Interfaces de desmultiplexing IP em serviços de assinantes desencadeados por pacotes
RESUMO Leia este tópico para saber sobre o recurso de subscritores acionados por pacotes disponíveis no Junos e como configurá-lo. O recurso de assinantes acionados por pacotes cria interfaces de desmultiplexing IP (IP demux IFL) ao receber um pacote de dados de clientes com endereço IP pré-assinado.
Interfaces de desmultiplemento de IP na visão geral dos serviços de assinantes desencadeados por pacotes
O recurso de assinantes acionados por pacotes cria interfaces de desmultiplexing IP (IP demux IFL) ao receber um pacote de dados de clientes com endereço IP pré-assinado. Ao receber o primeiro pacote, o plano de controle verifica o endereço IP. Se o endereço IP de origem corresponde a uma das faixas de endereço IP configuradas, o assinante é autenticado com servidor autenticado. Na autenticação bem-sucedida, o IP demux IFL é criado usando o perfil dinâmico especificado na CLI. O IP demux IFL adiciona a rota emoldurada e a fonte de demux para assinantes usando a máscara passada pelo servidor autenticador. Se a máscara não for enviada pelo servidor autenticador, as rotas de acesso e demux serão instaladas usando a máscara especificada na CLI.
Para assinantes IPv4 residenciais, todo o tráfego de uma única casa normalmente tem o mesmo endereço IPv4 de origem. Assim, para cada casa, apenas um IP demux IFL com um único endereço IPv4 é criado. Para assinantes IPv4 empresariais, vários endereços IPv4 podem ser atribuídos usando rotas emolduradas, resultando em um IFL de demux IP representando vários endereços IPv4. Para o IPv6, o endereço de origem do tráfego proveniente da mesma casa ou empresa é diferente, pois cada dispositivo tem um endereço IPv6 separado. A representação mais ideal de uma casa ou empresa neste caso consiste em um IP demux IFL com um prefixo IPv6, representando todos os endereços IPv6 na casa/empresa.
Durante a criação do IFL de ip demux, se a autenticação falhar, o IP demux IFL ainda será criado, mas esse IP demux IFL não pode encaminhar nenhum tráfego. Qualquer tráfego recebido para o assinante associado é descartado. Todos esses IFLs de ip demux rejeitados permanecem em estado configurado e são chamados de assinantes configurados. Criar o IP demux IFL mesmo que a autenticação falhe evitará o esmagamento, pois os pacotes subsequentes serão descartados no PFE e não serão pontuados para o RE. Todos os assinantes no estado "Configurado" serão removidos periodicamente. Assim que esses assinantes forem removidos, quaisquer novos pacotes recebidos da mesma fonte serão levados para o RE.
O suporte a assinantes acionados por pacotes exige que o endereço MAC do dispositivo conectado permaneça inalterado durante a sessão do assinante. Se o endereço MAC mudar para um assinante acionado por pacotes após o login do assinante e a sessão estiver ativada, o assinante não poderá se conectar do novo dispositivo com o mesmo endereço IP. Você pode evitar isso configurando um período durante o qual a sessão é monitorada para a atividade do assinante. Use a opção client-idle-timeout no nível de hierarquia de nome session-options] do [edit access profile perfil. Quando o tempo limite expira, o assinante fica graciosamente logado. O assinante pode então fazer login com sucesso a partir do segundo dispositivo. Veja a configuração das opções de tempo limite de sessão do assinante.
Benefícios das interfaces de desmultiplexação de IP nos serviços de assinantes desencadeados por pacotes
- Permite o gerenciamento de assinantes e a configuração dinâmica da interface do assinante nos casos em que os dispositivos em casa ou empresa já tenham endereços IPv4/IPv6 atribuídos por outros meios, por exemplo, atribuídos estaticamente ou por meio de um sistema de terminação de modem de cabo (CMTS).
-
Oferece suporte a assinantes acionados por pacotes usando autenticação e seleção de serviços pelo servidor RADIUS e permite um máximo de 16 intervalos de endereço IPv4 e 16 IPv6 por IFL subjacente.
-
Permite que o servidor de autenticação passe no perfil dinâmico para usar. Quando o servidor autenticador passa esses valores, eles têm precedência sobre os valores configurados por meio da CLI.
-
Oferece mecanismo de estrangulamento para mitigar ataques semelhantes ao DoS e limitar a taxa de pacotes de exceção enviados ao RE para autenticação e criação de ip demux. O mecanismo de estrangulamento usa o mecanismo DDoS existente.
Veja também
Interfaces de desmultiplemento de IP na visão geral dos serviços de assinantes desencadeados por pacotes
O recurso de assinantes acionados por pacotes cria interfaces de desmultiplexing IP (IP demux IFL) ao receber um pacote de dados de clientes com endereço IP pré-assinado. Ao receber o primeiro pacote, o plano de controle verifica o endereço IP. Se o endereço IP de origem corresponde a uma das faixas de endereço IP configuradas, o assinante é autenticado com servidor autenticado. Na autenticação bem-sucedida, o IP demux IFL é criado usando o perfil dinâmico especificado na CLI. O IP demux IFL adiciona a rota emoldurada e a fonte de demux para assinantes usando a máscara passada pelo servidor autenticador. Se a máscara não for enviada pelo servidor autenticador, as rotas de acesso e demux serão instaladas usando a máscara especificada na CLI.
Para assinantes IPv4 residenciais, todo o tráfego de uma única casa normalmente tem o mesmo endereço IPv4 de origem. Assim, para cada casa, apenas um IP demux IFL com um único endereço IPv4 é criado. Para assinantes IPv4 empresariais, vários endereços IPv4 podem ser atribuídos usando rotas emolduradas, resultando em um IFL de demux IP representando vários endereços IPv4. Para o IPv6, o endereço de origem do tráfego proveniente da mesma casa ou empresa é diferente, pois cada dispositivo tem um endereço IPv6 separado. A representação mais ideal de uma casa ou empresa neste caso consiste em um IP demux IFL com um prefixo IPv6, representando todos os endereços IPv6 na casa/empresa.
Durante a criação do IFL de ip demux, se a autenticação falhar, o IP demux IFL ainda será criado, mas esse IP demux IFL não pode encaminhar nenhum tráfego. Qualquer tráfego recebido para o assinante associado é descartado. Todos esses IFLs de ip demux rejeitados permanecem em estado configurado e são chamados de assinantes configurados. Criar o IP demux IFL mesmo que a autenticação falhe evitará o esmagamento, pois os pacotes subsequentes serão descartados no PFE e não serão pontuados para o RE. Todos os assinantes no estado "Configurado" serão removidos periodicamente. Assim que esses assinantes forem removidos, quaisquer novos pacotes recebidos da mesma fonte serão levados para o RE.
O suporte a assinantes acionados por pacotes exige que o endereço MAC do dispositivo conectado permaneça inalterado durante a sessão do assinante. Se o endereço MAC mudar para um assinante acionado por pacotes após o login do assinante e a sessão estiver ativada, o assinante não poderá se conectar do novo dispositivo com o mesmo endereço IP. Você pode evitar isso configurando um período durante o qual a sessão é monitorada para a atividade do assinante. Use a opção client-idle-timeout no nível de hierarquia de nome session-options] do [edit access profile perfil. Quando o tempo limite expira, o assinante fica graciosamente logado. O assinante pode então fazer login com sucesso a partir do segundo dispositivo. Veja a configuração das opções de tempo limite de sessão do assinante.
Benefícios das interfaces de desmultiplexação de IP nos serviços de assinantes desencadeados por pacotes
- Permite o gerenciamento de assinantes e a configuração dinâmica da interface do assinante nos casos em que os dispositivos em casa ou empresa já tenham endereços IPv4/IPv6 atribuídos por outros meios, por exemplo, atribuídos estaticamente ou por meio de um sistema de terminação de modem de cabo (CMTS).
-
Oferece suporte a assinantes acionados por pacotes usando autenticação e seleção de serviços pelo servidor RADIUS e permite um máximo de 16 intervalos de endereço IPv4 e 16 IPv6 por IFL subjacente.
-
Permite que o servidor de autenticação passe no perfil dinâmico para usar. Quando o servidor autenticador passa esses valores, eles têm precedência sobre os valores configurados por meio da CLI.
-
Oferece mecanismo de estrangulamento para mitigar ataques semelhantes ao DoS e limitar a taxa de pacotes de exceção enviados ao RE para autenticação e criação de ip demux. O mecanismo de estrangulamento usa o mecanismo DDoS existente.