Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Tunelamento L2TP LAC para assinantes

Visão geral da seleção de túneis LAC

Quando um usuário faz login em um domínio, o cliente PPP entra em contato com o LAC estabelecendo uma conexão. O LAC precisa encontrar um destino no domínio e um túnel que possa chegar até ele. A associação entre destinos, túneis e domínios é fornecida por um perfil de túnel, seja em um mapa de domínio no perfil de acesso do assinante ou no atributo tunnel-group (VSA 26-64) recebido de um servidor RADIUS. O atributo RADIUS tem precedência sobre um perfil especificado em um mapa de domínio. O perfil do túnel inclui uma lista de túneis; cada túnel está associado a um endereço IP de destino e com um nível de preferência de túnel.

O L2TP permite que você especifique:

  • Até 31 destinos para um domínio.

  • Até oito níveis de preferência por túneis. O nível de preferência determina a ordem em que o LAC tenta usar um túnel existente (ou estabelecer um novo) para um destino no domínio solicitado pelo usuário.

    Nota:

    Zero (0) é o mais alto nível de preferência; este é o nível mais preferido.

    Se dois túneis atingirem destinos válidos em um domínio, o LAC escolhe primeiro o túnel com o nível de preferência mais alto. Por exemplo, quando o Túnel A tem um nível de preferência de 1 e o Túnel B tem um nível de preferência de 4, o LAC tenta usar o Túnel A primeiro.

  • Até 31 destinos para um único nível de preferência.

Quando o LAC determina que uma sessão de PPP deve ser tunelada, ela seleciona um túnel do conjunto de túneis associados ao usuário PPP ou ao domínio do usuário PPP por um perfil de túnel.

A seleção de túneis é afetada pelas seguintes configurações:

  • Failover entre níveis de preferência — Por padrão, quando um túnel para um destino válido não é selecionado dentro de um nível de preferência, o processo de seleção falha para o próximo nível; ou seja, o LAC cai para o próximo nível mais baixo para continuar a busca por um túnel adequado. Veja seleção quando o failover entre os níveis de preferência estiver configurado para obter mais informações.

  • Failover dentro de um nível de preferência — neste caso, o LAC não limita suas tentativas de estabelecer uma sessão a apenas um único túnel em um nível de preferência. Se a tentativa falhar através do túnel selecionado, o processo de seleção falha nesse mesmo nível selecionando outro túnel adequado para um destino válido. O LAC continua suas tentativas de conexão dentro do nível até que não haja mais túneis para um destino válido disponíveis nesse nível. Em seguida, o LAC cai para o próximo nível mais baixo para continuar a pesquisa. Veja a seleção quando o failover dentro de um nível de preferência estiver configurado para obter mais informações.

  • Sessões máximas por túnel — quando o número máximo de sessões permitidas por túnel é configurado, o LAC leva essa configuração em conta durante o processo de seleção do túnel. O número máximo de sessões por túnel pode ser configurado por meio do RADIUS Tunnel-Max-Sessions VSA [26-33] ou por incluir a max-sessions declaração em um perfil de túnel.

    Quando um túnel selecionado aleatoriamente tem uma contagem de sessões atual igual à sua contagem máxima de sessões, o LAC não tenta se conectar a um destino com esse túnel. Em vez disso, ele seleciona um túnel alternativo do conjunto de túneis nesse nível de preferência que tenham destinos válidos no domínio. Se não existirem tais túneis no nível de preferência atual, o LAC cai para o próximo nível de preferência para fazer a seleção. Esse processo é consistente, independentemente do esquema de failover que está sendo executado atualmente no LAC.

    Quando o número máximo de sessões não estiver configurado para um túnel, esse túnel não tem limite superior no número de sessões que pode suportar. Por padrão, o valor máximo das sessões é 0 (zero), o que permite sessões ilimitadas no túnel.

  • Balanceamento ponderado de carga — este método de balanceamento usa uma avaliação baseada em probabilidade do peso do túnel para distribuir sessões em túneis. O LAC ainda seleciona túneis aleatoriamente dentro de um nível de preferência, mas, em média, as sessões são distribuídas por túneis em relação ao peso dos túneis. O peso de um túnel é determinado pelo limite máximo de sessão do túnel e os limites máximos de sessão dos outros túneis no mesmo nível de preferência. Veja balanceamento de carga ponderado para obter mais informações.

  • Balanceamento de carga igual ao destino — este método de balanceamento de sessão avalia túneis de acordo com o número de sessões até o destino e o número de sessões realizadas pelo túnel, a fim de espalhar a carga de sessão igualmente entre todos os túneis. O túnel com destino com a menor contagem de sessões está determinado a ter a carga mais leve. Esse processo opera em túneis no nível de preferência mais alto disponível. Consulte o balanceamento de carga igual ao destino para obter mais informações.

Leve em consideração as seguintes informações para entender o processo de seleção de túnel e destino e o failover:

  • Mais de um túnel pode ser capaz de chegar a um destino, e esses túneis podem ter o mesmo nível de preferência ou níveis de preferência diferentes.

  • O túnel selecionado para estabelecer a sessão de assinantes pode já estar estabelecido. o que significa que ele tem sessões ativas no momento. Alternativamente, o LAC pode ter que estabelecer um novo túnel para o destino se nenhum túnel capaz de chegar ao destino já estiver estabelecido.

  • Um destino válido atende aos seguintes critérios:

    • É acessível por um túnel que não atingiu seu limite máximo de sessão.

    • Ele ainda não foi contatado para a solicitação de login do assinante atual.

    • Pode ser bloqueado ou desbloqueado.

  • Um destino bloqueado é aquele para o qual o tempor de bloqueio de destino está sendo executado. Os destinos bloqueados são colocados em uma lista de bloqueio até que o cronômetro expire ou seja liberado (redefinido para zero). Os destinos da lista não podem ser contatados para estabelecer uma sessão.

  • Um destino desbloqueado é aquele para o qual o temporizador de bloqueio de destino é zero.

  • Quando o LAC descobre destinos válidos que estão bloqueados, ele os coloca na lista DestinationsLockedNotContacted, que é diferente da lista de bloqueio que inclui todos os destinos bloqueados. A lista DestinationsLockedNotContacted inclui apenas destinos bloqueados que o LAC ainda não tentou entrar em contato com o login atual de assinantes em andamento. A lista DestinationsLockedNotContacted não inclui destinos que o LAC bloqueia depois de ter tentado e falhado em estabelecer uma conexão.

  • Você pode usar o clear services l2tp destination lockout comando para limpar manualmente todos os destinos bloqueados ou apenas destinos bloqueados que correspondam ao endereço de gateway local ou remoto especificado. Você pode usar o comando se, por exemplo, quiser limpar um destino específico para que ele tenha prioridade dentro de um nível de preferência.

  • O comportamento de failover que faz parte do processo de seleção de túneis só se aplica quando o destino é inalcançável por um dos seguintes motivos:

    • A LNS não retorna uma mensagem SCCRP em resposta à mensagem SCCRQ do LAC após o número máximo de tentativas de retransmissão.

    • O túnel está estabelecido, mas o LNS não retorna uma mensagem ICRP em resposta ao ICRQ do LAC após o número máximo de tentativas de retransmissão.

  • Esse comportamento de failover não se aplica nas seguintes circunstâncias:

    • O cliente encerra a conexão.

    • O túnel está estabelecido, mas a LNS envia uma mensagem cdn enquanto o LAC está tentando estabelecer a sessão com a LNS, resultando na falha da tentativa de login do assinante.

Seleção quando o failover entre os níveis de preferência estiver configurado

Quando um usuário tenta fazer login em um domínio em uma configuração padrão — ou seja, quando o failover dentro de um nível de preferência e balanceamento de carga não está configurado — o LAC busca destinos válidos para o domínio solicitado, começando no nível mais alto de preferência do túnel. Se nenhum destino válido for encontrado ou a tentativa de conexão a um destino falhar, o LAC cai para o próximo nível inferior para continuar a busca. O processo de pesquisa é o mesmo para todos os níveis, exceto para os mais baixos:

  1. A pesquisa começa identificando túneis com destinos válidos no nível de preferência de todos os túneis especificados no perfil do túnel do domínio.

  2. Todos os destinos bloqueados e válidos são colocados na lista DestinationsLockedNotContacted. Nenhuma tentativa é feita para entrar em contato com nenhum desses destinos.

  3. Dentre os destinos desbloqueados e válidos, o LAC seleciona um aleatoriamente e tenta se conectar através do túnel associado; se o túnel não tiver sessões atuais, o LAC deve estabelecer o túnel.

    Nota:

    Seleção aleatória é o comportamento padrão. O comportamento é diferente quando o balanceamento ponderado de carga ou o balanceamento de carga igual ao destino são configurados. Veja seleção ao distribuir a carga de sessão em vários LNSs para obter informações sobre balanceamento de carga.

    • Se a tentativa for bem sucedida, o LAC informa o login bem-sucedido ao cliente PPP. O LAC também libera todos os destinos da lista DestinationsLockedNotContacted.

    • Se o LAC não receber resposta, ele tenta novamente a tentativa até o número máximo de tentativas. Se o LAC esgotar as retries sem receber uma resposta, a tentativa é considerada mal sucedida e o LAC marca o destino como inalcançável ao bloquear o destino. Ele coloca o destino na lista de bloqueio e inicia o tempor de bloqueio de destino.

