複数ドメインネットワークのL2TPトンネルスイッチング
L2TP トンネル スイッチングの概要
L2TP トンネル スイッチングは、L2TP マルチホップとも呼ばれ、複数のドメインにまたがる L2TP ネットワークの導入を簡素化します。LACとLNSの間にあるルーターは、図1に示すように、L2TPトンネルスイッチ(LTS)(単にトンネルスイッチまたはTSA(トンネルスイッチングアグリゲーター)と呼ばれることもあります)として設定されます。LTS は LNS と LAC の両方として設定されます。リモートLACがカプセル化されたPPPパケットをLTSに設定されたLNSに送信すると、LTSはパケットを別のトンネルを介してLTSを超えた別のLNSに転送またはリダイレクトできます。元のL2TPセッションの論理終端ポイントは、別のエンドポイントに切り替えられます。
たとえば、 図 1 に示すネットワークでは、サービス プロバイダ A によってプロビジョニングされた加入者からのパケットは、最初に LTS に設定された LNS をターゲットにします。LTS はこれらのパケットを LNS1 にリダイレクトする場合があります。
ー
L2TPトンネルスイッチングは、LACの管理ドメインが目的のLNSの管理ドメインと異なる場合のネットワーク設定を簡素化します。例えば:
LTSは、複数のLACのLNSとして機能します。個々のLACは、セッションを終了する最も適切なLNSを特定するために必要な管理制御や機能を持っている必要はありません。LTSは、その機能がLTSに集中化されていることを実行します。
LTS は、複数の LNS の LAC として機能します。新しいリモートLACがISPのネットワークに追加された場合、ISPはLTS上のLACに接続するため、新しいLACに対応するためにLNSルーターを再設定する必要はありません。
レイヤー 2 ホールセール ネットワークでは、卸売業者は L2TP トンネル スイッチングを使用して、管理しやすいフラットなネットワーク構成を作成できます。卸売業者は、異なるISP(したがって異なるLNS)宛てのLACからのレイヤー2セッションを、単一のL2TPトンネルにバンドルします。この構成により、LAC に共通の L2TP 制御接続を使用できるようになります。
図 2 は、次の一連のイベントによる着信コールの L2TP トンネル切り替えの例を示しています。
サブスクライバは、LAC への PPP セッションを開きます。
LAC は、LTS で設定された LNS への最初の L2TP トンネルと、カプセル化された PPP パケットを伝送する最初の L2TP セッションを作成します。
この最初のセッションの認証中に、LTSは、LTSに設定されたトンネルスイッチプロファイルの有無に基づいて、LTSを超えてLNSにセッションを再トンネルするかどうかを決定します。
トンネル スイッチ プロファイルは、デフォルト プロファイルにすることも、RADIUS サーバ、ドメイン マップ設定、またはトンネル グループ設定で適用することもできます。
トンネルスイッチプロファイルが設定されている場合、LTSは、プロファイルで指定されたLTSを超えてLNSへの2番目のトンネル(まだ存在しない場合)を作成し、このトンネルに2番目のセッションを作成します。
に対する L2TP トンネル スイッチング
トンネル スイッチ プロファイルの適用
適用するトンネル スイッチ プロファイルは、いくつかの方法で設定できます。
すべてのLACから受信したトラフィックにグローバルに適用されるデフォルトプロファイルとして
サブスクライバセッションにドメインマップを適用した
加入者セッションにトンネル グループが適用された場合
RADIUS サーバー設定で、トンネル スイッチ プロファイル VSA(26-91)で返されます。
これらの適用方法は複数設定できます。複数のトンネルスイッチプロファイルが存在する場合、次の優先順位によってLTSが使用するプロファイルが決まります。順序は、最高(RADIUS)から最低(デフォルトプロファイル)の順です。
RADIUS VSA 26-91 > ドメイン マップ > トンネル グループ>グローバル トンネル スイッチ プロファイル
トンネル スイッチ プロファイルは、トンネル プロファイルも参照する必要があります。このトンネル プロファイルは、加入者パケットがスイッチングされる 2 番目のトンネルの特性を指定します。
LTS でのトンネル交換セッションの終了
トンネル交換セッションは、次のいずれかが発生すると LTS で終了します。
