加入者向けのL2TP LACトンネリング
LAC トンネル選択の概要
ユーザーがドメインにログインすると、PPP クライアントは LAC に接続して接続を確立します。LAC は、ドメイン内の宛先と、それに到達できるトンネルを見つける必要があります。宛先、トンネル、ドメイン間の関連付けは、加入者のアクセスプロファイルのドメインマップ、またはRADIUSサーバーから受信したトンネルグループ属性(VSA 26-64)のいずれかのトンネルプロファイルによって提供されます。RADIUS 属性は、ドメイン マップで指定されたプロファイルよりも優先されます。トンネル プロファイルには、トンネルのリストが含まれています。各トンネルは、宛先 IP アドレスとトンネル優先レベルに関連付けられています。
L2TP では、以下を指定できます。
ドメインの宛先は最大 31 です。
最大 8 レベルのトンネル優先度。優先レベルは、LACがユーザーのリクエストしたドメイン内の宛先に対して既存のトンネルを使用する(または新しいトンネルを確立する)順序を決定します。
メモ:ゼロ (0) は最高レベルの優先度です。これは最も推奨されるレベルです。
2つのトンネルが両方ともドメイン内の有効な宛先に到達した場合、LACは最初に最も高い優先レベルのトンネルを選択します。たとえば、トンネル A の優先レベルが 1、トンネル B の優先レベルが 4 の場合、LAC は最初にトンネル A を使用しようとします。
1 つのプリファレンス レベルで最大 31 の宛先。
LAC は、PPP セッションをトンネリングする必要があると判断すると、トンネルプロファイルによって PPP ユーザーまたは PPP ユーザーのドメインに関連付けられたトンネルのセットからトンネルを選択します。
トンネルの選択は、次の設定の影響を受けます。
優先レベル間のフェールオーバー - デフォルトでは、有効な宛先へのトンネルが優先レベル内で選択されていない場合、選択プロセスは次のレベルにフェールオーバーします。つまり、LAC は次の下位レベルにドロップダウンして、適切なトンネルの検索を続行します。詳細については、「 プリファレンス レベル間のフェールオーバーが設定されている場合の選択 」を参照してください。
優先レベルでのフェイルオーバー-この場合、LACはセッション確立の試行を優先レベルの1つのトンネルのみに制限しません。選択したトンネルでの試行が失敗した場合、選択プロセスは、有効な宛先への別の適切なトンネルを選択することによって、同じレベル内でフェールオーバーします。LAC は、そのレベルで有効な宛先へのトンネルが利用できなくなるまで、そのレベル内で接続の試行を続けます。次に、LACは次の下位レベルにドロップダウンして検索を続行します。詳細については、「 優先レベル内でのフェールオーバーが設定されている場合 の選択」を参照してください。
トンネルあたりの最大セッション数—トンネルごとに許可されるセッションの最大数が設定されている場合、LACはトンネル選択プロセス中にその設定を考慮します。トンネルあたりのセッションの最大数は、RADIUS Tunnel-Max-Sessions VSA [26-33]を使用するか、トンネルプロファイルに ステートメントを含める
max-sessionsことで設定できます。ランダムに選択されたトンネルの現在のセッション数が最大セッション数と等しい場合、LACはそのトンネルで宛先への接続を試みません。代わりに、ドメイン内に有効な宛先を持つ、その優先レベルのトンネルのセットから代替トンネルを選択します。現在のプリファレンスレベルでそのようなトンネルが存在しない場合、LACは次のプリファレンスレベルにドロップして選択を行います。このプロセスは、LACで現在どのフェイルオーバー方式が実行されているかに関係なく、一貫しています。
セッションの最大数がトンネルに設定されていない場合、そのトンネルはサポートできるセッション数の上限はありません。デフォルトでは、最大セッション数は 0(ゼロ)で、トンネル内のセッションは無制限です。
重み付きロードバランシング:このバランシング方式では、トンネルの重みを確率ベースで評価し、トンネル全体にセッションを分散させます。LAC は依然として優先レベル内でランダムにトンネルを選択しますが、平均して、セッションはトンネルの重量との関係でトンネル全体に分散されます。トンネルの重みは、同じプリファレンスレベルで、トンネルの最大セッション制限と他のトンネルの最大セッション制限によって決まります。詳細については、「 加重ロード バランシング 」を参照してください。
宛先等ロードバランシング-このセッションバランシング方式は、宛先へのセッション数とトンネルが伝送するセッション数に応じてトンネルを評価し、セッション負荷をすべてのトンネルに均等に分散します。セッション数が最も少ない宛先のトンネルは、負荷が最も軽いと判断されます。このプロセスは、使用可能な最高の優先レベルのトンネルで動作します。詳細については、「 宛先等価ロード バランシング 」を参照してください。
トンネルと宛先の選択プロセスとフェイルオーバーを理解するためには、以下の情報を考慮してください。
1つの宛先に複数のトンネルが到達でき、それらのトンネルは同じプリファレンスレベルまたは異なるプリファレンスレベルを持つことができます。
サブスクライバ セッションを確立するために選択されたトンネル自体が、すでに確立されている場合があります。現在アクティブなセッションがあることを意味します。または、宛先に到達できるトンネルがまだ確立されていない場合、LACは宛先への新しいトンネルを確立する必要がある場合があります。
有効な宛先は、次の基準を満たしています。
最大セッション制限を満たしていないトンネルからアクセスできます。
現在のサブスクライバーのログイン要求について、まだ連絡されていません。
ロックまたはロック解除できます。
ロック された 宛先とは、宛先ロックアウト・タイマーが実行されている宛先です。ロックされた宛先は、タイマーが期限切れになるかクリアされる(ゼロにリセットされる)までロックアウト・リストに入れられます。リスト上の宛先に接続してセッションを確立することはできません。
ロック解除された宛先とは、宛先ロックアウト・タイマーがゼロの宛先です。
LAC は、ロックされている有効な宛先を検出すると、ロックアウトされたすべての宛先を含むロックアウト リストとは異なる DestinationsLockedNotContacted リストに配置されます。DestinationsLockedNotContactedリストには、LACが現在進行中の加入者ログインのためにまだ連絡を試みていない、ロックされた宛先のみが含まれます。DestinationsLockedNotContactedリストには、LACが接続を確立しようとして失敗した後にロックアウトした宛先は含まれません。
コマンドを使用して、すべてのロックされた宛先、または指定したローカルまたはリモートゲートウェイアドレスに一致するロックされた宛先のみを手動でクリアできます
clear services l2tp destination lockout。このコマンドは、例えば、特定の宛先をクリアして、プリファレンス・レベル内で優先順位を取得したい場合に使用できます。トンネル選択プロセスの一部であるフェイルオーバー動作は、次のいずれかの理由で宛先に到達できない場合にのみ適用されます。
LNS は、再送信の最大試行回数の後、LAC からの SCCRQ メッセージに応答して SCCRP メッセージを返しません。
トンネルは確立されていますが、LNSは、再送信の最大試行回数の後、LACからICRQに応答してICRPメッセージを返しません。
このフェールオーバー動作は、次の状況では適用されません。
クライアントは接続を終了します。
トンネルは確立されますが、LACがLNSとのセッションを確立しようとしている間にLNSがCDNメッセージを送信し、その結果、加入者のログイン試行が失敗します。
優先レベル間のフェイルオーバーが構成されている場合の選択
ユーザーがデフォルト設定のドメインにログインしようとすると(つまり、優先レベルでのフェイルオーバーとロードバランシングが設定されていない場合)、LACは要求されたドメインへの有効な宛先を最も高いトンネル優先レベルから検索します。有効な宛先が見つからない場合、または宛先への接続に失敗した場合、LAC は次の下位レベルにドロップダウンして検索を続行します。検索プロセスは、最低レベルを除くすべてのレベルで同じです。
検索は、ドメインのトンネルプロファイルで指定されたすべてのトンネルの中から、優先レベルで有効な宛先を持つトンネルを特定することから始まります。
ロックされた有効な宛先はすべて、宛先ロックされていない連絡先リストに配置されます。これらの宛先への連絡は試行されません。
LAC は、ロック解除された有効な宛先の中から、ランダムに 1 つを選択し、関連付けられたトンネルを介して接続を試みます。トンネルに現在のセッションがない場合、LACはトンネルを確立する必要があります。
メモ:ランダム選択がデフォルトの動作です。重み付けロードバランシングまたは宛先等価ロードバランシングが設定されている場合、動作は異なります。負荷分散の詳細については 、「セッション負荷を複数の LNS に分散する場合 の選択」を参照してください。
試行に成功した場合、LAC はログイン成功を PPP クライアントに報告します。LAC は、宛先ロックされていない連絡先リストにあるすべての宛先もクリアします。
LAC が応答を受信しない場合、LAC は最大再試行回数まで再試行します。LAC が応答を受け取らずに再試行を使い果たした場合、その試行は失敗したと見なされ、LAC は宛先をロックアウトして宛先を到達不能としてマークします。宛先をロックアウト・リストに入れ、宛先ロックアウト・タイマーを開始します。
LAC が次に何をするかは、現在のプリファレンス レベルによって異なります。
最も低いプリファレンスレベルでない場合、LAC は次に低いプリファレンスレベルに下がり、検索プロセスを続行します。
