EN ESTA PÁGINA
Configuración de un LNS L2TP con interfaces de servicio en línea
Aplicación de atributos PPP a suscriptores LNS L2TP por interfaz de servicio en línea
Aplicación de atributos PPP a suscriptores LNS L2TP con un perfil de grupo de usuarios
Configuración de un conjunto de asignación de direcciones para LNS L2TP con servicios en línea
Configuración de una interfaz de servicio en línea para LNS L2TP
Opciones de configuración para la interfaz lógica de servicios en línea de LNS
Configuración de redundancia de estado de LNS 1:1 en interfaces de servicio en línea agregadas
Verificar la redundancia 1:1 de la interfaz de servicio en línea agregada de LNS
Límites de sesión L2TP y equilibrio de carga para interfaces de servicio
Configuración de un grupo de túneles L2TP para sesiones LNS con interfaces de servicios en línea
Configuración de un conjunto de interfaces de servicios en línea para sesiones LNS dinámicas
Configuración de un perfil dinámico para sesiones LNS dinámicas
Interfaces de servicio en línea LNS L2TP
Configuración de un LNS L2TP con interfaces de servicio en línea
La licencia de función LNS L2TP debe instalarse antes de comenzar la configuración. De lo contrario, se mostrará un mensaje de advertencia cuando se confirme la configuración.
Para configurar un LNS L2TP con interfaces de servicio en línea:
También debe configurar CoS para sesiones LNS. Para obtener más información, consulte Configuración de CoS dinámica para un servicio en línea LNS L2TP.
Aplicación de atributos PPP a suscriptores LNS L2TP por interfaz de servicio en línea
Puede configurar los atributos PPP aplicados por LNS en la interfaz del servicio en línea (si) a los suscriptores PPP tunelizados desde la LAC. Dado que está configurando los atributos por interfaz en lugar de con un perfil de grupo de usuarios, los atributos para suscriptores se pueden variar con un detalle más fino. Esta configuración coincide con la utilizada para los suscriptores PPPoE terminados.
Para configurar los atributos PPP para interfaces si creadas dinámicamente:
Para configurar los atributos PPP para interfaces si creadas estáticamente:
Especifique la interfaz lógica del servicio en línea.
[edit interfaces si-slot/pic/port] user@host# edit unit logical-unit-number
Configure el intervalo entre los mensajes keepalive de PPP para el túnel L2TP que termina en el LNS.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set keepalives interval seconds
Configure la cantidad de paquetes keepalive que un destino no debe recibir antes de que la red desconecte un vínculo.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set keepalives down-count number
Nota:Esta
keepalives up-countopción no suele utilizarse para la administración de suscriptores.Configure los métodos de autenticación PPP que se aplican a los suscriptores PPP tunelizados en el LNS.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set ppp-options chap user@host# set ppp-options pap
Configure el enrutador para solicitar al equipo local del cliente (CPE) que negocie las direcciones DNS principal y secundaria durante la negociación del IPCP para los suscriptores PPP tunelizados en el LNS.
[edit interfaces si-slot/pic/port unit logical-unit-number] user@host# set ppp-options ipcp-suggest-dns-option
Aunque se admiten todas las demás instrucciones subordinadas a ppp-options—incluidas las subordinadas a chap y pap—, normalmente no se usan para la administración de suscriptores. Le recomendamos que deje estas otras instrucciones en sus valores predeterminados.
También puede configurar atributos PPP con un perfil de grupo de usuarios que aplique los atributos a todos los suscriptores con ese perfil en un cliente LAC. Consulte Aplicación de atributos PPP a suscriptores LNS L2TP con un perfil de grupo de usuarios para obtener más información. Cuando se configuran los atributos PPP para suscriptores LNS L2TP tanto en la interfaz si como en los perfiles de grupo de usuarios, la configuración de la interfaz de servicio en línea tiene prioridad sobre la configuración del perfil de grupo de usuarios.
Cuando las opciones PPP se configuran tanto en un perfil de grupo como en un perfil dinámico, la configuración del perfil dinámico tiene prioridad completa sobre el perfil de grupo cuando el perfil dinámico incluye una o más de las opciones PPP que se pueden configurar en el perfil de grupo. La prioridad completa significa que no hay fusión de opciones entre los perfiles. El perfil de grupo se aplica al suscriptor sólo cuando el perfil dinámico no incluye ninguna opción PPP disponible en el perfil de grupo.
Aplicación de atributos PPP a suscriptores LNS L2TP con un perfil de grupo de usuarios
Puede configurar un perfil de grupo de usuarios que permita a LNS aplicar atributos PPP a los suscriptores PPP tunelizados desde la LAC. El perfil de grupo de usuarios está asociado a clientes (LAC) en el perfil de acceso L2TP. En consecuencia, todos los suscriptores manejados por un cliente determinado comparten los mismos atributos PPP.
Para configurar un perfil de grupo de usuarios:
También puede configurar atributos PPP por interfaz. Consulte Aplicación de atributos PPP a suscriptores LNS L2TP por interfaz de servicio en línea para obtener más información. Cuando se configuran los atributos PPP para suscriptores LNS L2TP tanto en la interfaz si como en los perfiles de grupo de usuarios, la configuración de la interfaz de servicio en línea tiene prioridad sobre la configuración del perfil de grupo de usuarios.
Cuando las opciones PPP se configuran tanto en un perfil de grupo como en un perfil dinámico, la configuración del perfil dinámico tiene prioridad completa sobre el perfil de grupo cuando el perfil dinámico incluye una o más de las opciones PPP que se pueden configurar en el perfil de grupo. La prioridad completa significa que no hay fusión de opciones entre los perfiles. El perfil de grupo se aplica al suscriptor sólo cuando el perfil dinámico no incluye ninguna opción PPP disponible en el perfil de grupo.
Configuración de un perfil de acceso L2TP en LNS
Los perfiles de acceso definen cómo validar las conexiones del Protocolo de túnel de capa 2 (L2TP) y las solicitudes de sesión. Dentro de cada perfil de acceso L2TP, se configuran uno o varios clientes (LAC). Las características del cliente se utilizan para autenticar LAC con contraseñas coincidentes y para establecer atributos del túnel y la sesión del cliente. Puede configurar varios perfiles de acceso y varios clientes dentro de cada perfil.
Para configurar un perfil de acceso L2TP:
Configurar un perfil de acceso local AAA en LNS
En el caso de algunos túneles LNS, es posible que desee anular el perfil de acceso configurado en la instancia de enrutamiento que aloja el túnel con una configuración de servidor RADIUS determinada. Puede configurar un perfil de acceso local para hacerlo. Posteriormente, puede utilizar la aaa-access-profile instrucción para aplicar el perfil de acceso local a un grupo de túneles o a un cliente LAC.
Un perfil de acceso local aplicado a un cliente anula un perfil de acceso local aplicado a un grupo de túneles, que a su vez anula el perfil de acceso para la instancia de enrutamiento.
Para configurar un perfil de acceso local AAA:
Configuración de un conjunto de asignación de direcciones para LNS L2TP con servicios en línea
Puede configurar grupos de direcciones que se pueden asignar dinámicamente a los suscriptores PPP tunelizados. Los grupos deben ser locales para la instancia de enrutamiento en la que aparece el suscriptor. Los grupos configurados se proporcionan en los atributos RADIUS Framed-Pool y Framed-IPv6-Pool. Los grupos son opcionales cuando RADIUS envía la dirección IP enmarcada.
Para configurar un grupo de asignación de direcciones, debe especificar el nombre del grupo y configurar las direcciones del grupo.
Opcionalmente, puede configurar varios rangos o subconjuntos con nombre de direcciones dentro de un conjunto de asignación de direcciones. Durante la asignación dinámica de direcciones, a un cliente se le puede asignar una dirección de un rango con nombre específico. Para crear un rango con nombre, especifique un nombre para el rango y defina el rango de direcciones.
Asegúrese de utilizar la instrucción address-assignment pools (address-assignment) en lugar de la instrucción address pools (address-pool).
Para obtener más información acerca de los grupos de asignación de direcciones, consulte Descripción general de los grupos de asignación de direcciones y Descripción general de la configuración del grupo de asignación de direcciones.
Para configurar un conjunto de asignación de direcciones IPv4 para LNS L2TP:
Por ejemplo, para configurar un conjunto de asignación de direcciones IPv4:
[edit access] user@host# edit address-assignment pool lns-v4-pool family inet [edit access address-assignment pool lns-v4-pool family inet] user@host# set network 192.168.1.1/16 [edit access address-assignment pool lns-v4-pool family inet] user@host# set range lns-v4-pool-range low 192.168.1.1 high 192.168.255.255
Para configurar un conjunto de asignación de direcciones IPv6 para LNS L2TP:
Configure el nombre del grupo y especifique la familia IPv6.