LTS上のLACまたはLNSインターフェイスのいずれかが、CDN(Call-Disconnect-Notify)メッセージを受信します(表1)。
表 1: CDN メッセージの原因 CDN メッセージが受信されるタイミング
いつ
LAC インターフェイス
次のいずれかが発生します。
2 番目のセッションを確立できません。
リモート LNS は 2 番目のセッションを終了します。
LNS インターフェイス
次のいずれかが発生します。
PPPoE クライアントがログアウトを開始します。
発信元の LAC がトンネルの終端を開始します。
LTS が CDN を受信しなかったインターフェイスに CDN をリレーするため、1 番目と 2 番目のセッションの両方が終了します。切断の原因は、両方のセッションで同じです。
LTS上のLACまたはLNSインターフェイスのいずれかが、停止制御接続通知(StopCCN)メッセージを受信します(表2)。
表 2: StopCCN メッセージの原因 StopCCN メッセージが受信される宛先
いつ
LAC インターフェイス
次のいずれかが発生します。
2 番目のセッションを確立できません。
リモート LNS は 2 番目のトンネルを終了します。
LNS インターフェイス
発信元の LAC がトンネルの終端を開始します。
特定のトンネルには交換セッションと非交換セッションの両方を含めることができるため、LTS は StopCCN メッセージを中継しません。ホールセールシナリオのもう1つの理由は、LTS上のLNSで終了するトンネルに、異なるプロバイダからのLACからのセッションが含まれている可能性があることです。代わりに、LTS は、StopCCN を受信しなかったインターフェイスに CDN メッセージを送信して、トンネル交換セッションを終了します。このCDNは、StopCCNで伝送されたエラーコードを中継します。
LTS で管理
clearコマンドが発行されます。
表 3 は、LTS で管理 clear コマンドが発行されたときに実行されるアクションをリストしています。
コマンド |
LAC または LNS アクション |
LTSアクション |
|---|---|---|
|
宛先と、関連するすべてのトンネルおよびセッションをクリアします。 |
宛先へのトンネル内のスイッチド セッションごとに、原因を [管理] に設定した CDN メッセージを送信して、対応するマッピングされたスイッチド セッションをクリアします。 |
|
すべての宛先および関連するすべてのトンネルとセッションをクリアします。 |
なし。 |
|
セッションをクリアします。 |
原因を [管理] に設定した CDN メッセージを送信して、このセッションに対応するマップされた交換セッションをクリアします。 |
|
すべてのセッションをクリアします。 |
なし。 |
|
トンネルとそのすべてのセッションをクリアします。 |
トンネル内の交換されたセッションごとに、原因を [管理] に設定した CDN メッセージを送信して、対応するマッピングされた交換セッションをクリアします。 |
|
すべてのトンネルをクリアします。 |
なし。 |
スイッチング境界での L2TP AVP に対するトンネル スイッチング アクション
L2TP トンネル スイッチングがパケットを別の LNS にリダイレクトする場合、L2TP メッセージで伝送される各 AVP のスイッチング境界で、次のいずれかのデフォルト アクションが実行されます。
relay- L2TP は、スイッチド パケット内の AVP を変更せずに透過的に転送します。regenerate- L2TP は、最初のトンネルとセッションでネゴシエートされた受信 AVP を無視します。LTS のローカル ポリシーに基づいて 2 番目のセッションの新しい AVP を生成し、この AVP をスイッチド パケットで送信します。ローカル ポリシーは、最初のセッションのネゴシエーション中に受信した AVP の値を使用する場合と使用しない場合があります。
表 4 に、各 AVP のデフォルト アクションを示します。必須の AVP は、LAC からの L2TP メッセージに常に含まれます。オプションの AVP がメッセージに含まれる場合があります。
オプションで、ベアラ タイプ AVP(18)、発信者番号 AVP(22)、または Cisco NAS ポート情報 AVP(100)のスイッチング境界で実行されるデフォルト アクションを上書きできます。これら 3 つの AVP のいずれかを、スイッチド パケットからドロップするか再生成するように設定するか、デフォルトのリレー アクションに戻すことができます。
