Modelos de acesso de pilha dupla em uma rede DHCP

A Figura 1 mostra uma pilha de interface de pilha dupla em uma rede de acesso DHCP. A família IPv4 (inet) e a família IPv6 (inet6) podem residir na mesma interface VLAN.

Figura 1: Pilha de interface de pilha dupla em uma rede de acesso DHCP

Você pode usar a estrutura de serviços AAA para todos os serviços de autenticação, autorização, contabilidade, atribuição de endereços e solicitação dinâmica que o BNG usa para acesso à rede. A estrutura oferece suporte à autenticação e autorização por meio de servidores RADIUS externos. Ele também oferece suporte a operações de contabilidade e CoA (mudança de autorização de solicitação dinâmica) e desconexão por meio de servidores externos e atribuição de endereços por meio de uma combinação de pools de atribuição de endereços locais e servidores RADIUS.

O BNG interage com servidores externos para determinar como os assinantes individuais acessam a rede de banda larga. O BNG também pode obter informações de servidores externos para o seguinte:

• Como os assinantes são autenticados.

• Como as estatísticas contábeis são coletadas e usadas.

• Como as solicitações dinâmicas, como CoA, são tratadas.

Como mostrado na Figura 2, uma implementação de pilha dupla em uma rede de acesso DHCP, há sessões AAA separadas para autenticação e contabilidade IPv4 e IPv6.

Figura 2: Estrutura de serviço AAA em uma pilha dupla em uma rede de acesso DHCP

• Coleta de estatísticas contábeis em uma rede de acesso DHCP
• Mudança de autorização (CoA)

A Figura 3 mostra uma pilha de interface de pilha dupla em uma rede de atacado DHCP. Nesse cenário, as interfaces de demux IPv4 e IPv6 são configuradas na mesma interface VLAN. As interfaces demux são configuradas em uma instância lógica separada system:routing.

Figura 3: Pilha de interface de pilha dupla em uma rede de atacado DHCP

No dual-stack sobre uma VLAN dinâmica, o dual-stack de sessão única requer apenas uma única sessão para autenticação, em oposição às três sessões necessárias para a configuração tradicional de dual-stack. O suporte de contabilidade para a pilha dupla também usa uma única sessão. Além de reduzir o número de sessões necessárias, o recurso de sessão única também simplifica a configuração do roteador, reduz a carga de mensagens RADIUS e melhora o desempenho da sessão de contabilidade para residências com ambientes de pilha dupla.

No ambiente de pilha dupla de sessão única, a primeira sessão DHCP negociada acionará a criação dinâmica de VLAN (se necessário) e será autorizada no aplicativo DHCP. A segunda etapa da pilha dupla é mantida até que o ponto de autorização seja concluído. Quando a segunda etapa da pilha dupla é estabelecida, o cliente DHCP herda todos os valores comuns do banco de dados do assinante, como id de circuito, id remota, nome de usuário e nome da interface da primeira etapa.

Na Figura 4, a sessão de assinante único é estabelecida para o usuário de pilha dupla.

Figura 4: Modelo de implantação de assinante de sessão única de pilha dupla DHCP

Você pode definir configurações de assinante de pilha dupla de sessão única para o agente de retransmissão DHCP e o servidor local DHCP. Use a dual-stack-group instrução para criar um grupo nomeado que especifica os valores para assinantes de pilha dupla. Em seguida, você usa a dual-stack instrução para especificar o nome do grupo de pilha dupla e atribuir o grupo aos assinantes no nível global, de grupo ou de interface.

• Para o agente de retransmissão DHCP, configure essas declarações no nível de [edit forwarding-options dhcp-relay] hierarquia e no nível de [edit forwarding-options dhcp-relay ... overrides] hierarquia, respectivamente,

• Para o servidor local DHCP, configure essas declarações no nível da hierarquia e no [edit system services dhcp-local-server] [edit system services dhcp-local-server ... overrides] nível da hierarquia, respectivamente,

Você pode definir as seguintes configurações comuns de DHCP para o modelo de pilha dupla de sessão única. Na maioria dos casos, essas configurações são semelhantes às usadas para trechos DHCPv4 e DHCPv6 separados em uma configuração tradicional de pilha dupla. Quando configurada e referenciada, a configuração de pilha dupla tem precedência sobre os mesmos itens configurados na respectiva família.

• access-profile— Perfil de acesso que fornece parâmetros de autenticação e contabilidade para o grupo de pilha dupla que têm precedência sobre aqueles configurados em um perfil de acesso global ou em um perfil configurado para o agente de transmissão DHCP ou servidor local DHCP.

• authentication— Parâmetros relacionados à autenticação (como senha e nome de usuário) que o roteador envia ao servidor AAA externo.