これが最も低いプリファレンスレベルであり、宛先ロックされていない連絡先リストが空でない場合、LACは宛先ロックされていない連絡先リスト内のすべての宛先のロックを解除し、最高のプリファレンスレベルに戻って検索プロセスを再開します。
これが最も低いプリファレンスレベルで、宛先ロックされていない連絡先リストが空の場合(つまり、すべての有効な宛先が試行されたことを意味します)、LACはPPPクライアントへのログイン失敗を報告します。
あるレベルで有効な宛先がすべてロックされている場合、LAC が次に行うことは、現在の優先度レベルによって異なります。
最も低いプリファレンスレベルでない場合、LAC は次に低いプリファレンスレベルに下がり、検索プロセスを続行します。
優先度が最も低い場合、LAC は、残りロックアウト時間が最短の、ロックされた有効な宛先を選択します。ロックアウトタイマーをクリアし、宛先への接続とセッションの確立を試みます。
試行に成功した場合、LAC はログイン成功を PPP クライアントに報告します。
試行が失敗し、宛先ロックされていない連絡先リストが空の場合(つまり、すべての有効な宛先が試行された場合)、LAC は PPP クライアントへのログイン失敗を報告します。
試行が失敗し、宛先ロックされていない連絡先リストが空でない場合、LACは宛先ロックされていない連絡先リスト内のすべての宛先のロックを解除し、最高のプリファレンスレベルに戻って、検索プロセスを再開します。
有効な宛先が存在しない場合、LAC が次に何をするかは、現在のプリファレンス レベルによって異なります。
最も低いプリファレンスレベルでない場合、LAC は次に低いプリファレンスレベルに下がり、検索プロセスを続行します。
これが最も低いプリファレンスレベルで、宛先ロックされていない連絡先リストが空の場合(つまり、すべての有効な宛先が試行されたことを意味します)、LACはPPPクライアントへのログイン失敗を報告します。
これが最も低いプリファレンスレベルで、宛先ロックされていない連絡先リストが空でない場合、LACは宛先ロックされていない連絡先リスト内のすべての宛先のロックを解除し、最高のプリファレンスレベルに戻って、プロセスを再開します。
検索とフェイルオーバーのプロセスは、セッションが確立されるか、すべての有効な宛先が試行されるまで(宛先が DestinationsLockedNotContacted リストに残っていない)、ログインが失敗するまで、レベルを循環します。
図 1 は、トンネル優先レベル間でフェイルオーバーが発生するデフォルトのケースで、宛先と対応するトンネルの選択を決定する可能性のある条件と決定ポイントを示しています。
間のフェールオーバー
たとえば、トンネル プロファイルに次のトンネルが含まれ、それぞれに有効な宛先があるとします。
優先度 0、トンネル 1、192.168.10.10
優先度 1、トンネル 2、192.168.22.22
優先度 1、トンネル 3、192.168.33.33
設定 2、トンネル 4、192.168.44.44
優先およびロードバランシング内のフェイルオーバーは設定されていません。
PPPユーザーがドメインに接続しようとすると、LACは次のように動作します。
最も高い優先度レベルである 0 では、LAC はトンネル 1 を選択します。これは、トンネル 1 が有効な宛先を持つレベルで唯一のトンネルだからです。LAC は 192.168.10.10 に到達しようとします。
この接続の試行は失敗するため、LAC は 192.168.10.10 をロックアウトします。このログイン試行中は再度考慮されず、宛先ロックアウト タイマーが期限切れになるまで、どのログイン試行でも考慮されません。
LAC は次のレベルである優先レベル 1 にドロップ(フェイルオーバー)し、ドメインの宛先に到達します。LACは、トンネル2を通る192.168.22.22とトンネル3を通る192.168.33.33の間でランダムに選択します。192.168.22.22を選択し、トンネル2を介して接続を試みます。
192.168.22.22 への接続試行は失敗するため、LAC は 192.168.22.22 をロックアウトします。このログイン試行中は再度考慮されず、宛先ロックアウト タイマーが期限切れになるまで、どのログイン試行でも考慮されません。
メモ:トンネル 3 にはロック解除された有効な宛先がありますが、フェールオーバー方法が優先レベル間にある場合、LAC はレベル内を検索するたびに有効な宛先への到達を 1 回しか試みられないため、LAC はそのトンネルを選択して 192.168.33.33 に到達できません。
LAC は、この例の最終(最低)レベル(プリファレンスレベル 2)に低下します。LAC がトンネル 4 を選択するのは、トンネル 4 が有効な宛先を持つレベルで唯一のトンネルだからです。LAC は 192.168.44.44 に到達しようとします。
192.168.44.44 への接続も失敗するため、LAC は 192.168.44.44 をロックアウトします。このログイン試行中は再度考慮されず、宛先ロックアウト タイマーが期限切れになるまで、どのログイン試行でも考慮されません。
これは最下位レベルであり、宛先ロックされていない連絡先リストが空であるため、LAC は PPP クライアントからのログイン要求を拒否します。
宛先 192.168.10.10、192.168.22.22、および 192.168.44.44 はロックアウトされましたが、LAC が接続を試みた後にロックアウトしたため、宛先ロックされていない連絡先リストに追加されませんでした。宛先 192.168.33.33 は接続されていませんが、ロックアウトされていないため、宛先ロックされていない連絡先リストに追加されていません。
クライアントが再度ログインを試みた場合、LAC はトンネル選択プロセスを繰り返し、優先レベル 0 から開始してロック解除された有効な宛先を確認し、必要に応じてレベルを循環します。
優先度レベル 0 では、192.168.10.10 が唯一の有効な宛先であり、まだロックアウトされているため、LAC は宛先への接続を試行できません。LAC は DestinationsLockedNotContacted リストに 192.168.10.10 を追加し、プリファレンスレベル 1 に下がります。
メモ:宛先ロックアウトタイマーはグローバルに適用されるため、複数のサブスクライバーログインにわたって持続することに注意してください。DestinationsLockedNotContacted リストは、特定のサブスクライバー ログインにのみ適用され、保持されません。LAC はこのサブスクライバーの 192.168.10.10 に連絡しましたが、前回のログイン試行中でした。このログイン試行では、ロックアウトのために宛先に接続できず、その結果、宛先が宛先ロックされていない連絡先リストに配置されます。
優先レベル 1 では、192.168.22.22 はまだロックアウトされているため、LAC は DestinationsLockedNotContacted リストに 192.168.22.22 を追加します。192.168.33.33はまだ利用可能です。LAC はトンネル 3 を介して 192.168.33.33 への接続を試みます。
この接続の試行は失敗するため、LAC は 192.168.33.33 をロックアウトします。このログイン試行中は再度考慮されず、宛先ロックアウト タイマーが期限切れになるまで、どのログイン試行でも考慮されません。LAC が優先レベル 2 に低下します。
192.168.44.44 はまだロックアウトされているため、LAC は DestinationsLockedNotContacted リストに 192.168.44.44 を追加します。
これは最も低い優先度レベルですが、今回は DestinationsLockedNotContacted リストが空ではありません。192.168.10.10、192.168.22.22、および192.168.44.44が含まれています。LAC は、宛先ロックされていない連絡先リスト上のすべての宛先のロックを解除し、最高のプリファレンスレベルに戻ります。
優先レベル 0 では、LAC は 192.168.10.10 がロック解除されたため、接続を試みます。LAC はセッションを確立し、ログイン成功を PPP クライアントに報告します。
LAC はロックアウトされている宛先への接続を試みませんが、LAC が最も低いプリファレンスレベルに達した特殊なケースがあります。レベルには複数の有効な宛先が必要であり、それらすべてがロックアウトされている必要があります。たとえば、トンネル プロファイルに次のトンネルが含まれ、それぞれに有効な宛先があるとします。
優先度 0、トンネル 1、192.168.10.10
優先度 1、トンネル 2、192.168.22.22。宛先はロックアウトされており、ロックアウト タイマーは現在 245 秒です。
優先度 1、トンネル 3、192.168.33.33。宛先はロックアウトされ、ロックアウト タイマーは現在 180 秒です。
優先およびロードバランシング内のフェイルオーバーは設定されていません。
PPPユーザーがドメインに接続しようとすると、LACは次のように動作します。
最も高い優先度レベルである 0 では、LAC はトンネル 1 を選択します。これは、トンネル 1 が有効な宛先を持つレベルで唯一のトンネルだからです。LAC は 192.168.10.10 に到達しようとします。
この接続の試行は失敗するため、LAC は 192.168.10.10 をロックアウトします。このログイン試行中は再度考慮されず、宛先ロックアウト タイマーが期限切れになるまで、どのログイン試行でも考慮されません。
LAC は次のレベルである優先レベル 1 に下がり、ドメインの宛先に到達します。このレベルの有効な宛先 192.168.22.22 と 192.168.33.33 は両方ともロックアウトされます。