属性値が非表示になっている L2TP AVP は、常にスイッチング境界で再生成されます。値はデコードされ、パケットがリモート LNS に転送されるときにクリア テキストで送信されます。
AVP 名(番号) |
AVP タイプ |
L2TP メッセージの種類 |
デフォルト アクション |
|---|---|---|---|
割り当てられたセッション ID (14) |
必須 |
CDN、ICRQ |
再生 |
割り当てられたトンネル ID(9) |
必須 |
ティッカー |
再生 |
ベアラー機能 (4) |
オプション |
ティッカー |
再生 |
ベアラータイプ (18) |
オプション |
ティッカー |
リレー |
コールシリアル番号 (15) |
必須 |
ティッカー |
リレー |
着信者番号(21) |
オプション |
ティッカー |
リレー |
発信者番号 (22) |
オプション |
ティッカー |
リレー |
チャレンジ (11) |
オプション |
ティッカー |
再生 |
チャレンジレスポンス (13) |
オプション |
ティッカー |
再生 |
Cisco NAS ポート |
オプション |
ティッカー |
リレー |
フェイルオーバー機能 |
オプション |
ティッカー |
再生 |
ファームウェアリビジョン (6) |
オプション |
ティッカー |
再生 |
フレーミング機能 (3) |
必須 |
ティッカー |
再生 |
フレームタイプ (19) |
必須 |
ティッカー |
リレー |
ホスト名 (7) |
必須 |
ティッカー |
再生 |
初期受信LCP CONFREQ (26) |
オプション |
ティッカー |
リレー LNSのクライアントプロファイルの ステートメントを使用して |
最終受信 LCP CONFREQ (28) |
オプション |
ティッカー |
リレー LNSのクライアントプロファイルの ステートメントを使用して |
最終送信 LCP CONFREQ (27) |
オプション |
ティッカー |
リレー LNSのクライアントプロファイルの ステートメントを使用して |
メッセージの種類 (0) |
必須 |
すべての |
再生 |
物理チャネル ID (25) |
オプション |
ティッカー |
再生 |
プライベートグループID (37) |
オプション |
ティッカー |
リレー |
プロトコルバージョン (2) |
必須 |
ティッカー |
再生 |
プロキシオーセンチャレンジ (31) |
オプション |
ティッカー |
リレー LNS のクライアント プロファイルの ステートメントを使用して |
プロキシ Authen ID (32) |
オプション |
ティッカー |
リレー LNS のクライアント プロファイルの ステートメントを使用して |
プロキシオーセン名 (30) |
オプション |
ティッカー |
リレー LNS のクライアント プロファイルの ステートメントを使用して |
代理オーセン応答 (33) |
オプション |
ティッカー |
リレー LNS のクライアント プロファイルの ステートメントを使用して |
プロキシオーテンタイプ (29) |
オプション |
ティッカー |
リレー LNS のクライアント プロファイルの ステートメントを使用して |
受信ウィンドウのサイズ (10) |
オプション |
ティッカー |
再生 |
受信接続速度 (38) |
オプション |
ティッカー |
リレー |
シーケンスが必要 (39) |
オプション |
ティッカー |
再生 |
サブアドレス (23) |
オプション |
ティッカー |
リレー |
タイブレーカー (5) |
オプション |
ティッカー |
再生 |
トンネルの回復 |
オプション |
ティッカー |
再生 |
送信速度 (24) |
必須 |
ティッカー |
リレー |
ベンダー名 (8) |
オプション |
ティッカー |
再生 |
L2TP トンネル スイッチングの設定
L2TPトンネルスイッチングにより、LTSとして設定されたルーターは、あるL2TPセッションで伝送されたPPPパケットを別のLNSで終了した2番目のL2TPセッションに転送することができます。L2TP トンネル スイッチングを設定するには、トンネル スイッチ プロファイルを定義し、そのプロファイルを割り当てる必要があります。
トンネル スイッチ プロファイルは、グローバルにすべてのセッション、トンネル グループ内のすべてのセッション、ドメイン内のすべてのセッション、または RADIUS トンネル スイッチ プロファイル VSA(26-91)に返される RADIUS サーバー設定で設定できます。さまざまな送信元からのトンネル スイッチ プロファイルの優先順位は次のとおりです。