[edit access] user@host# edit address-assignment pool pool-name family inet6
Configure el prefijo de red IPv6 para el conjunto de direcciones. La especificación de prefijo es necesaria cuando se configura un conjunto de asignación de direcciones IPv6.
[edit access address-assignment pool pool-name family inet6] user@host# set prefix ipv6-prefix
Configure el nombre del rango y defina el rango. Puede definir el rango en función de los límites inferior y superior de los prefijos del rango, o en función de la longitud de los prefijos del rango.
[edit access address-assignment pool pool-name family inet6] user@host# set range range-name low lower-limit high upper-limit
Por ejemplo, para configurar un conjunto de asignación de direcciones IPv6:
[edit access] user@host# edit address-assignment pool lns-v6-pool family inet6 [edit access address-assignment pool lns-v6-pool family inet6] user@host# set prefix 2001:DB8::/32 [edit access address-assignment pool lns-v6-pool family inet6] user@host# set range lns-v6-pool-range low 2001:DB8:1::/48 high 2001:DB8::ffff::/48
Configuración de la interfaz par LNS L2TP
La interfaz par conecta el LNS a la nube hacia los LAC para que los paquetes IP se puedan intercambiar entre los puntos de conexión del túnel. MPLS y Ethernet agregada también se pueden usar para llegar a los LAC.
En enrutadores de la serie MX, debe configurar la interfaz par en una MPC.
Para configurar la interfaz par LNS:
Habilitación de interfaces de servicio en línea
La interfaz de servicio en línea es una interfaz física virtual que reside en el motor de reenvío de paquetes. Esta si interfaz, conocida como interfaz de anclaje , permite proporcionar servicios L2TP sin una PIC de servicios especiales. La interfaz de servicio en línea solo es compatible con MPC en enrutadores de la serie MX. Se pueden configurar cuatro interfaces de servicio en línea por ranura de chasis ocupada por MPC.
En los enrutadores MX80 y MX104, solo puede configurar cuatro interfaces físicas de servicios en línea como interfaces de ancla para sesiones LNS L2TP: si-1/0/0, si-1/1/0, si-1/2/0 y si-1/3/0. No puede configurar si-0/0/0 para este propósito en enrutadores MX80 y MX104.
Aunque el rango de valores de ancho de banda va de 1 Gbps a 400 Gbps, no puede configurar el ancho de banda en números absolutos como 12.345.878.000 bps. Debe utilizar las opciones disponibles en la instrucción de la CLI:
1g10gen incrementos de100g10 Gbps:10g,20g,30g, ,90g50g60g70g80g40g100g100gen incrementos de400g100 Gbps:100g,200g,300g, ,400g
El ancho de banda máximo disponible varía entre las MPC, como se muestra en la Tabla 1. Se genera un mensaje de registro del sistema cuando se configura un ancho de banda superior al admitido en la MPC.
MPC |
Ancho de banda máximo admitido |
|---|---|
| MPC2E NG, MPC2E NG Q, |
80 Gbps |
MPC3E NG, MPC3E NG Q |
130 Gbps |
MPC3 y MIC de 100GE y 40GE |
40 Gbps |
MPC4E |
130 Gbps |
MPC5E |
130 Gbps |
MPC6E |
130 Gbps |
MPC7E |
240 Gbps |
MPC8E |
240 Gbps 400 Gbps en modo actualizado de 1,6 Tbps |
MPC9E |
400 Gbps |
Para habilitar interfaces de servicio en línea:
Configuración de una interfaz de servicio en línea para LNS L2TP
La interfaz de servicio en línea es una interfaz de servicio físico virtual que reside en el motor de reenvío de paquetes. Esta si interfaz, conocida como interfaz de anclaje , permite proporcionar servicios L2TP sin una PIC de servicios especiales. La interfaz de servicio en línea solo es compatible con MPC en enrutadores de la serie MX. Se pueden configurar cuatro interfaces de servicio en línea por ranura de chasis ocupada por MPC.
Puede maximizar el número de sesiones a las que se puede dar forma en una interfaz de servicio estableciendo el número máximo de niveles de jerarquía en dos. En este caso, cada sesión de LNS consume un nodo L3 en la jerarquía del programador para darle forma.
Si no especifica el número de niveles (dos es la única opción), el número de sesiones LNS a las que se puede dar forma en la interfaz de servicio se limita al número de nodos L2 o 4096 sesiones. Todavía surgen sesiones adicionales, pero no se les da forma.
Para configurar una interfaz de servicio en línea:
Opciones de configuración para la interfaz lógica de servicios en línea de LNS
Debe especificar características:dial-options para cada una de las interfaces lógicas de servicios en línea que configure para LNS. LNS en enrutadores de la serie MX solo admite una sesión por interfaz lógica, por lo que debe configurarla como una dedicated interfaz; la shared opción no se admite. (LNS en enrutadores de la serie M admite dedicated y shared ofrece.) También configure un nombre de identificación para la interfaz lógica que coincida con el nombre especificado en el perfil de acceso.
Debe especificar la familia de inet direcciones para cada interfaz lógica estática o en el perfil dinámico para interfaces LNS dinámicas. Aunque la CLI acepta una o inet inet6 para interfaces lógicas estáticas, el suscriptor no puede iniciar sesión correctamente a menos que la familia inet de direcciones esté configurada.
Para la configuración de interfaz dinámica, consulte Configurar un perfil dinámico para sesiones LNS dinámicas.
Para configurar las opciones de interfaz lógica estática:
Descripción general de la redundancia de estado 1:1 de LNS
De forma predeterminada, cuando una interfaz de anclaje de servicio en línea (si) deja de funcionar, por ejemplo, cuando la tarjeta que aloja la interfaz falla o se reinicia, se pierde el tráfico de suscriptores L2TP. Cuando el temporizador de keepalive PPP para el túnel expira posteriormente, el plano de control desciende y el cliente PPP se desconecta. En consecuencia, el cliente debe volver a conectarse.
Puede evitar pérdidas de tráfico en estas circunstancias configurando un paquete de interfaz de servicio en línea (asi) agregado para proporcionar redundancia de estado 1:1, también denominada redundancia de espera activa o copia de seguridad activa. El paquete consta de un par de interfaces físicas si, el vínculo miembro principal (activo) y el vínculo miembro secundario (en espera o de respaldo). Estas interfaces deben configurarse en diferentes MPC; La redundancia no se puede lograr si configura la interfaz principal y secundaria en la misma MPC, ya que ambas interfaces miembro dejan de funcionar si la tarjeta deja de funcionar.
Cuando los suscriptores inician sesión y se configura la redundancia 1:1, la sesión L2TP se establece a través de una interfaz lógica virtual subyacente (asi.0x) a través de la interfaz física asi0. Las interfaces lógicas del suscriptor individual se crean en la interfaz subyacente en el formato, asiX.logical-unit-number. La sesión permanece activa en caso de falla o reinicio en la MPC que aloja la interfaz de vínculo de miembro principal. Todo el tráfico de datos destinado a esta sesión L2TP se mueve automáticamente a la interfaz de vínculo de miembro secundario en la otra MPC.
Configuración de redundancia de estado de LNS 1:1 en interfaces de servicio en línea agregadas
Puede crear un paquete de interfaz de servicio en línea (asi) agregado para proporcionar redundancia de estado LNS 1:1 para interfaces de ancla de servicio en línea (si). El paquete empareja dos interfaces que residen en MPC diferentes como vínculos primarios y secundarios. Las sesiones de LNS se establecen posteriormente a través de una interfaz lógica virtual, asiX.logical-unit-number. La tolerancia a fallos de la sesión de LNS se produce cuando la interfaz de anclaje principal deja de funcionar o la tarjeta se reinicia con el request chassis fpc restart comando. Cuando esto sucede, el vínculo secundario (en una MPC diferente) se activa y todo el tráfico de datos de LNS destinado a la sesión se mueve automáticamente a la interfaz secundaria. La sesión del suscriptor permanece activa en laX asi.logical-unit-number interfaz virtual. No se pierden estadísticas de tráfico. Cuando esta redundancia no está configurada, se pierde el tráfico del suscriptor, las señales de mantenimiento caducan y el cliente PPP se desconecta y debe volver a conectarse.
Antes de comenzar, debe hacer lo siguiente:
Confirme que la administración mejorada de suscriptores esté habilitada.
Cree interfaces de servicio en línea en diferentes MPC para agregarlas al paquete.
Consulte Habilitación de interfaces de servicio en línea y Configuración de una interfaz de servicio en línea para LNS L2TP.
Si utiliza grupos de interfaces de servicio, defina los grupos de servicios.
Siga estas pautas:
Debe configurar
unit 0 family inetpara cada paquete; de lo contrario, la sesión no aparecerá.Las interfaces principal (activa) y secundaria (copia de seguridad) deben estar en MPC diferentes.