LAC は、両方の宛先を宛先ロックされていない連絡先リストに追加します。
これは最も低い優先度レベルであるため、LAC は残りのロックアウト時間が短い宛先を決定します。192.168.33.33 は、192.168.22.22 (245 秒) よりも残りロックアウト時間 (180 秒) が短いため、192.168.33.33 を選択します。LAC は 192.168.33.33 のロックを解除し、トンネル 3 を介して接続を試みます。その結果、LAC は DestinationsLockedNotContacted リストから 192.168.33.33 も削除します。
接続の試行に成功し、192.168.33.33 へのセッションが確立されます。LAC は、PPP クライアントにログイン成功を報告します。
優先レベル内でのフェイルオーバーが構成されている場合の選択
優先レベル 内で フェイルオーバーを設定する場合、宛先とトンネルの選択プロセスはデフォルト設定と同じですが、1つの例外があります。LAC は優先レベルでの接続試行に 1 回だけ制限されません。
LAC は、ロック解除された有効な宛先に接続しようとして失敗した場合、その宛先をロックアウトしますが、すぐに次の下位レベルにドロップダウンすることはありません。代わりに、別のロック解除された有効な宛先が同じプリファレンスレベルで利用可能な場合、LAC はその宛先への接続を試みます。
LAC が接続しない場合、LAC は、ロック解除された有効な宛先がなくなるまで、そのプリファレンス レベル内の宛先への到達を試行し続けます。その時点で、LACはドロップダウンして、次に低い優先度レベルで検索します。各レベルで、LAC は有効な宛先を検索し、ロック解除された有効な宛先がなくなるまで接続を試みます。
LAC が最も低いプリファレンスレベルまで下がり、ロック解除された有効な宛先が見つからない場合の動作は、DestinationsLockedNotContacted リストによって異なります。
宛先ロックされていない連絡先リストが空でない場合、LAC は宛先ロックされていない連絡先リスト内のすべての宛先のロックを解除し、最高のプリファレンスレベルに戻って検索プロセスを再開します。
DestinationsLockedNotContacted が空の場合(つまり、すべての有効な宛先が試行されたことを意味します)、LAC は PPP クライアントへのログイン失敗を報告します。
例えば、トンネルプロファイルで次のトンネルと宛先が指定されているとします。負荷分散は構成されていません。すべての宛先が有効です。192.168.3.3を除くすべてがロック解除されています。トンネルの優先レベルは次のように割り当てられます。
優先度 0、トンネル 1、192.168.1.1、ロック解除
優先度 0、トンネル 2、192.168.2.2、ロック解除
優先度 0、トンネル 3、192.168.3.3、ロックアウト タイマー 100 秒
設定 1、トンネル 4、192.168.4.4、ロック解除
設定 1、トンネル 5、192.168.5.5、ロック解除
この例では、PPP ユーザーがドメインに接続しようとすると、LAC は次のように動作します。
LACは、トンネル1から192.168.1.1、トンネル2から192.168.2.2の優先レベル0の2つのロック解除された有効な宛先からランダムに選択します。192.168.2.2 を選択し、トンネル 2 を介して接続を試みます。
192.168.2.2 への接続に失敗するため、LAC は 192.168.2.2 をロックアウトします。このログイン試行中は再度考慮されず、宛先ロックアウト タイマーが期限切れになるまで、どのログイン試行でも考慮されません。
次に、LAC は、優先レベル 0 のトンネル 1 を介して 192.168.1.1 への接続を試みます。
192.168.1.1 への接続に失敗したため、LAC は 192.168.1.1 をロックアウトします。このログイン試行中は再度考慮されず、宛先ロックアウト タイマーが期限切れになるまで、どのログイン試行でも考慮されません。
トンネル 3 を通る 192.168.3.3 は、優先レベル 0 に残っている唯一の有効な宛先ですが、ロックされています。LAC は 192.168.3.3 を DestinationsLockedNotContacted リストに追加します。LAC は、192.168.1.1 と 192.168.2.2 を宛先ロックアウトしたため、連絡先を試みた後にロックアウトしたため、宛先ロックされていない連絡先リストに追加しませんでした。
レベル 0 にはロック解除された有効な宛先がなくなるため、LAC は次のレベルである優先レベル 1 に下がり、ドメインの宛先に到達します。
優先レベル 1 では、LAC はランダムに 192.168.4.4 を選択し、トンネル 4 を介して接続を試みます。
192.168.4.4 への接続に失敗したため、LAC は 192.168.4.4 をロックアウトします。このログイン試行中は再度考慮されず、宛先ロックアウト タイマーが期限切れになるまで、どのログイン試行でも考慮されません。
次に、LAC は優先レベル 1 のトンネル 5 を介して 192.168.5.5 への接続を試みます。
192.168.5.5 への接続に失敗したため、LAC は 192.168.5.5 をロックアウトします。このログイン試行中は再度考慮されず、宛先ロックアウト タイマーが期限切れになるまで、どのログイン試行でも考慮されません。レベル 1 には、ロック解除された有効な宛先はもうありません。DestinationsLockedNotContacted リストは空ではないため、LAC はリスト上のすべての宛先(この場合は 192.168.3.3)のロックを解除し、最も高いプリファレンスレベルである 0 に戻ります。
192.168.3.3 が優先レベル 0 の唯一のロック解除済み宛先になったため、LAC はトンネル 3 を介して接続を試みます。
192.168.3.3 への接続に失敗すると、LAC は 192.168.3.3 をロックアウトします。このログイン試行中は再度考慮されず、宛先ロックアウト タイマーが期限切れになるまで、どのログイン試行でも考慮されません。
レベル 0 にはロック解除された有効な宛先がなくなるため、LAC は次のレベルである優先レベル 1 に下がります。
優先レベル 1 には、ロック解除された有効な宛先がありません。LAC が両方のプリファレンス レベルですべての有効な宛先に接続したため、宛先ロックされていない連絡先が空です。LAC は PPP クライアントからのログイン要求を拒否します。
セッション負荷を複数のLNSに分散する場合の選択
LACには複数のトンネルプロファイルを設定できます。一部のトンネルは宛先を共有する場合があります。LAC が PPP 加入者のセッションを LNS にトンネリングする場合、加入者セッションのトンネルを選択する必要があります。トンネル選択プロセスでは、到達可能な宛先を持つ、最も優先度の高いトンネルが選択されます。デフォルトでは、LAC は、同じ基準を満たす複数のトンネルの中からランダムにトンネルを選択します。または、負荷分散を構成して、さまざまな選択の選択肢を有効にすることもできます。どちらのロードバランシング方法も、LACが選択するトンネルと宛先に影響しますが、それ以外の点では、選択とフェイルオーバーのプロセスは同じままです。
重み付きロードバランシングと宛先等価ロードバランシングは相互に排他的です。どちらか一方のみを有効にできます。
加重ロードバランシング
重み付けロード バランシングは、トンネルの重みに従ってトンネルを評価します。トンネルの重みは、同じプリファレンスレベルで、トンネルの最大セッション制限と他のトンネルの最大セッション制限によって決まります。最大セッション制限が最も高いトンネルは、その優先レベルで最も高い重みを持ちます。次に高い最大セッション制限を持つトンネルは、次に高い重みを持ち、以下同様に続きます。最大セッション制限が最も低いトンネルの重みは、最も低くなります。
トンネルの選択とセッションの分散は確率ベースです。荷重は重量に応じて厳密に配分されません。
加重ロード バランシングを設定する場合、LAC は優先レベル内でトンネルをランダムに選択しますが、平均して、セッションはトンネルの重量との関係でトンネル全体に分散されます。
重み付きロードバランシングでは、LAC は、優先レベル内のすべてのトンネルのすべてのセッション制限の合計に等しい範囲内の乱数を生成します。範囲の一部(数値のプール)を、トンネルの重量に比例する各トンネルに関連付けます。重みが大きいトンネルは、重みが小さいトンネルよりも範囲の大部分(プールが大きい)に関連付けられます。トンネルは、乱数が関連付けられた番号のプール内にある場合に選択されます。乱数は平均して大きなプールにある可能性が高いため、重みの低いトンネル(プールが小さい)よりも重みの高いトンネル(プールが大きい)が選択される可能性が高くなります。
例えば、1と2の2つのトンネルしかない優先レベルがあるとします。トンネル 1 の最大セッション数は 1000 セッション、トンネル 2 の最大セッション数は 2000 セッションであるため、合計で 3000 セッションになります。LAC は、0 から 2999 の範囲の 3000 のプールから乱数を生成します。0〜999の範囲の1000個の数字のプールがトンネル1に関連付けられています。1000〜2999の範囲の部分である2000番号のプールは、トンネル2に関連付けられています。
生成された数が 1000 未満の場合、トンネル 2(2000)よりも重み(1000)が低くても、トンネル 1 が選択されます。
生成された数が 1000 以上の場合、トンネル 2 が選択されます。
トンネル 2(2000)で生成可能な番号のプールはトンネル 1(1000)の 2 倍であるため、トンネル 2 は 平均してトンネル 1 の 2 倍の頻度で選択されます。
宛先等価ロードバランシング
