Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Tunelamento L2TP LAC para assinantes

Visão geral da seleção de túnel LAC

Quando um usuário faz login em um domínio, o cliente PPP entra em contato com o LAC para estabelecer uma conexão. O LAC precisa encontrar um destino no domínio e um túnel que possa alcançá-lo. A associação entre destinos, túneis e domínios é fornecida por um perfil de túnel em um mapa de domínio no perfil de acesso do assinante ou no atributo Tunnel-Group (VSA 26-64) recebido de um servidor RADIUS. O atributo RADIUS tem precedência sobre um perfil especificado em um mapa de domínio. O perfil do túnel inclui uma lista de túneis; cada túnel está associado a um endereço IP de destino e a um nível de preferência de túnel.

O L2TP permite que você especifique:

  • Até 31 destinos para um domínio.

  • Até oito níveis de preferência de túnel. O nível de preferência determina a ordem na qual o LAC tenta usar um túnel existente (ou estabelecer um novo) para um destino no domínio solicitado pelo usuário.

    Observação:

    Zero (0) é o nível mais alto de preferência; Este é o nível mais preferido.

    Se dois túneis alcançarem destinos válidos dentro de um domínio, o LAC primeiro selecionará o túnel com o nível de preferência mais alto. Por exemplo, quando o Túnel A tem um nível de preferência de 1 e o Túnel B tem um nível de preferência de 4, o LAC tenta usar o Túnel A primeiro.

  • Até 31 destinos para um único nível de preferência.

Quando o LAC determina que uma sessão PPP deve ser tunelada, ele seleciona um túnel do conjunto de túneis associados ao usuário PPP ou ao domínio do usuário PPP por um perfil de túnel.

A seleção de túnel é afetada pelas seguintes configurações:

  • Failover entre níveis de preferência — Por padrão, quando um túnel para um destino válido não é selecionado dentro de um nível de preferência, o processo de seleção faz failover para o próximo nível; ou seja, o LAC desce para o próximo nível inferior para continuar a busca por um túnel adequado. Consulte Seleção quando o failover entre níveis de preferência está configurado para obter mais informações.

  • Failover dentro de um nível de preferência — nesse caso, o LAC não limita suas tentativas de estabelecer uma sessão a apenas um único túnel em um nível de preferência. Se a tentativa falhar através do túnel selecionado, o processo de seleção falhará dentro desse mesmo nível, selecionando outro túnel adequado para um destino válido. O LAC continua suas tentativas de conexão dentro do nível até que não haja mais túneis para um destino válido disponíveis nesse nível. Em seguida, o LAC desce para o próximo nível inferior para continuar a pesquisa. Consulte Seleção quando o failover dentro de um nível de preferência é configurado para obter mais informações.

  • Máximo de sessões por túnel — quando o número máximo de sessões permitidas por túnel é configurado, o LAC leva essa configuração em consideração durante o processo de seleção do túnel. O número máximo de sessões por túnel pode ser configurado por meio do RADIUS Tunnel-Max-Sessions VSA [26-33] ou incluindo a max-sessions declaração em um perfil de túnel.

    Quando um túnel selecionado aleatoriamente tem uma contagem de sessões atual igual à sua contagem máxima de sessões, o LAC não tenta se conectar a um destino com esse túnel. Em vez disso, ele seleciona um túnel alternativo do conjunto de túneis nesse nível de preferência que têm destinos válidos no domínio. Se não existirem túneis no nível de preferência atual, o LAC cai para o próximo nível de preferência para fazer a seleção. Esse processo é consistente, independentemente de qual esquema de failover está sendo executado atualmente no LAC.

    Quando o número máximo de sessões não está configurado para um túnel, esse túnel não tem limite superior para o número de sessões que ele pode suportar. Por padrão, o valor máximo de sessões é 0 (zero), o que permite sessões ilimitadas no túnel.

  • balanceamento de carga ponderado — esse método de balanceamento usa uma avaliação baseada em probabilidade do peso do túnel para distribuir sessões entre túneis. O LAC ainda seleciona túneis aleatoriamente dentro de um nível de preferência, mas, em média, as sessões são distribuídas entre os túneis em relação ao peso dos túneis. O peso de um túnel é determinado pelo limite máximo de sessão do túnel e pelos limites máximos de sessão dos outros túneis no mesmo nível de preferência. Consulte Balanceamento de carga ponderado para obter mais informações.

  • Balanceamento de carga de carga igual ao destino — Este método de balanceamento de sessão avalia os túneis de acordo com o número de sessões até o destino e o número de sessões transportadas pelo túnel para distribuir a carga da sessão igualmente entre todos os túneis. O túnel com um destino que tem a menor contagem de sessões é determinado como tendo a carga mais leve. Esse processo opera em túneis no nível de preferência mais alto disponível. Consulte Balanceamento de carga igual ao destino para obter mais informações.

Leve em consideração as seguintes informações para entender o processo de seleção de túnel e destino e o failover:

  • Mais de um túnel pode chegar a um destino, e esses túneis podem ter o mesmo nível de preferência ou diferentes níveis de preferência.

  • O túnel selecionado para estabelecer a sessão do assinante pode já estar estabelecido. o que significa que ele tem sessões ativas no momento. Alternativamente, o LAC pode ter que estabelecer um novo túnel para o destino se nenhum túnel capaz de chegar ao destino já estiver estabelecido.

  • Um destino válido atende aos seguintes critérios:

    • Ele pode ser acessado por um túnel que não atingiu seu limite máximo de sessão.

    • Ele ainda não foi contatado para a solicitação de login do assinante atual.

    • Pode ser bloqueado ou desbloqueado.

  • Um destino bloqueado é aquele para o qual o temporizador de bloqueio de destino está em execução. Os destinos bloqueados são colocados em uma lista de bloqueio até que o cronômetro expire ou seja limpo (redefinido para zero). Os destinos na lista não podem ser contatados para estabelecer uma sessão.

  • Um destino desbloqueado é aquele para o qual o temporizador de bloqueio de destino é zero.

  • Quando o LAC descobre destinos válidos que estão bloqueados, ele os coloca na lista DestinationsLockedNotContacted, que é diferente da lista de bloqueio que inclui todos os destinos bloqueados. A lista DestinationsLockedNotContacted inclui apenas destinos bloqueados que o LAC ainda não tentou contatar para o login de assinante atual e em andamento. A lista DestinationsLockedNotContacted não inclui destinos que o LAC bloqueia depois de tentar e não conseguir estabelecer uma conexão.

  • Você pode usar o clear services l2tp destination lockout comando para limpar manualmente todos os destinos bloqueados ou apenas os destinos bloqueados que correspondem ao endereço de gateway local ou remoto especificado. Você pode usar o comando se, por exemplo, quiser limpar um destino específico para que ele tenha prioridade dentro de um nível de preferência.

  • O comportamento de failover que faz parte do processo de seleção de túnel se aplica somente quando o destino está inacessível por um dos seguintes motivos:

    • O LNS falha ao retornar uma mensagem SCCRP em resposta à mensagem SCCRQ do LAC após o número máximo de tentativas de retransmissão.

    • O túnel é estabelecido, mas o LNS não retorna uma mensagem ICRP em resposta ao ICRQ do LAC após o número máximo de tentativas de retransmissão.

  • Esse comportamento de failover não se aplica nas seguintes circunstâncias:

    • O cliente encerra a conexão.

    • O túnel é estabelecido, mas o LNS envia uma mensagem CDN enquanto o LAC está tentando estabelecer a sessão com o LNS, resultando na falha da tentativa de login do assinante.

Seleção quando o failover entre níveis de preferência está configurado

Quando um usuário tenta fazer login em um domínio em uma configuração padrão — ou seja, quando o failover dentro de um nível de preferência e o balanceamento de carga não estão configurados — o LAC procura destinos válidos para o domínio solicitado, começando pelo nível de preferência de túnel mais alto. Se nenhum destino válido for encontrado ou a tentativa de conexão a um destino falhar, o LAC descerá para o próximo nível inferior para continuar a pesquisa. O processo de pesquisa é o mesmo para todos os níveis, exceto para o mais baixo:

  1. A pesquisa começa identificando túneis com destinos válidos no nível de preferência entre todos os túneis especificados no perfil do túnel do domínio.

  2. Todos os destinos válidos bloqueados são colocados na lista DestinationsLockedNotContacted. Nenhuma tentativa é feita para entrar em contato com nenhum desses destinos.

  3. Dentre os destinos válidos e desbloqueados, o LAC seleciona um aleatoriamente e tenta se conectar por meio do túnel associado; se o túnel não tiver sessões atuais, o LAC deverá estabelecer o túnel.

    Observação:

    A seleção aleatória é o comportamento padrão. O comportamento é diferente quando o balanceamento de carga ponderado ou o balanceamento de carga igual ao destino é configurado. Consulte Seleção ao distribuir a carga de sessão em vários LNSs para obter informações sobre o balanceamento de carga.

    • Se a tentativa for bem-sucedida, o LAC relatará o login bem-sucedido ao cliente PPP. O LAC também limpa todos os destinos na lista DestinationsLockedNotContacted.

    • Se o LAC não receber resposta, ele repetirá a tentativa até o número máximo de novas tentativas. Se o LAC esgotar as novas tentativas sem receber uma resposta, a tentativa será considerada malsucedida e o LAC marcará o destino como inalcançável bloqueando o destino. Ele coloca o destino na lista de bloqueios e inicia o temporizador de bloqueio de destino.