El ancho de banda configurado en el nivel de
[edit chassis fpc slot pic number inline-services bandwidth]jerarquía debe ser el mismo para ambos vínculos miembro.Una interfaz si configurada como miembro de un conjunto de interfaces de servicio en línea agregado no puede configurarse como miembro de otro grupo de paquetes.
Una interfaz si configurada como miembro de un paquete de interfaces de servicio en línea agregado tampoco se puede utilizar para ninguna función que no esté relacionada con servicios agregados; por ejemplo, no se puede utilizar para el reensamblaje de IP en línea.
Cuando se configura una interfaz si como miembro de un paquete de servicios insertados agregados, ya no se puede configurar esa interfaz si de forma independiente. Solo puede configurar el paquete principal; La configuración del paquete se aplica inmediatamente a todas las interfaces miembro.
Para configurar la redundancia de estado de LNS 1:1:
La siguiente configuración de ejemplo crea un paquete asi0 con vínculos de miembro en MPC en la ranura 1 y la ranura 2 y, a continuación, asigna el paquete para proporcionar redundancia para las sesiones L2TP en el grupo de túnel tg1:
[edit interfaces asi0] user@host# set aggregated-inline-services-options primary-interface si-1/0/0 user@host# set aggregated-inline-services-options secondary-interface si-2/0/0 user@host# set unit 0 family inet [edit chassis fpc 1 pic 0 inline-services] user@host# set bandwidth 10g [edit chassis fpc 2 pic 0 inline-services] user@host# set bandwidth 10g [edit services l2tp tunnel-group tg1] user@host# set service-interface asi0
Verificar la redundancia 1:1 de la interfaz de servicio en línea agregada de LNS
Propósito
Vea información sobre los paquetes de interfaces de servicio en línea agregados, los vínculos de miembros individuales y el estado de redundancia.
Acción
Para ver información resumida de un paquete de interfaces de servicio en línea agregado:
user@host> show interfaces asi0 terse Interface Admin Link Proto Local Remote asi0 up up asi0.0 up up inet
Para ver información detallada sobre un paquete de interfaces de servicio en línea agregado:
user@host> show interfaces asi0 extensive Physical interface: asi0, Enabled, Physical link is Up Interface index: 223, SNMP ifIndex: 734, Generation: 226 Type: Adaptive-Services, Link-level type: Adaptive-Services, MTU: 9192, Clocking: Unspecified, Speed: 20000mbps Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Internal: 0x4000 Link type : Full-Duplex Link flags : None Physical info : Unspecified Hold-times : Up 0 ms, Down 0 ms Current address: Unspecified, Hardware address: Unspecified Alternate link address: Unspecified Last flapped : 2014-01-20 23:35:02 PST (00:03:25 ago) Statistics last cleared: Never Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 IPv6 transit statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Input errors: Errors: 0, Drops: 0, Framing errors: 0, Runts: 0, Giants: 0, Policed discards: 0, Resource errors: 0 Output errors: Carrier transitions: 0, Errors: 0, Drops: 0, MTU errors: 0, Resource errors: 0 Logical interface asi0.0 (Index 356) (SNMP ifIndex 52241) (Generation 165) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: Adaptive-Services Traffic statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Local statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Transit statistics: Input bytes : 0 Output bytes : 0 Input packets: 0 Output packets: 0 Protocol inet, MTU: 9192, Generation: 198, Route table: 0 Flags: Sendbcast-pkt-to-rePara ver información acerca de una interfaz miembro individual en un paquete de interfaces de servicio en línea agregado:
user@host> show interfaces si-1/0/0 Physical interface: si-1/0/0, Enabled, Physical link is Up Interface index: 165, SNMP ifIndex: 630 Type: Adaptive-Services, Link-level type: Adaptive-Services, MTU: 9192, Speed: 10000mbps Device flags : Present Running Interface flags: Point-To-Point SNMP-Traps Internal: 0x4000 Link type : Full-Duplex Link flags : None Last flapped : Never Input rate : 0 bps (0 pps) Output rate : 0 bps (0 pps) Logical interface si-1/0/0.0 (Index 357) (SNMP ifIndex 52229) Flags: Point-To-Point SNMP-Traps 0x4000 Encapsulation: Adaptive-Services Input packets : 0 Output packets: 0 Protocol asi, AS bundle: asi0.0 Flags: Function2Para ver el estado de redundancia de los paquetes de interfaces de servicio en línea agregados:
user@host> show interfaces redundancy Interface State Last change Primary Secondary Current status asi0 On secondary 1d 23:56 si-1/0/0 si-2/0/0 primary down asi1 On primary 10:10:27 si-3/0/0 si-4/0/0 secondary down ae0 On primary 00:00:02 ge-1/0/0 ge-3/0/1 backup down ae2 On primary 00:00:01 ge-2/0/0 ge-4/0/1 both up
Ese resultado de ejemplo muestra que tanto la Ethernet agregada como las interfaces de servicio en línea agregadas están configuradas para la redundancia. Para mostrar solo uno de los paquetes de interfaces de servicio en línea agregados:
user@host> show interfaces redundancy asi0 Interface State Last change Primary Secondary Current status asi0 On secondary 1d 23:56 si-1/0/0 si-2/0/0 primary down
Para ver información detallada acerca de todas las interfaces de redundancia configuradas:
user@host> show interfaces redundancy detail Redundancy interfaces detail Interface : asi0 State : On primary Last change : 00:00:36 Primary : si-1/0/0 Secondary : si-3/0/0 Current status: both up Interface : ae0 State : On primary Last change : 00:01:30 Primary : ge-1/0/0 Secondary : ge-3/0/1 Current status : backup down
Límites de sesión L2TP y equilibrio de carga para interfaces de servicio
El LNS equilibra la carga de las sesiones de los suscriptores en las interfaces de servicio disponibles en un grupo de dispositivos en función del número de sesiones activas actualmente en las interfaces. Puede configurar un límite máximo por interfaz de servicio (si) y por interfaz de servicio agregada (asi). En el caso de las interfaces asi, no puede configurar un límite para las interfaces miembro si individuales del paquete.
- Límites de sesión en interfaces de servicio
- Equilibrio de carga de la sesión en las interfaces de servicio
Límites de sesión en interfaces de servicio
Cuando se inicia una solicitud de sesión L2TP para una interfaz de servicio, el LNS comprueba el número de sesiones activas actuales en esa interfaz con el número máximo de sesiones permitidas para la interfaz de servicio individual o la interfaz de servicio agregada. El LNS determina si el recuento de sesiones actual (mostrado por el show services l2tp summary comando) es menor que el límite configurado. Cuando eso es cierto o cuando no se configura ningún límite, la verificación pasa y se puede establecer la sesión. Si el recuento de sesiones actual es igual al límite configurado, LNS rechaza la solicitud de sesión. No se puede aceptar ninguna solicitud posterior en esa interfaz hasta que el número de solicitudes activas caiga por debajo del máximo configurado. Cuando se rechaza una solicitud de sesión para una interfaz si o asi, LNS devuelve un mensaje CDN con el código de resultado establecido en 2 y el código de error establecido en 4.
Por ejemplo, supongamos que se configura una única interfaz de servicio en el grupo de túneles. El recuento actual de sesiones L2TP es de 1500, con un límite configurado de 2000 sesiones. Cuando se solicita una nueva sesión, se supera la comprobación de límite y se acepta la solicitud de sesión.
Interfaz |
Límite de sesiones configurado |
Recuento de sesiones actuales |
Resultado de la comprobación del límite de sesiones |
|---|---|---|---|
SI-0/0/0 |
2000 |
1500 |
Aprobado |
La comprobación de límite continúa transcurriendo y las solicitudes de sesión se aceptan hasta que se hayan aceptado 500 solicitudes, lo que hace que la sesión actual cuente en 2000, lo que coincide con el máximo configurado. La comprobación de límite de sesión falla para todas las solicitudes posteriores y todas las solicitudes se rechazan hasta que el recuento de sesiones actual en la interfaz cae por debajo de 2000, de modo que la comprobación de límite puede pasar.
Interfaz |
Límite de sesiones configurado |
Recuento de sesiones actuales |
Resultado de la comprobación del límite de sesiones |
|---|---|---|---|
SI-0/0/0 |
2000 |
2000 |
Fallo |
Cuando el límite de sesiones se establece en cero para una interfaz, no se puede aceptar ninguna solicitud de sesión. Si esa es la única interfaz en el grupo de túnel, todas las solicitudes de sesión del grupo se rechazan hasta que el límite de sesiones se incremente de cero o se agregue otra interfaz de servicio al grupo de túnel.
Cuando una interfaz de servicio en un grupo de dispositivos de servicio ha alcanzado el límite máximo configurado o tiene un límite configurado de cero, LNS omite esa interfaz cuando se realiza una solicitud de sesión y selecciona otra interfaz en el grupo para comprobar el límite de sesión. Esto continúa hasta que se aprueba una interfaz y se acepta la sesión, o hasta que no queda ninguna otra interfaz en el grupo que se va a seleccionar.