宛先等価ロード バランシングは、すべてのトンネルにセッション負荷を均等に分散するために、宛先までのセッション数とトンネルが伝送するセッション数に応じてトンネルを評価します。セッション数が最も少ない宛先のトンネルは、負荷が最も軽いと見なされます。このプロセスは、利用可能な最高の優先レベルのトンネルで動作し、次のガイドラインを使用します。
各トンネルが別々の宛先に移動し、すべての宛先の中でセッション数が最も少ない宛先が 1 つだけの場合、LAC はその宛先へのトンネルを選択します。
各トンネルが別々の宛先に移動し、複数の宛先が同じ最小セッション数を持つ場合、LACはこれらの宛先へのトンネルの中からランダムにトンネルを選択します。
複数のトンネルが同じ宛先に行き、その宛先の宛先セッション数が最も少ない場合、LAC はこれらのトンネルの中から、トンネル セッションの合計数が最も少ないものを選択します。トンネル セッション数がこれらすべてのトンネルで同じである場合、LAC はそのうちの 1 つをランダムに選択します。
宛先等価ロード バランシングが有効な場合のトンネル選択の動作をよりよく理解するために、以下のシナリオを考慮してください。
シナリオ 1 では、すべてのトンネルに異なる有効な宛先があり、宛先セッション数のみが評価されます。
トンネル 1、優先レベル 1、192.168.1.1、宛先セッション数 = 200
トンネル 2、優先レベル 1、192.168.2.2、宛先セッション数 = 50
トンネル 3、優先レベル 1、192.168.3.3、宛先セッション数 = 300
トンネル 4、優先レベル 1、192.168.4.4、宛先セッション数 = 100
最初の PPP ユーザーがドメインに接続しようとすると、LAC はトンネル 2 を選択します。これは、トンネルが最高のプリファレンス レベル 1 にあり、有効な宛先 B でセッション数が最小の 50 であるためです。
追加の PPP ユーザーがドメインに接続しようとすると、LAC は次のように動作します。
トンネル 2 は、192.168.2.2 のセッション数が 100 になり、トンネル 4 の次に少ないセッション数 192.168.4.4 と一致するまで選択され続けます。
次の加入者がログインすると、LACはトンネル2とトンネル4のどちらかをランダムに選択します。これは、宛先のセッション数が同じで、他の宛先のセッション数よりも少ないためです。
このペアからどちらのトンネルを選択しても、宛先のセッション数は 101 になります。もう一方のトンネルは、宛先セッション数が 100 と小さいため、次の加入者がログインするときに選択されます。これにより、宛先セッション数が 101 に増加し、他のトンネルと一致します。
加入者がログインを続けると、LAC はこのプロセスを繰り返し、セッション数が一致する場合はトンネル 2 とトンネル 4 のどちらかをランダムに選択し、次の加入者と一緒に別のトンネルを選択して、宛先セッション数が両方とも 200 に達し、トンネル 1 と一致するまで選択します。
192.168.1.1、192.168.2.2、192.168.3.3のセッション数は200であるため、次の加入者がログインすると、LACはトンネル1、トンネル2、トンネル4からランダムに選択するようになります。選択したトンネルの宛先セッション数は 201 に増加するため、次の加入者については、LAC が他の 2 つのトンネルからランダムに選択します。これで、2 つのトンネルの宛先セッション数が 201 になったため、LAC は次の加入者のために残りのトンネルを選択します。
加入者がログインを続けると、LAC はこのプロセスを繰り返し、セッション数が一致する場合はトンネル 1、トンネル 2、トンネル 4 をランダムに選択し、次の加入者のために残りのペアをランダムに選択し、残りのトンネルを選択するため、これら 3 つのトンネルの宛先セッション数は再び一致します。このパターンは、3 つのトンネルすべての宛先セッション数が、トンネル 3 に一致する 300 に達するまで続きます。
これで、4 つのトンネルすべての宛先のセッション数が同じになりました。トンネルは 4 つしかないため、最終的なパターンが確立されます。LAC は、最初に 4 つのトンネルすべてからランダムに選択し、次に残りの 3 つ、残りのペアの順に選択し、最後に最後のトンネルを選択します。宛先セッション数がすべて同じになると、LAC はこのパターンを再度開始します。
シナリオ 2 では、2 つのトンネルが同じ有効な宛先を共有します。トンネル セッション数と宛先セッション数の両方が評価されます。
トンネル 1、優先レベル 1、トンネル セッション数 = 120、192.168.1.1、宛先セッション数 = 200
トンネル 2、優先レベル 1、トンネル セッション数 = 80、192.168.1.1、宛先セッション数 = 200
トンネル 3、優先レベル 1、192.168.2.2、宛先セッション数 = 300
トンネル 4、優先レベル 2、192.168.3.3、宛先セッション数 = 100
最初の PPP ユーザーがドメインに接続しようとすると、LAC はまず宛先を選択します。192.168.1.1 と 192.168.2.2 のトンネルはどちらも優先レベル 1 です。LAC は 192.168.2.2(300)よりもセッション数(200)が少ないため、192.168.1.1 を選択します。LAC はトンネル 1 とトンネル 2 が 192.168.1.1 に移動するため、トンネル 1 とトンネル 2 のどちらかを選択する必要があります。LAC はトンネル セッション カウントを評価します。トンネル 2 はトンネル 1(120)よりもカウント(80)が少ないため、LAC は最初の加入者にトンネル 2 を選択します。
追加の PPP ユーザーがドメインに接続しようとすると、LAC は次のように動作します。
トンネル 2 は、トンネル セッション数が 120 に増加し、トンネル 1 に一致するまで選択され続けます。
次の加入者がログインすると、LACはトンネルセッション数が同じであるため、トンネル1とトンネル2のどちらかをランダムに選択します。選択したトンネルのトンネル セッション数が 121 に引き上げられます。
次の加入者がログインすると、LAC はトンネル セッション数が少ないため、もう一方のトンネルを 192.168.1.1 に選択します。この時点から、LAC は交互に、まずトンネル 1 とトンネル 2 の間でランダムに選択し、次にもう一方のトンネルを選択して、宛先セッション数が 300 に上昇し、トンネル 3 の 192.168.2.2 のセッション数と一致するようにします。(この時点で、トンネル セッション数は、トンネル 1 とトンネル 2 の両方で 150 です)。
次の加入者については、LACはトンネル1、2、3の中からランダムに選択します。
LAC がトンネル 1 またはトンネル 2 を選択した場合、192.168.1.1 セッション数は 301 に増加します。その結果、192.168.2.2 セッション数は 300 のままであるため、LAC は次のサブスクライバにトンネル 3 を選択します。この時点で、両方の宛先のセッション数は再び同じになります。
LAC がトンネル 3 を選択した場合、192.168.2.2 セッション数は 301 に増加します。次の加入者の場合、LAC はトンネル 1 とトンネル 2 の両方が 192.168.1.1 に移動するため、ランダムに選択します。LAC がどちらを選択しても、192.168.1.1 セッション数は 301 に増加します。この時点で、両方の宛先のセッション数は再び同じになります。
メモ:トンネル 1 と 2 のトンネル セッション数は評価されなくなりました。LAC は、192.168.1.1 と 192.168.2.2 の宛先セッション数のみを考慮します。
このパターンは、後続のすべてのサブスクライバーに対して継続されます。
シナリオ 3 では、各トンネルに異なる有効な宛先があり、宛先セッション数のみが評価されます。
トンネル 1、優先レベル 1、192.168.1.1、宛先セッション数 = 100
トンネル 2、優先レベル 1、192.168.2.2、宛先セッション数 = 100
トンネル 3、優先レベル 1、192.168.3.3、宛先セッション数 = 100
トンネル 4、優先レベル 1、192.168.4.4、宛先セッション数 = 100
最初の PPP ユーザーがドメインに接続しようとすると、LAC は、優先レベルの 4 つのトンネルすべての宛先について、宛先セッション数が同じであると判断します。その結果、LAC は 4 つのトンネルの中からランダムに選択します。
LAC が最初の加入者にトンネル 1 を選択したとします。
追加の PPP ユーザーがドメインに接続しようとすると、LAC は次のように動作します。
宛先 192.168.2.2、192.168.3.3、192.168.4.4 はすべて同じセッション数である 100 を持ち、現在のセッション数 192.168.1.1, 101 よりも少ないため、LAC はトンネル 2、3、4 の中からランダムに選択します。
LAC がトンネル 2 を選択したとします。192.168.3.3 と 192.168.4.4 のセッション数はすべて同じで 100 であり、192.168.1.1 と 192.168.2.2 の現在のセッション数 101 よりも少ないため、次の加入者については、LAC はトンネル 3 と 4 のどちらかをランダムに選択します。
LAC がトンネル 3 を選択したとします。192.168.4.4のセッション数は100で、他のすべての宛先のカウントは101であるため、次の加入者に対してLACはトンネル4を選択します。
これで、4 つのトンネルすべての宛先のセッション数が同じになりました。トンネルは 4 つしかないため、最終的なパターンが確立されます。加入者がログインを続けると、LACはまず4つのトンネルすべてからランダムに選択し、次に残りの3つ、残りのペアをランダムに選択し、最後に最後のトンネルを選択します。宛先セッション数がすべて同じになると、LAC はこのパターンを再度開始します。