  4. O que o LAC faz a seguir depende do nível de preferência atual.

    • Se não for o nível de preferência mais baixo, o LAC cai para o próximo nível de preferência mais baixo e continua o processo de pesquisa.

    • Se for o nível de preferência mais baixo e a lista DestinationsLockedNotContacted não estiver vazia, o LAC desbloqueia todos os destinos da lista DestinationsLockedNotContacted e salta de volta para o nível mais alto de preferência e reinicia o processo de pesquisa.

    • Se for o nível de preferência mais baixo e a lista DestinationsLockedNotContacted estiver vazia — o que significa que todos os destinos válidos foram tentados — o LAC informa um login fracassado no cliente PPP.

  5. Quando os destinos válidos em um nível estão todos bloqueados, o que o LAC faz a seguir depende do nível de preferência atual.

    • Se não for o nível de preferência mais baixo, o LAC cai para o próximo nível de preferência mais baixo e continua o processo de pesquisa.

    • Se for o nível de preferência mais baixo, o LAC seleciona o destino bloqueado e válido com o menor tempo de bloqueio restante. Ele libera o temporizante de bloqueio e tenta se conectar ao destino e estabelecer uma sessão.

      • Se a tentativa for bem sucedida, o LAC informa o login bem-sucedido ao cliente PPP.

      • Se a tentativa falhar e a lista DestinationsLockedNotContacted estiver vazia — o que significa que todos os destinos válidos foram tentados — o LAC informa um login fracassado no cliente PPP.

      • Se a tentativa falhar e a lista DestinationsLockedNotContacted não estiver vazia, o LAC desbloqueará todos os destinos da lista DestinationsLockedNotContacted, subirá para o nível mais alto de preferência e reiniciará o processo de pesquisa.

  6. Quando não há destinos válidos, o que o LAC faz a seguir depende do nível de preferência atual.

    • Se não for o nível de preferência mais baixo, o LAC cai para o próximo nível de preferência mais baixo e continua o processo de pesquisa.

    • Se for o nível de preferência mais baixo e a lista DestinationsLockedNotContacted estiver vazia — o que significa que todos os destinos válidos foram tentados — o LAC informa um login fracassado no cliente PPP.

    • Se for o nível de preferência mais baixo e a lista DestinationsLockedNotContacted não estiver vazia, então o LAC desbloqueia todos os destinos da lista DestinationsLockedNotContacted, salta de volta para o nível mais alto de preferência e reinicia o processo.

  7. O processo de pesquisa e failover passa pelos níveis até que uma sessão seja estabelecida ou todos os destinos válidos tenham sido tentados — nenhum destino permanece na lista DestinationsLockedNotContacted — e o login falha.

A Figura 1 ilustra as possíveis condições e pontos de decisão que determinam a seleção de um destino e o túnel correspondente para o caso padrão, onde ocorre falha entre os níveis de preferência do túnel.

Figura 1: Processo de seleção de destino e túnel com failover entre os níveis Destination and Tunnel Selection Process with Failover Between Preference Levels de preferência

Por exemplo, suponha que o perfil do túnel inclua os seguintes túneis, cada um com um destino válido:

  • Preferência 0, Túnel 1, 192.168.10.10

  • Preferência 1, Túnel 2, 192.168.22.22

  • Preferência 1, Túnel 3, 192.168.33.33

  • Preferência 2, Túnel 4, 192.168.44.44

O failover dentro da preferência e do balanceamento de carga não estão configurados.

Quando um usuário de PPP tenta se conectar ao domínio, o LAC age da seguinte forma:

  1. No nível de preferência mais alto, 0, o LAC seleciona o Túnel 1 porque é o único túnel no nível com um destino válido. O LAC tenta chegar a 192.168.10.10.

  2. Essa tentativa de conexão falha, de modo que o LAC bloqueia 192.168.10.10. Ele não é considerado novamente durante esta tentativa de login, e não pode ser considerado para qualquer tentativa de login até que o temporizante de bloqueio de destino expira.

  3. O LAC cai (falha) para o próximo nível, nível de preferência 1, para chegar a um destino para o domínio. O LAC seleciona aleatoriamente entre 192.168.22.22 até o Túnel 2 e 192.168.33.33 até o Túnel 3. Ele seleciona 192.168.22.22 e tenta se conectar através do Túnel 2.

  4. A tentativa de conexão a 192.168.22.22.22 falha, de modo que o LAC bloqueia 192.168.22.22. Ele não é considerado novamente durante esta tentativa de login, e não pode ser considerado para qualquer tentativa de login até que o temporizante de bloqueio de destino expira.

    Nota:

    Embora o Túnel 3 tenha um destino desbloqueado e válido, o LAC não pode agora selecionar esse túnel para chegar a 192.168.33.33, porque o LAC pode fazer apenas uma tentativa de chegar a um destino válido cada vez que pesquisa em um nível quando o método de failover está entre os níveis de preferência.

  5. O LAC cai para o nível final (mais baixo) neste exemplo, nível de preferência 2. O LAC seleciona o Túnel 4 porque é o único túnel no nível com um destino válido. O LAC tenta chegar a 192.168.44.44.

  6. A tentativa de conexão a 192.168.44.44 também falha, de modo que o LAC bloqueia 192.168.44.44. Ele não é considerado novamente durante esta tentativa de login, e não pode ser considerado para qualquer tentativa de login até que o temporizante de bloqueio de destino expira.

  7. Como este é o nível mais baixo, e a lista DestinationsLockedNotContacted está vazia, o LAC rejeita a solicitação de login do cliente PPP.

    Os destinos 192.168.10.10, 192.168.22.22 e 192.168.44.44 foram bloqueados, mas não foram adicionados à lista DestinationsLockedNotContacted porque o LAC os bloqueou depois de tentar se conectar. O destino 192.168.33.33 não foi contatado, mas não foi adicionado à lista DestinationsLockedNotContacted porque não está bloqueado.

  8. O cliente tenta fazer login novamente e o LAC repete o processo de seleção de túneis, iniciando no nível de preferência 0 para verificar se há um destino desbloqueado e válido e passando pelos níveis conforme necessário.

  9. No nível de preferência 0, 192.168.10.10 é o único destino válido e ainda está bloqueado, de modo que o LAC não pode tentar se conectar ao destino. O LAC adiciona 192.168.10.10 à lista DestinationsLockedNotContacted e depois cai para o nível de preferência 1.

    Nota:

    Lembre-se que o temporizante de bloqueio de destino se aplica globalmente, de modo que ele persiste em vários logins de assinantes. A lista DestinationsLockedNotContacted se aplica apenas a um determinado login de assinante e não persiste. Embora o LAC tenha contatado o 192.168.10.10 para este assinante, foi durante uma tentativa de login anterior. Nesta tentativa de login, ele não pode entrar em contato com o destino por causa do bloqueio e, consequentemente, coloca o destino na lista DestinationsLockedNotActed.

  10. No nível de preferência 1, 192.168.22.22 ainda está bloqueado, então o LAC adiciona 192.168.22.22 à lista DestinationsLockedNotContacted. 192.168.33.33 ainda está disponível. O LAC tenta se conectar a 192.168.33.33 através do Túnel 3.

  11. Essa tentativa de conexão falha e o LAC bloqueia 192.168.33.33. Ele não é considerado novamente durante esta tentativa de login, e não pode ser considerado para qualquer tentativa de login até que o temporizante de bloqueio de destino expira. O LAC cai para o nível de preferência 2.

  12. 192.168.44.44 ainda está bloqueado, então o LAC adiciona 192.168.44.44 à lista DestinationsLockedNotContacted.

  13. Este é o nível de preferência mais baixo, mas desta vez a lista DestinationsLockedNotContacted não está vazia; contém 192.168.10.10, 192.168.22.22 e 192.168.44,44. O LAC desbloqueia todos os destinos da lista DestinationsLockedNotContacted e depois volta ao nível mais alto de preferência.

  14. No nível de preferência 0, o LAC tenta se conectar a 192.168.10.10 porque foi desbloqueado. O LAC estabelece a sessão e relata o login bem-sucedido ao cliente PPP.

Embora o LAC não tente entrar em contato com um destino bloqueado, há um caso especial quando o LAC atingiu o nível mais baixo de preferência. O nível deve ter mais de um destino válido e todos eles devem ser bloqueados. Por exemplo, suponha que o perfil do túnel inclua os seguintes túneis, cada um com um destino válido:

  • Preferência 0, Túnel 1, 192.168.10.10

  • Preferência 1, Túnel 2, 192.168.22.22. O destino está bloqueado com o tempor de bloqueio atualmente em 245 segundos.

  • Preferência 1, Túnel 3, 192.168.33.33. O destino está bloqueado com o temporizante de bloqueio atualmente em 180 segundos.

O failover dentro da preferência e do balanceamento de carga não estão configurados.

Quando um usuário de PPP tenta se conectar ao domínio, o LAC age da seguinte forma:

  1. No nível de preferência mais alto, 0, o LAC seleciona o Túnel 1 porque é o único túnel no nível com um destino válido. O LAC tenta chegar a 192.168.10.10.