RADIUS VSA 26-91 > ドメイン マップ > トンネル グループ>グローバル トンネル スイッチ プロファイル
L2TP トンネル スイッチ プロファイルを定義するには:
たとえば、次の構成について考えてみます。これにより、l2tp-tunnel-switch-profile、lts-profile-groupA、lts-profile-example-comの3つのトンネルスイッチプロファイルが作成されます。
[edit access tunnel-switch-profile l2tp-tunnel-switch-profile] user@host# set avp bearer-type regenerate user@host# set avp calling-number regenerate user@host# set avp cisco-nas-port-info drop user@host# set tunnel-profile l2tp-tunnel-profile1 [edit access tunnel-switch-profile lts-profile-groupA] user@host# set tunnel-profile l2tp-tunnel-profile2 [edit access tunnel-switch-profile lts-profile-example.com] user@host# set tunnel-profile l2tp-tunnel-profile3 [edit services l2tp] user@host1# set tunnel-switch-profile l2tp-tunnel-switch-profile user@host1# set tunnel-group groupA tunnel-switch-profile lts-profile-groupA [edit access domain] user@host1# set map example.com tunnel-switch-profile lts-profile-example.com
プロファイル l2tp-tunnel-switch-profile がグローバルなデフォルトとして適用されます。このプロファイルに従ってパケットがスイッチングされると、L2TP パケットのベアラ タイプ AVP(18)と発信者番号 AVP(22)の値が、L2TP トンネル スイッチのローカル ポリシーに基づいて再生成され、パケットとともに送信されます。Cisco NAS ポート情報 AVP(100)は単にドロップされます。最後に、l2tp-tunnel-profile1は、トラフィックがスイッチングされるトンネルの設定特性を提供します。
トンネル スイッチ プロファイル lts-profile-groupA は、トンネル グループ A によって適用されます。別のトンネル プロファイルである L2TP-トンネル プロファイル2 を指定し、AVP アクションは上書きしません。トンネル スイッチ プロファイル lts-profile-example.com は、example.com ドメインのドメイン マップを使用して適用されます。別のトンネル プロファイルである L2TP-tunnel-profile3 を指定し、AVP アクションは上書きしません。
L2TP 受信ウィンドウ サイズの設定
L2TP トンネルの L2TP 受信ウィンドウ サイズを構成できます。受信ウィンドウ サイズは、ルーターからの確認応答を待つ前にピアが送信できるパケット数を指定します。
既定では、受信ウィンドウ サイズは 4 パケットに設定されています。受信ウィンドウ サイズが既定値に設定されている場合、ルーターは、トンネル ネゴシエーション中にピアに送信される最初のパケットで、受信ウィンドウ サイズ AVP、AVP 10 を送信しません。
受信ウィンドウ サイズを構成するには:
[edit services l2tp tunnel] user@host# set rx-window-size packets
L2TP トンネルのアイドル タイムアウトの設定
LAC または LNS を構成して、セッションのないトンネルがアクティブである期間を指定できます。アイドル タイマーは、トンネルの最後のセッションが終了すると開始します。タイマーが期限切れになると、トンネルは切断されます。このアイドルタイムアウトにより、非アクティブなトンネルによって消費されていたリソースが解放されます。