Equilibrio de carga de la sesión en las interfaces de servicio
El comportamiento de la distribución de la carga de la sesión en un grupo de dispositivos de servicio cambió en la versión 16.2 de Junos OS. Cuando una interfaz de servicio tiene un recuento de sesiones menor que otra interfaz del grupo y ambas interfaces están por debajo de su límite máximo de sesiones, las sesiones posteriores se distribuyen a la interfaz con menos sesiones.
En versiones anteriores, las sesiones se distribuyen de forma estrictamente round-robin, independientemente del número de sesiones. El comportamiento anterior puede dar lugar a una distribución desigual de la sesión cuando se reinicia el motor de reenvío de paquetes o cuando una interfaz de servicio deja de funcionar y vuelve a funcionar.
Por ejemplo, considere el siguiente escenario con el comportamiento de distribución round-robin antiguo para un grupo con dos interfaces de servicio:
Doscientas sesiones se distribuyen uniformemente en las dos interfaces de servicio.
SI-0/0/0 tiene 100 sesiones.
SI-1/0/0 tiene 100 sesiones.
La interfaz si-1/0/0 se reinicia. Cuando vuelve, inicialmente las sesiones solo están activas en si-0/0/0.
SI-0/0/0 tiene 100 sesiones.
SI-1/0/0 tiene 0 sesiones.
A medida que las sesiones que anteriormente estaban en si-1/0/0 se vuelven a conectar, se distribuyen por igual en ambas interfaces de servicio. Cuando se respaldan las 100 sesiones, la distribución se desequilibra significativamente.
SI-0/0/0 tiene 150 sesiones.
SI-1/0/0 tiene 50 sesiones.
Después de 100 nuevas sesiones conectadas, si-0/0/0 alcanza su límite máximo. Las sesiones posteriores se aceptan solo en si-1/0/0.
SI-0/0/0 tiene 200 sesiones.
SI-1/0/0 tiene 100 sesiones.
Después de 100 sesiones más conectadas, si-1/0/0 alcanza su límite máximo. No se pueden aceptar más sesiones hasta que el recuento de sesiones descienda por debajo de 200 para una de las interfaces.
SI-0/0/0 tiene 200 sesiones.
SI-1/0/0 tiene 200 sesiones.
Ahora considere el mismo escenario con el comportamiento actual de distribución de carga basado en el número de sesiones asociadas. El conjunto de dispositivos vuelve a tener dos interfaces de servicio, cada una con un límite máximo configurado de 200 sesiones:
Doscientas sesiones se distribuyen uniformemente en las dos interfaces de servicio.
SI-0/0/0 tiene 100 sesiones.
SI-1/0/0 tiene 100 sesiones.
La interfaz si-1/0/0 se reinicia. Cuando vuelve a funcionar, las sesiones están activas inicialmente solo en si-0/0/0.
SI-0/0/0 tiene 100 sesiones.
SI-1/0/0 tiene 0 sesiones.
A medida que las sesiones que anteriormente estaban en si-1/0/0 se vuelven a conectar, se distribuyen de acuerdo con la carga de la sesión en cada interfaz. Dado que ambas interfaces están por debajo de su límite máximo y si-1/0/0 tiene menos sesiones que si-0/0/0, las sesiones se distribuyen inicialmente solo a si-1/0/0.
Después de 1 nueva sesión:
SI-0/0/0 tiene 100 sesiones.
SI-1/0/0 tiene 1 sesión.
Después de 10 sesiones nuevas:
SI-0/0/0 tiene 100 sesiones.
SI-1/0/0 tiene 10 sesiones.
Después de 100 sesiones nuevas:
SI-0/0/0 tiene 100 sesiones.
SI-1/0/0 tiene 100 sesiones.
Dado que ambas interfaces ahora tienen el mismo recuento de sesiones, la siguiente sesión (#101) se distribuye aleatoriamente entre las dos interfaces. La siguiente sesión después de eso (#102) va a la interfaz con el recuento de sesiones más bajo. Eso hace que las interfaces vuelvan a ser iguales, por lo que la siguiente sesión (#103) se distribuye aleatoriamente. Este patrón se repite hasta el límite máximo de 200 sesiones para ambas interfaces.
SI-0/0/0 tiene 200 sesiones.
SI-1/0/0 tiene 200 sesiones.
No se pueden aceptar más sesiones en ninguna de las interfaces hasta que el número de sesiones sea inferior a 200 en una de las interfaces.
El comportamiento del equilibrio de carga es el mismo para las interfaces de servicio agregadas. Se selecciona una interfaz asi de un grupo en función del recuento actual de sesiones para la interfaz asi. Cuando ese recuento es menor que el máximo, LNS comprueba el recuento de la sesión actual para la interfaz si activa en el paquete ASI. Cuando ese recuento es menor que el máximo, la sesión se puede establecer en la interfaz asi.
En un grupo de dispositivos mixto que tiene interfaces de servicio e interfaces de servicio agregadas, las sesiones se distribuyen a la interfaz, ya sea ASI o SI, que tiene el menor número de sesiones Cuando el recuento de sesiones de una interfaz de cualquier tipo alcanza su límite, ya no puede aceptar sesiones hasta que el recuento caiga por debajo del máximo.
Puede usar la configuración del límite de sesiones para lograr un límite de sesiones en determinados motores de reenvío de paquetes. Suponga que desea un límite de 100 sesiones en un PFE0 que tenga dos interfaces de servicio. Puede establecer el límite máximo en cada interfaz en 50 o en cualquier otra combinación que sume 100 para establecer el límite de PFE0.
Ejemplo: Configuración de un LNS L2TP
En este ejemplo, se muestra cómo puede configurar un LNS L2TP en un enrutador de la serie MX para proporcionar puntos de conexión de túnel para un LAC L2TP en su red. Esta configuración incluye un perfil dinámico para suscriptores de doble pila.
Requisitos
Este ejemplo de LNS L2TP requiere el siguiente hardware y software:
Plataforma de enrutamiento universal 5G de la serie MX
Uno o más MPC
Junos OS versión 11.4 o posterior
No se necesita ninguna configuración especial más allá de la inicialización del dispositivo antes de poder configurar esta función.
Debe configurar ciertos atributos estándar de RADIUS y VSA de Juniper Networks en la lista de retorno de atributos del servidor AAA asociado con el LNS para que este ejemplo funcione. La Tabla 2 enumera los atributos con su configuración y valores de orden requeridos. Le recomendamos que use el diccionario de RADIUS Juniper Networks más reciente, disponible en el cuadro Descargas de la página Administración de suscriptores de Junos OS en https://www.juniper.net/documentation/en_US/junos/information-products/pathway-pages/subscriber-access/index.html.
Nombre VSA [Número] |
Orden |
Valor |
|---|---|---|
Tipo de parámetro CoS [26–108] |
1 |
T01 Multiplay |
Tipo de parámetro CoS [26–108] |
2 |
T02 10m |
Tipo de parámetro CoS [26–108] |
3 |
T08 -36 |
Tipo de parámetro CoS [26–108] |
4 |
Modo de celda T07 |
grupo de IPv6 enmarcado [100] |
0 |
jnpr_ipv6_pool |
Piscina enmarcada [88] |
0 |
jnpr_pool |
Nombre de la política de salida [26-11] |
0 |
Clasificar |
nombre-de-politico-de-entrada [26-10] |
0 |
Clasificar |
Enrutador virtual [26-1] |
0 |
Predeterminado |
Descripción general
LNS emplea perfiles de grupo de usuarios para aplicar atributos PPP a los suscriptores PPP que se tunelizan desde la LAC. Los LAC en la red son clientes de LNS. Los clientes están asociados con perfiles de grupo de usuarios en el perfil de acceso L2TP configurado en LNS. En este ejemplo, el perfil ce-l2tp-group-profile de grupo de usuarios especifica los siguientes atributos PPP:
Un intervalo de 30 segundos entre los mensajes PPP keepalive para túneles L2TP desde el LAC del cliente que termina en el LNS.
Intervalo de 200 segundos que define cuánto tiempo puede estar inactiva la sesión del suscriptor PPP antes de que se considere que se ha agotado el tiempo de espera.
Tanto PAP como CHAP como los métodos de autenticación PPP que se aplican a los suscriptores PPP tunelizados en el LNS.
El perfil ce-l2tp-profile de acceso L2TP define un conjunto de parámetros L2TP para cada LAC de cliente. En este ejemplo, el perfil ce-l2tp-group-profile de grupo de usuarios está asociado tanto a los clientes lac1 como a lac2. Ambos clientes están configurados para que LNS renegocie el protocolo de control de vínculos (LCP) con el cliente PPP, en lugar de aceptar los parámetros de LCP negociados previamente que los LAC pasan al LNS. La renegociación de LCP también hace que LNS renegocie la autenticación; El método de autenticación se especifica en el perfil del grupo de usuarios. El número máximo de sesiones permitidas por túnel se establece en 1000 para lac1 y en 4000 para lac2. Se configura una contraseña diferente para cada LAC.
