EN ESTA PÁGINA
Configuración de un LNS L2TP con interfaces de servicio en línea
Aplicación de atributos PPP a suscriptores LNS L2TP por interfaz de servicio en línea
Aplicación de atributos PPP a suscriptores de LNS L2TP con un perfil de grupo de usuarios
Configuración de un grupo de asignación de direcciones para LNS L2TP con servicios en línea
Configuración de una interfaz de servicio en línea para LNS L2TP
Configuración de opciones para la interfaz lógica de LNS Inline Services
Configuración de redundancia de estado LNS 1:1 en interfaces de servicio en línea agregadas
Verificación de la redundancia 1:1 de la interfaz de servicio en línea agregada de LNS
Límites de sesión L2TP y equilibrio de carga para interfaces de servicio
Configuración de un grupo de túneles L2TP para sesiones LNS con interfaces de servicios en línea
Configuración de un grupo de interfaces de servicios en línea para sesiones LNS dinámicas
Configuración de un perfil dinámico para sesiones LNS dinámicas
Interfaces de servicio en línea LNS L2TP
Configuración de un LNS L2TP con interfaces de servicio en línea
La licencia de la característica L2TP LNS debe estar instalada antes de comenzar la configuración. De lo contrario, se muestra un mensaje de advertencia cuando se confirma la configuración.
Para configurar un LNS L2TP con interfaces de servicio en línea:
También debe configurar CoS para sesiones LNS. Para obtener más información, consulte Configuración de CoS dinámica para un servicio en línea LNS L2TP.
Aplicación de atributos PPP a suscriptores LNS L2TP por interfaz de servicio en línea
Puede configurar atributos PPP que aplica el LNS en la interfaz de servicio en línea (si) a los suscriptores PPP tunelizados desde LAC. Dado que está configurando los atributos por interfaz en lugar de con un perfil de grupo de usuarios, los atributos de los suscriptores se pueden variar con una granularidad más fina. Esta configuración coincide con la utilizada para los suscriptores PPPoE terminados.
Para configurar los atributos PPP para interfaces SI creadas dinámicamente:
Para configurar los atributos PPP para interfaces SI creadas estáticamente:
Especifique la interfaz lógica de servicio en línea.
[edit interfaces si-slot/pic/port] user@host# edit unit logical-unit-number
Configure el intervalo entre los mensajes keepalive PPP para el túnel L2TP que termina en el LNS.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set keepalives interval seconds
Configure el número de paquetes keepalive que un destino no debe recibir antes de que la red elimine un vínculo.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set keepalives down-count number
Nota:Normalmente, la
keepalives up-count
opción no se usa para la administración de suscriptores.Configure los métodos de autenticación PPP que se aplican a los suscriptores PPP tunelizados en el LNS.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set ppp-options chap user@host# set ppp-options pap
Configure el enrutador para solicitar al equipo en las instalaciones del cliente (CPE) que negocie las direcciones DNS principal y secundaria durante la negociación IPCP para los suscriptores PPP tunelizados en el LNS.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set ppp-options ipcp-suggest-dns-option
Aunque se admiten todas las demás instrucciones subordinadas a —incluidas las subordinadas a ppp-options
chap
y pap
—, normalmente no se utilizan para la administración de suscriptores. Le recomendamos que deje estas otras instrucciones en sus valores predeterminados.
También puede configurar atributos PPP con un perfil de grupo de usuarios que aplique los atributos a todos los suscriptores con ese perfil en un cliente LAC. Consulte Aplicación de atributos PPP a suscriptores de LNS L2TP con un perfil de grupo de usuarios para obtener más información. Al configurar los atributos PPP para suscriptores LNS L2TP tanto en la interfaz SI como en los perfiles de grupo de usuarios, la configuración de la interfaz de servicio en línea tiene prioridad sobre la configuración del perfil de grupo de usuarios.
Cuando las opciones PPP se configuran tanto en un perfil de grupo como en un perfil dinámico, la configuración del perfil dinámico tiene prioridad completa sobre el perfil de grupo cuando el perfil dinámico incluye una o varias de las opciones PPP que se pueden configurar en el perfil de grupo. La precedencia completa significa que no hay combinación de opciones entre los perfiles. El perfil de grupo se aplica al suscriptor solo cuando el perfil dinámico no incluye ninguna opción PPP disponible en el perfil de grupo.
Aplicación de atributos PPP a suscriptores de LNS L2TP con un perfil de grupo de usuarios
Puede configurar un perfil de grupo de usuarios que permita al LNS aplicar atributos PPP a los suscriptores PPP tunelizados desde LAC. El perfil de grupo de usuarios está asociado a clientes (LAC) en el perfil de acceso L2TP. En consecuencia, todos los suscriptores manejados por un cliente determinado comparten los mismos atributos PPP.
Para configurar un perfil de grupo de usuarios:
También puede configurar atributos PPP por interfaz. Consulte Aplicación de atributos PPP a suscriptores LNS L2TP por interfaz de servicio en línea para obtener más información. Al configurar los atributos PPP para suscriptores LNS L2TP tanto en la interfaz SI como en los perfiles de grupo de usuarios, la configuración de la interfaz de servicio en línea tiene prioridad sobre la configuración del perfil de grupo de usuarios.
Cuando las opciones PPP se configuran tanto en un perfil de grupo como en un perfil dinámico, la configuración del perfil dinámico tiene prioridad completa sobre el perfil de grupo cuando el perfil dinámico incluye una o varias de las opciones PPP que se pueden configurar en el perfil de grupo. La precedencia completa significa que no hay combinación de opciones entre los perfiles. El perfil de grupo se aplica al suscriptor solo cuando el perfil dinámico no incluye ninguna opción PPP disponible en el perfil de grupo.
Configuración de un perfil de acceso L2TP en el LNS
Los perfiles de acceso definen cómo validar las conexiones y las solicitudes de sesión del Protocolo de túnel de capa 2 (L2TP). Dentro de cada perfil de acceso L2TP, se configuran uno o más clientes (LAC). Las características del cliente se utilizan para autenticar LAC con contraseñas coincidentes y para establecer atributos del túnel y la sesión del cliente. Puede configurar varios perfiles de acceso y varios clientes dentro de cada perfil.
Para configurar un perfil de acceso L2TP:
Configuración de un perfil de acceso local AAA en el LNS
Para algunos túneles LNS, es posible que desee invalidar el perfil de acceso configurado en la instancia de enrutamiento que aloja el túnel con una configuración de servidor RADIUS determinada. Puede configurar un perfil de acceso local para hacerlo. Posteriormente, puede utilizar la aaa-access-profile
instrucción para aplicar el perfil de acceso local a un grupo de túnel o cliente LAC.
Un perfil de acceso local aplicado a un cliente anula un perfil de acceso local aplicado a un grupo de túneles, que a su vez anula el perfil de acceso para la instancia de enrutamiento.
Para configurar un perfil de acceso local AAA:
Configuración de un grupo de asignación de direcciones para LNS L2TP con servicios en línea
Puede configurar grupos de direcciones que se pueden asignar dinámicamente a los suscriptores PPP tunelizados. Los grupos deben ser locales en la instancia de enrutamiento en la que aparece el suscriptor. Los grupos configurados se proporcionan en los atributos RADIUS Framed-Pool y Framed-IPv6-Pool. Los grupos son opcionales cuando RADIUS envía una dirección IP enmarcada.
Para configurar un grupo de asignación de direcciones, debe especificar el nombre del grupo y configurar las direcciones del grupo.
Opcionalmente, puede configurar varios rangos con nombre, o subconjuntos, de direcciones dentro de un grupo de asignación de direcciones. Durante la asignación dinámica de direcciones, se puede asignar a un cliente una dirección de un rango con nombre específico. Para crear un rango con nombre, especifique un nombre para el rango y defina el intervalo de direcciones.
Asegúrese de utilizar la instrucción address-assignment pools () en lugar de la instrucción address pools (address-assignment
address-pool
).
Para obtener más información acerca de los grupos de asignación de direcciones, vea Información general sobre los grupos de asignación de direcciones y Descripción general de la configuración del grupo de asignación de direcciones.
Para configurar un grupo de asignación de direcciones IPv4 para LNS L2TP:
Por ejemplo, para configurar un grupo de asignación de direcciones IPv4:
[edit access] user@host# edit address-assignment pool lns-v4-pool family inet [edit access address-assignment pool lns-v4-pool family inet] user@host# set network 192.168.1.1/16 [edit access address-assignment pool lns-v4-pool family inet] user@host# set range lns-v4-pool-range low 192.168.1.1 high 192.168.255.255
Para configurar un grupo de asignación de direcciones IPv6 para LNS L2TP:
Configure el nombre del grupo y especifique la familia IPv6.
[edit access] user@host# edit address-assignment pool pool-name family inet6
Configure el prefijo de red IPv6 para el grupo de direcciones. La especificación del prefijo es necesaria cuando se configura un grupo de asignación de direcciones IPv6.
[edit access address-assignment pool pool-name family inet6] user@host# set prefix ipv6-prefix
Configure el nombre del rango y defina el rango. Puede definir el intervalo basándose en los límites inferior y superior de los prefijos del intervalo, o en función de la longitud de los prefijos del intervalo.
