNS que proporciona la terminación local para el túnel L2TP que se derivará del nombre de interfaz especificado.
    Nota:

    Las sesiones LNS dinámicas requieren que incluya la instrucción en el perfil dinámico, lo que a su vez requiere que incluya la dial-options family inet instrucción. Esto tiene las siguientes consecuencias:

    • Siempre debe configurar family inet independientemente de si configura interfaces de solo IPv4, solo IPv6 o de doble pila en el perfil.

    • Cuando configure interfaces sólo IPv4, configure sólo family inet y debe configurar la dirección de interfaz en family inet.

    • Al configurar interfaces sólo IPv6 , también debe configurar y debe configurar family inet6 la dirección de interfaz en family inet6. No configure la dirección en family inet.

    • Cuando se configuran interfaces IPv4/IPv6 de doble pila, se configuran ambas family inet y y family inet6 una dirección de interfaz en cada familia.

    Para interfaces solo IPv4:

    Para interfaces solo IPv6:

    Para interfaces IPv4/IPv6 de doble pila:

    Nota:

    Si se configura el protocolo de anuncio de enrutador, configure una dirección numerada en lugar de una dirección no numerada para la dirección local IPv6:

    Consulte la Guía del usuario de las sesiones de suscriptor de banda ancha para obtener información sobre el uso de variables para el direccionamiento solo IPv6 y de doble pila en perfiles dinámicos.

Tabla de historial de versiones
Lanzamiento
Descripción
18.1R1
A partir de Junos OS versión 18.1R1, puede aplicar servicios a sesiones L2TP mediante perfiles de servicio dinámicos sin involucrar a RADIUS.
16.2R1
A partir de Junos OS versión 16.2, no es necesario especificar explícitamente un ancho de banda para el tráfico de túnel LNS L2TP mediante servicios en línea.