Un perfil de acceso AAA local, aaa-profile, permite alterar temporalmente el perfil de acceso AAA global para que pueda especificar un orden de autenticación, un servidor RADIUS que desee utilizar para L2TP y una contraseña para el servidor.
En este ejemplo, un conjunto de direcciones define un rango de direcciones IP que LNS asigna a las sesiones PPP en túnel. En este ejemplo se definen rangos de direcciones IPv4 e IPv6.
Se habilitan dos interfaces de servicio en línea en la MPC ubicada en la ranura 5 del enrutador. Para cada interfaz, se reservan 10 Gbps de ancho de banda para el tráfico de túnel en la PFE asociada de la interfaz. Estas interfaces de anclaje sirven como interfaz física subyacente. Para habilitar la compatibilidad con colas CS en las interfaces de servicio en línea lógicas individuales, debe configurar tanto la encapsulación de servicios (generic-services) como la compatibilidad con programación jerárquica en los anclajes. La familia de direcciones IPv4 está configurada para ambas interfaces de anclaje. Ambas interfaces de anclaje se especifican en el conjunto de dispositivos de lns_p1 servicio. El LNS puede equilibrar las cargas de tráfico en las dos interfaces de anclaje cuando el grupo de túneles incluye el grupo.
En este ejemplo, se utiliza el perfil dyn-lns-profile2 dinámico para especificar las características de las sesiones L2TP que se crean o asignan dinámicamente cuando un suscriptor está tunelizado al LNS. Para muchas de las características, se establece una variable predefinida; las variables se reemplazan dinámicamente por los valores adecuados cuando un suscriptor se tuneliza al LNS.
La interfaz a la que se conecta el cliente PPP tunelizado ($junos-interface-name) se crea dinámicamente en la instancia de enrutamiento ($junos-routing-instance) asignada al suscriptor. Las opciones de enrutamiento para las rutas de acceso incluyen la dirección de salto siguiente de la ruta ($junos-framed-route-nexthop), la métrica ($junos-framed-route-cost) y la preferencia ($junos-framed-route-distance). Para las rutas internas de acceso, se establece una variable de dirección IP dinámica ($junos-subscriber-ip-address).
Las interfaces lógicas de servicio en línea se definen por el nombre de una interfaz de anclaje configurada ($junos-interface-ifd-name) y un número de unidad lógica ($junos-interface-unit). El perfil se l2tp-encapuslation asigna como identificador para la interfaz lógica y especifica que cada interfaz solo se puede usar para una sola sesión a la vez.
La dirección IPv4 se establece en un valor devuelto por el servidor AAA. Para el tráfico IPv4, se adjuntan a la interfaz un filtro $junos-input-filter de firewall de entrada y un filtro $junos-output-filter de firewall de salida. La variable de circuito cerrado ($junos-loopback-interface) deriva una dirección IP de una interfaz de circuito cerrado (lo) configurada en la instancia de enrutamiento y la utiliza en la negociación IPCP como dirección del servidor PPP. Dado que se trata de una configuración de doble pila, también se establece la familia de direcciones IPv6, con las direcciones proporcionadas por la $junos-ipv6-address variable.
La $junos-ipv6-address variable se utiliza porque el protocolo de anuncio del enrutador también está configurado. Esta variable permite a AAA asignar la primera dirección del prefijo que se va a reservar como dirección local para la interfaz. La configuración mínima para el protocolo de anuncio de enrutador en el perfil dinámico especifica las variables y $junos-ipv6-ndra-prefix para asignar dinámicamente un valor de prefijo en los $junos-interface-name anuncios de enrutador de detección de vecinos IPv6.
El perfil dinámico también incluye la clase de configuración de servicio que se aplica al tráfico de túnel. El perfil de control de tráfico (tc-profile) incluye variables para el mapa del programador ($junos-cos-scheduler-map), la velocidad de modelación ($junos-cos-shaping-rate), la contabilidad de sobrecarga ($junos-cos-shaping-mode) y el ajuste $junos-cos-byte-adjustde bytes). El perfil dinámico aplica la configuración de CoS (incluida la clase de reenvío, el perfil de control de tráfico de salida y las reglas de reescritura) a las interfaces de servicio dinámico.
La tg-dynamic configuración del grupo de túnel especifica el perfil ce-l2tp-profilede acceso, el perfil aaa-profilede AAA local y el perfil dyn-lns-profile2 dinámico que se utilizan para crear dinámicamente sesiones de LNS y definir las características de las sesiones. El lns_p1 grupo de dispositivos de servicio asocia un conjunto de interfaces de servicio con el grupo para permitir que LNS equilibre el tráfico entre las interfaces. La dirección 203.0.113.2 de puerta de enlace local corresponde a la dirección de puerta de enlace remota configurada en la LAC. El nombre ce-lns de puerta de enlace local corresponde al nombre de puerta de enlace remota configurado en la LAC.
En este ejemplo, no se muestran todas las opciones de configuración posibles.
Configuración
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente un LNS L2TP, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea y, luego, copie y pegue los comandos en la CLI.
[edit] edit access group-profile ce-l2tp-group-profile set ppp idle-timeout 200 set ppp ppp-options pap set ppp ppp-options chap set ppp keepalive 30 top edit access profile ce-l2tp-profile set client lac1 l2tp maximum-sessions-per-tunnel 1000 set client lac1 l2tp interface-id l2tp-encapsulation-1 set client lac1 l2tp lcp-renegotiation set client lac1 l2tp shared-secret "lac1-$ABC123" set client lac1 user-group-profile ce-l2tp-group-profile set client lac2 l2tp maximum-sessions-per-tunnel 4000 set client lac2 l2tp interface-id l2tp-encap-2 set client lac2 l2tp lcp-renegotiation set client lac2 l2tp shared-secret "lac2-$ABC123" set client lac2 user-group-profile ce-l2tp-group-profile top edit access profile aaa-profile set authentication-order radius set radius authentication-server 198.51.100.193 set radius-server 198.51.100.193 secret "$ABC123” top edit access address-assignment pool client-pool1 family inet set network 192.168.1.1/16 set range lns-v4-pool-range low 192.168.1.1 set range lns-v4-pool-range high 192.168.255.255 top edit access address-assignment pool client-ipv6-pool2 family inet6 set prefix 2001:DB8::/32 set range lns-v6-pool-range low 2001:DB8:1::/48 set range lns-v6-pool-range high 2001:DB8:ffff::/48 top set interfaces ge-5/0/1 unit 11 vlan-id 11 set interfaces ge-5/0/1 unit 11 family inet address 203.0.113.2/24 set interfaces lo0 unit 0 family inet address 127.0.0.1/32 top set chassis fpc 5 pic 0 inline-services bandwidth 10g set chassis fpc 5 pic 2 inline-services bandwidth 10g top edit interfaces si-5/0/0 set hierarchical-scheduler maximum-hierarchy-levels 2 set encapsulation generic-services set unit 0 family inet top edit interfaces si-5/2/0 set hierarchical-scheduler maximum-hierarchy-levels 2 set encapsulation generic-services set unit 0 family inet top set services service-device-pools pool lns_p1 interface si-5/0/0 set services service-device-pools pool lns_p1 interface si-5/2/0 top edit dynamic-profiles dyn-lns-profile2 routing-instances $junos-routing-instance set interface $junos-interface-name edit routing-options access route $junos-framed-route-ip-address-prefix set next-hop $junos-framed-route-nexthop set metric $junos-framed-route-cost set preference $junos-framed-route-distance up 2 edit access-internal route $junos-subscriber-ip-address set qualified-next-hop $junos-interface-name up 5 edit interfaces $junos-interface-ifd-name unit $junos-interface-unit set dial-options l2tp-interface-id l2tp-encapsulation set dial-options dedicated set family inet filter input $junos-input-filter set family inet filter output $junos-output-filter set family inet unnumbered-address $junos-loopback-interface set family inet6 address $junos-ipv6-address set family inet6 filter input $junos-input-ipv6-filter set family inet6 filter output $junos-output-ipv6-filter up 3 edit protocols router-advertisement set interface $junos-interface-name prefix $junos-ipv6-ndra-prefix top [edit class-of-service] edit rewrite-rules dscp rewriteDSCP forwarding-class expedited-forwarding set loss-priority high code-point af11 set loss-priority high code-point af12 top edit dynamic-profiles dyn-lns-profile2 class-of-service traffic-control-profiles tc-profile set scheduler-map $junos-cos-scheduler-map set shaping-rate $junos-cos-shaping-rate set overhead-accounting $junos-cos-shaping-mode set overhead-accounting bytes $junos-cos-byte-adjust up edit interfaces $junos-interface-ifd-name unit $junos-interface-unit set forwarding-class expedited-forwarding set output-traffic-control-profile tc-profile set rewrite-rules dscp rewriteDSCP edit interfaces si-5/0/0 set output-control-profile-remaining tc-profile top set services l2tp tunnel-group tg-dynamic l2tp-access-profile ce-l2tp-profile set services l2tp tunnel-group tg-dynamic aaa-access-profile aaa-profile set services l2tp tunnel-group tg-dynamic local-gateway address 203.0.113.2 set services l2tp tunnel-group tg-dynamic local-gateway gateway-name ce-lns set services l2tp tunnel-group tg-dynamic service-device-pool lns_p1 set services l2tp tunnel-group tg-dynamic dynamic-profile dyn-lns-profile2
Procedimiento paso a paso
En el ejemplo siguiente, debe explorar por varios niveles en la jerarquía de configuración. Para obtener instrucciones sobre cómo hacerlo, consulte Uso del editor de CLI en el modo de configuración.