  4. O que o LAC faz a seguir depende do nível de preferência atual.

    • Se não for o nível de preferência mais baixo, o LAC cai para o próximo nível de preferência mais baixo e continua o processo de pesquisa.

    • Se for o nível de preferência mais baixo e a lista DestinationsLockedNotContacted não estiver vazia, o LAC desbloqueará todos os destinos na lista DestinationsLockedNotContacted, voltará para o nível de preferência mais alto e reiniciará o processo de pesquisa.

    • Se for o nível de preferência mais baixo e a lista DestinationsLockedNotContacted estiver vazia, o que significa que todos os destinos válidos foram tentados, o LAC relatará uma falha no login do cliente PPP.

  5. Quando os destinos válidos em um nível estão todos bloqueados, o que o LAC faz a seguir depende do nível de preferência atual.

    • Se não for o nível de preferência mais baixo, o LAC cai para o próximo nível de preferência mais baixo e continua o processo de pesquisa.

    • Se for o nível de preferência mais baixo, o LAC seleciona o destino válido e bloqueado com o menor tempo de bloqueio restante. Ele limpa o temporizador de bloqueio e tenta se conectar ao destino e estabelecer uma sessão.

      • Se a tentativa for bem-sucedida, o LAC relatará o login bem-sucedido ao cliente PPP.

      • Se a tentativa falhar e a lista DestinationsLockedNotContacted estiver vazia — o que significa que todos os destinos válidos foram tentados — o LAC relatará uma falha no login para o cliente PPP.

      • Se a tentativa falhar e a lista DestinationsLockedNotContacted não estiver vazia, o LAC desbloqueará todos os destinos na lista DestinationsLockedNotContacted, voltará para o nível de preferência mais alto e reiniciará o processo de pesquisa.

  6. Quando nenhum destino válido está presente, o que o LAC faz a seguir depende do nível de preferência atual.

    • Se não for o nível de preferência mais baixo, o LAC cai para o próximo nível de preferência mais baixo e continua o processo de pesquisa.

    • Se for o nível de preferência mais baixo e a lista DestinationsLockedNotContacted estiver vazia, o que significa que todos os destinos válidos foram tentados, o LAC relatará uma falha no login do cliente PPP.

    • Se for o nível de preferência mais baixo e a lista DestinationsLockedNotContacted não estiver vazia, o LAC desbloqueará todos os destinos na lista DestinationsLockedNotContacted, voltará para o nível de preferência mais alto e reiniciará o processo.

  7. O processo de pesquisa e failover percorre os níveis até que uma sessão seja estabelecida ou todos os destinos válidos tenham sido tentados — nenhum destino permanece na lista DestinationsLockedNotContacted — e o logon falhe.

A Figura 1 ilustra as possíveis condições e pontos de decisão que determinam a seleção de um destino e do túnel correspondente para o caso padrão, em que o failover ocorre entre os níveis de preferência do túnel.

Figura 1: Processo de seleção de destino e túnel com failover entre níveis de Flowchart of a PPP client logging into a domain outlining steps for selecting destinations, checking validity, and establishing sessions, with conditions for successful or failed logins. preferência

Por exemplo, suponha que o perfil do túnel inclua os seguintes túneis, cada um com um destino válido:

  • Preferência 0, Túnel 1, 192.168.10.10

  • Preferência 1, Túnel 2, 192.168.22.22

  • Preferência 1, Túnel 3, 192.168.33.33

  • Preferência 2, Túnel 4, 192.168.44.44

O failover dentro da preferência e o balanceamento de carga não estão configurados.

Quando um usuário PPP tenta se conectar ao domínio, o LAC age da seguinte maneira:

  1. No nível de preferência mais alto, 0, o LAC seleciona o Túnel 1 porque é o único túnel no nível com um destino válido. O LAC tenta alcançar 192.168.10.10.

  2. Essa tentativa de conexão falha, portanto, o LAC bloqueia 192.168.10.10. Ele não é considerado novamente durante essa tentativa de logon e não pode ser considerado para nenhuma tentativa de logon até que o temporizador de bloqueio de destino expire.

  3. O LAC cai (failover) para o próximo nível, o nível de preferência 1, para alcançar um destino para o domínio. O LAC seleciona aleatoriamente entre 192.168.22.22 até o Túnel 2 e 192.168.33.33 até o Túnel 3. Ele seleciona 192.168.22.22 e tenta se conectar através do Túnel 2.

  4. A tentativa de conexão com 192.168.22.22 falha, então o LAC bloqueia 192.168.22.22. Ele não é considerado novamente durante essa tentativa de logon e não pode ser considerado para nenhuma tentativa de logon até que o temporizador de bloqueio de destino expire.

    Observação:

    Embora o Túnel 3 tenha um destino válido e desbloqueado, o LAC não pode agora selecionar esse túnel para alcançar 192.168.33.33, porque o LAC pode fazer apenas uma tentativa de alcançar um destino válido cada vez que procura em um nível quando o método de failover está entre os níveis de preferência.

  5. O LAC cai para o nível final (mais baixo) neste exemplo, o nível de preferência 2. O LAC seleciona o Túnel 4 porque é o único túnel no nível com um destino válido. O LAC tenta chegar a 192.168.44.44.

  6. A tentativa de conexão com 192.168.44.44 também falha, então o LAC bloqueia 192.168.44.44. Ele não é considerado novamente durante essa tentativa de logon e não pode ser considerado para nenhuma tentativa de logon até que o temporizador de bloqueio de destino expire.

  7. Como esse é o nível mais baixo e a lista DestinationsLockedNotContacted está vazia, o LAC rejeita a solicitação de login do cliente PPP.

    Os destinos 192.168.10.10, 192.168.22.22 e 192.168.44.44 foram bloqueados, mas não foram adicionados à lista DestinationsLockedNotContacted porque o LAC os bloqueou após a tentativa de conexão. O destino 192.168.33.33 não foi contatado, mas não foi adicionado à lista DestinationsLockedNotContacted porque não está bloqueado.

  8. O cliente tenta fazer login novamente e o LAC repete o processo de seleção do túnel, recomeçando no nível de preferência 0 para verificar se há um destino desbloqueado e válido e percorrendo os níveis conforme necessário.

  9. No nível de preferência 0, 192.168.10.10 é o único destino válido e ainda está bloqueado, portanto, o LAC não pode tentar se conectar ao destino. O LAC adiciona 192.168.10.10 à lista DestinationsLockedNotContacted e, em seguida, cai para o nível de preferência 1.

    Observação:

    Lembre-se de que o temporizador de bloqueio de destino se aplica globalmente, portanto, persiste em vários logins de assinantes. A lista DestinationsLockedNotContacted aplica-se somente a um determinado login de assinante e não persiste. Embora o LAC tenha entrado em contato com 192.168.10.10 para esse assinante, foi durante uma tentativa de login anterior. Nessa tentativa de logon, ele não pode entrar em contato com o destino devido ao bloqueio e, consequentemente, coloca o destino na lista DestinationsLockedNotContacted.

  10. No nível de preferência 1, 192.168.22.22 ainda está bloqueado, portanto, o LAC adiciona 192.168.22.22 à lista DestinationsLockedNotContacted. 192.168.33.33 ainda está disponível. O LAC tenta se conectar ao 192.168.33.33 através do Túnel 3.

  11. Essa tentativa de conexão falha, então o LAC bloqueia 192.168.33.33. Ele não é considerado novamente durante essa tentativa de logon e não pode ser considerado para nenhuma tentativa de logon até que o temporizador de bloqueio de destino expire. O LAC cai para o nível de preferência 2.

  12. 192.168.44.44 ainda está bloqueado, portanto, o LAC adiciona 192.168.44.44 à lista DestinationsLockedNotContacted.

  13. Esse é o nível de preferência mais baixo, mas desta vez a lista DestinationsLockedNotContacted não está vazia; Ele contém 192.168.10.10, 192.168.22.22 e 192.168.44.44. O LAC desbloqueia todos os destinos na lista DestinationsLockedNotContacted e, em seguida, volta para o nível de preferência mais alto.

  14. No nível de preferência 0, o LAC tenta se conectar a 192.168.10.10 porque ele foi desbloqueado. O LAC estabelece a sessão e relata o login bem-sucedido para o cliente PPP.

Embora o LAC não tente entrar em contato com um destino bloqueado, há um caso especial em que o LAC atingiu o nível de preferência mais baixo. O nível deve ter mais de um destino válido e todos eles devem ser bloqueados. Por exemplo, suponha que o perfil do túnel inclua os seguintes túneis, cada um com um destino válido:

  • Preferência 0, Túnel 1, 192.168.10.10

  • Preferência 1, Túnel 2, 192.168.22.22. O destino está bloqueado com o temporizador de bloqueio atualmente em 245 segundos.

  • Preferência 1, Túnel 3, 192.168.33.33. O destino está bloqueado com o temporizador de bloqueio atualmente em 180 segundos.

O failover dentro da preferência e o balanceamento de carga não estão configurados.

Quando um usuário PPP tenta se conectar ao domínio, o LAC age da seguinte maneira:

  1. No nível de preferência mais alto, 0, o LAC seleciona o Túnel 1 porque é o único túnel no nível com um destino válido. O LAC tenta alcançar 192.168.10.10.