[edit access address-assignment pool pool-name family inet6] user@host# set range range-name low lower-limit high upper-limit
Por ejemplo, para configurar un grupo de asignación de direcciones IPv6:
[edit access] user@host# edit address-assignment pool lns-v6-pool family inet6 [edit access address-assignment pool lns-v6-pool family inet6] user@host# set prefix 2001:DB8::/32 [edit access address-assignment pool lns-v6-pool family inet6] user@host# set range lns-v6-pool-range low 2001:DB8:1::/48 high 2001:DB8::ffff::/48
Configuración de la interfaz del mismo nivel LNS L2TP
La interfaz del mismo nivel conecta el LNS a la nube hacia las LAC para que los paquetes IP se puedan intercambiar entre los puntos finales del túnel. MPLS y Ethernet agregada también se pueden usar para llegar a las LAC.
En los enrutadores de la serie MX, debe configurar la interfaz del mismo nivel en un MPC.
Para configurar la interfaz del mismo nivel LNS:
Habilitación de interfaces de servicio en línea
La interfaz de servicio en línea es una interfaz física virtual que reside en el motor de reenvío de paquetes. Esta si
interfaz, denominada interfaz de anclaje , permite proporcionar servicios L2TP sin una PIC de servicios especiales. La interfaz de servicio en línea solo es compatible con MPC en enrutadores de la serie MX. Se pueden configurar cuatro interfaces de servicio en línea por ranura de chasis ocupada por MPC.
En los enrutadores MX80 y MX104, solo puede configurar cuatro interfaces físicas de servicios en línea como interfaces de anclaje para sesiones LNS L2TP: si-1/0/0, si-1/1/0, si-1/2/0 y si-1/3/0. No puede configurar si-0/0/0 para este propósito en enrutadores MX80 y MX104.
Aunque el intervalo de valores de ancho de banda es de 1 Gbps a 400 Gbps, no puede configurar el ancho de banda en números absolutos, como 12.345.878.000 bps. Debe usar las opciones disponibles en la instrucción CLI:
1g
10g
a través en100g
incrementos de 10 Gbps:10g
, , , ,50g
20g
30g
40g
60g
70g
80g
90g
100g
100g
hasta400g
en incrementos de 100 Gbps:100g
, ,200g
300g
400g
El ancho de banda máximo disponible varía entre los MPC, como se muestra en la Tabla 1. Se genera un mensaje de registro del sistema cuando se configura un ancho de banda superior al admitido en la MPC.
MPC |
Ancho de banda máximo admitido |
---|---|
MPC2E NG, MPC2E NG Q, |
80 Gbps |
MPC3E NG, MPC3E NG Q |
130 Gbps |
MPC3 y MIC de 100GE y 40GE |
40 Gbps |
MPC4E |
130 Gbps |
MPC5E |
130 Gbps |
MPC6E |
130 Gbps |
MPC7E |
240 Gbps |
MPC8E |
240 Gbps 400 Gbps en modo actualizado de 1,6 Tbps |
MPC9E |
400 Gbps |
Para habilitar interfaces de servicio en línea:
Configuración de una interfaz de servicio en línea para LNS L2TP
La interfaz de servicio en línea es una interfaz de servicio físico virtual que reside en el motor de reenvío de paquetes. Esta si
interfaz, denominada interfaz de anclaje , permite proporcionar servicios L2TP sin una PIC de servicios especiales. La interfaz de servicio en línea solo es compatible con MPC en enrutadores de la serie MX. Se pueden configurar cuatro interfaces de servicio en línea por ranura de chasis ocupada por MPC.
Puede maximizar el número de sesiones que se pueden configurar en una interfaz de servicio estableciendo el número máximo de niveles de jerarquía en dos. En este caso, cada sesión LNS consume un nodo L3 en la jerarquía del programador para dar forma.
Si no especifica el número de niveles (dos es la única opción), el número de sesiones LNS que se pueden configurar en la interfaz de servicio se limita al número de nodos L2 o 4096 sesiones. Todavía surgen sesiones adicionales, pero no están formadas.
Para configurar una interfaz de servicio en línea:
Configuración de opciones para la interfaz lógica de LNS Inline Services
Debe especificar característicasdial-options
para cada una de las interfaces lógicas de servicios en línea que configure para el LNS. LNS en los enrutadores de la serie MX solo admite una sesión por interfaz lógica, por lo que debe configurarlo como una dedicated
interfaz; la shared
opción no es compatible. (LNS en los enrutadores de la serie M admite dedicated
y shared
opciones). También puede configurar un nombre de identificación para la interfaz lógica que coincida con el nombre especificado en el perfil de acceso.
Debe especificar la familia de inet
direcciones para cada interfaz lógica estática o en el perfil dinámico para interfaces LNS dinámicas. Aunque la CLI acepta inet
interfaces lógicas estáticas o inet6
para ellas, el suscriptor no puede iniciar sesión correctamente a menos que se configure la familia inet
de direcciones.
Para la configuración de interfaz dinámica, consulte Configuración de un perfil dinámico para sesiones LNS dinámicas.
Para configurar las opciones de interfaz lógica estática:
LNS 1:1 Descripción general de redundancia de estado
De forma predeterminada, cuando una interfaz de anclaje de servicio en línea (si) deja de funcionar, por ejemplo, cuando la tarjeta que aloja la interfaz falla o se reinicia, se pierde el tráfico de suscriptores L2TP. Cuando el temporizador keepalive PPP para el túnel expira posteriormente, el plano de control desciende y el cliente PPP se desconecta. En consecuencia, el cliente debe volver a conectarse.
Puede evitar la pérdida de tráfico en estas circunstancias configurando un paquete agregado de interfaz de servicio en línea (asi) para proporcionar redundancia de estado 1:1, también denominada redundancia en espera activa o de copia de seguridad activa. El paquete consta de un par de interfaces físicas si, el vínculo de miembro principal (activo) y el vínculo de miembro secundario (en espera o de respaldo). Estas interfaces deben configurarse en diferentes MPC; la redundancia no se puede lograr si configura la interfaz principal y secundaria en la misma MPC, ya que ambas interfaces miembro dejan de funcionar si la tarjeta deja de funcionar.
Cuando los suscriptores inician sesión y se configura la redundancia 1:1, la sesión L2TP se establece a través de una interfaz lógica virtual subyacente (asi.0x) sobre la interfaz física asi0. Las interfaces lógicas de suscriptor individuales se crean en la interfaz subyacente en el formato, asiX..logical-unit-number La sesión permanece activa en caso de que se produzca un error o se reinicie en el MPC que aloja la interfaz de vínculo del miembro principal. Todo el tráfico de datos destinado a esta sesión L2TP se mueve automáticamente a la interfaz de vínculo de miembro secundario en el otro MPC.
Configuración de redundancia de estado LNS 1:1 en interfaces de servicio en línea agregadas
Puede crear un paquete agregado de interfaz de servicio en línea (asi) para proporcionar redundancia de estado LNS 1:1 para interfaces de anclaje de servicio en línea (si). El paquete empareja dos interfaces que residen en MPC diferentes como vínculos principales y secundarios. Las sesiones LNS se establecen posteriormente a través de una interfaz lógica virtual, asiX..logical-unit-number La conmutación por error de sesión LNS se produce cuando la interfaz de anclaje principal deja de funcionar o la tarjeta se reinicia con el request chassis fpc restart
comando. Cuando esto sucede, el vínculo secundario (en un MPC diferente) se activa y todo el tráfico de datos LNS destinado a la sesión se mueve automáticamente a la interfaz secundaria. La sesión del suscriptor permanece activa en la interfaz virtual asiX.logical-unit-number No se pierden estadísticas de tráfico. Cuando esta redundancia no está configurada, se pierde el tráfico de suscriptores, los keepalives caducan y el cliente PPP se desconecta y debe volver a conectarse.
Antes de comenzar, debe hacer lo siguiente:
Confirme que la administración mejorada de suscriptores esté habilitada.
Cree interfaces de servicio en línea en diferentes MPC para agregarlas al paquete.
Consulte Habilitación de interfaces de servicio en línea y Configuración de una interfaz de servicio en línea para LNS L2TP.
Si utiliza grupos de interfaces de servicio, defina los grupos de servicios.
Siga estas pautas:
Debe configurar
unit 0 family inet
para cada paquete; de lo contrario, la sesión no aparecerá.Las interfaces principal (activa) y secundaria (copia de seguridad) deben estar en MPC diferentes.
El ancho de banda configurado en el nivel de jerarquía debe ser el mismo para ambos vínculos de
[edit chassis fpc slot pic number inline-services bandwidth]
miembro.Una interfaz SI configurada como miembro de un paquete de interfaz de servicio en línea agregado no se puede configurar como miembro de otro grupo de paquetes.
Una interfaz SI configurada como miembro de un paquete de interfaz de servicio en línea agregado tampoco se puede utilizar para ninguna función que no esté relacionada con servicios agregados; por ejemplo, no se puede utilizar para el reensamblaje de IP en línea.