Para configurar un LNS L2TP con interfaces de servicio en línea:
Configure un perfil de grupo de usuarios que defina la configuración de PPP para suscriptores de túnel.
[edit access] user@host# edit group-profile ce-l2tp-group-profile [edit access group-profile ce-l2tp-group-profile] user@host# set ppp keepalive 30 user@host# set ppp idle-timeout 200 user@host# set ppp ppp-options chap user@host# set ppp ppp-options pap
Configure un perfil de acceso L2TP que defina los parámetros L2TP para cada LAC de cliente. Esto incluye asociar un perfil de grupo de usuarios con el cliente y especificar el identificador de la interfaz lógica de servicios en línea que representa una sesión L2TP en LNS.
[edit access profile ce-l2tp-profile client lac1] user@host# set l2tp interface-id l2tp-encapsulation user@host# set l2tp maximum-sessions-per-tunnel 1000 user@host# set l2tp shared-secret "lac1-$ABC123" user@host# set l2tp lcp-renegotiation user@host# set user-group-profile ce-l2tp-group-profile [edit access profile ce-l2tp-profile client lac2] user@host# set l2tp interface-id interface-id user@host# set l2tp maximum-sessions-per-tunnel 4000 user@host# set l2tp shared-secret "lac2-$ABC123" user@host# set l2tp lcp-renegotiation user@host# set user-group-profile ce-l2tp-group-profile
Nota:Si
user-group-profilese modifica o elimina, los suscriptores de LNS existentes que utilizaban esta configuración de cliente del Protocolo de túnel de capa 2 dejan de funcionar.Configure un perfil de acceso AAA para anular el perfil de acceso global para el orden de los métodos de autenticación AAA y los atributos del servidor.
[edit access profile aaa-profile] user@host# set authentication-order radius user@host# set radius authentication-server 198.51.100.193 user@host# set radius-server 198.51.100.193 secret "$ABC123”
Configure los grupos de asignación de direcciones IPv4 e IPv6 para asignar direcciones para los clientes (LAC).
[edit access address-assignment pool client-pool1 family inet] user@host# set network 192.168.1.1/16 user@host# set range lns-v4-pool-range low 192.168.1.1 high 192.168.255.255 [edit access address-assignment pool client-ipv6-pool2 family inet6] user@host# set prefix 2001:DB8::/32 user@host# set range lns-v6-pool-range low 2001:DB8:1::/48 user@host# set range lns-v6-pool-range high 2001:DB8:ffff::/48
Configure la interfaz par para terminar el túnel y la dirección IPCP del lado del servidor PPP (dirección de circuito cerrado).
[edit interfaces ge-5/0/1 user@host# set vlan-tagging user@host# set unit 11 [edit interfaces ge-5/0/1.11 user@host# set vlan-id 11 user@host# set family inet address 10.1.1.2/24 [edit interfaces lo0] user@host# set unit 0 family inet address 127.0.0.1/32
Habilite las interfaces de servicio en línea en una MPC.
[edit chassis fpc 5] user@host# set pic 0 inline-services bandwidth 10g user@host# set pic 2 inline-services bandwidth 10g
Configure las interfaces de servicio de anclaje con la encapsulación de servicios, la programación jerárquica y la familia de direcciones.
[edit interfaces si-5/0/0] user@host# set hierarchical-scheduler maximum hierarchy-levels 2 user@host# set encapsulation generic-services user@host# set unit 0 family inet [edit interfaces si-5/2/0] user@host# set hierarchical-scheduler maximum hierarchy-levels 2 user@host# set encapsulation generic-services user@host# set unit 0 family inet
Configure un conjunto de interfaces de servicio para sesiones LNS dinámicas.
[edit services service-device-pools pool lns_p1] user@host# set interface si-5/0/0 user@host# set interface si-5/2/0
Configure un perfil dinámico que cree dinámicamente interfaces lógicas L2TP para suscriptores de doble pila.
[edit dynamic-profiles dyn-lns-profile2] user@host# edit routing-instances $junos-routing-instance user@host# set interface $junos-interface-name [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance”] user@host# edit routing-options access route $junos-framed-route-ip-address-prefix [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance” routing-options access route “$junos-framed-route-ip-address-prefix”] user@host# set next-hop $junos-framed-route-nexthop user@host# set metric $junos-framed-route-cost user@host# set preference $junos-framed-route-distance [edit dynamic-profiles dyn-lns-profile2 routing-instances “$junos-routing-instance” routing-options access-internal] user@host# set route $junos-subscriber-ip-address qualified-next-hop $junos-interface-name [edit dynamic-profiles dyn-lns-profile2 interfaces “$junos-interface-ifd-name” unit “$junos-interface-unit”] user@host# set dial-options l2tp-interface-id l2tp-encapsulation user@host# set dial-options dedicated user@host# set family inet unnumbered-address $junos-loopback-interface user@host# set family inet filter input $junos-input-filter user@host# set family inet filter output $junos-output-filter user@host# set family inet6 address $junos-ipv6-address set family inet6 filter input $junos-input-ipv6-filter set family inet6 filter output $junos-output-ipv6-filter [edit dynamic-profiles dyn-lns-profile2 protocols router-advertisement] user@host# set interface $junos-interface-name prefix $junos-ipv6-ndra-prefix
Configure reglas de forma, programación y reescritura, y aplíquelas en el perfil dinámico al tráfico de túnel.
[edit class-of-service] user@host# edit rewrite-rules dscp rewriteDSCP forwarding-class expedited-forwarding user@host# set loss-priority high code-point af11 user@host# set loss-priority high code-point af12 [edit dynamic-profiles dyn-lns-profile2 class-of-service traffic-control-profiles tc-profile] user@host# set scheduler-map $junos-cos-scheduler-map user@host# set shaping-rate $junos-cos-shaping-rate user@host# set overhead-accounting $junos-cos-shaping-mode user@host# set overhead-accounting bytes $junos-cos-byte-adjust [edit dynamic-profiles dyn-lns-profile2 class-of-service interfaces “$junos-interface-ifd-name” unit "$junos-interface-unit"] user@host# set forwarding-class expedited-forwarding user@host# set output-traffic-control-profile tc-profile user@host# set rewrite-rules dscp rewriteDSCP [edit class-of-service interfaces si-5/0/0] user@host# set output-traffic-control-profile-remaining tc-profile
Configure el grupo de túneles L2TP para abrir sesiones LNS dinámicas mediante el conjunto de interfaces de servicio en línea para habilitar el equilibrio de carga.
[edit services l2tp tunnel-group tg-dynamic] user@host# set l2tp-access-profile ce-l2tp-profile user@host# set local-gateway address 10.1.1.2 user@host# set local-gateway gateway-name ce-lns user@host# set aaa-access-profile aaa-profile user@host# set dynamic-profile dyn-lns-profile2 user@host# set service-device-pool lns_p1
Resultados
Desde el modo de configuración, ingrese el comando para confirmar la configuración del perfil de acceso, el perfil de grupo, el perfil AAA y los show access grupos de asignación de direcciones. Ingrese el comando para confirmar la configuración de los show chassis servicios en línea. Ingrese el comando para confirmar la configuración de la show interfaces interfaz. Ingrese el comando para confirmar la configuración del show dynamic-profiles perfil dinámico. Ingrese el comando para confirmar la configuración del grupo de show services l2tp túnel. Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración de este ejemplo para corregirla.