シナリオ 4 では、LAC は宛先セッション制限とトンネル最大セッション制限の両方を評価します。
トンネル 1、優先レベル 1、192.168.1.1、宛先セッション数 = 30、トンネルの最大セッション制限 = 200
トンネル 2、優先レベル 1、192.168.2.2、宛先セッション数 = 40、トンネルの最大セッション制限 = 200
トンネル 3、優先レベル 1、192.168.3.3、宛先セッション数 = 300、トンネルの最大セッション制限 = 1000
トンネル 4、優先レベル 2、192.168.4.4、宛先セッション数 = 100
最初の PPP ユーザーがドメインに接続しようとすると、LAC はトンネル 1 を選択します。これは、192.168.1.1 が優先レベルでセッション数が最も少ないためです。
追加の PPP ユーザーがドメインに接続しようとすると、LAC は次のように動作します。
LAC は、宛先セッション数 192.168.1.1 が 40 になり、トンネル 2 の 192.168.2.2 のカウントと一致するまで、トンネル 1 を選択し続けます。
次の加入者がログインすると、LAC はトンネル 1 とトンネル 2 のどちらかをランダムに選択します。これは、宛先のセッション数が同じで、トンネル 3(300)よりも少ないためです。
このペアからどちらのトンネルを選択しても、宛先のセッション数は 41 になります。もう一方のトンネルは、宛先セッション数が 40 と小さいため、次の加入者がログインするときに選択されます。これにより、宛先セッション数が他のトンネルと一致する41に増加します。
加入者がログインを続けると、LAC はこのプロセスを繰り返し、セッション数が一致する場合はトンネル 1 とトンネル 2 のどちらかをランダムに選択し、次の加入者と一緒に別のトンネルを選択し、宛先セッション数が両方とも 200 に達し、トンネルの最大セッション制限である 200 に一致するまで選択します。両方のトンネルが最大セッション制限に達したため、選択できません。
加入者がログインを続けると、LAC は、宛先のセッション数がトンネルの最大セッション制限である 1000 に達するまで、優先レベルであるトンネル 3 の残りのトンネルを選択します。
次の加入者がログインすると、LAC は次のプリファレンスレベルに下がり、トンネル 4 を選択します。これは、このレベルの唯一のトンネルだからです。
このトンネルには最大セッション制限が設定されていないため、サブスクライバがログインを続けると、LACはトンネル4を選択し続けます。その後、LAC が優先レベルの高いトンネルを選択できるのは、そのレベルのトンネルの 1 つでセッションが終了し、セッション数が上限を下回った場合のみです。
シナリオ 5 では、宛先の 1 つがロックされています。
トンネル 1、優先レベル 1、192.168.1.1、宛先セッション数 = 100、宛先ロックアウト
トンネル 2、優先レベル 1、192.168.2.2、宛先セッション数 = 200
トンネル 3、優先レベル 1、192.168.3.3、宛先セッション数 = 250
最初の PPP ユーザーがドメインに接続しようとすると、トンネルが宛先ロックアウト状態であるため、宛先のセッション数が最も少なくても、LAC はトンネル 1 を選択できません。トンネル 1 は、ロック状態から抜けるまで考慮できません。192.168.2.2のセッション数が192.168.3.3のセッション数よりも少ないため、LACはトンネル2を選択します。
追加の PPP ユーザーがドメインに接続しようとすると、次に何が起こるかは、192.168.1.1 がロックアウト状態から抜け出すタイミングによって異なります。192.168.1.1 がロックアウトされている限り、LAC は次のように選択を行います。
LAC は、192.168.2.2 のセッション数が 250 になり、トンネル 3 の 192.168.3.3 のカウントと一致するまで、トンネル 2 を選択し続けます。
次の加入者がログインすると、宛先のセッション数が同じ250であるため、LACはトンネル2とトンネル3のどちらかをランダムに選択します。
このペアからどちらのトンネルを選択しても、宛先のセッション数は 251 になります。もう一方のトンネルは、宛先セッション数が 250 と小さいため、次の加入者がログインするときに選択されます。これにより、宛先セッション数が 251 に増加し、他のトンネルと一致します。
加入者がログインを続けると、LACはこの処理を繰り返し、セッション数が一致するとトンネル2とトンネル3のどちらかをランダムに選択し、次の加入者がいるもう一方のトンネルを選択します。
192.168.1.1がロックアウト状態から復帰するたびに、192.168.1.1のセッション数が最も少ないため、LACは次の加入者のためにトンネル1を選択します。LAC は、192.168.1.1 のセッション数が他の宛先の現在のセッション数と一致するまで、これを続けます。これ以降、LAC は宛先セッション数が一致するトンネルを交互に選択し、その後、最小数のトンネルを選択します。
192.168.1.1がロックアウト状態から抜け出すたびに、
LAC は、192.168.1.1 のセッション数が最も少ないため、次のサブスクライバにトンネル 1 を選択します。
LAC は、192.168.1.1 のセッション数が他の宛先の現在のセッション数と一致するまで、トンネル 1 を選択し続けます。
これ以降、LAC は宛先セッション数が一致するトンネルを交互に選択し、その後、最小数のトンネルを選択します。
L2TP セッション制限の概要
L2TP セッション要求が開始されると、LNS または LAC は、シャーシ、トンネル、トンネル グループ、クライアント(要求側ホスト デバイス)、またはクライアント グループに許可されているセッションの最大数に対して、現在のアクティブなセッションの数をチェックします。新しいセッション要求は、構成されたセッション制限に達すると拒否されます。
セッションが要求されると、LNS は次の順序でセッション制限をチェックします。
シャーシ>トンネル>トンネルグループ>セッション制限グループ>クライアント
各レベルで、LNS は現在のセッション数が構成された制限を下回っているかどうかを判断します。それが当てはまる場合、または制限が設定されていない場合、チェックは合格し、LNSは次のレベルのチェックに進みます。いずれかのレベルで現在のセッション数が設定された制限と等しい場合、LNSはセッション要求を拒否し、他のレベルをチェックしません。それ以外の場合は、セッションを確立できます。
既存のトンネルのセッション要求が拒否されると、着信呼び出し要求 (ICRQ) に応答して、結果コードとエラー コードの両方が 4 に設定された CDN(Call-Disconnect-Notify)メッセージが返されます。拒否された要求が新しいトンネルに対するものである場合、トンネルは確立されますが、セッションが立ち上がらず、セッションがないためにトンネルがダウンします。
LAC は同じチェックを行いますが、これはシャーシとトンネル レベルに対してのみです。LAC は、PPP 終了メッセージをクライアントに返して要求を拒否します。
セッション制限は、シャーシ、すべてのトンネル、トンネル グループ、クライアントのグループ、または個々のクライアントに対して設定できます。以下のシナリオでは、セッション制限のさまざまな構成で何が起こるかについて説明します。
シナリオ 1:シャーシ制限
表 1 では、現在の L2TP セッション数は 10,000 で、セッション制限はすべてのレベルで 10,000 に設定されています。新しいセッションが要求されると、現在のセッション数が設定された制限と一致するため、シャーシレベルでの最初のチェックは失敗します。他のレベルではそれ以上の検査は実行されず、セッション要求は拒否されます。現在のセッション数が 10,000 を下回るまで、どのレベルでも新しいセッションは許可されません。
レベル |
構成されたセッション制限 |
コマンドによって |
セッション制限チェック結果 |
|---|---|---|---|
シャーシ |
10,000 |
10,000 |
失敗 |
トンネルA |
10,000 |
10,000 |
– |
トンネル グループ B |
10,000 |
10,000 |
– |
セッション制限グループ |
10,000 |
10,000 |
– |
クライアント |
10,000 |
10,000 |
– |
シナリオ 2: トンネル制限
表 2 では、現在の L2TP セッション数は 2000 です。新しいセッションが要求されると、設定された制限ではシャーシ上で最大 10,000 セッションが許可されますが、現在アクティブなセッションは 2000 セッションのみであるため、シャーシ レベルでの最初のチェックは合格します。現在のセッション数がトンネル A に対して構成されている制限トンネル制限 2000 と一致するため、トンネル レベルでの次のチェックは失敗します。
他のレベルではそれ以上の検査は実行されず、セッション要求は拒否されます。
レベル |
構成されたセッション制限 |
コマンドによって |
セッション制限チェック結果 |
|---|---|---|---|
シャーシ |
10,000 |
2000 |
渡す |
トンネルA |
2000 |
2000 |
失敗 |
トンネル グループ B |
10,000 |
2000 |
– |
セッション制限グループ |
6000 |
2000 |
– |
クライアント |
6000 |
2000 |
– |
現在のセッション数が 2000 を下回り、セッション チェックに合格するまで、トンネル A では新しいセッションは許可されません。その場合、設定された制限が現在の数よりも大きいため、このシナリオでは他のレベルのチェックに合格します。