Cuando configura una interfaz SI como miembro de un paquete de servicios en línea agregados, ya no puede configurar esa interfaz SI de forma independiente. Solo puede configurar el paquete principal; La configuración del paquete se aplica inmediatamente a todas las interfaces miembro.
Para configurar la redundancia de estado LNS 1:1:
La siguiente configuración de ejemplo crea el paquete asi0 con vínculos de miembro en las MPC de la ranura 1 y la ranura 2 y, a continuación, asigna el paquete para proporcionar redundancia para las sesiones L2TP en el grupo de túnel tg1:
[edit interfaces asi0] user@host# set aggregated-inline-services-options primary-interface si-1/0/0 user@host# set aggregated-inline-services-options secondary-interface si-2/0/0 user@host# set unit 0 family inet [edit chassis fpc 1 pic 0 inline-services] user@host# set bandwidth 10g [edit chassis fpc 2 pic 0 inline-services] user@host# set bandwidth 10g [edit services l2tp tunnel-group tg1] user@host# set service-interface asi0
Verificación de la redundancia 1:1 de la interfaz de servicio en línea agregada de LNS
Propósito
Vea información sobre paquetes agregados de interfaces de servicio en línea, vínculos de miembros individuales y estado de redundancia.
Acción
Para ver información resumida sobre un paquete de interfaz de servicio en línea agregado:
user@host> show interfaces asi0 terse Interface Admin Link Proto Local Remote asi0 up up asi0.0 up up inet
Para ver información detallada acerca de un paquete de interfaz de servicio en línea agregado:
user@host> show interfaces asi0 extensive Physical interface: asi0, Enabled, Physical link is Up Interface index: 223, SNMP ifIndex: 734, Generation: 226 Type: Adaptive-Services, Link-level type: Adaptive-Services, MTU: 9192, Clocking: Unspecified, Speed: 20000mbps Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Internal: 0x4000 Link type : Full-Duplex Link flags : None Physical info : Unspecified Hold-times : Up 0 ms, Down 0 ms Current address: Unspecified, Hardware address: Unspecified Alternate link address: Unspecified Last flapped : 2014-01-20 23:35:02 PST (00:03:25 ago) Statistics last cleared: Never Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 IPv6 transit statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Input errors: Errors: 0, Drops: 0, Framing errors: 0, Runts: 0, Giants: 0, Policed discards: 0, Resource errors: 0 Output errors: Carrier transitions: 0, Errors: 0, Drops: 0, MTU errors: 0, Resource errors: 0 Logical interface asi0.0 (Index 356) (SNMP ifIndex 52241) (Generation 165) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: Adaptive-Services Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Protocol inet, MTU: 9192, Generation: 198, Route table: 0 Flags: Sendbcast-pkt-to-re
Para ver información sobre una interfaz de miembro individual en un paquete de interfaz de servicio en línea agregado:
user@host> show interfaces si-1/0/0 Physical interface: si-1/0/0, Enabled, Physical link is Up Interface index: 165, SNMP ifIndex: 630 Type: Adaptive-Services, Link-level type: Adaptive-Services, MTU: 9192, Speed: 10000mbps Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Internal: 0x4000 Link type : Full-Duplex Link flags : None Last flapped : Never Input rate : 0 bps (0 pps) Output rate : 0 bps (0 pps) Logical interface si-1/0/0.0 (Index 357) (SNMP ifIndex 52229) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: Adaptive-Services Input packets : 0 Output packets: 0 Protocol asi, AS bundle: asi0.0 Flags: Function2
Para ver el estado de redundancia de paquetes de interfaces de servicio en línea agregados:
user@host> show interfaces redundancy Interface State Last change Primary Secondary Current status asi0 On secondary 1d 23:56 si-1/0/0 si-2/0/0 primary down asi1 On primary 10:10:27 si-3/0/0 si-4/0/0 secondary down ae0 On primary 00:00:02 ge-1/0/0 ge-3/0/1 backup down ae2 On primary 00:00:01 ge-2/0/0 ge-4/0/1 both up
Ese resultado de ejemplo muestra que tanto Ethernet agregada como las interfaces de servicio en línea agregadas están configuradas para la redundancia. Para mostrar solo uno de los paquetes de interfaz de servicio en línea agregados:
user@host> show interfaces redundancy asi0 Interface State Last change Primary Secondary Current status asi0 On secondary 1d 23:56 si-1/0/0 si-2/0/0 primary down
Para ver información detallada sobre todas las interfaces de redundancia configuradas:
user@host> show interfaces redundancy detail Redundancy interfaces detail Interface : asi0 State : On primary Last change : 00:00:36 Primary : si-1/0/0 Secondary : si-3/0/0 Current status: both up Interface : ae0 State : On primary Last change : 00:01:30 Primary : ge-1/0/0 Secondary : ge-3/0/1 Current status : backup down
Límites de sesión L2TP y equilibrio de carga para interfaces de servicio
La carga de LNS equilibra las sesiones de suscriptor en las interfaces de servicio disponibles en un grupo de dispositivos en función del número de sesiones actualmente activas en las interfaces. Puede configurar un límite máximo por interfaz de servicio (si) y por interfaz de servicio agregada (asi). En el caso de las interfaces asi, no se puede configurar un límite para las interfaces miembro si individuales del paquete.
- Límites de sesión en las interfaces de servicio
- Equilibrio de carga de sesión en todas las interfaces de servicio
Límites de sesión en las interfaces de servicio
Cuando se inicia una solicitud de sesión L2TP para una interfaz de servicio, el LNS comprueba el número de sesiones activas actuales en esa interfaz con el número máximo de sesiones permitidas para la interfaz de servicio individual o la interfaz de servicio agregada. El LNS determina si el recuento de sesiones actuales (que muestra el show services l2tp summary
comando) es inferior al límite configurado. Cuando eso es cierto o cuando no se configura ningún límite, la comprobación pasa y se puede establecer la sesión. Si el recuento de sesiones actual es igual al límite configurado, el LNS rechaza la solicitud de sesión. No se pueden aceptar solicitudes posteriores en esa interfaz hasta que el número de solicitudes activas caiga por debajo del máximo configurado. Cuando se rechaza una solicitud de sesión para una interfaz si o asi, el LNS devuelve un mensaje CDN con el código de resultado establecido en 2 y el código de error establecido en 4.
Por ejemplo, supongamos que se configura una única interfaz de servicio en el grupo de túneles. El recuento actual de sesiones L2TP es 1500, con un límite configurado de 2000 sesiones. Cuando se solicita una nueva sesión, la comprobación de límite pasa y se acepta la solicitud de sesión.
Interfaz |
Límite de sesión configurado |
Número de sesiones actuales |
Resultado de la comprobación del límite de sesión |
---|---|---|---|
SI-0/0/0 |
2000 |
1500 |
Pasar |
La comprobación de límite sigue pasándose y se aceptan solicitudes de sesión hasta que se hayan aceptado 500 solicitudes, lo que hace que la sesión actual cuente 2000, que coincide con el máximo configurado. Se produce un error en la comprobación del límite de sesión para todas las solicitudes posteriores y todas las solicitudes se rechazan hasta que el recuento de sesiones actual en la interfaz cae por debajo de 2000, de modo que la comprobación de límite puede pasar.
Interfaz |
Límite de sesión configurado |
Número de sesiones actuales |
Resultado de la comprobación del límite de sesión |
---|---|---|---|
SI-0/0/0 |
2000 |
2000 |
Fallar |
Cuando el límite de sesiones se establece en cero para una interfaz, no se puede aceptar ninguna solicitud de sesión. Si esa es la única interfaz en el grupo de túneles, todas las solicitudes de sesión del grupo se rechazan hasta que el límite de sesión aumente de cero o se agregue otra interfaz de servicio al grupo de túneles.
Cuando una interfaz de servicio en un grupo de dispositivos de servicio ha alcanzado el límite máximo configurado o tiene un límite configurado de cero, el LNS omite esa interfaz cuando se realiza una solicitud de sesión y selecciona otra interfaz en el grupo para comprobar el límite de sesión. Esto continúa hasta que pasa una interfaz y se acepta la sesión o no queda ninguna otra interfaz en el grupo que se va a seleccionar.
Equilibrio de carga de sesión en todas las interfaces de servicio
El comportamiento para la distribución de carga de sesión en un grupo de dispositivos de servicio cambió en Junos OS versión 16.2. Cuando una interfaz de servicio tiene un recuento de sesiones menor que otra interfaz del grupo y ambas interfaces están por debajo de su límite máximo de sesiones, las sesiones posteriores se distribuyen a la interfaz con menos sesiones.
En versiones anteriores, las sesiones se distribuyen estrictamente por turnos, independientemente del número de sesiones. El comportamiento anterior puede dar lugar a una distribución desigual de la sesión cuando se reinicia el motor de reenvío de paquetes o cuando una interfaz de servicio deja de funcionar y vuelve a subir.
Por ejemplo, considere el siguiente escenario con el antiguo comportamiento de distribución por turnos para un grupo con dos interfaces de servicio:
Doscientas sesiones se distribuyen uniformemente entre las dos interfaces de servicio.