[edit]
user@host# show access
group-profile ce-l2tp-group-profile {
ppp {
idle-timeout 200;
ppp-options {
pap;
chap;
}
keepalive 30;
}
}
profile ce-l2tp-profile {
client lac1 {
l2tp {
maximum-sessions-per-tunnel 1000;
interface-id l2tp-encapsulation-1;
lcp-renegotiation;
shared-secret "lac1-$ABC123"; ## SECRET-DATA
}
user-group-profile ce-l2tp-group-profile;
}
client lac2 {
l2tp {
maximum-sessions-per-tunnel 4000;
interface-id l2tp-encap-2;
lcp-renegotiation;
shared-secret "lac2-$ABC123"; ## SECRET-DATA
}
user-group-profile ce-l2tp-group-profile;
}
}
profile aaa-profile {
authentication-order radius;
radius-server {
198.51.100.193 secret "$ABC123"; ## SECRET-DATA
}
}
address-assignment {
pool client-pool1 {
family inet {
network 192.168.1.1/16;
range lns-v4-pool-range {
low 192.168.1.1;
high 192.168.255.255;
}
}
}
pool client-ipv6-pool2 {
family inet6 {
prefix 2001:DB8::/32;
range lns-v6-pool-range {
low 2001:DB8:1::/48;
high 2001:DB8:ffff::/48;
}
}
}
}
[edit]
user@host# show chassis
fpc 5 {
pic 0 {
inline-services {
bandwidth 10g;
}
}
pic 2 {
inline-services {
bandwidth 10g;
}
}
}
[edit]
user@host# show interfaces
ge-5/0/1 {
vlan-tagging;;
unit 11 {
vlan-id 11;
family inet {
address 203.0.113.2/24;
}
}
}
si-5/0/0 {
hierarchical-scheduler maximum-hierarchy-levels 2;
encapsulation generic-services;
unit 0 {
family inet;
}
}
si-5/2/0 {
hierarchical-scheduler maximum-hierarchy-levels 2;
encapsulation generic-services;
unit 0 {
family inet;
}
}
lo0 {
unit 0 {
family inet {
address 127.0.0.1/32;
}
}
}
[edit]
user@host# show dynamic-profiles
dyn-lns-profile2 {
routing-instances {
"$junos-routing-instance" {
interface "$junos-interface-name";
routing-options {
access {
route $junos-framed-route-ip-address-prefix {
next-hop "$junos-framed-route-nexthop";
metric "$junos-framed-route-cost";
preference "$junos-framed-route-distance";
}
}
access-internal {
route $junos-subscriber-ip-address {
qualified-next-hop "$junos-interface-name";
}
}
}
}
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
dial-options {
l2tp-interface-id l2tp-encapsulation;
dedicated;
}
family inet {
filter {
input "$junos-input-filter";
output "$junos-output-filter";
}
unnumbered-address "$junos-loopback-interface";
}
family inet6 {
address $junos-ipv6-address;
input $junos-input-ipv6-filter;
output $junos-output-ipv6-filter;
}
}
}
}
protocols {
router-advertisement {
interface "$junos-interface-name" {
prefix $junos-ipv6-ndra-prefix;
}
}
}
class-of-service {
rewrite-rules {
dscp rewriteDSCP {
forwarding-class expedited-forwarding {
loss-priority high code-point af11
loss-priority high code-point af12
}
}
}
traffic-control-profiles {
tc-profile {
scheduler-map "$junos-cos-scheduler-map";
shaping-rate "$junos-cos-shaping-rate";
overhead-accounting "$junos-cos-shaping-mode" bytes "$junos-cos-byte-adjust";
}
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
forwarding-class expedited-forwarding;
output-traffic-control-profile tc-profile;
rewrite-rules {
dscp rewriteDSCP;
}
}
}
}
}
}
[edit]
user@host# show services l2tp
tunnel-group tg-dynamic {
l2tp-access-profile ce-l2tp-profile;
aaa-access-profile aaa-profile;
local-gateway {
address 203.0.113.2;
gateway-name ce-lns;
}
service-device-pool lns_p1;
dynamic-profile dyn-lns-profile2;
}
Cuando haya terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.
Configuración de un grupo de túneles L2TP para sesiones LNS con interfaces de servicios en línea
El grupo de túneles L2TP especifica atributos que se aplican a los túneles y sesiones L2TP de un grupo de clientes LAC. Estos atributos incluyen el perfil de acceso usado para validar las solicitudes de conexión L2TP realizadas al LNS en la dirección de puerta de enlace local, un perfil de acceso local que anula el perfil de acceso global, el temporizador de keepalive y si se refleja el valor de TDS IP.
Si elimina un grupo de túneles, todas las sesiones L2TP de ese grupo de túneles finalizarán. Si cambia el valor de las local-gateway-addressinstrucciones , service-device-pool, o , todas service-interface las sesiones L2TP que utilicen esa configuración finalizarán. Si cambia o elimina otras instrucciones en el [edit services l2tp tunnel-group name] nivel de jerarquía, los túneles nuevos que establezca utilizarán los valores actualizados, pero los túneles y las sesiones existentes no se verán afectados.
Para configurar el grupo de túneles de LNS:
Aplicación de servicios a una sesión L2TP sin usar RADIUS
Los servicios se aplican a las sesiones L2TP para su activación o se modifican posteriormente mediante atributos específicos del proveedor (VSA) desde el servidor de RADIUS o en solicitudes de cambio de autorización (CoA) de RADIUS. A partir de Junos OS versión 18.1R1, puede aplicar servicios a sesiones L2TP por medio de perfiles de servicio dinámicos sin involucrar a RADIUS. En entornos de múltiples proveedores, los clientes pueden usar solo atributos estándar de RADIUS para simplificar la administración al evitar el uso de VSA de múltiples proveedores. Sin embargo, esto complica la aplicación de servicios a las sesiones L2TP, ya que generalmente se requieren VSA para aplicar servicios. La activación del perfil de servicio dinámico local le permite evitar ese problema. También puede utilizar la activación de perfiles de servicio local para proporcionar servicios predeterminados cuando los servidores de RADIUS están inactivos.
Puede aplicar servicios a todos los suscriptores de un grupo de túneles o a todos los suscriptores que usen un LAC determinado. Puede configurar un máximo de 12 servicios por grupo de túnel o nombre de host de LAC.
Después de configurar uno o varios perfiles de servicio dinámicos que definen servicios, se aplican en el grupo de túneles o en la configuración del perfil de acceso para un cliente LAC especificando los nombres de perfil de servicio. Puede enumerar más de un perfil para activar, separados por un signo &. También puede especificar parámetros que usará el perfil de servicio que podrían anular los valores configurados en el propio perfil, como una velocidad de modelado descendente para un servicio CoS.
La lista de servicios configurada localmente (a través de perfiles de servicio) sirve como autorización local que authd aplica durante la activación de la sesión del cliente. Esta lista de servicios está sujeta a la misma validación y procesamiento que los servicios que se originan en una autoridad externa, como RADIUS. Estos servicios se presentan durante el inicio de sesión del suscriptor.
Todavía puede usar las solicitudes VSA o CoA de RADIUS junto con los perfiles de servicio. Si los servicios provienen de una autoridad externa como autorización durante la autenticación o durante el aprovisionamiento (activación) de la sesión del suscriptor, los servicios de la autoridad externa tienen prioridad estricta sobre los de la configuración local. Si un servicio aplicado con RADIUS es el mismo que un servicio aplicado con un perfil de servicio en la CLI, pero con parámetros diferentes, el servicio RADIUS se aplica con un nuevo ID de sesión y tiene prioridad sobre el perfil de servicio anterior.
Puede emitir comandos para desactivar o reactivar cualquier servicio que haya activado previamente para un grupo de túneles o LAC.
Defina los perfiles de servicio dinámico que desea aplicar posteriormente a un grupo de túneles o LAC.
Para aplicar perfiles de servicio a todos los suscriptores de un grupo de túneles:
Especifique uno o varios perfiles de servicio y los parámetros que se pasarán a los servicios.
[edit services l2tp tunnel-group group-name] user@host# set service-profile profile-name(parameter)&profile-name
Para aplicar perfiles de servicio a todos los suscriptores de una ALC en particular:
Especifique uno o varios perfiles de servicio y los parámetros que se pasarán a los servicios.
[edit access profile profile-name client client-name l2tp] user@host# set service-profile profile-name(parameter)&profile-name
Nota:Cuando se configuran perfiles de servicio para un cliente LAC y para un grupo de túneles que utiliza ese cliente, solo se aplica el perfil de servicio de cliente LAC. Anula la configuración del grupo de túnel. Por ejemplo, en la siguiente configuración, el grupo de túnel, tg-LAC-3, utiliza el cliente LAC, LAC-3, por lo que la configuración de LAC3 anula la configuración del grupo de túnel. Por lo tanto, solo se activa el servicio cos-A3 para los suscriptores del grupo de túneles, en lugar de Cos2 y fw1. La velocidad de modelación aprobada para el servicio es de 24 Mbps.
[edit] user@host# set services l2tp tunnel-group tg-LAC-3 service-profile cos2(31000000)&fw1 user@host# set access profile prof-lac client LAC-3 l2tp service-profile cos-A3(24000000)
Puede desactivar cualquier servicio aplicado a una sesión de suscriptor emitiendo el siguiente comando:
user@host> request network-access aaa subscriber delete session-id subscriber-session-id service-profile profile-name
Puede reactivar cualquier servicio aplicado a una sesión de suscriptor emitiendo el siguiente comando:
user@host> request network-access aaa subscriber add session-id subscriber-session-id service-profile profile-name
Para mostrar las sesiones de servicios de todas las sesiones de suscriptor actuales, utilice el show subscribers extensive comando o show network-access aaa subscribers session-id id-number detail .