  2. Essa tentativa de conexão falha, de modo que o LAC bloqueia 192.168.10.10. Ele não é considerado novamente durante esta tentativa de login, e não pode ser considerado para qualquer tentativa de login até que o temporizante de bloqueio de destino expira.

  3. O LAC cai para o próximo nível, nível de preferência 1, para chegar a um destino para o domínio. Ambos os destinos válidos neste nível, 192.168.22.22 e 192.168.33.33, estão bloqueados.

  4. O LAC adiciona ambos os destinos à lista DestinationsLockedNotContacted.

  5. Como este é o nível de preferência mais baixo, o LAC determina qual destino tem um tempo de bloqueio restante mais curto. Ele seleciona 192.168.33.33 porque tem um tempo de bloqueio restante mais curto (180 segundos) do que 192.168.22.22 (245 segundos). O LAC desbloqueia 192.168.33.33 e tenta se conectar através do Túnel 3. Como conseqüência, o LAC também remove 192.168.33.33 da lista DestinationsLockedNotContacted.

  6. A tentativa de conexão é bem sucedida e uma sessão está estabelecida para 192.168.33.33. O LAC relata um login bem-sucedido ao cliente PPP.

Seleção quando o failover dentro de um nível de preferência estiver configurado

Quando você configura o failover dentro de um nível de preferência, o processo de seleção de destino e túnel é o mesmo que para a configuração padrão, com uma exceção: o LAC não se limita a apenas uma tentativa de conexão em um nível de preferência.

Quando o LAC tenta se conectar a um destino desbloqueado e válido e não tem sucesso, ele bloqueia esse destino, mas não cai imediatamente para o próximo nível mais baixo. Em vez disso, se outro destino desbloqueado e válido estiver disponível no mesmo nível de preferência, o LAC tenta se conectar a esse destino.

Se o LAC não se conectar, então ele continua a tentar chegar a um destino dentro desse nível de preferência até que não seja mais desbloqueado, destinos válidos continuam a ser tentados. Nesse ponto, o LAC cai para pesquisar no próximo nível de preferência mais baixo. Em cada nível, o LAC procura e tenta se conectar a um destino válido até que nenhum destino desbloqueado e válido esteja disponível.

Se o LAC cair para o nível de preferência mais baixo e não encontrar destinos desbloqueados e válidos, o comportamento depende da lista DestinationsLockedNotContacted:

  • Se a lista DestinationsLockedNotContacted não estiver vazia, o LAC libera todos os destinos da lista DestinationsLockedNotContacted e salta de volta para o nível de preferência mais alto e reinicia o processo de pesquisa.

  • Se o DestinationsLockedNottacted estiver vazio — o que significa que todos os destinos válidos foram tentados — então o LAC relata uma falha no login do cliente PPP.

Por exemplo, suponha que o perfil do túnel especifique os seguintes túneis e destinos. O balanceamento de carga não está configurado. Todos os destinos são válidos; todos estão desbloqueados, exceto 192.168.3.3. Os níveis de preferência para os túneis são atribuídos da seguinte forma:

  • Preferência 0, Túnel 1, 192.168.1.1, desbloqueado

  • Preferência 0, Túnel 2, 192.168.2.2, desbloqueado

  • Preferência 0, Túnel 3, 192.168.3.3, temporizante de bloqueio 100 segundos

  • Preferência 1, Túnel 4, 192.168.4.4, desbloqueado

  • Preferência 1, Túnel 5, 192.168.5.5, desbloqueado

Neste exemplo, quando um usuário de PPP tenta se conectar ao domínio, o LAC age da seguinte forma:

  1. O LAC seleciona aleatoriamente entre os dois destinos desbloqueados e válidos no nível de preferência 0, 192.168.1.1 através do Túnel 1 e 192.168.2.2 até o Túnel 2. Ele escolhe 192.168.2.2 e tenta se conectar através do Túnel 2.

  2. A tentativa de conexão a 192.168.2.2.2 falha, de modo que o LAC bloqueia 192.168.2.2. Ele não é considerado novamente durante esta tentativa de login, e não pode ser considerado para qualquer tentativa de login até que o temporizante de bloqueio de destino expira.

  3. O LAC tenta então conectar-se a 192.168.1.1 através do Túnel 1 no nível de preferência 0.

  4. A tentativa de conexão a 192.168.1.1.1 falha, de modo que o LAC bloqueia 192.168.1.1. Ele não é considerado novamente durante esta tentativa de login, e não pode ser considerado para qualquer tentativa de login até que o temporizante de bloqueio de destino expira.

  5. 192.168.3.3 até o Túnel 3 é o único destino válido remanescente no nível de preferência 0, mas está bloqueado. O LAC adiciona 192.168.3.3 à lista DestinationsLockedNotContacted. O LAC não adicionou 192.168.1.1 e 192.168.2.2 à lista DestinationsLockedNotContacted, porque os bloqueou depois de tentar contatá-los.

  6. Como o nível 0 não tem destinos mais desbloqueados e válidos, o LAC cai para o próximo nível, nível de preferência 1, para chegar a um destino para o domínio.

  7. No nível de preferência 1, o LAC seleciona aleatoriamente 192.168.4.4 e tenta se conectar através do Túnel 4.

  8. A tentativa de conexão a 192.168.4.4.4 falha, de modo que o LAC bloqueia 192.168.4.4. Ele não é considerado novamente durante esta tentativa de login, e não pode ser considerado para qualquer tentativa de login até que o temporizante de bloqueio de destino expira.

  9. O LAC tenta então conectar-se ao 192.168.5.5 através do Túnel 5 no nível de preferência 1.

  10. A tentativa de conexão a 192.168.5.5.5 falha, de modo que o LAC bloqueia 192.168.5.5. Ele não é considerado novamente durante esta tentativa de login, e não pode ser considerado para qualquer tentativa de login até que o temporizante de bloqueio de destino expira. O nível 1 não tem destinos mais desbloqueados e válidos. Como a lista DestinationsLockedNotContacted não está vazia, o LAC desbloqueia todos os destinos da lista — neste caso, 192.168.3.3 — e salta de volta para o nível de preferência mais alto, 0.

  11. 192.168.3.3 é agora o único destino desbloqueado no nível de preferência 0, de modo que o LAC tenta se conectar a ele através do Túnel 3.

  12. A tentativa de conexão a 192.168.3.3 falha, de modo que o LAC bloqueia 192.168.3.3. Ele não é considerado novamente durante esta tentativa de login, e não pode ser considerado para qualquer tentativa de login até que o temporizante de bloqueio de destino expira.

  13. Como o nível 0 não tem destinos mais desbloqueados e válidos, o LAC cai para o próximo nível, nível de preferência 1.

  14. O nível 1 de preferência não tem destinos desbloqueados e válidos. O DestinationsLockedNotActed está vazio porque o LAC entrou em contato com todos os destinos válidos em ambos os níveis de preferência. O LAC rejeita a solicitação de login do cliente PPP.

Seleção ao distribuir a carga de sessão em vários LNSs

Vários perfis de túneis podem ser configurados no LAC; alguns túneis podem compartilhar destinos. Quando o LAC faz o tunelamento da sessão para um assinante PPP da LNS, um túnel precisa ser selecionado para a sessão de assinantes. O processo de seleção de túneis escolhe um túnel com a mais alta preferência que tem um destino acessível. Por padrão, o LAC seleciona um túnel aleatoriamente entre vários túneis que atendem aos mesmos critérios. Como alternativa, você pode configurar o balanceamento de carga para permitir diferentes opções de seleção. Ambos os métodos de balanceamento de carga afetam quais túneis e destinos o LAC seleciona, mas o processo de seleção e failover de outra forma permanece o mesmo.

Nota:

O balanceamento ponderado de carga e o balanceamento de carga igual ao destino são mutuamente exclusivos. Você só pode habilitar um ou outro.

Balanceamento ponderado de carga

O balanceamento ponderado de carga avalia túneis de acordo com seu peso. O peso de um túnel é determinado pelo limite máximo de sessão do túnel e os limites máximos de sessão dos outros túneis no mesmo nível de preferência. O túnel com o limite máximo de sessão mais alto tem o maior peso nesse nível de preferência. O túnel com o próximo limite máximo de sessão tem o próximo maior peso, e assim por diante. O túnel com o menor limite máximo de sessão tem o menor peso.

Nota:

A seleção de túneis e a distribuição de sessão são baseadas em probabilidades; a carga não é estritamente distribuída de acordo com o peso.

Quando você configura o balanceamento ponderado de carga, o LAC ainda seleciona túneis aleatoriamente dentro de um nível de preferência, mas, em média, as sessões são distribuídas por túneis em relação ao peso dos túneis.

Com balanceamento ponderado de carga, o LAC gera um número aleatório em uma faixa igual ao total agregado de todos os limites de sessão para todos os túneis no nível de preferência. Ele associa parte da gama — um pool de números — a cada túnel proporcional ao peso do túnel. Um túnel com maior peso está associado a uma maior parte da gama — uma piscina maior — do que um túnel com um peso menor. Um túnel é selecionado quando o número aleatório está em seu pool de números associado. O número aleatório é mais provável, em média, estar em uma piscina maior, de modo que um túnel com um peso maior (piscina maior) é mais provável de ser selecionado do que um túnel com um peso menor (piscina menor).