SI-0/0/0 tiene 100 sesiones.
SI-1/0/0 tiene 100 sesiones.
La interfaz si-1/0/0 se reinicia. Cuando vuelve, inicialmente las sesiones se activan solo en si-0/0/0.
SI-0/0/0 tiene 100 sesiones.
SI-1/0/0 tiene 0 sesiones.
A medida que las sesiones que antes estaban en si-1/0/0 se vuelven a conectar, se distribuyen por igual en ambas interfaces de servicio. Cuando se vuelven a realizar las 100 sesiones, la distribución está significativamente desequilibrada.
SI-0/0/0 tiene 150 sesiones.
SI-1/0/0 tiene 50 sesiones.
Después de conectar 100 sesiones nuevas, si-0/0/0 alcanza su límite máximo. Las sesiones posteriores solo se aceptan el si-1/0/0.
SI-0/0/0 tiene 200 sesiones.
SI-1/0/0 tiene 100 sesiones.
Después de conectar 100 sesiones más, si-1/0/0 alcanza su límite máximo. No se pueden aceptar más sesiones hasta que el recuento de sesiones caiga por debajo de 200 para una de las interfaces.
SI-0/0/0 tiene 200 sesiones.
SI-1/0/0 tiene 200 sesiones.
Ahora considere el mismo escenario usando el comportamiento actual de distribución de carga basado en el número de sesiones conectadas. El grupo de dispositivos vuelve a tener dos interfaces de servicio, cada una con un límite máximo configurado de 200 sesiones:
Doscientas sesiones se distribuyen uniformemente entre las dos interfaces de servicio.
SI-0/0/0 tiene 100 sesiones.
SI-1/0/0 tiene 100 sesiones.
La interfaz si-1/0/0 se reinicia. Cuando vuelve a subir, las sesiones se activan inicialmente solo en si-0/0/0.
SI-0/0/0 tiene 100 sesiones.
SI-1/0/0 tiene 0 sesiones.
A medida que las sesiones que antes estaban en si-1/0/0 se vuelven a conectar, se distribuyen de acuerdo con la carga de la sesión en cada interfaz. Debido a que ambas interfaces están por debajo de su límite máximo y si-1/0/0 tiene menos sesiones que si-0/0/0, las sesiones se distribuyen inicialmente solo a si-1/0/0.
Después de 1 nueva sesión:
SI-0/0/0 tiene 100 sesiones.
SI-1/0/0 tiene 1 sesión.
Después de 10 nuevas sesiones:
SI-0/0/0 tiene 100 sesiones.
SI-1/0/0 tiene 10 sesiones.
Después de 100 nuevas sesiones:
SI-0/0/0 tiene 100 sesiones.
SI-1/0/0 tiene 100 sesiones.
Debido a que ambas interfaces ahora tienen el mismo recuento de sesiones, la siguiente sesión (#101) se distribuye aleatoriamente entre las dos interfaces. La siguiente sesión después de eso (#102) va a la interfaz con el recuento de sesiones más bajo. Eso hace que las interfaces vuelvan a ser iguales, por lo que la siguiente sesión (#103) se distribuye aleatoriamente. Este patrón se repite hasta el límite máximo de 200 sesiones para ambas interfaces.
SI-0/0/0 tiene 200 sesiones.
SI-1/0/0 tiene 200 sesiones.
No se pueden aceptar más sesiones en ninguna de las interfaces hasta que el número de sesiones caiga por debajo de 200 en una de las interfaces.
El comportamiento de equilibrio de carga es el mismo para las interfaces de servicio agregadas. Se selecciona una interfaz asi de un grupo en función del recuento de sesiones actual para la interfaz asi. Cuando ese recuento es inferior al máximo, el LNS comprueba el recuento de sesiones actuales para la interfaz SI activa en el paquete asi. Cuando ese recuento es inferior al máximo, la sesión se puede establecer en la interfaz asi.
En un grupo de dispositivos mixtos que tiene interfaces de servicio e interfaces de servicio agregadas, las sesiones se distribuyen a la interfaz, ya sea asi o si, que tenga el recuento de sesiones más bajo. Cuando el recuento de sesiones de una interfaz de cualquier tipo alcanza su límite, ya no puede aceptar sesiones hasta que el recuento caiga por debajo del máximo.
Puede utilizar la configuración de límite de sesión para lograr un límite de sesión en determinados motores de reenvío de paquetes. Supongamos que desea un límite de 100 sesiones en un PFE0, que tiene dos interfaces de servicio. Puede establecer el límite máximo de cada interfaz en 50 o cualquier otra combinación que sume 100 para establecer el límite de PFE0.
Ejemplo: configuración de un LNS L2TP
En este ejemplo se muestra cómo puede configurar un LNS L2TP en un enrutador serie MX para proporcionar extremos de túnel para un LAC L2TP en su red. Esta configuración incluye un perfil dinámico para suscriptores de doble pila.
Requisitos
Este ejemplo de LNS L2TP requiere el siguiente hardware y software:
Plataforma de enrutamiento universal 5G serie MX
Uno o más MPC
Junos OS versión 11.4 o posterior
No se requiere ninguna configuración especial más allá de la inicialización del dispositivo antes de poder configurar esta función.
Debe configurar determinados atributos RADIUS estándar y VSA de Juniper Networks en la lista de devolución de atributos del servidor AAA asociado con el LNS para que este ejemplo funcione. En la tabla 2 se enumeran los atributos con la configuración de orden y los valores necesarios. Le recomendamos que utilice el diccionario RADIUS más reciente de Juniper Networks, disponible en el cuadro Descargas de la página Administración de suscriptores de Junos OS en https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/subscriber-access/index.html.
Nombre VSA [Número] |
Orden |
Valor |
---|---|---|
Tipo de parámetro CoS [26–108] |
1 |
T01 Multiplay |
Tipo de parámetro CoS [26–108] |
2 |
T02 10m |
Tipo de parámetro CoS [26–108] |
3 |
T08 -36 |
Tipo de parámetro CoS [26–108] |
4 |
Modo de celda T07 |
Framed-IPv6-Pool [100] |
0 |
jnpr_ipv6_pool |
Piscina enmarcada [88] |
0 |
jnpr_pool |
Nombre de la política de salida [26-11] |
0 |
Clasificar |
Nombre de la política de entrada [26-10] |
0 |
Clasificar |
Enrutador virtual [26-1] |
0 |
Predeterminado |
Visión general
El LNS emplea perfiles de grupo de usuarios para aplicar atributos PPP a los suscriptores PPP que se tunelizan desde LAC. Las LAC de la red son clientes de la LNS. Los clientes se asocian con perfiles de grupo de usuarios en el perfil de acceso L2TP configurado en el LNS. En este ejemplo, el perfil ce-l2tp-group-profile
de grupo de usuarios especifica los siguientes atributos PPP:
Un intervalo de 30 segundos entre los mensajes keepalive PPP para túneles L2TP del LAC cliente que terminan en el LNS.
Un intervalo de 200 segundos que define cuánto tiempo puede estar inactiva la sesión del suscriptor PPP antes de que se considere que se ha agotado el tiempo de espera.
Tanto PAP como CHAP como métodos de autenticación PPP que se aplican a los suscriptores PPP tunelizados en el LNS.
El perfil ce-l2tp-profile
de acceso L2TP define un conjunto de parámetros L2TP para cada LAC de cliente. En este ejemplo, el perfil ce-l2tp-group-profile
del grupo de usuarios está asociado tanto a clientes lac2
lac1
como a . Ambos clientes están configurados para que el LNS renegocie el protocolo de control de vínculo (LCP) con el cliente PPP en lugar de aceptar los parámetros LCP negociados previamente que las LAC pasan al LNS. La renegociación de LCP también hace que la autenticación sea renegociada por el LNS; El método de autenticación se especifica en el perfil del grupo de usuarios. El número máximo de sesiones permitidas por túnel se establece en 1000 para y en 4000 para lac1
lac2
. Se configura una contraseña diferente para cada LAC.
Un perfil de acceso AAA local, , le permite invalidar el perfil de acceso AAA global, de modo que pueda especificar un orden de autenticación, aaa-profile
un servidor RADIUS que desee usar para L2TP y una contraseña para el servidor.
En este ejemplo, un grupo de direcciones define un intervalo de direcciones IP que el LNS asigna a las sesiones PPP tunelizadas. En este ejemplo se definen intervalos de direcciones IPv4 e IPv6.
Hay dos interfaces de servicio en línea habilitadas en la MPC ubicada en la ranura 5 del enrutador. Para cada interfaz, se reservan 10 Gbps de ancho de banda para el tráfico de túnel en el PFE asociado de la interfaz. Estas interfaces de anclaje sirven como interfaz física subyacente. Para habilitar la compatibilidad con colas CoS en las interfaces de servicio lógico en línea individuales, debe configurar tanto la encapsulación de servicios (generic-services
) como la compatibilidad de programación jerárquica en los anclajes. La familia de direcciones IPv4 está configurada para ambas interfaces de anclaje. Ambas interfaces de anclaje se especifican en el grupo de dispositivos de lns_p1
servicio. El LNS puede equilibrar las cargas de tráfico entre las dos interfaces de anclaje cuando el grupo de túneles incluye el grupo.