セッション制限 2000 はすべてのトンネルに適用されます。つまり、各アクティブなトンネルには、2000セッションという独立した制限があります。1 つのトンネルで障害が発生しても、他のトンネルには影響しません。他のトンネルのセッション要求は、そのトンネルの現在のセッション数が 2000 未満であれば合格します。
シナリオ 3:トンネル グループの制限
表 3 では、現在の L2TP セッション数は 2000 です。新しいセッションが要求されると、設定された制限ではシャーシ上で最大 10,000 セッションが許可されますが、現在アクティブなセッションは 2000 セッションのみであるため、シャーシ レベルでの最初のチェックは合格します。トンネル レベルでの 2 番目のチェックも同じ理由で合格です。トンネル グループ B の現在のセッション数が設定された制限トンネル グループ制限 2000 と一致するため、トンネル グループ B のトンネル グループ レベルでの次のチェックは失敗します。
他のレベルではそれ以上の検査は実行されず、セッション要求は拒否されます。
レベル |
構成されたセッション制限 |
コマンドによって |
セッション制限チェック結果 |
|---|---|---|---|
シャーシ |
10,000 |
2000 |
渡す |
トンネルA |
10,000 |
2000 |
渡す |
トンネル グループ B |
2000 |
2000 |
失敗 |
セッション制限グループ |
6000 |
2000 |
– |
クライアント |
6000 |
2000 |
– |
現在のセッション数が 2000 を下回り、セッション チェックに合格するまで、トンネル グループ B では新しいセッションは許可されません。その場合、他のレベルのチェックは、構成された制限が現在のカウントよりも大きいため、合格する可能性があります。
トンネル グループの場合、セッション制限はグループごとに設定されます。つまり、すべてのトンネル グループに適用される制限を 1 つ指定することはできません。トンネル グループの障害は、他のトンネル グループには影響しません。このシナリオでは、そのグループの現在のセッション数が設定されたセッション制限よりも少ない場合、他のトンネル グループのセッション要求は合格します。
シナリオ 4: セッション制限グループ制限
表 4 では、現在の L2TP セッション数は 6000 です。新しいセッションが要求されると、シャーシ、トンネル、トンネル グループのチェックは合格します。これは、それぞれに設定された制限で最大 10,000 セッションが許可されますが、現在アクティブなセッションは 6000 セッションのみであるためです。セッション制限グループ slg1 の現在のセッション数が構成された制限値 6000 と一致するため、セッション制限グループでのチェックは失敗します。
残りのレベルではそれ以上のチェックは実行されず、セッション要求は拒否されます。
レベル |
構成されたセッション制限 |
コマンドによって |
セッション制限チェック結果 |
|---|---|---|---|
シャーシ |
10,000 |
6000 |
渡す |
トンネルA |
10,000 |
6000 |
渡す |
トンネル グループ B |
10,000 |
6000 |
渡す |
セッション制限グループ slg1 |
6000 |
6000 |
失敗 |
クライアント |
8000 |
2000 |
– |
グループの現在のセッション数が 6000 を下回り、セッションチェックに合格するまで、セッション制限グループ slg1 内のどのクライアントにも新しいセッションは許可されません。その場合、設定された制限が現在のカウントより大きいため、残りのレベルチェックは合格できます。
セッション制限グループを再構成するには、現在のセッションに影響を与えずにクライアントを削除または追加します。再構成は、クライアント・グループが確立できるセッションの数に影響します。
クライアントを削除すると、確立できる新しいセッションの数は、そのクライアントの現在のセッションの数だけ増加します。
クライアントを追加すると、確立できる新しいセッションの数は、そのクライアントの現在のセッションの数だけ減少します。既存のクライアントと新しいクライアントの現在のセッションの新しい合計は、セッション制限グループに構成された制限を超える可能性があります。この場合、セッションはドロップされませんが、セッション数が設定されたグループ制限を下回るまで、新しいセッションは確立できません。
これをさらに詳しく調べるには、次の一連のイベントについて考えてみます。
セッション制限グループ slg1 には、現行セッション・カウントが 3500 である ent1-serviceA と、現行セッション・カウントが 0 である ent1-serviceB の 2 つのクライアントがあります。グループ slg1 には 6000 の制限があるため、これらのクライアントに追加できるセッションは 2500 までです。
6000 - 3500 = 2500
次に、クライアント ent1-service B に 1000 セッションがログインします。これで、これらのクライアントに追加できるセッションは 1500 個までです。
6000 - (3500 + 1000) = 1500
次に、セッション制限グループからクライアント ent1-serviceA を削除するとします。グループ セッションの容量が 5000 セッションに増加します。
6000 - 1000 = 5000
最後に、新しいクライアント ent1-serviceC をセッション制限グループに追加します。この新しいクライアントには現在 8000 のアクティブなセッションがあります。この場合、セッション制限グループのセッション数は 9000 になりました。
1000 + 8000 = 9000
グループの最大セッション制限である 6000 を超えても、セッションはドロップされません。セッション数が 9000 から 6000 未満に減少するまで、新しいセッションを追加することはできません。
シナリオ 5: 個々のクライアントの制限
表 5 では、シャーシ、トンネル、トンネル グループの設定制限が現在のセッション数を超えているため、セッション チェックに合格しています。クライアント ent1-serviceA は、セッション限定グループに属していません。クライアントの現在のセッション数が構成された制限である 6000 と一致するため、クライアントの制限チェックは失敗します。
レベル |
構成されたセッション制限 |
コマンドによって |
セッション制限チェック結果 |
|---|---|---|---|
シャーシ |
10,000 |
6000 |
渡す |
トンネルA |
10,000 |
6000 |
渡す |
トンネル グループ B |
8000 |
6000 |
渡す |
クライアント ent1-serviceA |
6000 |
6000 |
失敗 |
現在のセッション数が 6000 を下回り、セッション チェックに合格するまで、このクライアントでは新しいセッションは許可されません。独立クライアントの障害は、他のクライアントには影響しません。このシナリオでは、そのクライアントの現在のセッション数が構成されたセッション制限よりも少ない場合、他の独立クライアントに対するセッション要求は合格します。
個々のクライアント(セッション制限グループに属していないクライアント)に設定したセッション制限は、トンネルグループごとに適用されます。送信元ホスト名が同じで送信元 IP アドレスが異なる複数の LAC は、同じクライアントとして扱われます。
A、B、C の 3 つの LAC があるとします。3 つとも同じ送信元ホスト名 ce-lac を持っています。LAC A と LAC B は、トンネル グループ 1 に関連付けられたゲートウェイ アドレスを介して LNS とのセッションを確立します。LAC C は、トンネル グループ 2 に関連付けられた別のゲートウェイを介してセッションを確立します。LACのホスト名は同じであるため、クライアント構成は3つすべてで同じになります。ただし、クライアント セッションの制限は、トンネル グループのために LAC に異なる方法で適用されます。
クライアント セッションの制限が 100 であるとします。LAC A と LAC B はどちらもトンネル グループ 1 にセッションを作成するため、クライアント制限を共有する必要があります。つまり、LAC A と LAC B を合わせたセッションの合計数は 100 になります。
LAC C は、別のトンネル グループ 2 にセッションを作成します。クライアント セッションの制限はトンネル グループごとに適用されるため、LAC A および LAC B がすでに確立しているセッションの数に関係なく、LAC C には 100 セッションが許可されます。
LAC または LNS で許可される L2TP セッションの数を制限する
シャーシ、すべてのトンネル、トンネル グループ、クライアントのグループ、個々のクライアント、または個々のサービス インターフェイスまたは集約されたサービス インターフェイスに許可される L2TP セッションの最大数に制限を設定できます。新しいセッション要求は、設定されたセッション制限に達すると、LNS または LAC によって拒否されます。セッション要求は、設定された制限を超えていない場合でも、シャーシの上限に達した場合も拒否されます。構成可能なセッション制限により、顧客が複数の場所にある LAC を介して接続している間に持つことができるセッションの数をきめ細かく制御できます。
シャーシのデフォルトの最大制限を超える制限を設定することはできません。
シャーシ(LACまたはLNS)で許可されるセッション数を制限するには:
セッションの最大数を設定します。
[edit services l2tp] user@host# set maximum-sessions number