Por exemplo, considere um nível de preferência que tenha apenas dois túneis, 1 e 2. O Túnel 1 tem um limite máximo de 1000 sessões e o Túnel 2 tem um limite de 2000 sessões, resultando em um total agregado de 3000 sessões. O LAC gera um número aleatório de um pool de 3000 na faixa de 0 a 2999. Um pool de 1000 números, a parte da faixa de 0 a 999, está associada ao Túnel 1. Um pool de 2000 números, a parte da faixa de 1000 a 2999, está associada ao Túnel 2.

  • Quando o número gerado é inferior a 1000, então o Túnel 1 é selecionado, embora tenha um peso menor (1000) do que o Túnel 2 (2000).

  • Quando o número gerado é 1000 ou maior, então o Túnel 2 é selecionado.

Como o pool de possíveis números gerados para o Túnel 2 (2000) é o dobro do que para o Túnel 1 (1000), o Túnel 2, em média, é selecionado duas vezes mais vezes que o Túnel 1.

Balanceamento de carga igual ao destino

O balanceamento de carga igual ao destino avalia túneis de acordo com o número de sessões para o destino e o número de sessões realizadas pelo túnel, a fim de espalhar a carga de sessão igualmente entre todos os túneis. O túnel com destino com a menor contagem de sessões é considerado com a carga mais leve. Esse processo opera em túneis no nível de preferência mais alto disponível e usa as seguintes diretrizes:

  • Quando cada túnel vai para um destino separado e apenas um destino tem a menor contagem de sessões entre todos os destinos, o LAC seleciona o túnel para esse destino.

  • Quando cada túnel vai para um destino separado e mais de um destino tem a mesma menor contagem de sessões, o LAC seleciona um túnel aleatoriamente entre os túneis para esses destinos.

  • Quando mais de um túnel vai para o mesmo destino e esse destino tem a menor contagem de sessões de destino, o LAC seleciona entre esses túneis o que tem o menor número total de sessões de túneis. Se a contagem de sessões de túnel for a mesma para todos esses túneis, então o LAC seleciona um deles aleatoriamente.

Considere os cenários a seguir para entender melhor o comportamento de seleção de túneis quando o balanceamento de carga igual ao destino for habilitado.

No Cenário 1, cada túnel tem um destino válido diferente e apenas a contagem de sessões de destino é avaliada:

  • Túnel 1, nível de preferência 1, 192.168.1.1, contagem de sessões de destino = 200

  • Túnel 2, nível de preferência 1, 192.168,2,2, contagem de sessões de destino = 50

  • Túnel 3, nível de preferência 1, 192.168,3,3, contagem de sessões de destino = 300

  • Túnel 4, nível de preferência 1, 192.168,4,4, contagem de sessões de destino = 100

Quando o primeiro usuário de PPP tenta se conectar ao domínio, o LAC seleciona o Túnel 2, porque está no nível de preferência mais alto, 1, e tem o destino válido, B, com a menor contagem de sessões, 50.

Quando outros usuários de PPP tentam se conectar ao domínio, o LAC age da seguinte forma:

  1. O túnel 2 continua a ser selecionado até que a contagem de sessões de 192.168.2.2 seja igual a 100, igualando a próxima menor contagem de sessões, 192.168.4.4's no Túnel 4.

  2. Quando o próximo assinante faz login, o LAC seleciona aleatoriamente entre o Túnel 2 e o Túnel 4, porque seus destinos têm a mesma contagem de sessões, e é menor do que para os outros destinos.

  3. Seja qual for o túnel selecionado deste par, a contagem de sessões para seu destino agora é 101. O outro túnel é selecionado quando o próximo assinante faz login, porque tem a menor contagem de sessões de destino de 100. Isso eleva sua contagem de sessões de destino para 101, combinando com o outro túnel.

  4. À medida que os assinantes continuam fazendo login, o LAC repete esse processo, selecionando aleatoriamente entre o Túnel 2 e o Túnel 4 quando sua sessão conta correspondência e, em seguida, selecionando o outro túnel com o próximo assinante, até que sua sessão de destino conte ambos chegar a 200, igualando o Túnel 1.

  5. Quando o próximo assinante faz login, o LAC agora seleciona aleatoriamente entre o Túnel 1, o Túnel 2 e o Túnel 4, porque 192.168.1.1, 192.168.2.2, 192.168.3.3 têm a mesma contagem de sessões de 200. A contagem de sessões de destino é elevada para o túnel selecionado para 201, de modo que para o próximo assinante, o LAC seleciona aleatoriamente entre os outros dois túneis. Agora, dois túneis têm uma contagem de sessões de destino de 201, então o LAC seleciona o túnel restante para o próximo assinante.

  6. À medida que os assinantes continuam a fazer login, o LAC repete esse processo, selecionando aleatoriamente entre o Túnel 1, o Túnel 2 e o Túnel 4 quando a contagem de sessão é compatível, selecionando aleatoriamente entre o par restante para o próximo assinante e, em seguida, selecionando o túnel restante, de modo que a sessão de destino conta para esses três túneis corresponder novamente. Esse padrão continua até que a contagem de sessões de destino para os três túneis atinja 300, igualando o Túnel 3.

  7. Agora, os destinos dos quatro túneis têm a mesma contagem de sessões. Como há apenas quatro túneis, o padrão final é estabelecido. O LAC primeiro seleciona aleatoriamente entre todos os quatro túneis, depois os três restantes, depois o par restante, e finalmente seleciona o último túnel. Quando a contagem de sessões de destino é toda a mesma, o LAC inicia esse padrão novamente.

No Cenário 2, dois túneis compartilham o mesmo destino válido. A contagem de sessões de túnel e a contagem de sessões de destino são avaliados:

  • Túnel 1, nível de preferência 1, contagem de sessões de túnel = 120, 192.168,1,1, contagem de sessões de destino = 200

  • Túnel 2, nível de preferência 1, contagem de sessões de túnel = 80, 192.168,1,1, contagem de sessões de destino = 200

  • Túnel 3, nível de preferência 1, 192.168,2,2, contagem de sessões de destino = 300

  • Túnel 4, nível de preferência 2, 192.168,3,3, contagem de sessões de destino = 100

Quando o primeiro usuário de PPP tenta se conectar ao domínio, o LAC escolhe primeiro entre os destinos. Os túneis para 192.168.1.1 e 192.168.2.2 estão no nível de preferência 1. O LAC seleciona 192.168.1.1.1, porque tem uma contagem de sessões menor (200) do que 192.168.2.2 (300). O LAC então tem que escolher entre o Túnel 1 e o Túnel 2 porque ambos vão para 192.168.1.1. O LAC avalia a contagem de sessões de túnel. O túnel 2 tem uma contagem menor (80) do que o Túnel 1 (120), de modo que o LAC seleciona o Túnel 2 para o primeiro assinante.

Quando outros usuários de PPP tentam se conectar ao domínio, o LAC age da seguinte forma:

  1. O túnel 2 continua a ser selecionado até que sua contagem de sessões de túnel aumente para 120, igualando o Túnel 1.

  2. Quando o próximo assinante faz login, o LAC seleciona aleatoriamente entre o Túnel 1 e o Túnel 2, porque eles têm a mesma contagem de sessões de túnel. A contagem de sessões de túnel do túnel selecionado é elevada para 121.

  3. Quando o próximo assinante faz login, o LAC seleciona o outro túnel para 192.168.1.1, porque tem uma contagem menor de sessões de túnel. A partir deste ponto, o LAC continua a se alternar, primeiro fazendo uma seleção aleatória entre os túneis 1 e 2 e depois selecionando o outro túnel, até que a contagem de sessões de destino suba para 300, igualando a contagem de sessões para 192.168.2.2 no Túnel 3. (Neste ponto, a contagem de sessões de túnel é de 150 tanto para o Túnel 1 quanto para o Túnel 2.)

  4. Para o próximo assinante, o LAC seleciona aleatoriamente entre os túneis 1, 2 e 3.

    • Se o LAC selecionar o Túnel 1 ou o Túnel 2, a contagem de sessões de 192.168.1.1 sobe para 301. Consequentemente, o LAC seleciona o Túnel 3 para o próximo assinante porque a contagem de sessões de 192.168.2.2 ainda é de 300. Neste ponto, ambos os destinos têm a mesma contagem de sessões novamente.

    • Se o LAC selecionar o Túnel 3, a contagem de sessões de 192.168.2.2 sobe para 301. Para o próximo assinante, o LAC seleciona aleatoriamente entre o Túnel 1 e o Túnel 2 porque ambos vão para 192.168.1.1. Seja qual for a seleção do LAC, a contagem de sessões de 192.168.1.1 sobe para 301. Neste ponto, ambos os destinos têm a mesma contagem de sessões novamente.

      Nota:

      A contagem de sessões de túnel para túneis 1 e 2 não é mais avaliada; o LAC considera apenas a contagem de sessões de destino para 192.168.1.1 e 192.168,2.2.

      Esse padrão continua para todos os assinantes subsequentes.