  2. Essa tentativa de conexão falha, portanto, o LAC bloqueia 192.168.10.10. Ele não é considerado novamente durante essa tentativa de logon e não pode ser considerado para nenhuma tentativa de logon até que o temporizador de bloqueio de destino expire.

  3. O LAC cai para o próximo nível, o nível de preferência 1, para alcançar um destino para o domínio. Ambos os destinos válidos neste nível, 192.168.22.22 e 192.168.33.33, estão bloqueados.

  4. O LAC adiciona os dois destinos à lista DestinationsLockedNotContacted.

  5. Como esse é o nível de preferência mais baixo, o LAC determina qual destino tem um tempo de bloqueio restante mais curto. Ele seleciona 192.168.33.33 porque tem um tempo de bloqueio restante mais curto (180 segundos) do que 192.168.22.22 (245 segundos). O LAC desbloqueia 192.168.33.33 e tenta se conectar através do Túnel 3. Como consequência, o LAC também remove 192.168.33.33 da lista DestinationsLockedNotContacted.

  6. A tentativa de conexão é bem-sucedida e uma sessão é estabelecida para 192.168.33.33. O LAC relata um login bem-sucedido no cliente PPP.

Seleção quando o failover dentro de um nível de preferência é configurado

Quando você configura o failover dentro de um nível de preferência, o processo de seleção de destino e túnel é o mesmo da configuração padrão, com uma exceção: o LAC não está limitado a apenas uma tentativa de conexão em um nível de preferência.

Quando o LAC tenta se conectar a um destino válido e desbloqueado e não é bem-sucedido, ele bloqueia esse destino, mas não desce imediatamente para o próximo nível inferior. Em vez disso, se outro destino válido e desbloqueado estiver disponível no mesmo nível de preferência, o LAC tentará se conectar a esse destino.

Se o LAC não se conectar, ele continuará tentando chegar a um destino dentro desse nível de preferência até que não haja mais destinos válidos e desbloqueados a serem tentados. Nesse ponto, o LAC desce para pesquisar no próximo nível de preferência inferior. Em cada nível, o LAC procura e tenta se conectar a um destino válido até que nenhum destino válido e desbloqueado esteja disponível.

Se o LAC cair para o nível de preferência mais baixo e não encontrar destinos válidos desbloqueados, o comportamento dependerá da lista DestinationsLockedNotContacted:

  • Se a lista DestinationsLockedNotContacted não estiver vazia, o LAC desbloqueará todos os destinos na lista DestinationsLockedNotContacted, voltará para o nível de preferência mais alto e reiniciará o processo de pesquisa.

  • Se o DestinationsLockedNotContacted estiver vazio — o que significa que todos os destinos válidos foram tentados — o LAC relatará uma falha de login no cliente PPP.

Por exemplo, suponha que o perfil do túnel especifique os túneis e destinos a seguir. O balanceamento de carga não está configurado. Todos os destinos são válidos; todos são desbloqueados, exceto 192.168.3.3. Os níveis de preferência para os túneis são atribuídos da seguinte forma:

  • Preferência 0, Túnel 1, 192.168.1.1, desbloqueado

  • Preferência 0, Túnel 2, 192.168.2.2, desbloqueado

  • Preferência 0, Túnel 3, 192.168.3.3, temporizador de bloqueio de 100 segundos

  • Preferência 1, Túnel 4, 192.168.4.4, desbloqueado

  • Preferência 1, Túnel 5, 192.168.5.5, desbloqueado

Neste exemplo, quando um usuário PPP tenta se conectar ao domínio, o LAC age da seguinte maneira:

  1. O LAC seleciona aleatoriamente entre os dois destinos válidos e desbloqueados no nível de preferência 0, 192.168.1.1 até o Túnel 1 e 192.168.2.2 até o Túnel 2. Ele escolhe 192.168.2.2 e tenta se conectar através do Túnel 2.

  2. A tentativa de conexão com 192.168.2.2 falha, então o LAC bloqueia 192.168.2.2. Ele não é considerado novamente durante essa tentativa de logon e não pode ser considerado para nenhuma tentativa de logon até que o temporizador de bloqueio de destino expire.

  3. O LAC então tenta se conectar a 192.168.1.1 através do Túnel 1 no nível de preferência 0.

  4. A tentativa de conexão com 192.168.1.1 falha, então o LAC bloqueia 192.168.1.1. Ele não é considerado novamente durante essa tentativa de logon e não pode ser considerado para nenhuma tentativa de logon até que o temporizador de bloqueio de destino expire.

  5. 192.168.3.3 até o Túnel 3 é o único destino válido restante no nível de preferência 0, mas está bloqueado. O LAC adiciona 192.168.3.3 à lista DestinationsLockedNotContacted. O LAC não adicionou 192.168.1.1 e 192.168.2.2 à lista DestinationsLockedNotContacted, porque os bloqueou depois de tentar contatá-los.

  6. Como o nível 0 não tem mais destinos válidos e desbloqueados, o LAC cai para o próximo nível, o nível de preferência 1, para chegar a um destino para o domínio.

  7. No nível de preferência 1, o LAC seleciona aleatoriamente 192.168.4.4 e tenta se conectar através do Túnel 4.

  8. A tentativa de conexão com 192.168.4.4 falha, então o LAC bloqueia 192.168.4.4. Ele não é considerado novamente durante essa tentativa de logon e não pode ser considerado para nenhuma tentativa de logon até que o temporizador de bloqueio de destino expire.

  9. O LAC então tenta se conectar a 192.168.5.5 através do Túnel 5 no nível de preferência 1.

  10. A tentativa de conexão com 192.168.5.5 falha, então o LAC bloqueia 192.168.5.5. Ele não é considerado novamente durante essa tentativa de logon e não pode ser considerado para nenhuma tentativa de logon até que o temporizador de bloqueio de destino expire. O nível 1 não tem mais destinos válidos e desbloqueados. Como a lista DestinationsLockedNotContacted não está vazia, o LAC desbloqueia todos os destinos na lista — nesse caso, 192.168.3.3 — e volta para o nível de preferência mais alto, 0.

  11. 192.168.3.3 agora é o único destino desbloqueado no nível de preferência 0, então o LAC tenta se conectar a ele através do Túnel 3.

  12. A tentativa de conexão com 192.168.3.3 falha, então o LAC bloqueia 192.168.3.3. Ele não é considerado novamente durante essa tentativa de logon e não pode ser considerado para nenhuma tentativa de logon até que o temporizador de bloqueio de destino expire.

  13. Como o nível 0 não tem mais destinos válidos e desbloqueados, o LAC cai para o próximo nível, o nível de preferência 1.

  14. O nível de preferência 1 não tem destinos válidos e desbloqueados. O DestinationsLockedNotContacted está vazio porque o LAC entrou em contato com todos os destinos válidos em ambos os níveis de preferência. O LAC rejeita a solicitação de login do cliente PPP.

Seleção ao distribuir a carga de sessão em vários LNSs

Vários perfis de túnel podem ser configurados no LAC; Alguns túneis podem compartilhar destinos. Quando o LAC encapsula a sessão de um assinante PPP para o LNS, um túnel deve ser selecionado para a sessão do assinante. O processo de seleção de túnel escolhe um túnel com a preferência mais alta que tenha um destino alcançável. Por padrão, o LAC seleciona um túnel aleatoriamente entre vários túneis que atendem aos mesmos critérios. Como alternativa, você pode configurar o balanceamento de carga para permitir diferentes opções de seleção. Ambos os métodos de balanceamento de carga afetam quais túneis e destinos o LAC seleciona, mas o processo de seleção e failover permanece o mesmo.

Observação:

O balanceamento de carga ponderado e o balanceamento de carga igual ao destino são mutuamente exclusivos. Você pode habilitar apenas um ou outro.

Balanceamento de carga ponderado

O balanceamento de carga ponderado avalia os túneis de acordo com seu peso. O peso de um túnel é determinado pelo limite máximo de sessão do túnel e pelos limites máximos de sessão dos outros túneis no mesmo nível de preferência. O túnel com o limite máximo de sessão mais alto tem o peso mais alto nesse nível de preferência. O túnel com o próximo limite máximo de sessão mais alto tem o próximo peso mais alto e assim por diante. O túnel com o menor limite máximo de sessão tem o menor peso.

Observação:

A seleção de túnel e a distribuição de sessão são baseadas em probabilidade; A carga não é estritamente distribuída de acordo com o peso.

Quando você configura o balanceamento de carga ponderada, o LAC ainda seleciona túneis aleatoriamente dentro de um nível de preferência, mas, em média, as sessões são distribuídas entre os túneis em relação ao peso dos túneis.

Com o balanceamento de carga ponderado, o LAC gera um número aleatório dentro de um intervalo igual ao total agregado de todos os limites de sessão para todos os túneis no nível de preferência. Ele associa parte do intervalo - um conjunto de números - a cada túnel proporcional ao peso do túnel. Um túnel com um peso maior está associado a uma porção maior do intervalo — um pool maior — do que um túnel com um peso menor. Um túnel é selecionado quando o número aleatório está em seu pool de números associado. É mais provável, em média, que o número aleatório esteja em um pool maior, portanto, é mais provável que um túnel com um peso maior (pool maior) seja selecionado do que um túnel com um peso menor (pool menor).