すべてのトンネル(LACまたはLNS)のトンネルあたりのセッション数を制限するには:
セッションの最大数を設定します。
[edit services l2tp tunnel ] user@host# set maximum-sessions number
制限を 65,535 セッションを超えて設定することはできません。
特定のトンネル グループ(LNS)内のすべてのトンネルのセッション数を制限するには:
セッションの最大数を設定します。
[edit services l2tp tunnel-group tunnel-group-name] user@host# set maximum-sessions number
個々のサービス・インターフェースで許可されるセッション数を制限するには、以下のようにします。
セッションの最大数を設定します。
[edit interfaces si-slot/pic/port] user@host# set l2tp-maximum-session number
個々の集約されたサービス・インターフェースで許可されるセッション数を制限するには:
セッションの最大数を設定します。
[edit interfaces asinumber] user@host# set l2tp-maximum-session number
メモ:この設定は、すべてのメンバー インターフェイスに適用されます。この制限は、集約されたサービス・インターフェースのメンバー・インターフェースの個々のメンバー・インターフェースに設定することはできません。
クライアントグループ(LNS)のセッション数を制限するには:
セッション制限グループ (LNS) のメンバーではないクライアントのセッション数を制限するには:
セッションの最大数を設定します。
[edit access profile profile-name client client-name] user@host# set maximum-sessions number
任意のレベルでセッション制限を、そのレベルで現在存在するセッション数より少なく構成しても、既存のセッションには影響しません。新しい制限は、セッション数が新しい制限を下回った場合にのみ適用されます。
show services l2tp summary extensiveコマンドを使用して、トンネルに設定されたセッション制限を表示できます。
user@host> show services l2tp tunnel extensive
...
Max sessions: 32000, Window size: 4, Hello interval: 60
...
構成済みセッションの表示制限は、以下の構成済みセッション値のうち最も低い値に設定されます。
グローバル(シャーシ)—(LAC および LNS)
set services l2tp tunnel maximum-sessionsnumberトンネルプロファイル(個別トンネル)-(LAC および LNS)
set access tunnel-profile profile-name tunnel tunnel-idmax-sessionsnumber]RADIUS—(LAC および LNS)VSA 26–33、Tunnel-Max-Sessions の値
ホスト プロファイル - (LNS のみ)
set access profile profile-name client client-name l2tp maximum-sessions-per-tunnel
設定された値によって、次のJunos OSリリースで始まるフィールド値が決まります:19.2R3、19.3R3、19.4R3、20.1R2、20.2R2、および20.3R1。以前のリリースでは、このフィールドには LNS のホスト プロファイル値が表示されますが、LAC の固定値 512,000 が表示されます。
GRES、統合型ISSU、またはjl2tpdプロセスの再起動後、このフィールドの値は、トンネルで新しいセッションが立ち上がった後にのみ正確になります。それが発生するまで、フィールドには設定された値ではなく 65,535 の値が表示されます。
トンネルAとトンネルBの2つのトンネルがあるとします。GRES が実行され、各トンネルのフィールドに 65,535 が表示されます。トンネル B で新しいセッションが起動すると、そのトンネルの値が設定された値に更新されます。トンネル A の場合、そのトンネルが新しいセッションを取得するまで、フィールドには 65,535 が表示され続けます。
トンネル名の形式の設定
デフォルトでは、トンネルの名前は AAA サーバから返されるトンネル割り当て ID [82] に対応します。オプションで、 階層レベルで ステートメント[edit services l2tp tunnel]を含めるassignment-id-format client-server-idことで、トンネル名の構築により多くの要素を使用するように LAC を設定できます。この形式では、トンネル クライアント 認証 ID [90]、トンネル サーバー エンドポイント [67]、トンネル割り当て ID [82] の 3 つの属性を使用します。これらの属性は、それぞれ、LAC(ソースゲートウェイ)名のトンネルプロファイルで設定された値、LNSのトンネルエンドポイント(リモートゲートウェイ)アドレス、およびトンネルIDに対応しています。
この client-server-id 形式の結果は、AAA サーバが以前に返されたものとは異なるトンネル クライアント認証 ID を返すと、LAC によって自動的に新しいトンネルが作成されます。
このステートメントをサポートしていない Junos OS リリースにダウングレードする前に、 階層[edit services l2tp tunnel]レベルでステートメントno assignment-id-format assignment-idを含めて、機能の設定を明示的に解除することをお勧めします。
トンネル名の形式を変更するには:
形式を設定します。
[edit services l2tp tunnel] user@host# set assignment-id-format client-server-id
加入者アクセス用のトンネル プロファイルの設定
トンネル プロファイルは、トンネルを特徴付ける属性のセットを指定します。プロファイルは、ドメイン マップによって適用することも、トンネルの作成時に自動的に適用することもできます。
RADIUS 属性と VSA は、ドメイン マップ内のトンネル プロファイルで設定した値を上書きできます。ドメイン マップがない場合、RADIUS はトンネルのすべての特性を提供できます。次の手順のステップでは、トンネルプロファイルを変更または設定するためにRADIUSサーバーで設定できる、対応する標準RADIUS属性またはVSAをリストアップします。
RADIUS で指定された属性は、トンネル識別子と一致する属性に含まれるタグによってトンネルに関連付けられます。タグ 0 は、タグが使用されないことを示します。L2TP がタグが 0 の RADIUS 属性を受信した場合、トンネル プロファイルは 0 のトンネル タグ(トンネル識別子)を提供できないため、加入者ドメインに対応するトンネル プロファイル設定と属性をマージすることはできません。1 から 31 の範囲のタグのみがサポートされます。
トンネルプロファイルのトンネル定義を設定するには、次の手順に従います。
次の例は、トンネルプロファイルの完全な設定を示しています。
tunnel-profile marketing {
tunnel 1 {
preference 5;
remote-gateway {
address 198.51.100.4;
gateway-name work;
}
source-gateway {
address 192.0.2.10;
gateway-name local;
}
secret $ABC123;
logical-system bos-metro-5;
routing-instance rox-12-32;
medium ipv4;
type l2tp;
identification tunnel_to_work;
max-sessions 32;
nas-port-method cisco avp;
}
}
L2TP LAC トンネル選択パラメータの設定
LAC は、PPP セッションをトンネリングする必要があると判断すると、PPP ユーザーまたは PPP ユーザーのドメインのいずれかに関連付けられたトンネルのセットからトンネルを選択します。トンネルの選択方法と、特定の情報を LAC から LNS に送信するかどうかを設定できます。
トンネル選択パラメータを設定するには:
優先レベルでの LAC トンネル選択フェイルオーバーの設定
接続に失敗した場合に LAC トンネルの選択を継続する方法を設定できます。デフォルトでは、ルーターが特定のプリファレンスレベルで宛先に接続できない場合、次に低いレベルで接続を試みます。ルーターが、失敗した試行と同じレベルの別の宛先への接続を試行するように指定できます。
プリファレンスレベルのすべての宛先が到達不能とマークされている場合、ルーターはそのレベルの宛先への接続を試行しません。次に低いプリファレンスレベルに下がり、宛先を選択します。
すべてのプリファレンスレベルのすべての宛先が到達不能とマークされている場合、ルーターは最初に失敗した宛先を選択し、接続を試みます。接続に失敗すると、ルーターはリモート ルーターへのコンタクトを試みずに PPP ユーザー セッションを拒否します。
例えば、ドメインにA、B、C、Dの4つのトンネルがあるとします。すべてのトンネルが到達可能と見なされ、プリファレンスレベルは次のように割り当てられます。
優先度 0 の A および B
優先度 1 での C および D