No Cenário 3, cada túnel tem um destino válido diferente e apenas a contagem de sessões de destino é avaliada:

  • Túnel 1, nível de preferência 1, 192.168.1.1, contagem de sessões de destino = 100

  • Túnel 2, nível de preferência 1, 192.168,2,2, contagem de sessões de destino = 100

  • Túnel 3, nível de preferência 1, 192.168,3,3, contagem de sessões de destino = 100

  • Túnel 4, nível de preferência 1, 192.168,4,4, contagem de sessões de destino = 100

Quando o primeiro usuário de PPP tenta se conectar ao domínio, o LAC determina que a contagem de sessões de destino é a mesma para todos os destinos para todos os quatro túneis no nível de preferência. Consequentemente, o LAC é selecionado aleatoriamente entre os quatro túneis.

Suponha que o LAC selecione o Túnel 1 para o primeiro assinante.

Quando outros usuários de PPP tentam se conectar ao domínio, o LAC age da seguinte forma:

  1. O LAC é selecionado aleatoriamente entre os túneis 2, 3 e 4, porque os Destinos 192.168.2.2, 192.168.3.3 e 192.168.4.4 têm a mesma contagem de sessões, 100, que é menor do que a contagem de sessão atual para 192.168,1,1, 101.

  2. Suponha que o LAC selecione o Túnel 2. Para o próximo assinante, o LAC seleciona aleatoriamente entre os túneis 3 e 4, porque 192.168.3.3 e 192.168.4.4 têm a mesma contagem de sessões, 100, que é menor do que a contagem de sessão atual de 101 para 192.168,1,1 e 192.168,2.2.

  3. Suponha que o LAC selecione o Túnel 3. Para o próximo assinante, o LAC seleciona o Túnel 4, porque 192.168.4.4 tem uma contagem de sessões de 100, e todos os outros destinos têm uma contagem de 101.

  4. Agora, os destinos dos quatro túneis têm a mesma contagem de sessões. Como há apenas quatro túneis, o padrão final é estabelecido. À medida que os assinantes continuam fazendo login, o LAC seleciona aleatoriamente entre todos os quatro túneis, depois os três restantes, depois o par restante e, finalmente, seleciona o último túnel. Quando a contagem de sessões de destino é toda a mesma, o LAC inicia esse padrão novamente.

No Cenário 4, o LAC avalia os limites de sessão de destino e os limites máximos de sessão do túnel:

  • Túnel 1, nível de preferência 1, 192.168.1.1, contagem de sessões de destino = 30, limite máximo de sessão do túnel = 200

  • Túnel 2, nível de preferência 1, 192.168.2.2, contagem de sessões de destino = 40, limite máximo de sessão do túnel = 200

  • Túnel 3, nível de preferência 1, 192.168.3.3, contagem de sessões de destino = 300, limite máximo de sessão do túnel = 1000

  • Túnel 4, nível de preferência 2, 192.168,4,4, contagem de sessões de destino = 100

Quando o primeiro usuário de PPP tenta se conectar ao domínio, o LAC seleciona o Túnel 1, porque 192.168.1.1.1 tem a menor contagem de sessões no nível de preferência.

Quando outros usuários de PPP tentam se conectar ao domínio, o LAC age da seguinte forma:

  1. O LAC continua a selecionar o Túnel 1 até a contagem de sessões de destino para 192.168.1.1 igual a 40, igualando a contagem para 192.168.2.2 no Túnel 2.

  2. Quando o próximo assinante faz login, o LAC seleciona aleatoriamente entre o Túnel 1 e o Túnel 2, porque seus destinos têm a mesma contagem de sessões, e é menor do que o do Túnel 3 (300).

  3. Seja qual for o túnel selecionado deste par, a contagem de sessões para seu destino agora é de 41. O outro túnel é selecionado quando o próximo assinante faz login, pois tem a menor contagem de sessões de destino de 40. Isso eleva sua contagem de sessões de destino para 41, combinando com o outro túnel.

  4. À medida que os assinantes continuam fazendo login, o LAC repete esse processo, selecionando aleatoriamente entre o Túnel 1 e o Túnel 2 quando a contagem de sessões corresponder e, em seguida, selecionando o outro túnel com o próximo assinante, até que sua sessão de destino conte ambos cheguem a 200, igualando o limite máximo de sessão de seu túnel de 200. Como ambos os túneis atingiram o limite máximo de sessão, eles não estão disponíveis para seleção.

  5. À medida que os assinantes continuam fazendo login, o LAC seleciona o túnel restante no nível de preferência, Túnel 3, até que a contagem de sessões para seu destino atinja o limite máximo de sessão para o túnel, 1000.

  6. Quando o próximo assinante faz login, o LAC cai para o próximo nível de preferência e seleciona o Túnel 4, porque é o único túnel neste nível.

  7. À medida que os assinantes continuam a fazer login, o LAC continua a selecionar o Túnel 4, porque nenhum limite máximo de sessão está configurado para este túnel. O LAC pode posteriormente selecionar um túnel no nível de preferência mais alto apenas quando uma sessão é terminada para um dos túneis nesse nível, deixando sua contagem de sessões abaixo do limite máximo.

No Cenário 5, um dos destinos está bloqueado:

  • Túnel 1, nível de preferência 1, 192.168.1.1, contagem de sessões de destino = 100, destino bloqueado

  • Túnel 2, nível de preferência 1, 192.168,2,2, contagem de sessões de destino = 200

  • Túnel 3, nível de preferência 1, 192.168,3,3, contagem de sessões de destino = 250

Quando o primeiro usuário de PPP tenta se conectar ao domínio, o LAC não pode selecionar o Túnel 1, embora seu destino tenha a menor contagem de sessões, porque o túnel está no estado de bloqueio de destino. O túnel 1 não pode ser considerado até que esteja fora do estado bloqueado. O LAC seleciona o Túnel 2 porque a contagem de sessões para 192.168.2.2 é menor do que para 192.168,3.

Quando usuários de PPP adicionais tentam se conectar ao domínio, o que acontece a seguir depende de quando 192.168.1.1 emerge do estado de bloqueio. Enquanto 192.168.1.1.1 estiver bloqueado, o LAC faz as seleções da seguinte forma:

  1. O LAC continua a selecionar o Túnel 2 até a contagem de sessões para 192.168.2.2 igual a 250, igualando a contagem para 192.168.3.3 no Túnel 3.

  2. Quando o próximo assinante faz login, o LAC seleciona aleatoriamente entre o Túnel 2 e o Túnel 3, porque seus destinos têm a mesma contagem de sessões, 250.

  3. Seja qual for o túnel selecionado deste par, a contagem de sessões para seu destino agora é 251. O outro túnel é selecionado quando o próximo assinante faz login, porque tem a menor contagem de sessões de destino de 250. Isso eleva sua contagem de sessões de destino para 251, igualando o outro túnel.

  4. À medida que os assinantes continuam fazendo login, o LAC repete esse processo, selecionando aleatoriamente entre o Túnel 2 e o Túnel 3 quando a contagem de sessão é compatível e, em seguida, selecionando o outro túnel com o próximo assinante.

Sempre que 192.168.1.1.1 emerge do estado de bloqueio, o LAC seleciona o Túnel 1 para o próximo assinante porque 192.168.1.1 tem a menor contagem de sessões. O LAC continua a fazê-lo até que a contagem de sessões para 192.168.1.1 corresponda à contagem de sessões atual para qualquer um dos outros destinos. A partir desse ponto, o LAC alterna fazer uma seleção aleatória entre túneis com contagem de sessões de destino correspondentes e, posteriormente, selecionar o túnel com a menor contagem.

Sempre que 192.168.1.1.1 emerge do estado de bloqueio,

  1. O LAC seleciona o Túnel 1 para o próximo assinante porque 192.168.1.1 tem a menor contagem de sessões.

  2. O LAC continua a selecionar o Túnel 1 até que a contagem de sessões para 192.168.1.1 corresponda à contagem de sessões atual para qualquer um dos outros destinos.

  3. A partir desse ponto, o LAC alterna fazer uma seleção aleatória entre túneis com contagem de sessões de destino correspondentes e, posteriormente, selecionar o túnel com a menor contagem.

Visão geral dos limites de sessão L2TP

Quando uma solicitação de sessão L2TP é iniciada, o LNS ou LAC verifica o número de sessões ativas atuais em relação ao número máximo de sessões permitidas para o chassi, túneis, um grupo de túneis, um cliente (solicitando dispositivo de host) ou um grupo de clientes. Novos pedidos de sessão são rejeitados quando o limite de sessão configurado é alcançado.

Quando uma sessão é solicitada, o LNS verifica os limites de sessão na ordem a seguir:

chassi > túnel > grupo de túneis > cliente > de grupo com limite de sessão

Em cada nível, o LNS determina se a contagem de sessão atual é menor do que o limite configurado. Quando isso é verdade ou quando nenhum limite é configurado, a verificação passa e o LNS prossegue para verificar o próximo nível. Se em qualquer nível a contagem de sessão atual for igual ao limite configurado, a LNS rejeitará a solicitação da sessão e não verificará nenhum outro nível. Caso contrário, a sessão pode ser estabelecida.

Quando uma solicitação de sessão é recusada para um túnel existente, uma mensagem de Call-Disconnect-Notify (CDN) com um código de resultado e código de erro, ambas definidas para 4, é devolvida em resposta à solicitação de chamada de entrada (ICRQ). Quando o pedido rejeitado é para um novo túnel, o túnel é estabelecido, mas a sessão não aparece, fazendo com que o túnel desça porque não tem sessões.

O LAC realiza a mesma verificação, mas apenas para os níveis de chassi e túnel. O LAC rejeita solicitações devolvendo uma mensagem de encerramento de PPP ao cliente.

Você pode configurar limites de sessão para o chassi, todos os túneis, um grupo de túneis, um grupo de clientes ou um cliente individual. Os cenários a seguir descrevem o que acontece para diferentes configurações de limites de sessão.

Cenário 1: Limite do chassi

Na Tabela 1, a contagem atual de sessões L2TP é de 10.000 e o limite de sessão é configurado como 10.000 em todos os níveis. Quando uma nova sessão é solicitada, a primeira verificação no nível do chassi falha, porque a contagem de sessão atual corresponde ao limite configurado. Nenhuma verificação adicional é realizada em outros níveis e o pedido de sessão é rejeitado. Nenhuma nova sessão é permitida em nenhum nível até que a contagem atual de sessões caia abaixo de 10.000.

Tabela 1: Cenário 1, Limite do Chassi

Nível

Limite de sessão configurado

Contagem de sessão atual exibida por show services l2tp summary comando

Resultado da verificação do limite da sessão

Chassis

10,000

10,000

Falhar

Túnel A

10,000

10,000

Grupo B de túneis

10,000

10,000

Grupo de limite de sessão

10,000

10,000

Cliente

10,000

10,000

Cenário 2: Limite de túnel

Na Tabela 2, a contagem de sessões L2TP atual é de 2000. Quando uma nova sessão é solicitada, a primeira verificação no nível do chassi passa porque o limite configurado permite até 10.000 sessões no chassi, mas apenas 2000 sessões estão ativas no momento. A próxima verificação, no nível do túnel, falha, porque a contagem de sessão atual corresponde ao limite de túnel limite configurado de 2000 para o túnel A.

Nenhuma verificação adicional é realizada em outros níveis e o pedido de sessão é rejeitado.

Tabela 2: Cenário 2, Limite de Túnel

Nível

Limite de sessão configurado

Contagem de sessão atual exibida por show services l2tp summary comando

Resultado da verificação do limite da sessão

Chassis

10,000

2000

Passar

Túnel A

2000

2000

Falhar

Grupo B de túneis

10,000

2000

Grupo de limite de sessão

6000

2000

Cliente

6000

2000

Nenhuma nova sessão é permitida no túnel A até que sua contagem atual de sessões caia abaixo de 2000 e a verificação da sessão possa ser aprovada. Se isso acontecer, então as outras verificações de nível passam neste cenário porque seus limites configurados são maiores do que suas contagens atuais.

O limite de sessão de 2000 se aplica a todos os túneis; ou seja, cada túnel ativo tem um limite independente de 2000 sessões. A falha de um túnel não afeta outros túneis. Uma solicitação de sessão em qualquer outro túnel passa, desde que a contagem de sessão atual para esse túnel seja inferior a 2000.

Cenário 3: Limite do Grupo de Túneis

Na Tabela 3, a contagem de sessões L2TP atual é de 2000. Quando uma nova sessão é solicitada, a primeira verificação no nível do chassi passa porque o limite configurado permite até 10.000 sessões no chassi, mas apenas 2000 sessões estão ativas no momento. A segunda verificação, no nível do túnel, também passa pelo mesmo motivo. A próxima verificação, no nível do grupo de túneis para o grupo B do túnel, falha, porque a contagem de sessões atual para o grupo B do túnel corresponde ao limite de grupo de túnel limite configurado de 2000.

Nenhuma verificação adicional é realizada em outros níveis e o pedido de sessão é rejeitado.

Tabela 3: Cenário 3, Limite do Grupo de Túneis

Nível

Limite de sessão configurado

Contagem de sessão atual exibida por show services l2tp summary comando

Resultado da verificação do limite da sessão

Chassis

10,000

2000

Passar

Túnel A

10,000

2000

Passar

Grupo B de túneis

2000

2000

Falhar

Grupo de limite de sessão

6000

2000

Cliente

6000

2000

Nenhuma nova sessão é permitida no grupo B do túnel até que sua contagem atual de sessões caia abaixo de 2000 e a verificação da sessão possa ser aprovada. Se isso acontecer, as outras verificações de nível podem ser aprovadas porque seus limites configurados são maiores do que suas contagens atuais.

Para grupos de túneis, o limite de sessão é configurado por grupo; ou seja, você não pode especificar um único limite que se aplica a todos os grupos de túneis. A falha de qualquer grupo de túneis não afeta outros grupos de túneis. Nesse cenário, uma solicitação de sessão sobre qualquer outro grupo de túnel é aprovada, se a contagem de sessão atual para esse grupo for menor do que o limite de sessão configurado.

Cenário 4: Limite de grupo limite de sessão

Na Tabela 4, a contagem de sessões L2TP atual é de 6000. Quando uma nova sessão é solicitada, a verificação passa para o chassi, túnel e grupo de túneis porque o limite configurado para cada um permite até 10.000 sessões, mas apenas 6.000 sessões estão ativas no momento. A verificação no grupo de limite de sessão falha, porque a contagem de sessão atual para slg1 de grupo de limite de sessão corresponde ao limite configurado de 6000.

Nenhuma verificação adicional é realizada no nível restante e o pedido de sessão é rejeitado.

Tabela 4: Cenário 4, Limite do Grupo Session-Limit

Nível

Limite de sessão configurado

Contagem de sessão atual exibida por show services l2tp summary comando

Resultado da verificação do limite da sessão

Chassis

10,000

6000

Passar

Túnel A

10,000

6000

Passar

Grupo B de túneis

10,000

6000

Passar

Slg1 do grupo Session-Limit

6000

6000

Falhar

Cliente

8000

2000

Nenhuma nova sessão é permitida para nenhum cliente no slg1 de grupo de limite de sessão até que a contagem atual de sessões do grupo caia abaixo de 6000 e a verificação da sessão possa ser aprovada. Se isso acontecer, a verificação de nível restante pode passar porque seu limite configurado é maior do que sua contagem atual.

Você pode reconfigurar um grupo de limite de sessão removendo ou adicionando clientes sem afetar nenhuma sessão atual. A reconfiguração afeta o número de sessões disponíveis para serem estabelecidas para o grupo de clientes.

  • Se você remover um cliente, o número de novas sessões que podem ser estabelecidas aumenta pelo número de sessões atuais desse cliente.

  • Se você adicionar um cliente, o número de novas sessões que podem ser estabelecidas é reduzido pelo número de sessões atuais desse cliente. O novo total de sessões atuais para clientes existentes mais o novo cliente pode exceder o limite configurado para o grupo limite de sessão. Neste caso, nenhuma sessão foi descartada, mas nenhuma nova sessão pode ser estabelecida até que a contagem de sessões caia abaixo do limite do grupo configurado.

Para explorar mais sobre isso, considere a seguinte sequência de eventos:

  1. O grupo de limite de sessão slg1 tem dois clientes, ent1-serviceA com uma contagem de sessão atual de 3500 e ent1-serviceB com uma contagem de sessão atual de 0. Como o grupo slg1 tem um limite de 6000, não mais do que 2500 sessões podem ser adicionadas para esses clientes:

    6000 - 3500 = 2500

  2. Em seguida, 1000 sessões são registradas para cliente ent1-service B. Agora, não mais do que 1500 sessões podem ser adicionadas para esses clientes:

    6000 - (3500 + 1000) = 1500

  3. Em seguida, suponha que você remova o cliente ent1-serviceA do grupo limite de sessão. A capacidade da sessão em grupo aumenta para 5000 sessões:

    6000 - 1000 = 5000

  4. Por fim, você adiciona um novo cliente, ent1-serviceC, ao grupo de limite de sessão. Esse novo cliente atualmente tem 8000 sessões ativas. Neste caso, o grupo limite de sessão agora tem 9000 sessões:

    1000 + 8000 = 9000

    Nenhuma sessão é perdida, embora o limite máximo de sessão para o grupo, 6000, seja excedido. Nenhuma nova sessão pode ser adicionada até que a contagem de sessões caia de 9000 para menos de 6000.

Cenário 5: Limite individual do cliente

Na Tabela 5, a verificação de sessão passa para o chassi, túnel e grupo de túneis porque seus limites configurados são maiores do que a contagem de sessões atuais. O cliente, ent1-serviceA, não pertence a um grupo de limite de sessão. A verificação de limite falha para o cliente porque sua contagem de sessão atual corresponde ao limite configurado de 6000.

Tabela 5: Cenário 5, limite individual do cliente

Nível

Limite de sessão configurado

Contagem de sessão atual exibida por show services l2tp summary comando

Resultado da verificação do limite da sessão

Chassis

10,000

6000

Passar

Túnel A

10,000

6000

Passar

Grupo B de túneis

8000

6000

Passar

Cliente ent1-serviceA

6000

6000

Falhar

Nenhuma nova sessão é permitida para este cliente até que sua contagem atual de sessões caia abaixo de 6000 e a verificação da sessão possa ser aprovada. A falha de qualquer cliente independente não afeta outros clientes. Nesse cenário, uma solicitação de sessão para qualquer outro cliente independente é aprovada, se a contagem de sessão atual para esse cliente for menor do que o limite de sessão configurado.

O limite de sessão que você estabelece para um cliente individual — um que não faz parte de um grupo de limite de sessão — se aplica em grupo por túnel. Vários LACs com o mesmo nome de host de origem, mas endereços IP de origem diferentes são tratados como o mesmo cliente.

Suponha que você tenha três LACs, A, B e C. Todos os três têm o mesmo nome de host de origem, ce-lac. LAC A e LAC B estabelecem sessões com LNS pelo endereço de gateway associado ao grupo de túneis 1. O LAC C estabelece sessões por meio de um gateway diferente associado ao grupo 2 do túnel. Como os LACs têm o mesmo nome de host, a configuração do cliente é a mesma para os três. No entanto, o limite de sessão do cliente se aplica de forma diferente aos LACs por causa dos grupos de túneis.

Suponha que o limite de sessão do cliente seja de 100. Como o LAC A e o LAC B criam sessões no grupo 1 do túnel, eles precisam compartilhar o limite do cliente. Isso significa que o número total de sessões permitidas para LAC A e LAC B combinados é de 100.

O LAC C cria sessões em um grupo de túnel diferente, 2. Como o limite de sessão do cliente se aplica por grupo de túnel, então é permitido o LAC C 100 sessões, independentemente de quantas sessões LAC A e LAC B já tenham estabelecido.

Limitando o número de sessões L2TP permitidas pelo LAC ou LNS

Você pode colocar um limite no número máximo de sessões L2TP permitidas para o chassi, todos os túneis, um grupo de túneis, um grupo de clientes, um cliente individual, ou uma interface de serviço individual ou interface de serviço agregada. Novos pedidos de sessão são rejeitados pela LNS ou LAC quando o limite de sessão configurado é alcançado. As solicitações de sessão também são recusadas quando o limite máximo do chassi foi atingido, mesmo quando um limite configurado não é excedido. Os limites de sessão configuráveis fornecem um controle refinado do número de sessões que um cliente pode ter enquanto está conectado por LACs em vários locais.

Nota:

Você não pode definir o limite para ser mais do que o limite máximo padrão para o chassi.

Limitar o número de sessões permitidas em um chassi (LAC ou LNS):

  • Configure o número máximo de sessões.

Limitar o número de sessões por túnel para todos os túneis (LAC ou LNS):

  • Configure o número máximo de sessões.

    Você não pode definir o limite para mais de 65.535 sessões.

Limitar o número de sessões para todos os túneis em um grupo de túnel específico (LNS):

  • Configure o número máximo de sessões.

Limitar o número de sessões permitidas em uma interface de serviço individual:

  • Configure o número máximo de sessões.

Limitar o número de sessões permitidas em uma interface de serviço agregada individual:

  • Configure o número máximo de sessões.

    Nota:

    A configuração se aplica a todas as interfaces de membros; o limite não pode ser configurado para interfaces de membro individuais da interface de serviço agregada.

Limitar o número de sessões para um grupo de clientes (LNS):

  1. Configure o número máximo de sessões.
  2. Associe um cliente ao grupo de limite de sessão.

Limitar o número de sessões para um cliente que não seja membro de um grupo de limite de sessão (LNS):

  • Configure o número máximo de sessões.

Nota:

Configurar o limite da sessão em qualquer nível é menor do que o número de sessões que existem atualmente nesse nível não tem efeito sobre as sessões existentes. O novo limite só se aplica se o número de sessões cair abaixo do novo limite.

Você pode usar o show services l2tp summary extensive comando para exibir o limite de sessões configurados para um túnel:

O limite exibido para sessões configuradas é definido para o menor dos seguintes valores de sessão configurados a seguir:

  • Global (chassi)— (LAC e LNS) set services l2tp tunnel maximum-sessionsnumber

  • Perfil de túnel (túnel individual)— (LAC e LNS) set access tunnel-profile profile-name tunnel tunnel-idmax-sessionsnumber]

  • RADIUS — (LAC e LNS) Valor de VSA 26-33, Tunnel-Max-Sessions

  • Perfil do host — (somente LNS) set access profile profile-name client client-name l2tp maximum-sessions-per-tunnel

Os valores configurados determinam o valor de campo a partir das seguintes versões do Junos OS: 19.2R3, 19.3R3, 19.4R3, 20.1R2, 20.2R2 e 20.3R1. Em versões anteriores, o campo exibe o valor do perfil do host para a LNS, mas exibe um valor fixo de 512.000 para o LAC.

Nota:

Após um GRES, um ISSU unificado ou um reinício do processo jl2tpd, o valor deste campo só é preciso após uma nova sessão aparecer no túnel. Até que isso aconteça, o campo mostra um valor de 65.535 em vez do valor configurado.

Suponha que você tenha dois túneis, o túnel A e o túnel B. Um GRES ocorre, e o campo para cada túnel mostra 65.535. Quando uma nova sessão surge no túnel B, o valor para esse túnel atualiza o valor configurado. Para o túnel A, o campo continua a mostrar 65.535 até que o túnel receba uma nova sessão.

Configuração do formato para o nome do túnel

Por padrão, o nome de um túnel corresponde à Id de atribuição de túnel [82] devolvida pelo servidor AAA. Você pode configurar opcionalmente o LAC para usar mais elementos na construção de um nome de túnel, incluindo a assignment-id-format client-server-id declaração no nível hierárquico [edit services l2tp tunnel] . Esse formato usa três atributos: Tunnel-Client-Auth-Id [90], Tunnel-Server-Endpoint [67], e Tunnel-Assignment-Id [82]. Esses atributos correspondem, respectivamente, aos valores configurados no perfil do túnel para o nome LAC (gateway de origem), ao endpoint do túnel (gateway remoto) no LNS e ao ID do túnel.

Uma consequência do client-server-id formato é que o LAC cria automaticamente um novo túnel quando o servidor AAA retorna um Tunel-Client-Auth-Id diferente do que o devolvido anteriormente.

Nota:

Antes de rebaixar para uma versão do Junos OS que não oferece suporte a esta declaração, recomendamos que você desconfigre explicitamente o recurso, incluindo a no assignment-id-format assignment-id declaração no nível hierárquico [edit services l2tp tunnel] .

Para mudar a forma como o nome do túnel é formatado:

  • Configure o formato.

Configuração de um perfil de túnel para acesso ao assinante

O perfil do túnel especifica um conjunto de atributos para caracterizar o túnel. O perfil pode ser aplicado por um mapa de domínio ou automaticamente quando o túnel é criado.

Nota:

Os atributos RADIUS e VSAs podem substituir os valores configurados por um perfil de túnel em um mapa de domínio. Na ausência de um mapa de domínio, o RADIUS pode fornecer todas as características de um túnel. As etapas do procedimento a seguir listam o atributo RADIUS padrão correspondente ou VSA que você pode configurar em seu servidor RADIUS para modificar ou configurar o perfil do túnel.

Os atributos fornecidos pelo RADIUS estão associados a um túnel por uma etiqueta carregada no atributo, que corresponde ao identificador do túnel. Uma tag de 0 indica que a tag não é usada. Se o L2TP receber um atributo RADIUS com uma tag de 0, o atributo não poderá ser mesclado com a configuração do perfil do túnel correspondente ao domínio do assinante porque um perfil de túnel não pode fornecer uma tag de túnel (identificador de túnel) de 0. Apenas as etiquetas na faixa de 1 a 31 são suportadas.

Para configurar uma definição de túnel para um perfil de túnel:

  1. Especifique o perfil do túnel para o qual você está definindo um túnel. (Grupo de túneis [26-64])
  2. Especifique um identificador (nome) para a conexão de controle L2TP para o túnel.
  3. Configure o endereço IP do endpoint local do túnel L2TP, o LAC. (Tunnel-Client-Endpoint [66])
  4. Configure o endereço IP do endpoint remoto do túnel L2TP, o LNS. (Endpoint de servidor de túnel [67])
  5. (Opcional) Configure o nível de preferência para o túnel. (Preferência por túneis [83])
  6. (Opcional) Configure o nome de host do cliente local (LAC). (Tunnel-Client-Auth-Id [90])
  7. (Opcional) Configure o nome de host do servidor remoto (LNS). (Tunnel-Server-Auth-Id [91])
  8. (Opcional) Especifique o tipo de meio (rede) para o túnel. (Tipo médio de túnel [65])
  9. (Opcional) Especifique o tipo de protocolo para o túnel. (Tipo de túnel [64])
  10. (Opcional) Configure a ID de atribuição para o túnel. (Id de atribuição de túnel [82])
  11. (Opcional) Configure o número máximo de sessões permitidas no túnel. (Tunnel-Max-Sessions [26-33])
  12. (Opcional) Configure a senha para autenticação remota de servidor. (Atributo RADIUS padrão de senha de túnel [69] ou senha de túnel VSA [26-9])
  13. (Opcional) Configure o sistema lógico para usar no túnel.

    Se você configurar um sistema lógico, você também deve configurar uma instância de roteamento.

  14. (Opcional) Configure a instância de roteamento para usar no túnel. (Roteador virtual-de túnel [26-8])

    Se você configurar uma instância de roteamento, a configuração de um sistema lógico é opcional.

  15. (Opcional) Permitir que o LAC interopere com dispositivos Cisco LNS. (Método tunnel-nas-port [26-30])

O exemplo a seguir mostra uma configuração completa para um perfil de túnel:

Configuração dos parâmetros de seleção de túneis L2TP LAC

Quando o LAC determina que uma sessão de PPP deve ser tunelada, ela seleciona um túnel do conjunto de túneis associados ao usuário PPP ou ao domínio do usuário PPP. Você pode configurar como um túnel é selecionado e se determinadas informações são enviadas pelo LAC para a LNS.

Para configurar parâmetros de seleção de túneis:

  1. (Opcional) Configure como um túnel é selecionado quando uma tentativa de conexão falha.

    Veja a configuração do failover da seleção de túneis LAC dentro de um nível de preferência.

  2. (Opcional) Configure como as sessões são balanceadas entre túneis.

    Veja configuração de balanceamento de carga ponderado para sessões de túnel LAC.

  3. (Opcional) Configure sessões para serem balanceadas de carga entre túneis dentro de um nível de preferência, distribuindo as sessões igualmente entre todos os túneis.

    Veja a configuração do balanceamento de carga igual ao destino para sessões de túneis LAC.

Configuração do failover da seleção de túneis LAC dentro de um nível de preferência

Você pode configurar como a seleção de túneis LAC continua em caso de falha na conexão. Por padrão, quando o roteador não consegue se conectar a um destino em um determinado nível de preferência, ele tenta se conectar no próximo nível inferior. Você pode especificar que o roteador, em vez disso, tenta se conectar a outro destino no mesmo nível da tentativa fracassada.

Se todos os destinos em um nível de preferência forem marcados como inalcançáveis, o roteador não tenta se conectar a um destino nesse nível. Ele cai para o próximo nível de preferência mais baixo para selecionar um destino.

Se todos os destinos em todos os níveis de preferência forem marcados como inalcançáveis, o roteador escolhe o destino que falhou primeiro e tenta fazer uma conexão. Se a conexão falhar, o roteador rejeita a sessão do usuário do PPP sem tentar entrar em contato com o roteador remoto.

Por exemplo, suponha que existam quatro túneis para um domínio: A, B, C e D. Todos os túneis são considerados acessáveis, e os níveis de preferência são atribuídos da seguinte forma:

  • A e B na preferência 0

  • C e D na preferência 1

Quando o roteador tenta se conectar ao domínio, suponha que ele selecione aleatoriamente o túnel B da preferência 0. Se não se conectar ao túnel B, o roteador exclui o túnel B por cinco minutos e tenta se conectar ao túnel A. Se essa tentativa também falhar, o roteador cai para a preferência 1. Então suponha que o roteador selecione o túnel C. Se ele também não se conectar ao túnel C, o roteador exclui o túnel C por cinco minutos e tenta se conectar ao túnel D.

Você configura o nível de preferência usado para este método de seleção de túneis no perfil do túnel ou no atributo RADIUS Tunnel-Preference [83].

Para habilitar o failover da seleção de túneis dentro de um nível de preferência:

  • Especifique o failover dentro da preferência.

Configuração de balanceamento ponderado de carga para sessões de túneis LAC

Por padrão, o L2TP LAC seleciona túneis para novas sessões aleatoriamente de dentro do nível de preferência mais alto disponível. Você pode configurar o LAC para distribuir sessões em túneis no nível de preferência mais alto disponível, avaliando o peso de cada túnel. Este método é conhecido como balanceamento ponderado de carga. O peso de um túnel é proporcional ao seu limite máximo de sessão e aos limites máximos de sessão dos outros túneis no mesmo nível de preferência. Quando você configura balanceamento de carga ponderado, o LAC ainda seleciona túneis aleatoriamente dentro de um nível de preferência, mas, em média, as sessões são distribuídas por túneis em relação aos pesos do túnel.

Para configurar o balanceamento de carga ponderado:

  • Especifique o balanceamento de carga.

Configuração do balanceamento de carga igual ao destino para sessões de túneis LAC

Por padrão, o L2TP LAC seleciona túneis para novas sessões aleatoriamente de dentro do nível de preferência mais alto disponível. A partir do Junos OS Release 15.1, você pode configurar o LAC para distribuir sessões igualmente em todos os túneis no nível de preferência mais alto disponível, avaliando o número de sessões para os destinos e o número de sessões realizadas pelos túneis. Este método de distribuição é conhecido como balanceamento de carga igual ao destino. O LAC seleciona o túnel com a carga mais leve, de acordo com as seguintes diretrizes:

  • Quando cada túnel vai para um destino separado e apenas um destino tem a menor contagem de sessões entre todos os destinos, o LAC seleciona o túnel para esse destino.

  • Quando cada túnel vai para um destino separado e mais de um destino tem a mesma menor contagem de sessões, o LAC seleciona um túnel aleatoriamente entre os túneis para esses destinos.

  • Quando mais de um túnel vai para o mesmo destino e esse destino tem a menor contagem de sessões de destino, o LAC seleciona entre esses túneis o que tem o menor número total de sessões de túneis. Se a contagem de sessões de túnel for a mesma para todos esses túneis, então o LAC seleciona um deles aleatoriamente.

Para configurar o balanceamento de carga igual ao destino:

  • Especifique o balanceamento de carga igual ao destino.

Habilitando o LAC para serviços IPv6

Você pode configurar o LAC para criar a família de endereços IPv6 (inet6) ao tunelar os assinantes para a LNS. Os filtros de firewall IPv6 podem então ser aplicados por serviços no LAC ao tráfego de assinantes. Por padrão, o LAC requer apenas a entrada da família para permitir o encaminhamento em um túnel IP. O LAC pode aplicar filtros de firewall IPv4 à sessão. Mesmo quando o inet6 familiar é incluído no perfil dinâmico, por padrão ele não é criado para conservar recursos, porque não é necessário. Consequentemente, os filtros de firewall IPv6 não podem ser aplicados.

Para permitir a criação da família de endereços IPv6 e a aplicação de filtros de firewall IPv6:

  • Configure a habilitação.

Você pode usar o show services l2tp summary comando para exibir se a declaração está habilitada ou desabilitada.

Teste das configurações do túnel L2TP a partir do LAC

Você pode testar configurações de túnel L2TP no LAC e autenticação e tunelamento de assinantes bem-sucedidos sem criar um usuário de PPP e um túnel associado.

Emita o test services l2tp tunnel comando do modo operacional CLI para mapear um assinante em um túnel L2TP, verificar a configuração do túnel L2TP (tanto localmente no LAC quanto em um servidor back-end, como um servidor RADIUS), e verificar se os túneis L2TP do LAC podem ser estabelecidos com a LNS remota.

A implementação do Junos OS LAC permite configurar vários túneis dos quais um túnel é escolhido para tunelamento de um assinante PPP. Você pode usar o test services l2tp tunnel comando para testar todas as possíveis configurações de túnel para verificar se cada um pode ser estabelecido. Como alternativa, você pode testar apenas um túnel específico para o assinante.

Você deve especificar um nome de usuário assinante configurado quando você emitir o comando. O teste gera uma senha falsa — testpass — para o assinante ou você pode especificar opcionalmente a senha. O teste verifica se o assinante identificado por esse nome de usuário pode ser tunelado de acordo com a configuração do túnel. Se o assinante pode ser tunelado, então o teste verifica se o túnel L2TP pode ser estabelecido com a LNS de acordo com a configuração L2TP.

Você pode especificar opcionalmente uma ID de túnel, nesse caso, apenas esse túnel é testado; o túnel já deve estar configurado para esse nome de usuário. Se você omitir essa opção, o teste é aplicado ao conjunto completo de configurações de túnel que são devolvidas para o nome de usuário. A ID do túnel que você especifica é a mesma usada pelo Tunnel-Assignment-Id (atributo RADIUS 82) e especificada pela identification declaração no perfil do túnel.

Para testar a autenticação do assinante e a configuração do túnel:

  • Especifique apenas o nome de usuário.

    Exemplo 1:

    O usuário falhou na autenticação com a senha gerada e, consequentemente, não foi tunelado.

    Exemplo 2:

    Este usuário foi autenticado com a senha gerada e túnel com sucesso. Um conjunto de túneis foi encontrado associado com esse nome de usuário e todo o conjunto foi testado.

  • Especifique o nome de usuário e a senha configurada do usuário.

    O assinante foi autenticado. No entanto, o usuário foi encerrado localmente em vez de tunelamento; isso significa que nenhum túnel foi encontrado associado ao usuário.

  • Especifique o nome de usuário e um túnel específico para o assinante.

    O assinante foi autenticado e em túnel. O túnel especificado foi encontrado para o assinante e o túnel foi estabelecido, confirmando a configuração do túnel.

  • Especifique o nome de usuário, a senha configurada do usuário e um túnel.

    O assinante foi autenticado e em túnel. A ausência de informações de túnel na saída indica que a configuração especificada do túnel não existe.

Documentação relacionada

Tabela de histórico de lançamentos
Lançamento
Descrição
20.3R1
Os valores configurados determinam o valor de campo a partir das seguintes versões do Junos OS: 19.2R3, 19.3R3, 19.4R3, 20.1R2, 20.2R2 e 20.3R1.
15.1
A partir do Junos OS Release 15.1, você pode configurar o LAC para distribuir sessões igualmente em todos os túneis no nível de preferência mais alto disponível, avaliando o número de sessões para os destinos e o número de sessões realizadas pelos túneis.