Por exemplo, considere um nível de preferência que tenha apenas dois túneis, 1 e 2. O Túnel 1 tem um limite máximo de 1000 sessões e o Túnel 2 tem um limite de 2000 sessões, resultando em um total agregado de 3000 sessões. O LAC gera um número aleatório de um pool de 3000 no intervalo de 0 a 2999. Um conjunto de 1000 números, a parte do intervalo de 0 a 999, está associado ao Túnel 1. Um conjunto de 2000 números, a parte do intervalo de 1000 a 2999, está associado ao Túnel 2.

  • Quando o número gerado for menor que 1000, o Túnel 1 será selecionado, mesmo que tenha um peso menor (1000) do que o Túnel 2 (2000).

  • Quando o número gerado for 1000 ou maior, o Túnel 2 será selecionado.

Como o conjunto de números gerados possíveis para o Túnel 2 (2000) é o dobro do do Túnel 1 (1000), o Túnel 2, em média, é selecionado duas vezes mais que o Túnel 1.

Balanceamento de carga com destino igual

O balanceamento de carga igual ao destino avalia os túneis de acordo com o número de sessões até o destino e o número de sessões transportadas pelo túnel para distribuir a carga da sessão igualmente entre todos os túneis. O túnel com um destino que tem a menor contagem de sessões é considerado como tendo a carga mais leve. Esse processo opera em túneis no nível de preferência mais alto disponível e usa as seguintes diretrizes:

  • Quando cada túnel vai para um destino separado e apenas um destino tem a menor contagem de sessões entre todos os destinos, o LAC seleciona o túnel para esse destino.

  • Quando cada túnel vai para um destino separado e mais de um destino tem a mesma contagem de sessões mais baixa, o LAC seleciona um túnel aleatoriamente entre os túneis para esses destinos.

  • Quando mais de um túnel vai para o mesmo destino e esse destino tem a menor contagem de sessões de destino, o LAC seleciona entre esses túneis aquele que tem o menor número total de sessões de túnel. Se a contagem de sessões do túnel for a mesma para todos esses túneis, o LAC selecionará um deles aleatoriamente.

Considere os cenários a seguir para entender melhor o comportamento da seleção de túnel quando o balanceamento de carga de destino igual está habilitado.

No Cenário 1, cada túnel tem um destino válido diferente e apenas a contagem de sessões de destino é avaliada:

  • Túnel 1, nível de preferência 1, 192.168.1.1, contagem de sessões de destino = 200

  • Túnel 2, nível de preferência 1, 192.168.2.2, contagem de sessões de destino = 50

  • Túnel 3, nível de preferência 1, 192.168.3.3, contagem de sessões de destino = 300

  • Túnel 4, nível de preferência 1, 192.168.4.4, contagem de sessões de destino = 100

Quando o primeiro usuário PPP tenta se conectar ao domínio, o LAC seleciona o Túnel 2, porque ele está no nível de preferência mais alto, 1, e tem o destino válido, B, com a menor contagem de sessões, 50.

Quando usuários adicionais do PPP tentam se conectar ao domínio, o LAC age da seguinte maneira:

  1. O túnel 2 continua a ser selecionado até que a contagem de sessões para 192.168.2.2 seja igual a 100, correspondendo à próxima contagem de sessões mais baixa, 192.168.4.4 no túnel 4.

  2. Quando o próximo assinante faz login, o LAC seleciona aleatoriamente entre o Túnel 2 e o Túnel 4, porque seus destinos têm a mesma contagem de sessões, que é menor do que a dos outros destinos.

  3. Qualquer que seja o túnel selecionado desse par, a contagem de sessões para seu destino agora é 101. O outro túnel é selecionado quando o próximo assinante faz login, pois tem a contagem de sessão de destino mais baixa de 100. Isso aumenta a contagem de sessões de destino para 101, correspondendo ao outro túnel.

  4. À medida que os assinantes continuam a fazer login, o LAC repete esse processo, selecionando aleatoriamente entre o Túnel 2 e o Túnel 4 quando a contagem de sessões corresponde e, em seguida, selecionando o outro túnel com o próximo assinante, até que a contagem de sessões de destino chegue a 200, correspondendo ao Túnel 1.

  5. Quando o próximo assinante faz login, o LAC agora seleciona aleatoriamente entre o Túnel 1, o Túnel 2 e o Túnel 4, porque 192.168.1.1, 192.168.2.2, 192.168.3.3 têm a mesma contagem de sessões de 200. A contagem de sessões de destino é aumentada para o túnel selecionado para 201, portanto, para o próximo assinante, o LAC seleciona aleatoriamente entre os outros dois túneis. Agora, dois túneis têm uma contagem de sessões de destino de 201, de modo que o LAC seleciona o túnel restante para o próximo assinante.

  6. À medida que os assinantes continuam a fazer login, o LAC repete esse processo, selecionando aleatoriamente entre o Túnel 1, o Túnel 2 e o Túnel 4 quando suas contagens de sessão correspondem, selecionando aleatoriamente entre o par restante para o próximo assinante e, em seguida, selecionando o túnel restante, para que a sessão de destino conte para que esses três túneis correspondam novamente. Esse padrão continua até que a contagem de sessões de destino para todos os três túneis atinja 300, correspondendo ao Túnel 3.

  7. Agora, os destinos de todos os quatro túneis têm a mesma contagem de sessões. Como há apenas quatro túneis, o padrão final é estabelecido. O LAC primeiro seleciona aleatoriamente entre todos os quatro túneis, depois os três restantes, depois o par restante e, finalmente, seleciona o último túnel. Quando as contagens de sessão de destino são todas iguais, o LAC inicia esse padrão novamente.

No Cenário 2, dois túneis compartilham o mesmo destino válido. A contagem de sessões do túnel e a contagem de sessões de destino são avaliadas:

  • Túnel 1, nível de preferência 1, contagem de sessões de túnel = 120, 192.168.1.1, contagem de sessões de destino = 200

  • Túnel 2, nível de preferência 1, contagem de sessões de túnel = 80, 192.168.1.1, contagem de sessões de destino = 200

  • Túnel 3, nível de preferência 1, 192.168.2.2, contagem de sessões de destino = 300

  • Túnel 4, nível de preferência 2, 192.168.3.3, contagem de sessões de destino = 100

Quando o primeiro usuário PPP tenta se conectar ao domínio, o LAC primeiro seleciona entre os destinos. Os túneis para 192.168.1.1 e 192.168.2.2 estão no nível de preferência 1. O LAC seleciona 192.168.1.1, porque tem uma contagem de sessões menor (200) do que 192.168.2.2 (300). O LAC então tem que escolher entre o Túnel 1 e o Túnel 2 porque ambos vão para 192.168.1.1. O LAC avalia a contagem de sessões do túnel. O Túnel 2 tem uma contagem menor (80) do que o Túnel 1 (120), portanto, o LAC seleciona o Túnel 2 para o primeiro assinante.

Quando usuários adicionais do PPP tentam se conectar ao domínio, o LAC age da seguinte maneira:

  1. O Túnel 2 continua a ser selecionado até que sua contagem de sessões de túnel aumente para 120, correspondendo ao Túnel 1.

  2. Quando o próximo assinante faz login, o LAC seleciona aleatoriamente entre o Túnel 1 e o Túnel 2, porque eles têm a mesma contagem de sessões de túnel. A contagem de sessões de túnel do túnel selecionado é aumentada para 121.

  3. Quando o próximo assinante faz login, o LAC seleciona o outro túnel para 192.168.1.1, porque ele tem uma contagem de sessões de túnel menor. A partir deste ponto, o LAC continua a alternar, primeiro fazendo uma seleção aleatória entre os túneis 1 e 2 e, em seguida, selecionando o outro túnel, até que a contagem de sessões de destino suba para 300, correspondendo à contagem de sessões para 192.168.2.2 no túnel 3. (Neste ponto, a contagem de sessões do túnel é 150 para o Túnel 1 e o Túnel 2.)

  4. Para o próximo assinante, o LAC seleciona aleatoriamente entre os túneis 1, 2 e 3.

    • Se o LAC selecionar o Túnel 1 ou o Túnel 2, a contagem de sessões 192.168.1.1 aumentará para 301. Consequentemente, o LAC seleciona o Túnel 3 para o próximo assinante porque a contagem de sessões 192.168.2.2 ainda é 300. Neste ponto, ambos os destinos têm a mesma contagem de sessões novamente.

    • Se o LAC selecionar o Túnel 3, a contagem de sessões de 192.168.2.2 aumentará para 301. Para o próximo assinante, o LAC seleciona aleatoriamente entre o Túnel 1 e o Túnel 2 porque ambos vão para 192.168.1.1. Qualquer que seja o LAC selecionado, a contagem de sessões de 192.168.1.1 sobe para 301. Neste ponto, ambos os destinos têm a mesma contagem de sessões novamente.

      Observação:

      A contagem de sessões de túnel para os túneis 1 e 2 não é mais avaliada; o LAC considera apenas a contagem de sessões de destino para 192.168.1.1 e 192.168.2.2.

      Esse padrão continua para todos os assinantes subsequentes.