En este ejemplo se utiliza el perfil dyn-lns-profile2
dinámico para especificar las características de las sesiones L2TP que se crean o asignan dinámicamente cuando un suscriptor se tuneliza al LNS. Para muchas de las características, se establece una variable predefinida; las variables se reemplazan dinámicamente con los valores apropiados cuando un suscriptor es tunelizado al LNS.
La interfaz a la que se conecta el cliente PPP tunelizado () se crea dinámicamente en la instancia de enrutamiento ($junos-interface-name
$junos-routing-instance
) asignada al suscriptor. Las opciones de enrutamiento para las rutas de acceso incluyen la dirección del siguiente salto de la ruta (), la métrica () y la preferencia ($junos-framed-route-nexthop
$junos-framed-route-cost
$junos-framed-route-distance
). Para las rutas internas de acceso, se establece una variable de dirección IP dinámica ($junos-subscriber-ip-address
).
Las interfaces lógicas de servicio en línea se definen mediante el nombre de una interfaz de anclaje configurada () y un número de unidad lógica ($junos-interface-ifd-name
$junos-interface-unit
). El perfil se asigna como identificador de la interfaz lógica y especifica que cada interfaz sólo se l2tp-encapuslation
puede utilizar para una única sesión a la vez.
La dirección IPv4 se establece en un valor devuelto por el servidor AAA. Para el tráfico IPv4, se adjuntan a la interfaz un filtro de firewall de entrada y un filtro $junos-input-filter
$junos-output-filter
de firewall de salida. La variable de circuito cerrado () deriva una dirección IP de una interfaz de circuito cerrado ($junos-loopback-interface
lo
) configurada en la instancia de enrutamiento y la utiliza en la negociación IPCP como dirección del servidor PPP. Dado que se trata de una configuración de doble pila, también se establece la familia de direcciones IPv6, con las direcciones proporcionadas por la $junos-ipv6-address
variable.
La $junos-ipv6-address
variable se utiliza porque también está configurado el protocolo de anuncio de enrutador. Esta variable permite que AAA asigne la primera dirección del prefijo que se reservará como dirección local para la interfaz. La configuración mínima para el protocolo de anuncio de enrutador en el perfil dinámico especifica las $junos-interface-name
variables y $junos-ipv6-ndra-prefix
para asignar dinámicamente un valor de prefijo en los anuncios de enrutador de descubrimiento de vecinos IPv6.
El perfil dinámico también incluye la clase de configuración de servicio que se aplica al tráfico del túnel. El perfil de control de tráfico () incluye variables para el mapa del programador (), la velocidad de conformación (), la contabilidad de sobrecarga (tc-profile
$junos-cos-shaping-mode
$junos-cos-scheduler-map
$junos-cos-shaping-rate
) y el ajuste $junos-cos-byte-adjust
de bytes ). El perfil dinámico aplica la configuración de CoS (incluida la clase de reenvío, el perfil de control del tráfico de salida y las reglas de reescritura) a las interfaces de servicio dinámicas.
La tg-dynamic
configuración del grupo de túneles especifica el perfil de acceso, el perfil AAA local y el perfil ce-l2tp-profile
aaa-profile
dyn-lns-profile2
dinámico que se utilizan para crear dinámicamente sesiones LNS y definir las características de las sesiones. El lns_p1
grupo de dispositivos de servicio asocia un grupo de interfaces de servicio con el grupo para permitir que LNS equilibre el tráfico entre las interfaces. La dirección de puerta de enlace local corresponde a la dirección 203.0.113.2
de puerta de enlace remota configurada en la LAC. El nombre de la puerta de enlace local corresponde al nombre ce-lns
de la puerta de enlace remota configurada en la LAC.
En este ejemplo no se muestran todas las opciones de configuración posibles.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente un LNS L2TP, copie los siguientes comandos, péguelos en un archivo de texto, quite los saltos de línea y, a continuación, copie y pegue los comandos en la CLI.
[edit] edit access group-profile ce-l2tp-group-profile set ppp idle-timeout 200 set ppp ppp-options pap set ppp ppp-options chap set ppp keepalive 30 top edit access profile ce-l2tp-profile set client lac1 l2tp maximum-sessions-per-tunnel 1000 set client lac1 l2tp interface-id l2tp-encapsulation-1 set client lac1 l2tp lcp-renegotiation set client lac1 l2tp shared-secret "lac1-$ABC123" set client lac1 user-group-profile ce-l2tp-group-profile set client lac2 l2tp maximum-sessions-per-tunnel 4000 set client lac2 l2tp interface-id l2tp-encap-2 set client lac2 l2tp lcp-renegotiation set client lac2 l2tp shared-secret "lac2-$ABC123" set client lac2 user-group-profile ce-l2tp-group-profile top edit access profile aaa-profile set authentication-order radius set radius authentication-server 198.51.100.193 set radius-server 198.51.100.193 secret "$ABC123” top edit access address-assignment pool client-pool1 family inet set network 192.168.1.1/16 set range lns-v4-pool-range low 192.168.1.1 set range lns-v4-pool-range high 192.168.255.255 top edit access address-assignment pool client-ipv6-pool2 family inet6 set prefix 2001:DB8::/32 set range lns-v6-pool-range low 2001:DB8:1::/48 set range lns-v6-pool-range high 2001:DB8:ffff::/48 top set interfaces ge-5/0/1 unit 11 vlan-id 11 set interfaces ge-5/0/1 unit 11 family inet address 203.0.113.2/24 set interfaces lo0 unit 0 family inet address 127.0.0.1/32 top set chassis fpc 5 pic 0 inline-services bandwidth 10g set chassis fpc 5 pic 2 inline-services bandwidth 10g top edit interfaces si-5/0/0 set hierarchical-scheduler maximum-hierarchy-levels 2 set encapsulation generic-services set unit 0 family inet top edit interfaces si-5/2/0 set hierarchical-scheduler maximum-hierarchy-levels 2 set encapsulation generic-services set unit 0 family inet top set services service-device-pools pool lns_p1 interface si-5/0/0 set services service-device-pools pool lns_p1 interface si-5/2/0 top edit dynamic-profiles dyn-lns-profile2 routing-instances $junos-routing-instance set interface $junos-interface-name edit routing-options access route $junos-framed-route-ip-address-prefix set next-hop $junos-framed-route-nexthop set metric $junos-framed-route-cost set preference $junos-framed-route-distance up 2 edit access-internal route $junos-subscriber-ip-address set qualified-next-hop $junos-interface-name up 5 edit interfaces $junos-interface-ifd-name unit $junos-interface-unit set dial-options l2tp-interface-id l2tp-encapsulation set dial-options dedicated set family inet filter input $junos-input-filter set family inet filter output $junos-output-filter set family inet unnumbered-address $junos-loopback-interface set family inet6 address $junos-ipv6-address set family inet6 filter input $junos-input-ipv6-filter set family inet6 filter output $junos-output-ipv6-filter up 3 edit protocols router-advertisement set interface $junos-interface-name prefix $junos-ipv6-ndra-prefix top [edit class-of-service] edit rewrite-rules dscp rewriteDSCP forwarding-class expedited-forwarding set loss-priority high code-point af11 set loss-priority high code-point af12 top edit dynamic-profiles dyn-lns-profile2 class-of-service traffic-control-profiles tc-profile set scheduler-map $junos-cos-scheduler-map set shaping-rate $junos-cos-shaping-rate set overhead-accounting $junos-cos-shaping-mode set overhead-accounting bytes $junos-cos-byte-adjust up edit interfaces $junos-interface-ifd-name unit $junos-interface-unit set forwarding-class expedited-forwarding set output-traffic-control-profile tc-profile set rewrite-rules dscp rewriteDSCP edit interfaces si-5/0/0 set output-control-profile-remaining tc-profile top set services l2tp tunnel-group tg-dynamic l2tp-access-profile ce-l2tp-profile set services l2tp tunnel-group tg-dynamic aaa-access-profile aaa-profile set services l2tp tunnel-group tg-dynamic local-gateway address 203.0.113.2 set services l2tp tunnel-group tg-dynamic local-gateway gateway-name ce-lns set services l2tp tunnel-group tg-dynamic service-device-pool lns_p1 set services l2tp tunnel-group tg-dynamic dynamic-profile dyn-lns-profile2
Procedimiento paso a paso
En el ejemplo siguiente es necesario navegar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en modo de configuración.
Para configurar un LNS L2TP con interfaces de servicio en línea:
Configure un perfil de grupo de usuarios que defina la configuración de PPP para suscriptores de túnel.
[edit access] user@host# edit group-profile ce-l2tp-group-profile [edit access group-profile ce-l2tp-group-profile] user@host# set ppp keepalive 30 user@host# set ppp idle-timeout 200 user@host# set ppp ppp-options chap user@host# set ppp ppp-options pap
Configure un perfil de acceso L2TP que defina los parámetros L2TP para cada LAC de cliente. Esto incluye asociar un perfil de grupo de usuarios con el cliente y especificar el identificador de la interfaz lógica de servicios en línea que representa una sesión L2TP en el LNS.
