Ab LCOS 10.40 unterstützt Ihr Gerät neben der bereits vorhandenen Möglichkeit, einen Load-Balancer über die Konfigurationstabelle des Load-Balancers (siehe Dynamisches Load-Balancing mit mehreren DSL-Zugängen) zu konfigurieren, auch die Möglichkeit, einen Load-Balancer aus übermittelten RADIUS-Attributen für IKEv2 VPN-Tunnel zu erzeugen.
In großen VPN-Szenarien werden zentralseitige Konfigurationen nicht durch Konfigurationseinträge aller notwendigen Parameter eines VPN-Tunnels im Gerät selbst abgelegt, sondern auf einen oder mehrere zentrale RADIUS-Server ausgelagert. Dies dient der besseren Skalierbarkeit und Administration. Sollen in diesen Szenarien auf den zentralseitigen VPN-Gateway mehrere eingehende IKEv2-VPN-Tunnel zu einem Load Blancer zusammengefasst werden, so kann dies über zusätzliche RADIUS-Attribute realisiert werden.
Die Bündel-Gegenstellen eines dynamischen Load-Balancers sind IKEv2-VPN-Clients, die RADIUS-Authorization nutzen. Dabei wird ein VPN-Client dann in einem dynamischen Load-Balancer-Verbund aufgenommen, wenn die RADIUS-Antwort ein entsprechendes RADIUS-Attribut (LCS-Load-Balancer) enthält. Dieses Attribut gibt den Namen des Load-Balancer-Verbundes an und entscheidet zusätzlich darüber, ob Client-Binding (siehe Client-Binding) aktiv sein soll.
Für die Konfiguration über einen RADIUS-Server wird die Syntax der Standard-Attribute "Framed-Route" und "Framed-IPv6-Route" erweitert, damit dynamisch Routen übermittelt werden können, die auf einen Load-Balancer zeigen. Routen des IKEv2-Routing zeigen automatisch auf den Load-Balancer statt auf das Einwahlinterface, wenn das Attribut "LCS-Load-Balancer" verwendet wird.
Das Feature wird auch im Zusammenhang mit IKEv2-Routing unterstützt. Die Route auf dem VPN-Gateway wird dann dynamisch von der Gegenseite übermittelt statt die Route per Framed-Route-Attribut vom RADIUS-Server zu empfangen. In diesem Fall muss lediglich das Attribut "LCS-Load-Balancer" vom RADIUS-Server übermittelt werden.
| ID | Bezeichnung | Bedeutung |
|---|---|---|
| 22 | Framed-Route | IPv4-Routen, die in Richtung des Clients (Next-Hop-Client) auf dem VPN-Gateway in
der Routing-Tabelle eingetragen werden sollen.
Format (String): <Präfix> [ifc=<Zielinterface>] [rtg_tag=<Routing-Tag>] [admin_distance=<Distanz>]
|
| 99 | Framed-IPv6-Route | IPv6-Routen, die in Richtung des Clients (Next-Hop-Client) auf dem VPN-Gateway in
der Routing-Tabelle eingetragen werden sollen.
Format (String): <Präfix> [ifc=<Zielinterface>] [rtg_tag=<Routing-Tag>] [admin_distance=<Distanz>]
|
| LANCOM 28 | LCS-Load-Balancer | Format (String): <Load-Balancer-Name> [client_binding={no|yes}]
Der <Load-Balancer-Name> kann bis zu 16 Zeichen lang sein und gibt eine entsprechende Load-Balancing-Gegenstelle auf
den LANCOM Routern an.
Wichtig: Diese Gegenstelle wird für das dynamische IKEv2-VPN-Load-Balancing verwendet und darf daher nicht
unter bereits für statisches Load-Balancing verwendet werden.
Die Option "client_binding" schaltet das Client Binding (siehe Client-Binding) ein oder aus. Ohne diese Angabe ist Client Binding aus.
Wichtig: Der erste sich verbindende IKEv2-VPN-Client gibt diese Einstellung vor. Danach erfolgende andere
Einstellungen für das Client Binding in Verbindung mit dieser Load-Balancing-Gegenstelle werden ignoriert.
|
Beispiel: RADIUS-Attribute für einen einfachen Loadbalancer aus IKEv2-VPN-Tunneln auf der Zentrale
LCS-Load-Balancer=LB1 Framed-Route=192.168.45.0/24 ifc=LB1;