Para comprender cómo funciona la aplicación de servicio local, los siguientes ejemplos ilustran las diversas posibilidades de configuración. Primero, considere las siguientes configuraciones de perfil de servicio dinámico, cos2 y fw1:
dynamic-profiles {
cos2 {
variables {
shaping-rate default-value 10m;
shaping-rate-in default-value 10m;
data-in-filter uid;
data-in-policer uid;
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
family inet;
}
}
}
class-of-service {
traffic-control-profiles {
TrafficShaper {
scheduler-map a;
shaping-rate "$shaping-rate";
}
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
output-traffic-control-profile TrafficShaper;
}
}
}
}
}
|
dynamic-profiles {
fw1 {
variables {
v6input default-value v6ingress;
v6output default-value v6egress;
input default-value upstrm-filter;
output default-value dwnstrm-filter;
}
interfaces {
"$junos-interface-ifd-name" {
unit "$junos-interface-unit" {
family inet;
}
}
}
}
}
La siguiente instrucción aplica ambos servicios a todos los suscriptores del grupo de túneles tg1; Se pasa un valor de parámetro de 31 Mbps al servicio cos2:
[edit] user@host# set services l2tp tunnel-group tg1 service-profile cos2(31000000)&fw1
En el perfil de servicio cos2, la velocidad de modelación la proporciona una variable definida por el usuario con un valor predeterminado de 10m o 1Mbps. Una vez finalizada la sesión L2TP, cos2 y fw1 se activan con los ID de sesión de servicio de 34 y 35, respectivamente.
user@host1> show subscribers extensive
...
Service Session ID: 34
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
El parámetro pasado a cos2 se utiliza como valor para $shaping-rate; por lo tanto, la velocidad de modelación del servicio se ajusta del valor predeterminado de 10 Mbps a 31 Mbps, como se muestra en el siguiente resultado del comando. Aunque el resultado indica que la aplicación de ajuste es RADIUS CoA, el ajuste es una consecuencia del parámetro pasado al perfil de servicio. Esa operación utiliza el mismo marco interno que un CoA y se informa como tal.
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 31000000
adjustment-value: 31000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
Ahora el servicio cos2 está desactivado desde la CLI para la sesión 27 del suscriptor.
user@host1> request network-access aaa subscriber delete service-profile cos2 session-id 27 Successful completion
El siguiente resultado muestra que cos2 se ha ido, dejando solo fw1 como servicio activo.
user@host1> show subscribers extensive
Type: L2TP
User Name: user@example.com
IP Address: 192.0.2.103
IP Netmask: 255.255.255.255
Logical System: default
Routing Instance: default
Interface: si-1/0/0.3221225492
Interface type: Dynamic
Underlying Interface: si-1/0/0.3221225492
Dynamic Profile Name: dyn-lns-profile
State: Active
Radius Accounting ID: 27
Session ID: 27
PFE Flow ID: 42
Login Time: 2017-08-30 07:29:39 IST
Service Sessions: 1
IP Address Pool: ipv4_pool
Accounting interval: 600
Frame/cell mode: Frame
Overhead accounting bytes: -38
Calculated downstream data rate: 1000000 kbps
Adjusted downstream data rate: 1000000 kbps
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
El siguiente comando reactiva cos2 para la sesión 27 del suscriptor.
user@host1> request network-access aaa subscriber add service-profile cos2 session-id 27 Successful completion
El servicio cos2 reactivado tiene un nuevo ID de sesión de servicio de 36.
user@host1> show subscribers extensive
...
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
Service Session ID: 36
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 15:58:23 IST
El servicio cos2 reactivado utiliza la velocidad de modelación predeterminada, 10 Mbps, del perfil de servicio.
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 10000000
adjustment-value: 10000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
A continuación, se recibe una solicitud de CoA de RADIUS, que incluye el VSA de activación de servicio (26-65). VSA especifica y activa el servicio y especifica un cambio en la velocidad de modelación de cos2 de los 10 Mbps predeterminados a 12 Mbps. La sesión de servicio cos2 36 sigue apareciendo en la salida, pero es reemplazada por la nueva sesión de servicio iniciada por el CoA, 49.
user@host1> show subscribers extensive
...
Service Session ID: 35
Service Session Name: fw1
State: Active
Family: inet
Service Activation time: 2018-02-15 15:44:16 IST
Dynamic configuration:
input: upstrm-filter
output: dwnstrm-filter
v6input: v6ingress
v6output: v6egress
Service Session ID: 36
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 15:58:23 IST
Service Session ID: 49
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-15 16:25:04 IST
Dynamic configuration:
shaping-rate: 12000000
shaping-rate-in: 10m
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 12000000
adjustment-value: 12000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
Cuando se aplica un servicio tanto mediante la configuración de la CLI como mediante un VSA de RADIUS (26-65), pero con parámetros diferentes, la configuración de RADIUS anula la configuración de la CLI. En el ejemplo siguiente, la configuración de la CLI aplica el perfil de servicio cos2 con un valor de 31 Mbps para la velocidad de modelación.
[edit] user@host# set services l2tp tunnel-group tg1 service-profile cos2(31000000)
La activación del servicio de mensajes de acceso y aceptación de RADIUS VSA (26-65) aplica cos2 con un valor de 21 Mbps para la velocidad de modelación.
l2tp@l2tp.com User-Password := "bras"
Auth-Type = Local,
Service-Type = Framed-User,
Framed-Protocol = PPP,
ERX-Service-Activate:1 += 'cos2(21000000)',
La configuración de la CLI activa la sesión de servicio 22 con una velocidad de modelación de 31 Mbps. El VSA de RADIUS activa la sesión de servicio 23 con una velocidad de modelado de 21 Mbps.
user@host1> show subscribers extensive
...
Service Session ID: 22
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-16 08:22:03 IST
Dynamic configuration:
shaping-rate: 31000000
shaping-rate-in: 10m
Service Session ID: 23
Service Session Name: cos2
State: Active
Family: inet
Service Activation time: 2018-02-16 08:22:03 IST
Dynamic configuration:
shaping-rate: 21000000
shaping-rate-in: 10m
user@host1> show class-of-service interface si-1/0/0.3221225492
Logical interface: si-1/0/0.3221225492, Index: 3221225492
Object Name Type Index
Traffic-control-profile subscriber-tcp-2 Output 23571
Scheduler-map a Output 4294967354
Classifier dscp-ipv6-compatibility dscp-ipv6 9
Classifier ipprec-compatibility ip 13
Adjusting application: RADIUS CoA
Adjustment type: absolute
configured-shaping-rate: 21000000
adjustment-value: 21000000
Adjustment overhead-accounting mode: frame mode
Adjustment overhead bytes: 0
Adjustment target: node
Adjustment priority: 1
Configuración de un conjunto de interfaces de servicios en línea para sesiones LNS dinámicas
Puede crear un grupo de interfaces de servicio en línea, también conocido como conjunto de dispositivos de servicio, para habilitar el equilibrio de carga del tráfico L2TP entre las interfaces. El grupo se admite para configuraciones dinámicas de LNS, donde proporciona un conjunto de interfaces lógicas que se pueden crear dinámicamente y asignar a sesiones L2TP en el LNS. El grupo se asigna a un grupo de túneles LNS. L2TP mantiene el estado de cada interfaz de servicio en línea y utiliza un método round-robin para distribuir uniformemente la carga entre las interfaces disponibles cuando se aceptan nuevas solicitudes de sesión.
El equilibrio de carga solo está disponible para interfaces de suscriptor creadas dinámicamente.
Las sesiones de LNS ancladas en una MPC no se ven afectadas por una falla de MIC, siempre y cuando exista otra ruta a los LAC pares. Si se produce un error en la MPC que aloja la interfaz par y no hay una ruta a las LAC par, el error inicia la finalización y la limpieza de todas las sesiones en la MPC.
Si se produce un error en la MPC que ancla las sesiones de LNS, el motor de enrutamiento no reubica las sesiones en otra ranura y todas las sesiones finalizan inmediatamente. Pueden aparecer nuevas sesiones en otra interfaz disponible cuando el cliente vuelve a intentarlo.
Para configurar el conjunto de dispositivos de servicio:
Configuración de un perfil dinámico para sesiones LNS dinámicas
Puede configurar L2TP para que asigne dinámicamente interfaces de servicio en línea para túneles L2TP. Debe definir uno o varios perfiles dinámicos y asignar un perfil a cada grupo de túneles. El LNS es compatible con sesiones de solo IPv4, solo IPv6 e IPv4/IPv6 de doble pila.
Para configurar el perfil dinámico L2TP:
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.