[edit access profile ce-l2tp-profile client lac1] user@host# set l2tp interface-id l2tp-encapsulation user@host# set l2tp maximum-sessions-per-tunnel 1000 user@host# set l2tp shared-secret "lac1-$ABC123" user@host# set l2tp lcp-renegotiation user@host# set user-group-profile ce-l2tp-group-profile [edit access profile ce-l2tp-profile client lac2] user@host# set l2tp interface-id interface-id user@host# set l2tp maximum-sessions-per-tunnel 4000 user@host# set l2tp shared-secret "lac2-$ABC123" user@host# set l2tp lcp-renegotiation user@host# set user-group-profile ce-l2tp-group-profile
Nota:Si
user-group-profile
se modifica o elimina, los suscriptores de LNS existentes que utilizaban esta configuración de cliente de protocolo de túnel de capa 2 dejan de funcionar.Configure un perfil de acceso AAA para invalidar el perfil de acceso global para el orden de los métodos de autenticación AAA y los atributos del servidor.
[edit access profile aaa-profile] user@host# set authentication-order radius user@host# set radius authentication-server 198.51.100.193 user@host# set radius-server 198.51.100.193 secret "$ABC123”
Configure grupos de asignación de direcciones IPv4 e IPv6 para asignar direcciones para los clientes (LAC).
[edit access address-assignment pool client-pool1 family inet] user@host# set network 192.168.1.1/16 user@host# set range lns-v4-pool-range low 192.168.1.1 high 192.168.255.255 [edit access address-assignment pool client-ipv6-pool2 family inet6] user@host# set prefix 2001:DB8::/32 user@host# set range lns-v6-pool-range low 2001:DB8:1::/48 user@host# set range lns-v6-pool-range high 2001:DB8:ffff::/48
Configure la interfaz del mismo nivel para terminar el túnel y la dirección IPCP del servidor PPP (dirección de circuito cerrado).
[edit interfaces ge-5/0/1 user@host# set vlan-tagging user@host# set unit 11 [edit interfaces ge-5/0/1.11 user@host# set vlan-id 11 user@host# set family inet address 10.1.1.2/24 [edit interfaces lo0] user@host# set unit 0 family inet address 127.0.0.1/32
Habilite las interfaces de servicio en línea en un MPC.
[edit chassis fpc 5] user@host# set pic 0 inline-services bandwidth 10g user@host# set pic 2 inline-services bandwidth 10g
Configure las interfaces del servicio de anclaje con la encapsulación de servicios, la programación jerárquica y la familia de direcciones.
[edit interfaces si-5/0/0] user@host# set hierarchical-scheduler maximum hierarchy-levels 2 user@host# set encapsulation generic-services user@host# set unit 0 family inet [edit interfaces si-5/2/0] user@host# set hierarchical-scheduler maximum hierarchy-levels 2 user@host# set encapsulation generic-services user@host# set unit 0 family inet
Configure un grupo de interfaces de servicio para sesiones LNS dinámicas.
[edit services service-device-pools pool lns_p1] user@host# set interface si-5/0/0 user@host# set interface si-5/2/0
Configure un perfil dinámico que cree dinámicamente interfaces lógicas L2TP para suscriptores de doble pila.
[edit dynamic-profiles dyn-lns-profile2] user@host# edit routing-instances $junos-routing-instance user@host# set interface $junos-interface-name [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance”] user@host# edit routing-options access route $junos-framed-route-ip-address-prefix [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance” routing-options access route “$junos-framed-route-ip-address-prefix”] user@host# set next-hop $junos-framed-route-nexthop user@host# set metric $junos-framed-route-cost user@host# set preference $junos-framed-route-distance [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance” routing-options access-internal] user@host# set route $junos-subscriber-ip-address qualified-next-hop $junos-interface-name [edit dynamic-profiles dyn-lns-profile2 interfaces “$junos-interface-ifd-name” unit “$junos-interface-unit”] user@host# set dial-options l2tp-interface-id l2tp-encapsulation user@host# set dial-options dedicated user@host# set family inet unnumbered-address $junos-loopback-interface user@host# set family inet filter input $junos-input-filter user@host# set family inet filter output $junos-output-filter user@host# set family inet6 address $junos-ipv6-address set family inet6 filter input $junos-input-ipv6-filter set family inet6 filter output $junos-output-ipv6-filter [edit dynamic-profiles dyn-lns-profile2 protocols router-advertisement] user@host# set interface $junos-interface-name prefix $junos-ipv6-ndra-prefix
Configure las reglas de conformación, programación y reescritura, y aplíquelas en el perfil dinámico al tráfico de túnel.
[edit class-of-service] user@host# edit rewrite-rules dscp rewriteDSCP forwarding-class expedited-forwarding user@host# set loss-priority high code-point af11 user@host# set loss-priority high code-point af12 [edit dynamic-profiles dyn-lns-profile2 class-of-service traffic-control-profiles tc-profile] user@host# set scheduler-map $junos-cos-scheduler-map user@host# set shaping-rate $junos-cos-shaping-rate user@host# set overhead-accounting $junos-cos-shaping-mode user@host# set overhead-accounting bytes $junos-cos-byte-adjust [edit dynamic-profiles dyn-lns-profile2 class-of-service interfaces “$junos-interface-ifd-name” unit "$junos-interface-unit"] user@host# set forwarding-class expedited-forwarding user@host# set output-traffic-control-profile tc-profile user@host# set rewrite-rules dscp rewriteDSCP [edit class-of-service interfaces si-5/0/0] user@host# set output-traffic-control-profile-remaining tc-profile
Configure el grupo de túneles L2TP para que genere sesiones LNS dinámicas mediante el conjunto de interfaces de servicio en línea para habilitar el equilibrio de carga.
[edit services l2tp tunnel-group tg-dynamic] user@host# set l2tp-access-profile ce-l2tp-profile user@host# set local-gateway address 10.1.1.2 user@host# set local-gateway gateway-name ce-lns user@host# set aaa-access-profile aaa-profile user@host# set dynamic-profile dyn-lns-profile2 user@host# set service-device-pool lns_p1
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la configuración del perfil de acceso, el perfil de grupo, el perfil AAA y los grupos de asignación de show access
direcciones. Confirme la configuración de los servicios en línea introduciendo el show chassis
comando. Confirme la configuración de la interfaz introduciendo el show interfaces
comando. Confirme la configuración del perfil dinámico introduciendo el show dynamic-profiles
comando. Confirme la configuración del grupo de túneles introduciendo el show services l2tp
comando. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.
[edit] user@host# show access group-profile ce-l2tp-group-profile { ppp { idle-timeout 200; ppp-options { pap; chap; } keepalive 30; } } profile ce-l2tp-profile { client lac1 { l2tp { maximum-sessions-per-tunnel 1000; interface-id l2tp-encapsulation-1; lcp-renegotiation; shared-secret "lac1-$ABC123"; ## SECRET-DATA } user-group-profile ce-l2tp-group-profile; } client lac2 { l2tp { maximum-sessions-per-tunnel 4000; interface-id l2tp-encap-2; lcp-renegotiation; shared-secret "lac2-$ABC123"; ## SECRET-DATA } user-group-profile ce-l2tp-group-profile; } } profile aaa-profile { authentication-order radius; radius-server { 198.51.100.193 secret "$ABC123"; ## SECRET-DATA } } address-assignment { pool client-pool1 { family inet { network 192.168.1.1/16; range lns-v4-pool-range { low 192.168.1.1; high 192.168.255.255; } } } pool client-ipv6-pool2 { family inet6 { prefix 2001:DB8::/32; range lns-v6-pool-range { low 2001:DB8:1::/48; high 2001:DB8:ffff::/48; } } } } [edit] user@host# show chassis fpc 5 { pic 0 { inline-services { bandwidth 10g; } } pic 2 { inline-services { bandwidth 10g; } } } [edit] user@host# show interfaces ge-5/0/1 { vlan-tagging;; unit 11 { vlan-id 11; family inet { address 203.0.113.2/24; } } } si-5/0/0 { hierarchical-scheduler maximum-hierarchy-levels 2; encapsulation generic-services; unit 0 { family inet; } } si-5/2/0 { hierarchical-scheduler maximum-hierarchy-levels 2; encapsulation generic-services; unit 0 { family inet; } } lo0 { unit 0 { family inet { address 127.0.0.1/32; } } } [edit] user@host# show dynamic-profiles dyn-lns-profile2 { routing-instances { "$junos-routing-instance" { interface "$junos-interface-name"; routing-options { access { route $junos-framed-route-ip-address-prefix { next-hop "$junos-framed-route-nexthop"; metric "$junos-framed-route-cost"; preference "$junos-framed-route-distance"; } } access-internal { route $junos-subscriber-ip-address { qualified-next-hop "$junos-interface-name"; } } } } } interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { dial-options { l2tp-interface-id l2tp-encapsulation; dedicated; } family inet { filter { input "$junos-input-filter"; output "$junos-output-filter"; } unnumbered-address "$junos-loopback-interface"; } family inet6 { address $junos-ipv6-address; input $junos-input-ipv6-filter; output $junos-output-ipv6-filter; } } } } protocols { router-advertisement { interface "$junos-interface-name" { prefix $junos-ipv6-ndra-prefix; } } } class-of-service { rewrite-rules { dscp rewriteDSCP { forwarding-class expedited-forwarding { loss-priority high code-point af11 loss-priority high code-point af12 } } } traffic-control-profiles { tc-profile { scheduler-map "$junos-cos-scheduler-map"; shaping-rate "$junos-cos-shaping-rate"; overhead-accounting "$junos-cos-shaping-mode" bytes "$junos-cos-byte-adjust"; } } interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { forwarding-class expedited-forwarding; output-traffic-control-profile tc-profile; rewrite-rules { dscp rewriteDSCP; } } } } } } [edit] user@host# show services l2tp tunnel-group tg-dynamic { l2tp-access-profile ce-l2tp-profile; aaa-access-profile aaa-profile; local-gateway { address 203.0.113.2; gateway-name ce-lns; } service-device-pool lns_p1; dynamic-profile dyn-lns-profile2; }
Cuando haya terminado de configurar el dispositivo, ingrese commit
desde el modo de configuración.