アイドル タイムアウト値を 0 に設定すると、最後のセッションが終了した後、次のいずれかが発生するまで、トンネルは無期限にアクティブなままになります。
コマンド
clear services l2tp tunnelを発行します。リモートピアがトンネルを切断します。
このステートメントをサポートしていない Junos OS リリースにダウングレードする前に、 階層[edit services l2tp tunnel]レベルでステートメントno idle-timeoutを含めて、機能の設定を明示的に解除することをお勧めします。
トンネルのアイドル タイムアウトを設定するには:
タイムアウト期間を設定します。
[edit services l2tp tunnel] user@host# set idle-timeout seconds
L2TP 破壊タイムアウトの設定
LAC または LNS を構成して、動的な宛先、トンネル、セッションが破棄された後、ルーターが維持しようとする時間を指定できます。この破壊タイムアウトは、宛先、トンネル、またはセッションの終了後に基盤となるメモリ構造を保存することで、デバッグやその他の分析を支援します。新しいトンネルを確立できるようにリソースを早期に再利用する必要がある場合、特定の動的な宛先、トンネル、またはセッションは、この期間全体にわたって維持されない可能性があります。
このステートメントをサポートしていない Junos OS リリースにダウングレードする前に、 階層[edit services l2tp]レベルでステートメントno destruct-timeoutを含めて、機能の設定を明示的に解除することをお勧めします。
L2TP破壊タイムアウトを設定するには:
タイムアウト期間を設定します。
[edit services l2tp] user@host# set destruct-timeout seconds
L2TP 宛先ロックアウト タイムアウトの設定
トンネリングパラメータの複数のセットが利用可能な場合、L2TPは選択プロセスを使用して、加入者トラフィックに最適なトンネルを選択します。この選択プロセスの一環として、L2TP は、サブスクライバがドメインに到達しようとしたときに接続できない宛先をロックアウトします。L2TP は宛先を宛先ロックアウト リストに配置し、宛先 ロックアウト タイムアウトと呼ばれる構成可能な期間、宛先を考慮から除外します。
既定では、宛先ロックアウト タイムアウトは 300 秒 (5 分) です。60〜3600秒(1 分〜1時間)の値を設定できます。ロックアウト タイムアウトが経過すると、L2TP は宛先が利用可能になったと見なし、トンネル選択プロセスの実行時に宛先を含めます。宛先ロックアウト期間はグローバルな値であり、特定の宛先、トンネル、またはトンネル グループに対して個別に設定することはできません。
一般に、ロックされた宛先は、ロックアウト タイマーが期限切れになるまで使用できません。ただし、L2TP がトンネル選択プロセスを実行すると、状況によっては、ロックされた宛先のロックアウト タイマーがクリアされます。選択プロセスの詳細については、 LAC トンネル選択の概要の「優先レベル間のフェールオーバーが設定されている場合の選択」および「優先レベル内でのフェールオーバーが設定されている場合の選択」を参照してください。
ロックアウト タイムアウトを、破壊タイムアウトと同じかそれより短く構成します。それ以外の場合、破壊タイムアウトはロックアウト タイムアウトの前に期限切れになります。この場合、ロックアウトされた宛先は破棄され、ロックアウト タイムアウトの期限が切れる前にサービスに戻ることができるため、ロックアウト タイムアウトの有効性が無効になります。
宛先ロックアウトのタイムアウトを設定するには:
期間を秒単位で指定します。
[edit services l2tp destination] user@host# set lockout-timeout seconds
このコマンドは show services l2tp destination lockout 宛先ロックアウト・リストを表示し、宛先ごとにタイムアウトが満了するまでの残り時間を示します。コマンドは show services l2tp destination detail 、各宛先について、ロックされているか、タイムアウトが経過するのを待っているか、またはロックされていないかを示します。
宛先ロックアウトリストからの L2TP 宛先の削除