ルータがドメインに接続しようとするときに、ルータが優先度 0 からトンネル B をランダムに選択するとします。トンネル B への接続に失敗した場合、ルーターはトンネル B を 5 分間除外し、トンネル A への接続を試みます。この試みも失敗すると、ルーターは優先度 1 にドロップします。次に、ルーターがトンネル C を選択したとします。トンネル C への接続にも失敗した場合、ルーターはトンネル C を 5 分間除外し、トンネル D への接続を試みます。
このトンネル選択方法に使用する優先レベルは、トンネルプロファイルまたはRADIUS Tunnel-Preferred [83]属性で設定します。
優先レベル内でトンネル選択フェイルオーバーを有効にするには:
優先順位内でフェールオーバーを指定します。
[edit services l2tp] user@host# set failover-within-preference
LAC トンネル セッションの重み付けロード バランシングの設定
デフォルトでは、L2TP LACは、利用可能な最も高いプリファレンスレベル内からランダムに新しいセッションのトンネルを選択します。各トンネルの重みを評価することで、利用可能な最高のプリファレンスレベルで、複数のトンネルにセッションを分散するようにLACを設定できます。この方法は、 加重負荷分散と呼ばれます。トンネルの重みは、同じプリファレンス レベルでの他のトンネルの最大セッション制限と最大セッション制限に比例します。重み付けロード バランシングを設定する場合、LAC は優先レベル内でトンネルをランダムに選択しますが、平均して、セッションはトンネルの重みとの関係でトンネル全体に分散されます。
加重負荷分散を設定するには:
負荷分散を指定します。
[edit services l2tp] user@host# set weighted-load-balancing
LACトンネルセッションの宛先等価ロードバランシングの設定
デフォルトでは、L2TP LACは、利用可能な最も高いプリファレンスレベル内からランダムに新しいセッションのトンネルを選択します。Junos OS リリース 15.1 以降では、宛先へのセッション数とトンネルが伝送するセッション数を評価することで、利用可能な最高のプリファレンス レベルですべてのトンネルにセッションを均等に分散するように LAC を設定できます。この分散方法は、 宛先等価ロード バランシングと呼ばれます。LAC は、次のガイドラインに従って、負荷が最も軽いトンネルを選択します。
各トンネルが別々の宛先に移動し、すべての宛先の中でセッション数が最も少ない宛先が 1 つだけの場合、LAC はその宛先へのトンネルを選択します。
各トンネルが別々の宛先に移動し、複数の宛先が同じ最小セッション数を持つ場合、LACはこれらの宛先へのトンネルの中からランダムにトンネルを選択します。
複数のトンネルが同じ宛先に行き、その宛先の宛先セッション数が最も少ない場合、LAC はこれらのトンネルの中から、トンネル セッションの合計数が最も少ないものを選択します。トンネル セッション数がこれらすべてのトンネルで同じである場合、LAC はそのうちの 1 つをランダムに選択します。
宛先等価ロード バランシングを設定するには:
宛先等価ロード バランシングを指定します。
[edit services l2tp] user@host# set destination-equal-load-balancing
IPv6 サービスに対する LAC の有効化
LNSへの加入者をトンネリングする際に、IPv6アドレスファミリー(inet6)を作成するようにLACを設定できます。IPv6ファイアウォールフィルターは、LAC上のサービスによって加入者トラフィックに適用できるようになります。デフォルトでは、LAC は IP トンネルへの転送を有効にするためにファミリー inet のみを必要とします。LACは、IPv4ファイアウォールフィルターをセッションに適用できます。ファミリーinet6が動的プロファイルに含まれている場合でも、デフォルトでは必要ないため、リソースを節約するために作成されません。そのため、IPv6ファイアウォールフィルターは適用できません。
IPv6 アドレスファミリーの作成と IPv6 ファイアウォールフィルターの適用を有効にするには:
有効化を設定します。
[edit services l2tp] user@host# set enable-ipv6-services-for-lac
コマンドを使用して、 show services l2tp summary ステートメントが有効か無効かを表示できます。
LACからのL2TPトンネル設定のテスト
LAC での L2TP トンネル設定、および正常な加入者認証とトンネリングを、PPP ユーザーおよび関連するトンネルを起動しなくてもテストできます。
test services l2tp tunnel CLI 動作モードから コマンドを発行して、加入者を L2TP トンネルにマッピングし、L2TP トンネル設定(LAC 上のローカルと RADIUS サーバーなどのバックエンド サーバーの両方)を検証し、LAC からの L2TP トンネルがリモート LNS で確立できることを確認します。
Junos OS LAC 実装では、複数のトンネルを設定し、そのうちの 1 つのトンネルを PPP 加入者のトンネリング用に選択できます。 test services l2tp tunnel コマンドを使用して、考えられるすべてのトンネル構成をテストし、それぞれが確立できることを確認できます。または、サブスクライバの特定のトンネルのみをテストすることもできます。
コマンドを発行する際に、設定されたサブスクライバーのユーザー名を指定する必要があります。テストでは、サブスクライバーのダミーパスワード(testpass)を生成するか、オプションでパスワードを指定できます。このテストでは、そのユーザ名で識別される加入者が、トンネル設定に従ってトンネリングできるかどうかを検証します。サブスクライバをトンネリングできる場合、テストでは、L2TP 構成に従って LNS で L2TP トンネルを確立できるかどうかが確認されます。
オプションでトンネル ID を指定することができ、この場合はそのトンネルのみがテストされます。トンネルは、そのユーザー名に対してすでに設定されている必要があります。このオプションを省略すると、ユーザー名に対して返されるトンネル設定のフルセットにテストが適用されます。指定するトンネル ID は、トンネル割り当て ID(RADIUS 属性 82)で使用され、トンネル プロファイルの ステートメントで identification 指定されるものと同じです。
加入者認証とトンネル設定をテストするには:
ユーザー名のみを指定します。
例 1:
user@host> test services l2tp tunnel user test-user1@example.com Subscriber: test-user1@example.com, authentication failed
ユーザーは生成されたパスワードで認証に失敗したため、トンネリングされませんでした。
例 2:
user@host> test services l2tp tunnel user user23@example.com Subscriber: user23@example.com, authentication success, l2tp tunneled Tunnel-name Tunnel-peer Logical-System Routing-Instance Status test1tunnel 192.168.2.3 default default Up test2tunnel 192.168.30.3 default default Peer unresponsive test3tunnel 192.168.50.1 default test Up
このユーザーは生成されたパスワードで認証され、正常にトンネリングされました。トンネルのセットがそのユーザー名に関連付けられていることが判明し、セット全体がテストされました。
ユーザー名とユーザーの設定済みパスワードを指定します。
user@host> test services l2tp tunnel user test-user1@example.com password grZ98#jW Subscriber: test-user1@example.com, authentication success, locally terminated
サブスクライバーが認証されました。ただし、ユーザーはトンネリングではなくローカルで終了しました。これは、ユーザーに関連付けられているトンネルが見つからなかったことを意味します。
サブスクライバのユーザ名と特定のトンネルを指定します。
user@host> test services l2tp tunnel user rx37w@example.com tunnel-name ce-lac Subscriber: rx37w@example.com, authentication success, l2tp tunneled Tunnel-name Tunnel-peer Logical-System Routing-Instance Status ce-lac 192.168.5.10 default default Up
サブスクライバーが認証され、トンネリングされました。加入者に対して指定されたトンネルが検出され、トンネルが確立されてトンネル設定が確認されました。
ユーザー名、ユーザーの設定済みパスワード、およびトンネルを指定します。
user@host> test services l2tp tunnel user fanta4-mfg-fan@example.com password dieda499 tunnel-name tunnel5 Subscriber: fanta4-mfg-fan@example.com, authentication success, l2tp tunneled
サブスクライバーが認証され、トンネリングされました。出力にトンネル情報がない場合は、指定されたトンネル設定が存在しないことを示します。