Configuración de un grupo de túneles L2TP para sesiones LNS con interfaces de servicios en línea
El grupo de túneles L2TP especifica los atributos que se aplican a los túneles L2TP y a las sesiones de un grupo de clientes LAC. Estos atributos incluyen el perfil de acceso utilizado para validar las solicitudes de conexión L2TP realizadas al LNS en la dirección de la puerta de enlace local, un perfil de acceso local que anula el perfil de acceso global, el temporizador keepalive y si se refleja el valor de ToS IP.
Si elimina un grupo de túneles, todas las sesiones L2TP de ese grupo de túneles finalizarán. Si cambia el valor de las instrucciones, service-device-pool
o , todas service-interface
las local-gateway-address
sesiones L2TP que utilicen esa configuración finalizarán. Si cambia o elimina otras instrucciones en el nivel de jerarquía, los [edit services l2tp tunnel-group name]
túneles nuevos que establezca utilizarán los valores actualizados, pero los túneles y las sesiones existentes no se verán afectados.
Para configurar el grupo de túneles LNS:
Aplicación de servicios a una sesión L2TP sin usar RADIUS
Los servicios se aplican a las sesiones L2TP para su activación o posteriormente modificados por atributos específicos del proveedor (VSA) desde el servidor RADIUS o en solicitudes de cambio de autorización (CoA) de RADIUS. A partir de Junos OS versión 18.1R1, puede aplicar servicios a sesiones L2TP mediante perfiles de servicio dinámicos sin involucrar a RADIUS. En entornos de varios proveedores, los clientes pueden usar solo atributos RADIUS estándar para simplificar la administración al evitar el uso de VSA de varios proveedores. Sin embargo, esto complica la aplicación de servicios a las sesiones L2TP porque generalmente se requiere VSA para aplicar servicios. La activación del perfil de servicio dinámico local le permite evitar ese problema. También puede usar la activación de perfiles de servicio local para proporcionar servicios predeterminados cuando los servidores RADIUS están inactivos.
Puede aplicar servicios a todos los suscriptores de un grupo de túneles o a todos los suscriptores que usen un LAC determinado. Puede configurar un máximo de 12 servicios por grupo de túnel o nombre de host LAC.
Después de configurar uno o más perfiles de servicio dinámicos que definen servicios, aplíquelos en el grupo de túnel o en la configuración del perfil de acceso para un cliente LAC especificando los nombres de perfil de servicio. Puede enumerar más de un perfil para activar, separado por una y comercial (&). También puede especificar parámetros que utilizará el perfil de servicio que podrían anular valores configurados en el propio perfil, como una velocidad de conformación descendente para un servicio CoS.
La lista de servicios configurada localmente (mediante perfiles de servicio) sirve como autorización local que es aplicada por authd durante la activación de la sesión del cliente. Esta lista de servicios está sujeta a la misma validación y procesamiento que los servicios originados por una autoridad externa, como RADIUS. Estos servicios se presentan durante el inicio de sesión del suscriptor.
Puede seguir utilizando solicitudes RADIUS VSA o CoA junto con los perfiles de servicio. Si los servicios se obtienen de una autoridad externa como autorización durante la autenticación o durante el aprovisionamiento de sesión del suscriptor (activación), los servicios de la autoridad externa tienen prioridad estricta sobre los de la configuración local. Si un servicio aplicado con RADIUS es el mismo que un servicio aplicado con un perfil de servicio en la CLI, pero con parámetros diferentes, el servicio RADIUS se aplica con un nuevo ID de sesión y tiene prioridad sobre el perfil de servicio anterior.
Puede emitir comandos para desactivar o reactivar cualquier servicio que haya activado previamente para un grupo de túneles o LAC.
Defina los perfiles de servicio dinámicos que desea aplicar posteriormente a un grupo de túnel o LAC.
Para aplicar perfiles de servicio a todos los suscriptores de un grupo de túneles:
Especifique uno o varios perfiles de servicio y los parámetros que se van a pasar a los servicios.
[edit services l2tp tunnel-group group-name] user@host# set service-profile profile-name(parameter)&profile-name
Para aplicar perfiles de servicio a todos los suscriptores de una ALC en particular:
Especifique uno o varios perfiles de servicio y los parámetros que se van a pasar a los servicios.
[edit access profile profile-name client client-name l2tp] user@host# set service-profile profile-name(parameter)&profile-name
Nota:Cuando se configuran perfiles de servicio para un cliente LAC y para un grupo de túnel que utiliza ese cliente, solo se aplica el perfil de servicio de cliente LAC. Anula la configuración del grupo de túneles. Por ejemplo, en la siguiente configuración, el grupo de túneles, tg-LAC-3, utiliza el cliente LAC-3, por lo que la configuración de LAC3 anula la configuración del grupo de túneles. En consecuencia, solo se activa el servicio cos-A3 para los suscriptores del grupo de túnel, en lugar de Cos2 y fw1. La velocidad de conformación pasada para el servicio es de 24 Mbps.
[edit] user@host# set services l2tp tunnel-group tg-LAC-3 service-profile cos2(31000000)&fw1 user@host# set access profile prof-lac client LAC-3 l2tp service-profile cos-A3(24000000)
Puede desactivar cualquier servicio aplicado a una sesión de suscriptor emitiendo el siguiente comando:
user@host> request network-access aaa subscriber delete session-id subscriber-session-id service-profile profile-name
Puede reactivar cualquier servicio aplicado a una sesión de suscriptor emitiendo el siguiente comando:
user@host> request network-access aaa subscriber add session-id subscriber-session-id service-profile profile-name
Para mostrar las sesiones de servicios de todas las sesiones de suscriptor actuales, use el show subscribers extensive
comando o show network-access aaa subscribers session-id id-number detail
.
Para comprender cómo funciona la aplicación de servicio local, los ejemplos siguientes ilustran las diversas posibilidades de configuración. En primer lugar, considere las siguientes configuraciones de perfiles de servicio dinámicos, cos2 y fw1:
dynamic-profiles { cos2 { variables { shaping-rate default-value 10m; shaping-rate-in default-value 10m; data-in-filter uid; data-in-policer uid; } interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { family inet; } } } class-of-service { traffic-control-profiles { TrafficShaper { scheduler-map a; shaping-rate "$shaping-rate"; } } interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { output-traffic-control-profile TrafficShaper; } } } } } |
dynamic-profiles { fw1 { variables { v6input default-value v6ingress; v6output default-value v6egress; input default-value upstrm-filter; output default-value dwnstrm-filter; } interfaces { "$junos-interface-ifd-name" { unit "$junos-interface-unit" { family inet; } } } } }
La siguiente instrucción aplica ambos servicios a todos los suscriptores del grupo de túnel tg1; se pasa un valor de parámetro de 31 Mbps al servicio cos2:
[edit] user@host# set services l2tp tunnel-group tg1 service-profile cos2(31000000)&fw1
En el perfil de servicio cos2, la velocidad de conformación la proporciona una variable definida por el usuario con un valor predeterminado de 10 m o 1 Mbps. Una vez finalizada la sesión L2TP, cos2 y fw1 se activan con identificadores de sesión de servicio de 34 y 35, respectivamente.
user@host1> show subscribers extensive ... Service Session ID: 34 Service Session Name: cos2 State: Active Family: inet Service Activation time: 2018-02-15 15:44:16 IST Service Session ID: 35 Service Session Name: fw1 State: Active Family: inet Service Activation time: 2018-02-15 15:44:16 IST Dynamic configuration: input: upstrm-filter output: dwnstrm-filter v6input: v6ingress v6output: v6egress
El parámetro pasado a cos2 se utiliza como valor para $shaping-rate; en consecuencia, la velocidad de conformación del servicio se ajusta del valor predeterminado de 10 Mbps a 31 Mbps, como se muestra en la siguiente salida de comando. Aunque el resultado indica que la aplicación de ajuste es RADIUS CoA, el ajuste es una consecuencia del parámetro pasado al perfil de servicio. Esa operación utiliza el mismo marco interno que un CoA y se notifica como tal.