  A dual-stack authentication estrofe é semelhante à estrofe disponível separadamente para as famílias de endereços v4 e v6. Quando a username-include sintaxe de configuração é usada para o trecho DHCPv4 da pilha dupla, a relay-agent-interface-id opção é equivalente à instrução DHCPv4 relay-option-82 circuit-id e a relay-agent-remote-id opção é equivalente à instrução DHCPv4 relay-option-82 remote-id . Você não precisa configurar as duas opções de DHCPv4 separadamente.

• classification-key— A chave de classificação define o mecanismo a ser usado para identificar uma família de pilha dupla.

• dual-stack-interface-client-limit— Limita o número de assinantes de pilha dupla de login por interface.

  Observação:

  Para assinantes de pilha dupla, sempre use essa instrução em vez da interface-client-limit instrução.

• dynamic-profile— Perfil dinâmico anexado a todas as interfaces, a um grupo nomeado de interfaces ou a uma interface específica.

• liveness-detection— Configure um protocolo de detecção de vivacidade ativo que exclua a ligação e libere os recursos se o assinante não responder a um número configurado de solicitações consecutivas de detecção de atividade, o assinante.

• on-demand-address-allocation— (Servidor local DHCP) Designa se o modo de alocação de endereços sob demanda é forçado para um assinante de pilha dupla.

  Se essa configuração não estiver presente, todos os endereços IP e prefixos para famílias IPv4 e IPv6 de um assinante de pilha dupla serão pré-alocados quando o primeiro trecho de um assinante de pilha dupla fizer login inicialmente.

  Se essa configuração estiver presente quando o primeiro segmento de um assinante dual-stack fizer login inicialmente, a autenticação RADIUS será executada (se configurada) e o endereço IP e o prefixo dessa primeira família somente serão alocados. O endereço IP e o prefixo da outra família não serão alocados, a menos que a outra perna da família faça login inicialmente.

  Observação:

  A alocação de endereços IP para a segunda família é informada pela autenticação RADIUS realizada anteriormente no momento do primeiro login da família.

  A partir do Junos OS Release 18.4R1, o método de alocação de endereços é verificado para determinar o comportamento subsequente quando authd notifica o processo DHCP de que um pool de endereços foi excluído ou está sendo drenado. A Tabela 1 descreve o comportamento.

  Tabela 1: Comportamento quando o pool de endereços é excluído ou drenado

  Método de alocação de endereços	O pool de endereços é drenado	O pool de endereços é excluído
  Sob demanda	A família com endereço no pool é desconectada normalmente quando uma mensagem de renovação ou religação DHCP é recebida.	A família com endereço na piscina é desconectada imediatamente.
  Pré-alocado	Os endereços de ambas as famílias são excluídos normalmente quando uma mensagem de renovação ou reassociação DHCP é recebida.	Os endereços de ambas as famílias são excluídos imediatamente.

• protocol-master— Este termo designa uma família IPv4 ou IPv6 como a família primária para um assinante dual stack. O logon de associação de cliente da família secundária será rejeitado até que uma associação de cliente válida esteja em vigor para a família primária.

  ATENÇÃO:

  Se a ligação de família secundária for desconectada por qualquer motivo, somente a associação de família secundária será derrubada.

  Se a ligação da família primária for desconectada por qualquer motivo, as associações correspondentes para as famílias primária e secundária serão derrubadas.

• reauthenticate— (Servidor local DHCP) Configure a reautenticação do assinante para iniciar características de mudança, como ativações/desativações de serviço e modificações de atributos.

• relay-agent-interface-id— (Agente de transmissão DHCP) Inclui ID de interface do agente de transmissão (opção 18) em pacotes DHCPv6 destinados ao servidor DHCPv6. Você pode configurar várias opções para especificar o que está incluído no valor da ID do circuito.

  Para o trecho DHCPv4 da pilha dupla, essa declaração inclui o DHCPv4 relay-option-82 circuit-id em pacotes destinados ao servidor DHCPv4.

• relay-agent-remote-id— (Agente de transmissão DHCP) Inclui ID remoto do agente de transmissão (opção 37) em pacotes DHCPv6 destinados a um servidor DHCPv6. Você pode configurar várias opções para especificar o que está incluído no valor da ID remota.

  Para o trecho DHCPv4 da pilha dupla, essa declaração inclui o DHCPv4 relay-option-82 remote-id em pacotes destinados ao servidor DHCPv4.

• service-profile— Perfil dinâmico para o serviço de assinante padrão (ou o serviço de gerenciamento de cliente DHCP padrão), que é ativado quando o assinante (ou cliente) faz login.

• short-cycle protection— detecte e bloqueie sessões de clientes de curta duração e clientes que falham repetidamente na negociação de sessão para reduzir o uso de recursos associado ao processamento de conexão e autenticação em redes altamente dimensionadas.

• Finalidade
• Ação