No Cenário 3, cada túnel tem um destino válido diferente e apenas a contagem de sessões de destino é avaliada:

  • Túnel 1, nível de preferência 1, 192.168.1.1, contagem de sessões de destino = 100

  • Túnel 2, nível de preferência 1, 192.168.2.2, contagem de sessões de destino = 100

  • Túnel 3, nível de preferência 1, 192.168.3.3, contagem de sessões de destino = 100

  • Túnel 4, nível de preferência 1, 192.168.4.4, contagem de sessões de destino = 100

Quando o primeiro usuário PPP tenta se conectar ao domínio, o LAC determina que a contagem de sessões de destino é a mesma para todos os destinos para todos os quatro túneis no nível de preferência. Consequentemente, o LAC seleciona aleatoriamente entre os quatro túneis.

Suponha que o LAC selecione o Túnel 1 para o primeiro assinante.

Quando usuários adicionais do PPP tentam se conectar ao domínio, o LAC age da seguinte maneira:

  1. O LAC seleciona aleatoriamente entre os túneis 2, 3 e 4, porque os destinos 192.168.2.2, 192.168.3.3 e 192.168.4.4 têm a mesma contagem de sessões, 100, que é menor do que a contagem de sessões atual para 192.168.1.1, 101.

  2. Suponha que o LAC selecione o Túnel 2. Para o próximo assinante, o LAC seleciona aleatoriamente entre os túneis 3 e 4, porque 192.168.3.3 e 192.168.4.4 têm a mesma contagem de sessões, 100, que é menor do que a contagem de sessões atual de 101 para 192.168.1.1 e 192.168.2.2.

  3. Suponha que o LAC selecione o Túnel 3. Para o próximo assinante, o LAC seleciona o Túnel 4, porque 192.168.4.4 tem uma contagem de sessões de 100 e todos os outros destinos têm uma contagem de 101.

  4. Agora, os destinos de todos os quatro túneis têm a mesma contagem de sessões. Como há apenas quatro túneis, o padrão final é estabelecido. À medida que os assinantes continuam a fazer login, o LAC primeiro seleciona aleatoriamente entre todos os quatro túneis, depois os três restantes, depois o par restante e, por fim, seleciona o último túnel. Quando as contagens de sessão de destino são todas iguais, o LAC inicia esse padrão novamente.

No Cenário 4, o LAC avalia os limites da sessão de destino e os limites máximos da sessão do túnel:

  • Túnel 1, nível de preferência 1, 192.168.1.1, contagem de sessões de destino = 30, limite máximo de sessões do túnel = 200

  • Túnel 2, nível de preferência 1, 192.168.2.2, contagem de sessões de destino = 40, limite máximo de sessões do túnel = 200

  • Túnel 3, nível de preferência 1, 192.168.3.3, contagem de sessões de destino = 300, limite máximo de sessões do túnel = 1000

  • Túnel 4, nível de preferência 2, 192.168.4.4, contagem de sessões de destino = 100

Quando o primeiro usuário PPP tenta se conectar ao domínio, o LAC seleciona o Túnel 1, porque 192.168.1.1 tem a menor contagem de sessões no nível de preferência.

Quando usuários adicionais do PPP tentam se conectar ao domínio, o LAC age da seguinte maneira:

  1. O LAC continua a selecionar o Túnel 1 até que a contagem de sessões de destino para 192.168.1.1 seja igual a 40, correspondendo à contagem para 192.168.2.2 no Túnel 2.

  2. Quando o próximo assinante faz login, o LAC seleciona aleatoriamente entre o Túnel 1 e o Túnel 2, porque seus destinos têm a mesma contagem de sessões e é menor do que a do Túnel 3 (300).

  3. Qualquer que seja o túnel selecionado desse par, a contagem de sessões para seu destino agora é 41. O outro túnel é selecionado quando o próximo assinante faz login, pois tem a contagem de sessão de destino mais baixa de 40. Isso aumenta a contagem de sessões de destino para 41, correspondendo ao outro túnel.

  4. À medida que os assinantes continuam a fazer login, o LAC repete esse processo, selecionando aleatoriamente entre o Túnel 1 e o Túnel 2 quando suas contagens de sessão correspondem e, em seguida, selecionando o outro túnel com o próximo assinante, até que a contagem de sessões de destino chegue a 200, correspondendo ao limite máximo de sessão do túnel de 200. Como ambos os túneis atingiram seu limite máximo de sessão, eles não estão disponíveis para seleção.

  5. À medida que os assinantes continuam a fazer login, o LAC seleciona o túnel restante no nível de preferência, Túnel 3, até que a contagem de sessões para seu destino atinja o limite máximo de sessões para o túnel, 1000.

  6. Quando o próximo assinante faz login, o LAC cai para o próximo nível de preferência e seleciona o Túnel 4, porque é o único túnel nesse nível.

  7. À medida que os assinantes continuam a fazer login, o LAC continua a selecionar o Túnel 4, porque nenhum limite máximo de sessão está configurado para esse túnel. O LAC pode selecionar subsequentemente um túnel no nível de preferência mais alto somente quando uma sessão é encerrada para um dos túneis nesse nível, diminuindo sua contagem de sessões abaixo do limite máximo.

No Cenário 5, um dos destinos está bloqueado:

  • Túnel 1, nível de preferência 1, 192.168.1.1, contagem de sessões de destino = 100, destino bloqueado

  • Túnel 2, nível de preferência 1, 192.168.2.2, contagem de sessões de destino = 200

  • Túnel 3, nível de preferência 1, 192.168.3.3, contagem de sessões de destino = 250

Quando o primeiro usuário PPP tenta se conectar ao domínio, o LAC não pode selecionar o Túnel 1, mesmo que seu destino tenha a menor contagem de sessões, porque o túnel está no estado de bloqueio de destino. O túnel 1 não pode ser considerado até que esteja fora do estado bloqueado. O LAC seleciona o Túnel 2 porque a contagem de sessões para 192.168.2.2 é menor do que para 192.168.3.3.

Quando usuários PPP adicionais tentam se conectar ao domínio, o que acontece a seguir depende de quando 192.168.1.1 emerge do estado de bloqueio. Enquanto 192.168.1.1 estiver bloqueado, o LAC faz as seleções da seguinte forma:

  1. O LAC continua a selecionar o Túnel 2 até que a contagem de sessões para 192.168.2.2 seja igual a 250, correspondendo à contagem para 192.168.3.3 no Túnel 3.

  2. Quando o próximo assinante faz login, o LAC seleciona aleatoriamente entre o Túnel 2 e o Túnel 3, porque seus destinos têm a mesma contagem de sessões, 250.

  3. Qualquer que seja o túnel selecionado a partir deste par, a contagem de sessões para seu destino agora é 251. O outro túnel é selecionado quando o próximo assinante faz login, pois tem a contagem de sessões de destino mais baixa de 250. Isso aumenta sua contagem de sessões de destino para 251, correspondendo ao outro túnel.

  4. À medida que os assinantes continuam a fazer login, o LAC repete esse processo, selecionando aleatoriamente entre o Túnel 2 e o Túnel 3 quando a contagem de sessões corresponde e, em seguida, selecionando o outro túnel com o próximo assinante.

Sempre que 192.168.1.1 emerge do estado de bloqueio, o LAC seleciona o Túnel 1 para o próximo assinante porque 192.168.1.1 tem a menor contagem de sessões. O LAC continua a fazer isso até que a contagem de sessões para 192.168.1.1 corresponda à contagem de sessões atual para qualquer um dos outros destinos. Desse ponto em diante, o LAC alterna uma seleção aleatória entre túneis com contagens de sessão de destino correspondentes e, em seguida, seleciona o túnel com a contagem mais baixa.

Sempre que 192.168.1.1 emerge do estado de bloqueio,

  1. O LAC seleciona o Túnel 1 para o próximo assinante porque 192.168.1.1 tem a menor contagem de sessões.

  2. O LAC continua a selecionar o Túnel 1 até que a contagem de sessões para 192.168.1.1 corresponda à contagem de sessões atual para qualquer um dos outros destinos.

  3. Desse ponto em diante, o LAC alterna uma seleção aleatória entre túneis com contagens de sessão de destino correspondentes e, em seguida, seleciona o túnel com a contagem mais baixa.

Visão geral dos limites de sessão L2TP

Quando uma solicitação de sessão L2TP é iniciada, o LNS ou o LAC verifica o número de sessões ativas atuais em relação ao número máximo de sessões permitidas para o chassi, túneis, um grupo de túneis, um cliente (dispositivo host solicitante) ou um grupo de clientes. Novas solicitações de sessão são rejeitadas quando o limite de sessão configurado é atingido.

Quando uma sessão é solicitada, o LNS verifica os limites de sessão na seguinte ordem:

Chassi > túnel > grupo túnel > grupo de limite de sessão > cliente

Em cada nível, o LNS determina se a contagem de sessões atuais é menor que o limite configurado. Quando isso é verdadeiro ou quando nenhum limite é configurado, a verificação é aprovada e o LNS prossegue para verificar o próximo nível. Se, em qualquer nível, a contagem de sessões atual for igual ao limite configurado, o LNS rejeitará a solicitação de sessão e não verificará nenhum outro nível. Caso contrário, a sessão pode ser estabelecida.

Quando uma solicitação de sessão é rejeitada para um túnel existente, uma mensagem de notificação de desconexão de chamada (CDN) com um código de resultado e um código de erro definidos como 4 é retornada em resposta à solicitação de chamada de entrada (ICRQ). Quando a solicitação rejeitada é para um novo túnel, o túnel é estabelecido, mas a sessão não é ativada, fazendo com que o túnel seja desativado porque não tem sessões.

O LAC realiza a mesma verificação, mas apenas para os níveis de chassi e túnel. O LAC rejeita solicitações retornando uma mensagem de encerramento PPP ao cliente.

Você pode configurar limites de sessão para o chassi, todos os túneis, um grupo de túneis, um grupo de clientes ou um cliente individual. Os cenários a seguir descrevem o que acontece para diferentes configurações de limites de sessão.

Cenário 1: limite de chassi

Na Tabela 1, a contagem de sessões L2TP atual é de 10.000 e o limite de sessão é configurado como 10.000 em todos os níveis. Quando uma nova sessão é solicitada, a primeira verificação no nível do chassi falha, porque a contagem de sessões atual corresponde ao limite configurado. Nenhuma outra verificação é executada nos outros níveis e a solicitação de sessão é rejeitada. Nenhuma nova sessão é permitida em nenhum nível até que a contagem de sessões atual caia abaixo de 10.000.

Tabela 1: Cenário 1, limite do chassi

Nível

Limite de sessão configurado

Contagem de sessões atual exibida por show services l2tp summary comando

Resultado da verificação de limite de sessão

Chassi

10,000

10,000

Falha

Túnel A

10,000

10,000

Grupo de túneis B

10,000

10,000

Grupo de limite de sessão

10,000

10,000

Cliente

10,000

10,000

Cenário 2: limite do túnel

Na Tabela 2, a contagem atual de sessões L2TP é 2000. Quando uma nova sessão é solicitada, a primeira verificação no nível do chassi é aprovada porque o limite configurado permite até 10.000 sessões no chassi, mas apenas 2000 sessões estão ativas no momento. A próxima verificação, no nível do túnel, falha, porque a contagem de sessões atual corresponde ao limite configurado do túnel de limite de 2000 para o túnel A.

Nenhuma outra verificação é executada nos outros níveis e a solicitação de sessão é rejeitada.

Tabela 2: Cenário 2, limite do túnel

Nível

Limite de sessão configurado

Contagem de sessões atual exibida por show services l2tp summary comando

Resultado da verificação de limite de sessão

Chassi

10,000

2000

Passe

Túnel A

2000

2000

Falha

Grupo de túneis B

10,000

2000

Grupo de limite de sessão

6000

2000

Cliente

6000

2000

Nenhuma nova sessão é permitida no túnel A até que sua contagem de sessões atual caia abaixo de 2000 e a verificação de sessão possa ser aprovada. Se isso acontecer, as verificações de outro nível serão aprovadas nesse cenário porque seus limites configurados são maiores que suas contagens atuais.

O limite de sessão de 2000 se aplica a todos os túneis; ou seja, cada túnel ativo tem um limite independente de 2000 sessões. A falha de um túnel não tem efeito em outros túneis. Uma solicitação de sessão em qualquer outro túnel é aprovada, desde que a contagem de sessões atual para esse túnel seja menor que 2000.

Cenário 3: Limite do grupo de túneis

Na Tabela 3, a contagem atual de sessões L2TP é 2000. Quando uma nova sessão é solicitada, a primeira verificação no nível do chassi é aprovada porque o limite configurado permite até 10.000 sessões no chassi, mas apenas 2000 sessões estão ativas no momento. A segunda verificação, no nível do túnel, também passa pelo mesmo motivo. A próxima verificação, no nível do grupo de túneis para o grupo de túneis B, falha, porque a contagem de sessões atual para o grupo de túneis B corresponde ao limite configurado do grupo de túneis de 2000.

Nenhuma outra verificação é executada nos outros níveis e a solicitação de sessão é rejeitada.

Tabela 3: Cenário 3, limite do grupo de túneis

Nível

Limite de sessão configurado

Contagem de sessões atual exibida por show services l2tp summary comando

Resultado da verificação de limite de sessão

Chassi

10,000

2000

Passe

Túnel A

10,000

2000

Passe

Grupo de túneis B

2000

2000

Falha

Grupo de limite de sessão

6000

2000

Cliente

6000

2000

Nenhuma nova sessão é permitida no grupo de túneis B até que sua contagem de sessões atual caia abaixo de 2000 e a verificação de sessão possa ser aprovada. Se isso acontecer, as outras verificações de nível poderão ser aprovadas porque seus limites configurados são maiores que suas contagens atuais.

Para grupos de túneis, o limite de sessão é configurado por grupo; ou seja, você não pode especificar um único limite que se aplique a todos os grupos de túneis. A falha de qualquer grupo de túneis não tem efeito sobre outros grupos de túneis. Nesse cenário, uma solicitação de sessão em qualquer outro grupo de túneis será aprovada se a contagem de sessões atual para esse grupo for menor que o limite de sessão configurado.

Cenário 4: Limite de grupo de limite de sessão

Na Tabela 4, a contagem atual de sessões L2TP é 6000. Quando uma nova sessão é solicitada, a verificação passa para o chassi, o túnel e o grupo de túneis porque o limite configurado para cada um permite até 10.000 sessões, mas apenas 6000 sessões estão ativas no momento. A verificação no grupo de limite de sessão falha, porque a contagem de sessões atual para o grupo de limite de sessão slg1 corresponde ao limite configurado de 6000.

Nenhuma verificação adicional é executada no nível restante e a solicitação de sessão é rejeitada.

Tabela 4: Cenário 4, limite de grupo de limite de sessão

Nível

Limite de sessão configurado

Contagem de sessões atual exibida por show services l2tp summary comando

Resultado da verificação de limite de sessão

Chassi

10,000

6000

Passe

Túnel A

10,000

6000

Passe

Grupo de túneis B

10,000

6000

Passe

Grupo de limite de sessão slg1

6000

6000

Falha

Cliente

8000

2000

Nenhuma nova sessão é permitida para nenhum cliente no grupo de limite de sessão slg1 até que a contagem de sessões atual do grupo caia abaixo de 6000 e a verificação de sessão possa ser aprovada. Se isso acontecer, a verificação de nível restante poderá ser aprovada porque seu limite configurado é maior que sua contagem atual.

Você pode reconfigurar um grupo de limite de sessão removendo ou adicionando clientes sem afetar nenhuma sessão atual. A reconfiguração afeta o número de sessões disponíveis para serem estabelecidas para o grupo de clientes.

  • Se você remover um cliente, o número de novas sessões que podem ser estabelecidas aumentará pelo número de sessões atuais desse cliente.

  • Se você adicionar um cliente, o número de novas sessões que podem ser estabelecidas será reduzido pelo número de sessões atuais desse cliente. O novo total de sessões atuais para clientes existentes mais o novo cliente pode exceder o limite configurado para o grupo de limite de sessão. Nesse caso, nenhuma sessão é descartada, mas nenhuma nova sessão pode ser estabelecida até que a contagem de sessões caia abaixo do limite de grupo configurado.

Para explorar isso ainda mais, considere a seguinte sequência de eventos:

  1. O grupo de limite de sessão slg1 tem dois clientes, ent1-serviceA com uma contagem de sessão atual de 3500 e ent1-serviceB com uma contagem de sessão atual de 0. Como o grupo slg1 tem um limite de 6000, não mais do que 2500 sessões podem ser adicionadas para esses clientes:

    6000 - 3500 = 2500

  2. Em seguida, 1000 sessões são conectadas para o cliente ent1-service B. Agora, não mais do que 1500 sessões podem ser adicionadas para esses clientes:

    6000 - (3500 + 1000) = 1500

  3. Em seguida, suponha que você remova o cliente ent1-serviceA do grupo de limite de sessão. A capacidade da sessão de grupo aumenta para 5000 sessões:

    6000 - 1000 = 5000

  4. Por fim, você adiciona um novo cliente, ent1-serviceC, ao grupo de limite de sessão. Atualmente, esse novo cliente tem 8000 sessões ativas. Nesse caso, o grupo de limite de sessão agora tem 9000 sessões:

    1000 + 8000 = 9000

    Nenhuma sessão é descartada, mesmo que o limite máximo de sessão para o grupo, 6000, seja excedido. Nenhuma nova sessão pode ser adicionada até que a contagem de sessões caia de 9000 para menos de 6000.

Cenário 5: Limite de cliente individual

Na Tabela 5, a verificação de sessão é aprovada para o chassi, o túnel e o grupo de túneis porque seus limites configurados são maiores do que suas contagens de sessão atuais. O cliente, ent1-serviceA, não pertence a um grupo de limite de sessão. A verificação de limite falha para o cliente porque sua contagem de sessões atual corresponde ao limite configurado de 6000.

Tabela 5: Cenário 5, Limite de Cliente Individual

Nível

Limite de sessão configurado

Contagem de sessões atual exibida por show services l2tp summary comando

Resultado da verificação de limite de sessão

Chassi

10,000

6000

Passe

Túnel A

10,000

6000

Passe

Grupo de túneis B

8000

6000

Passe

Cliente ent1-serviceA

6000

6000

Falha

Nenhuma nova sessão é permitida para este cliente até que sua contagem de sessões atual caia abaixo de 6000 e a verificação de sessão possa ser aprovada. A falha de qualquer cliente independente não afeta outros clientes. Nesse cenário, uma solicitação de sessão para qualquer outro cliente independente será aprovada, se a contagem de sessão atual para esse cliente for menor que o limite de sessão configurado.

O limite de sessão que você define para um cliente individual — um que não faz parte de um grupo de limite de sessão — se aplica por grupo de túneis. Vários LACs com o mesmo nome de host de origem, mas endereços IP de origem diferentes, são tratados como o mesmo cliente.

Suponha que você tenha três LACs, A, B e C. Todos os três têm o mesmo nome de host de origem, ce-lac. O LAC A e o LAC B estabelecem sessões com um LNS por meio do endereço de gateway associado ao grupo de túneis 1. O LAC C estabelece sessões por meio de um gateway diferente associado ao grupo de túneis 2. Como os LACs têm o mesmo nome de host, a configuração do cliente é a mesma para os três. No entanto, o limite de sessão do cliente se aplica de forma diferente aos LACs por causa dos grupos de túneis.

Suponha que o limite de sessão do cliente seja 100. Como o LAC A e o LAC B criam sessões no grupo de túneis 1, eles devem compartilhar o limite de clientes. Isso significa que o número total de sessões permitidas para LAC A e LAC B combinados é 100.

O LAC C cria sessões em um grupo de túneis diferente, 2. Como o limite de sessão do cliente se aplica por grupo de túneis, o LAC C tem permissão para 100 sessões, independentemente de quantas sessões o LAC A e o LAC B já estabeleceram.

Limitação do número de sessões L2TP permitidas pelo LAC ou LNS

Você pode colocar um limite no número máximo de sessões L2TP permitidas para o chassi, todos os túneis, um grupo de túneis, um grupo de clientes, um cliente individual ou uma interface de serviço individual ou interface de serviço agregada. Novas solicitações de sessão são rejeitadas pelo LNS ou LAC quando o limite de sessão configurado é atingido. As solicitações de sessão também são rejeitadas quando o limite máximo do chassi é atingido, mesmo quando um limite configurado não é excedido. Os limites de sessão configuráveis fornecem um controle refinado do número de sessões que um cliente pode ter enquanto está conectado por LACs em vários locais.

Observação:

Você não pode definir o limite para ser maior do que o limite máximo padrão para o chassi.

Para limitar o número de sessões permitidas em um chassi (LAC ou LNS):

  • Configure o número máximo de sessões.

Para limitar o número de sessões por túnel para todos os túneis (LAC ou LNS):

  • Configure o número máximo de sessões.

    Você não pode definir o limite para mais de 65.535 sessões.

Para limitar o número de sessões para todos os túneis em um grupo de túneis (LNS) específico:

  • Configure o número máximo de sessões.

Para limitar o número de sessões permitidas em uma interface de serviço individual:

  • Configure o número máximo de sessões.

Para limitar o número de sessões permitidas em uma interface de serviço agregada individual:

  • Configure o número máximo de sessões.

    Observação:

    A configuração se aplica a todas as interfaces de membros; O limite não pode ser configurado para interfaces de membros individuais da interface de serviço agregada.

Para limitar o número de sessões para um grupo de clientes (LNS):

  1. Configure o número máximo de sessões.
  2. Associe um cliente ao grupo de limite de sessão.

Para limitar o número de sessões para um cliente que não é membro de um grupo de limite de sessão (LNS):

  • Configure o número máximo de sessões.

Observação:

Configurar o limite de sessão em qualquer nível para ser menor que o número de sessões que existem atualmente nesse nível não afeta as sessões existentes. O novo limite se aplica somente se o número de sessões cair abaixo do novo limite.

Você pode usar o show services l2tp summary extensive comando para exibir o limite de sessões configurado para um túnel:

O limite exibido para sessões configuradas é definido como o menor dos seguintes valores de sessão configurados:

  • Global (chassi) — (LAC e LNS) set services l2tp tunnel maximum-sessionsnumber

  • Perfil do túnel (túnel individual) — (LAC e LNS) set access tunnel-profile profile-name tunnel tunnel-idmax-sessionsnumber]

  • RADIUS— (LAC e LNS) Valor de VSA 26–33, sessões máximas de túnel

  • Perfil do host — (somente LNS) set access profile profile-name client client-name l2tp maximum-sessions-per-tunnel

Os valores configurados determinam o valor do campo a partir das seguintes versões do Junos OS: 19.2R3, 19.3R3, 19.4R3, 20.1R2, 20.2R2 e 20.3R1. Em versões anteriores, o campo exibe o valor do perfil do host para o LNS, mas exibe um valor fixo de 512.000 para o LAC.

Observação:

Após um GRES, um ISSU unificado ou uma reinicialização do processo jl2tpd, o valor desse campo é preciso somente depois que uma nova sessão surge no túnel. Até que isso aconteça, o campo mostra um valor de 65.535 em vez do valor configurado.

Suponha que você tenha dois túneis, o túnel A e o túnel B. Um GRES ocorre e o campo para cada túnel mostra 65.535. Quando uma nova sessão surge no túnel B, o valor desse túnel é atualizado para o valor configurado. Para o túnel A, o campo continua a mostrar 65.535 até que o túnel receba uma nova sessão.

Definindo o formato do nome do túnel

Por padrão, o nome de um túnel corresponde ao Tunnel-Assignment-Id [82] retornado pelo servidor AAA. Opcionalmente, você pode configurar o LAC para usar mais elementos na construção de um nome de túnel, incluindo a assignment-id-format client-server-id declaração no nível da [edit services l2tp tunnel] hierarquia. Esse formato usa três atributos: Tunnel-Client-Auth-Id [90], Tunnel-Server-Endpoint [67] e Tunnel-Assignment-Id [82]. Esses atributos correspondem, respectivamente, aos valores configurados no perfil do túnel para o nome do LAC (gateway de origem), o endereço do endpoint do túnel (gateway remoto) no LNS e o ID do túnel.

Uma consequência do client-server-id formato é que o LAC cria automaticamente um novo túnel quando o servidor AAA retorna um Tunnel-Client-Auth-Id diferente do retornado anteriormente.

Observação:

Antes de fazer o downgrade para uma versão do Junos OS que não oferece suporte a essa declaração, recomendamos que você desconfigure explicitamente o recurso incluindo a no assignment-id-format assignment-id [edit services l2tp tunnel] declaração no nível de hierarquia.

Para alterar a forma como o nome do túnel é formatado:

  • Configure o formato.

Configurando um perfil de túnel para acesso de assinante

O perfil do túnel especifica um conjunto de atributos para caracterizar o túnel. O perfil pode ser aplicado por um mapa de domínio ou automaticamente quando o túnel é criado.

Observação:

Os atributos RADIUS e VSAs podem substituir os valores configurados por um perfil de túnel em um mapa de domínio. Na ausência de um mapa de domínio, o RADIUS pode fornecer todas as características de um túnel. As etapas no procedimento a seguir listam o atributo RADIUS padrão ou VSA correspondente que você pode configurar em seu servidor RADIUS para modificar ou configurar o perfil do túnel.

Os atributos fornecidos pelo RADIUS são associados a um túnel por uma tag transportada no atributo, que corresponde ao identificador do túnel. Uma tag de 0 indica que a tag não é usada. Se o L2TP receber um atributo RADIUS com uma tag de 0, o atributo não poderá ser mesclado com a configuração do perfil de túnel correspondente ao domínio do assinante porque um perfil de túnel não pode fornecer uma tag de túnel (identificador de túnel) de 0. Somente tags no intervalo de 1 a 31 são suportadas.

Para configurar uma definição de túnel para um perfil de túnel:

  1. Especifique o perfil de túnel para o qual você está definindo um túnel. (Grupo de túneis [26-64])
  2. Especifique um identificador (nome) para a conexão de controle L2TP para o túnel.
  3. Configure o endereço IP do endpoint de túnel L2TP local, o LAC. (túnel-cliente-endpoint [66])
  4. Configure o endereço IP do endpoint de túnel L2TP remoto, o LNS. (endpoint do servidor de túnel [67])
  5. (Opcional) Configure o nível de preferência para o túnel. (Preferência de túnel [83])
  6. (Opcional) Configure o nome de host do cliente local (LAC). (Tunnel-client-auth-id [90])
  7. (Opcional) Configure o nome do host do servidor remoto (LNS). (tunnel-server-auth-id [91])
  8. (Opcional) Especifique o tipo de meio (rede) para o túnel. (tipo de túnel médio [65])
  9. (Opcional) Especifique o tipo de protocolo para o túnel. (Tipo de túnel [64])
  10. (Opcional) Configure a ID de atribuição para o túnel. (id de atribuição de túnel [82])
  11. (Opcional) Configure o número máximo de sessões permitidas no túnel. (sessões máximas de túnel [26-33])
  12. (Opcional) Configure a senha para autenticação do servidor remoto. (Atributo RADIUS padrão Tunnel-Password [69] ou VSA Tunnel-Password [26-9])
  13. (Opcional) Configure o sistema lógico a ser usado para o túnel.

    Se você configurar um sistema lógico, também deverá configurar uma instância de roteamento.

  14. (Opcional) Configure a instância de roteamento a ser usada para o túnel. (roteador virtual de túnel [26-8])

    Se você configurar uma instância de roteamento, a configuração de um sistema lógico será opcional.

  15. (Opcional) Habilite o LAC para interoperar com dispositivos Cisco LNS. (método tunnel-nas-port [26-30])

O exemplo a seguir mostra uma configuração completa para um perfil de túnel:

Configuração dos parâmetros de seleção de túnel L2TP LAC

Quando o LAC determina que uma sessão PPP deve ser tunelada, ele seleciona um túnel do conjunto de túneis associados ao usuário PPP ou ao domínio do usuário PPP. Você pode configurar como um túnel é selecionado e se determinadas informações são enviadas pelo LAC para o LNS.

Para configurar os parâmetros de seleção de túnel:

  1. (Opcional) Configure como um túnel é selecionado quando uma tentativa de conexão falha.

    Consulte Configuração do failover de seleção de túnel LAC dentro de um nível de preferência.

  2. (Opcional) Configure como as sessões são balanceadas entre os túneis.

    Consulte Configuração do balanceamento de carga ponderado para sessões de túnel LAC.

  3. (Opcional) Configure as sessões para serem balanceadas entre os túneis dentro de um nível de preferência, distribuindo as sessões igualmente entre todos os túneis.

    Consulte Configuração do balanceamento de carga igual ao destino para sessões de túnel LAC.

Configuração do failover de seleção de túnel LAC dentro de um nível de preferência

Você pode configurar como a seleção do túnel LAC continua no caso de uma falha na conexão. Por padrão, quando o roteador não consegue se conectar a um destino em um determinado nível de preferência, ele tenta se conectar no próximo nível inferior. Você pode especificar que o roteador tente se conectar a outro destino no mesmo nível da tentativa fracassada.

Se todos os destinos em um nível de preferência estiverem marcados como inalcançáveis, o roteador não tentará se conectar a um destino nesse nível. Ele cai para o próximo nível de preferência inferior para selecionar um destino.

Se todos os destinos em todos os níveis de preferência estiverem marcados como inalcançáveis, o roteador escolherá o destino que falhou primeiro e tentará fazer uma conexão. Se a conexão falhar, o roteador rejeitará a sessão do usuário PPP sem tentar entrar em contato com o roteador remoto.

Por exemplo, suponha que haja quatro túneis para um domínio: A, B, C e D. Todos os túneis são considerados alcançáveis e os níveis de preferência são atribuídos da seguinte forma:

  • A e B na preferência 0

  • C e D de preferência 1

Quando o roteador tenta se conectar ao domínio, suponha que ele selecione aleatoriamente o túnel B da preferência 0. Se não conseguir se conectar ao túnel B, o roteador excluirá o túnel B por cinco minutos e tentará se conectar ao túnel A. Se essa tentativa também falhar, o roteador cai para a preferência 1. Em seguida, suponha que o roteador selecione o túnel C. Se ele também não conseguir se conectar ao túnel C, o roteador excluirá o túnel C por cinco minutos e tentará se conectar ao túnel D.

Você configura o nível de preferência usado para este método de seleção de túnel no perfil de túnel ou no atributo RADIUS Tunnel-Preference [83].

Para habilitar o failover de seleção de túnel dentro de um nível de preferência:

  • Especifique o failover dentro da preferência.

Configuração do balanceamento de carga ponderado para sessões de túnel LAC

Por padrão, o LAC L2TP seleciona túneis para novas sessões aleatoriamente dentro do nível de preferência mais alto disponível. Você pode configurar o LAC para distribuir sessões entre túneis no nível de preferência mais alto disponível, avaliando o peso de cada túnel. Esse método é conhecido como balanceamento de carga ponderado. O peso de um túnel é proporcional ao seu limite máximo de sessão e aos limites máximos de sessão dos outros túneis no mesmo nível de preferência. Quando você configura o balanceamento de carga ponderada, o LAC ainda seleciona túneis aleatoriamente dentro de um nível de preferência, mas, em média, as sessões são distribuídas entre os túneis em relação aos pesos do túnel.

Para configurar o balanceamento de carga ponderada:

  • Especifique o balanceamento de carga.

Configuração do balanceamento de carga igual ao destino para sessões de túnel LAC

Por padrão, o LAC L2TP seleciona túneis para novas sessões aleatoriamente dentro do nível de preferência mais alto disponível. A partir do Junos OS Release 15.1, você pode configurar o LAC para distribuir sessões igualmente por todos os túneis no nível de preferência mais alto disponível, avaliando o número de sessões para os destinos e o número de sessões transportadas pelos túneis. Esse método de distribuição é conhecido como balanceamento de carga de destino igual. O LAC seleciona o túnel com a carga mais leve, de acordo com as seguintes diretrizes:

  • Quando cada túnel vai para um destino separado e apenas um destino tem a menor contagem de sessões entre todos os destinos, o LAC seleciona o túnel para esse destino.

  • Quando cada túnel vai para um destino separado e mais de um destino tem a mesma contagem de sessões mais baixa, o LAC seleciona um túnel aleatoriamente entre os túneis para esses destinos.

  • Quando mais de um túnel vai para o mesmo destino e esse destino tem a menor contagem de sessões de destino, o LAC seleciona entre esses túneis aquele que tem o menor número total de sessões de túnel. Se a contagem de sessões do túnel for a mesma para todos esses túneis, o LAC selecionará um deles aleatoriamente.

Para configurar o balanceamento de carga igual a destino:

  • Especifique o balanceamento de carga igual ao destino.

Habilitação do LAC para serviços IPv6

Você pode configurar o LAC para criar a família de endereços IPv6 (inet6) ao tunelamento dos assinantes para o LNS. Os filtros de firewall IPv6 podem então ser aplicados pelos serviços no LAC ao tráfego de assinantes. Por padrão, o LAC requer apenas o family inet para permitir o encaminhamento para um túnel IP. O LAC pode aplicar filtros de firewall IPv4 à sessão. Mesmo quando a família inet6 está incluída no perfil dinâmico, por padrão ela não é criada para conservar recursos, porque não é necessária. Consequentemente, os filtros de firewall IPv6 não podem ser aplicados.

Para habilitar a criação da família de endereços IPv6 e a aplicação de filtros de firewall IPv6:

  • Configurar ativação.

Você pode usar o show services l2tp summary comando para exibir se a instrução está habilitada ou desabilitada.

Testando configurações de túnel L2TP a partir do LAC

Você pode testar configurações de túnel L2TP no LAC e autenticação e tunelamento de assinante bem-sucedidos sem trazer um usuário PPP e um túnel associado.

Emita o test services l2tp tunnel comando do modo operacional da CLI para mapear um assinante para um túnel L2TP, verifique a configuração do túnel L2TP (localmente no LAC e em um servidor backend, como um servidor RADIUS) e verifique se os túneis L2TP do LAC podem ser estabelecidos com o LNS remoto.

A implementação do Junos OS LAC permite configurar vários túneis, dos quais um túnel é escolhido para tunelamento de um assinante PPP. Você pode usar o test services l2tp tunnel comando para testar todas as configurações de túnel possíveis para verificar se cada uma pode ser estabelecida. Como alternativa, você pode testar apenas um túnel específico para o assinante.

Você deve especificar um nome de usuário de assinante configurado ao emitir o comando. O teste gera uma senha fictícia — testpass — para o assinante ou, opcionalmente, você pode especificar a senha. O teste verifica se o assinante identificado por esse nome de usuário pode ser tunelado de acordo com a configuração do túnel. Se o assinante puder ser tunelado, o teste verificará se o túnel L2TP pode ser estabelecido com o LNS de acordo com a configuração L2TP.

Opcionalmente, você pode especificar uma ID de túnel, caso em que apenas esse túnel é testado; O túnel já deve estar configurado para esse nome de usuário. Se você omitir essa opção, o teste será aplicado ao conjunto completo de configurações de túnel que são retornadas para o nome de usuário. A ID do túnel especificada é a mesma usada por Tunnel-Assignment-Id (atributo RADIUS 82) e especificada pela identification instrução no perfil do túnel.

Para testar a autenticação do assinante e a configuração do túnel:

  • Especifique apenas o nome de usuário.

    Exemplo 1:

    O usuário falhou na autenticação com a senha gerada e, consequentemente, não foi tunelado.

    Exemplo 2:

    Esse usuário foi autenticado com a senha gerada e encapsulado com êxito. Descobriu-se que um conjunto de túneis estava associado a esse nome de usuário e todo o conjunto foi testado.

  • Especifique o nome de usuário e a senha configurada do usuário.

    O assinante foi autenticado. No entanto, o usuário foi encerrado localmente em vez de tunelado; Isso significa que nenhum túnel foi encontrado associado ao usuário.

  • Especifique o nome de usuário e um túnel específico para o assinante.

    O assinante foi autenticado e encapsulado. O túnel especificado foi localizado para o assinante e o túnel foi estabelecido, confirmando a configuração do túnel.

  • Especifique o nome de usuário, a senha configurada do usuário e um túnel.

    O assinante foi autenticado e encapsulado. A ausência de informações de túnel na saída indica que a configuração de túnel especificada não existe.

Documentação relacionada

Tabela de histórico de alterações

A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.

Lançamento
Descrição
20.3R1
Os valores configurados determinam o valor do campo a partir das seguintes versões do Junos OS: 19.2R3, 19.3R3, 19.4R3, 20.1R2, 20.2R2 e 20.3R1.
15.1
A partir do Junos OS Release 15.1, você pode configurar o LAC para distribuir sessões igualmente por todos os túneis no nível de preferência mais alto disponível, avaliando o número de sessões para os destinos e o número de sessões transportadas pelos túneis.