user@host1> show class-of-service interface si-1/0/0.3221225492 Logical interface: si-1/0/0.3221225492, Index: 3221225492 Object Name Type Index Traffic-control-profile subscriber-tcp-2 Output 23571 Scheduler-map a Output 4294967354 Classifier dscp-ipv6-compatibility dscp-ipv6 9 Classifier ipprec-compatibility ip 13 Adjusting application: RADIUS CoA Adjustment type: absolute configured-shaping-rate: 31000000 adjustment-value: 31000000 Adjustment overhead-accounting mode: frame mode Adjustment overhead bytes: 0 Adjustment target: node Adjustment priority: 1
Ahora el servicio cos2 está desactivado de la CLI para la sesión de suscriptor 27.
user@host1> request network-access aaa subscriber delete service-profile cos2 session-id 27 Successful completion
La siguiente salida muestra que cos2 se ha ido, dejando solo fw1 como servicio activo.
user@host1> show subscribers extensive Type: L2TP User Name: user@example.com IP Address: 192.0.2.103 IP Netmask: 255.255.255.255 Logical System: default Routing Instance: default Interface: si-1/0/0.3221225492 Interface type: Dynamic Underlying Interface: si-1/0/0.3221225492 Dynamic Profile Name: dyn-lns-profile State: Active Radius Accounting ID: 27 Session ID: 27 PFE Flow ID: 42 Login Time: 2017-08-30 07:29:39 IST Service Sessions: 1 IP Address Pool: ipv4_pool Accounting interval: 600 Frame/cell mode: Frame Overhead accounting bytes: -38 Calculated downstream data rate: 1000000 kbps Adjusted downstream data rate: 1000000 kbps Service Session ID: 35 Service Session Name: fw1 State: Active Family: inet Service Activation time: 2018-02-15 15:44:16 IST Dynamic configuration: input: upstrm-filter output: dwnstrm-filter v6input: v6ingress v6output: v6egress
El siguiente comando reactiva cos2 para la sesión de suscriptor 27.
user@host1> request network-access aaa subscriber add service-profile cos2 session-id 27 Successful completion
El servicio cos2 reactivado tiene un nuevo ID de sesión de servicio de 36.
user@host1> show subscribers extensive ... Service Session ID: 35 Service Session Name: fw1 State: Active Family: inet Service Activation time: 2018-02-15 15:44:16 IST Dynamic configuration: input: upstrm-filter output: dwnstrm-filter v6input: v6ingress v6output: v6egress Service Session ID: 36 Service Session Name: cos2 State: Active Family: inet Service Activation time: 2018-02-15 15:58:23 IST
El servicio cos2 reactivado utiliza la velocidad de conformación predeterminada, 10 Mbps, del perfil de servicio.
user@host1> show class-of-service interface si-1/0/0.3221225492 Logical interface: si-1/0/0.3221225492, Index: 3221225492 Object Name Type Index Traffic-control-profile subscriber-tcp-2 Output 23571 Scheduler-map a Output 4294967354 Classifier dscp-ipv6-compatibility dscp-ipv6 9 Classifier ipprec-compatibility ip 13 Adjusting application: RADIUS CoA Adjustment type: absolute configured-shaping-rate: 10000000 adjustment-value: 10000000 Adjustment overhead-accounting mode: frame mode Adjustment overhead bytes: 0 Adjustment target: node Adjustment priority: 1
A continuación, se recibe una solicitud de CoA de RADIUS, que incluye el VSA de servicio activo (26-65). El VSA especifica y activa el servicio y especifica un cambio en la velocidad de conformación de cos2 de los 10 Mbps predeterminados a 12 Mbps. La sesión de servicio cos2 36 sigue apareciendo en el resultado, pero es reemplazada por la nueva sesión de servicio iniciada por el CoA, 49.
user@host1> show subscribers extensive ... Service Session ID: 35 Service Session Name: fw1 State: Active Family: inet Service Activation time: 2018-02-15 15:44:16 IST Dynamic configuration: input: upstrm-filter output: dwnstrm-filter v6input: v6ingress v6output: v6egress Service Session ID: 36 Service Session Name: cos2 State: Active Family: inet Service Activation time: 2018-02-15 15:58:23 IST Service Session ID: 49 Service Session Name: cos2 State: Active Family: inet Service Activation time: 2018-02-15 16:25:04 IST Dynamic configuration: shaping-rate: 12000000 shaping-rate-in: 10m
user@host1> show class-of-service interface si-1/0/0.3221225492 Logical interface: si-1/0/0.3221225492, Index: 3221225492 Object Name Type Index Traffic-control-profile subscriber-tcp-2 Output 23571 Scheduler-map a Output 4294967354 Classifier dscp-ipv6-compatibility dscp-ipv6 9 Classifier ipprec-compatibility ip 13 Adjusting application: RADIUS CoA Adjustment type: absolute configured-shaping-rate: 12000000 adjustment-value: 12000000 Adjustment overhead-accounting mode: frame mode Adjustment overhead bytes: 0 Adjustment target: node Adjustment priority: 1
Cuando un servicio es aplicado tanto por la configuración de CLI como por un VSA de RADIUS (26-65), pero con parámetros diferentes, la configuración de RADIUS anula la configuración de CLI. En el ejemplo siguiente, la configuración de CLI aplica el perfil de servicio cos2 con un valor de 31 Mbps para la velocidad de modelación.
[edit] user@host# set services l2tp tunnel-group tg1 service-profile cos2(31000000)
El VSA (26-65) de activación del servicio de mensajes RADIUS Access-Accept aplica cos2 con un valor de 21 Mbps para la velocidad de modelación.
l2tp@l2tp.com User-Password := "bras" Auth-Type = Local, Service-Type = Framed-User, Framed-Protocol = PPP, ERX-Service-Activate:1 += 'cos2(21000000)',
La configuración de la CLI activa la sesión de servicio 22 con una velocidad de conformación de 31 Mbps. El RADIUS VSA activa la sesión de servicio 23 con una velocidad de conformación de 21 Mbps.
user@host1> show subscribers extensive ... Service Session ID: 22 Service Session Name: cos2 State: Active Family: inet Service Activation time: 2018-02-16 08:22:03 IST Dynamic configuration: shaping-rate: 31000000 shaping-rate-in: 10m Service Session ID: 23 Service Session Name: cos2 State: Active Family: inet Service Activation time: 2018-02-16 08:22:03 IST Dynamic configuration: shaping-rate: 21000000 shaping-rate-in: 10m
user@host1> show class-of-service interface si-1/0/0.3221225492 Logical interface: si-1/0/0.3221225492, Index: 3221225492 Object Name Type Index Traffic-control-profile subscriber-tcp-2 Output 23571 Scheduler-map a Output 4294967354 Classifier dscp-ipv6-compatibility dscp-ipv6 9 Classifier ipprec-compatibility ip 13 Adjusting application: RADIUS CoA Adjustment type: absolute configured-shaping-rate: 21000000 adjustment-value: 21000000 Adjustment overhead-accounting mode: frame mode Adjustment overhead bytes: 0 Adjustment target: node Adjustment priority: 1
Configuración de un grupo de interfaces de servicios en línea para sesiones LNS dinámicas
Puede crear un grupo de interfaces de servicio en línea, también conocido como grupo de dispositivos de servicio, para habilitar el equilibrio de carga del tráfico L2TP entre las interfaces. El grupo es compatible con configuraciones LNS dinámicas, donde proporciona un conjunto de interfaces lógicas que se pueden crear dinámicamente y asignar a sesiones L2TP en el LNS. El grupo se asigna a un grupo de túnel LNS. L2TP mantiene el estado de cada interfaz de servicio en línea y utiliza un método round-robin para distribuir uniformemente la carga entre las interfaces disponibles cuando se aceptan nuevas solicitudes de sesión.
El equilibrio de carga solo está disponible para interfaces de suscriptor creadas dinámicamente.
Las sesiones LNS ancladas en un MPC no se ven afectadas por una falla de MIC siempre que exista alguna otra ruta hacia los LAC pares. Si se produce un error en la MPC que aloja la interfaz del mismo nivel y no hay una ruta a las LAC pares, la falla inicia la finalización y la limpieza de todas las sesiones en la MPC.
Si se produce un error en la MPC que ancla las sesiones LNS, el motor de enrutamiento no reubica las sesiones en otra ranura y todas las sesiones se terminan inmediatamente. Pueden surgir nuevas sesiones en otra interfaz disponible cuando el cliente se reinicia.
Para configurar el grupo de dispositivos de servicio:
Configuración de un perfil dinámico para sesiones LNS dinámicas
Puede configurar L2TP para que asigne dinámicamente interfaces de servicio en línea para túneles L2TP. Debe definir uno o varios perfiles dinámicos y asignar un perfil a cada grupo de túneles. El LNS admite sesiones solo IPv4, solo IPv6 y dual-stack IPv4/IPv6.
Para configurar el perfil dinámico L2TP: