Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
NESTA PÁGINA
 

Conservação de endereços IPv4 para assinantes PPP de pilha dupla usando alocação de endereço IPv4 sob demanda

Conservação de endereços IPv4 para assinantes PPP de pilha dupla usando alocação de endereços IPv4 sob demanda

Em um cenário de rede de acesso dual stack over PPP, a sessão dual-stack permanece em execução enquanto a sessão IPv4 ou IPv6 estiver ativa. Por padrão, quando um assinante encerra a sessão IPv4, o BNG retém o endereço IPv4 que foi alocado pela AAA no login. O endereço não é liberado enquanto a sessão PPP de pilha dupla está em execução. Se a sessão IPv4 for renegociada enquanto a sessão estiver em execução, o mesmo endereço IPv4 será atribuído à sessão IPv4 do assinante. Essa funcionalidade resulta no uso ineficiente de endereços IPv4.

Você pode conservar endereços IPv4 configurando o roteador para liberar o endereço IPv4 se um assinante não estiver mais usando um serviço IPv4. Esse recurso fornece alocação ou desalocação de endereço IP sob demanda após a autenticação PPP inicial e o endereço IPv6 ou alocação de prefixo.

A configuração sob demanda não entra em vigor quando o endereço IP de destino (peer) é configurado estaticamente na família inet da interface PPP.

Visão geral da negociação e liberação de endereços IPv4 sob demanda para assinantes PPP estáticos

Este tópico descreve como a alocação e a desalocação de endereços IPv4 sob demanda funcionam para assinantes PPP estáticos de pilha dupla.

Negociação de endereço IPv4 para assinantes de PPP estáticos

O processo de negociação de endereço IPv4 para uma família de inet estática e endereço em uma interface PPP estática é o seguinte:

  1. O protocolo de controle de enlace (LCP) PPP é estabelecido e um protocolo de controle IPv6 é negociado com sucesso.

  2. O gateway de rede de banda larga (BNG) recebe uma solicitação de configuração do protocolo IPCP (Internet Protocol Control Protocol) com uma opção de endereço IPv4 0.0.0.0 do equipamento das instalações do cliente (CPE).

  3. O BNG envia uma solicitação de configuração IPCP com uma opção de endereço IPv4 local para o CPE.

  4. O BNG envia uma mensagem de solicitação de acesso com o IPv4-Release-Control VSA (26-164) (se configurado) para o servidor RADIUS.

  5. O BNG recebe um IPCP Configure ACK do CPE.

  6. O BNG recebe uma mensagem de aceitação de acesso do servidor RADIUS.

    • Se um atributo Framed-IP-Address for recebido, o BNG executará uma verificação de endereço duplicado (se configurado). Se uma verificação de endereço duplicado for concluída com êxito, o PPP continuará a negociação do IPCP com o CPE. Caso contrário, toda a sessão PPP é desativada enviando uma solicitação de encerramento LCP ao CPE.

    • Se um atributo Framed-Pool for recebido, o endereço IPv4 será alocado do pool de endereços local especificado configurado no BNG. Se o pool de IP não estiver configurado no BNG e não houver outro pool de IP disponível, o BNG enviará uma mensagem de rejeição de protocolo LCP ao CPE.

    • Se nem um atributo Framed-IP-Address nem um atributo Framed-Pool forem recebidos, o BNG alocará um endereço IPv4 de um dos pools de endereços locais configurados. Se o BNG não puder alocar um endereço IPv4, o BNG enviará uma mensagem de rejeição do protocolo LCP ao CPE.

    • Se os filtros ADFv4 estiverem presentes na mensagem Access-Accept, eles precisarão ser reinstalados para esse assinante no BNG.

    • Se os endereços DNS primário e secundário IPv4 estiverem presentes na mensagem Access-Accept, ambos precisarão ser atualizados para esse assinante no BNG. Se um endereço DNS primário IPv4 ou um endereço DNS secundário IPv4 estiver presente na mensagem Access-Accept, somente o endereço DNS correspondente precisará ser atualizado para esse assinante.

    Se um endereço IPv4 não estiver disponível e o BNG receber uma mensagem de rejeição de acesso do servidor RADIUS, ocorrerá o seguinte:

    • Se a mensagem de rejeição de acesso incluir o IPv4-Release-Control VSA (26-164), o BNG enviará uma solicitação de encerramento do IPCP ao CPE. O CPE pode então renegociar o IP NCP.

    • Se a mensagem de rejeição de acesso não incluir o IPv4-Release-Control VSA (26-164), o BNG enviará uma mensagem de rejeição de protocolo LCP ao CPE. O CPE deve renegociar o link LCP antes de poder renegociar o IP NCP.

      Se a mensagem RADIUS Access-Reject incluir o campo IPCP Terminate-Request, o texto do atributo Reply Message (18) será anexado às informações no campo Terminate-Request e será mostrado nos dados PPP.

    Se não houver resposta do servidor RADIUS, o IPCP será encerrado.

  7. O BNG envia um IPCP Configure NACK com a nova opção de endereço IPv4 para o CPE.

  8. O serviço de política segura do assinante (se presente para a família inet) é ativado.

    O BNG envia uma mensagem de contabilidade provisória imediata (se configurada) com o IPv4-Release-Control VSA (26-164) (se configurado) e o atributo Framed-IP-Address para o servidor RADIUS.

  9. O BNG recebe uma solicitação de configuração IPCP com a nova opção de endereço IPv4 do CPE.

  10. O BNG recebe uma resposta de contabilidade provisória do servidor RADIUS.

  11. O BNG envia um IPCP Configure ACK para o CPE.

Liberação de endereço IPv4 para assinantes PPP estáticos

O processo para liberação de endereço IPv4 para família inet estática e endereço sobre interface PPP estática é o seguinte:

  1. O BNG recebe uma solicitação de encerramento do IPCP do CPE.

  2. O BNG envia um ACK de terminação IPCP para o CPE.

  3. As seguintes ações ocorrem:

    • O serviço de política segura do assinante (se presente para a família inet) é desinstanciado.

    • Se um endereço IPv4 foi alocado do pool de endereços local, o endereço se torna disponível.

    • A entrada de endereço IPv4 é apagada do registro do assinante.

    • O BNG envia uma mensagem de contabilidade provisória imediata (se configurada) com o IPv4-Release-Control VSA (26-164) (se configurado) para o servidor RADIUS e o atributo Framed-IP-Address não está incluído.

    • As estatísticas da sessão do usuário são retidas para toda a sessão PPP e não são apagadas quando o endereço IPv4 é liberado.

  4. O BNG recebe uma resposta de contabilidade provisória do servidor RADIUS.

    Nenhuma ação é executada no BNG, independentemente de receber ou não uma resposta do servidor RADIUS.

Negociação e liberação de endereços IPv4 sob demanda para assinantes PPP dinâmicos Visão geral

Este tópico descreve como a alocação e a desalocação de endereços IPv4 sob demanda funcionam para assinantes PPP dinâmicos de pilha dupla.

Negociação de endereço IPv4 para assinantes dinâmicos de PPP

O processo de negociação de endereço IPv4 para uma família dinâmica de inet e endereço em uma interface PPP estática é o seguinte:

  1. O protocolo de controle de enlace (LCP) PPP é estabelecido e o protocolo de controle IPv6 é negociado com sucesso.

  2. O gateway de rede de banda larga (BNG) recebe uma solicitação de configuração do protocolo de controle de protocolo de Internet (IPCP) com uma opção de endereço IPv4 0.0.0.0 do CPE.

  3. O BNG envia uma mensagem de solicitação de acesso com o IPv4-Release-Control VSA (26-164) (se configurado) para o servidor RADIUS.

  4. O BNG recebe uma mensagem de aceitação de acesso do servidor RADIUS.

    • Se um atributo Framed-IP-Address for recebido, uma verificação de endereço duplicado (se configurado) será executada no BNG. Se uma verificação de endereço duplicado for concluída com êxito, o PPP continuará a negociação do IPCP com o CPE. Caso contrário, toda a sessão PPP é desativada enviando uma solicitação de encerramento LCP ao CPE.

    • Se o atributo Framed-Pool for recebido, o endereço IPv4 será alocado do pool de endereços local especificado configurado no BNG. Se o pool não estiver configurado no BNG e não houver outro pool de IP disponível, uma rejeição de protocolo IPCP será enviada ao CPE.

    • Se nem um atributo Framed-IP-Address nem um atributo Framed-Pool forem recebidos, o BNG alocará um endereço IPv4 de um dos pools de endereços locais configurados. Se o BNG não puder alocar um endereço IPv4, uma rejeição do protocolo IPCP será enviada ao CPE.

    • Se os filtros ADFv4 estiverem presentes na mensagem Access-Accept, eles precisarão ser reinstalados para esse assinante no BNG.

    • Se os endereços DNS primário e secundário IPv4 estiverem presentes na mensagem Access-Accept, ambos precisarão ser atualizados para esse assinante no BNG. Se um endereço DNS primário IPv4 ou um endereço DNS secundário IPv4 estiver presente na mensagem Access-Accept, somente o endereço DNS correspondente precisará ser atualizado para esse assinante.

    Se um endereço IPv4 não estiver disponível e o BNG receber uma mensagem de rejeição de acesso do servidor RADIUS, ocorrerá o seguinte:

    • Se a mensagem de rejeição de acesso incluir o IPv4-Release-Control VSA (26-164), o BNG enviará uma solicitação de encerramento do IPCP ao CPE. O CPE pode então renegociar o IP NCP.

    • Se a mensagem de rejeição de acesso não incluir o IPv4-Release-Control VSA (26-164), o BNG enviará uma mensagem de rejeição de protocolo LCP ao CPE. O CPE deve renegociar o link LCP antes de poder renegociar o IP NCP.

      Se a mensagem RADIUS Access-Reject incluir o campo IPCP Terminate-Request, o texto do atributo Reply Message #18 será anexado às informações no campo Terminate-Request e será mostrado nos dados PPP.

    Se uma mensagem Access-Challenge for recebida em vez de uma Access-Accept, a rejeição do protocolo IPCP será enviada ao CPE.

    Se não houver resposta do servidor RADIUS, o IPCP será encerrado.

  5. O BNG envia um IPCP Configure NACK com a nova opção de endereço IPv4 para o CPE.

  6. A família inet dinâmica e o endereço local são adicionados e todos os serviços IPv4 (family inet) para o perfil de cliente dinâmico são instanciados.

    O BNG envia uma solicitação de configuração IPCP com uma opção de endereço IPv4 local para o CPE.

  7. O BNG envia uma mensagem de contabilidade provisória imediata (se configurada) com o IPv4-Release-Control VSA (26-164) (se configurado) e um atributo Framed-IP-Address para o servidor RADIUS.

  8. Todos os serviços IPv4, como filtros de dados ascendentes (ADF) e filtros de firewall, para o perfil de serviço dinâmico e o serviço de interceptação legal (se presente para a família inet) são instanciados e as mensagens Service Accounting-Start (se a contabilidade de serviço estiver configurada e o serviço IPv4 não fizer parte de um perfil de serviço multifamiliar) são enviadas ao servidor RADIUS. Se a instanciação do serviço falhar, o IPCP será encerrado e um processo de liberação de endereço IPv4 será iniciado.

  9. O BNG recebe uma solicitação de configuração de IPCP com uma nova opção de endereço IPv4 do CPE.

  10. O BNG envia um IPCP Configure ACK para o CPE.

  11. O BNG recebe uma resposta Service Accounting-Start do servidor RADIUS.

  12. O BNG recebe uma resposta de contabilidade provisória do servidor RADIUS.

  13. O BNG recebe um IPCP Configure ACK do CPE.

Liberação de endereço IPv4 para assinantes PPP dinâmicos

O processo para liberação de endereço IPv4 para família inet dinâmica e endereço sobre interface PPP estática é o seguinte:

  1. O BNG recebe uma solicitação de encerramento do IPCP do CPE.

  2. O BNG envia um ACK de terminação IPCP para o CPE.

  3. As seguintes ações ocorrem:

    • Todos os serviços IPv4 (family inet) para o perfil dinâmico do cliente são desinstanciados e a família inet dinâmica e o endereço local são removidos.

    • Todos os serviços IPv4, como filtros de dados ascendentes (ADF) e filtros de firewall, para um perfil de serviço dinâmico e o serviço de interceptação legal (se presente para a família inet) são desinstanciados. As mensagens Service Accounting-Stop (se a contabilidade de serviço estiver configurada e o serviço IPv4 não fizer parte de um perfil de serviço multifamiliar) são enviadas ao servidor RADIUS.

    • Se um endereço IPv4 foi alocado de um pool de endereços local, ele estará disponível.

    • A entrada de endereço IPv4 é apagada do registro do assinante

  4. O BNG envia uma mensagem de contabilidade provisória imediata (se configurada) com o IPv4-Release-Control VSA (26-164) (se configurado) para o servidor RADIUS e o atributo Framed-IP-Address não deve ser incluído.

    As estatísticas da sessão do usuário e as estatísticas da sessão de serviço para o serviço multifamiliar são retidas para toda a sessão PPP e não são apagadas quando o endereço IPv4 é liberado.

  5. O BNG recebe uma resposta de contabilidade provisória do servidor RADIUS.

    Nenhuma ação tomada no BNG, independentemente de receber ou não uma resposta do servidor RADIUS.

Negociação IPCP com endereço IP de peer opcional

Durante a operação normal de uma negociação IPCP (Internet Protocol Control Protocol), se o cliente PPP (Point-to-Point Protocol) não solicitar um endereço IP específico, o servidor da Série MX enviará um endereço IP obtido do RADIUS ou do pool de endereços local.

Normalmente, quando o CPE negocia um endereço IP provisionado estaticamente, o BNG recebe um endereço IP emoldurado de 255.255.255.255 e, opcionalmente, uma rota emoldurada, durante a autorização do PPP. O CPE apresenta o endereço IP WAN configurado na opção Endereço IP da mensagem IPCP confReq. O BNG então aceita o endereço proposto pelo peer.

Em alguns outros casos, no entanto, o endereço IP público do assinante é provisionado localmente no CPE, mas não negociado explicitamente via IPNCP. Se o cliente PPP procurar um endereço IP específico, ao receber um NAK do servidor, ele enviará uma mensagem confReq sem especificar a opção de endereço IP. Nesse caso, mesmo que o servidor envie uma mensagem IPCP confAck, o servidor encerra o cliente porque o servidor requer um endereço IP do cliente.

Você pode configurar a peer-ip-address-optional instrução para permitir que a negociação IPCP seja bem-sucedida, mesmo que o peer não inclua a opção de endereço IP em uma solicitação de configuração IPCP para assinantes PPPoE (Point-to-Point Protocol over Ethernet) estáticos e dinâmicos, terminados e com túnel. Por padrão, essa instrução está desabilitada. Esse recurso também oferece suporte à alta disponibilidade (HA) e à atualização unificada de software em serviço (ISSU unificado).

Se o cliente não incluir a opção de endereço IP em uma solicitação de configuração IPCP e a negociação IPCP for bem-sucedida configurando a peer-ip-address-optional instrução, o servidor não terá o endereço IP do cliente.

Observação:

Se o cliente incluir a opção de endereço IP em uma solicitação de configuração IPCP, não importa se a peer-ip-address-optional instrução está configurada porque o assinante está sempre disponível e o servidor tem o endereço IP do cliente.

Um endereço IP do RADIUS ou do pool local é alocado ao cliente e a rota para ele é adicionada ao servidor, mesmo que o cliente não esteja atribuído a esse endereço. O IPCP é bem-sucedido e o assinante fica disponível. Se você quiser que o servidor tenha a rota para o endereço IP solicitado pelo cliente, use o atributo Framed-Route RADIUS ou configure rotas estáticas. O cliente adiciona ou configura rotas estáticas em direção ao servidor para encaminhamento adequado.

Veja também

Como os atributos RADIUS são usados durante a autenticação quando a alocação de endereços sob demanda está habilitada

O seguinte descreve o comportamento do gateway de rede de borda (BNG) durante a autenticação quando a alocação de endereço IP sob demanda está habilitada:

  • Se o servidor RADIUS retornar um atributo Framed-IP-Address, o BNG não irá para o servidor RADIUS para alocação de endereços na primeira negociação do Internet Protocol Control Protocol (IPCP). Ele usa o atributo Framed-IP-Address retornado na mensagem inicial Access-Accept. As mensagens Accounting-Start e Interim-Accounting periódicas incluem o atributo Framed-IP-Address. As mensagens de Contabilidade Provisória Imediata não são enviadas ao servidor RADIUS. A alocação de endereços é semelhante ao processo descrito para um assinante estático ou dinâmico.