PPP加入者がドメインにログインしようとすると、L2TPはそのドメイン内の宛先に関連付けられたトンネルを選択し、宛先へのアクセスを試みます。接続の試行が失敗した場合、L2TP は宛先を宛先ロックアウト リストに配置します。このリストの宛先は、 宛先ロックアウト タイムアウトと呼ばれる構成可能な期間、後続の接続の考慮から除外されます。
特定の宛先に対して コマンドを発行 request services l2tp destination unlock して、宛先ロックアウト・リストからその宛先を除去できます。その結果、加入者が関連付けられたドメインにログインすると、この宛先をすぐに検討できるようになります。
宛先ロックアウト・リストから宛先を削除するには:
アンロックする宛先の名前を指定します。
user@host> request services l2tp destination unlock destination-name
L2TPドレインの設定
管理目的で、ドレインする L2TP 宛先またはトンネルの状態を設定できます。これにより、L2TP LAC および LNS で新しいセッション、トンネル、宛先が作成されなくなります。
L2TPドレインは、グローバルレベルで、または特定の宛先またはトンネルに対して設定できます。機能がグローバル L2TP レベルで設定されている場合、新しい宛先、トンネル、またはセッションは作成できません。機能が特定の宛先に設定されている場合、その宛先で新しいトンネルまたはセッションを作成することはできません。同様に、機能が特定のトンネルに設定されている場合、そのトンネルに新しいセッションを割り当てることはできませんが、新しい宛先とトンネルを作成することはできます。
この機能が設定されている場合、 、 のコマンド出力show services l2tp summaryは、L2TPセッション、show services l2tp destination宛先、トンネルDrainの状態を としてshow services l2tp tunnel表示します。
IPパケットの注入と複製に同じL2TPトンネルを使用
加入者のセキュアポリシーミラーリングに使用するのと同じL2TPトンネルを、パケットの複製に使用するように設定できます。複製されたパケットは、顧客またはネットワークに向けてトラフィックを注入するために使用されます。パケットのインジェクションまたは送信は、すべての加入者アクセス モードでサポートされています。単一のL2TPトンネルは、パケットの送信とパケットの複製の両方に使用されます。L2TP トンネルの片側でパケットを複製するように設定されたポートまたはインターフェイスは、もう一方のトンネル エンドポイントに接続されています。トンネルのもう一方のエンドポイントは、L2TPトンネルを使用して、パケット複製用に設定されたポートまたはインターフェイスにIPパケットを送信でき、そのインターフェイスで受信したIPパケットは、顧客に転送するか、顧客から受信したかのように送信できます。
リモート トンネル エンドポイントは、ペイロード内のイーサネット MAC アドレスを含む IP トンネル パケットを送信します。ペイロード パケットの宛先 MAC アドレスにルーターの MAC アドレスが含まれている場合、イーサネット パケットはネットワークに向かって発信方向に送信され、カスタマー ポートで受信したかのように処理および転送されます。ペイロード パケットの送信元 MAC アドレスにルーターの MAC アドレスが含まれている場合、イーサネット パケットはカスタマー ポートに向かって発信方向に送信されます。トンネルに設定された受信Cookieが含まれていない場合、パケットインジェクションは行われません。この場合、間違った Cookie で到着したパケットがカウントおよびドロップされるのと同じ方法で、受信したトンネル パケットがカウントおよびドロップされます。
パケットを(イーサネットペイロードのMACアドレスに基づいて)複製して顧客またはネットワークに向けて送信するように設定するには、階層レベルに [edit firewall family family-name filter filter-name term term-name then] ステートメントを含めdecapsulate l2tp output-interface interface-name cookie l2tpv3-cookieます。また、 階層レベルで ステートメント[edit firewall family family-name filter filter-name term term-name then]を含めるcount counter-nameことで、複製またはカプセル化解除された L2TP パケットのカウンターを設定することもできます