    Quando um endereço IP emoldurado é retornado do servidor RADIUS durante a autenticação e o equipamento das instalações do cliente (CPE) não negocia o IPCP, o endereço IPv4 não é liberado independentemente de a alocação de endereço IP sob demanda estar habilitada ou não.

  • Se o servidor RADIUS retornar um atributo Framed-Pool. o BNG não vai para o servidor RADIUS para alocação de endereços na primeira negociação IPCP e aloca um endereço IPv4 do pool de endereços local especificado. As mensagens Accounting-Start e Interim-Accounting periódicas não incluem o atributo Framed-IP-Address até a negociação do IPCP. Mensagens de contabilidade provisórias imediatas (se configuradas) são enviadas ao servidor RADIUS. A alocação de endereços é semelhante ao processo descrito para um assinante estático ou dinâmico.

  • Se o servidor RADIUS não retornar o atributo Framed-IP-Address ou o atributo Framed-Pool. A alocação de endereços é semelhante ao processo descrito para um assinante estático ou dinâmico. Como o IPCP é o único Network Control Protocol (NCP) ativo para esses assinantes, toda a sessão PPP é encerrada após uma solicitação de encerramento do IPCP e uma mensagem de parada de contabilidade é enviada ao servidor RADIUS. Mensagens de contabilidade provisória imediatas para liberar o endereço IPv4 não são enviadas nesse caso.

Configuração da alocação de endereços IPv4 estáticos sob demanda para assinantes de PPP de pilha dupla

Para configurar a alocação de endereço IPv4 estática sob demanda para assinantes PPP de pilha dupla:

  1. Especifique o nome e o número da unidade lógica da interface.
  2. Habilite a alocação de endereços IP sob demanda.

Configuração da alocação dinâmica de endereços IPv4 sob demanda para assinantes PPP de pilha dupla

Para configurar a alocação dinâmica de endereços IPv4 sob demanda para assinantes PPP de pilha dupla:

  1. Acesse o perfil dinâmico.
  2. Especifique o nome e o número da unidade lógica da interface.
  3. Habilite a alocação de endereços IP sob demanda.

Configuração da alocação global de endereços IPv4 sob demanda para assinantes de PPP dual-stack

Para configurar a alocação de endereço IPv4 de endereço IP estático sob demanda para assinantes PPP de pilha dupla no nível do sistema:

  1. Especifique o protocolo.
  2. Especifique a opção ppp-service.
  3. Habilite a alocação de endereços IP sob demanda.

Habilitação de mensagens contábeis intermediárias imediatas para mudanças de endereço IPv4 sob demanda

Para permitir que o BNG envie uma mensagem contábil intermediária imediata:

  1. Crie um perfil e atribua um nome a ele.
  2. Em contabilidade, especifique a opção address-change-immediate-update.

Habilitação do controle de versão IPv4 VSA (26–164) em mensagens RADIUS

Ao usar a alocação de endereços sob demanda para assinantes PPP de pilha dupla, você pode configurar o BNG para incluir o IPv4-Release-Control VSA (26–164) na solicitação de acesso enviada durante a alocação de endereço IP sob demanda e nas mensagens de contabilidade provisória enviadas para relatar uma alteração de endereço.

Se nenhum endereço IPv4 estiver disponível durante a negociação para assinantes PPP estáticos ou dinâmicos, o servidor RADIUS incluirá esse VSA na mensagem de rejeição de acesso que envia ao BNG. A consequência é que o BNG envia uma solicitação de encerramento do IPCP ao CPE e o CPE pode então renegociar o IPCP.

Se você não tiver habilitado o envio do VSA 26–164, a mensagem de rejeição de acesso não incluirá o VSA e o BNG enviará uma mensagem de rejeição de protocolo LCP ao CPE. O CPE deve renegociar o link LCP antes de poder renegociar o IP NCP.

A configuração dessa declaração não tem efeito quando a alocação ou desalocação de endereço IP sob demanda não está configurada.

Opcionalmente, você pode configurar uma mensagem que é incluída no VSA quando ela é enviada para o servidor RADIUS.

Para habilitar o IPv4-Release-Control VSA (26-164) em mensagens RADIUS:

  1. Crie um perfil e atribua um nome a ele.
  2. Especifique que deseja configurar o RADIUS.
  3. (Opcional) Configure o VSA a ser enviado e, opcionalmente, especifique uma mensagem de texto a ser incluída no VSA.

Documentação relacionada